KVKK yürürlüğe gireli yaklaşık 3,5 sene oldu ama hala bu yazıyı yazma ihtiyacı duymak aslında oldukça üzücü. Daha önce bu konuda birkaç değerlendirme de kaleme almaya dilim döndüğünce birşeyler aktarmaya çalışmıştım. Ancak son dönemde bazı şirket yetkilileri ile yaptığım ve internet sitelerinde gördüğüm uygulamalar nedeniyle niyeyse kendimi, tekrar bir şeyler söyleme konusunda zorunlu hissettim.
Bu işte adı sanı bilinen kurum ve kişiler dahi kişisel verilerin işlenmesi için ilgili veri sahibinden rıza alınması ile neredeyse tüm yükümlülüklerin yerine getirildiğini varsayıyorlar. YANLIŞ. İnanın bana kişisel verinin işlenebilmesi için veri sahibinin rızasına ihtiyaç duymanız aslında istisnai. Özellikle de bankacılık, sermaye piyasası ve sigortacılık gibi kamu kurumlarının iznine tabi bir faaliyet gösteriyor iseniz. Hele de MASAK mevzuatı ve Tedbirler Yönetmeliğine uymakla yükümlü iseniz büyük bir olasılıkla hem veri işlemenin hukuki dayanağı yasal bir zorunluluktan kaynaklanıyor demektir, hem de verilerin aktarılması. Bu nedenle lütfen RIZA ALMAYIN. Aksi takdirde gereksiz yere aldığınız rıza size idari para cezası olarak dönecek demektir.
Uyumda yapmanız gereken ilk iş ne yazık ki en meşakkatlisi. Düzgün bir uyum çalışması için ilk etapta kişisel veri envanterinizi çıkartmanız gerekiyor. Ancak bu sayede hangi veriyi hangi amaçla/gerekçe ile aldığınızı/işlediğinizi ve işlemenin hukuki dayanağını netleştirebilirsiniz. İnanın bana birçoğunu yasal bir düzenleme ya da yükümlülük nedeniyle alıyorsunuz. Bu durumda, tabi olduğunuz mevzuat kapsamında zaten almanız gereken veriler için lütfen veri sahibinden ayrıca RIZA ARAMAYIN.
Eğer hukukçunuz ya da danışmanınız envanteri çıkartmaksızın veri sahibinden, muhtemelen her ihtimale karşı elimizde dursun bahanesi ile, onay/rıza almanızı öneriyorsa lütfen dikkatli olun. Hatta kusura bakmayın ama söz konusu danışman ya da hukukçu ile çalışmayı bir kez daha gözden geçirin.
Çünkü aslında geçerli bir hukuki dayanak çerçevesinde veriyi işleyebiliyor iken veri sahibinin rızasını alırsanız KVKKr, büyük olasılıkla ve haklı olarak, veri sahibine karşı dürüst davranmadığınız gerekçesi ile idari para cezasına hükmedecektir. Aslında bu rıza olmadan da zaten bu veriyi işleyebiliyorsunuz hatta işlemeniz bir zorunluluk. Hal bu iken rıza aramanız, veri sahibinde sanki izin vermezse veriyi işleyemeyeceğiniz algısını yaratırsınız, dürüst davranmazsınız, ki aslında bu yanlış. Şimdiye kadar görebildiğim KVKKrnun en çok savunma istediği ve idari para cezasına hükmettiği aykırılık da bu.
Bu husus bir yana, görebildiğim en önemli hatalardan bir diğeri, internet sitelerinde çokça yer alan ve iletişim kurulması ya da elektronik ileti listesine kayıt için ziyaretçiler tarafından bırakılan ad/soyad, telefon ve elektronik posta bilgilerinin elde edilmesinde işletilen süreç.
Bu süreçlerin çoğu, en azından benim rastladıklarım, tam bir keşmekeş. İlk hata, ilgili ekranda bilgileri zaten kendisi giren ziyaretçiden bir de onay alınması. Sanki bu yetmezmiş gibi onay verildiğine ilişkin ilgili kutucuğun işaretli, yani onay verilmiş olarak, gelmesi. Ama durun bitmedi, üstüne üstlük bir başkası da, eğer işareti kaldırırsanız, yani onay vermezseniz sitede ilerleyemiyor olmanız. Hangi hatadan başlasam bilemiyorum.
Her şeyden önce ziyaretçi ilgili bilgileri sizinle “kendisi” paylaşıyor. Yani sizin açınızdan ilgili veriyi “alenileştiriyor”. Alenileştirilen veriler için ise rıza alınmasına gerek olmadığı sanırım çok da izaha muhtaç bir durum değildir. Alenileştirme, KVKKn md.5/f.2(d) hükmü kapsamında da rıza alınmasına gerek olmayan bir durum (ama unutmayın aydınlatma yükümlülüğümüz devam ediyor).
O halde rıza almanıza gerek yok. İkincisi, rıza verilmiş olarak, yani ilgili kutucuk işaretli olarak onaya sunmanız söz konusu olamaz. Keza bu durumda bir irade beyanı söz konusu değildir. Olsa olsa onay mekanizmasından bahsedilebilir. O da ilgili veri sahibinin zaten işaretli gelen bir kutucuğu okuduğunu ve anladığını varsaydığımızda. Halbuki mevzuatın aradığı tercihler arasında bir irade beyanı. Üçüncüsü, her şeyi kapsayan genel bir rıza alamazsınız. Alacağınız rızanın hangi durumlar için geçerli olduğunun rıza veren kişi tarafından ayrıştırılabilmesi, öngörülebilmesi gerekir. Dört, rıza bir irade beyanı olmalıdır. Onay vermenin yanı sıra onay vermeme/kabul etmeme alternatifinin de sunulması gerekir. Yani “onay veriyorum/vermiyorum” ya da “kabul ediyorum/etmiyorum” seçeneklerinin sunulması ve veri sahibinin bu iki seçenek arasında kendi “özgür” iradesi ile bir tercihte bulunması gerekir. Bu da bizi beşinci unsura götürür ki, o da hiçbir hizmet ya da ürünün sunumunun, kişisel verilerin işlenmesine rıza verilmesi şartına bağlanamamasıdır. Aksi bir durum iradenin özgür olmasını engeller.
O halde uyum çalışmalarında öncelikle hangi veriler için rıza alınmasına gerek olduğunu belirlemeniz gerekiyor. Bu belirlemeden sonra da rızanın alınmasına ilişkin yöntemin belirlenmesi ve kurgulanması geliyor ki bu da ayrı bir çalışmayı gerektiriyor. Bu öylece her şeyi içeren, bir kutucuğun işaretlenmesi ya da bir metnin altına “okudum, anladım, onaylıyorum” yazmakla, genel bir rıza ile sağlanabilecek bir yükümlülük değil.
Teorik olarak Nisan 2016’dan bu yana aslında zaten bu kurgunun sağlanmış olması gerekiyordu. Eğer halen uyum çalışmalarını tamamlamadınız ya da tamamladıysanız da rıza meselesini bu haliyle kurgulamadınız ise lütfen uyum çalışmalarını, en kısa sürede, tekrar gözden geçirin. Aramızda kalsın KVKKr bir çok kurumdan savunmalarını istemeye başladı.