Makale

Günümüz dijitalleşen ticari hayatında, sermaye şirketleri ve kooperatifler günlük faaliyetlerini yürütürken müşteri, çalışan, tedarikçi ve ortaklarına ait çok sayıda kişisel veriyi işlemektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, bu tüzel kişiler bizzat veri sorumlusu sıfatını taşımaktadır. Tüzel kişiliği haiz şirketlerin veri işleme amaç ve vasıtalarını belirleyerek veri kayıt sistemini yönetmesi, onları doğrudan hukuki sürecin ana muhatabı haline getirir. İlgili mevzuat uyarınca, şirket organları veya yetkilendirilmiş çalışanlar değil, doğrudan şirket tüzel kişiliğinin kendisi yasal yükümlülük altındadır. Bu kapsamda, kişisel verilerin hukuka uygun şekilde işlenmesi ve muhafaza edilmesi sadece yasal bir zorunluluk değil, aynı zamanda kurumsal itibarın ve paydaş güveninin tesis edilmesi açısından kritik bir güvencedir. Anonim şirketlerde yönetim kurulu, limited şirketlerde ise müdürler tarafından sevk ve idare edilmesi gereken bu uyum süreci, şirketin idari, teknik ve yasal yükümlülüklerini bir bütün olarak, sürekli ve denetlenebilir bir sistemle yerine getirmesini gerektirir.

Sicil, Envanter ve Aydınlatma

Sermaye şirketleri ve kooperatiflerin en önemli yasal görevlerinden biri Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğüdür. Mevzuat, istisnai durumlar (örneğin yıllık çalışan sayısı ile mali bilançosu Kurul tarafından belirlenen sınırların altında kalan ve ana faaliyeti özel nitelikli veri işlemek olmayan şirketler) dışında kalan tüm veri sorumlularının veri işlemeye başlamadan önce sicile kaydolmasını kesin bir dille şart koşar. Bu kayıt süreci, mutlaka şirketin iç işleyişine uygun olarak hazırlanmış detaylı bir kişisel veri işleme envanterine dayandırılmalıdır. Envanter belgesi; şirketin tüm departmanlarında işlenen verilerin amaçlarını, hukuki sebeplerini, azami saklama sürelerini, alıcı gruplarını ve alınan güvenlik önlemlerini gösteren temel bir kılavuzdur. Şirket yönetim organı tarafından sicile beyan edilen bilgilerin her zaman doğru, güncel ve hukuka tam uyumlu tutulması zorunlu olup, süreçlerde meydana gelen herhangi bir değişiklik yedi gün içerisinde sisteme yansıtılmalıdır.

Veri sorumlusu sıfatına haiz şirketlerin bir diğer kritik görevi ise hukukun temel taşlarından olan aydınlatma yükümlülüğünün yerine getirilmesidir. Kişisel verilerin elde edilmesi aşamasında ilgili kişilere; veri sorumlusunun kimliği, verilerin hangi yasal amaçlarla işleneceği, kimlere aktarılabileceği, toplama yöntemi ve veri sahibinin sahip olduğu yasal haklar hiçbir şüpheye yer bırakmayacak şekilde bildirilmelidir. Şirketler aydınlatma metinlerini kurgularken kesinlikle genel veya muğlak ifadelerden kaçınmalı, herkesin rahatlıkla anlayabileceği açık, sade ve şeffaf bir dil benimsemelidir. Yasal uygulamalarda sıklıkla karşılaşılan bir ihlal riski olarak, veri işlemenin açık rızaya bağlandığı durumlarda aydınlatma yapılması ile açık rızanın alınması işlemleri kesinlikle birbirinden bağımsız mekanizmalarla yürütülmelidir. Aynı sözleşme veya tek bir dijital onay kutucuğu üzerinden hem aydınlatma yükümlülüğünün tamamlanması hem de rıza alınması güncel denetimlerde doğrudan hukuka aykırılık kabul edilmektedir.

İlgili Kişi Başvurularının Yönetimi

Sermaye şirketleri ve kooperatifler, kişisel verilerini kendi sistemleri içerisinde işledikleri gerçek kişilerin kanuni haklarını özgürce kullanabilmeleri adına etkin, erişilebilir ve güvenilir bir başvuru mekanizması inşa etmekle görevlidir. Kanun uyarınca veri sahipleri, kendilerine ait bilgilerin güncel durumunu öğrenmek, hatalı veya eksik kayıtların düzeltilmesini ya da silinmesini talep etmek maksadıyla veri sorumlusuna başvurma hakkına sahiptir. Şirketler, kendilerine yöneltilen bu haklı talepleri niteliğine uygun şekilde değerlendirerek en kısa sürede ve her halükarda en geç otuz gün içinde kural olarak ücretsiz şekilde sonuçlandırmak zorundadır. Şirket yönetimleri, iletilen başvuruyu kabul ederek gereğini derhal yerine getirmeli ya da olumsuz değerlendirme durumunda ret gerekçesini somut ve hukuki bir dille başvuru sahibine bildirmelidir. Bu yasal sorumluluğun ciddiye alınmaması veya taleplerin dürüstlük kuralına uygun şekilde yanıtlanmaması, şirketlerin aleyhine şikayet konusu yapılabilecek ciddi bir ihlal olarak değerlendirilir.

Veri Güvenliği, Saklama ve Aktarım Kuralları

Hukuki düzenlemeler çerçevesinde tüzel kişilerin eksiksiz uygulaması gereken bir diğer hassas nokta veri güvenliğini sağlama yükümlülüğüdür. Şirketler, dijital ve fiziksel ortamlardaki kişisel verilerin hukuka aykırı yollarla işlenmesini ve yetkisiz kişilerin bu verilere erişimini engellemek için kurumsal kapasitelerine uygun güvenlik düzeyini temin etmekle mükelleftir. Bu yasal sorumluluğun yerine getirilmesi için alınması gereken bazı temel tedbirler şunlardır:

• İdari Tedbirler: Şirket içi erişim ve detaylı yetki matrislerinin oluşturulması, kişisel veri saklama politikalarının yazılı hale getirilmesi ve personelin veri güvenliği risklerine karşı periyodik olarak eğitilmesi.
• Teknik Tedbirler: Bilişim ağlarının düzenli sızma testleriyle (penetrasyon) denetlenmesi, özellikle özel nitelikli veriler için gelişmiş kriptografik şifreleme yöntemlerinin kullanılması ve bulut altyapılarının güvenlik taramalarından geçirilmesi.

Tüm bu tedbirlere rağmen şirket kayıtlarındaki verilerin kanuni olmayan yollarla ele geçirilmesi halinde veri sorumlusu, bu ihlali en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna ve kısa sürede ilgili kişilere resmen bildirmek zorundadır. Ayrıca, işlenme amacı hukuken sona eren verilerin kişisel veri saklama ve imha politikası doğrultusunda periyodik olarak silinmesi, yok edilmesi veya anonimleştirilmesi yasal olarak mecburidir.

Ticari faaliyetlerin ayrılmaz bir parçası olan kişisel verilerin aktarılması işlemleri de, veri koruma hukukunun çizdiği katı yasal sınırlara mutlak surette tabidir. Mevzuatın temel kuralı gereğince kişisel veriler, veri sahibinin özgür iradesiyle verdiği açık rızası olmaksızın yurt içine veya yurt dışı konumlu üçüncü kişilere aktarılamaz. Ancak kanun metninde sınırlı sayıda sayılan istisnai hukuka uygunluk sebepleri (bir sözleşmenin ifası veya yasal bir zorunluluğun yerine getirilmesi gibi) mevcut ise rıza şartı aranmadan aktarım yapılabilmesi mümkündür. Özellikle uygulamada şirketler topluluğu bünyesindeki farklı tüzel kişilikler arasında gerçekleştirilen ortak veri paylaşımları da hukuken bağımsız tüzel kişilikler olmaları sebebiyle üçüncü kişiye aktarım sayılmaktadır. Bunun yanı sıra, modern iş dünyasında vazgeçilmez hale gelen ve veri merkezleri yurt dışında konumlanan bulut bilişim platformları veya global e-posta hizmetlerinin tercih edilmesi doğrudan kişisel verilerin yurt dışına aktarılması hukuki statüsündedir.