Bu haftaki konuk yazarlarımızdan Av. Elif Petek Özlü bize İnternet sitelerimizde Kişisel Verilerin Korunması Kanunu’na uygun hareket ediyor muyuz? konusunu anlatacak.
Girişimciler ve son tüketiciler için – aslında günümüzde herkes için – en temel işlem aracının web siteleri olduğu aşikar. Peki bu web sitelerini işleten gerçek veya tüzel kişiler olarak, kullanıcılara ait her türlü kişisel veriye ilişkin birçok sorumluluğumuz olduğunun farkında mıyız?
Birçok web sitesinde veya mobil app’te üyelik kaydı alma aşamasında ve hatta ürünün test edilmesi aşamasında toplanan ve kaydedilen kişisel veriler, web sitesini işleten kişiler bakımından sorumluluk doğurur. Bu sorumluluk, başta 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile Türk Ceza Kanunu’nun kişisel verilere ilişkin hükümleri olmak üzere, sektörel bazlı birçok farklı mevzuattan kaynaklanmaktadır.
Peki kişisel veri ne demek?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örnek vermek gerekirse; isim, soyisim, T.C. kimlik numarası, telefon numarası, e-posta adresi, IP adresi, cinsiyet, ırk, din, siyasi düşünce veya medeni duruma ilişkin bilgilerin tamamı kişisel veri kapsamındadır. Kişisel veriler; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri kapsamında işlenmek zorundadır.
Herhangi bir yolla toplanan ve kaydedilen kişisel veriler hakkında veri sahibi kişilere gerek e-posta, gerekse ilgili web sitelerine konulacak kişisel veri politikaları – ve eğer toplanıyorsa çerez politikaları – aracılığıyla bilgi verilmeli ve tüm bu işlemler için kişilerin açık rızaları alınmalıdır. İlgili verilerin ne şekilde saklandığı da en az açık rıza alma şartı kadar önemlidir. Örneğin basit bir excel dosyasına girilen verilerin, 12345 gibi bir şifreyle korunması ne yazık ki yeterli değildir. Verilerin yanlış ellere geçmemesi adına gereken en yüksek özenin gösterildiğini ve bu kapsamda alınabilecek tüm idari/teknik önlemlerin alındığını ispatlayabilmek, olası bir uyuşmazlıktan sağ çıkabilmenin ön şartlarındandır. Bunun yanı sıra, ortaklık veya şirket dahilinde bir veri sorumlusu belirleme ve veri sorumluluları siciline kaydolma gibi farklı yükümlülükler de söz konusudur.
Önemle belirtmek gerekir ki, kişilere ticari içerikli kısa mesaj veya e-posta gönderebilmek için alınan izin ile kişisel verilere ilişkin olarak alınan açık rıza da birbirinden farklılık göstermektedir. Kişisel verilerinin toplanmasına ve saklanmasına izin veren kişi, kendisine ticari içerikli SMS veya eposta gönderilmesini de onaylamış sayılmamakta; bunun için kişiden ayrıca onay alınması gerekmektedir.
Kişisel verilere yönelik düzenlemelere aykırı davranılması halinde, ilgili kanunlarda 1 milyon Türk Lirasına varan idari para cezası ve en az 1 yıl süreli hapis cezası gibi yaptırımlar öngörülmüştür. Kişisel Verileri Koruma Kurulunun toplandığı ve çalışmalarını hızla devam ettirdiği de göz önünde bulundurulduğunda, tüm girişimcilere tavsiyemiz, web sitelerinin ve diğer iletişim araçlarının kişisel verilere ilişkin düzenlemeler bakımından hukuka uygunluğunun denetlenmesi için vakit kaybetmeksizin hukuki destek almaları yönündedir.