KVKK Kapsamında Startup’ların Dikkat Etmesi Gerekenler
Startup Kavramı
Startup kelime anlamı olarak harekete geçme bir işe başlama anlamına gelen; terim olarak da yeni bir faaliyet konusunda işe koyulan ticari işletme olarak karşımıza çıkmaktadır. Bu tanımdaki yeni faaliyet konusu startupları normal kurulan ticari işletmelerden ayıran en önemli özelliktir. Startuplar bu şekilde ortaya çıkan yeni bir fikri oluşturmayı ya da geliştirmeyi merkezine alan işletmeler olması nedeniyle ilk olarak fikirlerini koruma altına almalıdırlar. Bu ilk aşamadan sonra startupların geçeceği birçok aşama ve atılması gereken birçok adım vardır. Bunlara değinmek gerekirse startuplar yeni fikirlerini hukuki anlamda koruma altına almalı sonrasında çeşitli yatırımlar alıp bunlar hakkında yatırım sözleşmeleri vb. güzel bir hukuki zemine oturtmalıdır. Bunların yanısıra startupların şirketleşme adı altında da birçok yapılması gereken iş ve hukuki anlamda birçok sözleşme vb. gibi dikkat edilmesi gereken husus vardır. İşte bu aşamalarda dikkat edilmesi gereken hususlardan birisi de Kişisel Verilerin Korunması Kanunu uyarınca düzenlenmesi gereken belge, doküman, data vb. her şeydir.
6698 Sayılı Kanun Kapsamında Kişisel Verilerin Korunması
Kişisel verilerin korunması demek kişisel verilerin işlenmesini belli bir disiplin altında yapmak ve Anayasa’da öngörülen özel hayatın gizliliği ve temel hak ve özgürlüklerin korunmasının güvence altına alınmasını sağlamaktır. 6698 sayılı kanunumuzda bu disiplin hali belirli bir düzen içine alınmıştır. 6698 sayılı kanunun en önemli amacı da bu bağlamda kişisel verilerin düzensiz bir biçimde toplanmasının ya da işlenmesinin önüne geçmektir. Kanun kapsamındaki kişisel veriler sadece gerçek kişilerin kişisel verileri iken işleyenin gerçek ya da tüzel kişi olması ise kanunun kapsamı açısından herhangi bir farklılık arz etmemektedir. Öte yandan kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesi ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi de herhangi bir farklılık arz etmemektedir. Aynı zamanda otomatik olmayan yollarla işlenip bir veri kayıt sisteminin parçası olmayan kişisel veriler ise kanun kapsamında değildir. Değinilmesi gereken bir diğer özel nokta ise normal şartlarda kanun kapsamında olmayan tüzel kişilerin verilerinin, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden olması halinde ise ilgili tüzel kişilere ait verilerin işlenmesinin de kanun kapsamına dahil olmasıdır.
Startup’ların Başlangıç Süreçleri ve KVKK
Startup’ların başlangıç aşamasında ilk yapması gerekenin startup’ı oluşturan fikir, inovasyon vb. ana düşüncenin hukuken koruma altına alınması olduğundan yukarıda bahsettik. Burada bahsedilen hukuki koruma kimi zaman Fikir ve Sanat Eserleri Kanunu’na göre bir eser kimi zaman Sınai Mülkiyet haklarından olan patent kimi zaman da faydalı model, marka vb. şekilde karşımıza çıkabilmektedir. Bunlardan hangisinin tercih edileceği ise Startup’ların hangi konuda bir iş yürüteceği ve buna bağlı olarak yapacakları seçime bağlıdır. Bu seçimin yapılması kimi zaman kritik öneme sahip olabilip fikrin korumasının sağlanmasının ciddi bir şekilde üzerine düşülerek yapılması gerekmektedir. Sonrasında startup’ların şirketleşme süreci gelirken bu şirketleşmenin de ticari işletme mi şahıs şirketi mi sermaye şirketi mi olacaklarına karar vermeleri de yapılacak işin özellikleri ve boyutlarına göre değişim göstermektedir. Öte yandan startup’ların şirketleşme sürecinde ve sonrasında yapacakları sözleşmeler ve dokümanlar da önem arz etmektedir. Bunların başında hissedarlar sözleşmesi, hak sahipliği sözleşmesi, gizlilik sözleşmesi, rekabet yasağına ilişkin düzenlemeler vb. gelirken bir diğer önemli durum ise Kişisel Verilerin Korunması Kanunu uyarınca düzenlenmesi gereken dokümanlardır. Startup’ların veya şirketleşme sürecini tamamladıktan sonra şirketlerin herhangi bir şekilde veri toplarken veya bu verileri işlerken 6698 sayılı kanunun öngördüğü şekilde veriler işlenmeli, kişisel veri güvenliğine ilişkin teknik ve idari tedbirler alınmalı ve diğer uyum düzenlemeleri yapılmalıdır. İlgili uyum ve tedbirlerin yanı sıra VERBİS sistemine kayıt ve bununla birlikte Kişisel Veri Envanteri ile Saklama ve İmha politikasının oluşturulması gerekmektedir. Bu bağlamda bu yükümlülükler aynı zamanda şirketlerin gizlilik politikaları, çerez politikaları ve ayrıca başkaca gizlilik sözleşmelerinin de düzenlenmesini gerektirmektedir.
Startuplar açısından duruma ayrıca bakacak olursak bir özel durum da startup’ların henüz iş görecekleri alanlarının ve buna bağlı olarak hangi kişisel verilere hangi tedbirlerin uygulanacağı, hangi uyum süreçlerinden geçileceğinin çok belirgin bir şekilde ortaya konulmamış olmasıdır. Bu nedenlerle startup’ların uygulayacakları veri politikalarında, uyum süreçlerinde ve gizlilik sözleşmeleri gibi prosedürlerde hukuki bir destek almaları ve buna göre hareket etmeleri önem arz etmektedir. Kişisel verilerin korunması kurulunun KVKK 18. Maddesinde kategorize edilerek belirtilen ihlallere göre belirlediği cezaların 2020 yılı için en yükseğinin 1.800.000 TL’yi bulması da alınması gereken hukuki desteğin ne denli önemli olduğunu göstermektedir. Startup’ların bu hukuki desteği alırken bir yandan yaptıkları işle bağlantılı olarak potansiyel müşteri çevrelerini belirlemeleri ve buna bağlı olarak da yapılacak işe göre işlenecek kişisel verilerin önceden belirlenmesi gerekmektedir. Bu belirlemeye bağlı olarak ilgili verilerin nasıl toplanması, nasıl işleneceği ve bu süreçlerin hepsinde KVKK’ya uyumun nasıl sağlanacağı belirli bir çerçeveye oturtulmalıdır.
Startup’ların kişisel verilerin korunmasında izleyeceği yollara da değinmek gerekir. Bu çerçevede şirketler ve daha yolun başında olan startuplar proaktif sorumluluk ilkesine göre hareket etmelidirler. Proaktif sorumluluk ilkesine göre hareket etmek de güçlü altyapılar ve yeterli insan kaynağı oluşturmakla meydana gelecektir. Kişisel verilerin korunmasında uygulanacak yollar ise günümüz teknolojisi ve teknolojiyle hukukun iş birliği ile oldukça çeşitlenmektedir. Klasik yollar olarak hukuki destekle birlikte şirketlerin veya startup’ların verileri korumada uygulanacak yöntemlerin belirlenmesi ve buna uygun sözleşmelerin yapılması gibi yollar günümüzde yine işlerliğini sürdürmektedir. Son zamanlarda ise daha çok bir yapay zekâ yardımıyla ve çeşitli aplikasyonlarla şirketlerin veya startup’ların sahip oldukları verilerinin ortada herhangi bir belirlenme ya da bu tür durumlar olmadan hukuka uygun bir halde işlendiği görülmektedir. Bu gibi durumlar hem KVKK uyum sürecini hızlandırırken hem de ortada bir yapay zekâ olduğu için hataları ya da güvenlik sıkıntılarını en aza indirmektedir.
KVKK Süreçlerinin Startup’lara Kazandırdıkları
Genelde KVKK uyum süreçleri ve bu süreçte yapılması zorunlu gider ve işlemler şirketler ya da startuplar için hep bir zahmet ya da yük olarak gözükürken yazımızın bu bölümünde iyi yönetilecek bir KVKK sürecinin özellikle startup’lara kazandırdıklarından bahsetmek gerekir. Öncelikle iyi yönetilen bir KVKK uyum süreci ve iyi bir veri güvenliği sağlanması her startup için önemli bir itibar sağlanması demektir. Çünkü günümüz şirketlerine ya da startup’larına baktığımızda ortada büyük bir rekabet ortamı vardır ve bu rekabet ortamında her startup KVKK uyum sürecini daha iyi şekilde yöneterek ve iyi bir veri koruması sağlayarak daha fazla müşteri çekmekte, daha fazla güvenilirlikle emin adımlarla sektöre atılmakta ve belki de en önemlisi yatırım alırken yatırımcılar tarafından daha itibarlı gözükerek yatırım şansını daha da artırabilmektedir. Startuplar için bir diğer kazanç da kendi verilerinin ya da yapılan işe, iş yerine vb. ait verilerin saklanması konusundadır. Günümüzde siber saldırıların arttığı düzey göz önüne alındığında startup’ların girişimcilerinin de bu tehlikeyi hissetmemesi için hiçbir engel yoktur. Nitekim günümüzde henüz fikir aşamasını yeni tamamlamış veya iş planıyla ilgili durumların siber saldırılara maruz kalınarak başkalarının eline geçmesine sıkça rastlamaktayız. Ancak iyi bir KVKK uyum süreci ile bu tehlike de en aza indirilebilir.
Kişisel verilerin işlenmesinin yanında bu verilerin hukuka uygun şekilde kullanılması da günümüzde şirketler ve startuplar için hayati bir öneme sahip olarak karşımıza çıkmaktadır. Günümüzde verilerin hukuka uygun şekilde alınarak kullanılması aydınlatma metni, açık rıza, verilerin silinmesi gibi şeffaf yöntemler kullanılarak belli ölçülerde sağlanmaktadır. Bu çeşit yöntemlerin kullanılması kişilerin kendi rızaları ile verilerini paylaşmalarının yanı sıra bu verilerin kullanılıp daha iyi hizmet vermek için önemli geliştirmeler yapılmasında da startuplara birçok katkı sağlayacaktır. Günümüz ticari hayatında verilerin kullanılması şirketlere ve startup’lara müşteri çevreleri ve gelecek planları dahil olmak üzere birçok konuda görüşe sahip olmak ve bunun sonucu olarak da daha iyi hizmet vermeyi sağlayacaktır. Henüz fikirlerini işe dökme ve müşterileriyle yeni tanışma aşamasında olan startuplar için bu verilerin hukuka uygun şekilde kullanılmasının yukarıda saydığımız katkılarının ne denli daha önemli olduğu ve bu verilerden elde edilecek faydayla startup’ların yükselmesinin ve yaptıkları işte daha iyi bir müşteri memnuniyeti sağlamasının daha olası olduğu aşikardır. Saydığımız bu kadar fayda bile göstermektedir ki KVKK uyum süreçleri startuplar için külfet olmak yerine olumlu bir kazanım olarak görülürse bir startup’ın bu süreçten kazanacağı çok şey vardır. Bu kazançlar yukarıda saydığımız gibi yatırım alma sürecinden henüz fikir aşamasında fikrin korunmasına kadar, verilerin hukuka uygun şekilde işlenip yapılacak işle ilgili faydalı dataların elde edilmesinden müşterilerin gözündeki itibarın artmasına kadar neredeyse bütün aşamalarda karşımıza çıkmaktadır. Bu nedenlerle iyi yönetilecek bir KVKK uyum sürecinin startuplar için çok kazançlı ve faydalı olması sebebiyle bu sürece gereken önemin verilmesi gerekmektedir.
KVKK Kapsamında Uygulanan İdari ve Cezai Yaptırımlar
KVKK kapsamında yapılması gerekenler ve atılması gereken adımlar belirtilmiştir. Sıradaki değinilmesi gereken konu ise bu sürece uymadan işlenen veya korunmayan veriler olduğunda uygulanacak yaptırımlardır. KVKK’nın 10. Maddesinde belirtilen aydınlatma yükümlülüğü, 12. Maddedeki veri güvenliğine karşı yükümlülükler, 15. Maddede belirtilen Kurul kararlarının yerine getirilmesi yükümlülüğü ve 16. Maddede belirtilen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü gibi yükümlülüklere uymayanlara Kurul tarafından idari yaptırım uygulanması ve verilecek para cezaları hüküm altına alınmıştır. Startup’ların henüz ekonomik durumdan şirketler kadar rahat bir konumda olmaması ve para cezalarının startup’ların ekonomisine vereceği zarar göz önüne alındığında KVKK uyum süreçlerinin ne kadar daha önemli olduğu tekrardan karşımıza çıkmaktadır.
İdari para cezalarının yanı sıra bu süreçteki bazı hukuka aykırılıklara cezai yaptırımlar da öngörülmüştür. İlgili hukuka aykırılıklar başlıca kişisel verilerin kaydedilmesi suçu, verileri hukuka aykırı olarak verme ve ele geçirme suçu ve verileri yok etme suçu olarak karşımıza çıkmaktadır.
İdari ve cezai yaptırımların bu denli ayrıntılı şekilde düzenlenmesi ve yüksek yaptırımlar içermesi de startup’ların hiç istemeyeceği şekilde sonuçlar doğmasına neden olabilecektir.
Startuplar İçin İyi Sürdürülen KVKK Uyum Süreci
Yukarıda iyi bir KVKK uyum sürecinin ve veri güvenliğinin sağlanmasının startup’a sağlayacağı katkıları sıralamıştık. Bunun yanı sıra öngörülen idari ve cezai yaptırımlara da değindik. Tüm bu saydıklarımızın da bizlere gösterdiği sonuç iyi bir KVKK uyum sürecinin startup’lara çokça artısı olduğu ve bu nedenle üzerine çok ciddi bir şekilde düşülmesi gerektiğidir. Saydığımız nedenlerin yanı sıra kişisel verilerin her insanın özel hayatına dahil olduğu, özel hayatın gizliliğinin anayasal temel haklardan olduğu, kişisel verilerin hukuka aykırı şekilde kullanılmasının veya korunmamasının insanların bu temel haklarını ihlal ettiğini ve hukuksal vicdan boyutuyla da bakınca çok büyük bir hukuka aykırılık olduğunu unutmamak gerekir.
Sayılan bunca neden ve günümüz teknolojik gelişmeleri sonucunda kişisel verilerin öneminin her geçen gün daha da artması her alanda olduğu gibi startup’ların da bu alanda ne kadar dikkatlice hareket etmesi gerektiğini önümüze sermektedir. Startup’ların kişisel veri güvenliğini sağlamada iyi bir teknolojik altyapı kurmaları ve IT çalışmaları yapmalarının yanı sıra uyum süreçlerini yönetirken ve izlenecek yolu planlarken de iyi bir hukuki destek almaları son derece önemlidir.
Eren Kurukız