6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016’da Resmi Gazete’de yayımlanarak yürürlüğe girdi. Yürürlüğe girmesi 6 ay sonraya bırakılan bazı hükümler de ilgili sürenin dolmasına takiben 7 Ekim 2016 tarihinde yürürlüğe girmiş oldu ve artık kanun tam anlamıyla uygulamanın bir parçası haline geldi. Bir yıl içinde yönetmelikler hazırlanacak ve tam olarak uygulamayı o zaman görebileceğiz ama kanun yürürlükte olduğundan bütün firmaların gereken hazırlıkları yapmış ve belirtilen şartları karşılaması bekleniyor. Bununla alakalı ilgilenecek kurumun 200’e yakın personelinin olması bu konuya ne kadar önem verildiğini ve uygulamanın hızlıca hayata geçirilmesi için denetimlerin yaygın olacağı sinyalini de veriyor.
Bu kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Yirmi yıl önce hayatımıza giren ve dillere pelesenk olan müşteri ilişkileri yönetimi (CRM) kavramı sonrası firmalar müşterilerini daha yakından tanımak için çalışmalara başladı. Son yıllarda akıllı cep telefonlarının yaygınlaşması, e-posta pazarlama kavramının önem kazanması, lokasyon bazlı pazarlamanın ortaya çıkması, sosyal medya kavramının hayatımıza girmesi, web sayfasında yapılan gezinmelerin takip edilebilmesi ve eskisi gibi tek taraflı değil çift yönlü etkileşimin başlaması sonrasında kişisel veriler önem kazandı. Firmalar müşterilerin verilerini her kanaldan toplamaya ve farklı kampanyalar yapmak için kullanmaya başladılar. Büyük veri (Big Data) diye de adlandırdığımız bu bilgiler o kadar arttı ki firmalar bunları tekilleştirmek ve her bilgiyi işleyebilmek için oldukça yüklü yatırımlar yaptılar ve hala da devam ediyorlar. Zamanla müşteriler kendilerine gelen mesajların içeriklerini görünce kendilerine ait birçok verinin firmalarda olduğunu görmeye ve bundan da rahatsızlık duymaya başladılar. Bu aşamada da insanlarda kişisel verilerinin ne kadar gizli kaldığı, bunların başka yerler ile paylaşılıp paylaşılmadığı ve bunlara kimlerin erişiminin olduğu gibi konularda soru işaretleri oluşmaya başladı.
Konuyla alakalı yapılan seminerlerde veya yazılan makalelerde verinin gizlilik içinde korunması hep gündeme gelmiş ama çoğu firma tarafından çok da önemsenmemiştir. Bunun en büyük sebebi de belki de konuyla alakalı ne yapılması gerektiği ile alakalı bir çalışmanın yapılmamış olması, yapılmış olsa bile bunun şu andaki gibi yasalaşmamasından kaynaklanıyordu. Teknolojik yatırımların yapılıp bilgilerin her türlü siber saldırıya karşı korunuyor olması belki de firmalar için yeterli bir sebepti ancak şirket içinde çalışanların da bu konuda özenli olması gerektiği kısmı gözden kaçırılmıştı. İşte bu sebeplerden dolayı konuyla alakalı yasal bir düzenlemenin ortaya çıkması gerekliği doğdu ve geç de olsa bununla alakalı bir kanun çıkmış oldu. Kanun konuyla alakalı herkese sorumluluklar yüklemekle beraber bunlara uyulmaması halinde yaptırımları sadece para ile sınırlandırmıyor gereken durumlarda hapis cezası da içeriyor.
Firmaların dikkat etmesi gereken noktalara baktığımızda ön plana aşağıdaki maddeler çıkmaktadır.
- Kişisel veriler ilgili kişinin açık rızası olmadan işlenemeyeceği
- Veri hangi amaçla alındıysa o şekilde kullanılması
- İlgili kişinin açık rızası olmadan üçüncü parti firmalar/kişiler ile paylaşılmaması
- İlgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, eğer aktarılıyorsa kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması.
- Bu şartın karşılanamadığı durumlarda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması
- Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması, ilgili kişinin talebi veya belirlen sürenin geçmesi sonrasında veri sorumlusu tarafından silinmesi
Bu arada veri sorumlusunun herkesi aydınlatma yükümlülüğü vardır, buna göre veri sorumlusunun kişisel verilerin hangi amaçla işleneceği, bunların kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle alakalı yükümlülüğü vardır.
Veri sorumlusu ayrıca kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Verisi işlenen herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, bunların işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
Kanundan önce işlenmiş olan kişisel verilerin, yayınlandığı tarihten iki yıl içinde bu kanun hükümlerine uygun hale getirilmesi yükümlülüğü getirilmiştir. Böylece, kanuna uyum sağlanabilmesi açısından iki yıllık bir geçiş öngörülmüştür.
Bu iki yıllık süreç gösteriyor ki aşağıda belirtilen ispat yükümlülüğünden dolayı kurumların her türlü dataya dayalı iletişimini bu konudaki uzman şirketler tarafından gerçekleştirmesi riskleri en aza indirgemektedir.
- Verilerin izinli toplanmış olmasının ispatı
- Verinin verilen izin dışında başka bir işlem için kullanılmamış olduğunun ispatı
- Müşterinin istediği andan gönderi listelerinden çıkabilme imkanının tanınması
Halihazırda, kanun yürürlüğe girmeden önce bile birçok firmanın konuyla alakalı çalışmalara başlamış olmasından ve kanunun çok net olmasından dolayı eminim birçok firma sağlıklı bir şekilde bu geçişi sağlayacak ve kişisel veriler ile ilgili hassasiyet de bu sayede artacaktır.
Bu yazı E-Ticaret Çağı Dergisinde yer almıştır.
