KVKK uyum sürecinin başarılı şekilde tamamlanması, şirketlerin hukuki risklerini azaltmak ve müşterilerin güvenini kazanmak açısından önemlidir. KVKK uyum sürecinin işleyişi, şirketin büyüklüğüne, faaliyet alanına ve iş süreçlerine bağlı olarak değişebilir. Bu nedenle, uyum sürecini şirketin şahsi ihtiyaçlarına göre özelleştirmek önemlidir. Süreç yönetiminde öncelikli olarak şirket bünyesinde işlenmekte olan kişisel verilerin neler olduğunu ve bu verilerin nasıl işlendiğini belirlemek, bu verileri niteliklerine göre sınıflandırarak bir kişisel veri envanteri oluşturmak gerekmektedir. Ancak Envanter oluşturabilmek için ise uyum sağlayacağınız mevzuat hakkında, en azından süreç yönetiminin gerektirdiği ölçüde bilgilenmek gerekecektir. Bu nedenle personeli bilgilendirerek, Veri Hukukuna ilişkin temel bilgi ve kavramlara hakimiyeti sağlamak, yani genel anlamda bu hususta şirket bünyesinde bir bilinç oluşturulması gerekmektedir. Süreç işleyişinin en sağlıklı şekilde ilerletilebilmesi için izlenilecek adımlar:
1.Personelin Bilinçlendirilmesi ve Eğitim:
Personele KVKK’nın ne olduğu, kişisel verilerin ne anlama geldiği, KVKK’nın temel prensipleri ve şirket içindeki uygulanışı hakkında bilgiler içeren eğitimler aldırılmalıdır. Bu sayede şirket bünyesinde genel bir bilinç düzeyinin oluşması sağlanacaktır.
2.Veri Envanteri Oluşturulması:
Veri sorumlularının, şirketin veri işleme faaliyetlerine ilişkin bütün detayları içeren bir envanter oluşturması KVKK kapsamında bir zorunluluktur. Aynı zamanda envanter oluşturulması KVKK’ya uyumun sağlanması ve kişisel verilerin korunması açısından da önem arz etmektedir. Kişisel veri envanteri, bir şirketin işlediği kişisel verilerin tamamını kapsamalıdır. Bu nedenle envanter, çalışanların, müşterilerin, tedarikçilerin ve diğer üçüncü kişilerin kişisel verilerini içerebilir. Envanterde kişisel verilerin hangi amaçla işlendiği, hangi kaynaklardan elde edildiği, hangi yöntemlerle işlendiği ve hangi süreyle muhafaza edildiği belirtilmelidir.
3.Kişisel Verilerin Korunmasına Yönelik Şirket Politikası ve Prosedürlerinin Oluşturulması:
Kişisel verilerin korunmasına yönelik şirket politikası, şirketin kişisel verileri nasıl işleyeceğini ve koruyacağını açıklayan bir belgedir. Veri envanterinin oluşturulması ile birlikte tüm veri işleme faaliyetleri gözden geçirilecektir. Ardından işlenmekte olan verilerin korunması adına KVKK’ya uygun olarak, güvenlik politikaları oluşturulması ve bu politikaların uygulanmasını sağlamak amacıyla prosedürler geliştirilmesi gerekecektir. Kişisel Verilerin korunmasına yönelik politika, KVKK’nın temel ilkeleri olan; kişisel verilerin işlenmesinde şeffaflık, adalet, hukuka uygunluk, gereklilik ve ölçülülük ilkelerine uygun olmalıdır. Politika, açık ve anlaşılır bir dilde yazılmalıdır. Politikanın, şirketin tüm çalışanları tarafından kolayca anlaşılabilmesi önemlidir.
4.Veri İşleme Faaliyetlerinde Hukuki Temellendirmenin Sağlanması:
Veri işleme faaliyetleri, Kişisel Verilerin Korunması Kanunu (KVKK) ve benzeri düzenlemelere uygun olarak gerçekleştirilmelidir. Bu faaliyetler öncesinde, verilerin işlenme amacı net bir şekilde belirlenmeli ve bu faaliyetler hukuki temellendirmeye dayalı, sınırlılık, gereklilik ve ilgililik ölçütleri dahilinde gerçekleştirilmelidir.
5.İlgili Kişi Haklarının Korunmasına Yönelik Prosedürler Hazırlanması:
Şirket veri sorumlusu sıfatıyla, İlgili kişilere karşı, Kişisel Verilerin Korunması Kanunu (KVKK) ve benzeri düzenlemelere göre belirlenmiş bir dizi sorumluluğa sahiptir. Veri sorumlusunun İlgili kişiye karşı sorumlulukları: Bilgilendirme ve Aydınlatma, Açık Rıza Alma, Veri güvenliğinin sağlanması, İhlal bildirimi yükümlülüğü, Veri işlenmesini gerektiren sebebin ortadan kalkması halinde Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde sıralanabilir. KVKK uyum sürecinin sağlıklı bir şekilde ilerleyebilmesi için şirketlerin bu hususlara yönelik politika ve prosedürleri düzenleme altına alması gerekmektedir.
6.Veri Güvenliğinin Sağlanmasına Yönelik Politika ve Prosedürler Hazırlanması:
Şirket veri sorumlusu sıfatıyla, kişisel verilerin korunması için gerekli teknik ve idari önlemleri almakla yükümlüdür. Veri güvenliğinin sağlanması amacıyla gerekiyorsa şirkete, şirket içinde KVKK’ya uyumu yönetmek ve denetlemekle sorumlu bir Veri Koruma Görevlisi (DPO) atayabilir. Eğer şirket dış kaynaklı hizmet sağlayıcılarla çalışıyorsa, bu sağlayıcılarla yapılan anlaşmalarda KVKK uyumluluğu için gerekli düzenlemeleri yapmalıdır. Ayrıca şirket veri güvenliğinin sağlanması amacıyla Gizlilik ve Veri Güvenliği Politikaları oluşturmalı, düzenli aralıklarla veri güvenliği denetimleri yapmalıdır.
KVKK uyum sürecinin başarılı bir şekilde tamamlanabilmesi için şirketlerin yukarıda belirtilen tavsiyelere uymaları gerekmektedir. Şirketlerin Kişisel Verilerin korunmasına yönelik politika ve prosedürlerini hem şirketin ihtiyaçları hem de değişen mevzuat hükümleri doğrultusunda güncel tutmaları ve bunların düzenli aralılarla denetimini yapmaları gerekmektedir. Uyumluluk süreci ve süreç yönetiminde izlenecek yol pek tabi şirketin ihtiyaçları özelinde farklılık gösterecektir. Bu nedenle uyum sürecinde şirketin ihtiyaçlarının doğru şekilde belirlenmesi, KVKK’ya aykırılığın oluşmaması ve sürecin sağlıkla ilerleyebilmesi için önem teşkil edecektir. KVKK’ya aykırılık hali idari ve cezai yaptırımlara tabi tutulmuştur. Ancak KVKK’ya uyum ve veri güvenliliğinin sağlanması hususları yalnızca bu yaptırımlardan kaçınmak meselesi olmaktan çıkmış ve adeta Şirket kalitesini ve itibarını belirleyen bir ölçüt ve bir kültür haline gelmiştir.
Av. Miray KEBABCI
Siz de fikrinizi belirtin