- KVKK’nın amacı nedir?

Kişisel Verileri Koruma Kurumu tarafından 7 Nisan 2016 tarihinde resmi gazetede yayımlanarak Türkiye’de yürürlüğe giren 6698 sayılı yasa, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirleyip şirketlerdeki çalışan ve müşterilerin kişisel verilerini korumayı amaçlayan bir uyum yasasıdır.

Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Bu yasa ile birlikte, kişisel verilerin sınırsız biçimde ve gelişi güzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

- KVKK ile hem çalışan hem de yurttaş olarak hayatımızda neler değişecek?

KVKK yaklaşık iki sene önce Türkiye’de yürürlüğe girdikten sonra şirketler yasanın yükümlülükleri doğrultusunda hem şirket içerisinde hemde müşterilerine karşı bir takım prosedürler uygulamaya başladı.

KVKK’nın dinamik ve yönetmeliklerle sürekli güncelenen bir yasa olduğunu göz önünde bulundurduğumuzda çalışanların ve müşterilerin veri güvenliğinin sağlanması için her departmanın iş süreçlerini kontrol edip güncellemesi, yeni departman oluşturma ve istihdam gibi operasyonel değişiklikler yapılması gerekecektir.

Yasanın idari ve cezai yaptırımlarına maruz kalmamak için çalışanlar olarak mevcut görev ve sorumluluklarımız doğrultusunda kişisel veri ile temas ettiğimiz her noktada çok daha dikkatli, kişisel verinin öneminin farkında olarak iş süreçlerimizi yerine getirmemiz gereklidir ve buda pek tabiki bizlere mevcut iş süreçlerimizde yeni prosedürler anlamına geliyor.

Yurttaş olarak ise en büyük değişiklik artık resmi olarak kişisel bilgilerinizin olduğu her kuruma başvuru yaparak hangi hukuki sebeple ve hangi yöntemle kişisel bilgilerinizin toplandığının, hangi amaçla işlendiğinin ve işlenen verilerinizin kimlerle hangi amaçla aktarıldığının cevaplarını alabiliyor olacağız.

Hatta sadece öğrenmekle kalmayıp bu bilgilerin silinmesini de talep edebiliyor olacağız. Başvurduğunuz kurum 30 iş günü içerisinde size geri dönüş yapmaz ise Kişisel Verilerin Koruma Kurumu’na şikayet etme hakkınız doğmuş olacaktır.

- Kişisel bilgi ve özel nitelikli kişisel bilgi nelerdir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgiler de kişisel veridir.

İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez.

Kişilerin ırkı, etnik kökenleri, siyasi düşünceleri, dini, mezhebi veya diğer inançları, kılık kıyafeti, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, genetik ve biyometrik verileri ile dernek, vakıf ya da sendika üyeliğine ilişkin bilgiler gibi bilgiler “Özel Nitelikli Kişisel Veri” olarak tanımlanmış, sağlık ve cinsel hayata ilişkin veriler haricindeki diğer Özel Nitelikli Kişisel Verilerin kanunlarda sayılan istisnai haller dışında ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir.

- Kurumlar hangi hallerde kişisel bilgilerimizi isteyebilir ve kullanabilir?

Kurumlar şirketlerindeki çalışanların İş Kanunu gereği bazı bilgilerini almakla yükümlüdürler bunların dışında kanuna göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kurumlar meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verilerin işlenebileceği düzenlenmiştir.

- Kurallara uymayanlar için ne gibi yaptırımlar öngörülüyor?

Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir. Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir. İdari para cezaları ise yerine getirilmeyen madde(lere) göre değişmek üzere 5,000 TL’den 1,000,000 TL’ye kadar artabilmektedir.

- TAV Grubu ve şirketlerinde yürütülen uyum çalışması hakkında kısaca bilgi verir misiniz?

‘Kişisel Verilerin Korunması Kanunu’ kapsamında; TAV Havalimanları Holding ve Grup Şirketlerimizin, bu kanun karşısındaki yükümlülüklerini değerlendirip, ihtiyaçları belirlemek ve TAV Havalimanları Holding ve Grup şirketlerinin kanun ile uyumlu hale gelmesini sağlamak amacıyla bir program başlattık.

TAV Havalimanları Holding önderliğinde başlatmış olduğumuz KVKK Uyum Program’ı doğrultusunda TAV Havalimanları Holding ve 11 TAV Grup Şirketi olarak ortak ve eş zamanlı bir çalışma yürütmekteyiz. Program yöneticiliğini yaptığım bu uyum yasasında Program Sponsorumuz Sn. Hakan Öker ile birlikte Hukuk Komitesi başkanlığında Melis Erkun Kartal, IT Komitesi başkanlığında Emre Onan ve Personel/IK Komitesi başkanlığında Zeynep Derya Levent ve Saliha Güneş’in yer aldığı 3 adet Komitemiz, her şirketten 12 farklı Proje Yöneticisi(Ömer Sezgi,Canan İnce,Ezgi Doğu Öcal,Begüm Yılmaz,Başak Helen Taşkan,Emre Onan,Ufuk Kavlak,Emre Demircioğlu,Ozan Olgaç,Yasemin Elverici,Çağkan Koru) ve Projelerde görev alan her şirket için her departmandan seçilen 1 departman sorumlusu ile toplamda 240 kişilik bir takım çalışmasıyla TAV KVKK Uyum Programı’nı yürütmekteyiz.

Bu kritik süreci TAV Havalimanları Holding ve Grup Şirketleri bazında yönetmeyi tercih etmemizin en büyük nedenleri aşağıdaki gibidir:

1) KVKK uyumluluğu kapsamında alınacak herhangi bir cezanın TAV marka algısını etkilemesi,

2) KVKK gereğince kanuna uyumdan Yönetim Kurulu Üyeleri düzeyinde sorumluluk olması,

3) Deneyim paylaşımı, sinerji fırsatlarının değerlendirilmesi

- TAV’ın faaliyet gösterdiği diğer coğrafyalarda bu konuda nasıl düzenlemeler var, özetle bilgi verir misiniz?

KVKK, Türkiye’de yeni bir yasa fakat benzerleri yurtdışında oldukça eskiye dayanıyor. 1995 yılında 95/46/AT sayılı Avrupa Birliği Veri Koruma Direktifinin yürürlüğe girmesi ile temelleri atılan GDPR (General Data Protection Regulation) tüm Avrupa Ülkeleri için yeniden düzenlenip 14 Nisan 2016 tarihinde yürürlüğe girmiştir.KVKK ana hatları ve amacı ile GDPR ile benzer özellikler taşısada uygulama ve yükümlülük kısmında farklılıkları mevcuttur. Bu doğrultuda TAV Havalimanları Holding ve TAV Grup Şirketleri olarak Avrupa Birliğine Üye Ülkelerde faaliyet gösterdiğimiz işletmelerimizde kendi operasyon sorumluluğu altında GDPR uyum çalışmalarını sürdürmektedirler. Sadece Avrupa Birliği olan ülkeler değil diğer operasyonlarda da Kişisel Verilerin Korunmasına yönelik ayrı yasalar mevcut olup operasyonların sorumluluğu altında çalışmalar devam etmektedir.