Şirketler açısından oldukça önemli yükümlülükler getiren KVKK Mevzuatı hakkında dikkat edilmesi gereken tüm detayları Avukat Ceren Gültekin anlattı.
24 Mart 2016 tarihinde kabul edilen 6698 sayılı kişisel verilerin korunması kanunu, günümüz itibari ile tüm maddeleri ile yürürlüğe girmiş bulunmaktadır. Günümüzün gelişen teknolojisinde gerçek kişilere ilişkin çeşitli veriler gerek fiziki gerekse dijital platformlarda kolayca işlenebilmekte ve aktarılabilmektedir.
Kanunla kişisel verilerin işlenmesi disiplin altına alınarak gelişi güzel ve sınırsız toplanması ve yetkisiz kişilerin erişimine açılması, ifşası engellenmekte ve böylelikle kişilik haklarının ihlali engellenmektedir. Kanuna göre yıllık çalışan sayısı 50’den fazla veya yıllık mali bilançosu 25 Milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumlularının VEBBİS olarak adlandırılan veri sorumluları siciline kayıt olma zorunluluğu vardır. Buna göre bu kıstaslardan herhangi birini sağlayan tüm veri sorumluları 31.12.2019 tarihine kadar VERBİS’e kayıt olmak zorundadır. Kanunda öngörülen zorunluluk, yükümlülükler bunlarla kısıtlı değildir.
VERBİS’e kayıt olsun ya da olmasın, veri toplayan, işleyen, aktaran tüm gerçek ve tüzel kişi veri sorumlularının kanunda öngörülen yükümlülüklere uyması ve verilerin korunması ve muhafazası anlamında gerekli idari ve teknik önlemleri alması zorunludur. Buna göre başta kişisel veri envanteri oluşturulması olmak üzere, verilerin toplanması, işlenmesi, aktarılması, imha edilmesi gibi tüm süreçleri belirleyen şirket prosedürlerinin oluşturulması, aydınlatma metinlerinin oluşturulması açık rıza beyanlarının alınması, internet sitelerinin, çağrı merkezlerinin yasaya uygun hale getirilmesi gibi idari tedbirlerin yanında, veri tabanlarındaki güvenlik riskleri tespit edilerek buna ilişkin gerekirse program ya da yazılımları almak suretiyle efektif teknik tedbirlerinde alınması gerekmektedir.
Verilerin alınması aşamasında dikkat edilmesi gerekenler esasen kanunda çeşitli ancak burada örnek vermek gerekirse; örneğin çalışanlardan açık rıza alınması gereken bazı durumlar söz konusu olabilir. Fakat şunu belirtmekte de fayda var, kanunun öngördüğü almanız gereken bilgiler açık rızaya tabii değil, fakat kanunun öngörmediği sizin aldığınız bilgiler varsa açık rıza beyanının olması gerekir. Bu sadece çalışanlar için değil, çalışan adayları için de gerekli olan bir detaydır. Açık rıza belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve kişinin özgür iradesi çerçevesinde açıklanmış olmalı. Burada şunu örnek olarak vermeyi uygun buluyorum; Örneğin asgari geçim indiriminin hesaplanması ve ödenmesi için, medeni durum bilgisi, sahip olunan çocuk sayısı gibi detayların alınması yasa gereği iken bazı sağlık bilgileri için açık rıza alınması gerekebilir. Her şekilde belirtmek gerekir ki kişilerin açık rızalarının alınmış olması veya aydınlatma metinlerinin yapılmış olması toplanan kişisel verilerin istendiği gibi işlenebileceği anlamına gelmez. Kişisel veriler her şekilde toplanma amacına uygun ve ölçülü bir şekilde işlenmeli, amacı dışında kullanılmamalıdır. Yine aynı şekilde farklı, kanuna uygun toplanmamış kişisel veri varsa derhal imhası yasanın gereğidir.
Kural olarak işlenme amacı ortadan kalkması ile kişisel verilerin silinmesi, imha edilmesi ya da anonim hale getirilmesi zorunludur. Fakat yasalarda daha uzun süreler öngörülmüş ise kanunun emrettiği sürede kişisel verilerin saklanması hem bir zorunluluktur, hem de örneğin bir işveren için hak olarak nitelendirebiliriz.
Özlük dosyası buna iyi bir örnektir. Zira personel ile iş ilişkimiz kesildiği zaman her ne kadar kişisel verilerin işleme amacı ortadan kalkmaktaysada bordroların ve ücresi gösterir belgelerin 5 yıl, sosyal güvenlik mevzuatı gereği sosyal güvenliğe dair belgelerin 10 yıl, iş kazası ve meslek hastalığına ilişkin belgelerin keza 10 yıl süre ile saklanması gerekmektedir. Yine iş sağlığı ve güvenliği yönetmeliği gereği işçilerin kişisel sağlık dosyalarının ise 15 yıl saklanması gerekmektedir. yine saklama süresinden bağımsız olmak üzere verinin muhafaza edildiği süre boyunca güvenliğini sağlamakta sahibinin bir yükümlülüğüdür.
Kanunun 5 ve 6. maddelerinde belirlenen kişisel verilerin işlenme amacının tamamen ortadan kalkması halinde kişisel verilerin silinmesi yada imha edilmesi zorunludur. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili tüm süreç kayıt altına alınır ve bu kayıtlar diğer hukuki yükümlülükler hariç olmak üzere 3 yıl süreyle saklanmalıdır.