6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlandı. Kanun veri güvenliğine farklı bir bakış açısı getirerek yeni kavramları hayatımızda yer edinmesini sağladı. Bunlardan en dikkat çekenler Veri Sorumlusu, VERBİS ve Açık Rıza’dır.
Veri Sorumlusu Atanması
Kişisel verilerin işlenme amaç ve araçlarına karar veren ve veri toplama sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak adlandırılmaktadır. Mevzuata göre birçok sorumluluğu üstlenen veri sorumlusunun atanması uyum sürecinin hız kazanmasını sağlar.
Veri Envanterinin Hazırlanması ve Veri Sorumlusu Siciline Kayıt
Veri işleme ve imha yönergeleri oluşturulurken veri kaydı oluşturmak önemlidir. VERBİS’e kayıt olmak ve veri sınıflandırmaları oluşturmak için veri kaydı gereklidir. Böylelikle, kişisel verileri işleme amacını, veri kategorisini ve amaca ulaşmak için gereken süreyi; aktarım alıcı grubuna ve veri sahibi grubuna atadığınızda oluşturulan listeyi ifade eder, eğer varsa başka kimlerle paylaştığını gösterir, yurt dışına aktarılabilmesi ve veri güvenliğinin sağlanmasına yönelik tedbirlerin alınması. Şirket bünyesinde toplanan ve işlenen verileri ve kendi faaliyetlerinize ilişkin bilgileri ayrıntılı olarak listelemeniz gerekir.
Kişisel verilerin işlenmesi kaydı, kişisel verilerin işlendiği diğer kişilere iletilebilecek amacı, türü, zamanı, işlemi ve bilgileri gösterir.
Listenin kendisi bir veri tabanıdır. Bu yüzden liste derlendikten sonra kişisel verilerin silinmesi veya anonim hale getirilmesi büyük önem taşır.
Envanter, yalnızca dijital verilerden ibaret değildir; aynı zamanda çalışan başvuru formları veya kâğıt ile toplanan kişisel veri bilgilerini de kapsayan bir sistemin parçasıdır.
Aydınlatma Metni ve Politikaların Hazırlanması
Tanımlanan ve sınıflandırılan verilere ilişkin envanter oluşturulmasının ardından aydınlatma metni ve politikaların hazırlanması gerekmektedir.
Aydınlatma metni, kişisel verilerini hangi şirketlerin saklaması ve/veya tutması gerektiği, hangi amaçla ve hangi verileri sakladıkları, bu verileri nasıl sakladıkları, ne kadar süreyle sakladıkları ve işlenmesinden kimlerin sorumlu olduğu konusunda bilgilendirmek amacıyla oluşturulmuştur. Aydınlatma metnini şirketler isterlerse web sitelerinde kamuya sunar.
VERBİS’e kayıt yükümlülüğü bulunan veri sorumlularının Kişisel Veri Saklama ve İmha Politikası hazırlama yükümlülüğü vardır. Kişisel veri saklama ve imha politikası, veri sorumlusunun işlediği kişisel verilerin işleme süresini gösteren belgedir. Belge hazırlanırken veri sorumlusu, saklanan tüm veriler analiz eder. Yapılan analiz sonucunda verilerden hangilerinin kişisel veri olduğu veya olabileceği belirlenmelidir. Kişisel verileri içeren kategoriler (ad-soyad, ırk vb.) ve her bilgi türü, maksimum işlem süresi belirtilmelidir.
Gereken süre belirlenirken kişi verilere açıkça rıza gösteriyorsa, açık rıza anında veri sahibine verilen bilgilerdeki süreye dikkat etmelidir. Bir diğer önemli nokta ise her bir bilgi parçasının saklama süresinin toplanmış olan verinin türüne göre değişiklik göstermesidir.
Bunlara ek olarak, şirkete ait tüm sözleşmelerin altyapılarının kontrol edilmesi gerekmektedir.
Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi
Kanuna göre kişisel veriler sadece veri sahibinin açık rızası ile işlenme hakkı vardır. Fakat işlenen veriler, belirli amaçlarla ve belirli bir süre için kanuna uygun olarak işlenebilmektedir. Kanunun yayım tarihinden önce toplanan kişisel verilerin kanunun öngördüğü şartları taşıması gerekir. Ayrıca işlenen verilerin saklanması 2 yılı aşamaz. Yasal düzenlemelere aykırı olan kişisel veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması
Envanter veri sınıflandırmasının derlenmesine göre veri sorumlusunun sorumluluğundadır. Verilerin hukuka uygun olarak işlenmesi, güvenli bir ortamda saklanması ve verilere hukuka aykırı erişimin önlenmesi için çeşitli idari ve teknik tedbirlerin alınmasıyla ilgilenir.
Bu önlemlere uyulurken, şirket kendi denetimini yapmalı veya yürütmelidir. Kullandığı önlemlerin iyileştirilmesini sağlamak için denetim sonuçlarını ilgili birime rapor etmelidir.
Ayrıca şirketinin bir diğer odak noktası da departmanlarını, iş ortaklarını ve tedarikçilerini eğiterek farkındalık yaratmaktır. İzlenecek olan adımlarda şirketin faaliyetlerine göre değişebileceğini göz önünde bulundurmalıdır. Bu nedenle gerektiğinde yasal tavsiye almak mantıklıdır.
