16 Mayıs Salı, 2023
Röportaj
Kişisel Verilerin Korunması Hukuku Hakkında Bilinmesi Gerekenler
Av. Arb. Hazar Can KIPÇAK
Av. Özge KIPÇAK
ANA SAYFA
BLOG
KİŞİSEL VERİLERİN KORUNMASI HUKUKU HAKKINDA BİLİNMESİ GEREKENLER
16 Mayıs Salı, 2023
Kişisel Verilerin Korunması Hukuku Hakkında Bilinmesi Gerekenler
Av. Arb. Hazar Can KIPÇAK
Av. Özge KIPÇAK
1- Merhaba, okuyucularımızın sizi daha yakından tanıması adına, öncelikle kendinizden bahseder misiniz?
Av. Özge KIPÇAK: Merhaba ben Avukat Özge Kıpçak. Gaziantep doğumluyum. Aslında hukuk fakültesinin ikinci üniversitem olduğunu belirtebilirim. Üniversite hayatıma ilk olarak 2011 senesinde Gaziantep Üniversitesi Gıda Mühendisliği bölümünde başladım. Ancak bu süreçte doğru bölümde olmadığım düşüncesi ve hukuk bölümüne karşı duyduğum ilgi sebebiyle hazırlık ve birinci sınıfı okuduktan sonra hedefime sadece hukuk fakültesi bölümünü ve hatta sadece avukat olmayı koyarak yeniden sınava hazırlandım. Böylelikle 2014 yılında Dokuz Eylül Üniversitesi Hukuk Fakültesi’ni kazanmam üzerine İzmir’e geldim. Kısa bir süre sonra ailemin de buraya yerleşmesiyle 2014 senesinden beri İzmir’de yaşamaktayız.
Her ne kadar isteyerek hukuk bölümünü seçmiş olsam da hukuk fakültesi eğitiminin kolay olduğunu söyleyemeyeceğim. Fakültenin ilk senesinde hukuk terminolojisine ve mantığına adapte olmaya çalışıyorsunuz. Bunu kavradıktan sonra ise sürekli kalın hukuk kitapları okumakla üniversite hayatınız sürüyor diyebiliriz. Sonuç olarak 2018 yılında Dokuz Eylül Üniversitesi Hukuk Fakültesi’nden mezun oldum. Yasal ve gönüllü avukatlık stajım süresince özellikle iş - ticaret - sözleşmeler hukuku alanlarında kurumsal şirketlere danışmanlık hizmeti sunan butik bir avukatlık ofisinde ve yoğun olarak ticaret hukuku ile icra iflas hukuku alanında çalışan kurumsal bir hukuk bürosunda çalışma deneyimi edindim. Avukatlık mesleğinde yetkinlikle birlikte bireysel becerinin de önemli olması sebebiyle bağlı olarak değil bağımsız bir şekilde yapılması gerektiğini düşündüğümden 2019 yılında avukatlık ruhsatımı aldıktan sonra doğrudan kendi ofisimi açarak mesleğe başladım. 2021 senesinde hayatlarımızı birleştirdiğimiz eşim Hazar ile aynı sene içerisinde iş ortaklığı da kurarak Kıpçak & Kıpçak Avukatlık Ofisi çatısı altında avukatlık ve danışmanlık hizmetlerimizi sürdürmeye başladık. Ofisimizin iş hukuku ve kurumsal danışmanlıkla beraber sözleşmelerin hazırlanması ve incelenmesi alanında müvekkillerimize sunduğu hizmetlerle ilgilenmekteyim. Bunun haricinde kişisel gelişim ve psikoloji alanlarına ilgim var. Mesleğim haricinde bu alanlarda kitaplar okumak ve kendimi geliştirmekten keyif alıyorum. Bir diğer merakım ise yoga. Henüz başlangıç aşamasında olsam da uzun zamandır başlamak istediğim bir yoldu. İnsanların meslekleri ile ilgili konular dışında kişisel hobileri ve ilgi alanlarına da zaman ayırmaları gerektiğini düşünüyorum.
Av. Arb. Hazar Can KIPÇAK: Merhaba, İzmir Bornova doğumluyum, bir İzmirli olarak lisans eğitimimi de bu şehirde tamamlamak istediğim için henüz lisedeyken hedefimi Dokuz Eylül Üniversitesi olarak belirlemiştim. 2017 senesinde Dokuz Eylül Üniversitesi Hukuk Fakültesi’nde lisans eğitimimi tamamladım.
Lisans eğitimimin son iki yılında özellikle tüketici hukuku alanında uzmanlaşmış ve bununla beraber kredi kurumlarına avukatlık hizmeti sunan bir hukuk bürosunda yarı zamanlı olarak çalıştım. Bu çalışma dönemi bana henüz fakülte yıllarımda iken etkin raporlama ve analiz becerisi kazandırmıştı. Bununla birlikte bir avukatlık bürosunda organizasyon ve planlama nasıl olmalı bunları öğrenebilmiştim. Nitekim mezun olduktan sonra aynı büroda stajımı tamamlayarak özellikle kredi kurumlarının icra hukukundan kaynaklanan işlerinde avukat olarak çalışmaya devam ettim. Sonrasında ise eşim Özge’yle işlerimizi birleştirerek, Kıpçak & Kıpçak Avukatlık Ofisi çatısı altında ortak büromuzu kurma hedefimizi gerçekleştirmiş olduk. Ofisimizde KVKK Uyum Süreci Projelerini bizzat yürütüyor, bireysel ve kurumsal müvekkillerimize iş ve ticaret hayatında karşılaştıkları sorunların çözümünde hukuki destek sağlamayı sürdürüyorum. Öğrencilik döneminde çalışarak edindiğim deneyimler sayesinde avukatlık bürosundaki organizasyonların mutlaka bir hukuk otomasyonu ile yönetilmesi gerektiğini oldukça erken kavramış oldum. Bu sayede eşimle ortak olarak yürüttüğümüz işlerimizi daha kolay takip edebilmek, görev ataması yapabilmek ve finans yönetimini sağlayabilmek için başladığım arayışta GÜNCE ile karşılaştık.
Mezuniyet sonrasında avukatlık mesleğine yöneldiğim için kariyerimde nitelikli uzmanlık edinebilmek amacıyla İzmir Ekonomi Üniversitesi Lisansüstü Eğitim Enstitüsü Özel Hukuku Anabilim Dalında yüksek lisans eğitimine başladım ve geçtiğimiz yıl “Çalışanların Kişisel Verilerinin İş İlişkisi Kapsamında Korunması” konulu yüksek lisans tezimi değerli danışmanım Prof. Dr. Zeynep Şişli’nin yol göstericiliğinde tamamladım ve saygıdeğer hocalarım önünde başarıyla savundum. Şimdi ise emek verdiğim bu yüksek lisans tezimi değişen mevzuatı dikkate alarak güncelledim, Kişisel Verileri Koruma Kurulu başta olmak üzere çeşitli ülkelerin veri koruma otoriteleri ile Yargıtay, Danıştay, Anayasa Mahkemesi ve AİHM gibi yüksek yargı organlarının konuya dair verdiği kararları ekleyerek genişlettim ve kitap olarak yayımlanması için çalışmalarımı tamamladım. Önümüzdeki günlerde yayımlanmasını heyecanla bekliyorum.
2- Hazar Bey, yüksek lisansınızda sunduğunuz tezinizi bir kitap haline getirme çalışması içinde olduğunuzdan bahsettiniz. “Çalışanların Kişisel Verilerinin İş İlişkisi Kapsamında Korunması” kitabınızın içeriğini biraz detaylandırır mısınız? Avukatlarımız bu kitabı okuduğunda neler öğrenebilir?
Av. Arb. Hazar Can KIPÇAK: Çalışma ilişkisi, işverenlerin çalışanlarına ait birçok kişisel veriyi işlemesini gerektiriyor. İşverenler, çeşitli hukuki düzenlemelerle belirlenen yükümlülüklerini yerine getirirken veya özellikle işyerindeki bazı elektronik gözetleme uygulamaları nedeniyle çalışanlarının kişisel verilerini işlemek durumunda kalabiliyor. İşveren ve çalışan arasındaki bu çalışma ilişkisinde çalışanlar, istihdam edenlere göre daha zayıf konumdalar ve ekonomik açıdan işverenlerine bağımlılar. Bu duruma bir de işverenlerin yönetim hakkı eklendiğinde çalışanların anayasal hakkı olan kişisel verilerinin korunmasını isteme hakkının da öncelikli olarak korunması gerekiyor. Bu nedenle emek hayatını oluşturan esas unsur olan çalışan grubunun sahip olduğu haklar konusunda bir değerlendirme yapmak amacıyla ben de bu akademik çalışmayı gerçekleştirmek istedim.
Özellikle ulusal mevzuatımız dışında uluslararası mevzuata da değinerek yaptığım değerlendirmeleri içeren bu eserde, sadece iş sözleşmesiyle çalışan işçinin kişisel verilerinin korunması hakkı değil değil aynı zamanda kamu sektöründe çalışan işçi ve memurlar ile özel sektörde çalışan işçi benzeri stajyer ve çırakları, hatta iş başvurusunda bulunan aday işçileri de kapsayacak şekilde ILO Sözleşmelerinde ve diğer uluslararası regülasyonlarda ele alındığı haliyle genel olarak “çalışan” kavramını kullandım. Bununla birlikte kişisel verilerin korunması hukuku alanının bilhassa ülkelerin veri koruma otoritelerinin ve yargı mercilerinin kararlarıyla gelişen içtihat temelli bir alan olduğunu dikkate alarak tezimi kitaplaştırırken Kişisel Verileri Koruma Kurulu, Yargıtay, Danıştay, Avrupa Birliği Adalet Divanı, Anayasa Mahkemesi gibi kurumların ve yabancı veri koruma otoritelerinin verdiği 60’ın üstünde kararla zenginleştirdim. Böylelikle teorik konuları ve bu alana dair terimlere ilişkin tanımları somutlaştırarak uygulamada yaşanan sorunların çıkış noktalarına ve yargı mercilerinin olayları hangi bakış açısıyla ele aldığına dair tespitlerde bulunma imkânım oldu. Meslektaşlarım için de uygulamada müvekkillerinin yaşadığı sorunlar bakımından başvurabileceği bir eser olarak faydalı olmasını dilerim.
3- Kişisel Verilerin Korunması Kanunu kimleri kapsıyor? Özellikle kimler için zorunlu hale geliyor, kimler bu kanundan muaf olabiliyor?
Av. Arb. Hazar Can KIPÇAK: Ülkemizde 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun kapsamını koruma altına aldığı ve çeşitli yükümlülükler öngördüğü gruplar şeklinde ikiye ayırmak mümkün. Buna göre; Kanun’un 2. maddesinde belirtildiği üzere sadece gerçek kişilerin Kanun’un koruması kapsamında olduğunu, ancak öngörülen yükümlülükler bakımından gerçek ve tüzel kişi veri sorumlusunun yükümlülükleri arasında herhangi bir fark güdülmediğini görüyoruz. Aynı şekilde Kanun, kamu tüzel kişiliği ile özel hukuk tüzel kişiliği arasında da herhangi bir ayrım yapmıyor. Yani kamu tüzel kişiliğine sahip kurumlar da bu Kanun’un öngördüğü yükümlülüklere, usul ve esaslara uymalılar.
Fakat, bir konferansa katılan öğrencilerin boş bir kâğıda sadece isim ve soy isim bilgilerini yazmalarının istenmesi örneğinde olduğu gibi gelişigüzel şekilde herhangi bir sistematiğe uymayan veri işleme faaliyetleri Kanun kapsamının dışında tutulmuş durumda. Kanun açısından önemli olan husus kişisel verilerin belli kriterlere göre yapılandırıldığı ve işlendiği bir veri kayıt sisteminin bulunması hali. Örneğin işverenlerin sistematik bir özlük dosyası tutması bu kapsamda onları veri sorumlusu haline getiriyor. Kanun, kişisel verilerin; aile içerisindeki faaliyetler kapsamında işlenmesi, resmi istatistik ve planlama gibi amaçlarla işlenmesi, milli güvenlik ve kamu güvenliğini sağlamak gibi amaçlarla işlenmesi, görevini kanunlardan alan kamu kurum ve kuruluşlarınca önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ve soruşturma, kovuşturma, yargılama veya infaz işlemleri kapsamında yargı makamları veya infaz mercileri tarafından işlenmesi gibi hallerde de uygulanmıyor. Örneğin; cumhuriyet savcılıklarının soruşturma yaparken gerçekleştirdiği kişisel verileri toplama, işleme ve saklama gibi faaliyetler bakımından Kişisel Verilerin Korunması Kanunu, kendisine uygulama alanı bulmuyor.
Kanun’un veri sorumlularına getirdiği başlıca yükümlülükleri saymak gerekirse; aydınlatma yükümlülüğü, veri sorumluları siciline (VERBİS) kayıt, kişisel verileri işlenen ilgili kişiler tarafından yapılan başvuruların cevaplanması, kurul kararlarının yerine getirilmesi yükümlülüğü ve veri güvenliğine ilişkin yükümlülükler. Bu yükümlülüklere bütün veri sorumlularının uyması gerekiyor. Ancak uygulamada VERBİS’e kayıt yükümlülüğü ile Kanun’a uyumluluk birbirine karıştırılmakta. Şirketlerde, sicile kayıt kapsamına girmiyorlarsa Kanun’un gerektirdiği diğer hususları da yerine getirmek zorunda değillermiş gibi genel bir anlayış var. Oysaki VERBİS’e kayıt olmasalar dahi Kanun kapsamında kalan veri sorumlularının başta aydınlatma yükümlülüğünü ve Kanun’da yer alan diğer yükümlülükleri yerine getirmesi, gereken hukuki metinleri hazırlaması ve bulundurması, Kanun’da yer alan usul ve esaslara uyması gerekiyor.
Ayrıca Kişisel Verileri Koruma Kurulu, verdiği kararlarla avukatlar, noterler, mali müşavirler, gümrük müşavirleri gibi bazı meslek gruplarını ve çalışan sayısıyla yıllık cirosuna bağlı olarak bazı veri sorumlularını sicile kayıt yükümlülüğünden istisna tutmuş durumda. Ancak belirttiğimiz gibi bu durumda olan veri sorumluları da Kanun’da yer alan diğer yükümlülükleri yerine getirmeli.
Kısaca özetlemek gerekirse; KVKK, kişisel verileri işleyen tüm gerçek ve tüzel kişileri kapsıyor. Yani şirketler, kamu kurumları, dernekler, vakıflar gibi tüm kuruluşlar ve kişiler KVKK'nın kapsamında olup Kanun’dan doğan yükümlülüklerini yerine getirmeliler.
4- Çalışanlarla yapılacak iş sözleşmelerinde kişisel verilerin korunması hukuku açısından nelere dikkat edilmeli? Sözleşme inceleme aşamasında en çok karşılaştığınız eksiklikler nelerdir?
Av. Özge KIPÇAK: Öncelikle taraflar arasındaki iş sözleşmesi akdedilmeden önce çalışanın kişisel verilerini toplayacak ve işleyecek olan veri sorumlusu işverenin aydınlatma yükümlülüğünü yerine getirmesi gerekiyor. Bu aydınlatma yükümlülüğünü yerine getirirken işçinin hangi kişisel verilerini hangi amaçlarla işleyeceğini, kimlerle ve neden paylaşacağını, ne kadar süreyle saklayacağını, saklarken hangi tedbirleri aldığını belirtmesi gerekli. Bununla birlikte iş ilişkisi boyunca çalışanının kişisel verilerini işleyebilmesi için açık rıza almalı. Açık rıza için Kanun’da herhangi bir şekil şartı ön görülmese de işverenin bu açık rızayı yazılı bir şekilde alması ileride ispat sorunu yaşamaması açısından önemli.
Ayrıca KVKK’nın ruhunda gerekli olmadıkça hiçbir verinin toplanmaması esası yatıyor. Bu nedenle özellikle iş sözleşmesiyle çalışan işçiler bakımından işverenlerin yapacağı sözleşmelerde gerekli olmayan verilerin toplanmaması lazım. Örneğin, işçiye herhangi bir kira yardımı ödenmeyecekse kirada mı yoksa kendi evinde mi oturduğuna ilişkin verinin toplanması gerekmeyecektir. Benzer bir şekilde çalışanın özel nitelikli kişisel verisi niteliğinde olan sabıka kaydı gerekmedikçe istenmemelidir.
Uygulamada ise aydınlatma metni ve açık rızanın bir arada aynı sayfada olduğunu ve hatta bu dokümanların iş sözleşmesine ek yapıldığını görüyoruz. Ancak Kişisel Verileri Koruma Kurulu’nun verdiği kararlarda da aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiğinin altı çizilmekte.
Ayrıca işçinin vereceği açık rıza onun özgür iradesine dayanmalı. Yani işçiye talep edilen kişisel verilerini vermesi ve bu verilerin işlenmesi hususunda bir baskı kurulmamalı, işçide “bu verilerimi vermezsem işe alınamam” şeklinde bir düşünce oluşturulmamalı. Fakat işverenlerin bazen hukuki yükümlülüklerini yerine getirmesi veya sözleşmeden doğan yükümlülüklerin ifası amacıyla veri işlemesi de söz konusu olabilir. Örneğin iş sözleşmelerinde çalışanın belirli bir ücret karşılığı iş görme edimi üstlendiği göz önüne alındığında işverenin, maaş yatırabilmesi için çalışanına ait banka hesap numarasını bilmesi ve bunu işlemesi gerekecektir. Böyle durumlarda Kanun, açık rıza alınmadan da bu verilerin işlenebilmesine izin veriyor. Zaten Kişisel Verileri Koruma Kurulu da verdiği kararlarda, açık rıza alınmasına gerek duyulmayan hallerde boşu boşuna açık rıza almanıza gerek yok diyor. Bu nedenle işverenler özellikle “battaniye rıza” olarak adlandırılan, adeta “bütün kişisel verilerimin işlenmesine açık rızam vardır” şeklinde oldukça geniş kapsamlı açık rıza metinleri almamaya dikkat etmeli.
Bunlar genel olarak iş sözleşmelerinin hazırlanması aşamasında kişisel verilerin korunması açısından dikkate alınması gereken hususlar. Ancak sözleşme hazırlığında önem verilmesi gereken daha birçok nokta bulunuyor.
5- Bunun dışında iyi bir sözleşmede başka hangi hususlar yer almalı? Sözleşme hazırlarken nelere dikkat edilmeli?
6098 sayılı Türk Borçlar Kanunu uyarınca ve hukukumuzda benimsenen sözleşme özgürlüğü ilkesi ile taraflar, bir sözleşmenin içeriğini kanunda öngörülen sınırlar içinde özgürce belirleyebilirler. Ancak bir sözleşmenin geçerli olabilmesi için kanunun emredici hükümlerine, ahlaka, kamu düzenine, kişilik haklarına uygun olmalı ve konusu imkânsız olmamalıdır. Öncelikli olarak sözleşme konusunu belirlerken bu duruma dikkat etmek gerek. Ayrıca sözleşmede tarafların hak ve yükümlülüklerini açık ve net bir şekilde belirlemek ileride yaşanacak uyuşmazlıkların önüne geçilmesini sağlamakla birlikte hükümlerin herkes tarafından farklı yorumlanmasını da engelleyecektir. Bize göre iyi bir sözleşme, taraflar arasında uyuşmazlık yaratmayan, hâkim önüne gitmeyen sözleşmedir.
Genel hatlarıyla bir sözleşmede dikkat edilmesi gereken konu başlıklarını şöyle sıralayabiliriz:
Şekil şartı: En başta yapılmak istenen sözleşmenin bir şekil şartına tabi olup olmadığını belirlemek sözleşmenin geçerliliğini sağlamak açısından en önemli nokta. Bazı sözleşmelerin geçerlilik kazanabilmesi için noter huzurunda yapılması gerekebilir. Bu durumda tarafların kendi aralarında yaptığı sözleşme ne kadar iyi hazırlanmış olursa olsun gereken şekil şartını sağlamadığı için geçersiz olacaktır.
Tarafların bilgileri: Sözleşmenin başında tarafların tam ve doğru kimlik bilgilerinin yer alması gerekmektedir. Uygulamada özellikle limited şirketlerin oldukça uzun şirket unvanlarına sahip olması ve bu unvanların kısaltılarak yazılması tarafın net olarak belirlenmesi hususunda sıkıntılar doğurabiliyor. Bu nedenle biz özellikle şirketlerin tam ve açık unvanlarının ve vergi numarası, ticaret sicil numarası, MERSİS numarası gibi tüm belirleyici bilgilerinin de sözleşmelere yazılmasını öneriyoruz.
Sözleşme konusu: Sözleşmenin konusu açık ve net bir şekilde belirtilmeli, bu durum belirlenirken daha önce bahsettiğimiz gibi kanunun emredici hükümlerine, ahlaka, kamu düzenine, kişilik haklarına aykırı olmamalı.
Tarafların hak ve yükümlülükleri: Sözleşmede tarafların üstlendiği borçlar ve sahip olduğu haklar açıkça belirtilmeli, bedel ve ödeme şekillerine açıkça yer verilmeli. Ödeme tarihleri ve ödeme koşulları detaylandırılmalı. Kısaca sözleşmede üstlenilen borçların ifa yeri, ifa zamanı ve ifa şekli net olarak belirtilmeli.
Ayrıca tarafların sorumlulukları net bir şekilde belirtilirken yetki devri, alt yüklenicilerin kullanımı, cezai şart konusu ve diğer benzer hususlar da detaylandırılmalıdır.
Gizlilik hükümleri: Sözleşme görüşmeleri sırasında ve sözleşmenin hükümleriyle ilgili tarafların karşılıklı olarak hangi bilgilerin gizli kalacağı, nasıl saklanacağı ve hangi şartlar altında açıklanabileceği belirtilmelidir.
İhtilafların çözümü: Bir sözleşme ne kadar iyi hazırlanırsa hazırlansın yine de istenmeyen durumlarla karşılaşılabilmekte. Böyle durumlarda uyuşmazlıkların çözümüne yönelik hükümlerin henüz sözleşme hazırlanırken belirlenmesi çözüm sürecinde oldukça kolaylık sağlıyor. Bu nedenle hazırlık sırasında bir risk analizi yapılarak ne gibi ihtilaflar çıkabileceğinin tespiti hem sözleşme hükümlerinin buna göre hazırlanmasında hem de çözüme ilişkin yolları gösteren hükümlerin sözleşmeye konulmasında yardımcı oluyor. Biz çoğu zaman somut durumun özelliklerine göre eğer taraflar da istiyorsa tahkim şartı konulmasını ve uyuşmazlıkların tahkimle çözülmesini öneriyoruz. Böylelikle müvekkillerimiz uzun yargı süreçlerine göre nispeten daha kısa ve daha etkili çözüm sunduğuna inandığımız tahkim süreciyle uyuşmazlığı bir an önce gidermiş ve ticari faaliyetlerine odaklanmış oluyor.
Kanunların uygulanması: Sözleşmenin hangi kanunlar kapsamında olduğu belirtilmeli, bu kanunlar ve diğer ilgili mevzuata uyulması taahhüt edilmelidir. Özellikle yabancılık unsuru içeren sözleşmelerde bu duruma dikkat edilmesi gerekir.
Tarafların yetkili olup olmadığı: Sözleşmenin taraflarından biri tüzel kişi ise bu durumda tüzel kişilik adına imzalayanların böyle bir sözleşme yapmaya yetkili olup olmadığı hususu netleştirilmeli. Bu durum da sözleşmenin bağlayıcılığı açısından önem taşıyor. Yine vekaleten imzalayacak kişiler bakımından vekaletnamenin geçerli olup olmadığının tespiti de yapılması gerekenlerden.
Süre ve sona erme: Sözleşmenin süresi, sona erme şekli ve bu sona erme halinin kendiliğinden mi yoksa bir bildirimle mi olacağı açık ve net bir şekilde belirtilmelidir. Fesih usulünün önceden belirlenmesi yaşanabilecek uyuşmazlıkların önüne geçer. Ayrıca tarafların sözleşmenin uzaması yönündeki iradesi de dikkate alınarak hangi şartlarda yenileneceğine de yer verilmeli.
Sözleşme hazırlama sürecinde bu hususların göz önüne alınarak hazırlandığı bir taslak üzerinden müzakerelerin yürütülmesi daha sağlıklı olmakta. Sözleşme hazırlarken gereksiz detaylarda boğulmaktan kaçınmalı ancak yükümlülükleri etkileyebilecek yan hususlara dikkat edilmeli. Neticede tüm bu unsurların yanı sıra, sözleşmenin açık, anlaşılır ve tarafların haklarını koruyacak şekilde yazılması önem arz etmekte.
Aslında sözleşme hazırlık aşamasını koruyucu/önleyici hukuk hizmeti olarak benimseyip süreci yönetmeye başlamak daha doğru olacaktır. Çünkü taraflar müzakere aşamasında mutabık kalmış olsa dahi süreç içerisinde beklenebilir veyahut beklenemez birtakım uyuşmazlıklar doğabilmektedir. Bu nedenle tüm bu olası durumları tarafların haklarını gözetecek şekilde sözleşme hazırlık aşamasında ele almakta yarar var. Bazen bu olası durumlara yönelik maddeler müvekkil veya karşı taraf için karmaşık veya gerekli olmayan ayrıntılar gibi düşünülüp sözleşmede yer verilmesine sıcak bakılmıyor veya tam tersi kurumsal yapıların sözleşmelerde standartlaşmaya gittiğini ve bunun bazı durumlarda sözleşmenin asıl amacını aşan şartlar içermesi sebebiyle anlaşmaya varılamaması durumları da olabilmekte. Her durumda müvekkillerimizi bu anlamda açık ve net bir şekilde bilgilendirip, inisiyatif müvekkillerimizde olacak şekilde süreci yürütmek avukat olarak sorumluluklarımız bakımından sağlıklı olacaktır.
Eğer sunulmuş bir sözleşme incelenecek ise tarafların sözleşmeyi imzalamadan önce dikkatlice okumalarını ve gerektiğinde alanında uzman bir avukatın desteğini almalarını tavsiye edebiliriz. Sözleşmenin bir parçası olan sözleşme eklerini de atlamamak gerekir. Usulüne uygun imzalanan sözleşme eklerinin de sözleşme hükmünde olduğu unutulmamalı. Dolayısıyla eklerin de detaylı bir şekilde incelenmesi gerekiyor. Mutabık kalınan şartların sözleşme ile uygunluğunu kontrol etmek de oldukça önemli.
6- Bir şirket, hangi aşamada Kişisel Verilerin Korunması Kanunu’na uyum ve sözleşme yönetimi konularında destek almalı?
Av. Özge KIPÇAK: Sözleşmeler hukuku oldukça özel bir alan; sözleşmelerin hazırlanması, müzakeresi ve uyuşmazlıkların çözümü gibi konular olduğundan uzmanlık gerektirebilir. Sözleşmelerin doğru hazırlanması, müzakeresi ve uygulanması, şirketin hukuki risklerini minimize etmesine yardımcı olabilir. Bu açıdan sözleşmeler bir şirketin karşılaşabileceği hukuki riskleri yönetmek için önemli bir araçtır. Şirketlerin hukuki danışmanlık alarak iş yapmaları, kaynaklarını etkili bir şekilde yönetmelerine yardımcı olur. Hukuki süreçleri anlamak, şirketlerin daha hızlı ve daha verimli bir şekilde iş yapmalarını sağlar. Şirketlerin ihtiyaç duyduğu sözleşmelerin doğru bir şekilde tespit edilmesi ve hazırlanması oldukça önemli. Sözleşme hazırlarken doğru terimlerin kullanılması, sözleşme yerine getirilirken uyuşmazlık yaşanmasının önüne geçecektir. Aynı şekilde hazırlanan sözleşmelerin müzakeresi sırasında destek alınması şirketin çıkarlarının korunmasına ve olası hukuki risklerin azaltılmasına yardımcı olabilir. Yine şirketlerin taraf olduğu sözleşmelerle ilgili bir uyuşmazlık yaşanması durumunda sözleşmede yer alan hükümlerin doğru bir şekilde yorumlanması ve uygulanması, uyuşmazlıkların farklı seçenekler göz önüne alınarak çözülmesi önemlidir. Bu nedenle şirketler her zaman bu alanda bir profesyonelin desteğine ihtiyaç duyabilir.
Av. Arb. Hazar Can KIPÇAK: KVKK kapsamında hali hazırda veri sorumlusu olan şirketlerden VERBİS’e kayıt yükümlülüğünü yerine getirmesi gerekenler için öngörülen süreler doldu. Şirketler genellikle VERBİS’e kaydolabilmek için KVKK uyum süreçlerini gerçekleştiriyor ve bu amaçla hukuk ve bilişim profesyonellerinden destek alıyordu. Ancak belirttiğimiz gibi Kişisel Verilerin Korunması Kanunu’na uyum sadece VERBİS kaydından ibaret değil. Bu nedenle şirketler geç kalmadan KVKK uyum süreçlerini tamamlamalılar.
Sonradan VERBİS’e kayıt yükümlülüğü şartlarını karşılar hale gelen veya yeni kurulan bir şirket ise bu durumdan itibaren 30 gün içerisinde kaydını yaptırması ve dolayısıyla KVKK uyumunu da gerçekleştirmesi gerekiyor.
Kişisel verilerin korunması hukuku oldukça karmaşık ve teknik bir alan olmakla birlikte sadece 6698 sayılı Kanun’dan ibaret değil. Daha önce de bahsettiğim gibi Kişisel Verileri Koruma Kurulu’nun kararları diğer yargı içtihatlarıyla şekillenmekte. Bu nedenle özellikle hukuk departmanı bulunmayan şirketlerin kendi bünyelerinde bu uyumu sağlamaları oldukça zor. Ayrıca her şirketin farklı kişisel verileri farklı şekilde topladığı, işlediği ve sakladığı göz önüne alındığında tek bir uyum sürecinden ve matbu evrakla yapılacak dokümantasyondan bahsetmek mümkün değil. Bu nedenle, konunun uzmanı hukukçu ve bilişimcilerden destek almaları, Kanun’un gerekliliklerini ve şirketlerinin yasal yükümlülüklerini anlamalarına yardımcı olabilir. Nitekim Kanun’a uyum süreci alınması gereken idari tedbirlerin tespit edilmesini ve uygun hukuki metinlerin hazırlanmasını gerektiriyor, aynı zamanda uyum sürecinde ihtiyaç duyulan teknik tedbirlerin belirlenmesi bir bilişim uzmanından yararlanmayı da zorunlu kılıyor. Ayrıca uyum sürecinin süreklilik gerektiren özel bir durumu var. Zamanla şirketlerin veri işleme süreçleri değişebileceği için, bu süreklilik politikaları ve prosedürlerin de güncellenmesi gerekmekte. Sürekliliğin, veri koruma hedeflerine ulaşmak ve KVKK uyumunu sürdürmek için önemli bir faktör olduğu göz önüne alındığında işin profesyonellerinden her zaman destek alınması önem taşıyor.
7- KVKK’ya uyum projeleri nasıl gerçekleştirilir? Dikkat edilmesi gereken adımlar, süreçte yapılması gereken işlemler nelerdir?
Av. Arb. Hazar Can KIPÇAK: KVKK uyum süreci projelerinde her veri sorumlusunun farklı bir yapıya sahip olduğu, dolayısıyla veri işleme süreçlerinin farklılık arz edeceği hiçbir zaman unutulmamalıdır. Bu nedenle böyle bir projeye başlarken bizim ilk adımımız hizmet verdiğimiz veri sorumlusu şirketi tanımak oluyor. Bu noktada veri sorumlusunun faaliyet gösterdiği sektörü de tanımak oldukça önemli, işlenen verilerin sektörlere göre farklılık gösterdiği projeyi planlarken göz önünde bulundurulmalı. Böylelikle şirket çalışanlarıyla birlikte oluşturduğumuz bir proje ekibiyle uyum sürecini planlamaya koyuluyoruz. Aynı zamanda bu ekiple tüm süreci yönetiyor ve süreç tamamlandıktan sonra süreklilik konusunda iş birliğimizi sürdürüyoruz.
Bundan sonraki aşamanın veri envanteri hazırlamak üzerine olması gerekiyor. Diğer bütün aşamalardan önce veri sorumlusu şirketin tanınması ve veri envanterinin hazırlanması önem arz ediyor. Proje ekibi ile birlikte hazırlanan veri envanteri adeta uyum sürecinin iskeletini oluşturmakta. Çünkü ilerleyen aşamalarda hazırlanacak hukuki metinler ve politika metinlerinin veri envanterinde yer alan bilgilere göre oluşturulması gerekiyor.
Bu süreçte risk analizinin de yapılması oldukça önemli; risk analizi, kişisel verilerin işlendiği iş süreçlerindeki potansiyel risklerin belirlenmesini sağlıyor. Dolayısıyla işletmenin kişisel veri işleme süreçlerinde olası güvenlik açıklarının ve potansiyel veri ihlali risklerinin analiz edilmesi prosedürlerin belirlenmesi ve politika metinlerinin oluşturulmasında önem arz ediyor.
Veri envanteri hazırlanıp risk analizi gerçekleştirildikten sonra yapılan tespitler neticesinde şirketin kişisel veri işleme süreçleri için uygun politika ve prosedürler oluşturulmalı. Bu politika ve prosedürlerin, kişisel verilerin işlenmesi, saklanması, paylaşılması ve imha edilmesi gibi konularda detaylı kurallar içermesi gerekmekte. Bununla birlikte hazırlanan veri envanteri sayesinde alınması gereken idari tedbirler de belirlendikten sonra ihtiyaç duyulan hukuki metinler, sözleşmeler ve taahhütnameler düzenlenmeli. Ayrıca var olan sözleşmelerde gerekli tadiller yapılmalı ve KVKK uyumlu hükümler eklenmeli.
Ayrıca yine veri envanteri dikkate alınarak şirketin IT departmanıyla birlikte alınması gereken teknik tedbirler belirlenmeli. Bazı veri sorumlularının böyle bir uzman personeli veya IT departmanı bulunmayabiliyor. Böyle durumlarda mutlaka bir bilişim uzmanından haricen destek alınmasını öneriyoruz veya bizler iş birliği içerisinde olduğumuz bilişim uzmanlarını proje ekiplerimize dahil ediyoruz. Neticede tüm bu süreç tamamlandıktan sonra veri sorumlusu şirketin VERBİS’e kayıt yükümlülüğü altında olduğunu tespit edersek bu kaydın da gerçekleştirilmesi gerekli.
KVKK uyum süreci projeleri; veri sorumlusuna, veri sorumlusu bünyesindeki bir ekibe veya veri sorumlusunun çalışanlarının tamamına farkındalık eğitimi verilmesini de gerektirebilir. Neticede daha önce de bahsettiğim gibi KVKK uyum süreci tamamlandıktan sonra sürekliliğin sağlanması gerekir. Kişisel verilerin korunmasına dair herhangi bir farkındalık eğitimi verilmeden süreç tamamlanıp tüm dokümantasyon teslim edildiğinde genellikle teslim edilen evrakın öylece kaldığını, veri işleme sürecine dahil olan personelin hatası nedeniyle veri ihlalleri yaşanabildiğini, kısaca uyum süreci şeklen tamamlansa da veri koruma kültürünün dikkate alınmadığını görüyoruz.
Belirttiğimiz bu adımların uygulanması, KVKK uyum projelerinin başarılı bir şekilde tamamlanmasını sağlayacaktır. Ancak, her veri sorumlusu şirketin farklı bir yapısı ve ihtiyacı olduğundan, bu adımlar uygulanmadan önce özelleştirilmiş bir uyum planı oluşturulması da önemlidir.
8- İşverenlerimiz açısından düşünürsek, KVKK alanında dikkat edilmesi gereken hususlar neler olur?
Av. Arb. Hazar Can KIPÇAK: İşyerlerinin ve işyeri uygulamalarının, çalışanların bu haklarına saygı duyacak şekilde düzenlenmesi, işveren şirketlere bir kurum kültürü kazandırdığı gibi aynı zamanda bir şikâyet halinde Kişisel Verileri Koruma Kurulu tarafından oldukça yüksek miktarda hükmedilebilecek idari para cezalarının önüne geçilmesini sağlamakta. Böylelikle işverenlerin piyasadaki itibarı korunmuş oluyor. Aynı zamanda kişisel verilerin korunmasına önem veren ve uyum sürecini tamamlamış şirketlerin marka değerlerinin arttığını gözlemekteyiz.
Hal böyleyken işverenlerin, daha işe alım aşamasındayken kişisel verilerin korunmasına önem vermesi gerekli. Çünkü işverenler, işe aldıkları çalışanlarının kişisel verilerini çeşitli işe alım uygulamaları veya özgeçmişler vasıtasıyla toplamaya ve işlemeye başlıyor. Bu noktada başvuranların açık rıza yönetimi hususu ve işe alınmayan adayların kişisel verilerinin imha edilmesi çok önemli. İş sözleşmesi kuruduktan sonra çeşitli iş yeri politikaları nedeniyle çalışanların kişisel verilerinin risk altında olduğunu söylemek mümkün. Özellikle çalışanların elektronik iletişiminin izlenmesi, mesai takibi amacıyla parmak izi veya biyometrik veri alınması ve kamerayla gözetleme uygulamaları oldukça bıçak sırtı konular. Bu noktada işverenler, işyeri politikalarını oldukça ayrıntılı düzenleyerek çalışanlarını açıkça aydınlatmalı, çalışanlarına tahsis ettiği elektronik aygıtlara ve kullanıcı hesaplarına erişim prosedürlerini önceden bildirmeli.
Bize ayırdığınız değerli vaktiniz için teşekkür ederiz.
