Kişisel Verilerin Korunması Kanunu’nun Şirketlere Etkisi

Kişisel Verilerin Korunmasında Şirketlerin Alması Gereken Önlemler

Öncelikle şirketlerin kişisel veri işlenmesi alanında bir envanter çıkarmaları gerekmektedir.  Firma içinde kimler, kimlere ait hangi kişisel verileri işliyor, saklıyor ve bu kişisel verileri başkaca üçüncü kişilere aktarıyorlar mı yoksa aktarmıyorlar mı?
Bu sorulara çok net bir şekilde yanıtlar verilmelidir. Çünkü ancak tehlikenin boyutlarını bildiğimiz takdirde alınacak önlemleri de doğru bir şekilde belirlememiz mümkün olacaktır.

Kişisel verilerin işlenmesi ve saklanması Şirketler açısından potansiyel bir sorumluluk kaynağıdır.  Bu nedenle, mevcut uygulamalarda işlenen ve saklanan kişisel verilerin ne kadarının işlerin aksamadan devam etmesi için gerekli olduğunun, ne kadarının kanunen getirilmiş bir zorunluluk çerçevesinde işlenip, saklandığının belirlenmesi de gereklidir.  Eğer bir kişisel verinin işlenip, saklanması şirketin operasyonları açısından gerekli veya kanunen zorunlu değilse, o verinin alınmamasını, bir şekilde alınırsa bile hemen silinmesini temin etmek gereklidir.

Şirketlerin kişisel verileri koruma ihtiyacına baktığımızda koruma ihtiyacı olan üç grup bulunmaktadır;

  1. Çalışanlarına ait kişisel veriler
  2. Beraber iş yaptığı iş ortakların veya danışmanlarının kişisel verileri
  3. Müşterilerine ait kişisel veriler

Bütün bu verilerin muhafazasını sağlamak veri koruması kanununun hayata geçmesiyle birlikte şirketler için bir yükümlülük haline gelecek. Kanun kişisel verileri korumakla yükümlü şirketlere “uygun güvenlik düzeyini sağlamaya yönelik her türlü teknik ve idari tedbirleri alma” zorunluluğu getiriyor. Güvenlik düzeyini sağlamak için öncelikle şirket içerisinde ihtiyacın ve sorumlulukların belirlenmesi gerekiyor. Sorumlular belirlenip konuya şirket içerisinde liderlik edecek ekip oluşturulduktan sonra ekibin hangi veriyi nasıl güvence altına alacağını anlatan süreçlerin oluşturulması gerekiyor. Daha sonra bu süreçlerin etkin bir şekilde çalışmasına yardımcı olacak teknolojinin tesis edilmesi gerekiyor. Son olarak da kurulan bu yapının tasarlandığı gibi çalıştığından emin olmak için düzenli denetimlere tabi tutuluyor olması gerekiyor.

Şirketler kişisel verilerin işlenmesi ile ilgili mevcut durumun ve olası risklerin tespit ettirilmesi ve gereklik yapıların kurulmasında sonra ilgili kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri hazırlanmalı, çalışanlara gerekli şirket içi eğitimler verilmeli ve şirketler tarafından çalışanlar, müşteri ve iş ortakları ve veri işleyenlerle imzalanmış ve/veya imzalanacak sözleşmelere ilişkin gerekli tadil çalışmaları yapılmalıdır.

6698 sayılı Kanuna Göre Şirketlerin Kurması Gereken Yapılar

Kişisel verileri işleyen şirketler veri sorumlusu olarak şirket içinde veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olacaktır. Veri sorumlusu olarak şirketler bir gerçek veya tüzel kişiyi veri işleyen sıfatıyla tayin edecektir. Kişisel Verilerin Korunması Kanunu ile veri sorumlusuna belirli görev ve sorumluluklar getirilmiştir.

İşlenen Kişisel Verilerin Silinmesi /Anonim Hale Getirilmesi ve Veri Sahibinin Hakları

Bu bağlamda, verinin kanuna uygun işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. İlgili kişiler, kendilerine ait kişisel verilerinin silinmesi veya anonim hale getirilmesini veriyi işleyen ilgili şirketten talep edebilecektir. Herhangi bir kişi veri sorumlusuna başvurarak kendisi ile ilgili kişisel veri işlenip işlenmediğine, işlendiyse, işlenen bilginin ne olduğuna, işleme amacına ve bu amaca uygun kullanılıp kullanılmadığına dair bilgileri talep edebilir. Bununla birlikte, kendisine ait kişisel verilerin üçüncü kişilere aktarılıp aktarılmadığını veya yurtdışına transfer edilip edilmediğini hususlarına ilişkin veri sorumlusundan bilgi talep edebilecektir. Veri sorumlusunun en önemli yükümlülüklerinden biri kendi kurum veya kuruluşunda Kişisel Verilerin Korunması Kanunu’nun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmaktır.

Verilere Erişiminin Şirket İçerisinde Kısıtlanması

Bilgi güvenliğinin üç temel ilkesi vardır: gizlilik, bütünlük ve erişilebilirlik. Bir verinin güvenliğinin sağlandığını söyleyebilmemiz için gizliliği ve tamlığı korunmalıdır ve bununla birlikte gerektiğinde erişilebilir olmalıdır. Şirketlerin sahip olduğu bütün verilere erişimi kısıtlamadan önce şirketler ilk olarak sahip olduğu verileri ortaya koymalıdırlar. Veriler teker teker önem sırasına dizildikten sonra hangi verinin nasıl korunacağına karar vermeleri gerekir. Güvenlik önlemlerini de yapılan bu veri sınıflandırması çalışması sonrasında ortaya çıkan ihtiyaç doğrultusunda almaları gerekmektedir. Şirketlerin bazı verileri bütün çalışanlar tarafından bilinmesi gerekirken bazı verilere sadece kısıtlı sayıda erişimin gerçekleşmesi gerekiyor olabilir. Kimin nereye erişeceğine karar verirken mümkün olan minimum yetki prensibi benimsenmelidir. Yani şirkette kimseye işlerini yürütebilmesi için ihtiyacı olandan daha fazla erişim yetkisi verilmemelidir. Verilen erişim yetkileri de düzenli olarak kontrol edilmelidir.

Kişisel Verileri Hedefleyen Siber Saldırılara Karşı Önlemler

Şirketler saldırıya hazırlıklı olmak için korunmaya çalışılan varlıklarının nerelerde olduğunu tespit etmiş olmalıdır. Söz konusu varlıkların şirketlere hangi kanallardan geldiğini, şirket içinde nerelerde gezdiğini ve terk ediyorsa eğer kurumu hangi kanallarla terk ettiğini bilmeleri gerekir. Verinin şirketteki yaşam döngüsü bu şekilde belirlendikten sonra ancak hangi noktada nasıl bir güvenlik önlemi koyulacağı doğru olarak değerlendirilebilir.

Kişisel Verilerin Güvenliği Konusunda Çokuluslu Şirketlerin Sorumluluğu

Şirketlerin uluslararası bir gruba bağlı olması buradaki şirketin ve yetkililerinin sorumluluklarını kaldırmamaktadır. En fazla eğer kişisel verilerin işlenmesi ile ilgili talimatlar doğrudan yurtdışından geliyorsa yurtdışındaki merkezin de sorumluluğunun olması söz konusu olabilecektir. Burada özellikle kişisel verilerin yurtdışına çıkarılması hususuna temas etmek gerekmektedir. Kişisel verilerin yurtdışına çıkarılmasında çok hassas olmak ve bu konuda kriterleri iyi uygulamak gerekiyor. Kanun uyarınca kişisel verileri yurtdışına çıkarmak için öncelikle kişinin açık rızasının alınması ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması gerekiyor. Yeterli korumanın bulunmadığı takdirde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve bu konuda da Kurul’un izninin alınması gerekiyor.

6698 sayılı Kişisel Verilerin Korunması Kanunu  uyarınca Kurul yeterli korumanın bulunduğu ülkeleri ilan edecek ve eğer ilan ettiği ülkeler arasında yer almayan bir ülkeye aktarım yapılacak ise; bu durumda Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri bir bütün olarak değerlendirdikten ve ihtiyaç duyarsa ilgili kurum ve kuruluşların da görüşlerini aldıktan sonra karar verecektir. Bu nedenle aynı gruba dahiliz diye kişisel verileri yurtdışındaki merkeze veya bağlı ortaklığa çıkartmak tek başına bir sorumluluk nedeni olabilecektir.

Şirketlerin Veri İhlalini Tespit Etmesi Halinde Yapması Gerekenler

Kişisel Verilerin Korunması Kanunu ile birlikte Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu kurulacak ve söz konusu Kurul şikayet halinde ya da ihlal iddiasını öğrenmesi durumunda re’sen ihlali gerçekleştiren şirketin kayıtlarına ilişkin inceleme yapabilecektir.

Eğer bir ihlal söz konusu ise ve bu ihlali ilk olarak şirketin kendisi fark ettiyse, olayın üstünü kapamak yerine en kısa zamanda özellikle kişisel verileri, kanuna aykırı bir şekilde elde edilmiş veya işlenmiş kişiye haber vermesi gerekmektedir. Zamanında haber verme zorunluluğu kişisel verilerin korunması hukukunun önemli bir adım. İkinci olarak alınması gereken tedbir, bu tür bir ihlalin veya ihmalin tekrarlanmaması için gerekli önlemlerin alınması.

Eğer, kişisel verilerin ihlalini gerçekleştirenler belli ise, bu kişilere karşı hızlı bir şekilde hukuki yollara başvurulmalı ve dava açılmalıdır.

Veri ihlali yaşandıktan sonra başarılı bir şekilde teknik analizi yapmak, ihlalin nasıl gerçekleştiğini anlamak ve zararın boyutunu tespit edebilmek en önemli noktalardır. Başarılı bir şekilde teknik inceleme yapabilmek için şirketlerin bu gibi durumlar için hazırlıklı olması ve ihlal yaşandıktan sonra nasıl hareket edileceğinin tatbikatını yapmış olmaları gerekir.

İhlale ilişkin hukuki geçerliliği olan kanıtların toplanması uzmanlık gerektiren bir konudur. Bunun için bu işin uzmanı teknik ekiplerden yardım alınmalıdır. Konu uzmanı kişilerin olaya müdahale ve/ veya güvenlik ihlali incelemesi yapabilmesi için inceleme yapılabilir bir zemin şirket tarafından oluşturulmuş olmalıdır. Kişisel verilere erişim kayıtları, kişisel verilerin tutulduğu veya işlendiği altyapılara erişim kayıtları gibi kritik veri ve sistem üzerinde tutulan kayıtların muhafaza ediliyor olması gerekir. Ancak bu şekilde başarılı bir inceleme gerçekleştirilebilir

Kişisel Verilerin Korunması Kanunu’nun İş Hukuku Boyutuyla Şirketlere Etkisi

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda  iş ilişkisi veya iş sözleşmeleri ayrıca düzenlenmemiş olup iş hukukuna ilişkin açık bir istisnaya yer verilmemiş. Fakat Kanunla getirilen bir çok yeni kavram aslında iş hukukuna çok da yabancı olmayan kavramlar.

4857 sayılı İş Kanunu’nun 75. maddesi uyarınca işverenler çalıştırdığı her işçi için bir özlük dosyası düzenlemek ve bu dosyada kimlik bilgilerinin yanında İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve istendiği zaman da bunları yetkili memur ve mercilere göstermek zorundadır. Diğer bir anlatımla çalışanların kimlik bilgileri ile SGK, vergi ve sair hususlarda çalışana ilişkin olarak düzenlemek zorunda olduğu belgeler, yapmakla yükümlü olduğu bildirim ve işlemler için gerekli nitelikteki bilgilerin saklanması işverenler için kanuni bir mecburiyettir. Buradan çıkarımla iş ilişkisi bakımından öncelikli olarak şu iki sonuca varmak mümkün:

1- İşçilerin özlük dosyalarındaki bilgileri kişisel veridir.

2- Bu verilerin tutulması İş Kanunu gereği olduğundan Kanuna göre “işlemenin kanunlarda açıkça öngörülmesi” hali söz konusudur ve dolayısıyla bunların öngörülen amaç kapsamında işlenmesi için işçiden ayrıca rıza almaya gerek bulunmamaktadır.

İş Kanunu’nun ilgili maddesinde ayrıca “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”  denmektedir. Buna göre işveren, kişisel veriler hukuka ve dürüstlük kuralına uygun olarak işlemeli,işleme doğru ve güncel olmalı,kişisel verileri  …açık ve meşru amaçlar için işlemeli, işleme sınırlı ve ölçülü olmalı, kişisel bilgiler hangi amaçla edinildiyse o amaçla işlemeli, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar veya ilgili mevzuatta özel bir süre öngörülmüşse o kadar muhafaza etmelidir. İşveren tüm bu ilkelere paralel olarak işçi ile ilgili verileri iş sözleşmesi ve iş ilişkisinin izin verdiği ölçüde kullanmakla yükümlüdür.

İşveren gerçekten de işçi hakkında elde ettiği bilgileri aralarındaki iş sözleşmesinin her iki tarafça ifa edilebilmesi için gerekli olduğu ölçüde kullanabilecektir. Ancak sadece bu amaç ve kapsamla sınırlı olmak üzere. Kanunda ayrıca rıza almaya gerek olmadığı öngörülen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hali kanımızca işçi-işveren arası hizmet sözleşmeleri için de geçerli. Diğer yandan; iş ilişkisi amaç ve kapsamını aşan her türlü işleme için Kanun ile getirilen pozitif yükümlülük gereği işçinin bilgilendirilmesi ve açık rızasının alınması gerekecektir.

İş İlişkisinin Kurulması ve Devamına İlişkin Süreçlerde Şirketlerin dikkat Etmesi Gerekenler

Bu noktada özellikle grup şirketler arası işçilere ait bilgi paylaşımı ve aktarımı süreçlerine dikkat etmekte fayda var. Kanundan anlaşıldığı kadarıyla Türkiye’de yerleşik yurtdışı merkezli iştiraklerin, işçileri ile ilgili verileri yurt dışındaki genel merkeze veya diğer iştiraklere aktarması ise çok daha hassas bir konu, zira verilerin yurt dışına aktarılması ek bazı şartlara bağlanmıştır.

Kanun uyarınca dikkat edilmesi gereken bir diğer nokta ise; gerek Kişisel Verilerin Korunması Kanunu gerekse İş Kanunu hükümlerine uygun olarak işlenmiş olmasına rağmen, işlemeyi gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi zorunluluğu. Dolayısıyla iş ilişkisinin sona ermesi halinde, işçi ile ilgili derdest bir dava, inceleme, soruşturma yok ise, SGK, vergi ve sair hukuki ve mali yükümlülüklere ilişkin yasa hükümleri uyarınca da bilgilerin saklanması, kullanılması zorunluluğu sona ermiş ise, işveren işçiye ait elindeki kişisel verileri silmek, yok etmek veya anonimleştirmek zorundadır. Kanuna göre bir verinin anonim hale getirilmiş sayılması için kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi gerekiyor. Yani anonim hale getirilerek tutulacaksa, bu bilgilerin kiminle ilgili olduğunu tespit edebilmek hiçbir şekilde mümkün olmamalı.

Kanun ile tüm şirketler için geçerli olmak üzere getirilen bir başka yükümlülük ise Kişisel Verilerin Korunması Kurumu gözetiminde tutulması öngörülen Veri Sorumluları Siciline kaydolma zorunluluğu. Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, verilerin yapılandırılarak işlendiği kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüm gerçek ve tüzel kişiler Kanun kapsamında veri sorumlusu olarak kabul ediliyor. Kişisel verileri işleyen tüm gerçek ve tüzel kişiler verileri işlemeye başlamadan önce Sicile kaydolmak zorunda. Şimdilik bu konuda öngörülen bir istisna yok. Ancak Kanuna göre; kişisel verinin niteliği, veri işlemenin kanundan kaynaklanması gibi belirlenecek objektif kriterlere göre kayıt zorunluluğuna daha sonra bir istisna getirilebilir. Bu kayıt esnasında veri sorumlusunun kim olduğu, kişisel verinin hangi amaçla işleneceği, veri konusu kişi grubu, kişisel verilerin aktarılabileceği taraflar, yabancı ülkelere aktarımı öngörülen kişisel verilerin bulunup bulunmadığı, veri güvenliği için alınan tedbirlerin ne olduğu, veriler hangi amaçla işleniyor ise bu amaç için gereken azami sürenin ne olduğu gibi son derece ayrıntılı hususları içeren bir bildirim yükümlülüğü var.

İş Başvurusu Amacıyla Şirketlere Verilen CV’lerdeki Kişisel Verilerin Korunması

Kişi CV’sini Şirkete bizzat kendisi vermiş olsa dahi bu bilgiler Şirketçe sadece “başvuru” amacı ile sınırlı olmak üzere kullanılabilir. Bu amacı aşacak şekilde verilerin kullanılması, üçüncü kişiler ile bu verilerin ticari bir ürün olarak paylaşılması gibi işlemler gerçekleştirebilmek için, ilgili kişinin verisinin hangi amaçla, ne kapsamda ve ne kadar süre ile işleneceği, nasıl kullanılacağı, kimlerle paylaşılabileceği hususlarında bilgilendirilmesi ve açık rızasının alınması gerekir.

İşçi bilgilerini elinde bulunduran Şirketin veri sorumluları kişisel verilerin elde edilmesi sırasında ilgili kişilere kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve haklarının neler olduğu konusunda bilgi vermekle yükümlüdür.

İşçiler her zaman Şirket’in veri sorumlusuna başvurarak kişisel verilerin işlenip işlenmediğini öğrenme, kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, işlenen verileri münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme haklarını kullanabileceklerdir.

Kişisel Verilerin Korunması Kanunu’na Aykırı Filler Yapılması Halinde Şirketleri Ne Gibi Yaptırımlar Bekliyor?

Kanun hukuka aykırı olarak kişisel verilerin işlenmesi ve öngörülen hükümlerin ihlali halinde Türk Ceza Kanununda öngörülen suçlara atıf yapmaya ek olarak ciddi idari yaptırımlar da öngörüyor. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan kişiler ise ayrıca zararlarının giderilmesini talep edebilecek. Dolayısıyla tüm tarafların bu yazımızda işaret ettiğimiz hususları sıkı şekilde gözden geçirerek, ilgili iş ve süreçlerin uyumlu hale getirilmesi ve öngörülen yükümlülüklerin yerine getirilebilmesi için tedbir almak üzere bir an önce hazırlık çalışmalarına başlamasında fayda olduğu muhakkak.

Kişisel Verilerin Korunması Kanunu’ndaki hükümlere aykırılık halinde Kişisel Verileri Koruma Kurumu 1.000.000 TL’ye kadar idari para cezası kesebilecektir. Ayrıca, Türk Ceza Kanunu tahtında aykırılık suç teşkil ediyorsa (kanuna aykırı, işleme, başka kişilere verme, silmesi gerekirken silmeme) 1 yıldan 4,5 yıla kadar hapis cezasına hükmedilebilecektir. Bunlarla birlikte, ilgili kişiler genel hükümlere göre tazminat talebinde bulunabilirler.

Kişisel Verilerin Korunması Kanunu’nun 8. (Kişisel verilerin aktarılması), 9. (Kişisel verilerin yurt dışına aktarılması), 11. (İlgili kişinin hakları), 13. (Veri sorumlusuna başvuru), 14. (Kurula şikâyet), 15. (Şikâyet üzerine veya resen incelemenin usul ve esasları), 16. (Veri Sorumluları Sicili), 17. (Suçlar) ve 18. (Kabahatler) maddeleri Resmi Gazete’de yayımı tarihinden 6 ay sonra yürürlüğe girecektir. Yayım tarihinden önceden işlemiş olan kişisel veriler için ise iki yıllık uyum süresi öngörülmektedir.