KVKK Uyum Sürecinde Yapılması Gerekilenler

Veri Sorumlusu aşağıdaki adımları takip ederek KVKK uyum sürecini başlatabilir.

KVKK Uyum Sürecinde Yapılanlar

1. Kişisel Veri Envanterinin Çıkarılması
2. Kurumun Veri Sorumlusu olarak VERBİS’e kaydettirilmesi
3. Kurumun İrtibat kişisinin belirlenerek VERBİS’e kaydettirilmesi
4. Kurumda Envanter ile Belirlenen Kişisel verilerin VERBİS’e Bildirilmesi
5. Aydınlatma Metninin Hazırlanması
6. Açık Rıza Beyanı Formunun Hazırlanması
7. İlgili Kişi Başvuru Formunun Hazırlanması
8. Cookie ve Çerez Politikası’nın Hazırlanması
9. Kamera Kayıt Sistemleri Aydınlatma Metninin Hazırlanması
10. Fiziksel Verilerin Saklandığı Arşiv Odasının Güvenliğinin Sağlanması
11. Network ve Elektronik Veri Güvenliğinin Sağlanması
12. Sızma Testlerinin Yapılması
13. Kurum içinde işlenen kişisel verilerin güvenliğinin sürekli sağlanması

Bu aşamaları 5 başlık altında toplayıp açıklamak gerekirse bunlar:

Veri Sorumlusu Atanması

Veri sorumlusu; kişisel verileri işleyen, saklayan ve aktaran gerçek veya tüzel kişilere denir. Veri Sorumlusu; ilgili kişiye kişisel verilerinin aktarılma ve işlenme nedenlerini, saklanma süresini ve hukuki haklarını anlatmakla yükümlüdür. KVKK Uyum süreci, Veri sorumlusunun atanmasıyla hız kazanır.

Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt

Veri Envanteri; işlenen verilerin kategorileri, verinin nereden toplandığı, işlene verilerin hangi birim tarafından işlendiği, işleyen birimin işleme nedenini ve hukuki dayanağı, işlenen verilerin saklanma süreleri, verilerin yurt dışına aktarılıp aktarılmadığı gibi bilgiler ile kişisel verilerin sınıflandırılması için oluşturulur. Ayrıca envanterde sadece dijital verileri içermez. Kâğıt üzerinde toplanan veriler de envantere dahil edilmesi gerekir.

Envanter Veri Sorumluları Sicil (VERBİS) kaydı sırasında ve “Veri İşleme ve İmha Politikası” hazırlanmasında yardımcı olur. Her firma veri envanteri hazırlamakla yükümlüdür.

Aydınlatma Metni ve Politikaların Hazırlanması

Veri sorumlusu, ilgili kişinin kişisel verilerini toplamadan önce ilgili kişiyi bu konuda uyarması gerekir. Örneğin bir binada güvenlik kamerası varsa ilgili kişinin kişisel verisi olarak görüntüsünü kaydettiği anlamına gelir. Bu yüzden veri sorumlusu bina girişine kamera olduğuna dair uyarı levhası asmak zorundadır.

Firmalar, web sitelerine ilgili kişileri uyarmak amaçlı Aydınlatma Metni koymak zorundadır. Metin içerisinde hangi kişisel verilerin ne için toplanacağı, ne kadar süre saklanacağı bilgisi içermelidir.

Veri Sorumluları ayrıca “Kişisel Veri Saklama ve İmha Politikası” hazırlamakla yükümlüdür. Politikada işlenen kişisel verilerin azami işleme sürelerini içeren bir belgedir. Bu yüzden belge hazırlanırken Veri Sorumlusu saklanan tüm verilerin analizini oluşturmak zorundadır. Analiz sonucunda hangi verilerin kişisel veri olduğu ya da olabileceği belirlenmelidir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli, (adres bilgileri, telefon görüşme kayıtları vb.) ve her kategori için işlenebilecek azami süre bulunmalıdır.

Azami süre hesaplanırken ilgili kişiden alınan açık rıza sırasında belirtilen süre dikkate alınması gerekilir. Ayrıca verinin kategorisine göre saklama süresinde değişkenlikler olur.

Bu yüzden firmaların tüm sözleşme altyapılarını da gözden geçirmesi gerekir.

Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi

Mevzuata göre kişisel veriler sadece ilgili kişiyi aydınlatarak alınan açık rıza sayesinde veri işlenebilir. Bu yüzden aydınlatma sırasında hukuki çerçevede belirlenen saklama süresi ve amacı dışarısına çıkılması durumunda yaptırımla karşılaşılmasına neden olur.

Kanundan önce toplanmış kişisel veriler, Kanunun yürürlüğe girdiği tarihten (2016) sonraki 2 yıl içerisinde saklama koşullarının kanuna uygun hale getirilmesi zorunludur. Aksi halde veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması

Kişisel verilerin hukuka uygun şekilde işlenmesini denetlemek, saklama ortamlarının güvenliği, yetkisiz erişiminin engellenmesi gibi idari ve teknik alanındaki tedbirlerin alınması Veri Sorumlusunun yükümlülüğündedir.

Bu tedbirlerin yanı sıra firmalar bünyelerinde denetim yapmalı ve aykırı bir durumda yaptırım uygulamalıdır. Ayrıca bu denetimlerin sonuçlarını ilgili birimlere raporlayarak tedbirlerin geliştirilmesi sağlanmalıdır.

Firma ayrıyeten iş birimlerine, iş ortaklarına ve tedarikçilerine eğitimler düzenleyerek veri güvenliği kültürünü canlı tutması gerekir.

KVKK Uyum Danışmanlığı teklifi veya Denetim teklifi için buraya tıklayınız

Kişisel Verileri Koruma Kurumu

İçerik Üretici
Zeynep GÜLBAY
Nesil Bilişim Teknolojileri Tic. A.Ş.