Şirket Veri Sorumlusu ise aşağıdaki işlemleri uygulayarak Kişisel Verileri Korunma Kanunu Uyum Sürecini Yürütebilmektedir.
Uyumda Yapılacak İşlemler:
- Kişisel Veri Envanterinin Çıkarılması
- Kurumun Veri Sorumlusu olarak Verbis’e kaydettirilmesi
- Kurumun İrtibat kişisinin belirlenerek Verbis’e kaydettirilmesi
- Kurumda Envanter ile Belirlenen Kişisel verilerin Verbis’e Bildirilmesi
- Aydınlatma Metninin Hazırlanması
- Açık Rıza Beyanı Formunun Hazırlanması
- İlgili Kişi Başvuru Formunun Hazırlanması
- Cookie ve Çerez Politikasının Hazırlanması
- Kamera Kayıt Sistemleri Aydınlatma Metninin Hazırlanması
- Fiziksel Verilerin Saklandığı Arşiv Odasının Güvenliğinin Sağlanması
- Network ve Elektronik Veri Güvenliğinin Sağlanması
- Sızma Testlerinin Yapılması
- Kurum içinde işlenen kişisel verilerin güvenliğinin sürekli sağlanması
Öncelikle bu aşamalar aşağıdaki şekilde özetlenebilir:
- Veri Sorumlusu Atanması
- Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt
- Aydınlatma Metni ve Politikaların Hazırlanması
- Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi
- Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması
1-Veri Sorumlusu Atanması
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu ilgili kişilere, işlenen verilerin hangi amaçla aktarılacağı, verilerin toplanmasının hukuki sebebini ve ilgili kişilerin hakları hakkında bilgi vermekle yükümlüdür. Mevzuat uyarınca fazlaca yükümlülüğü olan veri sorumlusunun tayin edilmesi uyum sürecinin hızlanması için önemlidir.
2-Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt
Veri envanteri hazırlanması hem VERBİS sistemine kayıt için hem de veri işleme ve imha politikası hazırlanmasında veri sınıflandırılması oluşturulması adına önemlidir. Veri envanteri veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir. Her şirket kendi bünyesinde ve kendi faaliyetiyle ilgili olarak toplanan, işlenen verilerle ilgili detaylı bilgi envanteri oluşturmak zorundadır.
Kişisel veri işleme envanteri, veri sorumlusunun hangi amaçlar için, hangi tür kişisel verileri, hangi zaman süresince, hangi işlemleri yaptığını ve varsa başka hangi kişilerle paylaştığını gösteren bilgilerdir.
Envanterin kendisi de bir veri tabanı olacağından envanterin oluşturulmasından sonra envantere uygun şekilde kişisel verilerin silinmesi ya da anonimleştirilmesi süreci önemlidir.
Envanter sadece dijital verileri kapsamamaktadır. İnsan kaynaklarınca tutulan başvuru formları ya da kâğıt üzerinden toplanan bir kayıt sisteminin parçası olan tüm kişisel verileri de kapsamaktadır.
3- Aydınlatma Metni ve Politikaların Hazırlanması
Envanterin hazırlanması ardından tespit edilerek sınıflandırılan verilerle ilgili aydınlatma metni ve politikaların hazırlanmasına gerekir.
Şirketlerin kişisel verilerini tuttukları ve/veya tutmaları gereken kişilere bu verileri ne amaçla ve hangi verileri tuttuklarını aynı zamanda, nasıl sakladıklarını ne kadar süre sakladıklarını veri sorumlusunun kim olduğunun duyurulması amacıyla Aydınlatma Metni hazırlanır ve şirketlerin internet sitelerinde bu metin yer alır.
Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası hazırlama yükümlülüğü vardır. Kişisel veri saklama ve imha politikası, veri sorumlusunun işlenen kişisel verilerle ilgili azami işleme sürelerini gösteren belgedir. Bu belge hazırlanırken veri sorumlusu sakladıkları tüm verilerinin bir analizi yapılmaktadır. Analiz sonucunda hangi verilerin kişisel veri olduğu ya da olabileceği belirlenmelidir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli, (adres bilgileri, telefon görüşme kayıtları vb.) ve her kategori için işlenebilecek azami süre bulunmalıdır.
Azami süre belirlenirken veri için kişinin açık rızası var ise, açık rızanın alınması sırasında ilgili kişiye verilen bilgilerdeki süreye dikkat edilmelidir. Önemli diğer nokta ise, her verinin saklama süresinin veri türüne göre değişkenlik göstereceğidir.
Ayrıca, şirketlerin tüm sözleşme altyapılarının da gözden geçirilmesi gerekmektedir.
4- Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi
Mevzuat uyarınca kişisel veriler ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.
Kanunun yayın tarihinden önce elde edilmiş kişisel verilerin, en geç 2 yıl içerisinde, kanunda belirtilen koşullara uygun hale getirilmelidir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
5- Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması
Veri envanteri hazırlanarak sınıflandırılan verilerle ilgili olarak, verilerin hukuka uygun işlenmesini sağlamak, güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı erişimi engellemek adına her türlü idari ve teknik tedbir alınması veri sorumlusunun yükümlülüğüdür.
Bu tedbirlerin akabinde şirketlerin kendi bünyesinde denetim yapmaları veya yaptırmaları ve denetim sonuçlarını ilgili birime raporlayarak tedbirlerin iyileştirilmesini sağlamak gerekmektedir.
Bunun yanı sıra şirketlerin iş birimlerine, iş ortaklarına ve tedarikçilerine gerekli eğitimler düzenleyerek farkındalık sağlamaları önemli bir diğer noktadır.
Yol haritasında dikkat edilmesi gereken husus ise, her şirketin kendi faaliyetine göre farklılık gösterebileceğidir. Gerektiğinde Hukuki Danışmanlık alınmasında fayda bulunmaktadır.
Kaynak: https://dergipark.org.tr/tr/
İlginizi çekebilir: https://www.nesilteknoloji.com/is-basvurusu-surecinde-islenen-kisisel-verilerin-hukuka-aykiri-olarak-paylasim-yapilmasi/