Hakan Cem Topal
Sinpaş GYO Bilgi Teknolojileri Müdürü
6698 sayılı “kişisel Verilerin Korunması Yasası” 07.04.2016 tarihinde Resmi gazete yayınlanıp devreye girdi. Bu yasanın siyasi boyutlarına bakmadan Bilgi teknolojilerine etkilerinden kısaca bahsetmek istiyorum.
Yasanın amacı nedir ?
Özel hayatın gizliliği, temel hak ve özgürlükleri koruma, kişisel verilerin işlenmesi hakkında usul ve esasları belirlenmesi amacıyla çıkartılan bu yasanın benzerleri tüm dünyada bulunmaktadır. Hata yakın zamanda yaşanan Apple ve FBI arasındaki tartışmasında çıkış noktası bu yasadır.
Yasanın kapsamında neler var?
Özel sektör ve kamu ayrımı yapılmayan bu yasada sadece kişisel verileri ilgilendirmekte olup şirket verileri bu yasanın kapsamı dışında tutulmuştur. Biraz detaylandırmak gerekirse, genelde mevcutta kullandığınız CRM uygulamalarımızda potansiyel veya gerçek müşteri veritabanımızda saklarız. CRM üzerindeki bu bilgiler bireysel müşterilere aitse yasa kapsamında ele alınmalıdır. Eğer veritabanımızda kurumsal şirket bilgileri varsa bu yasa kapsamında değildir.
Bu yasanın kapsamında sadece dijital ortamda tutulan veriler değildir, matbu evraklar, parmak izi, göz retina bilgileri gibi kişisel bilgilerinizi içeren bilgilerde yasaya tabidir.
Yasadaki veri çeşitleri…
Veri yasada kişisel veri ve özel nitelikli (Hassas ) veri olarak ikiye ayrılmıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler yasada hassas veri olarak tanımlanmıştır. Eğer ERP/CRM sistemlerimizde bu hassas bilgileri içeren müşteri kayıtları varsa bu bilgileri silmeliyiz. Bu tür bilgilerin kanunda belirtilen özel durumlar dışında veritabanında saklanması, müşterinizden onay alınmış olsa dahi tamamen yasaktır.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişinin TC numarası, adresi, iş başvuru formu gibi bilgiler bu kapsamda olabilir. Ad soyad bilgisinde bir tekillik olma durumu varsa o bilgide kişisel veri olabilir. Örnek vermek gerekirse CRM sisteminizde birden fazla “Mehmet Yılmaz” isimli kullanıcı olabilir. Tek başına Mehmet Yılmaz kişisel veri değildir. Ne zaman ki TC kimlik numaranızla isminiz arasında bağ kurulabilir o zaman adınız soyadınız kişisel veri olarak kabul edilebilir.
Kişisel verilerin işlenmesi nasıl olmalıdır?
Kişisel verilerin işlenmesi yasada belirli şartlara bağlıdır. Belirli açık ve meşru amaçlar için işlenebilen bu veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mesela kan grubu bilgisi iş faaliyetleriniz ile ilgili değilse bu bilginin veritabanında saklanması sorun yaratabilir. Verilerimizi belli bir süre ile saklayabiliriz ve bu süreyi saklama aşamasında karşı tarafa iletmek zorundayız. ERP sistemimizdeki finansal kayıtları yasal olarak 10 sene saklayabilirken, CRM üzerindeki veriler tehlike altındadır. Açık rızası alınmayan her türlü CRM verisinin geçiş dönemi sonucunda silinmesi veya anonim hale getirilmesi gerekmektedir.
Açık rıza ne demektir?
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz. Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Yasa çıkmadan önceki tüm verimiz opt-in şeklinde düşünülmelidir. Yani tüm veritabanımızdaki müşterilerden bu geçiş döneminde açık rızasını almamızda fayda bulunmaktadır. Müşterilerimizden alacağımız onaylar için atacağımız e-posta, SMS gibi kanallarda müşterilerimizin sessiz kalması, izinli pazarlama yasasında olduğu gibi onay verdiği anlamına gelmeyecektir.
Açık rıza aranmama durumları nelerdir?
Yasaya göre aşağıdaki durumlarda onay almadan verileri veritabanımızda saklayabiliriz.
- Kanunlarda açıkça öngörülmesi: Kolluk güçleri tarafından bir suç soruşturması sebebiyle
- Fiili imkansızlıklar: Örneğin hasta yatağındaki bir kişinin kan grubunun 3. kişilerden öğrenilmesi
- Sözleşme kurulması : Yapmış olduğunuz bir sözleşme sebebiyle karşı tarafın kişisel verilerinizi işlemesinin zorunlu olması. Muhasebe departmanının fatura kesilebilmesi için gereken bilgiler için onay almaya gerek yoktur. Ama veritabanımızda faturada olmayan meslek bilgisini de tutmak istersek o zaman onay almamız gerekmektedir.
- Hukuki yükümlülükler: Leasing sözleşmeleri için BDDK’nın bazı bilgileri istemesini örnek verebiliriz. Meslek bilgisi bu durumda leasing sözleşmelerinde kullanılan gerekli bir veridir ve onay alınmadan saklanabilir.
- Alenileştirilmiş bilgi: Örneğin sosyal mecrada herkese açık şekilde paylaştığınız bilgileriniz işlenebilir.
- Bir hakkın tesisi, kullanılması ve korunması: Bir şirketin kendi çalışanı tarafından açılan bir davada ispatı için olabilir.
- Veri sorumlusunun meşru menfaatleri : Örneğin bir şirket sahibi sosyal haklarının düzenlenmesinde bu bilgileri isteyebilir.
Nasıl ki belli kriterlere uyan işletmeler doktor veya ISG uzmanı bulundurmak zorundaysa, kişisel verilerin işlendiği işletmelerde veri sorumlusu bulunması zorunludur. Veri sorumlusu yasadaki ifadesi ile ‘Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi’dir. Kullanılan CRM ya da ERP sistemlerinin yönetilmesinde, bilgi girecek kişilerin eğitiminden bu kişi sorumludur.
Toplu SMS, e-posta atmak için anlaşılan şirketler veya kargo şirketleri ile veri paylaşımı
Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz . Mesela sadece cep telefon numarası ve mesaj bilgilerini içeren bir üçüncü parti işbirliği için onay alınması gerekmez. Ama kişiselleştirilmiş mesaj atıyorsak, attığımız mesaj içinde mesela ad - soyadı bilgisi varsa bu işlem için müşterimizin açık rızasını önceden almak gerekebilir. Müşterilerimize yollayacağımız kargolarda adres ve müşteri kimlikleri açıktır. Bunun için kargo şirketleri ile gizlilik sözleşmesi yapılıp müşterilerimizin de açık rızasını alıyor olmamız gerekebilir.
Verilerimizi yurtdışında saklayamayacak mıyız? Azure, Amazon, Salesforce, CRM Online gibi sistemler ne olacak?
Yasada kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz şeklinde bir madde vardır. Kişisel verileri saklarken müşterilerimizden açık rızasını alırken verilerimizin yurtdışında saklayabileceğimizi de açıkça belirtmemiz gerekmekte. Ama kullanıcı verisinin saklanmasına izin verip ama verimi yurtdışında saklayamazsanız derse sıkıntı yaşanır. Ayrıca kullanılacak yurt dışı sistemler için Kişisel Verileri Koruma Kurumu’ndan onay alınması en sağlıklısı olacaktır.
Yedekler ve güvenlik önlemleri hakkında ne yapılmalı?
Alınan yedekler de kişisel verileri içermektedir. Bu yüzden açık rızası alınması gerekmektedir. Ayrıca alınacak güvenlik önlemleri de veri uzmanı tarafından sicile işlenmelidir.
Kişilerin başvuru şikayetleri nasıl olacak?
Kişilerin istediği şirketlerde verisinin tutulup tutulmadığını öğrenmek için öncelikle o şirketteki veri sorunlusuna başvurması zorunludur. Kişi isterse tüm verisini sildirebilir veya anonim hale getirebilir. Veri sorumlusu 30 gün içinde kişiye bilgi dönmek zorundadır. Verilen bilgi yetersiz veya yanlış olduğu düşünülürse ilgili kişi, ilgili işletmeyi kurula şikayet edebilir. Kurul gerekli incelemeyi yapıp kararını verebilir.
Yasalara uyulmazsa hapis cezası ve idari ceza var mıdır?
Yasada açıkça belirtildiği üzere 4 yıla kadar hapis cezası ile 1.000.000 TL’ye kadar idari ceza uygulanabilir.
Kişisel Verileri Koruma Kurumu nedir ?
Bu kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.
Öncelikle yapılması gerekenler nelerdir?
- Web siteleri üzerinden alınan onayların veya matbu formların içeriklerinin yasaya göre değiştirilmesi
- Çağrı merkezindeki temsilcilerin metinlerinin ilgili yasaya uygun hale getirilmesi
- Şirket içi kullanıcı eğitimi verilmesi
- Mevcut durum analizi bir an önce yapılıp yasaya uygun hale getirilmesi
- Data tekilleştirme yapılıp özellikle CRM üzerindeki potansiyel datanın kaybedilmemesi
- Veri Uzmanı seçimi.
