Birçok şirketin KVKK uyum sürecinde bilinçli ve sürdürülebilir bir yaklaşımı benimsemediği, açık rıza ve aydınlatma metinleri oluşturmak, VERBİS kaydı yapmak gibi formal işlemleri gerçekleştirmekten öteye geçmeyen bir uyum anlayışıyla yetindiği görülmektedir. Bu yazımızda, şirketlerin KVKK uyum sürecinde en sık yaptığı 10 hatayı ele alıyor ve her birinin neden önemli olduğunu basitçe açıklıyoruz.

        1. Uyumu yalnızca bir “dokümantasyon işi” sanmak

Birçok şirket KVKK’ya uyum sürecini yalnızca aydınlatma metinleri yayımlamak, açık rıza almak ve VERBİS’e kayıt yaptırmakla sınırlı görmektedir. Oysa kanun, bir iç dönüşüm süreci gerektirmektedir. Veri işleme faaliyetlerinin düzenli olarak gözden geçirilmesi, teknik-idari önlemlerin uygulanması, personelin eğitilmesi ve KVKK’ya uyum sürecinin yaşayan, dinamik bir süreç olduğunun farkında olunması çok önemlidir.

        2. Kişisel veri envanterini yüzeysel oluşturmak

Kopyala-yapıştır yoluyla hazırlanmış, şirketin kişisel veri işleme süreçlerini gerçek manada yansıtmayan bir kişisel veri envanteri uyum sürecinin sıhhatini temelden, olumsuz etkilemektedir.

        3. Aydınlatma metinlerini hukuki jargonla boğmak

Aydınlatma yükümlülüğünün yerine getirilmesi lüzumlu bir formaliteden ibaret olmadığı, şeffaflık ilkesine riayet edilmesi gerektiği unutulmamalıdır. Ancak pek çok şirketin KVK uyum metinlerinin, ilgili kişiler tarafından okunamayacak kadar teknik ve hukuki terimlerle dolu olduğu görülmektedir.

        4. Hemen her veri işleme faaliyeti için açık rıza alınması gerektiğini düşünmek

Açık rızanın, KVKK’da düzenlenmiş yegane veri işleme hukuki sebebi olmadığı unutulmamalıdır. Buna rağmen açık rızaya dayanılması gerekmeyen bir süreç için dahi açık rıza toplanmaya çalışıldığı görülebilmektedir. İlgili kişilerin verdikleri açık rızaları her zaman geri alabileceği, dolayısıyla süreçlerin aksayabileceği gözden kaçırılmamalıdır.

        5. Kurum içi farkındalık oluşturmamak

KVKK uyumu sadece hukuk departmanının işi değildir. İnsan kaynakları, bilgi teknolojileri, satış, pazarlama gibi tüm birimlerin farkındalığı gerekir. Ancak birçok şirkette çalışanlara eğitim verilmemekte, KVK uyum süreci yalnızca hukukçuların idare ve sorumluluğuna bırakılmaktadır.

        6. İşlenen verilerle gerçekten ne yapıldığına bakmamak

Birçok şirket veriyi işlerken ne kadar süreyle saklaması gerektiğini, kanundaki işleme sebepleri ve amaçlardan hangilerine dayanarak o veriyi topladığını değerlendirmemektedir. Örneğin, yıllar önce alınmış ve artık kullanılmayan özgeçmişler hâlâ arşivlerde tutulabilmektedir.

        7. Üçüncü taraflarla olan veri ilişkilerini netleştirmemek

Günümüzde birçok şirket, faaliyetlerini sürdürebilmek için dış kaynaklardan hizmet almakta olup bu hizmet sağlayıcılar; çağrı merkezleri, yazılım firmaları, insan kaynakları danışmanları, pazarlama ajansları, bulut servisleri veya teknik destek ekipleri olabilmektedir. Şirketler bu hizmetleri alırken çoğu zaman, hizmet sağlayıcının kişisel verilerle ne ölçüde temas ettiğini göz ardı etmektedir.

        8. Veri ihlallerini gizlemek veya geç bildirmek

Birçok şirket, veri ihlalini kamuya açıklamanın itibar kaybı doğuracağından çekinerek bildirim yapmamaktadır. Ancak KVKK ve Kurul kararları uyarınca veri ihlalleri en kısa sürede (72 saat içinde) Kurul’a bildirilmelidir. Ayrıca, veri ihlalinden etkilenen kişilerin tespit edilmesi ve ihlalin makul bir süre içinde onlara da bildirilmesi önemlidir. Aksi halde şirketler hem yüklü para cezasına çarptırılabilmekte hem de kamuoyunda daha büyük bir itibar kaybı yaşayabilmektedir.

        9. Teknik ve idari tedbirleri şifre koyma işlemlerinden ibaret sanmak

Birçok şirket, teknik ve idari tedbirleri yalnızca parola belirleme ya da antivirüs yazılımı yükleme gibi yüzeysel önlemlerle sınırlı tutmaktadır. Halbuki log kayıtlarının tutulması, yetki matrisi oluşturulması, şifreleme, erişim kontrolleri gibi detaylı tedbirlerin uygulanması gerekmektedir.

        10. Süreç değişikliklerinde KVKK etkisini değerlendirmemek

Her yeni süreç öncesinde KVKK uyumu açısından analiz yapılması göz ardı edilebilmektedir.

Sözün özü, KVKK’ya uyum, yalnızca yasal bir zorunluluk değil, aynı zamanda şirketlerin itibarını, müşteri güvenini ve kurumsal sürdürülebilirliğini doğrudan etkileyen bir sorumluluktur. Uyumun, statik değil yaşayan bir süreç olduğunu unutmadan; teknik, hukuki ve organizasyonel boyutlarıyla sürekli gözden geçirilmesi gerekmektedir.