İstanbul Serbest Muhasebeci Mali Müşavirler Odası – İSMMMO Tarafından Yayınlanan KVKK Uyum Kılavuzuna İlişkin Değerlendirme

Son günlerde Kişisel Verilerin Korunması Kanunu kapsamında farkındalık arttıkça, işletmelerin endişeleri de artmakta ve bununla doğru orantılı olarak tam bir bilgi sahibi olmadan fikir ve hizmet vermeye çalışanlar da çoğalmaktadır.

İstanbul Serbest Muhasebeci Mali Müşavirler Odası, mali müşavirlik büroları için hazırlamış olduğu KVKK Uyum Kılavuzu isimli çalışma, esasen KVKK’nın bir çok maddesine aykırıdır ve kanuna uygun değildir.

‘KVKK Uyum Kılavuzu’ gibi adlarla yayınlanan benzeri kılavuz ve broşürler, Kişisel Verilerin Korunması Kanunu ile hiçbir başlıkta örtüşmemekte ve içerdikleri dokümanlar da nerdeyse A’dan Z’ye yanlıştır, dikkate alınmamalıdır.

Meslek birlikleri üyelerini hukuka uygun davranmaya yönlendirmek, destek olmak, bilgilendirmek ile yükümlüyken, sundukları kopyala-yapıştır tarzı ve üstelik tamamen hukuka aykırı sözde kılavuzları dikkate alanlar, ceza yemekten kurtulamayacaktır. Zira, KVKK’ya uyumluluk, her bir veri sorumlusu için farklılık gösterdiğinden, tek bir kılavuz dikkate alınarak kanuna uyumlu hale gelmek mümkün değildir.   

İSMMMO’nun yayınlamış olduğu doküman, Kanun’un veri sorumlusuna yüklediği Aydınlatma Yükümlülüğü’nü hiçbir surette sağlamamaktadır. Keza veri sorumlusu, Kanun’un 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’da sayılan hakları yönünden ilgili kişiyi aydınlatmakla yükümlüdür.

Kanun maddesinden de açıkça anlaşılacağı üzere, bu unsurlar gerçekleştirilen veri işleme faaliyetine göre değişiklik göstermektedir. Her veri işleme faaliyetinin hukuki sebebi ve amacı gerçekleştirilen veri işleme faaliyetine göre değişeceğinden, söz konusu kılavuzlarda bulunan ‘hukuki sebep’, ‘veri işleme amacı’ unsurlarında belirtilen birkaç maddeden oluşan sebepler ve amaçlar veri sorumlusunun aydınlatma yükümlülüğünü karşılayamamaktadır.

Söz gelimi genel nitelikli kişisel veri işleme faaliyetine yönelik aydınlatma yükümlülüğü ile özel nitelikli kişisel veri işleme faaliyetine yönelik aydınlatma yükümlülükleri farklılık arz etmekte ve bu iki tür veri işleme faaliyeti farklı hukuki şartlara tabi olmaktadır. Yahut aynı veri sorumlusunun personelinin kişisel verilerine yönelik yükümlülükleri farklı müşterilerine yönelik yükümlülükleri değişkenlik arz etmektedir.

Bu kapsamda, kılavuzda yer alan Çalışan (İşçi) Aydınlatma Metni ‘Kişisel Verilerin İşlenme Amacı’ maddelerinden anlaşılacağı üzere ‘Müşterilere Yönelik Aydınlatma Metni’nin matbu bir kopyası niteliğindedir.

Kanun tarafından veri sorumlusuna yüklenen aydınlatma yükümlülüğü ilgili kişiyi, veri işleme faaliyeti yönünden Tebliğ’in 5. maddesi birinci fıkrasında emredildiği gibi işleme amacı belirli, açık ve meşru şekilde yerine getirilmelidir.

Ayrıca bilgilendirmelerde; genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için işlenebileceği kanaatini uyandıran ifadelerden kaçınılmalıdır.

Söz konusu metinlerin ‘Kişisel Veri İşlenme Amacı’ başlığı altında belirtilen maddeleri işçilere ait kişisel veriler işlenirken güdülen amaçları içermediğinden aydınlatmaktan uzaktır. Aydınlatma Metni hazırlanırken her bir faaliyet ayrı ayrı değerlendirilmeli ve faaliyetin içeriği özenli bir çalışma ile incelenmelidir. 

Uyum Kılavuzu içerisinde dikkat çeken bir diğer husus ise Açık Rıza Metni’dir. Kanun’un 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır.

Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu ve veri işleyenlerce açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir.

Buna göre, genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez. Kanun’un lafzı yeterince açık iken, belirli bir konuya ilişkin olmayan bu tür şemsiye rızaların hukuki geçerliliği bulunmamaktadır.

Aynı şekilde, Uyum Kılavuzu içerisinde yer alan İşçi ile İşveren Arasındaki KVKK Sözleşmesi’nin hukuki geçerliliği bulunmamaktadır. İşçinin iş ilişkisi içerisinde işverene hukuken bağımlı oluşu ve bunun karşılığında işverenin yönetim hakkı, işçinin temel hak ve özgürlüklerini işyerinde nasıl kullanacağı, kişilik haklarının nasıl korunacağı, özellikle işçinin işe girişte verdiği gizli kalması gereken bilgilerin kötüye kullanılması olasılığı, yeni teknolojilerin getirdiği işçinin özel yaşamına müdahale imkanı veren ve kişilik haklarına tecavüz ortamı oluşturan teknolojik olanakların varlığı işçinin kişisel verilerinin korunması gerekliliğini doğurmuştur.

İşbu ahvalde, önemle vurgulanmalıdır ki, Kişisel Verilerin Korunması Kanunu’ndan doğan yükümlülükler matbu birkaç metninin hazırlanması ile yerine getirilemez. Zira her bir kişisel veri işleme faaliyeti ve bunların unsurları değiştikçe, Kanun’dan doğan yükümlülükler de aynı doğrultuda değişecektir.

KVKK ile uyumlu olmak ve hukuka uygun veri işleme faaliyeti gerçekleştirebilmek tek bir aşamadan oluşmamaktadır; bu süreç sağlam temeller kurularak oturtulması ve akabinde sürekli olarak uyumluluğa yönelik adımlar atılması gereken bir süreçtir. Nitekim, 6698 sayılı Kanun ile ilgili mevzuat ve Kurul Kararları ile oluşturulan normlar da bu doğrultudadır.

Kurum tarafından akredite edilmiş herhangi bir kurum ya da kuruluş yoktur. Kanun’un gerekliliği olan idari ve teknik tedbirler için dileyen kişiler, KVK Kurumu tarafından KVK Kanunu’na uyum süreçlerinin yönetilmesi ve Kanun’a uygun şekilde sürecin yürütülmesi maksadıyla yayınlamış olduğu kılavuzlara www.kvkk.gov.tr adresinden ulaşabilir.