Dr. Arif TuncerGünümüzde teknoloji ve internet kullanımı ekonomikleştikçe kitlelere erişim ve bilgi paylaşımı da hızla viral hale geliyor. Gün geçmiyor ki, elektronik postamıza ya da cep telefonumuza hiç tanımadığımız ve bilmediğimiz kişi ve/veya kuruluşlardan, pazarlama ya da başka nedenlerle ulaşım sağlanmasın.
Kişisel verilerimize nereden ve nasıl ulaştılar?
Yaptıkları yasal mı?
Kendimize ulaşılmasını acaba istiyor muyuz?
Düşüncelerimizin bize ulaşım sağlayan ve sağlamayı arzulayan gerçek ve tüzel kişiler için herhangi bir önemi var mı?
Bu soruların cevabını, alışveriş merkezi sektörü özelinde vermeye çalışacağım.
Öncelikle “kişisel verilerin korunması” konusu dünyanın pek çok yerinde olduğu gibi ülkemizde de temel insan haklarından sayılıyor. Bu bağlamda temel insan haklarının korunması da devlet güvencesi altında ve anayasal bir hak olarak kendini gösteriyor.
Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete’de (6698 Sayılı) yayımlanarak yürürlüğe girmiştir. Kanunda üçüncü kişilerle paylaşılmaması gereken kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade edilmiştir (isim, soyadı, telefon numarası, mail adresi gibi). Tanımda her ne kadar gerçek kişi ibaresi yer alsa da, tüzel kişiliklerin de gerçek kişiler tarafından temsil edildiğini ve tüzel kişiliklere ait bilgilerin de gerçek kişilere dayandığı için kişisel veri sayılacağını önemle hatırlatmak isterim.
Yasa yürürlüğe girdiği anda eşzamanlı bir geri sayım da başlamış oldu. Kanun yayım tarihinden itibaren 2 yıl içerisinde işlenmiş kişisel verilerin kanun hükümlerine uygun hale getirilmesi gerekiyordu (Geçici 1. Madde). Yani cezai müeyyidelerle karşılaşmamak için son tarih 7 Nisan 2018 idi. Şirketler bu tarih gelmeden yasanın gereğini yerine getirmek amacıyla müşterilerine mesajlar yağdırmaya başladı. İşte 2018 ortalarında cep telefonlarımıza adeta sağanak halinde yağan mesajların nedeni de buydu.
Cep telefonlarına gönderilen mesajlar tek başına sorumluluğu ortadan kaldırdı mı?
Cevap “hayır” olacaktır.
Ülkemizde yasanın uygulanmasını sağlama ve veri güvenliğini teminat altında tutma görevi, 9 üyeden oluşan Kişisel Verileri Koruma Kurulu’nundur. Kurul Üyelerinin beşi Türkiye Büyük Millet Meclisi, dördü ise Cumhurbaşkanı tarafından atanmıştır. Yasanın uygulanmasını güvence altında tutmak için çeşitli dairelerden oluşan olan kurum, Verbis (Veri Sicil Bilgi Sistemi) adı verilen otomasyon ile veri işleyen kurumların kaydını tutar ve onları denetler.
Kanunun 4, 5, 7 ve 10. Maddeleri:
• “Kişisel Veriler ancak belirli, açık ve meşru amaçlar için işlenebilir”,
• “Kişisel Veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenebilir”,
• “Kişisel Veriler ilgili kişinin açık rızası olmaksızın işlenemez”,
• “İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir” demektedir.
Yani işlenen veriler açık rıza ile bir amaca hizmet ederken, gereği ortadan kalktığında da silinmelidir.
Veri sahipleri herhangi bir kuruluşa başvuru yaparak kişisel verilerinin işlenip-işlenmediğini, işlenmişse ne şekilde işlendiğini, işleme amacının ne olduğunu ve amacına uygun kullanılıp-kullanılmadığını, üçüncü kişilerle paylaşılıp-paylaşılmadığını, eksik ya da hatalı işlendiyse düzeltilmesini ve hatta silinmesini talep etme hakkına sahiptir.
Peki, veriler yasa hükümlerine göre işlenmez ve aydınlatma yükümlülüğüne aykırı davranılırsa, veri sorumluları siciline kaydolunmazsa, veri güvenliği gerektiği gibi sağlanmazsa ya da Kişisel Verileri Koruma Kurulu kararlarına muhalefet edilirse uygulanacak yaptırım tutarı ne kadardır?
Ceza tutarları oldukça yüksektir. Aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 TL ile 100.000 TL arası, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere ise 15.000 TL ile 1.000.000 TL arası ceza kesilmesi söz konusu olacaktır. Bunun dışında Türk Ceza Kanunu’nda da bunun cezası 4 yıla kadar hapis cezasıdır. Cezaların oldukça caydırıcı olduğunu söylemek gerekir.
Tüm bu yaptırımlara rağmen, şirketler veri işleme uygulamalarını Kişisel Verileri Koruma Yasası’na uygun olarak yerine getiriyor mu?
Cevap yine “hayır” olacaktır.
Nedeni ise henüz bu temel hakkın, dokunulmaması gereken bir alan olduğunun yeterince kavranamadığı şeklinde açıklanabilir.
Bu konunun alışveriş merkezi sektöründeki uygulama alanında nasıldır?
Konuyu derinlemesine irdelemeden önce alışveriş merkezi sektöründe kimlerin verilerinin işlendiği hususuna değinilmesi uygun olacaktır. AVM yönetimlerinin verisini işlediği kişilerin başında çoğunlukla kampanya yürütürken bilgilerini aldığı ziyaretçileri gelir. Kiralama yapılan gerçek ve/veya tüzel kişiler ve merkez çalışanları da yine AVM yönetimleri tarafından kişisel verileri işlenen kişiler olarak karşımıza çıkar. Uygulamada neler oluyor?
Öncelikle AVM yönetimi olarak, 6698 sayılı yasanın neleri güvence altına aldığını ve bu kapsamda nelere önem verileceğini açıklayalım. Tüm bu faaliyetler esnasında şirketin Hukuk Müşavirliği’nden gerekli destek alınmalıdır. Neler yapmalıyız?
• Alışveriş merkezinin internet sitesinde bir Kişisel Verilerin Korunması Aydınlatma Platformu oluşturulmalı.
• Bu platformda, yürütülen faaliyet alanlarında hangi amaçla kişisel verilerin işleneceği ve kimlere aktarılabileceği, veri toplamanın hukuki yönteminin ne olduğu, sebebi ve kanunun 11. maddesinde sayılan haklara değinilmeli.
• Yine internet sitesinde bir kişisel veri işleme envanteri oluşturulmalı. Bu bölümde kişisel veriler, kişisel veri sahipleri, kişisel veri güvenliğini sağlamak için alınan tedbirler ve verilerin saklanma süreleri kategorize edilerek tanımlanmalı.
• Veri saklama ve imha politikasının ne olduğu ortaya konmalı. Burada ilgili Kanuna (6698 Sayılı) detaylı bir atıf yapılmalı ve kişisel verilerin bir emanet olarak görülüp, güvenli şekilde muhafaza edileceği ve zamanı geldiğinde ya da talep edilmesi durumunda da yine güvenli bir şekilde imha edileceği belirtilmeli.
• Son olarak bir başvuru formu paylaşılmalı, veri sahiplerinin şirket yetkililerine ne şekilde ulaşacağı açıkça tanımlanmalı. Bu kısımda elektronik posta adresleri (mümkünse kayıtlı elektronik posta olmalıdır), telefonlar, adresler açık şekilde veri sahiplerinin dikkatine sunulmalı.
AVM yönetimi olarak kira kontratlarında ve iş sözleşmelerinizde, kiracılara ve çalışanlara kişisel verilerinin işlenmesine muvafakat verdiklerine dair onay bölümü mutlaka konmalı ve kendilerinin onayı talep edilmelidir.
Bu şekliyle kişisel verilerin korunmasının bir şirket politikası olarak benimsendiği, topluma ve paydaşlara deklare edilmelidir. Elbette tüm bunların bir şirket politikası olarak yönetim kurulu kararı ile desteklenmesi de ayrı bir önem taşımaktadır.
