ÇSY Kapsamında Kişisel Verilerin Korunması Hukukunun Önemi
ÇSY kriterleri; bir şirketin sürdürülebilirlik açısından vizyon, misyon ile davranış biçimi gösteren bir dizi standart olarak tanımlanmaktadır. Kişisel verilerin korunması ve veri güvenliğinin sağlanması şirketlerin ÇSY kapsamında atmaları gereken adımlardan biri olup işbu yazımızda detaylı olarak incelenecektir.
Yayınlanma Tarihi: 03/04/2024

I.                   Giriş


5 Ocak 2023 tarihinde, Kurumsal Sürdürülebilirlik Raporlama Direktifi (“CSRD” veya “Corporate Sustainability Reporting Directive”) Avrupa Birliği’nde (“AB”) yürürlüğe girmiştir. Bu kapsamda; 22 Aralık 2023 tarihinde, Avrupa Sürdürülebilirlik Raporlama Standartları’nın (“ESRS”, “Standartlar” veya “European Sustainability Reporting Standards”) birinci dokümanı kabul edilmiştir. CSRD ve ESRS kapsamında; şirketlerin Enviromental, Social, Governance (ESG) kriterleri uyarınca raporlama süreçleri düzenlemekte olup; ESG, Türkçe’de Çevresel, Sosyal ve Yönetişim (“ÇSY”) olarak geçmektedir. Hangi sektörde faaliyet gösterdiğine bakılmaksızın, CSRD kapsamındaki şirketlerin, ESRS Standartlarına 1 Ocak 2024 tarihinden itibaren uyumlu olması gerekmektedir.

 

Türkiye’de ise; Kamu Gözetim Kurumu, TTK’nın 88. maddesi uyarınca işbu AB mevzuatını dikkate alarak kurumsal sürdürülebilirlik alanına yoğunlaşmakta ve düzenlemeler yapmaktadır. Bu sebeple; ÇSY raporlama ve uyum süreçleri, Türkiye’deki şirketler bakımından da önem kazanmaya başlamıştır.

 

ÇSY kriterleri; bir şirketin sürdürülebilirlik açısından vizyon, misyon iledavranış biçimi gösteren bir dizi standart olarak tanımlanmaktadır. Çevresel kriterler altında, şirketin çevreyi nasıl koruduğu, çevre mevzuatına uyumu ve sürdürülebilir çevre politikalarının uygulanıp uygulanmadığı ele alınır. Sosyal kriterler de şirketin; çalışanları, tedarikçileri, müşterileri ve bulunduğu ekosistemdeki tüm paydaşları ile ilişkilerini nasıl yönettiği incelenir. Yönetişim kriterlerinde, şirketin ESG kapsamındaki kurumsal yapısı, yöneticilerin görev ve sorumlulukları, iç ve dış kontrollerin sağlanması süreçleri ele alınır. 

 

II.                 ESG Kapsamında Veri Koruma Hukuku

 

ÇSY kriterlerinin kesiştiği noktalar bulunmaktadır. Bunlar, “veri” ve “veri güvenliği”dir. ÇŞY kriterleri ile veri güvenliğinin ilişkisine aşağıdaki şekilde örnekler verilebilir:

                                                                   


       Yukarıda bahsi geçen tüm bu hususlar ise ülkemizde veri koruma mevzuatı kapsamında düzenlenmektedir. İşbu mevzuat; KVKK ve ikincil mevzuatı, Türkiye Kişisel Verileri Koruma Kurumu (“Kurum”) rehber, görüş ve duyuruları ve Türkiye Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarından (hepsi birlikte “Veri Koruma Mevzuatı” olarak anılacaktır) oluşmaktadır. KVKK kapsamında çoğu şirket veri sorumlusu olarak değerlendirilmekte ve yükümlülükleri şu şekilde özetlenebilecektir:


                                                                        

 

       Kişisel verilerin korunması hukukuna uyum süreci yürütülmesi ile veri yönetişimi süreçlerinde maliyet azaltmakta ve mevcut riskler minimize edilmektedir. Bir başka deyişle; kişisel verilerin korunması hukuku ilkelerine uymamak şirketler açısından büyük maliyetler ile sonuçlanmaktadır. Örneğin; hem KVKK hem GDPR bakımından önemli ilkelerden olan "veri minimizasyonu” ilkesi sayesinde şirketler, ihtiyaç duymayacakları verileri toplamamakta, işlememekte, bu alanda yatırıma ihtiyaç duymamaktadır. Ancak bu ilkenin uygulanması, veri koruma uyum süreci yürütülmesi sayesinde olabilmektedir. Bir başka açıdan, hem GDPR hem KVKK bakımından şirketler çoğu süreçler bakımından veri sorumlusu olarak nitelendirilmekte ve işbu mevzuatlara aykırılık olması hallerinde büyük tutarlarda idari para cezaları ile karşılaşabilmektedir. Bu durumun önüne geçebilmek de yine veri koruma uyum süreci yürütülmesi ile olabilmektedir.

 

       Tüm bu bilgiler doğrultusunda, ÇSY kapsamında, kişisel verilerin korunmasına yönelik olarak aşağıdakiler ilesınırlı olmamak üzere bazı örnek faaliyetleri belirmek isteriz:

 

- KVKK ve GDPR Uyum Süreci,

- ESG Kapsamında Verilerin Uyum Süreci,

- Kurumsal Politikalar Oluşturmak,

- Kişisel Veri İşlenen Süreçlerin Etik Açıdan Değerlendirilmesi.

 

III.               Sonuç

 

       Kişisel verilerin korunması ve veri güvenliğinin sağlanması şirketlerin ÇSY kapsamında atmaları gereken adımlardan biridir. Bu kapsamda, KVKK ve ikincil mevzuat düzenlemeleri de şirketlerin ÇSY yolculuğunun ayrılmaz bir parçasıdır. Bu sebeple, KVKK dahilindeki yükümlülüklerin yerine getirilmesi için uyum çalışmalarının yapılması, uyumun sürdürülebilir olduğunun tespiti için denetimler yapılması şirketlerin iş süreçlerine dahil edilmesi gerekmektedir.

Yasal Uyarı | Çerez Politikası | Kullanım Koşulları | Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni | © 2024 DL Avukatlık Bürosu