Sosyal ağlar, bulut bilişim, büyük veri ve yapay zeka gibi teknolojideki gelişmeler göz kamaştırıyor.Hal böyleyken Kişisel Verilerin Korunması kavramı işin içine giriyor. Hem iş dünyasının hem de bireylerin bu radikal değişime uyum sağlası için; bu kanunu anlaması büyük önem taşıyor. Elbette ardından gündelik pratiğe yansıtmaları da…
Kişisel Verilerin Korunması noktasında yasal düzenlemenin temel amacı, veri ticaret hayatındaki yaşamsal döngünün kişilerin ve kurumların özel bilgilerini koruyacak şekilde yapılmasını sağlamak. Bu bağlamda, sanılanın aksine esas amaç hiçbir zaman verinin ticaret hayatında kullanılmasını engellemeye çalışmak değil. Temel prensip verilerin ticaret hayatında yer alırken, veri işleyen kişileri belirli etik kurallar ve sınırlar içerisinde kalmalarını sağlamakla yükümlendirmesi.
Türkiye’de Kişisel Verilerin Korunması Süreci
Türkiye’de kişisel verilerin korunmasına yönelik düzenleme, anayasal anlamda ilk olarak 2010 yılında yapıldı. Ancak anayasa doğrudan hayata etki eden bir işleyişe sahip değildi. İki yıl önce, 7 Ekim 2016 tarihinde yürürlüğe giren 6699 sayılı Kişisel Verilerin Korunması Kanunu hem bu alanı direkt olarak düzenledi hem de kişisel verilerin korunması açısından çok ciddi ekonomik ve cezai yaptırımlar getirdi. Bu sebeple de kişisel verilerin korunması kanunu son yıllarda özellikle de son iki yılda tüm şirketlerin ilgi alanında girmek zorunda kaldı.
Kişisel verilere ilişkin düzenlemelerin Avrupa Birliği ve ABD gibi bilgi toplumuna geçmekte öncü olan ülkelerde uzun yıllardır düzenleniyor olması, bu konuda şirketlerin iş süreçlerini gizlilik ilkesini baz alarak tasarlanmasını sağladı.
Türkiye ise işin en başında. Bugün firmalar açısından titizlikle üzerinde durulması gereken bir süreçten geçiyoruz. Bu kültürü kavramak adına kanunun neyi kapsadığını doğru tanımlamak ve öğrenmek bu kültürü içselleştirmek açısından önemli bir adım… Peki ya ardından atılması gereken adımlar nelerdir; gelin kısaca bir göz atalım.
“Kişisel Veri” ve “Veri” Arasındaki Farkların Netleştirilmesi
“Kişisel veriler” ile “Veriler” ayrımının netleşmesi için şirketlerin atması gereken ilk adım işledikleri veriler arasından hangilerinin “kişisel veri” olduğunu tespit etmektir. Kişisel veriler deyince akla ilk olarak bir kişiye ait ad, soyad, kimlik numarası ve bunun gibi veriler gelmektedir. Bu yaklaşım doğru olmakla birlikte eksiktir. Kişiyi direkt işaret eden verilerin dışında dolaylı olarak işaret edenler de kişisel veri tanımı içerisine girmektedir. Bu anlamda kişisel veriler kavramının ülkemizdeki kanun açısından sadece gerçek şahıslara ait olan verileri kapsadığını, tüzel şahıslara ait olan verilerin kapsam dışında olduğunun da altını çizmek gerekir. Bu bağlamda, kişisel veriler denildiğinde en geniş kümeyi ele almak konuya en doğru yaklaşım biçimidir.
“Veri İşleme” Kelime Tanımının Netleştirilmesi
Veri İşleme eylemi ilk bakışta veriden yeni bir anlam oluşturulması olarak anlaşılsa bile, kanunun kastettiği veri işleme eylemi; verinin elde edilmesinden başlayıp silinip yok edilmesine kadar devam eden elemlerin tümüdür. Bu bağlamda, kaydetme, toplama, depolama, görüntüleme, yayma, aktarma, erişilebilir kılma, değiştirme ve silme gibi bütün aksiyonlar veri işleme eylemi sayılmaktadır ve bu kanun kapsamında yer almaktadır.
Bu doğrultuda, şirketler ürün ve hizmetlerini sunarken ilk olarak hangi kişisel verilere sahip olduklarını, daha sonrasında bu verilerin üzerinde hangi işleme eylemlerini gerçekleştirdiklerini tespit etmelidirler.
Kişisel Verilerin İşlenme Şartları
Hukuki sebeplerden en çok bilineni hiç şüphesiz verinin ait olduğu kişiden alınan açık rızadır. Kanun birtakım şartlar belirlemiş ve bu şartların mevcut olduğu durumlarda ilgili kişiden açık rıza alınmadan bu verilerin işlenebileceğini öngörmüştür. Bu şartlar dışında yer alan bazı durumlara örnek verecek olursak; bunlar işlenecek verinin maddi gelir elde edilmek amacıyla kullanılması ya da veri sahibinin adı belirtilmeden veya verinin sanki bir başkasına aitmiş gibi kullanılması olarak söylenebilir.
Özetle, işletmeler işledikleri veriler için yeterli şartların olup olmadığını belirlerken işlenecek verinin sadece kanunlara uygun olup olmadığına bakarak değil, söz konusu verinin işleme amacı doğrultusunda inceleme yapmalıdırlar. Unutulmamalıdır ki, kişisel verilerin korunması kanununa uyum sağlanması hemen çözülebilecek bir iş olmayıp dikkatlice özümsenmesi ve ardından pekiştirilmesi gereken uzun bir süreçtir.