ARED Sohbetleri etkinlikleri kapsamında, 30 Ocak 2021 tarihinde, ARED Yönetim Kurulu Üyesi Evren Güldoğan’ın moderatörlüğünde ve Legal Hukuk Bürosu’ndan Avukat Başak Aydın Tantürkü’nün katılımıyla, kişisel verilerin korunması ve bu konudaki denetleme ve düzenlemelerin yapılması amacıyla devlet tarafından oluşturulan Kişisel Verileri Koruma Kanunu’nun endüstriyel reklamcılık sektörü tarafındaki farkındalığı ele alındı.

On beş yıldan fazla süredir kendi hukuk bürosunda serbest olarak, yoğunlukla özel hukuk alanında çalışan Avukat Başak Aydın Tantürkü, uluslararası iş yaptığı bir müvekkilinin yaşadığı sorun neticesinde, kişisel verinin kurumlar için önemine, bu alandaki uyumlaştırma çalışmalarına ve kişi ile kurumların konuyla ilgili farkındalık kazanmaları için eğitimler düzenlemeye başladı. Endüstriyel reklamcılık sektöründe faaliyette bulunan kişi ve kurumların da bu alandaki farkındalığını artırabilmek adına ARED ile iş birliği yapan Tantürkü’nün, Evren Güldoğan’ın yönlendirici sorularıyla renklenen sunumunda oldukça önemli konular üzerinde duruldu. Konuların anlaşılırlığını artırmak ve bilgiye kolayca erişmek için programda meydana gelen diyaloglardan derlenen soru-cevap metnini aşağıdan takip edebilirsiniz.

Evren Güldoğan: Endüstriyel reklamcılık sektöründe yaklaşık 10.000 işletme bulunuyor.  Klasik olarak tabelacılık şeklinde anılan fakat çok geniş bir ürün gamı bulunan endüstriyel reklamcılık sektöründe markalar için kurumsal kimlik uygulamaları gerçekleştiren çok büyük fabrikalar da, bir kaç kişinin çalıştığı küçük atölyeler de mevcut. Biz ürünlerimizi üretiyoruz, reklamveren mecralarında yayınlıyoruz ve malzeme satışı da gerçekleştiriyoruz. Medyadan takip ettiğimiz Whatsapp’a soruşturma açılması gibi konular bizleri de ilgilendirir mi, biz de kendi iş yapış biçimimizde böyle sorunlarla karşılaşır mıyız?

Başak Aydın Tantürkü: İlgili kanun ve mevzuat, gerçek veya tüzel kişi fark etmeksizin her bireyin bu kanunu uygulamakla yükümlü olduğunu söylüyor. Hatta daha da ileri gidersek, buradaki hapis cezalarını da içeren cezai yaptırımlardan ve çok yüksek miktarlarda uygulanan idari para cezaları yaptırımlarından sorumluyuz. Bu konuda yeterince bilgi sahibi olamadığımız için üyelerinizde de yeterli farkındalık oluşmamış olabilir. Bir örnekle anlatmak gerekirse; tek bir çalışanınız olsa bile o çalışanın kişisel verisini alıyor, işliyorsunuz ve daha en başından yükümlülüğünüz başlıyor. İster istemez veri ediniyorsunuz ve kişisel veri işlemek artık kurallara tabi bir sorumluluk haline geldi. Bu nedenle biraz daha farklı olarak idari ve teknik tedbirler almamız gerekiyor. Şirketler özelinde bu konunun gündeme gelmesinin en önemli sebebi de Kişisel Verileri Koruma Kurumu’nun özellikle şirketlere yönelmesi. Çünkü şirketler birer veri sorumlusu oluyorlar. Tek başınıza çalışan gerçek  kişi -şahıs şirketi de olsanız, bir yerde çalışmıyor da olsanız, bizler gerçek kişi olarak bu kanun uygulamasından sorumluyuz.

Evren Güldoğan: Kişi ve kurum fark etmeksizin hepimiz için hayati bir önem taşıyan bu konu hakkında sektörümüz şunları merak ediyor. Çalışanlarımızın hangi verileri kişisel veridir, tabelacıların hangi müşterileri kişisel veri kaynağı olarak görülmelidir? Kişisel veri dendiğinde sadece çalışanlarımıza veya müşterilerimize ait olmaksızın tüm kişilere ilişkin verilerden bahsediyoruz. Özetle kişisel veri tanımını daha net anlamaya ihtiyacımız olduğu açıkça görülüyor.

Başak Aydın Tantürkü: Sorulardan da anlaşıldığı üzere neyi kişisel veri olarak alacağımız konusunu ayırt edemiyoruz. Maalesef kanun da neyin kişisel veri olduğu konusunu net ifade etmiyor fakat şöyle bir ayrım var. Kimliği belirlenebilir olan, gerçek bir kişiye ait herşey kişisel veri olarak kabul edilmelidir. Yani ad-soyad, takma ad, alışveriş alışkanlıkları, reklam alanında konum bilgisi, satın alma alışkanlıkları, plaka numarası gibi konuların her biri kişisel veri olarak düşünülmelidir. Hatta örneğin bir ortamdaki kırmızı saçlı olan sadece bensem ve bu beni tanımlayabilecek bir bilgiyse bu da kişisel bir veridir. Dolayısıyla bu bilginin daraltılabilir bir yanı bulunmuyor. Ama iş yaptığınız şirketin tüzel kişiye ait verileri sadece kişisel veri değildir. O şirketle çalışırken mutlaka o şirketin yetkilisinin, çalışanının telefon numarasını alıyorsunuz, ismini-soyismini alıyorsunuz. İrsaliyeler, faturalar kullanılıyor. Yani bir kişinin veya şirketin ben kişisel veriye dokunmuyorum demesi mümkün değil, hepimiz kişisel veri okyanusunun içindeyiz.

Çalışanlarınıza ait topladığınız tüm veriler, çalışan ailesi adına topladığınız veriler, özlük dosyasının içinde koyduğunuz nüfus cüzdanı fotokopisi ki üzerinde din bilgisine kadar veri bulundurur, sağlık bilgileri gibi her veri kişisel veri olarak değerlendiriliyor. Şirket girişlerinde parmak izi kullanımı dahil yasal olarak sınırlandırıldı. Dolayısıyla biyometrik genetik veri, ayrımcılığa sebep olabilecek vakıf, dernek, üyelik bilgisi gibi özel nitelikli veriler de bu kapsamda değerlendirilmeli. Bu nedenlerle mutlaka KVKK’ya uyum sağlayacak belgeleri imzalatmanız, hazırlamanız, ve web siteniz dahil yürürlüğe koymanız gerekir. Çünkü birer veri sorumlusu olarak 2016 yılında yürürlüğe giren ve bir yıl sonra kurulu oluşturulan kurum tarafından sizlere hesap sorulabilir ve yaptırım uygulanabilir.

Evren Güldoğan: Sektörümüz özellikle üretim kanadında bir sorunla karşılaşıyor. Örneğin telekomünikasyon şirketi 50 adet tabela ürettirmek istiyor ve 50 bayisinin verilerini bizlerle paylaşıyor. Bayinin adı, soyadı, cep telefonu, adresi gibi veriler tarafımıza böylece ulaşmış oluyor. Bu durumda firma bizlerle bu verileri paylaşmış olduğundan dolayı bizim veri anlamındaki sorumluluğumuz devam edecek mi?

Başak Aydın Tantürkü: Örnekte belirttiğiniz durumu veri işleme faaliyeti olarak tanımlıyoruz ve evet sorumluluğunuz devam ediyor. Ben bu bilgileri aldım ama sadece şirketimde tutuyorum ve iş faaliyeti kapsamında kullanıyorum diyemiyoruz çünkü veri işleme süreci veriyi aldığımız andan itibaren devreye giriyor. Dolayısıyla bir şirketin veya şahsın size aktardığı kişisel verileri aldığınız andan itibaren, o veriyi korumak ile yükümlüsünüz. Ya da ilgili mevzuata uygun aydınlatmaları, bilgilendirmeleri ve eğer gerekiyorsa açık rızasını alarak hareket etmek gibi belli yükümlülükleri yerine getirmek zorundasınız. Bir veriyi aldıktan sonra tedarikçinize aktaracağınız zamanlarda da veri sahibinden izin almanız gerekiyor.

Evren Güldoğan: Açık rıza demişken bu konuyu da aydınlatmak isterim. Aklıma özellikle hastanelere gittiğimizde tedavi öncesi benzeri rızalar için imza atıyor olmamız geldi. Bu kapsamda açık rıza nedir, nasıl alınır? 

Başak Aydın Tantürkü: Aslında hepimiz farkında olmadan bu durumla karşı karşıya kalıyoruz. Örneğin bir ayakkabı firmasına gidiyorsunuz ve telefonunuza indirim yapılması için bir kod geleceği söyleniyor. Telefonunuzu açtığınızda kodun altında “kişisel verilerinizi bizimle paylaşmanız konusunda sizi aydınlatıyoruz” gibi bir bilgilendirme ile onay beklenir. Tabi o anda siz neye rıza verdiğinizin pek farkında olmazsınız. Böylece firma telefonunuz, banka bilgileriniz, adınız, soyadınız gibi bilgilerinizi kendi iş ortaklarıyla paylaşmanın onayını almış oluyor. Ayakkabı firmasının iş ortağı bir sigorta firması bile çıkabilir.  Sonrasında da bilmediğimiz pek çok numaradan aranıyor oluyoruz. Artık bunlar bir kurala, kanuna tabi. Dolayısıyla sizi gerekli şekilde aydınlatmadan alınan açık rıza kanuna aykırı olacaktır.

Adli sicil kaydını alırken bazı firmalar açık rıza alarak kaydı almaya başladılar. Belli verileri alıp kendi amacınız dışında  ya da almamanız gereken bir veriyi farklı bir tanıtım amacıyla kullanacaksanız onayı almanız gerekiyor. Bunlar tabi somut olay özelinde değerlendirilmesi gereken konular. Yani tedarikçiler arasında ya da bir reklam firması size belli verileri verirken onay almak vermek zorunda değil ama  mutlaka verileri aldığımız kişileri bilgilendirmekle yükümlüyüz. Kanuna göre tek kişi bile çalışsak, şirket olarak öncelikle yapmamız gereken, departman ve çalışma alanları bazlı hangi verilerin alındığını haritalı olarak çıkarmak olmalı.

Evren Güldoğan: Envanter dedikleri şey bu mu?

Başak Aydın Tantürkü: Evet tam olarak bu. Kurul bizden kişisel veri envanterini düzenlememizi istiyor. Herhangi bir şikayet veya denetime maruz kaldığınızda kurul sizlere ilk olarak şirketinizin kişisel veri envanterini soracaktır. Bahsettiğimiz veri haritasını kimden veri aldığımız, kime veri aktardığımız, verileri nasıl sakladığımız konuları çerçevesinde düzenlemeliyiz. Bu envanteri çıkardıktan sonra da güvenilir bir alanda saklamalıyız. Kişisel veri envanterinden sonra ise aydınlatma yükümlülüğü, açık rıza yükümlülüğü, şirket politikası gibi gerekli yükümlükleri hazırlamak, hangi verinin imha edileceğine karar vermek gerekiyor.

Evren Güldoğan: Peki bu konunun istisnası var mıdır? Örneğin kanun 2016 yılında yükümlülüğe girdi fakat 2016’da emekliliği gelen, yıllardır bizimle çalışmış olan bazı çalışanlarımız mevcut. Onların da kişisel verilerini korumamız gerekiyor mu?

Başak Aydın Tantürkü: Kanun yürürlüğe girdiğinde Kurul; 2 yıl içerisinde topladığımız tüm kişisel verilere dair uyumlaştırmayı sağlamamızı söyledi. Fakat bu çok da kolay bir iş değil. Örneğin 40 yıl boyunca faaliyet gösteren bir şirketi düşündüğümüzde, özellikle insan kaynakları bölümünde özlük dosyaları bile ne şekilde birikiyor. Bu nedenle uyumlaştırmayı yaparken öncelikle ilgili veriyi saklamakla yükümlü olduğumuz süreyi belirlememiz gerekiyor. Mesela bir şirket özlük dosyasını 10 yıl, çalışanlara ait sağlık verilerini 15 yıl, muhasebe evraklarını 12 yıl saklamakla yükümlü olduğuyla ilgili bilgileri belirleyebilir ve yükümlülük bittiğinde verileri imha etmelidir.

Evren Güldoğan: Bu süreleri keyfi olarak belirlememizin mümkün olduğunu anladım. Sanki hepsini çok uzun süreli olarak geçsek faydalı olacak gibi geldi.

Başak Aydın Tantürkü: Yasalarda konu hakkında belirlenen süreler var ama herşeyin süresini belirleyemezsiniz tabi.. Kanun yasal olarak saklamakla yükümlü olduğumuz süreleri belirlememizi, bu süre içinde saklayıp makul bir süre sonra tayin etmemizi istiyor. Örneğin çalışan adayları için özgeçmiş topladık. Bazılarını işe almasak bile çalışan adayı kişi grubu olarak aktardık. Bir sürü çalışan adayının özgeçmişi belki de şirketimizdeki dosyalarda duruyor ve bu dosyalarda çok fazla kişisel veri var. Kurul’a göre bu dosyalar bir süre sonra güncelliğini yitirir, makul olan süre 6 aydır belki ve siz de  6 ay ya da 1 yıl gibi bir süre belirleyebilirsiniz. Ama bir çalışan adayının özgeçmişini  5 yıl süreyle saklamanızın faydası olmaz. Dolayısıyla bu anlamda da makul bir süre belirleyip, imha polikatınız kapsamında artık onu yok etmek, imha etmek gerekecek. Yoksa idari para cezaları, hapis cezaları ve daha bir çoğu bizi bekliyor. 

Evren Güldoğan: Sıklıkla cezalardan bahsettik. Belirlenen kurallara uymadığımızda başımıza neler gelir, açabilir miyiz?

Başak Aydın Tantürkü: Cezalardaki en sıkıntılı bölüm hem şirketteki çalışanların hem şirket yetkililerinin şahsen de cezalardan sorumlu olması. Bu anlamda eğer kişisel veriler konusunda hukuka aykırı olarak kayıt ediyorsanız dikkat etmelisiniz. Örneğin  almamanız gereken bir veriyi aldınız ve özlük dosyasının içine attınız. Bunun 1 yıldan 3 yıla kadar hapis cezası var.

Evren Güldoğan: Sadece veriyi almış olmak yetiyor mu?

Başak Aydın Tantürkü: Ceza Kanunu’nda hukuka aykırı olarak kayıt edildiği şeklinde geçer. Hukuka aykırı olarak yaydığınız da düşünülürse 2 yıldan 4 yıla kadar hapis cezası söz konusu. Bir de süresi geçmesine rağmen silmediyseniz 1 yıldan 2 yıla kadar daha ceza eklenir. Burada bir parantez açmak gerekiyor. Bu cezalar 2 yıla kadar erteleniyor fakat ertelense de iptal edilmez. En kritik noktası ise şikayete bağlı olmamaları. Yani ben o kişiyle anlaşırım, şikayetini çeker ve ben bu hapis cezasından kurtulurum diyemiyoruz maalesef. Bir çalışan bir veriyi aldıysa ve bir yere aktardıysa şahıs olarak o da sorumlu fakat eğer şirket olarak siz bu verileri koruma anlamında gerekli tedbirleri almazsanız, şirket yetkilisi olarak da siz sorumlu oluyorsunuz. Bunun yanında yüksek bedellerde idari para cezaları da var. Şirkete yalnızca aydınlatma yükümlülüğünü yerine getirmediği için 9 bin küsürlerden 2 milyona kadar para cezası kesilebilir. Çalışan sayınızla aynı oranda bu bedelin arttığını düşünürseniz çok fazla olduğunu söylemek mümkün.

Evren Güldoğan: Cezaların alt ve üst limitleri oldukça geniş görünüyor. Kurulun burada dikkate aldığı kriterler var mı, yoksa henüz bilmiyor muyuz?

Başak Aydın Tantürkü: Burada net bir cevap verebilmek, örneğin şirket cirosuna göre vb. demek isterdim fakat gerçekten bilemiyoruz. Deneyimledikçe öğreniyoruz fakat bir avukat meslektaşımız sırf bir veri ihlali yaptığı için 50 bin TL para cezasına maruz kalmıştı. Yine tek başına çalışan bir eczacı, veriyi ihlal ettiği için 74 bin TL ceza ödemişti. Kurulun geniş bir yetki alanı var, bir anda denetim için gelinebilir veya farklı bir şikayetten dolayı gelindiğinde bu alanda da ceza kesilebilir.

Netice olarak bu konu oldukça dikkat istiyor. Tek kişi çalışmanız, eğitmen, danışman, avukat, mali müşavir, gerçek bir kişi veya şirket sahibi olmanız fark etmeksizin, herkesin kendi alanında alması gereken, temel çerçevesini çizebileceği önlemler var. 

Evren Güldoğan: ARED üyelerinin neredeyse hepsi işletme sahibi insanlar. Bu tip konulara da öncelikle işletmeler açısından bakıyoruz ama her birimiz de birer gerçek kişiyiz. Bizim de kişisel verilerimiz başkaları tarafından işleniyor. Bunu engellemenin, kişisel verilerimizi verdikten sonra da işlenmesini durdurmanın, sildirmenin bir yöntemi var mıdır?

Başak Aydın Tantürkü: Evet var ve iyi ki bu imkan sunulmuş. Çünkü herkes çok tedirgin.. Hem veri sahibi olarak karşımızdaki şirkete ya da şahsa “benim verimi aldığında ne yaptın, nerde sakladın, kimlere aktardın, ne şekilde işliyorsun” gibi soruları yöneltme, hem de “artık benim verimi kullanma, açık rızamı senden geri çekiyorum.” deme şansımız bulunuyor. Gün içinde verdiğiniz açık rıza hakkını 1 dakika sonra geri alma hakkınız mevcut. Tam olarak kişisel veriyle ilgili olmasa da İYS sistemi var artık şirketlerin elektronik ticari ileti gönderebilmesi için. Vatandaş olarak bizler de o sisteme girip verilerimizi kimlere verdiğimizi görüntüleyip kapatabiliyoruz. 

Diğer yandan önemli bir tavsiye olarak web sitelerinizde kullandığımız dökümanlar için kopyala yapıştır yapmamanız gerektiğini söylemek isterim. Bu çok basit bir incelemeyle ortaya çıkabilecek bir durum. Özellikle böyle internet sayfalarında yayınladığınız KVKK metinleri, çerez politikaları, gizlilik metinleri ya da birilerine gerçekten imzalattığımız metinlerde bu hususa büyük önem vermenizi tavsiye ediyorum.

Evren Güldoğan: Sektör mensuplarımızın merak ettiği diğer bir konu ise Verbis kayıtlarını yaptıktan ve uyumlaştırma çalışmalarını gerçekleştirdikten sonra sürecin güncel tutulması gerekiyor mu yoksa yükümlülüklerimiz sona mı eriyor?

Başak Aydın Tantürkü: Öncelikle bilmeyenler için Verbis, kurulun halka açık, herkesin görebileceği veri sorumluları bilgi sistemi. Verbis’e kayıt yükümlülüğü olan bir şirketseniz buraya kimin kişisel verinizi aldığını girmezsiniz, daha genel bilgiler giriliyor. Bunların kayıt yükümlülüğü süresince belli kriterleri olduğu gibi yasal süreleri de var. Verbis kayıt yükümlülüğü kanunda sayılan yükümlülüklerden sadece bir tanesi ve çok gündeme geldi. 31 Aralık’taki kayıt yükümlülüklerinin son gününe göre, 50 kişininin üzerinde çalışanınız varsa ya da bir önceki yılın yıllık mali bilançosunda aktifiniz 25 milyonun üzerindeyse şirket olarak verbise kayıt yükümlülüğünüz vardı. Bu değişebilecek bir konu ve takibinizde olmalı. O güne kadar üye olmayan, kayıt olmayan şirketler oldu ve şuan kurul o şirketlere yazı gönderiyor. Yazı geldikten sonra 3 gün içerisinde kaydı yapmak gerekiyor. Kaydı yapmak için de bahsettiğimiz gibi baştan kişisel veri envanterinizi çıkartmanız, oradan bir Verbis envanteri ayrıştırmanız ve bütün bu idari teknik tedbirleri almanız gerekiyor. Dolayısıyla özenle yapılmamış bir kaydınız bulunuyorsa ivedilikle gerekli hukuki uyumlaştırmayı yaparak düzeltmenizi öneririm. 

Evren Güldoğan: Yani aslında çoğu firma işin son aşamasında olması gereken şeyi yaptı ve sadece bu aşamayı yaptı. Dolayısıyla sürecin bittiğini zannetti, öyle mi?

Başak Aydın Tantürkü: Hemen asıl uyumlaştırmalarını yapmaları gerekiyor. Yani özetlemek gerekirse; veri envanterini çıkarmamız, aydınlatma yükümlülüklerini hazırlamamız, sözleşme yaptığımız şirketlere KVKK yükümlülüğü eklememiz, açık rıza alması gereken alanlarda rızayı almamız ve ilave tedbirlere özen göstermemiz şart.

Evren Güldoğan: Bir de sürecin IP boyutu bulunuyor. Özellikle internete yazınca pek çok firmanın bu konuda danışmanlık hizmeti verdiğini görüyoruz. Bu işin bilişim kısmına da kısaca bir değinebilir misiniz, o tarafta almamız gereken bir tedbir var mıdır?

Başak Aydın Tantürkü: İdari, hukuki ve teknik tedbirleri almakla yükümlüsünüz. Gerçekten baktığınızda bazı ufak çaplı çalışan şirketler için siber güvenlik önlemlerini almak çok maliyetli. Ama bu konuda çekince yaşamamalısınız. Bu işlemlerin hepsini yapmak ve teknik tedbirleri almak ile yükümlüsünüz ama bu programlarla yapmanız şart değil. Örneğin anti-virüs programınız olmayabilir. Temel almanız gereken teknik tedbirleri alarak da verilerinizi koruyabilirsiniz. Verileri ortak ağlarda saklamak, ulaşılabilirliğini kontrol etmemek büyük sıkıntılara yol açabilir. Kurul bu anlamda çalışanlara yetkilendirmeye gidilmesini öneriyor. Örneğin bir çalışana yapılan maaş hacizini ya da onun maaşını satış departmanının görmesine gerek yok. Yani teknik anlamda da bazı önlemleri kendi yöntemlerinizle alabilirsiniz. Fakat hiçbir şirket KVKK konusunu rafa kaldırmamalıdır. Alınabilecek maksimum önlemi almalıyız. Örneğin hacklendiğinizde veya teknik olarak bir sıkıntı olduğunda kanunen derhal kullanabilme yükümlülüğünüz var. Garanti Bankası’nda 400 kişinin verisi çalındı, kurul bunun üzerine kuruma giderek gerekli siber güvenlik önlemlerini alıp almadığını kontrol etti. Gerekli önlemlerin alındığı tespit edildiğinde kurul ceza kesmeyecektir. 

Evren Güldoğan: Diyelim ki bütün önlemleri aldık fakat sizin de dediğiniz gibi hacklendik veya bir çalışanımızın kötü niyeti söz konusu oldu. Bu tip bir durumda yine biz sorumlu muyuz?

Başak Aydın Tantürkü: Almanız gereken önlemleri aldıysanız sorumlu değilsiniz. Diyelim ki verinin çalınmasına sebep oldunuz ve kurul size idari para cezası kesti. Bu bedeller oldukça yüksek olduğu için çalışandan almak da zor olacaktır. İşte bu noktada farkındalık eğitimleri çok önemli. Çalışanın ben ne yaparsam yapayım şirket sorumlu gibi bir anlayışa kapılmasını engellemelisiniz. O çalışan, hapis cezası yükümlülüğünün kendinde olduğunu bilmeli. Yani artık ben bu şirkette çalıştı çok güzel bir portföyüm var, oradaki bilgileri aldım ve portföyümle başka bir şirkete gittim devri kapandı. Bu nedenle çalışanın da şirket yetkililerinin de farkındalığının artması ve eğitim almaları gerekiyor.

Evren Güldoğan:  Çalışanlarımız bu durumun farkında olurlarsa bu tip davranışlardan da uzak dururlar.

Başak Aydın Tantürkü: Bu durum şirketlere de daha rahat bir hareket alanı sağlıyor, şirket yetkililerinin bu anlayışı özümsemesi gerek. Sadece sonucunda bir ceza kesilebileceği için bu adımları atmamak gerek. Bazı şirketler de uyumlaştırma süreci sonrasında büyük bir veri çöplüğünden kurtulduklarını söyleyerek rahatladıklarını belirtebiliyorlar. Artık kişisel veri çok kıymetli ve mesleki yaklaşımımız haklarımızı korumak, şirketimizde düzeni sağlamak olmalı. 

Evren Güldoğan:  Son sorumuz da sık aldığımız sorulardan birisi. Biz yaptığımız işlerin fotoğrafını çekmeliyiz. Örneğin bir akaryakıt istasyonuna giydirme işlemi yaptığımızda veya banka şubesinin tabelasını taktığımızda bunun fotoğrafını çekip, internet sitemizde veya sosyal medyamızda yayınlıyoruz. Bunun ayrı bir boyutu olabilir ama KVKK açısından baktığımızda bu aktivite için önceden izin almamız gerekiyor mu?

Başak Aydın Tantürkü: Özellikle fotoğraf çekip internette yayınlama süreci apayrı bir durum. Bu faaliyetleri gerçekleştirmeden önce gerekli aydınlatmayı ve izni alarak hareket etmeniz gerekir. İlgili kişiye ulaşıp bu izni alamazsanız da bayiyle aranızda sözleşme olmasa bile yazılı bir metin geçirmelisiniz. Hem sizlere o veriyi veren şirket de uyumlaştırmasını bu bilgilerle sağlamalı.