Kişisel Verilerin Korunması Kanunu’nun Uygulanmasında En Çok Görülen Hatalar ve Başarısızlıklar
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun; risk ve tehditlerin değerlendirmesi, kişisel veri envanterinin hazırlanması, veri güvenliğine yönelik politika ve prosedürlerin belirlenmesi, gereken idari ve teknik önlemlerin alınması, eğitimlerin verilmesi, denetim faaliyetlerinin yürütülmesi, açık rızanın alınması gibi birçok konuda çalışmalar yapılmasını ve belki de en önemlisi kapsamlı bir sistemin kurulmasını gerektirdi.
Bu yüzden, KVK Kanunu’na uyum süreci proje olarak ele alındı ve boşluk analizinin ardından hızlıca çalışmalara başlandı. Aylar süren uyum projeleri ile yol haritasındaki her görev başarıyla tamamlandı. O halde, kişisel verilerin korunması noktasında içimiz artık rahat olabilirdi. Peki gerçekten olmalı mıydı?
Kanun’a uyum süreci tamamlandıktan sonra dahi, Kişisel Verileri Koruma Kurulu (Kurul) tarafından “Veri İhlal Bildirimleri” yayınlanmaya devam etti ve pek çok konuda karar alındı. Belli ki birileri uyum sürecini yanlış yönetti, çalışmalar olması gerektiği gibi yürütülemedi ya da Kanun maddeleri eksik yorumlandı. Bu belki de, sürecin yaşayan bir sistem olduğunu kabul etmeksizin yalnızca uyum projesi olarak ele alınmasından kaynaklandı.
Öyle ya da böyle, bu süreçte birçok yanlış karar alındı ve bazı yatırımlar doğru şekilde önceliklendirilemedi. Peki, bu zamana kadar yayınlanan karar özetleri bize ne öğretti? En çok hangi Kanun maddelerine uyum sağlama konusunda zorlanıyoruz? Sürecin yaşayan bir sistem olduğunu en çok hangi noktalarda kaçırıyoruz? Hadi gelin başarısızlıklarımıza daha bütüncül bir çerçeveden bakalım.
Kurul tarafından yayınlanan 223 adet “Kurul Karar Özeti’ni (kurul kararı)” incelediğimizde, en çok ihlal ettiğimiz Kanun maddelerinin aşağıdaki şekilde sıralandığını görmekteyiz:
- 6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlığı ile düzenlenen 12. maddesinde gerekli her türlü teknik ve idari tedbirin alınması gerekliliği belirtilmiş ve veri sorumlularına uygulamada yol göstermek amacı ile Kurul tarafından Kişisel Veri Güvenliği Rehberi düzenlenmiştir. Buna rağmen, incelenen kurul kararlarının 112 tanesinde gerekli idari ve teknik tedbirlerin alınmadığı değerlendirilmiştir.
- “Kişisel verilerin hukuka aykırı olarak işlenmesi”, kurul kararlarında en çok karşılaştığımız ikinci uyumsuzluktur. Kararların 43 tanesinde, kişisel veri/özel nitelikli kişisel veri işleme faaliyetinin açık rıza alınmaksızın gerçekleştirildiği sonucuna varılmıştır.
- Kanun’un 12. maddesinin 5. fıkrası kapsamında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi durumunda, veri güvenliği ihlaline ilişkin durumun en kısa sürede ilgilisine ve Kurul’a bildirilmesi gerekliliği belirtilmiştir. Yaklaşık 25 adet kurul kararında; veri güvenliği ihlalinin ilgili kişilere ya da Kurul’a zamanında bildirilmediği ya da ihlal bildiriminin ilgili kişilere hiç yapılmadığı sonucuna varılmıştır.
- Kurul kararlarının yaklaşık 20 tanesinde, “kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı işlenmekte olduğu” değerlendirilmiştir.
- Veri sorumlusuna başvuruda bulunma imkanı 13. madde ile garanti altına alınmış ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılması hususu düzenlemiştir. Kurul kararlarının yaklaşık 20 tanesinde “veri sorumlusu tarafından süresinde ilgili kişiye cevap verilmediği” hususu kritik edilmiştir. Bununla birlikte, “veri sorumlusu tarafından verilen cevabın yetersiz olması” ve “veri sorumlusu tarafından hukuka ve dürüstlük kurallarına uygun olmayacak şekilde cevap verilmesi” şeklinde aykırılıkların az da olsa yaşandığı görülmektedir. Kısaca, ilgili kişi taleplerine süresinde dönüş yapılmadığı değerlendirilmiştir.
- Son olarak; yaklaşık 20 adet kurul kararında; aydınlatma metni ve açık rıza metinlerinin Kanun gerekliliklerini karşılamayacak şekilde düzenlendiği ya da aydınlatma yükümlülüğünün yerine getirilmediği değerlendirilmiştir.
Özetle; gerekli teknik ve idari kararların alınmaması, kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesinde açık rıza şartının yerine getirilmemesi, gerekli olmayan ya da o günün koşullarında amaca hizmet etmeyen kişisel verilerin işlenmesi, ilgili kişi taleplerine cevap verilmemesi ya da yetersiz cevap verilmesi, veri ihlal bildiriminin Kurul’a ve ilgili kişiye zamanında yapılmaması, aydınlatma yükümlülüğünün Kanun’a uygun şekilde yerine getirilmemesi en büyük 6 başarısızlığımız.
Kurul kararlarına göre başka hangi yükümlülüklerimizi mi yerine getirmiyoruz? Yine sırasıyla en çok ihlal ettiğimiz 10 durum; “kişisel veri işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi” ,”kişisel verilerin açık rıza alınmaksızın üçüncü kişilerle veya yurt dışı ile paylaşılması”, “kişisel verilere hukuka aykırı olarak erişilmesi”, “kişisel verilerin belirli, açık ve meşru amaçlar için işlenme ilkesine aykırı işlenmesi”, “veri sorumlusuna tebliğ edilen kurul kararı gereğinin yerine getirilmemesi”, “işlenmesini gerektiren sebepler ortadan kalkmasına rağmen kişisel verilerin silinmemesi/yok edilmemesi”, ”kişisel verilerin doğru ve gerektiğinde güncel olma ilkesine aykırı işlenmesi”, “kişisel verilerin muhafazasının sağlanmaması”, “kişisel verilere erişim hakkı talebinin veri sahibi tarafından yerine getirilmemesi” ve “Kurul’un, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgelerin zamanında gönderilmemesi” şeklindedir.
Umarım, hatalarımızdan ders çıkararak yükümlülüklerimizi yerine getirme noktasında daha dikkatli ve özenli davranırız. Şikayetlere konu olmadığımız ve veri ihlali yaşamadığımız bir yıl diliyorum!
Sevgilerimle,
Meltem Yapar
