Son yılların popüler ve dinamik konusu olan kişisel verilerin korunması ticari hayatta gün geçtikçe önem kazanmaya devam ediyor. Özellikle son beş yılda gerek Kişisel Verileri Koruma Kurumu’nun bilgilendirme ve farkındalığı artırmaya yönelik faaliyetleri gerekse kişisel verilerin korunmasına ilişkin kuralların sıkı sıkıya uygulanmasına ilişkin çabalar vatandaşlar nezdinde bu konudaki farkındalığı artırmıştır. Bu da şirketlerin kişisel verilerin korunmasına ilişkin kurallara riayet etmesinde önemli bir rol oynamaktadır.
Peki nedir bu kişisel veri? Kişisel veri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlandığı üzere kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Yani bir bilginin kişisel veri olup olmadığının tespitinde bakılacak ilk kavram bilginin bir gerçek kişiye ait olup olmadığıdır. Eğer bilgi bir tüzel kişiye yani bir dernek, şirket veya tüzel kişi sayılan herhangi bir kuruluşa aitse kişisel veri değildir. Örneğin Ahmet’e ait telefon numarası bir kişisel veriyken, bir şirketin telefon veya faks numarası kişisel veri değildir. Kişilerin imzaları, kimlik numaraları, nereli oldukları, eğitim bilgileri, fotoğrafları gibi bir araya geldiğinde kişileri tanımlamaya yardımcı olan bilgiler kişisel veri niteliğindedir. Bu verilerin, bir yerde kaydedilmesi, başka kişi veya kurumlarla paylaşılması, depolanması, yeniden düzenlenmesi, açıklanması gibi tüm işlemler ise kişisel verilerin işlenmesidir. Mesela, bir çek üzerindeki ve çek arkasındaki imzalar, sözleşmelerdeki şirket yetkilisine ilişkin bilgiler, irsaliyelerde teslim alan kişilere ilişkin bilgilerin hepsi birer kişisel veridir ve söz konusu çekin, imza sirkülerinin veya irsaliyenin şirketinizde saklanması, paylaşılması veya kullanılması gibi işlemlerin hepsi kişisel veri işleme faaliyetidir.
Gördüğünüz gibi, ticari hayatta kişisel verilerin işlenmesi kaçılmazdır. Burada önemli olan kişisel verilerin hukuka uygun işlenmesidir. Aksi takdirde, şirketlerin ciddi tutarlarda idari para cezalarına çarptırılması mümkündür. Kişisel verilerin hukuka uygun işlenmesi ise ciddi bir uyum süreci gerektirir. Bu süreçte şirketin veri işlenen her süreci saptaması, kişisel veri gruplarını belirlemesi, saklama ve imha sürelerini doğru tespit etmesi gibi pek çok kriterin değerlendirilmesi çok önemlidir. Pek çok şirket bu süreçleri göz ardı etmekte ve sadece Veri Sorumluları Sicili (VERBİS) kaydını, onu da çoğu zaman gerçek duruma uymayan şekilde, tamamlayarak kanuna uyumluluğu sağladığını düşünmekte. Bu nedenle de şirketler ciddi idari para cezalarına uğramaktadır.
Kişisel Verileri Koruma Kurumu’nun faaliyet raporlarına göre en yaygın ihbar türleri “kişisel verilerin hukuka aykırı olarak işlenmesi; izinsiz SMS/arama; kişisel verilerin hukuka aykırı olarak üçüncü kişilere aktarılması/paylaşılması” şeklindedir. En çok uygulanan idari para cezaları ise aydınlatma yükümlülüğünü yerine getirmeme için “Alt Sınır: 68.083 TL – Üst Sınır: 1.362.021 TL”; VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi için “Alt Sınır: 272.380 TL – Üst Sınır: 13.620.402 TL” ; veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi için “Alt Sınır: 204.285 TL – Üst Sınır: 13.620.402 TL’dir.
Sonuç olarak konunun öneminin her geçen gün arttığı ve idari para cezalarının da her yıl yeniden değerleme oranında arttığı göz önüne alındığında, vakit kaybetmeksizin kanuna uyum faaliyetlerinin gerçekleştirilmesi gerekir.
Bu yazı Volt Gazetesi’nin Nisan 2025 sayısında yayınlanmıştır.
