6698 Sayılı KVKK , 24.03.2016 tarihinde resmi gazetde yayınlanarak  yürülüğe girmiştir. Kanun çıktıktan sonra da  ilgili yönetmelikler çıkmış ve uygulamaya yönelik tebliğler yayınlanmıştır.

Böylece,  “ Özel Hayatın Gizliliği” başlığı ile  Anayasanın 20.maddesinde ve temel insan hakkı çerçevesinde  düzenlenmiş  olan kişisel verilerin korunması , kanunla düzenlenen tamamen bağımsız bir hak niteliği kazanmıştır.  Dolayısıyla kişisel verilerin korunması, kanunla birlikte  6698 sayılı Kanun çerçevesinde tanımı yapılıp, yaptırıma bağlanan bir hak niteliğindedir. 

Mevzuatta belirtilen yükümlüklere aykırı davranılması halinde idari ve cezai yaptırımların hayli yüksek olması nedeni ile de son zamanlarda bu konuda hizmet vermeyi taahhüt eden çok sayıda kişi ve kuruluşa ait yazı ve tanıtımla  karşılaşmak mümkündür.

Bu yazı ve sözleşme örneklerinin   büyük bir kısmında ise, konu veya verilecek hizmet,  yersiz bir takım teknik  tanımlarla  karmaşıklaştırılıp, içinden çıkılmaz çok zor süreçler gibi gösterilmeye çalışıldığını görünce bu yazıyı yazma gereği duydum.  Bu karmaşık ve zor göstermenin ise; mevzuatın gerektirdiği işlem ve süreçlerin nesnel ve samimi bir şekilde dile getirilerek, mevzuatın temel gerekliliklerini yerine getirmeye yönelik olmasından ziyade, bu karmaşıklıktan ticari bir menfaatin elde edilmesine dair  niyetten kaynaklanmış olabileceğini düşünmeden edemiyor insan.  Özellikle firmalara, bu konu ile ilgili olarak sunulan sözleşme tekliflerinde  bu durumu görünce kendimi bu kısa yazıyı yazmaktan alıkoyamadım.

KVKK da veri sorumlusuna yüklenen edimler,  aslında çok temel ve basit edimlerdir. Olayın zor kısmı ise, sadece  bilişim-internet alanı ile ilgili teknik önlemlere dair olduğunu özellikle belirtmek isterim.

Bu anlamda kanun ve ilgili mevzuat ,amacı doğrultusunda sadeleştirildiğinde, veri sorumlusunun, açık rıza almadan veri işleyemeyeceği, açık rızanın konu ve içerik itibari ile net olması gerektiği , bunları ne süre ile saklayıp ne şekilde yok edeceği sileceğinin belli olması, internet veya kameralı olarak veya araç takibi yolu ile bir şekilde veri toplama halinde  bunu ilgili  kişilere  mutlaka bildirilmesi ve onaylarını alması  gerektiği, yasal açıdan zorunlu olmayan kişisel verilerin ise toplanmaması gerektiği gibi,  basit temel hukuki önlemlere değinen, içinde teknik ve idari bazı önlemleri  alma zorunluluğu yükleyen bir  hukuki düzenlemelerden ibaret olduğu açıkça görülecektir.

Bu temel çerçevede, yoğunlukla ilgi alanımız olan  Organize Sanayi Bölgelerine gelince:

OSB lerin özünde herhangi bir veri sorumlusundan bir farklılığı bulunmamadığını belirtmek gerekir. Asıl farklılık, Organize Sanayi Bölgelerinin 4562 Sayılı Kanundan kaynaklı hak ve yükümlüklerinin farklılığından  kaynaklanmaktadır. Bu anlamda örneğin,  arsa tahsisleri veya satışlarında veya elektirik, doğal gaz vb hizmet ve ürün satışları ile ilgili konulardan kaynaklı kişisel veriler nedeni ile diğer veri sorumlulardan farklı olsa da,  mesela çalışanlarından kaynaklı kişisel verilerin işlenmesi, aktarımı, gereken rıza ve onayların alınması, yeterli bilgilendirmenin yapılması, kişisel veri envanteri ve kişisel verilerin korunma ,işleme ve imhasına  dair politika oluşturma gibi  konularda,  herhangi bir veri sorumlusundan  herhangi bir farklılığı bulunmamaktadır. 

Kısacası bir veri sorumlusu,  ister bir Organize Sanayi Bölgesi olsun,  ister herhangi bir tüzel kişilik  veya gerçek şahıs olsun, 6698 Sayılı KVKK ile ilgili edimlerini yerine getirirken, yasanın asıl amacını gözeterek,  bu temel mantık çerçevesinde  hareket ederse, soruna daha akılcı ve az maliyetle çözüm üretmiş olacaktır.