Top

‘Startup’lar için KVKK Uyumunun Önemi

Av. Elif Özel Yücetürk

‘Startup’lar için KVKK Uyumunun Önemi

6698 sayılı Kişisel Verileri Koruma Kanunu, 07.04.2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe girdiği andan itibaren herkes için bir bomba etkisi yarattı. Bu bomba etkisi de, Kişisel Verileri Koruma Kurumu tarafından yapılan her yeni düzenleme ile beraber, günden güne artan popülerliğini korumaktadır. Çoğu şirket veya gerçek kişi ilk etapta bu düzenlemeleri önemli ve elzem olarak görmemişlerdir. Ancak, geçtiğimiz yıl Kişisel Verileri Koruma Kurumu tarafından VERBİS’e kayıt olma süresinin son tarihinin açıklanmasından itibaren, bir panik havası içinde KVKK’nın derin dehlizine dalmış durumdadırlar. Kurumsallaşmış ve köklü şirketlerin bile KVKK uyum sürecini layıkı ile yönetememiş olması, girişimcilik ruhu ile yanıp tutuşan ‘Startup’ları çok daha fazla korkutmuş olabilir. Fakat, KVKK’yı iş stratejilerinin ve günlük operasyonlarının bir parçası haline getirmeleri gerektiği gerçeği değişmeyecektir.

 

Verilecek olan ilk tavsiye, ‘Startup’lar için KVKK uyum sürecini bir dezavantaj olarak görmemek ve olumsuz yanı ile yorumlamamak şeklinde olacaktır. Evet, yeni bir ‘Startup’ kurmuş olan kişiler için çalışılacak alanın muğlak olması ve hangi noktalara, hangi kişisel verilere, ne şekilde ve nasıl dokunulacağının henüz bilinmemesi sebebi ile bir handikap söz konusuymuş gibi algılanabilir. Dolayısı ile, ‘Startup’lar açısından KVKK dönüşümünü yapmak ve baz alınacak esas sistematiği ortaya çıkarmak, çok şirketli bir holdingin dönüşümünü yapmaktan daha karmaşık gibi görünebilir. ‘Startup’ların ilk evreleri, gelişim sağlayabilmek adına agresif bir veri politikası izlenmesi gereken bir dönemdir. Ancak, KVKK buna sınırsız bir şekilde müsaade etmez ve girişimciler için “panik çanları” bu noktada çalmaya başlar. Bu da, KVKK bağlamında handikapmış gibi algılanan bir diğer durumdur.

 

Bu duruma avantajlı yönünden bakar isek, bir önceki Sihirli Anahtar: Startup’ların Hukuki Hizmet Alması” başlıklı yazımda da belirttiğim üzere, yeni kurulmuş bir ‘Startup’ın sağlam şekilde ilerleyebilmesi için, ilk olarak hukuki hizmet alması oldukça önemlidir. Aynı şekilde, bir ‘startup’ bu durumda da yapacağı işe ilişkin potansiyel müşterilerinden veri toplar iken, o verileri ne şekilde ve nasıl toplayacağını, KVKK’yı ihlal etmeden veri toplama politikasını nasıl sürdürebileceğini, yine hukuki bir destek alarak gerçekleştirmelidir. Şunu da belirtmek de fayda vardır ki, KVKK uyum süreci salt hukukçular ile gerçekleştirilebilecek bir süreç değildir. Hukuk, IT, Bilgi Güvenliği, İnsan Kaynakları / Kıymetleri departmanlarının birbirlerine entegre olarak gerçekleştirebilecekleri bir süreçtir. Yeni kurulan bir ‘startup’ın bu şekilde departmanlaşmış bir yapısı olmadığından, içinde bir hukukçunun yer aldığı “KVKK Uyum Komitesi” kurulmasının da yeterli olabileceği düşüncesindeyim.

 

Unutulmamalıdır ki, bir ‘startup’ın hedefine giden yolda sağlam adımlar atabilmesi için, her bir katedilecek mesafeye uygun yeni taşlar koyması gerekir. Peki, yeni kurulan ‘startup’lar ve girişimcilik ekosisteminde yeni boy gösterecekler, KVKK’ya ilişkin nasıl bir yol izlemelidir ve bu noktaya hangi pencerelerden bakmalıdır? Beş başlık çerçevesinde ‘startup’lar için KVKK Uyum sürecinin gerekliliğine değinelim.

 

  1. Hukuki Bir Yol İzlemek ve Risklerden Kaçınmak

Gerçek şu ki, yeni başlayanlar da dahil olmak üzere her türlü şirket ve kuruluş, kanunun lafzından rahatlık ile çıkarılan “proaktif sorumluluk ilkesine” dayanarak uyum çalışmalarını düzenlemelidir. Düzenlemeye uymak için, bir güvenlik ihlali oluşana kadar beklemek doğru değildir. Çünkü, 6698 sayılı Kanun ve ilgili Kurum kararına göre, işlenen kişisel verilerin kanuni olmayan yollar ile başkaları tarafından elde edilmesi halinde, veri sorumluları bu durumu en geç 72 saat içinde, Kişisel Verileri Koruma Kurumuna bildirmek zorundadırlar. Yolun başında olan genç ‘startup’ların, iş modelindeki gerekliliklere uyum sağlamak ve ekonomik durumlarını etkileyebilecek istenmeyen olasılıklardan kaçınmak için, herhangi bir değişiklik yapmaları gerekiyor ise, KVKK uyumluluğunu verilerin işlenmesindeki riskleri değerlendirmek için bir fırsat olarak görmeye başlaması gerekir. KVKK uyumluluğu, sıkı bir denetim gerektirdiğinden, esasen bakıldığında girişimcinin ilerlediği her adım için riski minimize etmektedir.

 

  1. Yatırımcıların İlgisini Çekmek

KVKK’nın yürürlüğe girdiği andan itibaren, çoğu kuruluşun/şirketin işleyişi üzerinde derin bir etkisi olduğundan bahsetmiştik. Özellikle, girişimlerin yatırım alma şeklini kökten değişime uğrattığı yorumunu yapmak da yanlış olmayacaktır. Yatırımcılar, girişimlerinin KVKK’yı ihlal edip etmediğini ve en önemlisi KVKK’nın girişimin iş modelini müşteri davranışı ve uygulanabilirliği noktalarında etkileyip etkilemeyeceğini öğrenmek istemektedirler. Örneğin, unutulma hakkı ve veri taşınabilirliği hakkı ile müşteriler, verilerin işlenmesinde ve paylaşılmasında söz sahibi olmaları sebebi ile güç kazanacaklardır. Böylelikle, bu tür verilerden ücretsiz olarak para kazanılması güçleşecektir. Dolayısı ile ‘startup’ yeni kurulmuş olsa dahi, KVKK uyum sürecini oluşturduğu takdirde, altyapısının sağlamlığını yatırımcıya göstermek ve etkileyici bir hamle yapmak için güzel bir fırsat yakalamış olacaktır.

 

Yatırımcılar, sadece girişimin KVKK’ya uygunluk düzeyini değil, aynı zamanda kullandığı iş geliştirme stratejisinin KVKK sonrası bir ortamda uygulanabilir olup olmadığını da düşünmektedir. Yeni başlayan girişimciler ve ‘startup’lar, KVKK uyumluluğunu iş stratejilerinin bir parçası olarak ve daha fazla yatırım çekmek için iş modellerindeki yatırımcılara güven üretmenin bir yolu olarak görmelidir.

 

  1. Kişisel Hakların Korunmasıyla Daha Kaliteli Hizmet Sunulmasını Sağlamak

Esasen bakıldığında KVKK’nın amaçlarından biri, kişilerin daha doğrusu vatandaşların kendi kişisel verilerinin ve gizliliğe ilişkin haklarının devlet tarafından güvence altına alınmasıdır. Bu sebep ile, ‘startup’lar için son derece önem teşkil eden müşteriler ile anket yapılması çalışmalarında, müşterilerin kişisel haklarını kullanmaları için şeffaf güvenlik önlemlerinin uygulanması (aydınlatma metni, açık rıza, unutulma hakkı, verilerin silinmesi, yok edilmesi vb.), tüketiciler arasında güven oluşturulmasına kesinlik ile yardımcı olacaktır. Bu da, bireylerin kendi rızaları ile verilerinin paylaşılmasının yollarını artıracaktır.

 

Veri paylaşımı, yeni şirketlere ve işletmelere daha fazla kişiselleştirilmiş hizmetler sunma olanağı sağlayacaktır. Güvene ve rızaya dayalı olarak ne kadar çok veri paylaşılır ise, bireylerin kişisel verilerinin kontrolüne ve korunmasına ilişkin olan temel kaygılarının önüne geçileceği için, müşteri açısından daha iyi ve kaliteli hizmetler oluşturmanın önü daha da açılmış olacaktır.

 

  1. Girişimcilerin Kendi Güvenliğini Sağlamak

KVKK uyarınca şirketler, kişisel verilerin güvenliği noktasında uygun önlemler ve güvenceler uygulamak zorundadırlar. Son zamanlarda siber güvenlik saldırılarının katlanarak artıyor olması, ticari hayat için gerçek bir tehdit oluşturmaktadır. Maalesef, yeni başlayan girişimciler de, bu senaryodan muaf değillerdir ve siber saldırı durumunda büyük ölçüde yara alabilirler. Korumasız wi-fi ağları, kötü amaçlı yazılımlar, şifrelenmemiş e-postalar ve veriler, zayıf şifreler ve eğitimsiz çalışanların tümü veri güvenliği için risk oluşturmaktadır. Yeni kurulan ‘startup’lar, işlerinin sürekliliğini etkileyebilecek verilerin tehlikeye girmesini önlemek için, KVKK uyumluluklarını yönetmelidir.

 

  1. Güvenilir Bir Ortak Olmak ve İtibarını Korumak

‘Startup’lar ufak adımlar ile başlayan ancak büyük hayalleri olan girişimlerdir. İlerleme kaydetme ve yatırım alma aşamasına geldiklerinde, kendi oluşumlarının itibarını önemseme aşamasına da gelmişler demektir.

 

Uygulamaya bakıldığı zaman, şirketler müşterilerinin kişisel verilerini veri işlemcileri üzerinden kendi iş ortakları ile paylaşmaktadırlar. Örneğin, bir ‘startup’ın verdiği hizmet, bulut depolama hizmetleri gibi kişisel verilere erişimi olan şirketlere hizmet vermek olsun. Bu ‘startup’ın güvenilir bir ortak olması için, KVKK’ya uyması ve bunu kanıtlaması gerekir. Güvenlik ihlali, siber saldırı veya KVKK’ya uyulmaması durumunda, hizmet verilen şirket üzerinde doğacak olan olumsuz sonuçlar, bu hizmeti sağlayan ‘startup’ sebebi ile hizmet alan şirketin piyasa itibarını zedeleyebilir. Böyle bir durumda, rakipler bunu kazançları için kullanabilir. KVKK gereksinimlerini karşılayan güvenilir bir ortak olarak yola çıkılması, daha iyi seviyede itibar oluşturmaya yardımcı olur ve girişimcilere rekabet avantajı sağlar.

 

Sonuç olarak, girişimciliğe yeni adım atanlar ve henüz ‘startup’ kuranlar, KVKK uyumluluğu hakkında farklı bir bakış açısına sahip olarak, KVKK’yı iş stratejilerinin ve günlük operasyonlarının bir parçası haline getirmeli, böylelikle de piyasada daha sağlam ve güvenilir bir yer edinme fırsatını yakalamalıdırlar. Oluşturacağınız ufak Uyum Komitesi ile başlangıç olarak, ‘startup’ınıza ilişkin anket yaptığınız potansiyel müşterilerinizin, verilerini sakladığınız veya işlediğiniz alanları tespit etmeyi deneyebilirsiniz. Akabinde, web sitesi çerezlerinizi, bülten abonelerinizi, ürün satın alma bilgilerinizi, etkinlik kayıtları vb. kayıtlarınızı tek tek gözden geçirerek, “proaktif sorumluluk ilkesi ile” kendi KVKK dönüşümünüzü gerçekleştirebilirsiniz.

 

Av. Elif Özel Yücetürk

Linkedin