Kişisel Verilerin Korunması Kanunu Kapsamında Yapılması Gerekenler
Türkiye’de kişisel verilerin korunması, amaç dışı kullanılmaması ve hukuki dayanağı olmadan elde edilmesi, saklanması, kullanılması, aktarılması gibi hususlar 7 Nisan 2016 tarihinden bu yana mevzuatımıza giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte büyük ölçüde hepimizi ilgilendiren bir konu haline gelmiştir. Kişisel veriler gerçek kişilere ait olan her türlü özel bilgiyi oluşturmaktadır. İsim, soy isim, e-posta, telefon numarası, kimlik numarası gibi bilgiler kişisel veriyi oluştururken, ayrıca kanunda sınırlı sayıda olarak belirtilen ve verilere başkaları tarafından erişim sağlandığında kişinin ayrımcılığa ve mağduriyete maruz kalabileceği köken, ırk, mezhep, din, düşünce, cinsiyet gibi özel nitelikli kişisel veriler de bulunmaktadır. Gündelik hayatta kişisel veriler hemen hemen her alana temas etmektedir. Kanunun yürürlüğe girdiği tarihten itibaren getirdiği yenilikleri ve bu alanda toplum olarak bilinçlenmemiz konusunda yapılması gerekenleri bilmemiz önemlidir.
Kişisel Verilerin Korunması Kanunu Neyi Amaçlamaktadır?
6698 sayılı Kanun ile bir önceki mevzuatta bulunan düzenlemelerle yetinilmemiş, kişisel verilerin korunması konusu bütün olarak ele alınmıştır. Atılan bu adım sayesinde geçmişte yaşanan ekonomik, gündelik hayattaki aksaklık ve belirsiz durumların yanında, aynı zamanda uluslararası faaliyetler ve Avrupa Birliği’ne girişteki uyum politikasıyla ilgili pürüzlerin çözümlenmesi amaçlanmıştır. Ayrıca bu kanun gereğince oluşturulan Kişisel Verileri Koruma Kurulu’nun da göreve başlamasıyla, kanun hükümleri denetime tabii tutulmaya başlamıştır. Kanun amacı da KVKK md.1’de “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir” şeklinde düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu Genel Olarak Hangi Yükümlülükleri Getirdi?
6698 sayılı Kanun’dan önce kişisel verilerin işlenebileceği haller ile ilgili düzenlemeler bulunsa da, bu düzenlemeler kapsam olarak dar ve yetersiz durumdaydı. Ayrıca günümüzde teknoloji ile birlikte gelişen ve kullanım alanı daha da artan veri koruma problemi ile de örtüşmeyen yönleri bulunmaktaydı. Temelde kişisel verilerin kullanımı ile ilgili temel ilkeleri, veri işlenme şartlarını, veri ilgilisinin hak ve yükümlülüklerini belirleyen 6698 sayılı Kanun ile şartlar açık ve net bir şekilde belirlenmiş ve sektör veya alana göre değişiklik arz etmeyen genel düzenlemeler getirilmiştir.
Getirilen düzenlemelere ek olarak, 6698 sayılı Kanun ile birlikte önceki düzenlemelerde bulunmayan, veri ilgilisinin kişisel verilerinin işlenmesine ilişkin özgür iradesiyle verdiği onay anlamına gelen açık rıza şartı da gündeme gelmiştir. Veri sorumlusu veya veri işleyenin göz önünde bulundurması gereken kanun hükmünde yer alan veri işleme şartlarından herhangi birinin olmaması durumunda izleyebileceği ikinci bir yol olan açık rıza şartı ile birlikte gerekçesiz ve amacı bulunmayan veri işleme durumlarına son verilmiştir.
6698 sayılı Kanun’la veri işleyen dışında veri ilgilisine de bazı yükümlülükler getirilirken, kendi verileri üzerinde de tam hakimiyet kurması sağlanmıştır. İlgiliye açık rıza imkanının sağlanmasının yanında, kişiye verilerinin hangi amaçla, nasıl işlendiği ve hangi mecralarda kimlere aktarıldığıyla ilgili bilgi edinme hakkı tanınmıştır. Ayrıca istek üzerine verilerin silinebilir olması gibi imkanlar tanınarak, veri ilgilisine veri geleceği ile ilgili de haklar tanınmıştır.
Elbette 6698 sayılı Kanun gereklerinin yerine getirilmesiyle ilgili kurulan Kişisel Verileri Koruma Kurumu denetleme organı konumundadır ve kanunun en önemli getirilerindendir. Günümüzde çoğunlukla veri ilgilisinin şikayeti üzerine faaliyet gösteren bu kurum, kişisel verilerin korunması konusunda bilinç ve farkındalık yaratırken, aynı zamanda kanuni bir zorunluluğu olmamasına rağmen bildirim ve şikayet üzerine denetim yapıp, karara bağlamak üzerine faaliyet göstermektedir.
Kişisel Verilerin Korunması Hukuku ve Teknolojik Gelişmeler
Ülkemizde son yıllarda gündeme gelen veri koruma hukuku alanındaki gelişmeler henüz yeterli seviyelere ulaşmış değildir. Bulunduğumuz konum, yüksek nüfus ve bu nüfusun büyük çoğunluğunun teknolojiyi ve bilişim araçlarını kullanıyor olması, ulusal ve uluslararası alanda görülen yoğun ticari faaliyetlerin bulunması gibi nedenlerden veri koruma hukukumuzun oldukça kapsamlı ve iyi seviyede olması gerekmektedir.
Günümüzde hukuk dalları, her türlü sektör, e-ticaret sayfaları, internet ortamı vb. alanlarda kişisel veriler kullanılmakta ve her türlü şirket ve bu şirketin departmanları da kişisel verilerle temas içinde faaliyet göstermektedir. Kişisel verilerle bu denli iç içe bulunulması hali, maalesef zaman zaman bilinçli veya bilinçsiz olarak kişisel veri ihlallerinin gerçekleşmesine sebep olabilmektedir. Bu sebeple, 6698 sayılı Kanun hükümlerine uyumlu bir düzen kurmak için sorumlular tarafından şirketlerdeki her bir departman ve her bir çalışan veri koruma hukuku konusunda bilinçlendirilmelidir. Herhangi biriyle ilgili kişisel verilere ulaşırken bunların kanuna ve rızaya aykırı olması durumunda oluşacak durumun hukuka aykırı olduğu bilincine varılmalı, kişisel alan ve kişisel veri konusunun çağımızın en önemli ve dikkat çekilesi konularından biri olduğu kabul edilmelidir.
Geçmişten bugüne kişisel veriler konusunda katedilen gelişmeler de kayda değer niteliktedir elbette. Bir banka veya kuruluşla yaptığımız telefon görüşmelerinin kayda alındığının kullanıcılara bildirilmesi, internet üzerinden yaptığımız alışverişlerde girdiğimiz bilgilerin sebebinin açıklanması, instagram, whatsapp gibi günümüzde çoğu kişinin kullandığı platformların bizim verilerimize erişemeyeceğini ve herhangi bir mesajımızı okuyamayacağını bildirmesi, kullanılan uygulama, web sitesi, şirket gibi pek çok platformun gizlilik politikalarının ve kullanıcı sözleşmelerinin olması günümüzde veri ihlalini engelleme konusunda gösterilen büyük gelişmelerdendir. Günlük hayatta da yerleşmeye başlamış olan, kişilerin verilerinin istendiği durumlarda göstermiş oldukları şüpheci tavır ve sorgulayıcı bakış açısı oluşmakta olan farkındalıkların en güzel örneklerindendir. Hukuk uygulayıcıları, teorisyen ve toplumda kişisel verilerin korunması konusundaki bilinç, durumun yalnızca bir özel hukuk alanı olmasından ziyade, bir kültür olarak yerleşmesi ile geleceğe taşınmalıdır.
Kişisel Verilerin Korunması Hakkında Genel Bilgilendirme
Kişisel Verilerin Korunması Nedir?
Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.
Kişisel veri, sahibi olduğu kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her türlü veridir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, IP adresi, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Kanunun 1 numaralı “amaç” maddesi ise şu şekilde düzenlenmiştir: “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir”
Kişisel verilerin korunması kavramı da, yukarıda anlatılan tanım ve amaçlara uygun şekilde, kişilere ilişkin verilerin korunmasını ve bu verilerin nasıl ve ne şekilde işlenebileceğinin belirlenmesinden ibarettir.
Kişisel Verilerin Korunması Hakkında Yürürlükte Olan Mevzuat
Başta uluslar arası sözleşmeler ve direktifler olmak üzere bir çok mevzuat düzenlemesi vardır. Bunlardan en önemlisi, hiç şüphesiz 6698 Sayılı Kişisel Verilerin Korunması Kanunu olup, söz konusu bu kanunun yanı sıra, kanunu dayanak alarak çıkartılan pek çok yönetmelik, karar ve tebliğ mevcuttur. Öte yandan doğrudan kişisel verilerin korunmasıyla ilgili gözükmese de, pek çok farklı mevzuat hükmü de dolaylı yoldan kişisel verilerin korunması hukukuna ilişkindir. Mevzuat düzenlemelerini şu şekilde listelemek mümkündür:
- Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 Sayılı Avrupa Konseyi Sözleşmesi)
- Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol (181 Sayılı Ek Protokol)
- Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
- Kişisel Verilerin Korunması Kanunu
- Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği
- Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme ve Ünvan Değişikliği Yönetmeliği
- Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği
- Kişisel Verileri Koruma Uzmanlığı Yönetmeliği
- Veri Sorumluları Sicili Hakkında Yönetmelik
- Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
- Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği
Kişisel Verilerin Korunması Mevzuatının Kapsamına Giren Firmalar
7 Nisan 2016 tarihinde; 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmiştir. Bunun üzerine hangi firmaların bu kanun kapsamına girdiği önem kazanmıştır. Mapsama giren firmaların gerekli düzenlemeleri hangi tarihe kadar yapmaları gerektiğiyle ilgili bilgi kirliliği oluşmuştur.
6698 sayılı Kanunun 16 ncı maddesi bilanço büyüklüğü 25 milyon ve yıllık çalışan sayısı 50’den fazla olan şirketlere ayrıca Veri Sorumluları Sicil Bilgi Sistemine “VERBİS” sistemine kayıt ve veri envanteri çıkarmak gibi ilave yükümlülük getirilmiştir.
VERBİS, veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. VERBİS, veri sorumlularının kimler olduğunun kamuya açıklanmasına ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılmasının sağlanmasına hizmet etmektedir.
Kişisel Verileri Koruma Kurulu (KVKK) kararlarıyla kayıt yükümlülüğünden istisna tutulanlar hariç olmak üzere yıllık çalışan sayısı veya yıllık mali bilanço toplamı Kurulca belirlenmiş olan rakamların üstünde olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları için kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olup bu çerçevede kayıtlar devam etmektedir.
KVKK Şartlarını Sonradan Sağlayan Firmaların Durumu
Yukarıda sayılan şartları sağlamayan firmaların, sonradan söz konusu şartları sağlamaları da mümkündür. 50 çalışanı bulunmayan bir firmanın sonradan 50 çalışana ulaşması örnektir. Mevzuatın yürürlüğe girdiği dönemde yıllık mali bilanço toplamı 25 milyon Türk Lirası olmayan firmaların sonradan söz konusu bu bilanço rakamına ulaşması mümkündür.
Bu firmaların akıbeti Veri Sorumluları Sicili Hakkında Yönetmeliğin 8. maddesinde düzenlenmiştir.
Söz konusu madde hükmüne göre; kayıt yükümlülüğü altında bulunmayan ancak sonradan kayıt yükümlüsü haline gelen veri sorumlularının yükümlülük altına girmelerini müteakip otuz gün içerisinde sicile kaydolmaları zorunlu kılınmıştır.
Otuz gün, sicile kayıt ve kayıt öncesi yapılması gereken analizler bakımından oldukça kısadır. KVKK uyum sürecinin genelde 3 ile 7 ay arasında sürdüğü bilinmektedir. Normalde uyum süreci 7 aya kadar sürmektedir. Bunu otuz güne sığdırmaya çalışmak, işletmelere oldukça büyük bir yük getirecektir. Aynı zamanda teknik anlamda da oldukça zorlayıcıdır.
Bu nedenle, kanun koyucunun esas amacının, belirlenen şartları sağlamayan firmaların bile gerekli hazırlığı yapmaları ve şartlar sağlandığı anda hızlıca sisteme adapte olmalarını sağlamaktır. Bu nedenle söz konusu şartları sağlamayan firmaların dahi hızlı bir şekilde uyum süreçlerini atlatmaları ve ileride yapılacak sicil kayıtlarına ilişkin hazırlıklarını tamamlamış olmaları gerekmektedir.
Uyum süreciyle ilgili yapılması gereken iş ve işlemlere ilişkin detaylar, ileriki sayfalarda anlatılmıştır. Bu şartları sağlamadığını düşünerek söz konusu işlemlere başlamayan firmaların ileride söz konusu bu şartları sağlamaları halinde çok kısa bir sürede çok daha maliyetli şekilde uyum sürecini atlatmaları gerekecek olup, bu dönemde eksik veya hatalı işlem yapılması halinde oldukça ciddi zararlara uğramaları olasıdır.
KVKK mevzuatına aykırılık halinde oldukça ağır ve caydırıcı yaptırımlar düzenlenmiş bulunmaktadır.
Kişisel Verilerin Korunması Kanunu Şirketlere Hangi Sorumlulukları Yüklemektedir?
KVKK mevzuatına aykırılık halinde oldukça ağır ve caydırıcı yaptırımlar mevcuttur. 10. maddede kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişilere;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 1 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlü olduğu belirtilmiştir. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar idari para cezası mevcuttur.
6698 sayılı Kanunun 12 inci maddesinde veri güvenliğine ilişkin yükümlülükler belirlenmiştir. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında yaptırımlar mevcuttur. 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanacağı hükme bağlanmıştır.
Kurul tarafından verilen kararları yerine getirmeyenler hakkında idari para cezası mevcuttur. Bu tutarşar 25.000 TL’den 1.000.000 TL’ye kadardır.
Kişisel Verilerin Korunması Kanunu’nun 18 inci maddesinin (ç) bendinde, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulunca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hükmüne yer verilmiştir.
Bütün bu idari para cezalarının yanı sıra, veri sahiplerinin tazminat taleplerinde bulunabilmeleri de mümkündür.
Kişisel Verilerin Korunması Mevzuatı Kapsamında Neler Yapmak Gerekiyor?
1- Yapılması Gereken İşlerle İlgili Genel Bilgilendirme
6698 sayılı Kişisel Verilerin Korunması Kanunu şirketlere önemli mükellefiyetler yüklemektedir. Bu düzenlemelere uyum sağlamak başlı başına hukuki ve teknik bazı çalışmaların yapılmasını gerektirmektedir.
Söz konusu Kanun ile getirilen düzenlemelere uyma zorunluluğu tüm şirketler için geçerlidir. Cezalar çok yüksektir. Bu nedenle ileride telafisi mümkün olmayan yüksek ceza ve tazminatlarla karşılaşmamak açısından destek alınması şarttır.
Büromuz bünyesinde verilen hizmet 7 ayrı aşamadan oluşmaktadır. Söz konusu aşamalar şunlardır:
- İş Süreçlerinin Analizi Aşaması
- VERBİS Sistemine Kayıt Aşaması
- Envanter Çıkartılması Aşaması
- Eğitim Aşaması
- Dökümantasyon Düzenleme Aşaması
- Teknik Altyapı Düzenleme Aşaması
- Fiili Durum ve Süreç Düzenlemeleri Aşaması
Tüm aşamalara ilişkin detaylı bilgilendirme ayrı başlıklar altında açıklanacaktır.
2- İş Süreçlerinin Analizi Aşaması
Bu aşama, KVKK uyum sürecinin belki de en önemli aşamalarından bir tanesidir. Firmanın iş süreçlerinin adeta röntgeni çekilmektedir. İş süreçlerinin birim ve kişi bazında akışı ortaya çıkartılmaktadır. Bu aşamada yapmanız gereken işler şu şekildedir:
- İş süreçlerinin ana hatlarıyla belirlenmesi
- İş süreçlerinin departman bazında belirlenmesi
- İş süreçlerinin iç işleyiş bakımından belirlenmesi
- İş süreçlerinin dış faktörlerle etkileşimi bakımından belirlenmesi
- İş süreçlerinin haritalandırılması
- Teknik altyapının analizi
- Veri akışlarının iş süreçlerine uygun şekilde belirlenmesi
- Veri akışı haritasının düzenlenmesi
- Veri akışı haritasına göre fiili durumda veriye erişen departman ve çalışanların belirlenmesi
- Veri akışı haritasına göre verileri sisteme dahil olan üçüncü kişilerin belirlenmesi ve haritalanması
- Haritalara göre işletmenin mevcut durumunun ve mevzuat karşısındaki boşlukların raporlanması
- Veri erişim tablolarının oluşturulması
- Mevzuata uygunluk değerlendirmesi
- Risk değerlendirme raporunun oluşturulması
- Yönetmelik uyarınca tüm iş süreçleri ve veri akışının bağımsız şekilde analizi ve rapor haline getirilmesi. (Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik)
- Saklanacak verilerin belirlenmesi
- Bir süre sonra imha edilecek verilerin belirlenmesi
- Veri kategorilerinin genel hatlarıyla belirlenmesi
- Mevzuatta zorunlu kılınan VERBİS kaydına ve envanter çıkartmaya uygun halde veri tabanının oluşturulması
- İç politika metninin düzenlenmesi ve yayınlanması
3- VERBİS Sistemine Kayıt Aşaması
Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları bir sistemdir. Sorumlular, veri işleme faaliyetleri ile ilgili bilgileri buraya kaydetmektedir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması şarttır. Bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir. Mevzuatın aradığı ve tarih sınırı koyarak kayıt zorunluluğu düzenlediği şekli süreç VERBİS sistemine kayıt sürecidir.
- İş süreçlerinin VERBİS sistemindeki kategorizasyona uygun şekilde analiz edilmesi
- Veri akışı süreçlerinin VERBİS sistemindeki kategorizasyona uygun şekilde analiz edilmesi
- Analiz edilen süreçlerin VERBİS sistemine uygun halde sıralanması ve sistemin aradığı diğer niteliklerin belirlenmesi
- KVK kurumu ile iletişim sağlamak için veri sorumlusu irtibat kişisinin belirlenmesi
- Kişisel verilerin hangi amaçla işleneceğinin belirlenmesi
- Veri tanımlamalarının yapılması
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaların belirlenmesi
- Kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarının belirlenmesi
- Yabancı ülkelere aktarımı öngörülen kişisel verilerin belirlenmesi
- Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresinin belirlenmesi
- Nihai veri haritasının çıkartılması (Cartographie / Data Mapping)
- Tüm bilgilerin uygun şekilde VERBİS’e kaydının sağlanması
- Yasanın aradığı kayıt süresinden önce VERBİS sistemine tüm süreçlerin doğru bir biçimde girilmesi
4- Envanter Çıkartılması Aşaması
Kanunun 16. maddesine göre; Veri Sorumluları Sicilinin kamuya açık olarak tutulması gerekmektedir. Bunun yanı sıra kişisel verileri işleyen gerçek ve tüzel kişiler Veri Sorumluları Siciline kaydolmak zorundadır. Ayrıca Sicile kayıtta girilmesi gereken bilgiler de açık bir şekilde sayılmıştır.
Buna göre, Sicile kayıtta veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin giriş yapılması gerekmektedir.
Sicil kamuya açıktır. Bu yüzden VERBİS’e sadece kategoriler halinde bilgiler girmekte fayda vardır.
Envanter ve VERBİS Arasındaki Farklılıklar Nelerdir?
Envanter ve VERBİS, bazı noktalarda farklılıklar arz etmektedir.
a) VERBİS’te, “veri kategorileri” bazında veri sorumlusu tarafından kişisel veri işlenip işlenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, varsa saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgi girişi yapılması gerekirken;
Envanterde veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetleri bazında elde ettiği belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda işlenen kişisel verilerin her biri için ayrı ayrı olmak üzere hangi amaç ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri bilgisini içeren ve çok daha detaylı olarak hazırlanan bir rapor olması gerekir.
VERBİS’te sadece başlıklar halinde kategorik bazda bilgi girişi mümkündür. Envanterde ise bu verilerin, alt kırılımlarıyla birlikte detaylı şekilde yer alması gerekmektedir.
b) VERBİS için bir sistem hazırlanmış ve ilgili ekranlardan giriş yapılması zorunlu tutulmuştur. Envanterin şekli açısından herhangi bir yönlendirme yapılmamıştır. Envanter, örneğin office dosyası şeklinde veya veri tabanında ilgili dosyalarda
Bütün bu bilgiler ışığında envanter aşamasıyla ilgili yapılacak işlemler şu şekilde özetlenebilmektedir:
- VERBİS’e yapılacak girişten bağımsız, envanter listesi çıkartmaya uygun iş süreçlerinin bağımsız şekilde detaylı analiz edilmesi
- Belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda işlenen kişisel verilerin her birinin listelenmesi
- Amaç ve hukuki gerekçelerin listelenmesi
- Analiz edilen süreçlerin, firmanızın ilgili birimlerinden teyit alınarak sıralanması ve mevzuatın aradığı diğer niteliklerin belirlenmesi
- Veri aktarımı olup olmadığının tespiti,
- Veri aktarımı yapılan üçüncü tarafların listelenmesi,
- Veri saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirlerinin listelenmesi
- Yasanın aradığı sistematiğe uygun şekilde envanterin hazırlanarak firmanız bünyesinde saklanması
5- Eğitim Aşaması
Kişisel verilerin korunması hukukuna ilişkin olarak tüm teknik ve hukuki altyapının düzenlenmesi dahi, firmaları ve işletmeleri yüzde yüz bir şekilde güvence altına almamaktadır. Nitekim bu süreç, tüzel kişilerin dikkat etmesi ve özen göstermesi gereken ve fiili olarak sürekli kontrol etmesi gereken bir uyum sürecidir.
Bütün dökümantasyon ve kayıt işlemleri tamamlanmış dahi olsa, hatta teknik altyapı da düzgün bir biçimde kurulmuş dahi olsa, çalışanların ve yönetici kadrosunun kişisel verilerin korunması hukuku kapsamında eğitim görmemiş olması ve bilgisiz olması halinde, işverenler bakımından risk her zaman devam edecektir. Bu süreç, tıpkı İş Sağlığı ve Güvenliği sürecine benzemektedir. Oluşacak risk faktörleriyle ilgili sınırsız sayıda örnek vermek mümkündür.
Verilebilecek en temel örneklerden bir tanesi; işyerinde video kamera uygulamalarıdır. İşyerinde kamera kullanımının hukuka ve dürüstlük kuralına uygun olması gerektiği açıktır . Hatta gizli kamerayla yapılan çekimler delil olarak kullanılamaz. Aksine TCK bağlamında şikayet ve dava konusu dahi olabilir. Belirli, açık ve meşru amaç için video kayıtlarının işlenmesi ise mümkündür. Örneğin, iş sağlığı ve güvenliği veya genel güvenlik meşru gerekçeler olarak kabul edilebilir. Ancak bir müşterinin video kamera kayıtlarına bakma talebi bile KVKK kapsamında işletme için risk yaratabilir.
Bir başka örnek; güvenlik görevlisinin bir ziyaretçinin ya da müşterinin kimliğinizi alması haline ilişkindir. Bu kimlik kartının kaybolması ve kimlik kartı ile bir telefon hattı çıkarılabilecektir. Bu durumda ne olacağı düşünülmelidir. Bu tip durumlarda yine işletmelerin ve firmaların KVKK kapsamında sorumluluğunun doğması mümkün olabilecektir.
Tüm şekli şartlar yerine getirilmiş olsa dahi, bilinçli bir yönetim ve çalışan kadrosu olması gerektiği açıktır. Büromuz bünyesinde üniversite öğretim görevlisi sıfatıyla konuya ilişkin kapsamlı eğitim verilmektedir.
- Çalışanlar için 2 saatlik Kişisel Verilerin Korunması Hukuku eğitimi
- Yöneticiler için 2 saatlik Kişisel Verilerin Korunması Hukuku eğitimi
6- Dökümantasyon Düzenleme Aşaması
Kişisel Verilerin Korunması Kanunu, şirketlerin sözleşmesel altyapılarını da gözden geçirmesini gerektiriyor. Borçlar Hukuku, Tüketici Hukuku, Ticaret Hukuku veya İş Hukuku kapsamındaki tüm sözleşmelerinin gözden geçirilmesini gerektirmektedir. Öte yandan şirket bünyesinde çeşitli protokol ve talimatnamelerin oluşturulması şarttır. Ayrıca rıza beyannameleri ve formlarının oluşturulması gerekmektedir. Bunun yanı sıra envanter dökümlerinin hazırlanması dahi bir çok konuda çalışma ve hazırlık yapılması gerekmektedir. Büromuz bünyesinde bu konuda verilen hizmetler şu şekilde özetlenebilmektedir:
- Veri envanterinin muhafazaya hazır hale getirilmesi
- Veri envanteri risk değerlendirme raporunun muhafazaya hazır hale getirilmesi
- İç işleyişe ilişkin yetki, görev ve sorumluluklara ilişkin dökümantasyonun hazırlanması
- Kişisel verilerin erişimiyle ilgili protokollerin hazırlanması
- Veri işleme biçimiyle ilgili protokollerin hazırlanması
- Veri saklanması, paylaşımı ve imhasına ilişkin protokollerin hazırlanması
- Yönetim politikasının hazırlanması
- Risk değerlendirme raporunun yayınlanması
- Tüm birimler için ayrı ayrı KVKK protokolleri ve talimatnamelerinin hazırlanması
- Şirket ana sözleşmesinin değerlendirilmesi
- İş sözleşmesi şablonlarının oluşturulması
- Mevcut iş sözleşmelerinin tadili veya ek sözleşme metinlerinin düzenlenmesi
- Müşteri sözleşmesi şablonlarının oluşturulması
- Mevcut müşteri sözleşmelerinin tadili veya ek sözleşme metinlerinin düzenlenmesi
- Tedarikçi sözleşmesi şablonlarının oluşturulması
- Mevcut tedarik sözleşmelerinin tadili veya ek sözleşme metinlerinin düzenlenmesi
- Kira sözleşmesi şablonlarının oluşturulması
- Mevcut kira sözleşmelerinin tadili veya ek sözleşme metinlerinin düzenlenmesi
- Her türlü diğer sözleşme şablonlarının oluşturulması
- Ayrıca diğer sözleşmelere ilişkin tadil düzenlemelerinin ayarlanması
- Rıza ve aydınlatma formlarının oluşturulması
- Aydınlatma metinlerinin hazırlanması
- Çalışanlara yönelik aydınlatma ve bilgilendirme talimatnamesinin hazırlanması
- Registration Card’lar da dahil olmak üzere firma bünyesinde tutulan tüm formların tadili
- Mevcut müşteriler bakımından tüm formlara ek formlar düzenlenmesi
- Veri paylaşım ve transfer sözleşmeleri hazırlanması
- Bilgi edinme başvuru formları ve cevap şablonlarının hazırlanması
- Diğer tüm dökümantasyon işlemleri
7- Teknik Altyapı Düzenleme Aşaması
Firma bünyesinde kullanılan tüm bilgi işlem sistemleri, otomasyon sistemleri, muhasebe sistemleri güncellenmelidir. Bunlar ve benzeri teknik sistemlerin güncellenmesi ve KVKK mevzuatına uygun hale getirilmesi gerekmektedir. Bu uğurda büromuz bünyesinde yapılan çalışmalar şu şekilde özetlenebilmektedir.
- Mevcut sistemlerin analizi
- Sistem boşluklarına ilişkin ön rapor hazırlanması
- Erişim yetkilerine ilişkin ön rapor hazırlanması
- 2 rapor uyarınca mevcut sistemlerin düzenine ilişkin değerlendirme raporu hazırlanması
- Sistemlerin teknik olarak düzenlenmesi ve erişim yetkilerinin protokol ve iç politikaya göre düzenlenmesi
- Bulut sistemleri ve yurt dışı veri çıkış analizlerinin yapılması
- Bulut sistemleri ve yurt dışı veri çıkışlarının mevzuata uygun hale getirilmesi
8- Fiili Durum ve Süreç Düzenlemeleri Aşaması
Bütün çalışmaların ardından firmanın iç işleyişiyle ilgili fiili durumun ve tüm süreçlerin değerlendirilmesi şarttır. Öte yandan tüm süreçlerin KVKK’ya uygun hale getirilmesi gerekmektedir. Bu işlemler oldukça uzun bir zaman almaktadır. Tüm iş işleyişlerinin düzenli ve sistematik bir şekilde kontrol edilmesiyle tamamlanmaktadır.
Aşağıda sayılı işlemleri titizlikle yapmaktayız:
- İdari ve teknik altyapının düzenlenmesi,
- Erişim yetkisine ilişkin prosedürlerin hazırlanması (laptop, kamera, telefon, internet, e-mail kullanım prosedürleri gibi.)
- Politika, talimat ve form gibi gerekli dökümanların ve benzerlerinin hazırlanması ve yayınlanması,
- İdari süreçlerin mevzuata uygun hale getirilmesi,
- Sonuç olarak müşterilerin ve diğer tüm veri sahiplerinin bilgi edinebileceği yolların düzenlenmesi ve yayınlanması,
- Tüm süreçlerin tekrar düzenlenmesi ve mevzuata uygun hale getirilmesi.
Kişisel Verilerin Korunması Danışmanlığı için büromuzla iletişime geçebilirsiniz.