Kurumsal hafızayı oluşturan veri havuzu içerisinde birçok kişisel veri olduğu yadsınamayacaktır. 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 2016 yılında yürürlüğe girmesinden itibaren, veri sorumlusu işletmelerin KVKK’ya uyumlu olması gerekliliği doğmuştur. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusu şirketlerin, kişisel verileri kurumsal hafızayı sürdürmek adına saklaması KVKK kapsamında bir veri işleme faaliyeti olarak nitelendirilecek ve veri sorumlusu şirketin, KVKK’ya uygun hareket etmesi gerekecektir.

Kurumsal hafıza oluşturulmasının temel sebeplerinden biri olan verilerin ilerleyen süreçlerde tekrar kullanması, KVKK’ya uyum noktasında bazı problemleri ortaya çıkarabilecektir. Veri sorumlusunun yükümlülükleri doğrultusunda kurumsal hafızanın oluşturulmasında aşağıdaki hususlara dikkat edilmesi büyük öneme sahiptir.

Ø  Genel ilkelere uyum: KVKK’nın 4.maddesi uyarınca,  kişisel veriler, ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecektir. Veri sorumluları, kişisel verilerin işlenmesinde genel ilkelere uyumlu davranmalı ve bu doğrultuda veri işleme faaliyetleri i) hukuka ve dürüstlük kurallarına uygun olmalı, ii) doğru ve gerektiğinde güncel olmalı, iii) belirli, açık ve meşru amaçlar için işlenmeli, iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmelidir. Kurumsal hafıza kapsamında saklanan kişisel verilerin ileride hangi amaçlar için kullanılacağı belli olmayabileceği için bu amaçla yapılan işleme faaliyeti kişisel verilerin belirli ve açık amaçlarla işlenmesi ilkesine aykırılık oluşturabilecektir. Öte yandan, işletmenin kuruluşundan itibaren muhafaza edilen kişisel verilerin güncel olup olmadığı sorusu da gündeme geleceği gibi işlendikleri amaç doğrultusunda kullanılmaması da söz konusu olabilecektir.

Ø  Kişisel veri işleme şartları doğrultusunda kişisel verilerin işlenmesi: Kişisel veri işleme faaliyeti KVKK’nın 5. ve 6. maddelerinde yer alan şartlara uyumlu bir şekilde gerçekleştirilmelidir. Bu doğrultuda, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak bazı durumlarda, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: i) kanunlarda açıkça öngörülmesi, ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, iv) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, v) ilgili kişinin kendisi tarafından alenileştirilmiş olması, vi) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, vii) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Peki kişisel verilerin kurumsal hafıza oluşturmak amacıyla saklanmasının KVKK’da yer alan işleme şartlarından biri kapsamında değerlendirilebilir mi? Örneğin, kişisel veri işleme faaliyetlerinin meşru menfaat kapsamında işlenebilmesi için kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması gerekmektedir. Yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun söz konusu kurumsal hafıza oluşturulması amacıyla işlenmesi ile sağlayacağı menfaatler arasında denge testi yapılırken yarışan menfaatlerden hangisinin ağır bastığı veri sorumlusunca tespit edilmelidir.

Ø  Kişisel verilerinimha edilmesi: KVKK’nın 7. maddesinde, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlenmiştir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile düzenlenmiştir. Tüm bu düzenlemeler uyarınca, kişisel verilerin işleme amaçlarının ortadan kalkması halinde imha edilmesi gerekmektedir. Ancak bir işletmenin, kişisel verileri işlendikleri amaç ortadan kalktıktan sonra silmesi, kurumsal hafıza oluşturmanın temel mantığına uymayacaktır. Ancak, kurumsal hafıza oluşturmak adına periyodik olarak imha yapılmaması KVKK’ya aykırılık teşkil edecektir.

Sonuç olarak kurumsal hafızanın yapısı ve amacı göz önüne alındığında, kurumsal hafıza oluşturulurken KVKK’da yer alan yükümlülüklere aykırı davranılması söz konusu olabilecektir. Bir işletme için kurumsal hafızanın oluşturulması büyük öneme sahip olsa da KVKK’ya yer alan yükümlülüklerin yerine getirilmemesi halinde veri sorumlusu işletmeler bakımından ciddi idari ve cezai yaptırımlar söz konusu olabileceği unutulmamalıdır.