Asistans Şirketler Derneği’nden kişisel veriler sunumu

Karayazgan tarafından yapılan sunumla, Kişisel Veri Koruma Mevzuatı’nın hayata geçiş süreci, getirdikleri ve getirecekleri ile etkileri hakkında üyelere detaylı bilgilendirme ve sunum yapıldı.

Bu bilgilendirme ve sunum kapsamında, üye şirket yönetici ve yetkililerinin, özellikle aşağıdaki hususlara dikkat çekildi.

Kişisel Verinin Korunması ile ne anlaşılmalıdır?

Bireylerin kişisel bilgilerinin korunmasını amaçlamakta, ve bu çerçevede kurgulanan bir mevzuat koruma rejimini getirmektedir. Kısaca iki başlık altında toplanabilir. Harici Veri Koruma; müşteri ve müşteri adaylarının kişisel verileri ile ilgili olarak; Dahili Veri Koruma ise çalışanlar ile ilgili kişisel veri koruma olarak tanımlanabilir. Bu noktada çalışanların, tam zamanlı, kısmi süreli, taşeron elemanları, acente çalışanları, sözleşmeliler, eski çalışanlar, eşler, işe başvuranlar (alınmayanlar dahil), gönüllüler, stajyerler gibi çok geniş bir kapsamda ele alınması gerekir.

Hemen not düşülmesi gerekir ki, mehaz alınan AB müktesebatı, ilgili yetkili kurumların geliştirmiş olduğu görüş, kılavuzlar ile yargı içtihatlarına bakıldığında, bu yeni kanunumuz, kişisel veri korunması anlamında önemli bir adım ise de, bu konuda bir içtihat, teamül ve tecrübenin oluşması bakımından yolun çok çok başında olduğumuzun altının çizilmesi gerekir.

7.4.2016 tarihinde yayımlanan 6698 sayılı Kişisel Veri Kanunu, mehaz AB Mevzuatında gelinen noktayı yakalamaktan uzaktır. Diğer yandan, mevcut haliyle, piyasanın güncel ihtiyaç ve çözümlerine cevap vermekten uzaktır.

Anılan Kanunumuz, 24.10.21995 tarihli 95/46/EC EU sayılı Veri Koruma Yönergesini esas alan bir taslak üzerinden hazırlanmış şekliyle yasalaşmıştır. Esas alınan Yönerge, bugün 27.04.2016 tarihli 2016/679 (EU) tarihli Avrupa Parlamentosu ve Konseyi Tüzüğü ile, 25. 05.218 tarihinde geçeli olacak şekilde kaldırılmaktadır. Bu önemli değişikliğin gerekçesi ise, anılan Yönergenin, dijital ortamın, sosyal medyanın, e-ticaret ve iletişimin gelişmelerine, gelişen ve değişen ihtiyaçlara göre yeniden düzenlenmesi gerekliliğidir. Bu yeni mevzuatın, 6698 sayılı Kişisel Veri Kanununda dikkate alınmadığı anlaşılmaktadır.

İlgili AB Tüzüğü çerçevesinde gelen başlıca yeniliklere aşağıdaki başlıklar altında toplanabilir: Hukuka ve dürüstlük kuralları, işleme şartları, ön aydınlatma, rıza, tanımlar, şeffaflık gibi hususlarda yeni ve güncellenmiş temel ilkeler; Veri Koruma Sorumlusu (“Data Protection Officer”) nun öngörülmesi; Bilgi toplumu hizmetlerine ilişkin olarak çocuklar yönünden özel kuralların getirilmesi; İlgili kişi (“Data Subject”) nin hakların genişletilmesi anlamına gelen yeni haklar; Yeni yaptırım gücü ve müeyyidelere dair şartlar; Unutulma Hakkı (“Right to be Forgotten”); Verilerin Taşınabilmesi Hakkı; Yeni güvenlik ve ihlal hükümleri; Risk temelli yaklaşım, riskin minimize edilmesi, istişare ve raporlama; Tüm AB için tek bir yetkili AB otoritesine dair hükümler.

Bu durum, birçok diğer konuda yaşandığı gibi, çıkan mevzuatın, AB Mevzuatı ile ülkemiz mevzuatının ayrışmasına neden olacağı gibi, ülkemiz koşul, ihtiyaç ve gerçeklerine ne derece hizmet edebileceği ise, cevaplanması gereken önemli bir soru olarak karşımıza çıkacaktadır. Kanun ile kurulan Kurumun ve Kurulun üyelerinin oluşturularak görevine başlaması ve bunu müteakip bu Kurum ve Kurul tarafından çıkarılacak düzenlemeler ve verilecek görüşler ile, bu sorunun cevaplandırılması bir derece daha mümkün olabilecektir. Bu durumda, esas alınan mevzuattaki bu önemli değişiklikler karşısında, önümüzdeki dönemde birçok kanun değişikliği ve ikincil mevzuat düzenlemelerinin çıkarılmasını gerekli olacaktır.

6698 sayılı Kişisel Veri Kanunu ve kapsamı, sadece bir Mevzuat Uyum ve Hukuki meselesi olarak düşünülmemeli, aslında “pozitif bir yönetim aracı” olarak değerlendirilmelidir.

Anılan kanun Mükerrer işler/kayıt girişinin önlenmesi, bu anlamda iş gücü ve IT kapasitesinin verimli kullanılması suretiyle, iş verimliliğinin artırılmasına imkân verecektir.

Verinin işlenmesi, iş süreçleri kapsamında yer alan faaliyetlerden birisi olmakla, gerek faaliyet ve gerekse stratejik ihtiyaçların tümünü karşılanmasına imkân verecek şekilde esnekliği artıracaktır.

Verinin Ticari Kullanımını ve/veya değerinin artırılmasını sağlayacaktır, zira verinin bu mevzuatın gereklilikleri kapsamında toplanması ve yönetimi, değişik iş modellerinin kullanımına imkân verecek şekilde uygun ve esnek yapılmasını sağlayacak, müşteri listesinin, bir işin alım veya satımının parçası veya bizatihi kendisinin alınması, satılması veya paylaşılmasına imkân verecektir.

6698 sayılı Kişisel Veri Kanunu’nun sektörümüz bakımından hayata geçirilmesinde, sadece kişisel veri alanında uzman olmak yeterli değildir, sektörün iş süreçleri, sektörle ilgili mevzuat ve süreçleri konusunda da tecrübe sahibi olunması da önemli bir gerekliliktir.

6698 sayılı Kişisel Veri Koruma Kanunu’nun kişisel verilerin işlenmesine (md.4), silinmesi, yok edilmesi veya anonim hale getirilmesi (md. 7), aktarılması (md.8) veya yurt dışına aktarılması (md.9) ‘na dair hükümler de diğer kanunlarda yer alan hükümler saklı tutulmaktadır.

6698 sayılı Kişisel Veri Mevzuatı uygulamasında, Sigorta ve Destek Hizmetler Sektörünü ilgilendiren diğer sigortacılık mevzuatı, e-ticaret mevzuatı gibi mevzuatlardaki veri koruma hükümleri ile bir bütündür. Bu durumda, 5684 sayılı Sigortacılık Kanunu md. 31/a gibi hükümler ile ikincil mevzuatında kişisel verilerin kullanımı bakımından önemli hükümler yanında, mesafeli ve elektronik ticaret ve e-gizlilik (“e-privacy”) bakımından düzenleme getiren 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ikincil mevzuatı; bilhassa sağlık sigortaları bakımından önemli olabilecek, Özel Sağlık Sigortaları Yönetmeliği, Kişisel Sağlık verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik; destek hizmetleri bakımından ise, Sigorta Destek Hizmetleri Hakkında Yönetmelikler ile getirilen hükümler de, bu konuda yapılacak çalışmalarda ve geliştirilecek prosedür ve uygulamalarda dikkate alınmalıdır.

Bu nedenle, ilgili kanun ve mevzuatın dikkate alınarak, sektörü ilgilendiren uygulama ve süreçler karşısında doğru bir şekilde yorumlanıp, değerlendirilebilmesi için, sektör özelinde güçlü bir bilgi ve tecrübeye sahip olunması da son derece önemlidir.

Şirketin, Kişisel Veri Mevzuatı karşısında veri sorumlusu ve veri işleyen sıfatlarından birisi veya her ikisini de taşıyıp taşımadığı yönünden tespit, son derece önemlidir.

Kişisel veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel Veri Koruması anlamında kanunen sorumlu olan taraftır, ayrıca Veri işleyenin tutum ve davranışları nedeniyle de müştereken sorumludur.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek ve tüzel kişidir. Veri işleyen, veri sorumlusu hesabına işler, ancak veriyi kendi amaçları için kullanmaz. Buna örnek olarak, bordro İşlemleri, kurye/posta hizmetleri, evrak dönüşüm “recycling” hizmetleri, veri depolama, “website hosting” hizmetleri, tahsilat hizmetleri için verinin temin edildiği gerçek ve tüzel kişilerdir. Bu sıfatı haiz gerçek ve tüzel kişi, sözleşme kapsamında yer alan hükümler ile Veri sorumlusuna karşı bu borç ve yükümlülükleri üstlenmektedir.

6698 sayılı Kişisel Veri Kanununda yer alan önemli başlıklar, aşağıdaki şekilde özetlenebilir.

12-16-ahmetkarayazgantablo1

Kanunun uygulama alanının, kişisel verileri işlenen gerçek kişiler (“data subject”) ile Kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler olduğunun altı çizilmelidir. Bu noktada, Türkiye’de yerleşik veya Türkiye’de yerleşik olmamakla birlikte, Türkiye’de yerleşik bir sistemi kullanan gerçek veya tüzel kişiler de kapsamda olacaktır.
Kanunun istisnaları ise, Veri güvenliği yükümlülüklerine uymak ve üçüncü kişilere vermemek kaydıyla, gerçek kişiler tarafından tamamen kendisi ve ya aynı konutta yaşadığı aile fertleriyle ilgili faaliyetler kapsamında işlenmesi; Verilerin resmi istatistiklerle anonimleştirilmesi yoluyla araştırma, planlama ve istatistik amaçlı kullanılması; Kamu güvenliği, düzeni, milli ve ekonomik güvenlik amacıyla işlenmesi; Yargı makamları ve infaz mercilerince düzenlenmesi olarak tanımlanmıştır.
Kişisel Veri Korumasına dair hükümlerin ihlali halinde önemli ceza ve yaptırımlar bulunmaktadır.
Bir Şirketin direktör ve yöneticileri bakımından akla gelecek ilk sorulardan birisi ise, tüm bu kanun ve mevzuat ile getirilen düzenlemelere uyulmaması, ihlal edilmesi durumunda müeyyidesi ne olacaktır.
AB müktesebatına göre çok daha az sayıda ve daha makul sayılabilecek ihlal ve ceza öngörülmekte ise de, başlıca aşağıdaki şekilde toplanabilir:

12-16-ahmetkarayazgantablo2

Bunun dışında, 5684 sayılı Sigortacılık Kanunu md. 35 (9) da adli ceza ise, sigorta sözleşmesi ile ilgili kişilere ait sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklamaları halinde, bir yıldan üç yıla kadar hapis cezası ve ikiyüz günden az olmamak üzere adlî para cezası ile cezalandırılır.
Bu cezalar dışında, şirketler, 4721 sayılı Türk Medeni Kanunu md. 24 -25 çerçevesinde hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespiti, üçüncü kişilere bildirilmesi ya da yayımlanması istemi yanında, maddî ve manevî tazminat istemi ile birlikte hukuka aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre kendisine verilmesine ilişkin istemleri ile de karşılaşabilir.
Şirketlerimiz, kişisel veri korumaya uyum konusunda, uyum konusunda hangi soruları kendilerine sorması gerekir.
Her bir şirket için “terzi usulü” özel dikilmesi ve biçimlendirilmesi gerekmekle birlikte, fikir vermek ve genel itibarı ile konuyu ortaya koymak üzere, örnekleme anlamında özellikle aşağıdaki tür soruların sorularak, cevaplandırılması ve buna göre süreçlerin ve politikaların geliştirilmesi uygun olacaktır.
• Kurumunuzda bir veri koruma komitesi oluşturdunuz mu?
• Kurumunuzda veri toplama sürecinde veri sahibinin açık rızasını alacak şekilde tasarlanmış süreciniz var mı?
• Kurumunuzda kişisel verilerin sadece ihtiyacını karşılayacak derecede toplanmasına ilişkin bir süreciniz bulunuyor mu?
• Kurumunuzda işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sahibini ve veri koruma kurumunu bilgilendirme süreciniz bulunuyor mu?
• Kurumunuzda veri sahiplerinin verilerine erişmek için yaptıkları taleplere cevap verecek bir süreciniz bulunuyor mu?
• Kurumunuzda üst yönetim tarafından onaylanmış ve yayınlanan veri koruma politikası var mı?
• Kurumunuzda kullanım süresi dolan kişisel verilerin yok edilmesi için bir süreciniz bulunuyor mu?
• Kurumunuzda hassas kişisel veri, özel nitelikli kişisel verilerden ayrıştırılmış mıdır?
• Kurumunuz ile hizmet sağlayıcıları arasındaki sözleşmelere bakılmakta mı?
• Kurumunuzda veri yönetimi ile ilgili sorumluluklar belirlenmiş ve atanmış mıdır?
• Kurumunuzda onaylanmış ve yayınlanmış bir veri yönetim ve bilgi güvenliği politikası bulunuyor mu?
• Kurumunuzda periyodik olarak kişisel veri kanununa uyum denetimleri yapılıyor mu?
• Kurumunuzda siber güvenlik olaylarına müdahale süreciniz bulunuyor mu?
• Kurumunuzda çalışanlarınıza bu konuda farkındalık eğitimi veriliyor mu, veri paylaşımı ile ilgili politikalarınızı ve prosedürlerinizi biliyor mu?
• Kurumunuzda veri sahipleri veri paylaşım süreci hakkında bilgilendiriliyor mu?
• Çalışanlara Yönelik Politikalarına Dair Veri Koruma Politikası, Internet Kullanım Politikası, Mobil ve Diğer Cihaz Kullanımına Dair Politikalar (şirkete ait, çalışana ait cihazlar), Araç Kullanım Politikaları (takip sistemleri, kaza raporları)

Şirketlerin İnternet sitelerinde bir bilgilendirme metni yayınlayarak üçüncü kişilerin “Kişisel Verilerin Korunması Kanunu” hakkında bilgilendirmesi , üçüncü kişilerden sözleşme ve veya herhangi bir sebeple alınan bilgilerin saklanması veya işlenmesine dair onay formları geliştirilmesi, sözleşmelere kapsamlı maddeler eklenmesi ,Veri sorumlusu atayarak prosedür oluşturulması ilk etapta yapılması gerekenlerdir.
İlaveten Kanununun , yayımı tarihinden önce işlenmiş olan kişisel verileri, yayımı tarihinden itibaren iki yıl içinde kanun hükümlerine uygun hâle getirilmesi , Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinmesi veya anonim hâle getirilmesi gerekecektir.Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilecektir.

Yorum yazın