Kişisel Verilerin Korunması Kanunu ‘‘(Kanun)’’, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla düzenlenmiştir. Bunun yanı sıra Kanun, Kişisel Verilerin Korunması kapsamında kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. Söz konusu Kanun Veri Sorumlusu sıfatına haiz gerçek ve tüzel kişilere birtakım yükümlülükler yüklemiştir. Söz konusu yükümlülükler Kanun tarafından açıkça belirtilmekte ve Kişisel Verilerin Korunması Kurumu tarafından yayınlanan ilke kararlar ile açıklayıcılık ve destekleyicilik sağlamak adına hazırlanan rehberler sayesinde ilgili yükümlülüklere ışık tutulmaktadır. Kişisel Verilerin Korunması Kanunu, yeni bir kanun olmamakla beraber, ülkemizde ve tüm dünyada veri koruma kültürünün azalması nedeniyle uyum süreci çok hızlı gerçekleşememekte ve Veri Sorumlusu sıfatını haiz gerçek ve tüzel kişilerin KVKK ile uyumlu olma yönünde çalışmaları halen devam etmektedir. Zira KVKK ile uyumlu olmak ve hukuka uygun veri işleme faaliyeti gerçekleştirebilmek tek bir aşamadan oluşmamaktadır bu süreç sağlam temeller kurularak oturtulması ve akabinde sürekli olarak uyumluluğa yönelik adımlar atılması gereken bir süreçtir. 6698 sayılı Kanun ile ilgili mevzuat ve Kurul Kararları ile oluşturulan normlar da bu doğrultudadır. Veri sorumluları tarafından gerçekleştirilen veri işleme faaliyetleri sabit olmayıp yoğun, çeşitli ve değişken yapıdadır. Bu nedenle yoğun bir kişisel veri sirkülasyonunun olduğu günümüz dünyasında; kişisel veri işleme faaliyetleri amaç, hukuki sebep, ilgili kişi, işlenen kişisel verinin niteliği yönünden sürekli olarak değişmekte, bu da veri sorumlusunun kişisel veri işlemeye yönelik yükümlülüklerinin ve alması gereken idari ve teknik tedbirlerin değişmesine sebep olmaktadır. Söz gelimi genel nitelikli kişisel veri işleme faaliyetine yönelik aydınlatma yükümlülüğü ile özel nitelikli kişisel veri işleme faaliyetine yönelik aydınlatma yükümlülükleri farklılık arz etmekte ve bu iki tür veri işleme faaliyeti farklı hukuki şartlara tabi olmaktadır. Yahut aynı veri sorumlusunun personelinin kişisel verilerine yönelik yükümlülükleri farklı müşterilerine yönelik yükümlülükleri değişkenlik arz etmektedir.
Kişisel veri işleme faaliyetleri değiştikçe veri sorumlusunun yükümlülükleri de değişmektedir. Bunun sonucu olarak da söylenebilir ki Kişisel Verilerin Korunması Kanunu sabit bir yönlendirme metni olamaz zira her bir kişisel veri işleme faaliyeti unsurları değiştikçe bu yükümlülükler de aynı yönde değişecektir. Bu bağlamda çeşitli meslek odaları tarafından ‘KVKK Uyum Kılavuzu’, ‘Uyum Kılavuzu’ gibi adlarla yayınlanan kılavuzlar Kişisel Verilerin Korunması mantığı ile çelişen KVKK ile hiçbir başlıkta örtüşmeyen yönlendirmeler içermektedir.
KVKK Uyum Kılavuzu başlığı altında yayınlanan kılavuzlardan bir tanesi de İstanbul Serbest Muhasebeci Mali Müşavirler Odası ‘nın mali müşavirlik büroları için hazırlamış olduğu Uyum Kılavuzu’dur. Bu kılavuz tıpkı yukarıda belirtildiği gibi Kişisel Verilerin Korunması Kanunu ile örtüşmeyen, konunun yanlış anlaşılmasına hizmet eden ve Kanun’un lafzı ve özü ile çelişen yönlendirmelerden ibarettir. Bu noktada önemle dikkat edilmesi gereken hususlar şunlardır;
§ İlk olarak tekrar belirtmekte fayda var ki, Kişisel Verilerin Korunması Kanunu’ nun Veri Sorumlusu ‘na yüklediği yükümlülükler kişisel veri işleme faaliyetinin unsurları ve Veri Sorumlusu’na göre değişiklik göstermektedir. Bu nedenle tek bir kılavuz ile KVKK uyumluluğunun sağlanması mümkün değildir. Bu süreç, gerçekleştirilen veri işleme faaliyetleri, kişisel verisi işlenen ilgili kişiler, veri sorumlusu, faaliyetler kapsamında işlenen kişisel veriler ayrı ayrı değerlendirmek suretiyle planlanması gereken ve bunların güncelliğinin ve sürekliliğinin sağlanması ile gerçekleştirilebilen bir süreçtir.
§ Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun ‘da sayılan hakları yönünden ilgili kişiyi aydınlatmakla yükümlüdür. Kanun maddesinden de açıkça anlaşılacağı üzere, bu unsurlar gerçekleştirilen veri işleme faaliyetine göre değişiklik göstermektedir. Her veri işleme faaliyetinin hukuki sebebi ve amacı gerçekleştirilen veri işleme faaliyetine göre değişeceğinden, söz konusu kılavuzlarda bulunan ‘hukuki sebep’, ‘veri işleme amacı’ unsurlarında belirtilen birkaç maddeden oluşan sebepler ve amaçlar veri sorumlusunun aydınlatma yükümlülüğünü karşılayamamaktadır. 6698 sayılı Kanun yönünden işlevsiz bir metin mahiyetinde olan bu metinler Kanun’un veri sorumlusuna yüklediği Aydınlatma Yükümlülüğü’ nü hiçbir surette sağlamamaktadır.
§ Söz konusu aydınlatma metinleri, ilgili kişi ayırt edilmeksizin hazırlanmıştır. Bu metinler içerisinde Çalışan (İşçi) Aydınlatma Metni adı altında belirtilen metin, ‘Kişisel Verilerin İşlenme Amacı’ maddeleri dikkate alındığında anlaşılacağı üzere ‘Müşterilere Yönelik Aydınlatma Metni’ nin matbu bir kopyası niteliğindedir. Kanun tarafından veri sorumlusuna yüklenen aydınlatma yükümlülüğü ilgili kişiyi, veri işleme faaliyeti yönünden Tebliğ’in 5. maddesi birinci fıkrasında emredildiği gibi işleme amacı belirli, açık ve meşru şekilde yerine getirilmelidir. Ayrıca bilgilendirmede; genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için işlenebileceği kanaatini uyandıran ifadelerden kaçınılmalıdır. Söz konusu metinlerin ‘Kişisel Veri İşlenme Amacı’ başlığı altında belirtilen maddeleri İşçilere ait kişisel veriler işlenirken güdülen amaçları içermediğinden aydınlatmaktan uzaktır, Aydınlatma Metni hazırlanırken her bir faaliyet ayrı şekilde değerlendirilmeli ve faaliyetin içeriği özenli bir çalışma ile incelenmelidir.
§ Uyum Kılavuzu içerisinde dikkat çeken bir diğer husus ise Açık Rıza Metni’dir. Kanun’un 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu ve veri işleyenlerce açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Buna göre, genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez. Kanun’un lafzı yeterince açık iken, belirli bir konuya ilişkin olmayan bu tür şemsiye rızaların hukuki geçerliliği bulunmamaktadır.
§ Uyum Kılavuzu içerisinde yer alan İşçi İle İşveren Arasındaki KVKK Sözleşmesi’nin hukuki geçerliliği bulunmamaktadır. İşçinin iş ilişkisi içerisinde işverene hukuken bağımlı oluşu ve bunun karşılığında işverenin yönetim hakkı, işçinin temel hak ve özgürlüklerini işyerinde nasıl kullanacağı, kişilik haklarının nasıl korunacağı, özellikle işçinin işe girişte verdiği gizli kalması gereken bilgilerin kötüye kullanılması olasılığı, yeni teknolojilerin getirdiği işçinin özel yaşamına müdahale imkanı veren ve kişilik haklarına tecavüz ortamı oluşturan teknolojik olanakların varlığı işçinin kişisel verilerinin korunması gerekliliğini doğurmuştur.
§ Avrupa Birliği’nin 95/46/EC sayılı Direktif ve Çalışma Grubu’nun Çalışma Belgesine atıfla; çalışanların kişisel verilerinin korunması hukuku ilkelerine tabi olduğunu ve her bir izleme faaliyetinde:
Şeffaflık; toplanma amacının belirli ve açık olması,
Gereklilik, toplanma amacının meşru olması,
Adillik, daha sonra verilerin işlenme amaçlarının toplanma amacı ile uyumlu olması ve Ölçülülük, işlemenin aşırı olmaması ve amacın gerektirdiğinden daha uzun tutulmaması ilkelerine uyulması gerekmektedir.
§ Kanunun 12 nci maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır. Kanun herhangi bir idari ve teknik tedbire yönlendirme yapmamaktadır zira tedbirlerin, veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek planlanması esastır. Matbu tedbirlerden oluşan seçkisiz bir listenin, Kanun’ un 12.maddesinde belirtilen yükümlülüğü yerine getirmeyeceği aşikardır.
Bu nedenlerle yayınlanan uyum kılavuzları KVKK ile uyumluluğu temin etmemektedir. Kişisel veri işleme faaliyetleri değiştikçe veri sorumlusunun yükümlülükleri de değişmektedir. Bunun sonucu olarak da Kişisel Verilerin Korunması Kanunu sabit bir yönlendirme metni olamaz zira her bir kişisel veri işleme faaliyetinin unsurları değiştikçe bu yükümlülükler de aynı yönde değişecektir. Bu bağlamda çeşitli meslek odaları tarafından ‘KVKK Uyum Kılavuzu’, ‘Uyum Kılavuzu’ gibi adlarla yayınlanan kılavuzlar Kişisel Verilerin Korunması mantığı ile çelişen KVKK ile hiçbir başlıkta örtüşmeyen yönlendirmeler içermektedir. Bu yönlendirmeler hiçbir şekilde sorumluluktan kurtarmayacağı gibi kişisel veri ihlallerine yol açacak hukuka aykırı tavsiyelerden ibarettir.