Kişisel Verileri Koruma Kurumu, Kanun değişikliği sonrasında özel nitelikli kişisel verilerin işlenmesine ilişkin bir rehber yayımlamıştır. Bilindiği üzere, Kişisel Verilerin Korunması Kanunu’nun özel nitelikli kişisel verilerin işlenmesini düzenleyen 6’ncı maddesinde değişiklik yapılmış, mevcut özel nitelikli kişisel veri işleme şartlarına yeni veri işleme şartları eklenmiştir. Bu çerçevede, özel nitelikli kişisel verilerin işlendiği durumlarda veri sorumlularının doğru hukuki sebeplere dayalı olarak veri işlemesi ve Kanun’a uygun şekilde yükümlülüklerini yerine getirmesi için yol gösterici olması amacıyla hazırlanan rehberin ilk iki bölümünde, özel nitelikli kişisel verilere ilişkin bilgilere ve bu verilerin işlenme şartlarına yer verilmiştir. Üçüncü ve son bölümde ise, veri sorumlularının değişikliğe uyum sağlayabilmesi için yapması gerekenler açıklanmıştır.

Kanun değişiklikleri sonrası veri sorumlularının uyum için yapması gerekenler rehberde beş alt başlık içinde ele alınmıştır. Bu başlıkları şu şekilde özetleyebiliriz:

Kişisel Veri İşleme Envanterinin Güncellenmesi

• Veri sorumluları, kişisel veri işleme envanterini düzenli olarak güncellemelidir.
• Halihazırda tespit edilen özel nitelikli kişisel verilerin her biri için Kanun’un 6’ncı maddesindeki işleme şartları dikkate alınarak, işlenen kişisel veri için uygun hukuki sebep tespit edilmeli ve hukuki sebepte bir değişiklik olması halinde söz konusu değişiklik envantere işlenmelidir.

Açık Rıza Süreçlerinin Düzenlenmesi

• Açık rıza dışındaki işleme şartları genişletildiği için, envanterde açık rızaya dayalı işlenmekte olduğu yazılı veriler için yeni işleme şartları değerlendirilmelidir.
• Açık rıza alınması yerine başka bir işleme şartı mevcutsa, bu şart esas alınmalıdır.
• Açık rıza metinleri güncellenmeli ve ilgili kişilere bilgi verilmelidir.

Aydınlatma Metinlerinin Güncellenmesi

• Kişisel verilerin işleme amaçları, hukuki sebepleri ve aktarım süreçleri değiştikçe aydınlatma metinleri güncellenmelidir.
• Güncellenen metinler ilgili kişilere duyurulmalı ve aydınlatma yükümlülüğünün yerine getirildiği ispat edilebilir olmalıdır.

Saklama ve İmha Politikalarının Güncellenmesi

• Kişisel verilerin saklama ve imha süreleri belirlenirken hukuki, teknik ve sektörel gereklilikler dikkate alınmalıdır.
• Saklama süresi dolan veriler belirlenen prosedürlere uygun olarak imha edilmelidir.

Veri Güvenliği Tedbirlerinin Alınması

• Özel nitelikli kişisel veriler için ek güvenlik önlemleri gerekmektedir. Bu kapsamda; erişim yetkilendirmesi, eğitimler, şifreleme, güvenlik testleri, iki aşamalı kimlik doğrulama gibi tedbirler uygulanmalıdır.
• Kişisel Veri Güvenliği Rehberi’nde detaylandırılan teknik ve idari tedbirler, uyumluluk açısından dikkate alınmalıdır.

Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehber, veri sorumlularının hukuki ve teknik gereklilikleri eksiksiz yerine getirebilmeleri için önemli bir yol haritası sunmaktadır. Uyum süreçlerinin etkin bir şekilde yürütülmesi, hem veri sorumlularının idari ve hukuki risklerini azaltacak hem de kişisel verilerin korunmasına yönelik güvenli ve şeffaf bir ortamın oluşturulmasına katkı sağlayacaktır.