Kişisel Verilerin Korunması Kanunu (KVKK) ve İşletmeler: Amaç, Yükümlülükler ve Uyum Önerileri
Dijital çağda şirketler, müşteri ve çalışanlarına ait çok sayıda kişisel veri işlemektedir. Bu verilerin korunması ve hukuka uygun şekilde işlenmesi, hem yasal bir zorunluluk hem de iş itibari açısından büyük önem taşımaktadır. Türkiye’de kişisel verilerin korunması konusunda temel düzenleme olan Kişisel Verilerin Korunması Kanunu (KVKK), tüm işletmelerin uymakla yükümlü olduğu çeşitli kurallar ve yükümlülükler getirmektedir.
KVKK’nın Amaçı ve Kapsamı
KVKK’nın temel amacı, kişisel verilerin işlenmesi süreçlerini düzenlemek ve bireylerin özel hayatının gizliliğini korumaktır. Bu kanun, kişisel verilerin hukuka uygun bir şekilde işlenmesini sağlamak, veri sahiplerinin (ilgili kişilerin) haklarını güvence altına almak ve veri güvenliğini sağlamak için gereken kuralları ortaya koyar. KVKK, tüm kamu kurumları ve özel sektör şirketleri dahil olmak üzere, kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır. Yani büyük-küçük tüm işletmeler, müşteri veya çalışan gibi ilgili kişilerin kişisel verilerini işledikleri takdirde KVKK’ya uymak zorundadır. Sadece kişisel kullanım amaçlı (aile veya ev içi) veri işleme faaliyetleri kanun kapsamı dışında tutulmuştur. KVKK, veri işleme süreçlerinde şeffaflık, hukuka uygunluk, hesap verebilirlik ve güvenlik gibi prensipleri esas almaktadır. Bu yüzden, kanun çerçevesinde kişisel verilerin yalnızca meşru ve açık amaçlarla toplanması, işlenmesi ve paylaşılması gerekmektedir.
Şirketler İçin Kişisel Veri Nedir?
KVKK’ya göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Başka bir deyişle, bir gerçek kişiyi doğrudan ya da dolaylı olarak tanıtmaya yarayan tüm veriler kişisel veri kapsamındadır. Bu veriler ad, soyad, T.C. kimlik numarası, doğum tarihi gibi kimlik bilgilerini; telefon numarası, adres, e-posta gibi iletişim bilgilerini; müşteri numarası, banka hesap bilgisi, ödeme bilgileri gibi finansal verileri içerir. Ayrıca şirketlerin elinde bulunabilecek diğer kişisel veriler olarak çalışanlara ait özgeçmiş bilgileri (eğitim durumu, iş tecrübesi), lokasyon verileri, IP adresi veya cihaz ID kayıtları ve görüntü/ses kayıtları da sayılabilir. Özel nitelikli kişisel veriler ise, kişiler hakkında daha hassas bilgileri ifade eder; örneğin sağlık verileri, biyometrik veriler (parmak izi, retina taraması gibi) veya kişi hakkındaki din, etnik köken, siyasi görüş gibi veriler bu kapsamdadır. Bu tür hassas verilerin işlenmesi KVKK’da daha sıkı kurallara tabi tutulmuştur. Unutulmamalıdır ki, bir verinin kişisel olması için gizli veya “önemli” olması şart değildir; herhangi bir kişiyi tanımlayan en basit bilgi bile (örneğin bir e-posta adresi) kişisel veri kapsamındadır.
Veri Sorumlusunun Yükümlülükleri
KVKK, “veri sorumlusu” olarak tanımlanan kişisel verilerin işleme amaç ve yöntemlerini belirleyen gerçek veya tüzel kişilere bir dizi hukuki yükümlülük getirmektedir. Şirketler de veri sorumlusu sıfatıyla, kanunun belirlediği ilke ve kurallara uygun hareket etmek zorundadır. Bu kapsamda bir veri sorumlusunun başlıca yükümlülükleri şunlardır:
Kişisel verileri KVKK’da öngörülen ilkelere uygun işlemek: Veri işleme faaliyetleri hukuka ve dürüstlük kurallarına uygun olmalı; doğru ve güncel olmalı; belirli, açık ve meşru amaçlar için gerçekleştirilmeli; işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmalı; ve ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan süre kadar muhafaza edilmelidir.
Geçerli hukuki sebep olmadan kişisel veri işlememek: Kişisel veriler, KVKK’da sayılan işleme şartlarından birine dayanmaksızın işlenemez. Veri sorumlusu, her bir işleme faaliyetinin kanunda belirtilen hukuki dayanağa sahip olmasını sağlamalıdır (açık rıza veya kanunda öngörülen diğer işleme sebepleri, örneğin bir sözleşmenin ifası için zorunluluk, hukuki yükümlülüğün yerine getirilmesi gibi).
Aydınlatma yükümlülüğünü yerine getirmek: Veri sorumlusu, kişisel verileri elde ederken ilgili kişileri belirli konularda bilgilendirmekle yükümlüdür. Bu aydınlatma yükümlülüğünün kapsamı ve gerekleri aşağıda ayrı başlıkta detaylandırılmıştır.
Gerekli hallerde açık rıza almak: Kanunun izin verdiği istisnai durumlar dışında, ilgili kişilerin kişisel verileri açık rızaları olmaksızın işlenemez. Bu nedenle, şirketler işlenmesi planlanan veriler için gerekiyorsa kişilerden açık rıza temin etmelidir (açık rıza kavramı ve şartları aşağıda ayrıca ele alınmıştır).
Veri güvenliğini sağlamak: Veri sorumluları, kişisel verilerin yetkisiz erişime, hukuka aykırı işlemeye ve ifşaya edilmesine karşı uygun teknik ve idari tedbirleri almak zorundadır. Bu konu da ayrı bir başlık altında (Veri Güvenliği Önlemleri) açıklanmaktadır.
Veri Sorumluları Siciline kayıt (VERBİS): İlgili yasal düzenlemeler uyarınca, belirli kriterleri sağlayan şirketler (işlenen veri kategorileri ve çalışan/işlem sayısı gibi ölçütlere bağlı olarak) Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yaptırmakla yükümlüdür.
İlgili kişilerin haklarını kullanmasına imkan tanımak: Veri sorumlusu, kişisel verisi işlenen bireylerin KVKK kapsamında sahip olduğu erişim, düzeltme, silme, itiraz gibi taleplerini belirlenen süreler içinde değerlendirerek yanıtlamak zorundadır.
Denetim ve kurumsal uyum: Şirketlerin, KVKK’ya uyum için iç denetimler yapması, mümkünse bir KVKK sorumlusu veya uzmanı atayarak süreci yönetmesi ve Kişisel Verileri Koruma Kurumu (KVK Kurumu) tarafından iletilen karar ve talepleri yerine getirmesi gerekir. Örneğin, KVK Kurulu tarafından alınan bir kararı uygulamak veya talep edilen bilgi/belgeyi sunmak da veri sorumlusunun yükümlülüklerindendir.
Açık Rıza ve Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, KVKK uyarınca veri sorumlusunun ilgili kişileri bilgilendirme zorunluluğudur. Buna göre, kişisel veriler elde edilirken veri sorumlusu (veya yetkilendirdiği kişi), ilgili kişiye en az şu bilgileri sağlamalıdır:
-
Veri sorumlusunun ve varsa temsilcisinin kimliği,
-
Kişisel verilerin hangi amaçla işleneceği,
-
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
-
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
-
İlgili kişinin KVKK kapsamındaki hakları (erişim, düzeltme, silme vb.).
Aydınlatma, ilgili kişilerin verilerinin nasıl ve ne için işlendiğini anlamaları için açık ve sade bir dille yapılmalıdır. Bu yükümlülük, çoğunlukla “aydınlatma metni” (privacy notice) denilen yazılı belgelerle yerine getirilir ve verinin elde edildiği her noktada (örneğin web sayfasında, formlarda, sözleşmelerde) kişilere sunulur.
Açık rıza, ilgili kişinin kişisel verisinin belirli bir konuya ilişkin olarak işlenmesine, bilgilendirmeye dayalı ve özgür iradesiyle verdiği onayı ifade eder. KVKK’ya göre kişisel verilerin açık rıza ile işlenmesi asıl olmakla birlikte, KVKK’da öngörülen bazı istisnai durumlarda açık rıza olmaksızın da veri işlenebilir. Örneğin, kanunlarda açıkça öngörülen, bir sözleşmenin kurulması veya ifası için gerekli olan ya da veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olan hallerde kişisel veriler açık rıza aranmaksızın işlenebilir. Bu haller dışında ise ilgili kişiden her bir işleme amacı için açık rıza alınması şarttır. Şirketler, açık rıza metinlerini sade ve anlaşılır hazırlamalı; rızayı özgür iradeyi zedelemeyecek şekilde talep etmeli ve ilgili kişiye rızayı dilediği anda verebilme ve geri çekebilme imkânı tanımalıdır. Açık rıza alınırken hangi verilerin ne amaçla işleneceği konusunda kişiye yeterli açıklama yapılması yasal bir gerekliliktir.
Veri Güvenliği Önlemleri
KVKK uyarınca, veri sorumluları kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda şirketlerin, işledikleri kişisel verilerin yetkisiz kişilerce erişilmesini, hukuka aykırı olarak işlenmesini veya ifşa edilmesini önlemek amacıyla gerekli önlemleri alarak riskleri en aza indirmesi gerekir. Alınabilecek başlıca veri güvenliği önlemleri şunlar olabilir:
Erişim Kontrolleri: Kişisel verilere sadece iş gereği yetkili kişilerin erişebilmesini sağlamak; kullanıcı adı/şifre ve çok faktörlü kimlik doğrulama gibi yöntemlerle sistem erişimlerini kısıtlamak.
Veri Şifreleme ve Maskeleme: Dijital ortamlarda tutulan kişisel verileri güçlü kriptografik algoritmalarla şifrelemek; veritabanında gereksiz yere tam olarak görülmesi gerekmeyen alanları maskeleme veya anonimleştirme yöntemleriyle saklamak.
Ağ Güvenliği ve Fiziksel Güvenlik: Güvenlik duvarı (firewall), antivirüs ve benzeri siber güvenlik yazılımları kullanarak ağı ve sistemleri dışarıdan gelebilecek saldırılara karşı korumak; sunucuların ve veri arşivlerinin bulunduğu fiziksel ortamları güvenlik kameraları, kartlı geçiş sistemleri gibi yöntemlerle koruma altına almak.
Personel Eğitimi ve Politikalar: Çalışanlara düzenli KVKK ve bilgi güvenliği eğitimleri vermek; şirket içi veri koruma politikaları oluşturarak veri işleme, paylaşma ve imha süreçlerini yazılı kurallara bağlamak.
Tedarikçi ve Üçüncü Tarafların Denetimi: Kişisel verileri işleyen üçüncü taraf hizmet sağlayıcılarla (ör. yazılım firması, bulut hizmeti) yapılan sözleşmelere veri koruma hükümleri eklemek; bu tarafların da asgari güvenlik önlemlerini aldığını düzenli olarak denetlemek.
Yedekleme ve Acil Durum Planları: Veri kayıplarını önlemek için düzenli yedekleme yapmak; olası sistem çökmesi veya siber saldırı durumlarına karşı bir iş sürekliliği ve felaket kurtarma planı hazırlayarak hazır tutmak.
Periyodik Denetimler: Veri güvenliği uygulamalarını belli aralıklarla test etmek (ör. sızma testleri) ve denetlemek; tespit edilen açıkları gidermek için iyileştirmeler yapmak.
İhlal Bildirimi ve Yaptırımlar
Kişisel veri ihlali, kişisel verilerin yetkisiz kişilerce ele geçirilmesi, ifşa edilmesi veya yok olması gibi istenmeyen olayları ifade eder. KVKK uyarınca, böyle bir ihlal durumu ortaya çıktığında veri sorumlusu bu durumu en kısa sürede, gecikmeksizin Kişisel Verileri Koruma Kurumu’na bildirmelidir. Mevcut uygulamada “en kısa süre” ifadesi, ihlal fark edildikten sonra en geç 72 saat içinde Kurum’a bildirim yapılması gerektiği şeklinde anlaşılmaktadır. Ayrıca ihlalden etkilenen ilgili kişilere de makul olan en kısa sürede bildirim yapılması (örneğin, kişinin iletişim adresine doğrudan haber vermek veya ulaşılamıyorsa şirketin web sitesinde duyuru yayınlamak gibi yöntemlerle) gerekmektedir. Şirketler, veri ihlali durumunda atılacak adımlar konusunda iç prosedürler belirlemeli ve ihlallerin kaydını tutarak sonraki incelemelere hazır bulundurmalıdır.
KVKK’ya aykırılık hallerinde öngörülen yaptırımlar oldukça ciddi olabilmektedir. KVK Kurumu, bir inceleme sonucunda ilgili şirket hakkında idari para cezası uygulayabilir. Bu cezalar ihlalin türüne ve ağırlığına göre değişiklik gösterir ve ciddi durumlarda milyonlarca TL’ye varan para cezaları gündeme gelebilir. Örneğin, VERBİS kayıt yükümlülüğünü yerine getirmeyen veya veri güvenliği tedbirlerini almayan şirketlere yüksek miktarlarda idari para cezaları verilebilmektedir. Tekrarlayan ihlallerde ceza oranları artırılabileceği gibi, KVK Kurulu gerekli görürse kişisel veri işleme faaliyetlerinin geçici olarak durdurulmasına da karar verebilir. Ayrıca, kişisel verileri ihlal edilen bireyler, uğradıkları maddi veya manevi zararların tazmini için ilgili şirket aleyhine dava açma hakkına sahiptir. Çok ciddi ihlal durumları, Türk Ceza Kanunu kapsamında suç teşkil edebileceğinden (örneğin kişisel verileri hukuka aykırı olarak başkasına verme suçu gibi), sorumlu kişiler hakkında ceza soruşturması da söz konusu olabilir.
Uyum Sürecine Dair Öneriler
Tüm işletmelerin KVKK’ya uyum sağlaması için proaktif adımlar atmaları gerekir. Aşağıda, şirketlerin KVKK kapsamındaki yükümlülüklerini yerine getirmelerine yardımcı olacak bazı öneriler sıralanmıştır:
Veri Envanteri Çıkarın: İlk adım olarak, şirketinizin hangi kişisel verileri, ne amaçla, nerede ve ne süreyle işlediğini tespit edin. Tüm veri kategorilerini ve veri akışını ortaya koyan bir kişisel veri envanteri hazırlamak, uyum sürecinin temelini oluşturacaktır.
Aydınlatma Metinleri ve Rıza Mekanizmaları Hazırlayın: Müşterileriniz, çalışanlarınız ve diğer ilgili kişiler için KVKK’nın gerektirdiği aydınlatma metinlerini oluşturun. Her veri toplama noktasında kişileri bilgilendirin ve gerekiyorsa açık rızalarını alabileceğiniz sistemler kurun. Örneğin, bir web sitesinde çerez kullanıyorsanız çerez politikanız (aydınlatma metni) ve kullanıcı onay mekanizmanız (cookie consent) bulunsun.
Politikalar ve Prosedürler Oluşturun: Kişisel veri işlemeyle ilgili iç politikalarınızı yazılı hale getirin (ör. veri koruma politikası, bilgi güvenliği politikası). Veri saklama ve imha süreçlerine ilişkin periyodik işleyiş prosedürleri belirleyin. Bu politikalar, olası bir denetimde şirketinizin KVKK’ya uyum için nasıl bir yol izlediğini ortaya koyacaktır.
Çalışan Eğitimleri Verin: Tüm personelinizin KVKK konusundaki farkındalığını artırmak için düzenli eğitimler organize edin. Çalışanların oltalama (phishing) gibi sosyal mühendislik saldırılarına karşı da bilinçlenmesi, veri güvenliği için kritik önem taşır.
Teknik Güvenlik Önlemlerini Hayata Geçirin: Yukarıdaki başlıkta belirtildiği gibi, veri güvenliğini sağlayacak tedbirleri (erişim kısıtlamaları, şifreleme, ağ güvenliği vb.) uyguladığınızdan emin olun. Güvenlik açıklarını en aza indirmek için BT altyapınızı güncel tutun ve düzenli olarak test edin.
VERBİS Kaydını Kontrol Edin: Şirketinizin VERBİS’e kayıt yükümlülüğü varsa (KVK Kurumu’nun belirlediği kriterlere göre), zamanında kayıt olduğunuzdan ve beyanlarınızı güncel tuttuğunuzdan emin olun. VERBİS kaydı, KVKK uyumunun önemli bir parçasıdır ve yapılmaması durumunda yaptırım uygulanabilir.
İhlal ve Başvuru Yönetimini Planlayın: Veri ihlali durumunda ne yapılacağına dair önceden hazırlanmış bir aksiyon planınız olsun. İçeriğe dahil edilmesi gereken ekipler, atılacak adımlar ve Kurum ile ilgili kişilere bildirim süreçleri önceden tanımlı olsun. Aynı şekilde, ilgili kişilerden gelecek erişim/düzeltme/silme taleplerini yönetmek için sorumlu kişileri ve süreçleri belirleyin.
Profesyonel Danışmanlık Alın: KVKK uyum süreci karmaşık olabileceğinden, gerektiğinde veri koruma hukuku alanında uzmanlardan danışmanlık almayı düşünün. Bu sayede şirketiniz, yürürlükteki güncel yükümlülükleri doğru yorumlayabilir ve olası riskleri önceden görerek gerekli önlemleri alabilir.
Resmî ve açıklayıcı bir dil benimsenerek hazırlanan bu rehber niteliğindeki bilgiler, KVKK kapsamında tüm işletmelerin uyması gereken temel hususları özetlemektedir. Her şirketin kendi faaliyet özelinde değerlendirme yaparak ilave tedbirler alması ve KVKK’daki gelişmeleri yakından takip etmesi önerilir.
KVKK, şirketlere kişisel verileri hukuka uygun şekilde işleme, güvenliğini sağlama ve ilgili kişileri bilgilendirme yükümlülüğü getirir. Uyum için veri envanteri çıkarılması, aydınlatma metinleri hazırlanması, güvenlik önlemleri alınması ve çalışanlara eğitim verilmesi gereklidir.
