KVKK Kapsamında Startup’ların Dikkat Etmesi Gerekenler

Startup Kavramı

Startup kelime anlamı olarak harekete geçme bir işe başlama anlamına gelen; terim olarak da yeni bir faaliyet konusunda işe koyulan ticari işletme olarak karşımıza çıkmaktadır. Bu tanımdaki yeni faaliyet konusu startupları normal kurulan ticari işletmelerden ayıran en önemli özelliktir. Startuplar bu şekilde ortaya çıkan yeni bir fikri oluşturmayı ya da geliştirmeyi merkezine alan işletmeler olması nedeniyle ilk olarak fikirlerini koruma altına almalıdırlar. Bu ilk aşamadan sonra startupların geçeceği birçok aşama ve atılması gereken birçok adım vardır. Bunlara değinmek gerekirse startuplar yeni fikirlerini hukuki anlamda koruma altına almalı sonrasında çeşitli yatırımlar alıp bunlar hakkında yatırım sözleşmeleri vb. güzel bir hukuki zemine oturtmalıdır. Bunların yanısıra startupların şirketleşme adı altında da birçok yapılması gereken iş ve hukuki anlamda birçok sözleşme vb. gibi dikkat edilmesi gereken husus vardır. İşte bu aşamalarda dikkat edilmesi gereken hususlardan birisi de Kişisel Verilerin Korunması Kanunu uyarınca düzenlenmesi gereken belge, doküman, data vb. her şeydir.

6698 Sayılı Kanun Kapsamında Kişisel Verilerin Korunması

Kişisel verilerin korunması demek kişisel verilerin işlenmesini belli bir disiplin altında yapmak ve Anayasa’da öngörülen özel hayatın gizliliği ve temel hak ve özgürlüklerin korunmasının güvence altına alınmasını sağlamaktır. 6698 sayılı kanunumuzda bu disiplin hali belirli bir düzen içine alınmıştır. 6698 sayılı kanunun en önemli amacı da bu bağlamda kişisel verilerin düzensiz bir biçimde toplanmasının ya da işlenmesinin önüne geçmektir. Kanun kapsamındaki kişisel veriler sadece gerçek kişilerin kişisel verileri iken işleyenin gerçek ya da tüzel kişi olması ise kanunun kapsamı açısından herhangi bir farklılık arz etmemektedir. Öte yandan kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesi ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi de herhangi bir farklılık arz etmemektedir. Aynı zamanda otomatik olmayan yollarla işlenip bir veri kayıt sisteminin parçası olmayan kişisel veriler ise kanun kapsamında değildir. Değinilmesi gereken bir diğer özel nokta ise normal şartlarda kanun kapsamında olmayan tüzel kişilerin verilerinin, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden olması halinde ise ilgili tüzel kişilere ait verilerin işlenmesinin de kanun kapsamına dahil olmasıdır.   

Startup’ların Başlangıç Süreçleri ve KVKK

Startup’ların başlangıç aşamasında ilk yapması gerekenin startup’ı oluşturan fikir, inovasyon vb. ana düşüncenin hukuken koruma altına alınması olduğundan yukarıda bahsettik. Burada bahsedilen hukuki koruma kimi zaman Fikir ve Sanat Eserleri Kanunu’na göre bir eser kimi zaman Sınai Mülkiyet haklarından olan patent kimi zaman da faydalı model, marka vb. şekilde karşımıza çıkabilmektedir. Bunlardan hangisinin tercih edileceği ise Startup’ların hangi konuda bir iş yürüteceği ve buna bağlı olarak yapacakları seçime bağlıdır. Bu seçimin yapılması kimi zaman kritik öneme sahip olabilip fikrin korumasının sağlanmasının ciddi bir şekilde üzerine düşülerek yapılması gerekmektedir. Sonrasında startup’ların şirketleşme süreci gelirken bu şirketleşmenin de ticari işletme mi şahıs şirketi mi sermaye şirketi mi olacaklarına karar vermeleri de yapılacak işin özellikleri ve boyutlarına göre değişim göstermektedir. Öte yandan startup’ların şirketleşme sürecinde ve sonrasında yapacakları sözleşmeler ve dokümanlar da önem arz etmektedir. Bunların başında hissedarlar sözleşmesi, hak sahipliği sözleşmesi, gizlilik sözleşmesi, rekabet yasağına ilişkin düzenlemeler vb. gelirken bir diğer önemli durum ise Kişisel Verilerin Korunması Kanunu uyarınca düzenlenmesi gereken dokümanlardır. Startup’ların veya şirketleşme sürecini tamamladıktan sonra şirketlerin herhangi bir şekilde veri toplarken veya bu verileri işlerken 6698 sayılı kanunun öngördüğü şekilde veriler işlenmeli, kişisel veri güvenliğine ilişkin teknik ve idari tedbirler alınmalı ve diğer uyum düzenlemeleri yapılmalıdır. İlgili uyum ve tedbirlerin yanı sıra VERBİS sistemine kayıt ve bununla birlikte Kişisel Veri Envanteri ile Saklama ve İmha politikasının oluşturulması gerekmektedir. Bu bağlamda bu yükümlülükler aynı zamanda şirketlerin gizlilik politikaları, çerez politikaları ve ayrıca başkaca gizlilik sözleşmelerinin de düzenlenmesini gerektirmektedir.

Startuplar açısından duruma ayrıca bakacak olursak bir özel durum da startup’ların henüz iş görecekleri alanlarının ve buna bağlı olarak hangi kişisel verilere hangi tedbirlerin uygulanacağı, hangi uyum süreçlerinden geçileceğinin çok belirgin bir şekilde ortaya konulmamış olmasıdır. Bu nedenlerle startup’ların uygulayacakları veri politikalarında, uyum süreçlerinde ve gizlilik sözleşmeleri gibi prosedürlerde hukuki bir destek almaları ve buna göre hareket etmeleri önem arz etmektedir. Kişisel verilerin korunması kurulunun KVKK 18. Maddesinde kategorize edilerek belirtilen ihlallere göre belirlediği cezaların 2020 yılı için en yükseğinin 1.800.000 TL’yi bulması da alınması gereken hukuki desteğin ne denli önemli olduğunu göstermektedir. Startup’ların bu hukuki desteği alırken bir yandan yaptıkları işle bağlantılı olarak potansiyel müşteri çevrelerini belirlemeleri ve buna bağlı olarak da yapılacak işe göre işlenecek kişisel verilerin önceden belirlenmesi gerekmektedir. Bu belirlemeye bağlı olarak ilgili verilerin nasıl toplanması, nasıl işleneceği ve bu süreçlerin hepsinde KVKK’ya uyumun nasıl sağlanacağı belirli bir çerçeveye oturtulmalıdır.

Startup’ların kişisel verilerin korunmasında izleyeceği yollara da değinmek gerekir. Bu çerçevede şirketler ve daha yolun başında olan startuplar proaktif sorumluluk ilkesine göre hareket etmelidirler. Proaktif sorumluluk ilkesine göre hareket etmek de güçlü altyapılar ve yeterli insan kaynağı oluşturmakla meydana gelecektir. Kişisel verilerin korunmasında uygulanacak yollar ise günümüz teknolojisi ve teknolojiyle hukukun iş birliği ile oldukça çeşitlenmektedir. Klasik yollar olarak hukuki destekle birlikte şirketlerin veya startup’ların verileri korumada uygulanacak yöntemlerin belirlenmesi ve buna uygun sözleşmelerin yapılması gibi yollar günümüzde yine işlerliğini sürdürmektedir. Son zamanlarda ise daha çok bir yapay zekâ yardımıyla ve çeşitli aplikasyonlarla şirketlerin veya startup’ların sahip oldukları verilerinin ortada herhangi bir belirlenme ya da bu tür durumlar olmadan hukuka uygun bir halde işlendiği görülmektedir. Bu gibi durumlar hem KVKK uyum sürecini hızlandırırken hem de ortada bir yapay zekâ olduğu için hataları ya da güvenlik sıkıntılarını en aza indirmektedir.

KVKK Süreçlerinin Startup’lara Kazandırdıkları

Genelde KVKK uyum süreçleri ve bu süreçte yapılması zorunlu gider ve işlemler şirketler ya da startuplar için hep bir zahmet ya da yük olarak gözükürken yazımızın bu bölümünde iyi yönetilecek bir KVKK sürecinin özellikle startup’lara kazandırdıklarından bahsetmek gerekir. Öncelikle iyi yönetilen bir KVKK uyum süreci ve iyi bir veri güvenliği sağlanması her startup için önemli bir itibar sağlanması demektir. Çünkü günümüz şirketlerine ya da startup’larına baktığımızda ortada büyük bir rekabet ortamı vardır ve bu rekabet ortamında her startup KVKK uyum sürecini daha iyi şekilde yöneterek ve iyi bir veri koruması sağlayarak daha fazla müşteri çekmekte, daha fazla güvenilirlikle emin adımlarla sektöre atılmakta ve belki de en önemlisi yatırım alırken yatırımcılar tarafından daha itibarlı gözükerek yatırım şansını daha da artırabilmektedir.  Startuplar için bir diğer kazanç da kendi verilerinin ya da yapılan işe, iş yerine vb. ait verilerin saklanması konusundadır. Günümüzde siber saldırıların arttığı düzey göz önüne alındığında startup’ların girişimcilerinin de bu tehlikeyi hissetmemesi için hiçbir engel yoktur. Nitekim günümüzde henüz fikir aşamasını yeni tamamlamış veya iş planıyla ilgili durumların siber saldırılara maruz kalınarak başkalarının eline geçmesine sıkça rastlamaktayız. Ancak iyi bir KVKK uyum süreci ile bu tehlike de en aza indirilebilir. 

Kişisel verilerin işlenmesinin yanında bu verilerin hukuka uygun şekilde kullanılması da günümüzde şirketler ve startuplar için hayati bir öneme sahip olarak karşımıza çıkmaktadır. Günümüzde verilerin hukuka uygun şekilde alınarak kullanılması aydınlatma metni, açık rıza, verilerin silinmesi gibi şeffaf yöntemler kullanılarak belli ölçülerde sağlanmaktadır. Bu çeşit yöntemlerin kullanılması kişilerin kendi rızaları ile verilerini paylaşmalarının yanı sıra bu verilerin kullanılıp daha iyi hizmet vermek için önemli geliştirmeler yapılmasında da startuplara birçok katkı sağlayacaktır. Günümüz ticari hayatında verilerin kullanılması şirketlere ve startup’lara müşteri çevreleri ve gelecek planları dahil olmak üzere birçok konuda görüşe sahip olmak ve bunun sonucu olarak da daha iyi hizmet vermeyi sağlayacaktır. Henüz fikirlerini işe dökme ve müşterileriyle yeni tanışma aşamasında olan startuplar için bu verilerin hukuka uygun şekilde kullanılmasının yukarıda saydığımız katkılarının ne denli daha önemli olduğu ve bu verilerden elde edilecek faydayla startup’ların yükselmesinin ve yaptıkları işte daha iyi bir müşteri memnuniyeti sağlamasının daha olası olduğu aşikardır. Saydığımız bu kadar fayda bile göstermektedir ki KVKK uyum süreçleri startuplar için külfet olmak yerine olumlu bir kazanım olarak görülürse bir startup’ın bu süreçten kazanacağı çok şey vardır. Bu kazançlar yukarıda saydığımız gibi yatırım alma sürecinden henüz fikir aşamasında fikrin korunmasına kadar, verilerin hukuka uygun şekilde işlenip yapılacak işle ilgili faydalı dataların elde edilmesinden müşterilerin gözündeki itibarın artmasına kadar neredeyse bütün aşamalarda karşımıza çıkmaktadır. Bu nedenlerle iyi yönetilecek bir KVKK uyum sürecinin startuplar için çok kazançlı ve faydalı olması sebebiyle bu sürece gereken önemin verilmesi gerekmektedir.

KVKK Kapsamında Uygulanan İdari ve Cezai Yaptırımlar

KVKK kapsamında yapılması gerekenler ve atılması gereken adımlar belirtilmiştir. Sıradaki değinilmesi gereken konu ise bu sürece uymadan işlenen veya korunmayan veriler olduğunda uygulanacak yaptırımlardır. KVKK’nın 10. Maddesinde belirtilen aydınlatma yükümlülüğü, 12. Maddedeki veri güvenliğine karşı yükümlülükler, 15. Maddede belirtilen Kurul kararlarının yerine getirilmesi yükümlülüğü ve 16. Maddede belirtilen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü gibi yükümlülüklere uymayanlara Kurul tarafından idari yaptırım uygulanması ve verilecek para cezaları hüküm altına alınmıştır. Startup’ların henüz ekonomik durumdan şirketler kadar rahat bir konumda olmaması ve para cezalarının startup’ların ekonomisine vereceği zarar göz önüne alındığında KVKK uyum süreçlerinin ne kadar daha önemli olduğu tekrardan karşımıza çıkmaktadır. 

İdari para cezalarının yanı sıra bu süreçteki bazı hukuka aykırılıklara cezai yaptırımlar da öngörülmüştür. İlgili hukuka aykırılıklar başlıca kişisel verilerin kaydedilmesi suçu, verileri hukuka aykırı olarak verme ve ele geçirme suçu ve verileri yok etme suçu olarak karşımıza çıkmaktadır. 

İdari ve cezai yaptırımların bu denli ayrıntılı şekilde düzenlenmesi ve yüksek yaptırımlar içermesi de startup’ların hiç istemeyeceği şekilde sonuçlar doğmasına neden olabilecektir. 

Startuplar İçin İyi Sürdürülen KVKK Uyum Süreci

Yukarıda iyi bir KVKK uyum sürecinin ve veri güvenliğinin sağlanmasının startup’a sağlayacağı katkıları sıralamıştık. Bunun yanı sıra öngörülen idari ve cezai yaptırımlara da değindik. Tüm bu saydıklarımızın da bizlere gösterdiği sonuç iyi bir KVKK uyum sürecinin startup’lara çokça artısı olduğu ve bu nedenle üzerine çok ciddi bir şekilde düşülmesi gerektiğidir. Saydığımız nedenlerin yanı sıra kişisel verilerin her insanın özel hayatına dahil olduğu, özel hayatın gizliliğinin anayasal temel haklardan olduğu, kişisel verilerin hukuka aykırı şekilde kullanılmasının veya korunmamasının insanların bu temel haklarını ihlal ettiğini ve hukuksal vicdan boyutuyla da bakınca çok büyük bir hukuka aykırılık olduğunu unutmamak gerekir. 

Sayılan bunca neden ve günümüz teknolojik gelişmeleri sonucunda kişisel verilerin öneminin her geçen gün daha da artması her alanda olduğu gibi startup’ların da bu alanda ne kadar dikkatlice hareket etmesi gerektiğini önümüze sermektedir. Startup’ların kişisel veri güvenliğini sağlamada iyi bir teknolojik altyapı kurmaları ve IT çalışmaları yapmalarının yanı sıra uyum süreçlerini yönetirken ve izlenecek yolu planlarken de iyi bir hukuki destek almaları son derece önemlidir.

Eren Kurukız

Read More

Oyun Sektörünün Marka Hukuku Kapsamında Süreci

  • Fikri Hak Olarak Kabul Edilebilirlik Açısında Eser Olgusu 

Dijital oyunlar; “oyuncunun elektronik bir sistem veya bilgisayarla kurduğu bağlantı neticesinde oluşan somut durumun, ekran veya benzeri bir görüntü sistemi aracılığı ile gösterilmesi” olarak tanımlanmakla birlikte günümüzde bu durum bilgisayar oyunları veya video oyunları olarak da adlandırılmaktadır. Teknik kişilerin yapacağı çalışma sonunda ortaya çıkacak sonuçların tamamı, Fikir ve Sanat Eserleri Kanunu’nun (“FSEK”) 2. maddesi kapsamında “eser” olarak değerlendirilebilmektedir.

Bu noktada önemli unsur şudur, programlanan ara yüze konu olan düşünce ve ilkeleri dahil olmak üzere, bir bilgisayar programının herhangi bir ögesine temel oluşturan düşünce ve ilkeler eser sayılmamaktadır. Çünkü aynı fikir çok çeşitli ifade yollarıyla kullanılabilir. Hakeza buradaki unsurlar günümüzde FSEK kapsamında eser niteliğine haiz olan ürünlerin ayırt edicilik unsuru gerektiren hüviyetleri konusunda da bu şekilde incelemeye tabi tutulmaktadır.  Buna dair dijital oyun sektöründe beklenilen durumda ortaya çıkarılan fikrin sektörel anlamda yazılımsal ve yahut donanımsal anlamda yenilik ve ayırt edicilik getirmesi durumudur. Bu sebeple sadece fikir hukukumuzda korunmamaktadır. Korumanın konusu, bu fikrin ifade ediliş biçimi, kullanılan yolu şeklidir.

Bir oyunun içinde birbirinden farklı resimler, çizimler, yazılım kodları, animasyonlar, metinler, videolar ve müzikler bulunabilmektedir. Dijital oyunların korunmaya elverişli birden fazla hakka konu unsuru bünyesinde barındırması sebebiyle Türk hukuku kapsamında hangi hakkın altında hukuki korumadan yararlanacağı konusu uygulamada ortaya çıkmaktadır. Dijital oyunlar özelinde uluslararası hukukta olduğu gibi hukukumuzda da eser sahibinin haklarını korumak amacıyla dijital oyunlardaki hakların parçalara ayrılarak koruma altına alınması gündeme gelmektedir.

  • Eser Olarak Kabul Edilen Fikri Hakkın Sınai Mülkiyet Korumasına Dahil Edilme Süreci 

Sınai Mülkiyet Kanunu (“SMK”)’nun düzenlediği marka, patent, tasarım, faydalı model, coğrafi işaretler gibi sınai haklar çerçevesinde; dijital oyun içeriğinde meydana getirilen bir tasarımın, oluşturulan ayırt edici bir logonun, oyun karakterinin şematize edilmiş görüntüsünün, dijital oyunun adının Türk Patent ve Marka Kurumu’na yapılacak tescil başvuruları ile marka, tasarım gibi korumalardan faydalanması mümkündür.

  • a. SMK Kapsamında Marka Hakkı 

Marka hakkından bahsedebilmek için, Bir işaretin bulunması gerekmektedir. Bu işaret kişi adları dahil sözcükler, şekiller, renkler, harfler, sayılar, sesler ve malların veya ambalajlarının biçimi olmak üzere her türlü işaret olabilecektir. Bu işaretin marka sahibine sağlanan korumanın konusunun açık ve kesin olarak anlaşılmasını sağlayabilecek şekilde sicilde gösterilebilir olması gerekmektedir. Bu işaret ayırt edicilik özelliğini taşıması gerekmektedir. Dijital Oyunları açısından değerlendirildiğinde ise Dijital Oyunlarının Marka olarak tescil edildiği durumlarda bilgisayar oyunlarının isimleri, logoları, bilgisayar oyun yapım şirketlerinin isimleri, logoları vb. şekiller oyun sahipleri tarafından marka olarak tescil edilebilmektedir. Dolayısıyla SMK kapsamında marka olarak koruma altında olacaktır.

Bu noktada dijital oyunlarda herhangi bir firmanın elde ettiği marka haklarının tamamını elde etmeye haiz konumdadır. Buradaki uygulama farklılıklarını şu şekilde özetleyebiliriz. Dijital oyunun üretici firması olarak EA GAMES firmasını belirleyelim, üretici firma kendi marka hakkını tescil ettirerek koruma altına almaktadır. Üretici firmanın ürettiği FIFA oyununun her yıl yeni sürümü çıktıkça marka tescilinde bulunabilecektir. Bu noktada mevcut markasını FIFA08 FIFA09 şeklinde renk ve logolarında değişiklik yaparak tescil ettirebilmektedir. Yani sadece dijital oyunların ilk sürümü değil sonraki sürümleri de marka koruması kapsamına alınabilmektedir. 

  • b. Dijital Oyun Markalarında Benzerlik Olgusu 

Dijital oyun markalarının yeni oyun sürümleri gamerlar tarafından oyun firmalarının marka tescili süreçlerinde anlaşılmaktadır. Oyun üreticileri marka koruması açısından sorun yaşamamak için oyunu piyasaya sürmeden gelişme sürecinde marka tescillerini uygulamada yapmaktadırlar. Çünkü sınai mülkiyet üretilen ürünün ticari anlamda kar getirebilmesi için vazgeçilmezlik özelliği taşımaktadır. Bu noktada uygulamada yaşanabilen sorunlar ise marka benzerliklerinden ilgili düzenleyici kurumların verdikleri red kararları ile ortadan kaldırılmaktadır. Örnek vermek gerekirse FIFA08 oyunun ilerde FIFA22 olarak tescil edileceğinin düşünen kötü niyetli kişilerce markaya dair hak sahipliği elde etmek amacıyla tescil işleminin gerçekleştirilmeye çalışıldığını düşünelim. İlgili kurumlarca FIFA08 Markası ile benzerlikten FIFA22 markasının red kararı verilmesi gerekmektedir hatta uygulama da bu yola gidilmektedir. Bu şekilde haksız kullanımların ve kötü niyetli marka tescilinin SMK m.6/5 kapsamında reddi söz konusudur. 

Bir diğer boyut ise FIFA08 markasına sahip olan gerçek hak sahibi marka ise FIFA22 markasının tescil edilmesinde benzerlikten dolayı sorun yaşamamak için markanın kullanıma dair muvafakat verebilmektedir. Uygulamada firmalarda seri marka koruması için kullanılmakta olan bu yol Dijital oyun firmaları açısından da kullanılabilmektedir. Bu sebeple FIFA22 özelinde verdiğimiz örnekle FIFA08 markasına sahip olan üretici firma oyun markasının tescili için muvafakat vererek tescil işleminin sorunsuz bir şekilde gerçekleştirilmesi sağlayabilecektir.  

Av. Mustafa Koçyiğit

Read More