Av.Erdem Arda Akay

Genel Olarak

»Gelişen ve değişen teknolojiyle birlikte sosyal ve ekonomik alanda yaşanan dönüşüm sonucu bir hizmetin sunumu, bir görevin yerine getirilmesi vb. etkileşimlerle bağlantılı olarak bireylere ilişkin veriler gerçek ve tüzel kişiler tarafından elde edilmektedir.

»Sosyal ve ekonomik alanda uzun yıllardır işlenmekte olan kişisel verilere ilişkin hukuk alanında da yapılan çeşitli çalışmalar sonucu kişisel verilerin işlenmesi ve korunması hususu kanuni bir zemine oturtulmuştur. 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte gerçek ve tüzel kişilerin etkileşimde oldukları kişilere ait kayıt altına alınan verilerin nasıl işlenebileceği düzenlenmiştir.

»6698 sayılı bu Kanun, 95/46/EC Sayılı Kişisel Verilerin Korunmasına İlişkin Avrupa Birliği Direktifi, daha sonra yayımlanarak yürürlüğe giren ve direktifin yerini alan AB Parlamentosu ve Konseyi’nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü ile 28 Ocak 1981 tarihinde Strazburg’da imzalanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ile uyumlu bir yasal düzenlemedir.

Veri sorumlusu ve veri işleyenler kimdir ?

»6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile veri sorumlusu ve veri işleyen kavramları da kişisel verilerin korunması bağlamında hayatımıza girmiştir. Kimlerin veri sorumlusu, kimlerin ise veri işleyen konumunda olduğunu kanun açıkça ortaya koymuş ve gri alan bırakmamaya özen göstermiştir. 6698 sayılı Kanun’da veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanırken veri işleyen ise “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak gösterilmiştir.

»Bu iki kavram kimi durumlarda aynı gerçek ve tüzel kişide birleşebileceği gibi yaygın olarak ayrı iki gerçek veya tüzel kişi olarak da karşımıza çıkabilmektedir. Buradaki temel ayrım; veri sorumlusu kişisel verilerin elde edilmesinden saklama süresinin sona ermesine kadar geçen süre içerisinde eldeki kişisel veriler üzerindeki her türlü işleme ve eyleme ilişkin karar alma yetkisine sahip kişiyken veri işleyen, veri sorumlusunun fiili hakimiyeti altında onun direktiflerini yerine getiren gerçek veya tüzel kişidir.

Örneğin; satış ve pazarlama alanında faaliyet gösteren bir X firması, piyasaya sürülen ürünün hedeflenen müşteri kitlesi üzerindeki etkisini ve bu etkinin satış oranlarına yansımasını tespit etmek için bir araştırma şirketiyle çalışmaktadır. Yapılacak saha araştırmasında hedeflenen müşteri kitlesinin kimler olacağı, bu kişilerden hangi kişisel verilerin toplanacağı, toplanan verilerin ne süreyle işlenip saklanacağı X firmasının tasarrufundadır ve X firması veri sorumlusu olarak nitelenecektir. Araştırma şirketi ise ancak X firmasının talimatları doğrultusunda araştırmayı gerçekleştirebilmektedir ve kişisel verilerin işlenmesi bağlamında veri işleyen konumundadır.

Kişisel Verilerin Korunması Bağlamında Hukuk Büromuz Tarafından Hangi Hizmetler Sunulabilmektedir ?

»Yürürlüğe giren kanun sonrası veri sorumlusu sıfatını alan tüzel kişiler bakımından bunun en önemli sonucu olarak veri sorumlusu şirket ve kuruluşlara, kanuna göre Veri Sorumluları Siciline kaydolma zorunluluğu getirilmiştir. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisnalar getirilebilmektedir.

»Tüzel kişiler bakımından, 2016 yılında yürürlüğe giren KVK Kanunu’na uyum süreci, yerine getirilmesi gereken birtakım prosedürleri içermektedir. Bu aşamada ilk olarak karar verilmesi gereken, hayata geçirilecek uyum projesinin kapsamına, şirketin de hacmini göz önünde bulundurarak, karar vermek ve uyum projesinin kimlerle yürütüleceğini belirlemektir. Kişisel verilerin işlenmesi veri sorumluları açısından tek seferlik bir iş değil; faaliyetleri kapsamında sürekli olarak gerçekleştirmek zorunda oldukları bir işlemdir. Bu sürekliliğin sağlanabilmesi ve atılan adımların kanuna uygun olabilmesi adına hukukçu uzmanlardan ve veri güvenliği uzmanlarından yardım alınması isabetli olacaktır.

»Kişisel Verilerin Korunması alanında çalışan hukuk büromuzun yaptığı iş temel olarak müvekkilin yetkili merciler önünde temsili ve kişisel verilerin korunmasına ilişkin kendilerine danışmanlık sağlanmasıdır. Bu temsil ve danışmanlık kimi zaman geçici ve kısa süreli bir sorun üzerine gerçekleştirilirken, kimi zaman ise şirketler açısından geniş kapsamda kişisel veri mevzuatına uyum projeleri yürütmek şeklinde de hayata geçebilmektedir. Somut durum ne olursa olsun uzman avukat kadromuz, müvekkilin çıkarları doğrultusunda onun lehine olabilecek şekilde hareket edecek ve hayata geçirilmek istenen plan ve stratejilerin yasal sınırlar çerçevesinde gerçekleştirilebilmesine yardımcı olacaktır.

Gerek gerçek kişiler gerek ise şirketler ve kurumlar bazında, kişisel verilerin korunması alanında çalışan avukatlarımız tarafından sunulan danışmanlık ve hizmetler şu şekilde sayılabilir:

Kişisel Verilerin Korunması Kanunu’nun Gereklerine Uygun ve Kapsamlı Bir Strateji Geliştirmek

»Gerçek ve tüzel kişilerin, bünyesinde çalışan kişilerin ve müşterilerinin kişisel veri niteliğindeki bilgilerini kendi sistemlerine işleyebilmeleri Kişisel Verilerin Korunması Kanunu ile çizilen sınırlar dahilinde gerçekleştirilebilecektir. Bu kapsamda gerçek ve tüzel kişiler Kişisel verilerin işlenmesinde göz önünde bulundurulması gereken birtakım ilkeler mevcuttur. Buna göre kişisel verilerin işlenmesi işlemi hukuka ve dürüstlük kuralına uygun yapılmalı; işlenen veriler doğru ve güncel olmalı; veriler belirli, açık ve meşru amaçlar için işlenmeli; işlendikleri amaçla sınırlı ve ölçülü olmalı; işlenen veriler ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

»Bu ilkelere aykırı bir veri işleme yapılması halinde veri sorumlusu şirket idari ve cezai yönden sorumluluk altına girecektir. Böyle bir zarardan kaçınmak ve mevzuata uygun bir veri işleme süreci yürütmek adına konunun uzmanı bir avukatla çalışıp veri sorumlusu şirkete uygun bir veri işleme stratejisi belirlenmesi isabetli olacaktır. Önemle belirtmek gerekir ki kişisel verilerin işlenmesine ilişkin belirlenecek strateji, yaptırımlara karşı günü kurtaracak bir hamle değil; tüzel kişiliğin veri işlenmesine ilişkin sahip olacağı geleneğin ilk adımını atmak olacaktır.

Müşterilerin Verilerinin Gizlilik Sözleşmelerine ve Açık Rızaya Dayanmasına, Verilere Erişim Prosedürlerine ve Aydınlatma Yükümlülüğüne İlişkin Gerekli Belgelerin Hazırlanması

»Kanun veri sorumlusu olarak gerçek veya tüzel kişi ayrımı yapmasa da kişisel verileri koruma altında olan kişiler, yani kanunun nitelendirmesiyle “ilgili kişi”, ancak gerçek kişiler olabilmektedir. Bu bağlamda tüzel kişilik bünyesinde çalışan veya tüzel kişiyle etkileşime giren gerçek kişilere ilişkin de yerine getirilmesi gereken bazı yükümlülükler mevcuttur. Öncelikle, kişisel verileri işlenecek olan gerçek kişilerin bu işleme dair açık rızalarının alınması gerekmektedir. Anayasamızın 20.maddesinin 3.fıkrasında, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Yalnızca kanunda sayılan hallerde açık rıza bulunmadan veri işleme yapılabilecektir.

»Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan, özgür irade açıklamasıdır. Bu anlamda açık rıza alınmasının ilk boyutu bilgilendirme boyutudur. Kişisel verileri işlenecek ilgili kişi sürece dair bilgilendirilmeli, ondan sonra rızasına başvurulmalıdır. Açık rızanın alınmasına ilişkin bir şekil şartı bulunmamasına karşılık ispat gücü bakımından bu rızanın yazılı veya elektronik ortamda alınması veri sorumluları açısından isabetli olacaktır.

(***) Önemle belirtmek gerekir ki, herhangi bir ürün ve/veya hizmetin sunumu, açık rıza verme ön şartına bağlanamayacaktır. Yapılan seçimin sonuçları kişisel veri ilgilisinin seçim özgürlüğünü etki altında bırakıyorsa bu durumda ilgili kişi tarafından verilen rızanın özgürce verildiğini söylemek mümkün olamayacaktır.

Aydınlatma Yükümlülüğü

»Açık rıza her ne şekilde alınacak olursa olsun, Kanun’un açık rızayı şart koştuğu durumlarda bu durum beraberinde aydınlatma yükümlülüğünü de getirecektir. Aydınlatma yükümlülüğü, veri sahibinin haklarına ilişkin şeffaf bilgilendirme olarak tanımlanabilecektir. Açık rızanın meydana gelebilmesinin üç şartından biri olan bilgilendirmeye dayalı olma hususundan, ancak aydınlatma yükümlülüğünün gereği gibi yerine getirilmesi sonucu söz edilebilecektir. Aydınlatma Yükümlülüğü’nün Yerine Getirilmesinde Uyulacak Usul ve Esas Hakkında Tebliğ 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

»Veri sorumluları veya yetkilendirecekleri kişiler tarafından yerine getirilecek aydınlatma yükümlülüğünde asgari olarak; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel verilerin toplanmasında benimsenecek yöntem ve hukuki sebebi, kişisel verisi toplanacak ilgili kişinin 6698 sayılı Kanun’un 11.maddesinde sayılan diğer haklarına dair bilgilendirme yapılmalıdır. Yükümlülüğü yerine getirirken kullanılacak metnin amaca uygun, açık, belirli ve meşru olması gerekmekte ve muğlak ifadelerden kaçınılarak sade ve anlaşılır bir dilin benimsenmesi önem arz etmektedir. Böylece ilgili kişi, kendisine dair işlenecek verinin ne amaçla ve ne şekilde işlenebileceğine dair bilgi sahibi olabilecek ve vereceği açık rıza özgür iradesinin ürünü olabilecektir.

(***) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir ve bununla ilgili olarak yaşanabilecek uyuşmazlıkta aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

»Aydınlatma yükümlülüğü sonucu elde edilen açık rızanın yanı sıra verileri işlenen ilgili kişilerle gizlilik politikası çerçevesinde, elde edilen kişisel verilerin üçüncü kişilerle paylaşılmayacağına ilişkin sözleşme imzalanacaktır. Bu husus kişi temel hak ve hürriyetleri açısından son derece önemlidir ve hak ihlallerine yol açmamak adına veri sorumlusu müvekkiller tarafından göz önünde bulundurulmalıdır.

Kişisel Verilerin Korunması Kurumu’na Yapılacak Veri Bildirimi ve Diğer İşlemlere İlişkin Başvuruların Hazırlanması

»Kanunda veri sorumlusu olarak adlandırılan gerçek ve tüzel kişiler, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Gerçek ve tüzel kişiler, veri bildiriminde bulunulmadan önce Veri Sorumluları Sicili’ne kaydolmak zorundadır. Kişisel Verilerin Korunması Kurumu bünyesindeki bu sicile kaydolan veri sorumluları, müşterilerine ve çalışanlarına dair elinde bulunan kişisel veriler hakkında bu sicile bildirimde bulunacaktır. Bununla birlikte veri sorumlularının kişisel verilere ilişkin beyanları, şikayetleri ve diğer işlemler için de Kurum’a başvuru yapılacaktır. Yapılacak olan veri bildirimi ve diğer başvuruların usule uygun gerçekleştirmesi önem arz etmektedir. Bu nedenle sürecin bu alanda çalışan avukatlar tarafından yürütülmesi olası hak kayıplarının önüne geçebilecektir.

Çalışanların Verilerinin Korunması Hakkında Şirket ve Kurumlara Danışmanlık Verilmesi, Eğitim Programlarının Düzenlenmesi

»Kişisel verilerin korunması bağlamında hayata geçireceğimiz uyum süreci projesi yalnızca Kurum’a yapılacak bildirim ve başvurularla sınırlandırılmamalıdır. Ülkemizde henüz son yıllarda gelişmekte olan kişisel veri konusu, gerek çıkarılan yönetmelikler ile gerek ise Kurum tarafından verilen kararlar ile birlikte yeni yeni çerçevesini çizmektedir. Bu alanda faaliyet gösteren avukatlar hem kendini geliştirmeye açık olmalı, hem de temsil ve danışmanlık hizmeti verdikleri müvekkilleri ile konuya dair bilgi paylaşımında bulunulmalıdır.

»Bu kapsamda, kişisel verileri işlenen ilgili kişilere yönelik yazılı aydınlatma ve bilgilendirme metinleri hazırlanabilir, eğitim seminerleri yapılarak müvekkil ve bünyesindeki çalışanlara kişisel verilerin korunmasına dair bilgilendirme yapılabilir, şirket bünyesinde çalışan ve kişisel verilerin işlenmesi sürecinde aktif rol alan personel ile düzenli olarak bir araya gelinip şirketin veri politikasını ilgilendirebilecek kurul kararları ve mevzuat değişiklikleri ile ilgili paylaşımda bulunulabilir. Unutulmaması gerekir ki kişisel verilerin işlenmesi süreci kısa süreli değil sürekli devam eden ve güncelliğini koruması gereken bir projedir. Sürece dahil tüm paydaşların veri işletim sürecinden haberdar ve bilinçli olarak çalışmaları, yürütülen veri stratejisinin daha başarılı hayata geçirilmesine yardımcı olacaktır.

Şirketlere Veri Güvenliği İhlalleriyle Başa Çıkmak İçin Prosedür Geliştirilmesine Yardımcı Olunması

»Mevzuata uygun bir şekilde kişisel verileri işleyen ve bunları veri sisteminde depolayan veri sorumlusu, aynı zamanda bünyesindeki kişisel verilerin güvenliğinden de sorumlu olacaktır. Kanunun 12. maddesinde veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir.

»Bu kapsamda veri sorumlularının, teknik ve hukuki destek ile güvenlik prosedürü geliştirmesi olası risklerin önüne geçilmesini sağlayabilecektir. İdari ve hukuki anlamda; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları uygulanması ve kişisel verilerin mümkün olduğunca azaltılması gibi tedbirlere başvurulabilecektir. Teknik anlamda ise siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel verilerin bulutta depolanması gibi tedbirler alınarak kişisel verilerin korunması sağlanabilecektir.

Şirket Bünyesinde Verilerin Yurtdışına Aktarılması Konusunda Şirkete En Uygun Yöntemin Belirlenmesi

»Kişisel Verilerin Korunması Kanunu’nun 9.maddesinde kişisel verilerin yurtdışına aktarılması hususu düzenlenmiştir. Bu hükme göre verilerin yurtdışına aktarılabilmesi için ilgili kişinin açık rızası şart koşulmuştur. Ancak kanunun 5. ve 6. maddedeki şartları sağlanmakla birlikte, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması, yeterli koruma söz konusu değil ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilecektir. Hangi ülkelerde yeterli korumanın bulunduğu Kişisel Verilerin Korunması Kurulu tarafından belirlenmektedir.

»Mevzuat hükümleri de göz önünde bulundurularak usule uygun bir şekilde verilerin yurtdışına aktarılması ve bir merkezde toplanması sağlanabilecektir. Burada en uygun yöntemin belirlenmesi için hukuki, teknik ve mali şartlar birlikte değerlendirilmelidir. Düşük maliyetli, verilerin korunması bakımından üst düzey güvenliğe sahip ve gerek ulusal gerek ise uluslararası mevzuata uygun bir prosedürün belirlenmesi müvekkil adına faydalı olacaktır.

Kişisel Verilerin Korunması Hukuku’nun ve KVK Avukatlığının Gelişimi

»Hayatın her alanında iç içe olduğumuz kişisel verilerin korunması hususu otuz yılı aşkın süredir Avrupa’da ayrı bir uzmanlık alanı olarak kendisini gösterirken, özellikle son beş yılda devasa boyutlara ulaşan elektronik ticarete dönüşüm sonrası dar bir niş alandan geniş bir çalışma alanına dönüşmüştür. Kişisel Verilerin Korunması Hukuku’na dair son yıllarda ülkemizde de yapılan çalışmalar ile birlikte AB Parlamentosu ve Konseyi’nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü ile 28 Ocak 1981 tarihinde Strazburg’da imzalanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ile uyumlu, çağın gereklerine ayak uyduran 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikleri yürürlüğe girmiştir.

»Aynı zamanda Kişisel Verilerin Korunması Kurumu bünyesinde alınan kararlar neticesinde kişisel veri hukukuna ilişkin bir karar içtihatı da yavaş yavaş oluşmaktadır. Yakın zamana kadar bölgesel ve ulusal görülen kişisel verilerin işlenmesi hususu, yukarıda da belirttiğimiz gibi internetin ve elektronik ticaretin yaygınlaşmasıyla birlikte uluslararası bir hal almış; bu durum, Kişisel Verilerin Korunması Hukuku bağlamında avukatlar ve hukuk büroları tarafından yürütülen danışmanlık ve hizmet faaliyetlerini de ülke sınırlarının dışına çıkarmıştır. Bu durum avukatlara yeni bir uzmanlık alanı sağlamakla beraber birbirinden farklı birçok yargı bölgesinin kanunlarına aşina olma zaruretini de beraberinde getirmiştir. Bu noktada ilgili alanda çalışan avukatlara düşen temel görev, müvekkillerine kişisel veri işleme sürecinin hangi aşamasında olursa olsun ihtiyaç duyduğu hukuki ve teknik desteği en hızlı ve en pratik şekilde aktarmaktır.

»Yukarıda da belirttiğimiz gibi gerçek ve tüzel kişiler bakımından veri işleme prosedürleri kısa bir zaman dilimini değil, devinim gösteren uzun bir süreci gösterir şekilde karşımıza çıkmaktadır. Bu noktada doğru adımları atmak yalnızca bugünü kazanmaya yol açmayacak, aynı zamanda yarına yatırım yapıp veri işleme işlemlerinin sağlam bir zemine oturmasına yardımcı olacaktır.