Kişisel Verileri Korunması Kanunu Kapsamında İzlenmesi Gereken Yol Haritası

Yürürlükteki 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kapsamda tüzel ve gerçek kişilerin izlemesi gereken yol haritası aşağıda maddeler halinde gösterilmiştir.

1.         Veri Sorumlusu ve Veri İşleyen/ Temsilci Belirlenmeli

Veri Sorumlusu        : Veri kayıt sisteminin bir birim, kurum ya da temsilci bünyesinde tutulmasından sorumlu olan gerçek veya tüzel kişilerdir.

Veri İşleyen/Temsilci : Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.

Veri Sorumlusu ve Veri İşleyen/Temsilcinin, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi vb. hususlarda kişisel veri sahibini aydınlatma ve kişisel veri sahibinin bu ve bunun gibi konulardaki soru ve taleplerini cevaplama yükümlülükleri bulunmaktadır.

2.         Veri Sicil Bilgi Sistemi Olan VERBİS’e Kayıt Yapılması Zorunluluğu

Veri Sicil Bilgi Sistemi (VERBİS) : Veri sorumlularının sicile başvuru ve sicille ilgili diğer işlemlerde kullanacakları; internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sisteminin adıdır.

Kişisel Verileri Koruma Kurulunu’nun 19.07.2018 tarihli 2018/88 sayılı Kararı ile sicile kayıt yükümlülüğünün başlama tarihleri aşağıdaki şekilde belirlenmiştir:

-           Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için:

Kayıt Yükümlülüğü Başlangıç Tarihi: 01.10.2018

Kayıt İçin Belirlenen Sürenin Bitimi : 30.09.2019

-           Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları için:

            Kayıt Yükümlülüğü Başlangıç Tarihi: 01.10.2018

Kayıt İçin Belirlenen Sürenin Bitimi : 30.09.2019

-           Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için:

            Kayıt Yükümlülüğü Başlangıç Tarihi: 01.01.2019

Kayıt İçin Belirlenen Sürenin Bitimi : 31.03.2020

-           Kamu kurum ve kuruluşu veri sorumluları için:

Kayıt Yükümlülüğü Başlangıç Tarihi: 01.04.2019

Kayıt İçin Belirlenen Sürenin Bitimi : 30.06.2020

Yukarıda belirlenen sürelerde kayıt yapılmaması halinde, Kanun’da yaptırım olarak 20.000 -1.000.000 TL arasında idari para cezası öngörülmüştür.

3.         Kişisel Veriler Kategorize Edilmeli

Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Bu veriler, kanunda açıkça belirtilmediği takdirde kişinin açık rızası olmadan işlenemez. Özel nitelikli kişisel verilerin işlenmesinde Veri Sorunluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih 2018/10 Karar sayılı kararı ile ayrıca ayrıntılı olarak belirtilmiştir. (Daha sonra ayrıntılı olarak değinilecektir.

4.         Kişisel Verilerin Korunması İle İlgili Şirket İçi Politika Hazırlanmalı

Kişisel verilerin korunması ile ilgili bir şirket politikası oluşturulmalı ve bu politika aşağıdaki hususları içermelidir:

-           Veri Sorumlusu ve Veri İşleyen Temsilci/lerin kimler olduğu,

-           Kişisel Verilerin Korunması Kanunu ile ilgili kısa bilgi,

-           Kişisel veri sahiplerinin hangi nitelikteki kişisel verilerin hangi amaçla işleneceği,

-           Kişisel verilerin hangi gerçek veya tüzel kişi ile kurum ve kuruluşlara aktarılacağı,

-           İşlenen kişisel verilerin amacına göre gerekli olan süreler,

-           Yurtdışına aktarımı öngörülen kişisel veri kategorileri ve işlenme amaç ve süreleri,

-           Kişisel veri sahiplerinin hakları,

-           Kişisel veri sahiplerinin talep ve şikayetleri yönünden başvurabileceği mercii bilgileri,

-           Kişisel verilerin korunması yönünde alınan idari, teknik ve sair tüm tedbirlere ilişkin açıklamalar,

-           İşlenme amacı ve süreleri sona erdikten sonra kişisel verilerin silinmesi, imha edilmesi veya anonim hale getirilmesi yönünde açıklamalar,

-           Kişisel verilerin işlenmesi, gizliliği, korunması ve silinmesi/imha edilmesi/ anonim hale getirilmesi süreçlerindeki kontrol ve denetim mekanizması ile işlenme amaçları ve sürelerin sona erip ermediği erdi ise verilerin ortadan kaldırılması yönünde işlemlerin yapılıp yapılmadığı yönünde periyodik kontrollerin yapılması konusundaki şirket mekanizmasına ilişkin açıklamalar.

Yukarıdaki hususları içeren şirket politikası yazılı hale getirilerek yasaya uygun şekilde uygulanması yönünde tedbirlerin alınması ve kontrollerin yapılması gerekmektedir.

5.         Aydınlatma Yükümlülüğü Kapsamında Kişisel Verileri İşlenen ya da İşlenecek Tüm Gerçek Kişiler ve Hatta Tüzel Kişiler (Yetkilileri ve personelleri yönünden) Kanun ve Hakları Yönünden Bilgilendirilmeli

6698 sayılı Kanun kapsamında en önemli yükümlülüklerden biri Aydınlatma Yükümlülüğü’dür. Kişisel Verilerin Korunması Kanunu, kişisel verilerin ne olduğu, ne amaçla ve ne kadar süre ile işleneceği, kişisel veri sahibinin haklarının neler olduğu ve talep ve şikayetlerini kime iletebileceği hususlarında mutlaka bilgilendirme yapılmalıdır.

Bu kapsamda, yukarıda belirtilen hususları içeren bir Aydınlatma/Bilgilendirme Metni hazırlanıp kişisel veri sahiplerine bizzat tebliğ edilerek imzası alınabileceği gibi internet sitelerinde, mail yazışmalarında ve şirketteki/işyerindeki bazı bölümlerdeki panolarda yer verilebilir.

Aydınlatma yükümlüğü Kanun uyarınca önem arz etmektedir. Öyle ki, yükümlülüğe aykırı davranılması halinde 5.000 TL – 100.000 TL arasında idari para cezası öngörülmüştür.

6.         Kişisel Verilerin İşlenmesi Sürecinde Yapılması Gereken İşlemler ve Alınması Gereken Tedbirler

6.1       İşçi – İşveren İlişkisi Yönünden

-           Kişisel Verilerin Korunması Kanunu hakkında personellere ve İş başvurusunda bulunan çalışan adaylarına bilgilendirme yapılmalı (Aydınlatma Yükümlülüğü),

-           İşe yeni alınacak personeller ile kişisel verilerin korunmasına ilişkin hükümler içeren iş sözleşmeleri imzalanmalı,

-           Gizlilik sözleşmeleri yapılmalı, (2018/10 Sayılı K.)

-           Periyodik olarak yetki kontrolleri gerçekleştirilmeli, (2018/10 Sayılı K.)

-           Görev değişikliği ya da işten ayrılan personellerin çalıştıkları alandaki yetkilerinin derhal kaldırılmalı, bu kapsamda bu çalışanlara tahsis edilen envanter iade alınmalı, (2018/10 Sayılı K.)

-              Kanun ve kanuna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmeli, (2018/10 Sayılı K.)

-           Daha önceden çalışmakta olan personellere ise gerekli bilgilendirmeler yapılarak daha önce işlenmiş olan kişisel verileri ve bundan sonra işlenecek kişisel verileri yönünden açık rıza alınmalı,

            Burada önemli olan husus, kişisel verilerin hangi amaçla ve ne kadar süre ile işlendiğinin/işleneceğinin açık ve kesin şekilde açıklanması ve bu yönde personelin açık rızasının alınmasıdır.

            Örnek vermek gerekirse, “Kişisel veri sahibi olarak her türlü kişisel verimin şirketin/işyerinin yönetimi, işleyişi, şirket içi ve şirket dışı prosedürleri ile yasa doğrultusunda ilgili hükümler gereğince belirli bir süre ile işlenmesine muvafakat ediyorum” şeklinde alınan muvafakatnamenin 6698 sayılı Kanun uyarınca geçerliliği olmayıp bu yöndeki muvafakatname Kanun’un aradığı “Açık Rıza” şartını sağlamamaktadır.

Dolayısıyla, Veri Sorumlusunun kişisel verilerin işlenme amaçlarını somutlaştırabildiği ölçüde tek tek saymak ve işlenme sürelerini de belirtmek suretiyle kişisel veri sahibi olan personellerden “Muvafakat” alması “Açık Rıza” şartı yönünden uygun olacaktır.

-              Kontrol mekanizması geliştirilmeli, kişisel verilere ulaşma yetkisi olan personel sayısı sınırlandırılmalı ve bu personellere kişisel verilerin korunması ve işlenmesi ile ilgili gerekli eğitimler verilmeli,

Bu konuda bir diğer önemli husus Aydınlatma Yükümlülüğü ve Açık Rıza şartlarının ayrı ayrı gerçekleştirilmesi gerekliliğidir. Diğer bir deyişle, önce ayrıntılı ve açık bilgilendirme yapılmalı, sonrasında somut olarak ortaya konulan işleme amaç ve süreleri doğrultusunda “Açık Rıza” alınmalıdır.

6.2       Ticari İlişkiler Yönünden

-              Ticari ilişki içerisinde bulunulan kurum, kuruluş ve şirketler yönünden aydınlatma yükümlülüğü yerine getirilmeli,

-              Şirketin tarafı olduğu ya da olacağı sözleşmelere kişisel verilerin korunmasına ilişkin sorumluluk paylaşımı ile ilgili hükümler eklenmeli/ sözleşmeler revize edilmeli.

-              Şirketler arasındaki ilişkiler çerçevesinde yapılan bilgi ve ürün alışverişlerinde görevli personellerden kişisel veri işlemekle sorumlu olanlar sınırlandırılmalı ve bu personellere gerekli eğitimler verilmeli,

6.3       Teknik Önlemler

-           Teknik altyapı kontrol edilmeli gerektirdiği takdirde yeniden düzenlenmeli,

-           Şirketin internet sitesi, şirket içi mobil ve web uygulamaları denetlenmeli, kişisel verilerin korunmasına ilişkin bilgilendirmelere yer verilerek kişisel verilerin üçüncü kişiler tarafından elde edilmesini engelleyici tedbirler alınmalı,

-           Kişisel veriler kriptografik yöntemler kullanılarak muhafaza edilmeli, (2018/10 Sayılı K.)

-           Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalı, (2018/10 Sayılı K.)

-           Kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmalı, (2018/10 Sayılı K.)

-           İnternet sitesi, şirket içi mobil ve web uygulamalar gibi tüm elektronik sistemlerin güvenlik testleri düzenli olarak yapılmalı ve test sonuçları kayıt altına alınmalı, (2018/10 Sayılı K.)

-           Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmalı, yazılımların güvenlik testleri düzenli şekilde gerçekleştirilmeli, (2018/10 Sayılı K.)

-           Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmalı, (2018/10 Sayılı K.)

-           Sipariş ya da iş başvurusu gibi müracaatların internet sitesi ya da elektronik başka yollarla yapılabilmesi halinde internet sitesine ya da başvuruların yapılabildiği diğer elektronik ortamlara bu başvuru formlarından önce Aydınlatma Metni ve Muvafakatname’nin okunması ve kabul edilmesini zorunlu hale getiren, aksi halde başvurular için bilgi girişini kabul etmeyen düzenlemeler yapılmalı.

-           Şirket içi uygulamalarda geçmiş ve güncel kişisel veri kayıtlarına erişimi sağlayan bölümler için güvenlik duvarı oluşturulmalı ve bu kayıtlara erişim konusunda yetkili personeller sınırlandırılmalı,

-           Kişisel verilerin işlenme amacı ya da yasal saklama süreleri sona erdiğinde kişisel verilerin silinmesi, imha edilmesi veya anonim hale getirilmesi suretiyle ulaşılmasının engellenmesi yönünde gerekli önlemler alınmalı,

-           Şirket içi yazışma ve iletişim ağının güvenliğinin sağlanmalı,

-           Yukarıda belirtilen ve işin niteliğinden kaynaklanan tüm teknik tedbirlerin alınması ve bu tedbirlere ilişkin kontrol ve denetim mekanizması oluşturulmalı.

6.4       Özel Nitelikli Kişisel Veriler Yönünden Yeterli Tedbirler

Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih 2018/10 Karar sayılı kararı ile Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler maddeler halinde sayılmıştır. Bu maddeler, ilgili olduğu bölüme göre yukarıda “2018/10 Sayılı K.” notu ile yukarıda belirtilmiştir. Yukarıdaki maddelere ek olarak diğer önlemler aşağıda sayılmaktadır:

6.4.1    Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

-           Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

-           Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

6.4.2    Özel nitelikli kişisel veriler aktarılacaksa;

-           Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı,

-           Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı ortamda tutulmalı,

-           Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmeli,

-           Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmalı ve evraklar “gizlilik dereceli belgeler” formatında gönderilmeli.

7.         Kişisel Verilerin İmha Edilmesi

7.1       Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

7.2       Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

7.3       Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin işlenme amaçlarının ortadan kalkması ve/veya kişisel verilerin korunmasına ilişkin şirket politikasında belirlenen sürelerin sonunda kişisel veriler, veri sorumlusu tarafından re’sen veya kişisel veri sahibinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kişisel veri sahibinin bu yöndeki talebine veri sorumlusu tarafından en geç otuz gün içerisinde cevap verilmesi gerekir. Kişisel veri sahibinin talebinin reddedilmesi halinde (kişisel verilerin işlenme amacı ortadan kalmamış, işlenme süreleri sona etmemişse vb.) reddedilme gerekçesi veri sahibine açıkça bildirilmelidir. 

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirmelidir.

Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirmekle yükümlüdür.

Kişisel Verilerin Korunması Kanunu kapsamında izlenilmesi gereken yol yukarıda maddeler halinde belirtilmiştir. Yukarıdaki madde ve açıklamalar doğrultusunda her bir kurum, kuruluş, şirket ve gerçek kişinin bu doğrultuda politika oluşturması ve en kısa sürede eksiklikleri tamamlamak suretiyle politikayı uygulamaya koyması uygun olacaktır.