Kişisel Verileri Koruma Kurulu, yaşanan çeşitli uyuşmazlıklara dair verilmiş bazı kararların özetlerini geçtiğimiz ay sitesinde yayınladı. 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ilgili yükümlülüklere uyum aşamasında bu kararların yol göstereceği ortada ancak hala bazı boşlukların varlığından bahsetmek mümkün. Dolayısıyla e-ticaret alanında faaliyet gösteren firmaların verilerin saklanmasında, işlenmesinde, depolanmasında, aktarımında, imhasında yasalara uyum sağlarken diğer yandan Kurul kararlarından haberdar olması ve benzer uyuşmazlıklarda bu yönde kararlar verilebileceğinin bilincinde olması önem taşımaktadır.
6698 sayılı KVKK gereği işlenen veri hukuka aykırı şekilde üçüncü kişilerin eline geçerse, veri sorumlusu, bunu ilgilisine ve Kurul’a en kısa sürede bildirmek zorundadır. Fakat bu en kısa süre ifadesindeki belirsizlik karışıklıklara yol açmaktadır. Neticede işin niteliğine göre ve kişiden kişiye bu süre değişkenlik gösterebilir. Bu konuda Kurul’un bir kararına göre veri ihlali söz konusu olduğunda bunun bildiriminin ilgili kişiye 17 ay, Kurul’a ise 10 ay sonra yapılmış olması idari yaptırım sebebi olarak görülmüştür. Bu noktada bu belirsiz ‘en kısa süre’ kavramınının keyfiyete yol açacak, hak kaybı yaratacak veya kötü niyetle kullanılacak şekilde uzatılmaması gerektiğini, karardaki gibi bir sürenin de Kurul tarafından yasaya aykırı kabul edildiğini söyleyebiliriz.
Yine sürelere değinecek olursak; yasa gereği ilgili kişi, veri sorumlusuna verisi ile ilgili başvuru yaparak, verileri ne kadar süre ile, ne amaç ile saklanıyor, nasıl elde ediliyor, aktarılıyor mu, kimlere aktarılıyor gibi soruları sorma ve verilerinin imhasını talep etme hakkına sahiptir ve Veri sorumlusunun bu başvuru ve talebe cevap süresi 30 gün ile sınırlanmıştır. Kurul’un bir Kararında da açıkça veri sorumlusunun süresinde cevap vermediği durumda idari yaptırım düzenleneceği belirtilmiştir. Ayrıca bu kapsamda ilgili kişilerin sistemde kayıtlı verilerinin silinmesini veya anonimleştirilmesini talep etme hakkı da yasa gereği saklı tutulmuştur. Verilen bir başka kararda da artık aktif olmayan bir müşterinin saklama amacı dışında verilerinin işlenmesi hukuka aykırı bulunmuştur. Bu noktada elbette verinin saklanması bakımından veri sorumlusunun başka bir mevzuata tabi olup olmadığına da dikkat edilmelidir. Ancak böyle bir zorunluluk olsa dahi aktif olmayan müşterinin verisinin işlenmesine talep halinde son verilmesi gerektiği sonucu çıkmaktadır.
Diğer karar özetlerine bakıldığında ise, açık rızanın sözleşmenin bir parçası olarak dayatılamayacağı, ihtiyaç duyulandan fazla verinin işlenemeyeceği, işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenemeyeceği aksi halde idari yaptırım uygulanacağı görülmektedir.
Yasa gereği veri sorumlusunun veri güvenliği için alması gereken idari ve teknik önlemler yükümlülüğü bakımından da verilmiş kararlar mevcut. Örneğin; bir müşterinin verilerinin hata ile aynı isimli bir başka müşteriye gönderilmesi, şirkette bir çalışanın talep olmadığı halde kişisel amaçlarla kişisel verilerin bulunduğu sistemde sorgu yapması, hatta şirketin kendi çalışanı bile olsa bir personelin açık adresinin tüm şirkete gönderilen toplu bir mailde hata ile paylaşılması dahi ihlal olarak sayılmış ve idari yaptırım uygulanma sebebi olarak görülmüştür. Bu da aslında sadece idari ve teknik tedbirleri almanın yeterli olmadığını, aynı zamanda ölçeğine bakılmaksızın verilere bir şekilde erişim yetkisi olan personelin de bu konuda eğitilmesi gerektiğini ortaya koymaktadır.
‘ Bu yazı ilk olarak E-ticaret Çağı dergisinin Haziran 2018 sayısında yayınlanmıştır.’