7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu hakkında yerleşik bir içtihat ve uygulama alanı bulunmaması sebebiyle kanun kapsamında sorumluluklar henüz yerleşik hale gelmemiştir. Kanun ile zorunluluk hale gelen Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğu son olarak 31.12.2021 tarihi itibariyle tamamlanmıştır. Uygulamada VERBİS sistemine kayıt gerçekleştiren şirketlerin yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları oldukları görülmektedir. Söz konusu bu şartları sağlamayan start-uplar bakımından VERBİS sistemine kayıt işleminin genellikle sağlanmamış olduğu görülmektedir.Ancak olası yaptırımlar ve uyuşmazlıklar değerlendirildiğinde start-upların Kişisel Verilerin Korunması Kanunu kapsamında gerekli uyum süreçlerini yürütmesi gerekmektedir.
Kişisel veri bulunduran her gerçek ve tüzel kişinin tabi olduğu Kişisel Verilerin Korunması Kanunu start-uplar’ın yapısı ve organizasyon şekli göz önünde bulundurulduğunda karmaşık ve iş yükü oluşturduğu düşüncesiyle olumsuz görülmektedir. Ancak girişimcilik ruhuyla hareket halinde olan start-uplar bakımından ilk evrelerden itibaren KVKK uyum süreci sağlanması ilerleyen aşamalarda oluşabilecek hukuki uyuşmazlıklar ve yaptırımlar karşısında hızlı ve doğru aksiyon alınmasını sağlayacaktır. Bununla birlikte henüz hedefledikleri noktaya gelmeden kişisel verilerin işlenmesi hakkında uyum sürecinin tamamlanması yatırım alması halinde daha karmaşık bir hale gelmeden çözüme kavuşturulmuş olacaktır.
Bu noktada start-upların öncelikli olarak hangi verilerin toplandığını ve bu verilerin hangi amaç doğrultusunda kullanıldığının tespit edilmesi sürecin doğru yönetimi için elzemdir. Daha sonrasında toplanan veriler gruplandırılarak şematik olarak anlaşılır hale getirilerek toplanan verilerden start-up açısından gerekli olmayanların tespit edilerek veri işleme yükümlülüğünün hafifletilmesi oldukça önemlidir.
Start-upların potansiyel müşterileri veya kullanıcıları bakımından yapılan araştırmalar ve anketlerde Kişisel Verilerin Korunması Kanunu ile gelen düzenlemelerin olumlu karşılandığı ve güvenlik bakımından endişelerin azalmasını sağladığı görülmektedir. Ayrıca siber saldırıların yaygınlaştığı ve hemen hemen her şirketin siber saldırıya maruz kalabildiği gerçeği göz önünde bulundurulduğunda start-upların veri işleyen olarak KVKK uyum sürecine uyum sağlamasının güvenlik açısından önemi ortaya çıkmaktadır.
Yukarıda açıklanan tüm sebepler birlikte değerlendirildiğinde pratikte henüz bir start-up gibi ilk evrelerinde bulunan kişisel verilere ilişkin mevzuat ilerleyen dönemlerde önemini artırarak devam edeceğini hissettirmektedir. Bu noktada uyum sürecinin erken aşamalarda başlatılması olası uyuşmazlıklar bakımından önem arz etmektedir. Doğası gereği inovatif ve esnek olan start-upların kişisel verilerin işlenmesine yönelik sürece kolaylıkla uyum sağlayacağı açık olmakla birlikte gereken önemin gösterilmesi gerekmektedir.