80’lerden sonra ilk kişisel bilgisayarların ortaya çıkmasıyla birlikte, günlük yaşamda hem iş ortamında hem de ev ortamında veri işleme yaygınlık kazanmıştır. Bilgisayarların bu yaygın kullanımı ile birlikte günlük hayatta çeşitli amaçlarla kişisel veriler de yoğun bir şekilde işlenmeye başlamıştır.

Bu nedenle, Anayasalar ile korunan kişilik haklarının içerisinde kişisel verilerin de korunmasını gündeme getirmiş, bir temel insan hakkı olarak kişisel verilerin korunması Anayasalarda yerini bulurken, bu korumanın nasıl sağlanacağı ile ilgili olarak regülasyonlar çıkarılmaya başlanmıştır. Bu regülasyonların uygulanmasının ve takibinin sağlanması için de veri koruma otoriteleri ihdas edilmiştir.

Bu yöndeki en önemli ilk düzenleme Avrupa Birliği’nin 95/46 EC sayılı Kişisel Verilerin Korunması Direktifi’dir. Bu Direktif ile kişisel veriler geniş bir coğrafi alanda koruma altına alınmıştır. Türkiye de erken dönemde bu Direktifi iç hukukuna aktarmak üzere harekete geçmiş ancak hazırlanan Yasa tasarısı uzun yıllar yasalaşamamıştır.

Nihayet Nisan 2016’da Türkiye 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u (KVKK) yürürlüğe sokmuştur. Bu Kanun ile Kişisel Verileri Koruma Kurumu kurulmuş ve Kurum’un yürütme organı olarak da Kişisel Verileri Koruma Kurulu ihdas edilmiştir.

Türkiye böylece Avrupa Birliği ile paralel bir şekilde kişisel verileri koruma altına almayı ve bu alanda AB ve Dünya ile aynı hukuki ve teknik altyapıları oluşturmak üzere önemli bir adım atmıştır.

Ancak bu esnada Avrupa Birliği’nde, özellikle Google’a karşı açılan bir davada verilen unutulma hakkı kararında da görüldüğü üzere giderek artan veri işleme kapasitesine karşın insanların kişisel verilerinin daha etkin bir şekilde korunmasına olan ihtiyaç giderek artmış ve kamuoyunun yoğun baskısı ile yapılan çalışmalar neticesinde Avrupa Birliği, verinin kişilerin kendisi tarafından yönetilmesi iddiası ile ve sınıraşan bir yasama yetkisi ile – long arm jurisdiction- donatılmış olarak Mayıs 2018 tarihinde Genel Veri Koruma Tüzüğü’nü (GDPR) yürürlüğe sokmuştur.

GDPR’ın yürürlüğe girmesi ile Türkiye, dünya ile hedeflediği uyum düzeyini yine yakalayamamış ve 11. Kalkınma Planı’na GDPR’a uyumlu yasal bir düzenleme yapılmasını hedef olarak koymuş bulunmaktadır.

Gerek KVKK gerekse GDPR veri işleyen şirketler, dernekler, vakıflar, kamu kurum ve kuruluşları gibi kişisel veri işleyen tüm yapıları (Veri Sorumluları) ciddi bir şekilde etkilemiş ve Veri Sorumlularına çeşitli teknik, idari, hukuki tedbirler alma yükümlülüğü getirmiştir.

GDPR yukarıda belirttiğimiz üzere sınıraşan bir iddiadadır ve bu nedenle AB ile aşağıdaki şekilde bir bağı olan Türk şirketleri de KVKK’nın yanısıra aynı zamanda GDPR’a da tabi olmak durumundadır. Bu nedenle eğer bir Türk şirketi:

– AB’de kurulu şirket, irtibat ofisi veya benzeri bir yapısı varsa
– AB mukimlerine mal veya hizmet sunuyorsa
– AB mukimlerine yönelik profilleme çalışması yapıyorsa

GDPR’a tabi olabilecek ve bu nedenle bir Veri Koruma Uzmanı (DPO) veya Temsilci atamak, süreç faaliyet kaydı tutmak ve iş süreçleri için veri koruma etki analizi yapmak gibi çeşitli yükümlülüklere tabi olacaktır.

Tüm regülasyon alanlarında olduğu gibi, kişisel verilerin korunması alanında da Veri Sorumluları bir uyum (compliance) süreci yürütmek zorundadırlar. Aksi takdirde regülasyonların getirdiği yaptırımlara maruz kalma riskleri bulunmaktadır. GDPR açısından bu risk global cironun yüzde 4’üne kadar para cezası iken, KVKK açısından 2020 değerleme oranı ile birlikte 1.5 milyon TL’nin üzerine çıkacak olan bir para cezası ile birlikte, KVKK’nun Türk Ceza Kanunu’na yaptığı atıf nedeniyle ayrıca hapis cezası olarak ortaya çıkmaktadır.

Ayrıca bu düzenlemeler ile doğrudan bir yaptırım olarak değerlendirilmese bile, dolaylı olarak ciddi bir repütasyon kaybına yol açabilecek olması nedeniyle otoritelere yapılan kişisel veri ihlalleri bildirimi ve bu bildirimin otoriteler tarafından kamuoyuna duyurulması da bir yaptırım gibi karşımıza çıkmaktadır.

6698 sayılı Kanun ile ayrıca Kişisel Verileri Koruma Kurulu VERBİS isminde bir sistemi devreye sokmuş ve 50 ve üzeri çalışanı olan veya son yıllık mali bilançosu 25 milyon TL ve üzeri olan şirketlere VERBİS’e kayıt zorunluluğu getirmiştir. Son yapılan uzatma ile VERBİS’e kayıt için son süre 30 Haziran 2020 olarak belirlenmiştir.

Gerek KVKK gerekse GDPR geniş kapsamlı bir uyum programının hayata geçirilmesini zorunlu kılmaktadır.

Veri Sorumlularının KVKK ve/veya GDPR kapsamında başarılı bir uyum süreci yönetebilmeleri üç mimariye dokunan bir çalışma yapılmadıkça mümkün değildir:

– Kurumsal mimari
– Süreç mimarisi
– Veri mimarisi

Bütün uyum çalışmalarının yukarıda belirtildiği şekilde teknik – idari – hukuki gereklilikler göz önüne alınarak yapılması gerekmektedir. Ne tek başına hukuki bazı dökümanların oluşturulması ne de tek başına bazı yazılımların satın alınması ile tamamlanabilecek bir husus değildir.

Bu bağlamda şirketimiz JURCOM gibi GRC (yönetişim, risk ve uyum) hizmetleri şirketleri, regülasyonun hukuki dilini teknik dile çeviren arayüzler olarak çalışarak şirketlere uyum süreçlerinde ihtiyaçları olan tüm hizmetleri uçtan uca sunmaktadır.

JURCOM GRC Services B.V. Hollanda merkezli bir yönetişim, risk ve uyum danışmanlığı hizmetleri firmasıdır. Türkiye’deki firması JURCOM TEKNOLOJİ A.Ş. üzerinden uyum hizmetlerini sunmaktadır. JURCOM kişisel verilerin korunması, enerji, OTT, karbon emisyonları, finans, medikal teknolojiler ve telekomünikasyon alanlarında uluslararası regülasyonlara uyum danışmanlığı ve bu uyum alanlarına özgü yazılımların geliştirilmesi alanlarında hizmet vermektedir.

Ayrıca GDPR’ın coğrafi uygulama kapsamına giren AB dışındaki şirketlere; Avrupa Birliği Veri Koruma Otoriteleri nezdinde Veri Koruma Görevlisi (DPO) ve Temsilcilik hizmetleri sunmaktadır.

Özdilek Hukuk Bürosu ile çözüm ortağı olan JURCOM, kişisel verilerin korunması mevzuatının getirdiği hukuki, teknik ve idari tedbirleri uçtan uca çözüm anlayışıyla yerine getirebilecek entegre bir uyum çözümünü iş ortaklarıyla beraber sunmaktadır. JURCOM Türkiye’de ve AB’de 200’ün üzerinde kuruluşa uyum hizmetleri ile beraber ihtiyaç duyulan yazılımları ve sistem altyapılarını sunmaktadır.

Kişisel Verilerin Korunması alanında JURCOM, bünyesinde dünyada kişisel verilerin korunması ile ilgili en önemli kuruluş olan IAPP’nin verdiği CIPP/E sertifikasına ve bilgi teknolojileri servisleri ve kalitesi ile ilgili önemli bir sertifika olan ITIL sertifikasına sahip uzmanları bulundurmaktadır.

JURCOM bünyesinde, kişisel verilerin korunması alanında hizmetler Türkçe, İngilizce, Felemenkçe, İtalyanca, Fransızca ve Almanca dillerinde verilmektedir.