Bilginin en önemli ekonomik değer kabul edildiği günümüzde, bir taraftan verilerin etkin bir şekilde toplanarak işlenmesi, sunulan hizmet veya ürünlerin kalitesini arttırmak açısından büyük önem taşımakta diğer taraftan veri sahibinin kişilik haklarının korunması çok dikkat edilmesi gereken bir husus olarak ortaya çıkmaktadır. Günümüzde teknolojinin gelişmesiyle beraber küresel bilgi akışının yoğunlaşması kişisel verilerin korunması hakkı üzerindeki çalışmaları artarak hızlandırmaktadır.
Kişisel verilerinin haksız kullanımlara konu olması ve bu veriler üzerinde doğabilecek olası ihlallerin çeşitlenip artması ile ülkeler kişisel verilerin korunması hakkını kapsamlı bir biçimde düzenleme çalışmalarını başlatmış ve bu hakkın en üst yasal korumadan faydalanmasını sağlamaya çalışmışlardır. Ayrıca, teknolojik gelişmelerin temel hak ve özgürlüklere müdahaleyi kolaylaştırması diğer bütün hukuki düzenlemelerde olduğu gibi Anayasa’da da bu konuda yeni düzenlemeler yapılması gereğini ortaya çıkarmıştır. Bu sebeple, 07/05/2010 tarihli 5982 Sayılı Kanun’un 2. maddesiyle Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olarak teminat altına alındığı görülmüştür. Bu itibarla, kişisel verilerin korunması hakkı, özel hayatın gizliliği başlığı altında düzenlenmiş olsa da, temel insan hakları kapsamında anayasal güvenceye bağlanmıştır.
Bu sebeple, Avrupa Birliği ve ülkemizde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla kişisel verilerin işlenme usul ve esaslarını düzenleyen yasal düzenlemeler yapılmış ve kişisel veri işleyen gerçek veya tüzel kişilere önemli yükümlülükler getirilmiştir. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 07/04/2016 tarihinde ülkemizde yürürlüğe girmiş ve yayın tarihinden önce işlenmiş olan kişisel veriler bakımından kanuna uyum için tanınan iki yıllık sürenin sona ermesi ile 07/04/2018 tarihinden itibaren kişisel veri işleyen gerçek ve tüzel kişilere tüm hükümleri ile uygulanmaya başlamıştır.
KVKK kapsamındaki yükümlülüklerden yalnızca biri olan Veri Sorumluları Sicili’ne (“Verbis”) kayıt yükümlülüğü ise Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 11.03.2021 tarihli kararı ile tüm veri sorumluları bakımından 31/12/2021 tarihine kadar uzatılmıştır. Fakat denizcilik şirketlerinin/veri sorumlularının, Verbis yükümlülüğü harici, KVKK ve ilgili diğer mevzuattan kaynaklı diğer tüm yükümlülüklerinin en azından 07/04/2018 tarihinden bu yana devam etmekte olduğu ve bu kapsamda özellikle KVKK madde 12 ile detaylandırılan veri güvenliği yükümlülüğü uyarınca alınması zaruri teknik ve -idari tedbirlerin ertelenmemesi gerektiği hususu önem arz etmektedir. Nitekim Kurul şimdiye kadar Verbis yükümlülüğünün ihlalinden dolayı idari para cezası uygulamamış fakat KVKK temelinde alınması zaruri idari ve teknik alınmaması, açık rızanın usulüne uygun alınmamış olması gibi pek çok farklı ihlalden dolayı yüksek idari para cezaları uygulamıştır. Kanunda kamu kurumları ile özel kuruluşlar açısından temelde herhangi bir ayrım yapılmamış olup belirlenen usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir.
Veri sorumlularının sicile kayıt (“Verbis”) yükümlülüğü kanunun 16. Maddesinin 2. Fıkrası kapsamında açıkça belirtilmiş ve “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır…” ifadesi ile tüm veri sorumlularının sicile kayıt olma zorunluluğu getirilmiştir. 2018/32 sayılı ve 2018/68, 2018/75 ve 2018/87 sayılı Kurul kararları gereği ise bazı kurum ve kuruluşlar ve Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 Milyon TL’den az olan veya ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları sicile kayıttan muaf tutulmuşlardır. Bu tabloyu başka bir bakış açısı ile okayacak olursak Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları sicile kayıt yaptırmak zorundadır anlamı ortaya çıkmaktadır. Verbis’e kayıt yükümlülüğü bakımından istisna kapsamında olan dernek/vakıf statüsünde olan kurumların/denizcilik şirketlerinin sadece Verbis’e kayıt yükümlülüğünden muaf tutulduğunu fakat KVKK ve bağlı yönetmelikler ile tebliğler temelinde getirilen diğer tüm yükümlülükler bakımından sorumluluklarının devam ettiğini ve olası bir ihlalde idari para cezalarının muhatabı olabileceklerini önemle belirtmek gerekmektedir.
Denizcilik şirketleri, ticari faaliyetleri gereği yolcu bilgileri, mürettebat ve çalışan bilgileri, müşteri listeleri ve iş bağlantılarının ayrıntıları dahil olmak üzere çok sayıda kişisel veri toplamakta ve başka şekillerde işlemektedir. Bu bağlamda örneğin, taşınan yolcuya ve taşıtan gerçek kişi ya da tüzel kişiyle ilişkilendirilen gerçek kişilere dair bilgileri toplamakla olup bu husus onları KVKK kapsamına sokmaktadır. Bu durum, KVKK uyarınca denizcilik şirketleri tarafından, yapılan işlemler ile ilgili çok kapsamlı ve detaylı bir envanter çıkarılmasını, risk/etki analizlerinin yapılmasını ve bu analizlerin hukuki altyapısının oluşturulmasını gerektirmektedir.
Bu sebeple, KVKK uyum sürecini dar yorumlamamak ve salt Verbis kaydının gerçekleştirilmesi ile sorumluluklarının yerine getirildiği düşüncesinin değişmesi gerekmektedir. Çünkü, KVKK uyumluluğunda hedeflenen nokta, tüm kişisel veri işleme faaliyetlerinin her aşamasında KVKK’na uyumlu hale getirmeye çalışmaktır. Bu sebeple, kişisel verilerin işlenmesi mevzuatına uyumluluk veri sorumluları açısından tek seferlik bir iş-işlem olmayıp faaliyetleri kapsamında sürekli olarak gerçekleştirmek durumunda oldukları bir işlemdir.
Kanun hükümlerinin ihlal edilmesi ya da yükümlülüklerin hiç veya gereği gibi yerine getirilmemesi ise oldukça ağır idari ve cezai yaptırımlara bağlanmıştır. KVKK, ilgili hükümlerin ihlal edilmesi durumunda, ihlalleri niteliğine göre “suçlar” ve “kabahatler” olarak ayırmış olup, kabahat kapsamına giren bir eylem/işlem yapılması halinde eylemi gerçekleştiren sorumlu kişi veya kurumlara idari para cezası uygulanmasını, söz konusu eylemin bir kamu kurumu tarafından yapılması durumunda ise disiplin cezası uygulanması için ilgili kurumun bilgilendirilmesini öngörmektedir.
KVKK uyarınca kişisel verilere yönelik yükümlülüklerin ihlal edilmesinden kaynaklanacak suçlar doğrudan 5237 Sayılı Türk Ceza Kanunu (“TCK”) yaptırımları kapsamında değerlendirilip, ilgili kişilere (veya TCK 140. maddede hükmedildiği gibi kurumlara) işlediği suçun niteliğine göre TCK’nın ilgili maddelerinde öngörülen cezalar uygulanmaktadır.
2021 yılı için tek bir ihlal nedeniyle 1.966.862 ?’ye kadar idari para cezasına hükmedilmesi mümkünken ayrıca Türk Ceza Kanunu uyarınca sorumluların hapis cezasına çarptırılma riskleri mevcuttur. Kişisel Verileri Koruma Kurulu’nun bugüne kadar yayımlanmış kararları incelendiğinde de Kurul’un kanunla kendisine tanınan yetkileri kullanmaktan ve yüksek tutarlarda idari para cezalarına hükmetmekten çekinmediği ve KVKK uyumluluğunu değerlendirirken oldukça titiz davrandığı görülmektedir. Bu sebeple KVKK uyumluluğu kişisel veri işleyen tüm kamu kurumları ve şirketler açısından oldukça önemsenmesi gereken bir konu olduğu tekrardan vurgulanmalıdır.
Kanun kapsamında veri sorumlularına getirilen; ilgili kişilerin aydınlatılması, gerekli olduğu hallerde ilgili kişiden veri işleme faaliyetine ilişkin açık rıza alınması, veri güvenliğine ilişkin önlemlerin eksiksiz alınması, ilgili kişiler tarafından yapılan başvuruların zamanında cevaplanması gibi yükümlülüklerin yanında KVKK uyumluluğunun şirketlerin tüm faaliyet ve süreçlerinde sağlanması beklenmektedir. Aydınlatma yapılması, açık rıza alınması gibi belli başlı yükümlülüklerin yerine getirilmesi şirketin KVKK’ya uyumlu hale geldiğini söylemek için yeterli olmamakta; şirketin tüm sözleşmeleri, işe alım süreçleri, faaliyet ve iş süreçlerinin yürütülmesi bütüncül bir yaklaşımla mevzuata uygun hale getirilmeli ve bu süreçte diğer hukuk dalları zeminine uygun bir çalışma yürütülmelidir. Bu sebeple KVKK uyumluluğunun sağlıklı şekilde sağlanabilmesi için şirketin tüm süreçlerinin iş hukuku, ticaret hukuku ve denizcilik sektörünün doğası gereği uluslararası özel hukuk yönünden değerlendirilmesi, sonrasında şirket içerisinde uygulanabilirliği yüksek ve verimli politikalarla hukuki, idari ve teknik tedbirlerin alınması ve veri güvenliğinin sağlandığının teyit edilmesi gerekmektedir.
Özellikle denizcilik sektörü gibi çok çeşitli kişisel verilerin işlendiği; üçüncü kişilere, kamu kurum ve kuruluşlarına, uluslararası kuruluşlara veri aktarımının yapıldığı; adli sicil kayıtları ve sağlık bilgisi gibi özel nitelikli kişisel verilerin sıklıkla işlendiği karmaşık yapılarda KVKK uyum sürecinin bütüncül bir yaklaşımla yürütülmesi ilgili riskleri yönetebilmek için zaruridir. Örneğin bir denizcilik şirketinin yurtdışında mukim tedarikçisi ile yapacağı bir sözleşmenin uluslararası özel hukuk ve borçlar hukuku açısından incelenmeden KVKK açısından güvenli hale getirilmesi mümkün değildir veya İşveren Şirket’in, personelinin iş sözleşmesinin haklı nedenle feshine yol açacak bilgileri KVKK’ya aykırı olarak elde etmesi halinde hukuka aykırı elde edilen veriler haklı fesih sebebi olarak ileri sürülemeyecektir.
Sonuç olarak, kanunda belirtilen yükümlülüklerin yerine getirilmesi ile idari ve cezai yaptırımlarla karşılaşmamak amacıyla KVKK uyumluluğunun bir sefere mahsus yapılan bir proje olarak değerlendirilmemesi, şirketin varlığını devam ettirdiği süre boyunca uyması ilgili mevzuata uyumluluğunu sağlaması gerektiğinin kabul edilmesi ve veri koruma politikalarının şirket kültürü olarak benimsenmesi oldukça önem arz etmekte olup salt Verbis kaydının yapılmasının uyumluluk sürecinin küçük bir parçası olduğu unutulmayarak adımlama yapılması gerekmektedir. Çünkü KVKK yükümlülükleri şirket veya kurum var olduğu, faaliyetlerine devam ettiği, kişisel veriye temas ettiği süre boyunca devam edecek ve diğer hukuk dallarına gösterilen ehemmiyetin KVKK’ya da gösterilmesi gerekecektir. Bu bağlamda, şirket veya kurum içerisinde personelin KVKK farkındalığının yükseltilmesi, teknik ve idari açıdan veri güvenliğinin sağlanması ve güçlü bir hukuki alt yapının oluşturulması, ISO 27001 ve 27701 gibi bilgi ve kişisel veri güvenliği standartlarına uygun kurum içi süreçlerin entegre edilmesi, KVKK madde 12 uyarınca iç ve ya dış denetim ile sürekli gözden geçirme yapmak, mevcut teknik ve hukuki dokümanların kurulun veya yurtdışı veri koruma otoritelerinin kararları ışığında güncelliğini sağlamak KVKK uyumunun başarı ve süreklilik kazanmasını sağlayacak etmenlerden en önemlileri olacaktır.