6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 07 Nisan 2016 tarihinde Resmî Gazete ’de yayımlanarak yürürlüğe girmesinden sonra, kişisel verilerin işlenmesi konusunda Türkiye’de yeni bir dönem başlamıştır. Bu yeni dönem, tüm veri sorumlularına, bugüne kadar çok yabancı oldukları birtakım yükümlülükler getirmiştir. Bu durum, iş süreçlerindeki faaliyetlerin tüm aşamaların YENİDEN gözden geçirilmesi, yeniden düzenlenmesi ve yeni alışkanlıkların kazanılmasını zorunlu hale getirmiştir.

Teknolojik gelişmelere paralel olarak hayatı kolaylaştıran, sosyal medya, yapay zekâ destekli uygulamalar ve internet, yapılan her faaliyet sonucunda her yerde dijital ayak izlerimiz bırakmamıza neden olmaktadır. Bırakılan bu dijital izler, her yıl trilyon dolarlara varan bir sektörün yapı taşları, bir başka anlatımla ticari ürün haline gelmektedir.

Hayatımızın kolaylaştırılması ile temel hak ve özgürlüklerimizin güvence altına alınması arasındaki hassas dengenin sağlanabilmesi için bırakılan bu ayak izlerinin, mahremiyet ve özel hayatın korunması çatısı altında, titizlikle ele alınması gerekmektedir. Kişisel verileri kolaylıkla elde eden, saklayan, depolayan yani işleyen şirketlerin, kişisel verilerin korunması konusundaki sorumlulukları her geçen gün daha fazla önem kazanmaktadır.

Kanun’un yürürlüğe girmesinden bu yana, dört yıldan fazla bir süre geçmesine rağmen, yükümlülük altına giren gerçek ve tüzel kişilerin çok büyük bir çoğunluğu, kişisel verilerin korunması hususunda, hiçbir şey olmamış gibi davranmaktadır. Veri sorumlularının bu konudaki yanılgıları, Kişisel Verileri Koruma Kurumunun sadece belirli ölçütlere sahip veri sorumlularının VERBİS siciline kaydolmalarını zorunlu tuttuğu ve sicile kayıt süresinin uzatılmasının herkes tarafından Kanun’un uygulanmasının ertelendiği şeklinde anlaşılmasıdır.

Bir başka yanılgı ise Kişisel Verileri Koruma Kurulunun değişik tarihlerde vermiş olduğu bir takım meslek mensuplarının, veri sorumluları siciline (VERBİS) kaydolmaktan istisna tutulmasının, Kanun’un uygulanmasından istisna şeklinde yanlış yorumlanmasıdır. Kanun’un geçici 1’inci maddesi uyarınca, yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilecektir.

Bu süre içerisinde Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinecek, yok edilecek veya anonim hale getirilecektir. Bu hüküm gereğince 07 NİSAN 2018 tarihinden itibaren iş süreçlerinde kişisel veri işleyen tüm gerçek ve tüzel kişilerin, Kanun’a uyumlu hale geldikleri değerlendirilmektedir. Söz konusu sürenin üzerinden de iki yıllık bir süre geçmiştir.

Sonuç olarak, 07 Nisan 2018 tarihinden itibaren, iş süreçlerinde kişisel veri/özel nitelikli kişisel veri işleyen tüm şirketler, kişisel verilerin korunması ile ilgili olarak (veri sorumluları siciline kaydolma yükümlülüğü hariç) mevzuatta belirtilen tüm yükümlükleri yerine getirmek zorundadır.

Bu yazı dizisinde, kişisel verilerle ilgili akademik bir tartışma yapmaktan çok, Kanun’un genel ilkeleri ile kişisel veri işleme şartları kapsamında şirketlerin Kanun’a uyum sürecince yerine getirmeleri gereken hususlar, düzenlenecek alanlar ile uygulamada kaçınmaları gereken noktalarda genel bilgiler verilmeye çalışılacaktır. Güncel kurul kararları ve düzenlemeler ışığında şirketlere yok göstermek ve kişisel verilerin korunması uyum sürecinde ışık tutmak amaçlanmıştır.