Ana içeriğe atla

Kişisel Verilerin Korunması Kanunu Ne Getiriyor?


Dijitalin yükselişi yaşam şeklimizi hızla değiştirdi. Artık bize özel reklamlara, konum bazlı kampanyalara, bir sms ya da telefonumuza gelen bildirimlerle indirimli kahve ve yemek davetlerine alışmakla kalmadık daha fazlasını da bekler olduk. Bunlar hayatımıza “olumlu” yansıdığını düşündüğümüz, mümkünse terk de etmeyeceğimiz kısımlar.

Bir yandan da –her ne kadar sağladığı konforu terk etmek istemesek de- hakkımızda bu kadar bilgi toplanmasının sonucu sonrası ne olur diye bir korkuyu da hissediyoruz.

Süreç Avrupa Birliği’nde başladı. AB, başta Facebook olmak üzere sosyal medya şirketlerine elde ettikleri verileri ülke/birlik sınırları dışına çıkarma yasağıyla başlayan ve hangi bilgileri nasıl elde ettiklerini açıklamaya, kullanıcıların da dilediği zaman kendileri hakkında bilgi toplanmasını engelleme hakkı sağlamaya ve nihayetinde de kişinin talep ederse hakkında elde ettikleri tüm bilgileri silmeye varan bir dizi kısıtlama getirdi. Bu konuda AB sınırları içerisinde halen yeni gelişmeler olmaya devam ediyor. ABD uzunca bir süre bu tarz kısıtlamalardan uzak durdu ama onlarda Trump’ın başkan seçildiği seçimlerin, Facebook kullanıcılarının profil bilgilerini kullanan Cambridge Analytica skandalıyla birlikte bunu konuşur oldular.

Cambridge Analytica politika ve oy kullanma gibi bir alana girdiği ve benzer yöntemlerle Rusya’nın da ABD başkanlık seçimlerini maniple ettiği konuşmalarının ortasında teşhir olduğu için bu kadar tepki çekti. Ama öte yandan, kişilerin daha günlük hatta anlık hayatlarına bakan, inceleyen, müdahil olan (ya da olduğu/olabileceği düşünülen), başına “nöro” alan pazarlama, psikoloji, yönetim vs. dallarda farklı farklı kurum ve kişiler gitgide artan bir yoğunlukla dijital ayak izlerimizi eşeliyorlar.[1]

Türkiye’de AB süreciyle uyumlu olarak geçtiğimiz yıl Kişisel Verileri Koruma Kanununu çıkardı ve kanun kurumlara tanıdığı bir yıllık hazırlık süresinin ardından 1 Mart 2018’de yürürlüğe girdi.[2]

Kanun yürürlüğe girdi girmesine ama pratikte ne şirketler bu süre zarfında hazırlıklarını yapabildi, ne de bu sürecin yol haritasını hazırlaması ve sonrasında da denetim ve takiplerini yapabilmesi amacıyla oluşturulan Kişisel Verileri Koruma Kurulu tam anlamıyla faaliyete geçemedi.[3]

Peki, bu kanun özellikle şirketlere ne gibi yükümlülükler getiriyor?
Öncelikle kanun, kişiyi tanımlayan her bilgiyi “kişisel bilgi” olarak kabul ediyor. (Kanundaki tam tanım “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde.) Şirketlere getirdiği yükümlülükler de bu tanım üzerinden şekilleniyor.

Kabaca üç tür yükümlülük getiriyor kanun şirketlere: 1) Kişisel bilgilerini edindiğiniz kişiye ne tür bilgiler edindiğinizi, hangi yollarla edindiğinizi, bu bilgileri hangi amaçla kullanacağınızı, kimlerle ve ne şekilde paylaşacağınızı ve ne kadar süreyle saklayacağınızın bilgisini açık şekilde vermenizi istiyor. 2) Kişinin, sizin açıkça verdiğiniz bilgiyle birlikte, kişisel verilerini size verdiğine dair açık rıza vermesi koşulunu getiriyor. 3) Topladığınız kişisel verilerin güvenliğinden sizi sorumlu tutuyor, fiziki ortamda tutuyorsanız fiziki tedbirleri, dijital ortamda tutuyorsanız siber güvenlik tedbirlerinizi (bilgi kriptolama vs.) almanız ve bunlara ulaşım noktasında da firma içinde yetkilendirmeleri yapmanız gerekiyor.

Şirketlerin kişisel bilgileri nasıl elde ettiklerine ve aynı zamanda kimlerden açık rıza almaları gerektiğine bakalım!
·         Şirketler çalışanlarının kişisel bilgilerine sahiptir.
·         Şirketler, iş başvurusu yapan ya da iş bulma siteleri üzerinden elde ettikleri bir aday datasına sahiptir.
·         Şirketler, fiziki ya da e-ticaret siteleri ile satış ya da üyelik ilişkisi kurdukları müşterilerinin bir kısım kişisel bilgilerine sahiptir.
·         Şirketler, kimi durumda da B2B ilişki içinde oldukları başka firmalar dolayısıyla da kişisel bilgilere sahip olabilirler.

Yasayla tanımlanmış istisna halleri hariç, başka her durumda kişisel bilgilerin paylaşımı, kullanımı, değerlendirilmesi şu anki durumda ancak açık rıza almış olma koşuluyla mümkün. Yani çalışanlarınızın kişisel bilgilerini (istisna halleri hariç) bir başka kurumla, firmayla paylaşamazsınız, örneğin çalıştığınız bankaya verip her birine kredi kartı çıkarmasını isteyemezsiniz. İş başvurusu yapan adayın muvafakatnamesini almadan önceki işyerini arayıp referans isteyemezsiniz. Müşterilerinizin bilgilerini bir başka firmayla paylaşamazsınız vs vs. Tüm bunlar için, yukarda aktardığım yükümlülükleri yerine getirmiş, kişilerden açık rızalarını (yada şartlı, kısıtlı) beyan eden muvafakatnamelerini almış olmanız gerekiyor. Bunların yapılmadığının tespiti halinde ise 25 bin TL ile 1 milyon TL arasında idari para cezaları öngörülmüş durumda.



[1] ABD’de yapılan bir araştırma, Amerikalıların Facebook beğenilerini (2012’de ortalama 250 beğeni) kullanan bilgisayar algoritmalarının bir insanın kişiliğini değerlendirmede kişinin iş arkadaşlarından, arkadaşlarından hatta aile üyelerinden daha iyi olduğu görüldü. (Anindya Ghose, Pazarlamacılar Kişilik Temelli Pazarlama Hakkında Neler Bilmeli?, HBR Türkiye Haziran 2018)
[2] Bu konuyla ilgili oluşturulan Kişisel Verileri Koruma Kurulu’nun faaliyetlerini https://kvkk.gov.tr/ internet sitesinden takip edebilirsiniz.
[3] İşin doğası ve yeni bir piyasada oluşturması nedeniyle konuyla en fazla ilgilenenler danışmanlık şirketleri. Onların da verdikleri bilgilere göre Kişisel Verileri Koruma Kurulu halihazırda sekreterya çalışması yürütmekte, henüz denetim aşamasına gelememişler ama yakın zamanda geleceklerini kabul edip ona göre davranmak en mantıklısı olacaktır.

Yorumlar

Bu blogdaki popüler yayınlar

Online Satış İadelerinde Gider Pusulası İmzasız Düzenlenebilir

Gider pusulası, Vergi mükellefi olmayanlardan satın alınan ürün ve hizmetlerin belgelendirilmesi ve muhasebe sistemine kaydedilmesi için düzenlenen evraktır. Aynı zamanda tüketicilere satılan ürünlerin iade alınması durumunda da gider pusulası düzenlenir. Yani gider pusulası, fatura hükmündedir. Gider pusulasının şekil ve usulüne ilişkin açıklamalar Hazine ve Maliye Bakanlığı’nın 225 Sıra No'lu VUK Genel Tebliğinde yapılmıştır. Buna göre: ·          Gider pusulaları, mükelleflerce matbaalara bastırılır ya da notere onaylattırılır. ·          Gider pusulası iki nüsha şeklinde düzenlenir. İki nüsha düzenlenmeyen ve gider pusulasında yer alması gereken bilgilerin eksik yazılması durumunda gider pusulaları düzenlenmemiş kabul edilir. ·          Gider pusulalarının bir nüshası işi yapana ya da ürünü satana verilir, diğer nüshası ise düzenleyen kişi tarafından muhafa...

Misli Mal ve Misli Olmayan Mal Ayrımı

Özellikle hukukta karşımıza çıkan kavramlardan biri misli mal ile misli olmayan maldır. Muhasebede de vergi konularında rastlarız bu kavramlara. Çok kolay kullandığımız bu iki kavramı kısaca tanımlayalım:

Dizilerin kıyafet sponsorları KDV’ye tabi mi?

  Fotoğraf Balat Oyuncak Müzesinde çekilmiştir. Markalar için en maliyetsiz reklam çalışmalarından biri, bolca bulunan tv dizilerine sponsor [1] olmak. Dizi de oyuncuların kullandığı eşyalar, giydikleri kıyafetler, yemek yedikleri restoranlar vs. genel de sponsordur. Ürünler genellikle geçici süreyle verilir ve iade alınır. Karşılığında da dizinin sonunda markanın logosu gösterilir. Bu işlem için taraflar yani markayla dizi yapımcısı birbirlerine cash ödeme yapmazlar. İşlem bir tür barterdir. Böyle olduğundan olsa gerek, sözleşmelerde bir bedel yazılmaz, kimse kimseye fatura kesmez, işlem kayıtlara girmez. Bir irsaliyeyle ürün teslim edilir, işi bitince de (genelde aynı irsaliyeyle çünkü dizinin ürün casti iade irsaliyesi de düzenlemez) iade alınır. Ancak KDV mevzuatı açısından bakınca bu işlem yanlıştır. KDV Kanunun 10. Maddesi vergiyi doğuran olayları sıralamıştır: