- Ülkemizde 2016 yılında yürürlüğe giren ve 2021 yılı sonu için şartları taşıyan işyerlerine VERBİS sistemine kayıt zorunluluğu getiren Kişisel Verilerin Korunmasına Kanunu ve bu kanun çerçevesinde oluşturulmuş mevzuat ve içtihatlar ışığında yaptıkları işler dolayısıyla doğrudan veya dolaylı olarak kişisel veri toplayan işletmeler için bir takım zorunluluklar ve tedbirler getirilmiştir. Öncelikle belirtmek gerekir ki söz konusu hukuki alan ülkemiz nazarında kısmen yeni bir alandır ve kanunla kurulan ve idari para cezası verme yetkisine sahip Kurul kararları ışığında uygulamanın şekilleneceğini düşünmekteyiz. Buna göre sadece VERBİS sistemine kayıtlı olmak ya da buraya kaydolmak değil, sisteme kayıt zorunluluğu olmasa bile kişisel veri toplayan işletmelerin de kanunla uyumlu ve özgün tedbirler alması elzemdir. Aksi taktirde gelecekte idari yaptırımla karşılaşacaklardır. Örneğin sözleşmeyle çalışan emlak danışmanları, aracı olsalar bile sigorta acenteleri müşterilerinin kişisel, mali, sağlık gibi bilgilerine erişmektedirler. Dolayısıyla işe başlamadan önce müşterilerine aydınlatma ve açık rıza metinleri sunmaları ve onam almaları gerekir.
- Uygulamaya bakıldığında aydınlatma ve açık rıza onamlarının birçoğunun usule aykırı olduğu, internetten ya da belirli sayfalardan kopyala – yapıştır şeklinde alındığı ya da bu metinlerin çok muğlak beyanlar taşıdığı görülmektedir. Diğer bir deyişle sırf aydınlatma ve rıza metni yükümlülüğünü yerine getirmek için özen gösterilmeksizin kullanılan metinler, şikâyet ve incelemede o işletmeyi cezadan kurtarmayacaktır. Örneğin kurul bir kararında aydınlatma ve rıza metni olan bir işletmeye bu metinlerin özgün olmamasından ve usule aykırı düzenlenmiş olmasından dolayı 200.000,00-TL idari para cezası uygulamıştır. Görüldüğü üzere kişisel verilerin korunmasına dair tedbir ve yükümlülüklerini gereği gibi yapılmaması halinde kanunda çok yüksek idari para cezaları öngörüldüğünden (bir milyon liraya kadar) dikkatli olmakta fayda vardır.
- Öncelikle dikkat edilmesi gereken mutlaka özgün, kanun ve yönetmeliklerin aradığı şekilde ve verilen hizmetle orantılı olarak aydınlatma ve rıza metinlerinin hazırlanmasıdır. Bunlar dışında;
- Hizmet alan müşterilerin kişisel veri niteliğinde tutulan kayıtları muhafazalı ve herkesin kolayca ulaşamayacağı yerlerde tutulmalıdır. Bu durum veri sorumlusu sıfatını taşıyan işletme sahibi için 6698 sayılı kanun m.12 uyarınca zorunludur. Önceki kurul kararları incelendiğinde olası bir kurul denetiminde denetmenlerin güvenliğin sağlanıp sağlanmadığını araştırdıkları bilinmektedir. Örneğin yangına dayanıklı ve kilitli çekmecelerde kayıt defterleri tutulmalı, arşiv düzenine dikkat edilmeli, elektronik ortamda kayıt tutuluyorsa kayıtların tutulduğu bilgisayarlarda sınırsız internet gezintisinden ve yetkisiz kişilerin erişiminden kaçınmalı ve muhakkak faturalandırılmış bir şekilde anti virüs hizmeti alınmalıdır.
- İşletme kamerayla izleniyorsa ortak ve görünür bir yere “İşletmemizde güvenlik amacıyla ortak yerlerde kamera kaydı yapılmaktadır.” Levhası bulunması zorunludur. Kişisel verilere ilişkin, ilgili kişilerin haklarıyla ilgili işletmede “Kişisel verilerinizin korunmasına özen gösteriyoruz. Haklarınız için web sitemizi (…….) ziyaret edebilirsiniz.” Yazılmalı, web sitesine aydınlatma metni eklenmelidir.
- Müşteriyle ilgili kayıt ya da bilgi alırken diğer müşterilerin rahatça duyamayacağı bir ortam yaratılmalı mümkün değilse konuşma ses düzeyine dikkat edilmelidir.
- Sunulan hizmetle ilgili olmayan ya da hizmetin ifasına bir katkı sağlamayacak her türlü bilgi talebinden kaçınılmalıdır. Kurul kararları incelendiğinde yalnızca hizmetle ilgili olmayan bilgiler alınması nedeniyle idari yaptırımlara karar verildiği bilinmektedir. Örneğin dünya kahvelerine yönelik e-satış sitesinin üyelik/sipariş formunda cinsiyet sorulması ya da sağlık hizmeti alırken medeni hal ya da doğum yeri sorulması gibi.
- Bir web sitesi kullanılıyor ya da hizmet e-satış üzerinden gerçekleştiriliyorsa web sitesi ve satın alım aşaması KVKK uygun hale getirilmeli ve web sitesinde şekil itibariyle düzenleme yapılmalıdır.
Kişisel Verilerle ilgili tüm süreçlerde hukuk bürosuyla çalışmanız, ileride doğabilecek mağduriyetlere karşı önceden tedbir almış olmanız bakımından önemlidir.