7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’) yürürlüğe girmiştir. KVKK ile bireylerin özel hayatlarının gizliliği, temel hak ve özgürlüklerin korunması ve bireylerin kişisel verilerini işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir. Kanun kapsamında bakkaldan, onlarca şirketi bünyesinde bulunduran Holding’e kadar, tüm gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları KVKK hükümlerine uymak ve mevzuata uyum göstermek zorundadır. Kanun’un uygulanması bakımından kişisel veri işleme faaliyetlerini gerçekleştiren özel veya kamu kişisi ayrımı yapılmadığı gibi küçük veya büyük ölçekli şirket gibi herhangi bir ayrıma da gidilmemiştir.

Kanun kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi kişisel veri olarak kabul edilmektedir. Şirketler de uygulamada ticari faaliyetlerini sürdürürken gerek çalışanlarına gerekse müşterilerine ve tedarikçilerine ilişkin pek çok kişisel veriyi işleme tabi tutmaktadır. Bu noktada şirketler çalışanlarının özlük dosyalarını tutarken ad, soyad, T.C kimlik numarası, telefon numarası, sağlık bilgileri, sabıka kaydı bilgileri; ticari faaliyetleri tahtında üçüncü kişilerle sözleşmeler akdederken ve fatura keserken ise banka hesap numarası, imza, çek ve senet bilgisi ve sipariş bilgisi şeklinde çok sayıda kişisel veriyi işlemektedir. Ancak uygulamanın aksine kişisel veriler, şirketlerce gelişi güzel bir şekilde işlenmemeli ve şirketlerin veri tabanları ile bulut hesaplarında herhangi bir süre sınırlamasına tabi tutulmaksızın sonsuza kadar saklanmamalıdır. Öyle ki kişisel verilerin korunması mevzuatı, işlenme amacı son bulan verilerin mümkün olan en kısa sürede imha edilmesini öngörmektedir.

Küreselleşmenin etkisiyle yurtdışı bağlantılı şirketler de verilerini zaman zaman yabancı iş ortaklarıyla veya sunucuları yurtdışında olan bulut hizmeti sağlayıcısı şirketler ile paylaşmaktadır. Diğer taraftan çok uluslu grup şirketlerinin de elektronik ortamlar üzerinden kendi aralarında veri aktarımında bulunduğu görülmektedir.  Bu durum her ne kadar ticari faaliyetlerinin bir gereği olsa da gerekli önlemler alınmadığı takdirde veri ihlalleri ve siber saldırılar gibi büyük veri sızıntıları ortaya çıkabilmekte ve bu sebeple kişilerin özel hayatları ve mahremiyeti zarar görebilmektedir. Bu nedenle veri işleme faaliyetlerinin hukuka uygun bir şekilde yapılması için şirketlerin veri güvenliğine ve gizliliğine ilişkin gerekli idari ve teknik tedbirleri temin etmeleri ve gerekli altyapılarını oluşturmaları gerekmektedir. Kişisel verilerin korunmasına ilişkin çalışmalar gerçekleştiren şirketlerin kurumsallaşma yolunda da sektördeki diğer şirketlere nazaran birkaç adım öne çıktığı görülmektedir.

Söz konusu uyum çalışmalarının eksiksiz bir şekilde gerçekleştirilmesi adına veri sorumluları tarafından mevzuatta öngörülen çeşitli yükümlülüklerin yerine getirilmesi gerekmektedir. Bu yükümlülüklerin başında şirket personellerinin her birinin, çalıştığı pozisyonlara ve kıdemlerine bakılmaksızın, kişisel verilerin işlenmesine ilişin mevzuat hükümleri ve temel ilkeler hakkında eğitimlere tabi tutulması yer almaktadır. Buna bağlı olarak personellerin KVKK alanında kazanacağı farkındalık ile veri güvenliği önündeki ihlal risklerinin en aza indirilmesi ve mümkünse tamamiyle ortadan kaldırılması gündeme gelebilecektir. Bununla birlikte insan kaynakları ve muhasebe kayıtları dahil olmak üzere şirketin kişisel veri işlediği her türlü kayıt ve belge üzerinde mevzuat uyarınca öngörülen gerekli denetimleri gerçekleştirmesi gerekmektedir. Bu kapsamda ilgili kayıtlardan veri işlemenin temel ilkelerine aykırı olarak tutulmuş olanlarının derhal imha edilmesi önem taşımaktadır.

Diğer taraftan veri sorumlusu şirketlerin elektronik ortamda işlediği verilere ilişkin de gerekli teknik tedbirleri alması gerekmektedir. Bunların başında veri sorumlusunun güvenlik duvarları ve ağ geçitleri temin etmesi ve güncel anti virüs ve spam programlarını kullanması gelmektedir. Bu sayede veri sorumlusu şirket büyük ölçüde dijital ortamda gerçekleşen siber tehditlerin ve veri kaçakçılıklarının önüne geçebilecektir. Bununla birlikte veri sorumlusu şirketin kullandığı yazılım programları, mobil uygulamaları ve sosyal medya hesaplarına ilişkin de gerekli veri güvenliği önlemlerini alması gerekmektedir. Bu programlar üzerinden işlenen kişisel verilerin işleme amacıyla bağlantılı ve ölçülü bir şekilde kullanılması önerilmektedir.

Kişisel Verilerin Korunması Kurulu (‘’Kurul’’) tarafından belirlenen kriterlere sahip olan veri sorumluları ise ayrıca Veri Sorumluları Sicili’ne (‘’VERBİS’’) de kaydolmak zorundadır. Bu doğrultuda çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile yıllık çalışan sayısı 50’nin; yıllık mali bilanço toplamı da 25 milyon liranın altında olan ancak ana faaliyeti özel nitelikli kişisel veri işlemeyi kapsayan gerçek ve tüzel kişi veri sorumlularının 31.12.2021 tarihine kadar VERBİS’e kayıt yaptırması gerekmektedir.

Yukarıda belirtildiği üzere mevzuatta öngörülen tüm bu yükümlülüklerin gereği gibi yerine getirilmemesi halinde veri sorumluları 9.834 TL’den 1.966,862 TL’ye kadar idari para cezası yaptırımı ile karşılaşabileceği gibi 1 yıldan 6 yıla kadar hapis cezası yaptırımına da maruz kalabilir. Söz konusu yaptırım risklerinin ortadan kaldırılması adına veri sorumlularının etkin ve hızlı bir şekilde KVKK uyum projelerini başlatmaları ve tamamlamaları gerekmektedir.