6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de faaliyet gösteren tüm işletmelerin kişisel veri işleme faaliyetlerini belirli kurallara bağlamaktadır. Kanun'un yürürlüğe girmesiyle birlikte veri sorumlusu sıfatını taşıyan her kurum ve kuruluş, kapsamlı bir uyum süreci yürütmek zorundadır. Bu sürecin ihmal edilmesi hem KVKK m.18 kapsamındaki idari para cezalarına hem de itibar kaybına neden olabilir.
Envanter ve VERBİS Kaydı
Uyum sürecinin ilk adımı, işletmenin mevcut veri işleme faaliyetlerinin envanterinin çıkarılmasıdır. Veri Sorumluları Sicili'ne (VERBİS) kayıt yükümlülüğü kapsamında hangi kişisel verilerin toplandığı, hangi amaçla işlendiği, kimlere aktarıldığı ve ne kadar süre muhafaza edildiği detaylı olarak belgelenmelidir. Bu envanter çalışması, işletmenin veri işleme pratiklerinin tamamını gözler önüne serer ve eksikliklerin tespitine olanak tanır. Özel nitelikli kişisel veri işleyen işletmeler için VERBİS kaydı, hassas eşik fark etmeksizin gündeme gelir.
Aydınlatma Metinleri
Aydınlatma yükümlülüğü, KVKK m.10 ve m.11 kapsamında veri sorumlularının en temel görevlerinden biridir. Kişisel verileri işlenen ilgili kişilerin, verilerin hangi amaçla işlendiği, kimlere aktarılabileceği ve hakları konusunda açık ve anlaşılır biçimde bilgilendirilmesi gerekir. Web siteleri, iş başvuru formları, müşteri sözleşmeleri ve çalışan bilgilendirme metinleri gibi tüm temas noktalarında aydınlatma metinlerinin hazırlanması zorunludur.
Açık Rıza Tasarımı
Açık rıza mekanizmalarının doğru şekilde kurgulanması, uyum sürecinin en hassas noktalarından birini oluşturur. KVKK m.5'te belirtilen işleme şartlarına dayanılmadan gerçekleştirilen veri işleme faaliyetleri için ilgili kişinin özgür iradesiyle verdiği açık rızanın alınması şarttır. Açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması gerekir. Genel nitelikli veya zorla alınan onaylar hukuken geçersiz sayılır.
Teknik ve İdari Tedbirler
Teknik ve idari tedbirlerin alınması, KVKK m.12 kapsamında kişisel verilerin güvenliğinin sağlanmasında kritik role sahiptir. Erişim kontrolleri, şifreleme, log kayıtları, düzenli güvenlik testleri ve veri ihlali müdahale planı gibi teknik önlemler alınmalıdır. İdari açıdan ise çalışan eğitimi, gizlilik sözleşmeleri, veri işleme politikalarının yazılı hale getirilmesi ve düzenli iç denetim mekanizmalarının kurulması gerekir.
Sürekli Program
Sonuç olarak KVKK uyum süreci bir defaya mahsus bir proje olarak değerlendirilmemeli, sürekli bir yönetim süreci olarak ele alınmalıdır. Mevzuatta yapılan değişiklikler, Kişisel Verileri Koruma Kurulu kararları ve işletmenin büyümesiyle birlikte ortaya çıkan yeni veri işleme faaliyetleri, uyum programının düzenli olarak güncellenmesini zorunlu kılar. Bu dinamik yapıyı yönetebilmek için işletmelerin bir veri koruma görevlisi ataması veya bu konuda uzman bir hukuki danışmandan destek alması tavsiye edilmektedir. Ofisimiz; VERBİS kaydı, aydınlatma metni hazırlığı, Veri Etki Değerlendirme dokümantasyonu ve Kişisel Verileri Koruma Kurumu nezdindeki süreçlerde müvekkillere destek vermektedir.