GİRİŞ
Gündelik operasyonlarına devam ederken araç kiralama sözleşmeleri akdeden, mevzuattan kaynaklı yükümlülükleri gereği Kiralık Araç Bildirim Sistemi’ne (“KABİS”) veri işleyen, kaza tutanaklarını arşivleyen, bakım servisleri ile müşteri bilgilerini paylaşan, 7/24 destek hattı üzerinden müşteriler ile iletişime geçen ve buna benzer diğer iş faaliyetlerini yürütürken veri işleyen her bir filo şirketi Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusu olarak tanımlanabilecektir.
İşbu yazının içeriğinde kısaca Kanun’a uyumlu hale gelmenin neyi ifade ettiğini, kişisel verilerin korunmasının önemini ve özellikle filo şirketlerinin Kanun’a uyum süreçlerinde nelere dikkat etmesi gerektiğine değinilecektir.
Kişisel verilerin korunması hakkı, T.C. Anayasası’nın 20. maddesi ile düzenlenme alanı bulmuştur. Bu düzenleme ile, Türkiye’de ilk kez herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Belirtmek gerekir ki, “kişisel verilerin korunması” kavramı dayanağını bireylerin özel hayatının gizliliği ve özel hayatının korunmasından almakla birlikte, günümüzde yaygın görüş kişisel verilerin korunmasının temel bir insan hakkı olduğu yönündedir.
Bilişim teknolojilerinin hızla ilerlediği günümüzde, internet kullanımının yaygınlaşması, iletişim kanallarının sayısının artması, iş modellerinin bir kısmının dijital ortamlara taşınması ve özellikle pandemi ortamının bireylerin daha çok internet ortamında vakit geçirilmesini zorlaması gibi pek çok etken bireylerin kişisel verilerine erişimi artırmıştır.
İnsan hakkı olarak benimsen “kişisel verilerin korunması” olgusuna, bilişim teknolojileri vasıtasıyla kolay erişildiği toplumlarda kötü niyetli yaklaşımların varlığı da kaçınılmazdır. Hiç şüphesiz insan olmanın temelinde yatan merak duygusunun bilişim teknolojileri ile birleşimi de kötü niyetli yaklaşımların artışında belirgin bir rol oynamıştır. Nitekim, alanında öncü ulusal ve uluslararası şirketlerde dahi son yıllardaki siber atakların artışı ve teknik tedbirlerdeki boşluklar nedeniyle, verilerin yetkisiz kişilerin eline geçmesi, verilerin kaybolması, üçüncü kişilerle paylaşılması gibi durumlar, kişisel verilerin korunmasının ne denli kritik öneme sahip olduğu gerçeğini kanıtlar niteliktedir.
Tüm bu nedenlerle, kişisel verilerin ekonomik bir değere karşılık geldiği günümüz toplumlarında bireylerin mahremiyetine her zamankinden daha çok önem verilmesi ve bu doğrultuda bir kültürün sağlanması her bir veri sorumlusunun temel vizyonu olmalıdır.
Uyum, en geniş ifadeyle bir şirketin iş faaliyetlerini yürütürken Kanunlara, mevzuat düzenlemelere ve diğer kurallara uygun davranma yükümlülüğünü ifade etmektedir. Elbette bu durum şirketin tüzel kişiliğinden öte, organizasyonda yer alan yöneticiler başta olmak üzere tüm departman ve çalışanların iş akışlarında hukuk kurallarına uyumlu hareket etmesi ve bu düzenlemelerin farkında olmaları ile mümkündür.
Öte yandan bir şirketin iş süreçlerini Kanun’a uyumlu hale getirmek anlık bir süreç olmayacağı gibi, şirketin her bir departmanın kendi bünyesinde gerekli önlemleri alarak; en nihayetinde kişisel verilerin korunmasını ve mahremiyet kavramını şirket kültürü haline getirmesi amaçlanmalıdır. Kişisel verilerin korunmasında esas olan mahremiyet ve gizlilik ilkeleridir. Bu nedenledir ki, kişisel verilerin korunması ile temel bir insan hakkı olan özel hayatın gizliliği kol kola ilerlemektedir.
Kanun’a uyum sürecinde öncelikli olarak; hangi departmanların hangi verileri işlediği, bu verileri nerede ne kadar süre sakladığı, bu verileri hangi amaçla elde ettiği, verileri aktarıp aktarmadığı, yurt dışına aktarım olup olmadığı, verilere erişim yetkilileri ve benzeri nitelikteki pek çok soru analiz edilmelidir.
Elde edilen analiz sonuçları, şirket içerisinde Kanun’un uygulama alanı bakımından riskli yapılanmaların olduğu noktaların tespitinde kolaylık sağlayacaktır. Bu noktada risklerin tespiti ve risklere yönelik alınması gereken aksiyon planı hayati öneme sahiptir. İşbu yazımızın aktörü olarak filo şirketlerinin temas ettiği verilerin niteliği ve fazlalığı ile birlikte bilişim sistemlerinin yaygın kullanımının olası tehlikeleri birlikte düşünüldüğünde, kişisel verilerin yetkisiz işlenmesi, yetkisiz kişilerin eline geçmesi veya olası veri ihlallerine konu olması gibi problemleri de beraberinde getirmektedir.
Tam da bu noktada, mevcut ve/veya olası risklerin önüne geçmek ve şirket genelindeki uyum yönetiminin devamı için risk tespit ve değerlendirmelerin şeffaf ilerlemesini sağlamak amacıyla, profesyonel destek almak kritik öneme sahiptir. Zira, hangi sektör olursa olsun uyum süreci aslında başta uyum sağlaması gereken ilgili şirketin yönetimi ile uyum danışmanları (hukukçular ve bilgi güvenliği konusunda teknik bilgiyi haiz bilişim uzmanları) birlikte yönetilmesi gereken bir risk sürecini de ifade etmektedir. Nitekim yalnızca risklerin tespit edilmesi ile süreç sonlanmamakta; risklerin bertaraf edilmesi için raporlamalara, şirket genelinde uygulamaya konulacak politikalara, prosedürlere ve operasyonel işleyişte revizyonlara da ihtiyaç duyulmaktadır.
Kanun’da “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel veri” olarak tanımlamaktadır. Bu kapsamda filo şirketleri tarafından gerçekleştirilen süreçlerde işlenen kişisel veri örneklerine aşağıda kısaca yer verilmiştir:
Kişisel veriler sınırlı sayıda olmayıp; gerçek kişiyi tanımlayan her türlü bilgi kişisel veri olarak kabul edilecektir. Zira şirket bünyesinde çalışan kişiler arasında tek bir kişinin gözlük kullanması durumunda, bu durum kişinin diğer çalışanlardan ayırt edici hale gelmesi ve bununla birlikte kişinin belirlenebilir hale gelmesi sonucunu doğurduğundan; o çalışana özgü olarak “gözlük kullanması” kişisel veri olarak kabul edilebilecektir.
Kişisel verilere ek olarak, özel nitelikli kişisel veriler de Kanun’un 6.maddesinde; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmaktadır.
Bu kapsamda filo şirketleri tarafından gerçekleştirilen veri işleme süreçlerde, çalışanların ya da araç kiralayan müşterilerin sürücü belgeleri ya da nüfus cüzdan fotokopilerinde bulunan din bilgisi, uyruk bilgisi, kan grubu, çalışanların sağlık raporu ya da istirahat raporlarında yer alan sağlık bilgileri, ceza mahkumiyetlerini gösterir sabıka kayıtları özel nitelikli kişisel veri örneklerinin bazılarıdır.Kişisel verilerin aksine özel nitelikli kişisel veriler, Kanun’da sınırlı sayıda sayılmış (numerus clausus) olup; yalnızca Kanun’da yer aldığı kadarıyla özel nitelikli kişisel verinin varlığından bahsedilecektir.
Özel nitelikli kişisel veriler, veri işleme süreçlerinde üzerinde hassas durulması gereken şirket dışından yetkisiz kişiler yahut şirket içerisinden dahi olsa yetkisiz departmanlarca öğrenilmesi halinde ayrımcılığa maruz bırakabilecek verilerdir. Bu nedenle muhafaza ve imha süreçlerinde ekstra özen gösterilmesi gerekmektedir.
Kanun, veri işleme faaliyetini yasaklamamakla birlikte, iş faaliyetlerini yürütürken kişisel verilere uzaktan ya da yakından temas eden her bir veri sorumlusunu (mevcut durumda filo şirketlerini) Kanun’a uyumlu hareket etmekle yükümlü kılmaktadır.
Nitekim bir şirketin ticari faaliyetlerinin devamı için kişisel veri işlemesi, ilgili kişi/kurum/kuruluşlara aktarması yahut muhafaza etmesi kaçınılmazdır. Öte yandan operasyonlarını bu doğrultuda sürdüren filo şirketleri bakımından işbu zaruriyet, Kanun nezdinde uyum yönetimine ne denli ihtiyaçları olduğunu gözler önüne sermektedir.
Öte yandan, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen ve yüksek idari para cezalarının öngörüldüğü farklı iki karar ile, filo şirketlerinin de Kişisel Verileri Koruma Kurumu’nun (“Kurum”) radarında olduğu ortadadır.
Somutlaştırmak gerekirse; 27/02/2020 tarihli; “Veri Sahibi İlgili Kişinin Kullanımına İzin Vermediği Kredi Kartı Bilgilerinin Veri Sorumlusu Araç Kiralama Şirketi Tarafından Kullanılması Hakkında” başlıklı Kurul Kararı’nda, “…veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle…” , araç kiralama şirketi hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
05/05/2020 tarihli, “İlgili Kişinin Araç Kiralama Hizmeti Alması Esnasında Kişisel Verilerinin İşlenmesine Dair Açık Rıza Vermemesi Üzerine Kiralama Hizmetinden Yararlandırılmaması Hakkında” başlıklı Kurul Kararı’nda ise, veri sahibi ilgili kişinin, kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği olayda, “…hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında…” gerekçeleri ile araç kiralama şirketi hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kanun’a uyum yönetiminde, veri güvenliği önlemleri, teknik ve idari tedbirlerin uygulanması, denetim mekanizmaların ve bilinçlendirme çalışmalarının yürütülmesi, politika prosedürlerinin belirlenmesi, gizlilik süreçlerinin takibi, Yönetici ve çalışanlarda kişisel verilerin korunması ve mahremiyet olgusuna dair şirket kültürünün oluşturulması gibi birçok parametrenin birlikte sağlanması gerekmektedir. Bununla birlikte, filo şirketleri tarafından servis bakım onarım, tedarik hizmetlerinin çoğunlukla şirket dışından üçüncü kişilerden temin edildiği durumlarda, şayet bu kişilerle veri paylaşımı yapılıyorsa benzer teknik ve idari tedbirlerin veri işleyen sıfatını haiz üçüncü kişiler tarafından sağlanması ve her iki şirket arasında buna dair prosedürlerin belirlenmesi de önem arz etmektedir.
Belirtmek gerekir ki, Kanun’a uyum sürecindeki eksiklikler yalnızca idari para cezası olarak karşımıza çıkmamaktadır. Uyum yönetimine gereği özen ve önemi göstermeyen her bir şirketin kısa ya da uzun vadede veri ihlal bildirimleri, itibar kaybı, marka değersizleşmesi, siber atak, kötücül yazılım, veri kaybı, çalışanlara yönelik iş sözleşmesinin feshi, rücu davaları, veri sahibi ilgili kişiler tarafından açılan tazminat davaları ve yönetim kurulu üyelerine açılabilecek sorumluluk davaları ile karşı karşıya gelmesi kaçınılmazdır.
SONUÇ
Kişisel verilerin ekonomik bir değer olarak karşımıza çıktığı günümüz teknolojisinde, hiç şüphesiz verinin gizliliği sağlanması da kritik öneme sahiptir. Unutulmamalıdır ki, şirket bünyesindeki sağlam bir uyum yönetimi, temelinde marka değeri ve itibarın korunmasını ile ilgilidir. Bu nedenle, Kanun’a uyum hususunda halihazırda mevcut ve uzun vadede olması muhtemel birçok olumsuzluğun bertaraf edilmesine yönelik tedbirlerin alınması, veri sorumlusu filo şirketleri nezdinde istenmeyen olası durumların önüne geçilmesi bakımından da önemlidir. Filo şirketlerinde özellikle sektörel olarak Kurum’un da yukarıda yer verilen idari para cezalarında da görüldüğü üzere, araç kiralamalarında şirket çalışanlarının ve yakınlarının kişisel verilerinin işlenmesinde belirli bir özen ve dikkat gösterilmesi gerektiği açıktır. Son tahlilde, uyum yönetiminin yaşayan bir süreç olduğu, hukuk ve bağlantılı olduğu diğer disiplinlerdeki gelişmeler paralelinde iyileştirme ve güncellemelere ihtiyaç duyduğu, risk teşkil eden olgulara yönelik her daim tedbirli olunması gerektiği de unutulmamalıdır.
Yazar : Av. Birce Aksakal
GİRİŞ
Gündelik operasyonlarına devam ederken araç kiralama sözleşmeleri akdeden, mevzuattan kaynaklı yükümlülükleri gereği Kiralık Araç Bildirim Sistemi’ne (“KABİS”) veri işleyen, kaza tutanaklarını arşivleyen, bakım servisleri ile müşteri bilgilerini paylaşan, 7/24 destek hattı üzerinden müşteriler ile iletişime geçen ve buna benzer diğer iş faaliyetlerini yürütürken veri işleyen her bir filo şirketi Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusu olarak tanımlanabilecektir.
İşbu yazının içeriğinde kısaca Kanun’a uyumlu hale gelmenin neyi ifade ettiğini, kişisel verilerin korunmasının önemini ve özellikle filo şirketlerinin Kanun’a uyum süreçlerinde nelere dikkat etmesi gerektiğine değinilecektir.
Kişisel verilerin korunması hakkı, T.C. Anayasası’nın 20. maddesi ile düzenlenme alanı bulmuştur. Bu düzenleme ile, Türkiye’de ilk kez herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Belirtmek gerekir ki, “kişisel verilerin korunması” kavramı dayanağını bireylerin özel hayatının gizliliği ve özel hayatının korunmasından almakla birlikte, günümüzde yaygın görüş kişisel verilerin korunmasının temel bir insan hakkı olduğu yönündedir.
Bilişim teknolojilerinin hızla ilerlediği günümüzde, internet kullanımının yaygınlaşması, iletişim kanallarının sayısının artması, iş modellerinin bir kısmının dijital ortamlara taşınması ve özellikle pandemi ortamının bireylerin daha çok internet ortamında vakit geçirilmesini zorlaması gibi pek çok etken bireylerin kişisel verilerine erişimi artırmıştır.
İnsan hakkı olarak benimsen “kişisel verilerin korunması” olgusuna, bilişim teknolojileri vasıtasıyla kolay erişildiği toplumlarda kötü niyetli yaklaşımların varlığı da kaçınılmazdır. Hiç şüphesiz insan olmanın temelinde yatan merak duygusunun bilişim teknolojileri ile birleşimi de kötü niyetli yaklaşımların artışında belirgin bir rol oynamıştır. Nitekim, alanında öncü ulusal ve uluslararası şirketlerde dahi son yıllardaki siber atakların artışı ve teknik tedbirlerdeki boşluklar nedeniyle, verilerin yetkisiz kişilerin eline geçmesi, verilerin kaybolması, üçüncü kişilerle paylaşılması gibi durumlar, kişisel verilerin korunmasının ne denli kritik öneme sahip olduğu gerçeğini kanıtlar niteliktedir.
Tüm bu nedenlerle, kişisel verilerin ekonomik bir değere karşılık geldiği günümüz toplumlarında bireylerin mahremiyetine her zamankinden daha çok önem verilmesi ve bu doğrultuda bir kültürün sağlanması her bir veri sorumlusunun temel vizyonu olmalıdır.
Uyum, en geniş ifadeyle bir şirketin iş faaliyetlerini yürütürken Kanunlara, mevzuat düzenlemelere ve diğer kurallara uygun davranma yükümlülüğünü ifade etmektedir. Elbette bu durum şirketin tüzel kişiliğinden öte, organizasyonda yer alan yöneticiler başta olmak üzere tüm departman ve çalışanların iş akışlarında hukuk kurallarına uyumlu hareket etmesi ve bu düzenlemelerin farkında olmaları ile mümkündür.
Öte yandan bir şirketin iş süreçlerini Kanun’a uyumlu hale getirmek anlık bir süreç olmayacağı gibi, şirketin her bir departmanın kendi bünyesinde gerekli önlemleri alarak; en nihayetinde kişisel verilerin korunmasını ve mahremiyet kavramını şirket kültürü haline getirmesi amaçlanmalıdır. Kişisel verilerin korunmasında esas olan mahremiyet ve gizlilik ilkeleridir. Bu nedenledir ki, kişisel verilerin korunması ile temel bir insan hakkı olan özel hayatın gizliliği kol kola ilerlemektedir.
Kanun’a uyum sürecinde öncelikli olarak; hangi departmanların hangi verileri işlediği, bu verileri nerede ne kadar süre sakladığı, bu verileri hangi amaçla elde ettiği, verileri aktarıp aktarmadığı, yurt dışına aktarım olup olmadığı, verilere erişim yetkilileri ve benzeri nitelikteki pek çok soru analiz edilmelidir.
Elde edilen analiz sonuçları, şirket içerisinde Kanun’un uygulama alanı bakımından riskli yapılanmaların olduğu noktaların tespitinde kolaylık sağlayacaktır. Bu noktada risklerin tespiti ve risklere yönelik alınması gereken aksiyon planı hayati öneme sahiptir. İşbu yazımızın aktörü olarak filo şirketlerinin temas ettiği verilerin niteliği ve fazlalığı ile birlikte bilişim sistemlerinin yaygın kullanımının olası tehlikeleri birlikte düşünüldüğünde, kişisel verilerin yetkisiz işlenmesi, yetkisiz kişilerin eline geçmesi veya olası veri ihlallerine konu olması gibi problemleri de beraberinde getirmektedir.
Tam da bu noktada, mevcut ve/veya olası risklerin önüne geçmek ve şirket genelindeki uyum yönetiminin devamı için risk tespit ve değerlendirmelerin şeffaf ilerlemesini sağlamak amacıyla, profesyonel destek almak kritik öneme sahiptir. Zira, hangi sektör olursa olsun uyum süreci aslında başta uyum sağlaması gereken ilgili şirketin yönetimi ile uyum danışmanları (hukukçular ve bilgi güvenliği konusunda teknik bilgiyi haiz bilişim uzmanları) birlikte yönetilmesi gereken bir risk sürecini de ifade etmektedir. Nitekim yalnızca risklerin tespit edilmesi ile süreç sonlanmamakta; risklerin bertaraf edilmesi için raporlamalara, şirket genelinde uygulamaya konulacak politikalara, prosedürlere ve operasyonel işleyişte revizyonlara da ihtiyaç duyulmaktadır.
Kanun’da “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel veri” olarak tanımlamaktadır. Bu kapsamda filo şirketleri tarafından gerçekleştirilen süreçlerde işlenen kişisel veri örneklerine aşağıda kısaca yer verilmiştir:
Kişisel veriler sınırlı sayıda olmayıp; gerçek kişiyi tanımlayan her türlü bilgi kişisel veri olarak kabul edilecektir. Zira şirket bünyesinde çalışan kişiler arasında tek bir kişinin gözlük kullanması durumunda, bu durum kişinin diğer çalışanlardan ayırt edici hale gelmesi ve bununla birlikte kişinin belirlenebilir hale gelmesi sonucunu doğurduğundan; o çalışana özgü olarak “gözlük kullanması” kişisel veri olarak kabul edilebilecektir.
Kişisel verilere ek olarak, özel nitelikli kişisel veriler de Kanun’un 6.maddesinde; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmaktadır.
Bu kapsamda filo şirketleri tarafından gerçekleştirilen veri işleme süreçlerde, çalışanların ya da araç kiralayan müşterilerin sürücü belgeleri ya da nüfus cüzdan fotokopilerinde bulunan din bilgisi, uyruk bilgisi, kan grubu, çalışanların sağlık raporu ya da istirahat raporlarında yer alan sağlık bilgileri, ceza mahkumiyetlerini gösterir sabıka kayıtları özel nitelikli kişisel veri örneklerinin bazılarıdır.Kişisel verilerin aksine özel nitelikli kişisel veriler, Kanun’da sınırlı sayıda sayılmış (numerus clausus) olup; yalnızca Kanun’da yer aldığı kadarıyla özel nitelikli kişisel verinin varlığından bahsedilecektir.
Özel nitelikli kişisel veriler, veri işleme süreçlerinde üzerinde hassas durulması gereken şirket dışından yetkisiz kişiler yahut şirket içerisinden dahi olsa yetkisiz departmanlarca öğrenilmesi halinde ayrımcılığa maruz bırakabilecek verilerdir. Bu nedenle muhafaza ve imha süreçlerinde ekstra özen gösterilmesi gerekmektedir.
Kanun, veri işleme faaliyetini yasaklamamakla birlikte, iş faaliyetlerini yürütürken kişisel verilere uzaktan ya da yakından temas eden her bir veri sorumlusunu (mevcut durumda filo şirketlerini) Kanun’a uyumlu hareket etmekle yükümlü kılmaktadır.
Nitekim bir şirketin ticari faaliyetlerinin devamı için kişisel veri işlemesi, ilgili kişi/kurum/kuruluşlara aktarması yahut muhafaza etmesi kaçınılmazdır. Öte yandan operasyonlarını bu doğrultuda sürdüren filo şirketleri bakımından işbu zaruriyet, Kanun nezdinde uyum yönetimine ne denli ihtiyaçları olduğunu gözler önüne sermektedir.
Öte yandan, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen ve yüksek idari para cezalarının öngörüldüğü farklı iki karar ile, filo şirketlerinin de Kişisel Verileri Koruma Kurumu’nun (“Kurum”) radarında olduğu ortadadır.
Somutlaştırmak gerekirse; 27/02/2020 tarihli; “Veri Sahibi İlgili Kişinin Kullanımına İzin Vermediği Kredi Kartı Bilgilerinin Veri Sorumlusu Araç Kiralama Şirketi Tarafından Kullanılması Hakkında” başlıklı Kurul Kararı’nda, “…veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle…” , araç kiralama şirketi hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
05/05/2020 tarihli, “İlgili Kişinin Araç Kiralama Hizmeti Alması Esnasında Kişisel Verilerinin İşlenmesine Dair Açık Rıza Vermemesi Üzerine Kiralama Hizmetinden Yararlandırılmaması Hakkında” başlıklı Kurul Kararı’nda ise, veri sahibi ilgili kişinin, kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği olayda, “…hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında…” gerekçeleri ile araç kiralama şirketi hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kanun’a uyum yönetiminde, veri güvenliği önlemleri, teknik ve idari tedbirlerin uygulanması, denetim mekanizmaların ve bilinçlendirme çalışmalarının yürütülmesi, politika prosedürlerinin belirlenmesi, gizlilik süreçlerinin takibi, Yönetici ve çalışanlarda kişisel verilerin korunması ve mahremiyet olgusuna dair şirket kültürünün oluşturulması gibi birçok parametrenin birlikte sağlanması gerekmektedir. Bununla birlikte, filo şirketleri tarafından servis bakım onarım, tedarik hizmetlerinin çoğunlukla şirket dışından üçüncü kişilerden temin edildiği durumlarda, şayet bu kişilerle veri paylaşımı yapılıyorsa benzer teknik ve idari tedbirlerin veri işleyen sıfatını haiz üçüncü kişiler tarafından sağlanması ve her iki şirket arasında buna dair prosedürlerin belirlenmesi de önem arz etmektedir.
Belirtmek gerekir ki, Kanun’a uyum sürecindeki eksiklikler yalnızca idari para cezası olarak karşımıza çıkmamaktadır. Uyum yönetimine gereği özen ve önemi göstermeyen her bir şirketin kısa ya da uzun vadede veri ihlal bildirimleri, itibar kaybı, marka değersizleşmesi, siber atak, kötücül yazılım, veri kaybı, çalışanlara yönelik iş sözleşmesinin feshi, rücu davaları, veri sahibi ilgili kişiler tarafından açılan tazminat davaları ve yönetim kurulu üyelerine açılabilecek sorumluluk davaları ile karşı karşıya gelmesi kaçınılmazdır.
SONUÇ
Kişisel verilerin ekonomik bir değer olarak karşımıza çıktığı günümüz teknolojisinde, hiç şüphesiz verinin gizliliği sağlanması da kritik öneme sahiptir. Unutulmamalıdır ki, şirket bünyesindeki sağlam bir uyum yönetimi, temelinde marka değeri ve itibarın korunmasını ile ilgilidir. Bu nedenle, Kanun’a uyum hususunda halihazırda mevcut ve uzun vadede olması muhtemel birçok olumsuzluğun bertaraf edilmesine yönelik tedbirlerin alınması, veri sorumlusu filo şirketleri nezdinde istenmeyen olası durumların önüne geçilmesi bakımından da önemlidir. Filo şirketlerinde özellikle sektörel olarak Kurum’un da yukarıda yer verilen idari para cezalarında da görüldüğü üzere, araç kiralamalarında şirket çalışanlarının ve yakınlarının kişisel verilerinin işlenmesinde belirli bir özen ve dikkat gösterilmesi gerektiği açıktır. Son tahlilde, uyum yönetiminin yaşayan bir süreç olduğu, hukuk ve bağlantılı olduğu diğer disiplinlerdeki gelişmeler paralelinde iyileştirme ve güncellemelere ihtiyaç duyduğu, risk teşkil eden olgulara yönelik her daim tedbirli olunması gerektiği de unutulmamalıdır.
Yazar : Av. Birce Aksakal