KVK Uyumluluk Kapsamında Hukuki Metinler

 

Kişisel Verilerin Korunması Kanunu kapsamında Veri Sorumlusu sıfatını haiz olan şirketler veya gerçek kişiler tarafından yapılması gereken bazı yükümlülükler mevcuttur. Bu yükümlülüklerin yerine getirilmesi hem Kanun’a uyum sağlayabilmek adına yürütülen KVK Uyum Projeleri kapsamında önem arz etmektedir hem de çalışanlar ve vatandaşlar açısından da farkındalık yaratılmaktadır.

Yükümlülükler şirketlerin büyüklüğü, etki alanı, faaliyet gösterdikleri sektörler gibi belli parametreler kapsamında değişiklik gösterebilmektedir. Lakin temelde Projeler kapsamında hazırlanması gereken hukuki metinler birbirine benzemektedir. En temel sorumluluk olarak kişisel veri envanteri örnek verilebilir. Bunun akabinde kimi zaman sözleşmelere bazı ek maddeler eklenebileceği gibi kimi zaman bu sözleşmelerin eki mahiyetinde olacak taahhütnameler de taraflar arasında imzalanabilmektedir.

KVK Uyumluluk Projesi kapsamında oluşturulması gereken metinler şu şekilde sıralanabilir:

• Kişisel Veri Envanteri

Kanun kapsamında oluşturulması gereken, veri yönetimi hususundaki çalışmaların açık ve belirli olmasını sağlayan ve bir başlangıç noktası olarak da nitelendirilen kişisel veri envanteri, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmaktadır.

KVK Uyumluluk Projesi kapsamında çalışmaya başlanıldığında karşınıza çıkacak en önemli sorunlardan biri herhangi bir faaliyet ve işleme amacı ile ilişkilendiremediğiniz veriler olacaktır. Bu noktada Kurul, veri sorumlularına minimizasyonu önermektedir. Çünkü şirket yapınız içerisindeki verilere sahip olmak kadar onları güvenli veri tabanlarında saklamak da önem arz etmektedir.

Veri Sorumluları Sicili Hakkında Yönetmelik’in 5. maddesinde yer alan hükme göre “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicil’e açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” şeklinde ifade edilmektedir. Kanunun lafzından da anlaşılacağı üzere Kurum’a yapılacak bildirimlerin hukuki dayanağı organizasyonunuzun verilerini açıkça gösteren bir kişisel veri işleme envanteridir.

• Sözleşmeler

Şirketinizin çalışanlarınız ile akdettiği İş Sözleşmesi, tedarikçileriniz vb. kimseler ile imzaladığı Satış Sözleşmesi gibi matbu sözleşmelerin mevcut şekli kimi zaman Kanun’a uyumluluk kapsamında yeterli olmamaktadır. Bu nedenle KVK Uyum Projesi sürecinde hukukçu danışmanlar tarafından hazırlanan ek hükümlerin ilgili akitlere eklenmesi gerekmektedir. Mevcut çalışanlarınız veya tedarikçileriniz ile daha önceden yaptığınız sözleşmeler bakımından ise sözleşmeye ek protokoller oluşturarak sürecin daha sağlıklı ilerlemesini sağlayabilirsiniz.

İlgili kişilerin veri sorumlularına başvuru usulü düzenlenirken ikrar edilen Başvuru Formu vb. formlar için de KVK kapsamında düzenlemeler yapılmalıdır. Tıpkı sözleşmeler özelinde olduğu gibi bu formların da Kanun’da belirtilen hükümlere uyumluluğu için maddeler eklenmelidir.

• Taahhütnameler

Veri aktarımı yapılan üçüncü kişiler ile veri sorumlusu arasında aktarılan kişisel verilerin güvenliği sağlanmalıdır. Bu güvenliğin yanı sıra tarafların yükümlülüklerini içeren Veri Aktarım Taahhütnameleri imzalanmalıdır. Bu taahhütnameler örneğin; topluluk şirketleri arasında veri aktarımı olan hususlara ilişkin imzalanmalıdır. Bu bağlamda toplu veri aktarımı yapılan tüm üçüncü taraflar ayrıca değerlendirilmelidir.

• Politika ve Prosedürler

Politika ve prosedürler uyum süreçlerinin hem şirket içi farkındalık aşaması hem de üçüncü kişilerin bilgilendirilmesini sağlama amaçlı fazlasıyla önemlidir. Bu noktada her şirket özelinde yeniden değerlendirilerek hazırlanması gereken Kişisel Verilerin İşlenmesi Politikası, Gizlilik Politikası ve Çerez Politikası gibi metinler benimsenerek her bir çalışanın farkındalığının arttırılması ve aktif bir biçimde uygulanması sağlanmalıdır.

• Aydınlatma Metinleri

Kanun kapsamındaki yükümlülüklerden bir diğeri ise kişisel verisi işlenen ilgili kişilere ilişkin Aydınlatma Yükümlülüğünün yerine getirilmesidir. Bu kapsamda ilgili kişilere iletilmesi gereken Aydınlatma Metinlerinin ilgili kişilere veya faaliyetlere göre farklılaşan konular göz önünde bulundurularak dikkatle hazırlanması gerekmektedir.

Aydınlatma yükümlülüğü yerine getirilirken veri sorumluları;

• a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
• b) Kişisel verilerin hangi amaçla işleneceği,
• c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle mükelleftir.

Konu ile ilgili hususlar Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulması Gereken Usul ve Esaslar Hakkında Tebliğ’de detaylı olarak düzenlenmiştir.

• Açık Rıza Metni

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır. Kanun kapsamında açık rıza hususuna ilişkin bazı şartlar sıralanmış ve bu şartları yerine getirmeyen veri sorumlularının ilgili kişiden aldıkları açık rızanın geçersiz olacağı önemle vurgulanmıştır. İlgili şartlar şu şekilde sıralanabilir:

• a) Açık rıza belirli bir konuya ilişkin olmalıdır,
• b) Açık rıza bilgilendirmeye dayanmalıdır,
• c) Açık rıza özgür iradeyle açıklanmalıdır.

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerçek kişilerin kişisel verilerinin, veri sorumluları tarafından işlenebilmesi, birtakım kurallara bağlanmıştır. Bu kurallardan temel olanı ise açık rızadır. Veri sahibinin kişisel verilerini faaliyetleri kapsamında işlemek isteyen veri sorumlusu ya Kanun’da açıkça ikrar edilmiş hallerden birine dayanmalı ya da açık rıza almalıdır. Kanun’da yazılı olan haller şu şekildedir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getire-bilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Sayılan koşullardan biri mevcut değil ise kişisel verilerin işlenebilmesi için açık rıza alınması gerekecektir. Örneğin; Adli sicil bilgisi, sağlık verisi, kapı giriş çıkışlarında bulunan biyometrik veriler özel nitelikli kişisel veriler olup kanunlarda açıkça öngörülmediyse açık rıza alınarak işlenmesi gerekmektedir. Sağlık verilerinin ise sır saklama yükümlülüğü bulunun doktor, hemşire, iş yeri hekimi vb. kişiler tarafından işlenmesi, bu kişiler tarafından işlenmesi mümkün değil ise açık rıza alınması gerekmektedir.

Livanur Sefer