Kişisel verilerin korunması hukuku, Türkiye’de uzun süre birçok şirket tarafından ikincil bir uyum başlığı gibi görülmüş; çoğu işletme bu alanı yalnız aydınlatma metni yayımlamak veya internet sitesine çerez bildirimi eklemekten ibaret sanmıştır. Oysa 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri işleme faaliyetini yalnız teknik bir işlem olarak değil, kişilerin temel hak ve özgürlüklerini etkileyen hukuki bir süreç olarak ele almaktadır. Bu nedenle KVKK uyumu, özellikle müşteri, çalışan, tedarikçi, ziyaretçi, kullanıcı veya platform satıcısı verisi işleyen şirketler bakımından yapısal bir hukuk ve risk yönetimi alanıdır. Şirketlerin karşılaştığı temel sorun, veriyi işliyor olmaları değil; veriyi hangi hukuki sebebe dayalı olarak, hangi amaçla, ne kadar süreyle, hangi tedbirlerle ve kimlerle paylaşarak işlediklerini yeterince sistemleştirememeleridir.
KVKK m. 10 uyarınca veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmakla yükümlüdür. Bu yükümlülük uygulamada çoğu zaman yanlış anlaşılır. Birçok şirket, hazır bir metni internet sitesine koymakla aydınlatma yükümlülüğünün tamamlandığını düşünmektedir. Oysa aydınlatma yükümlülüğü, veri işleme faaliyetinin türüne göre değişir. Çalışan verisi işleyen bir şirket ile e-ticaret müşterisi verisi işleyen bir platformun, yahut kamera kaydı alan bir işyeri ile internet üzerinden pazarlama yapan bir şirketin veri işleme süreçleri aynı değildir. Aydınlatmanın da işleme amacına, hukuki sebebe, veri kategorisine ve aktarım ilişkisine göre uyarlanması gerekir. Buradaki en büyük risk, genel ve kopya metin kullanılması nedeniyle gerçek işleme faaliyetinin mevzuata uygun şekilde açıklanamamasıdır.
Şirketler bakımından ikinci büyük risk, veri işleme faaliyetinin hukuki dayanağının belirsiz bırakılmasıdır. Uygulamada hemen her süreç için otomatik olarak açık rıza alınmaya çalışılması veya tam tersine açık rıza gerektiren işlemlerde yalnız genel sözleşme hükmüne dayanılması önemli sorun yaratmaktadır. Oysa kişisel veri işlemenin her durumda açık rızaya dayanması gerekmediği gibi, gerekli olduğu hallerde de usulüne uygun açık rıza alınması şarttır. Bir iş sözleşmesinin kurulması, müşteri siparişinin yerine getirilmesi, kargo organizasyonu, fatura kesilmesi veya hukuki yükümlülüklerin yerine getirilmesi ile pazarlama amaçlı iletişim, profilleme, çapraz tanıtım veya hassas veri işleme aynı hukuki kategoride değerlendirilemez. Bu nedenle veri işleme envanterinin ve hukuki sebep analizinin yapılmaması, şirketlerin en temel KVKK risklerinden biridir.
KVKK m. 12 veri güvenliğine ilişkin yükümlülükleri düzenlemekte ve veri sorumlusuna, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri alma borcu yüklemektedir. Uygulamada en çok ihmal edilen alanlardan biri de budur. Şirketler çoğu zaman veri güvenliğini yalnız bilişim departmanının konusu gibi görmekte; oysa veri güvenliği aynı zamanda idari süreç, erişim yetkisi, personel eğitimi, iç politika, saklama disiplini, üçüncü taraf sözleşmeleri ve kriz yönetimi meselesidir. Ortak e-posta kullanımının kontrolsüz olması, herkesin tüm dosyalara erişebilmesi, eski çalışan hesaplarının kapatılmaması, müşteri verilerinin şifresiz tablolarla dolaşması, veri imha sürecinin kurulmaması ve dış hizmet alınan tedarikçilerle veri işleme ilişkisinin sözleşmesiz yürütülmesi, uygulamada sık görülen risklerdir.
Çalışan verileri, şirketlerin en çok hata yaptığı alanlardan biridir. İşe alım sürecinde özgeçmişlerin toplanması, referans araştırmaları, sağlık raporları, bordro ve yan hak bilgileri, kamera kayıtları, giriş-çıkış sistemleri, kurumsal e-posta kullanımı ve performans verileri, şirketlerin çok geniş çalışan verisi işleme alanı bulunduğunu gösterir. Ancak birçok şirket, çalışanlarla ilişkiyi iş sözleşmesiyle sınırlı görmekte; veri koruma boyutunu ayrıca ele almamaktadır. Oysa çalışan verisi işlemek, işveren bakımından sınırsız bir serbestlik yaratmaz. Verinin amacı, kapsamı, erişim çevresi ve saklama süresi ölçülü olmak zorundadır. Aksi halde iş hukuku ile veri koruma hukuku iç içe geçerek yeni uyuşmazlık alanları doğurur.
E-ticaret yapan veya dijital ortamda müşteriyle temas eden şirketler bakımından müşteri verileri ayrıca önemlidir. Sipariş, teslimat, çağrı merkezi, üyelik, pazarlama, sadakat programı, kampanya ve remarketing süreçleri şirketleri yoğun veri işleyicisi haline getirir. Burada en büyük risklerden biri, satış için gerekli verilerin pazarlama ve profil çıkarma amaçlarıyla kontrolsüz şekilde genişletilmesidir. Müşteriden sipariş almak için gerekli olan veri ile pazarlama faaliyetleri için kullanılacak verinin hukuki zemini aynı değildir. Şirketlerin bu ayrımı yapmaması, hem aydınlatma yükümlülüğünde hem de veri işleme hukuki sebebinde ciddi sorun yaratır. Ayrıca çerezler, mobil uygulama izleme araçları ve üçüncü taraf reklam entegrasyonları da veri akışını karmaşıklaştırmaktadır.
Bir diğer önemli risk alanı veri aktarımıdır. Şirketler çoğu zaman muhasebeci, insan kaynakları danışmanı, çağrı merkezi, kargo firması, yazılım sağlayıcısı, bulut depolama hizmeti, reklam ajansı, CRM altyapısı veya grup şirketi ile veri paylaşırken bu ilişkinin hukukî niteliğini açıkça kurgulamamaktadır. Oysa veri aktarımı her zaman sadece teknik bir paylaşım değildir; aynı zamanda sorumluluk doğuran bir işlemdir. Verinin kime, hangi amaçla, hangi hukuki sebeple ve ne ölçüde aktarıldığı net değilse, veri işleme zinciri şirketin aleyhine dönebilir. Bu nedenle üçüncü taraflarla yapılan sözleşmelerde veri koruma hükümlerinin bulunmaması da ciddi bir risk faktörüdür.
Sonuç olarak kişisel veri işleyen şirketler için temel KVKK riskleri; yetersiz aydınlatma, yanlış hukuki sebep kullanımı, açık rıza kavramının yanlış uygulanması, veri güvenliğinin sadece teknik mesele sanılması, çalışan ve müşteri verilerinin kontrolsüz işlenmesi, veri aktarım zincirinin sözleşmesiz bırakılması ve saklama-imha süreçlerinin kurulmamış olmasıdır. KVKK uyumu, yalnız internet sitesine bir metin koymak değil; şirketin veriyle temas eden tüm süreçlerini hukuki olarak disipline etmektir. Şirketler için en sağlıklı yaklaşım, veri işleme faaliyetini “mevzuat nedeniyle yapılması gereken bir formalite” olarak değil, kurumsal risk yönetiminin temel başlıklarından biri olarak görmektir.