Kolektif House’un yayım organı KOMAG‘de yayımlanan yazımı aynen paylaşıyorum.
Bugün, müşteri ya da kullanıcılarınızdan topladığınız kişisel verilerin, yeni kurallara göre yapılmadığı takdirde, başınıza her an iş açabileceğini, kural ihlali halinde 15 bin ila 1 milyon TL arası ceza gelebileceğini biliyor muydunuz?
Yeni kanun 7 Nisan 2016’da yürürlüğe girmişti fakat 7 Ekim’e kadar bir uyum süreci tanınmıştı. Kanunun işlerlik kazanabilmesi için ise bu cezaları verecek bir ‘Kişisel Veri Kurulu’na ihtiyaç vardı. Tüm bunlar birleşince, bazı kanunlar gibi, bunun da uygulanmadan bir kenara atılacağı rahatlığı oluştu. Fakat öyle olmadı, söz konusu kurul da atandı ve şirketlerin kişisel verileri toplama, kullanma ve saklama politikaları titizlikle denetlenmeye başlandı. Aklınızda takılabilecek soruları gidermek adına, konunun detaylarını küçük bir ‘soru&cevap’ seansı üzerinden verelim…
‘Kişisel Veri’ aslında nedir?
Özetle: Bir kişiyle ilişkilendirebildiğiniz her türlü veri.
Kanun ve Anayasa Mahkemesi’nin yorumlama şekli epey geniş: Ad-soyad gibi bariz verilerden tutun kişinin e-posta adresine, IP bilgilerinden hazır ofis adresine, hatta hobilerine… Kanun, genetik veri, ırk, siyasi düşünce, inanç, üye olduğu dernek ve vakıflar, kılık kıyafeti, sağlık, cinsel hayat gibi birtakım kişisel tercihler de özel veri kapsamında. Yani: Bir web siteniz, mobil uygulamanız varsa, her gün otomatikman sayısız kişisel veri toplamış oluyorsunuz.
Nasıl toplanmalı?
Artık kanun, müşterilerinizden, kullanıcılarınızdan kişisel bilgilerini alırken kullanım amacınızı en ince ayrıntısında kadar paylaşma zorunluğu kılıyor. Topladığınız veriler hangi kapsamda kullanılacak? Üçüncü partilerle paylaşılacak mı? Her kullanım alanı için tek tek izin almadan verileri kullanım hakkını elde edemiyorsunuz. İzinleri alsanız bile kullanım amacınız, aşağıdaki kriterle birebir uygunluk sağlamalı:
* ‘Hukuk ve Dürüstlük Kuralı’na uygun olmalı
* Belirli ve meşru bir amaç için kullanılmalı
* Güncel ve doğru bir bilgi olmalı
* İşlenme amacıyla orantılı olmalı
* Mevzuatta belirtilen veya işlenme amacına uygun süre kadar muhafaza edilmeli
Nasıl saklanmalı?
Kanun, işiniz için topladığınız bu verileri saklamak için her türlü idari ve teknik tedbirleri almanızı zorunlu kılıyor. İşi sağlama almanın birkaç yolu var. Profesyonel destek almak ya da şirketinizde birini ‘veri sorumlusu’ olarak göstermek/atamak neredeyse zorunlu. Bu, yönetim kurulunun sorumluluğunu ortadan kaldırmıyor. Tüm veriler, kullanma amacı ortadan kalktıktan sonra silinmeli veya anonimleştirilmeli. Bunu kendiliğinden yapmanız şart.
Bugüne kadar topladığın veriler ne olacak?
7 Nisan 2016 öncesi sakladığınız veriler, hukuka uygun elde ettiğiniz ve 1 sene içerisinde itiraz gelmediği sürece veriler kanuna uygun toplanmış ve saklanmış sayılacak.
Peki ne yapmalısın?
Herhangi bir vesileyle kişisel veri toplayan bir girişiminiz varsa, bir an önce bir Startup Hukuku danışmanı veya avukatıyla görüşün. Bir ‘Kişisel Veri Politikası ve Çerez Politikası’ edinmeli, bunu girişiminizin internet sitesi veya uygulamasında yayımlamalı ve kullanıcı veya ziyaretçilerinizden gerekli izinleri almalısınız.