Kişisel Verilerin Korunması Uyum Sürecinde Neler Yapılmalıdır?
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kişisel verilerin korunması amacıyla 7 Nisan 2016 tarihinde Resmî Gazete’de yayınlanarak yürürlüğe girmiştir. Kanun, bir veri kayıt sisteminin bir parçası olmak kaydıyla kişisel veri işleyen tüm tüzel kişileri kapsamaktadır. Kanun’un asıl amacı kişisel verilerin işleme amaçları dışında toplanmasını ve işlenmesini engellemek, kişisel verilerin işlenmesini belirli kurallara bağlamaktır.
KVKK Uyum Süreci Nedir?
Veri Sorumlularının kişisel verileri koruması amacıyla birtakım yükümlülükler düzenlenmiştir. Bu bağlamda KVKK’nın yürürlüğe girmesiyle tüm kamu ve özel kurum ve kuruluşların, Kanun’da öngörülen yükümlülüklerin yerine getirilmesi amacıyla kendi bünyelerinde uyum süreçleri yürütmesi gerekmektedir. Buradaki temel amaç da kişisel verileri bir disiplin altında tutmak ve bireylerin temel hak ve özgürlüklerini korumaktır.
KVKK Uyum Sürecinde Neler Yapılabilir?
Veri Sorumlularının (özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, doktorlar, eczaneler vb.) KVKK kapsamında idari para cezaları ile karşılaşmamaları için KVK mevzuatı hakkında yeterli bilgiye sahip olmaları ve tüm süreçlerini Kanun’a uygun hale getirmeleri gerekmektedir. Bu aşamada da yapılması gerekenlerden bazılarına aşağıda verilmiştir:
1. Mevcut Durum Tespiti
İlk olarak şirketler mevcut durumlarının tespiti için veri tabanlarında var olan kişisel verilerle ilgili bir kişisel veri envanteri çalışması yapmalıdırlar. Envanter çalışması Veri Sorumlularının, gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; veri kategorisi, işleme amaçları, hukuki sebebi, veri konusu ve aktarılan alıcı grubu ilişkilendirerek oluşturdukları ve işleme sebebi için gerekli olan saklama süresini, yabancı ülkelere aktarımı öngörülen kişisel veri güvenliğine ait alınan önlemleri açıklamaya yarar.
Kurumlar, detaylı bir Kişisel Veri Envanteri hazırladığında mevcut durumları kolaylıkla tespit edilir.
2. Mevzuata Uygunluk Denetimi
Mevcut durumu envanter oluşturarak tespit ettikten sonraki aşama uygunluk denetimidir. Burada şirket envanterinde yer alan kişisel verilerin mevzuata uygun olup olmadığı değerlendirilir. Envanter hazırlanması bir zorunluluktur. Bu zorunluluğunun sebebi ise veri sorumlularının faaliyetlerinde kanuna aykırı kişisel veri işleme durumu olup olmadığının kolayca fark edilmesidir.
Bu durumda sistemdeki verilerin veri tanımına uygun bir şekilde mevzuata uygun toplanıp toplanmadığı ayrıca verilerle ilgili kişilerin onayı olup olmadığı bu aşamada dikkate alınır, denetimi sağlanır.
3. Mevzuata Uyum Sağlama
Uygunluk denetimi sırasında KVK mevzuat şartlarına uygun olmadığı fark edilen verilerin uygun halde getirilmesi gerekir.
Kişisel veri toplama kanallarının, veri sahiplerinin, işleme amaçlarının ve koşullarının tespit edilmesi ile aydınlatma metinleri hazırlanır ve ilgili kanallardan gerekli aydınlatmalar yapılır.
Kişisel verilerin türüne ve işleme sebeplerine göre açık rıza alınması gereken durumlarda ilgili kişilerden onay ve rıza alınır.
Üçüncü taraflar tespit edilerek veri aktarımına ilişkin usul ve koşullar belirlenir.
Kişisel verilerin güvenliğinin sağlanması için alınması gereken taahhütnameler, gizlilik sözleşmelerinin imzalanması, gerekli denetimlerin ve eğitimlerin yapılması, veri güvenliğine ilişkin politika ve prosedürlerin tasarlanması gibi her türlü idari tedbir ve sızma testi, güvenlik duvarları gibi her türlü teknik tedbirin alınması sağlanır.
KVK Kanunu’na göre kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda mevcut verilerin güvenli şekilde silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekmektedir.
Yukarıda belirtilenler gibi KVK kapsamında şirketler tarafından uyum sağlamaya yönelik yerine getirilmesi gereken pek çok yükümlülük bulunmaktadır. Mevzuata uyum sağlamak amacıyla bir yapılacaklar listesi oluşturulur ve gerekli aksiyonlar alınarak uyum sağlanır.
4. Veri Sorumluları Siciline Kayıt
Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından yönetilmesine sorumlu olan gerçek kişiyi ifade etmektedir.
Bu aşamada bir Veri Sorumlusu tarafından mevzuata uygun oluşturulmuş envantere istinaden oluşturulan raporlar ile Veri Sorumluları Sicil Bilgi Sistemine kayıt edilir.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) de Veri Sorumlularının veri işlemeyle ilgili bilgileri beyan ettikleri bir sistemdir ve kayıt zorunludur. Dolayısıyla veri sorumlularının kim oldukları kamuya açıklanması ile aleniyet, dürüstlük ve şeffaflık ilkeleri sayesinde kişisel verilerin daha etkin bir şekilde korunması sağlanmaktadır.
Ayşenur Özöğren Garip
KVKK Eğitim ve Uyum Danışmanı