Kişisel verilerin amaç dışı toplanmasını ve işlenmesini engellemeyi hedefleyen Kişisel Verileri Koruma Kanunu, tüm tüzel kişilikleri kapsadığından her ölçekte şirketi yakından ilgilendirir. Şirketlerin KVKK cezaları ile karşılaşmamak için KVKK mevzuatı hakkında bilgi sahibi olmaları ve kişisel verilerle ilgili tüm süreçleri kanuna uygun hale getirmeleri gerekir. Peki, KVKK’ya uyum sağlamak için neler yapılmalı? İşte, şirketlerin adım adım yapması gerekenler...
Günümüzde kişisel veriler hem özel sektörde faaliyet gösteren şirketler hem de kamu kurum ve kuruluşları tarafından çeşitli amaçlarla toplanır ve işlenir. İnternet ile birlikte kişisel veriler çok daha yüksek hacimde toplanmaya ve işlenmeye başladı. Kişisel verilerin uygun olmayan şekilde toplanması, yetkisiz kişilerin eline geçmesi ve kötüye kullanımı kişinin temel hak ve özgürlüklerini ihlal edeceğinden bu alanda hukuki bir düzenleme yapmak zorunlu hale geldi.
Türkiye’de bu alanda 1980’lerden bu yana yürürlükte olan hukuki metinler olsa da asıl atılım, Avrupa Birliği’ne uyum çalışmaları dahilinde hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı’nın 7 Nisan 2016’da yürürlüğe girmesiyle yapıldı. KVKK mevzuat uyarınca veri işleyen tüm gerçek ve tüzel kişilerin 7 Nisan 2018’e kadar KVKK’ya uyum sağlaması beklendi. Kişisel verileri mevzuata uygun şekilde toplamayan şirketler, ciddi cezalarla karşılaşabildiğinden KVKK’ya uyum büyük önem kazandı.
KVKK’nın yürürlüğe girmesinin ardından geçen süre içerisinde birden fazla KVKK yönetmeliği yayımlandı ve şikayetleri denetleyen KVKK kurulu oluşturuldu. Tüm bu gelişmeler, şirketler açısından kişisel verilerin korunması üzerine çalışma yapma gerekliliği doğurdu. Peki, şirketlerin KVKK uyum süreci nasıl olmalı? İşte, adım adım yapılması gerekenler...
Öncelikle şirketin veri tabanında var olan kişisel verilerle ilgili bir envanter çalışması yapmak gerekir. Bu verilerin ne kadar süre ile kullanılabileceği, verilerin ne zaman imha edileceği ve verilerin güvenliği için alınan önlemler gibi konularda kapsamlı değerlendirme yapılır.
Mevcut durum tespitinden sonra şirket envanterinde yer alan kişisel verilerin mevzuata uygun olup olmadığı değerlendirilir. Bu aşamada verilerin kişisel veri tanımına uygunluğu, mevzuata uygun toplanıp toplanmadığı, verilerle ilgili kişilerin onayı olup olmadığı mercek altına alınmalıdır.
Mevzuata uygun olmayan verilerin KVKK mevzuat şartlarına uygun hale getirilmesi yani verilerle ilgili kişilerden onay alınması gerekir. KVKK kanun uyarınca kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda mevcut verilerin güvenli şekilde silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekir.
Şirketlerin KVKK kanunu mevzuat uyum sürecinde veri koruma politikası oluşturmak, büyük önem taşır. Bunun için veri işlemeye prensipleri belirlemek ve bu konuda şirketim tüm birimlerini ilgilendiren bir rehber hazırlamak gerekir.
Tüm bu süreçlerle eş zamanlı olarak tüm işletmelerin veri sorumlusu belirlemesi ve bu veri sorumlusunun Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt etmesi gerekir. Veriler bir tüzel kişi tarafından işleniyorsa veri sorumlusu tüzel kişinin kendisidir. Veri sorumlusunun yükümlülükleri arasında kişisel verilerin işleme amaçlarını ve yöntemlerini belirlemek, veri kayıt sistemi kurmak ve yönetmek yer alır.
10 numaralı KVKK maddesi uyarınca veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Aydınlatma yükümlülüğü; veri sorumlusunun açık kimliğini, verilerin işlenme amacını, verilerin kimlere ve ne amaçla aktarılabileceğini, veri toplama yöntemini, veri toplanmasının hukuki sebebini ve ilgili kişinin diğer haklarını içermelidir.
Kişisel veriler, ancak ilgili kişilerin açık rızasıyla toplanabilir ve işlenebilir. Şirketler, kişisel veri toplayabilmek için ilgili kişilerden sözlü veya yazılı şekilde ya da elektronik ortam üzerinde açık rıza almalıdır. KVKK formları aracılığıyla alınabilen açık rızanın ispat yükümlülüğü, veri sorumlusuna aittir.
Veri sorumlusunun, veri güvenliğini sağlamaya ilişkin de yükümlülükleri bulunur. KVKK cezalarından kaçınmak için en önemli noktalardan biri veri güvenliği için gerekli tüm önlemleri almaktır. Şirketler, KVKK konusunda üçüncü partilerden destek alsalar dahi veri güvenliği konusunda kendi önlemlerini hayata geçirmelidir. Bu noktada bilişim çözümlerine başvurmak gerekir. Ayrıca her türlü önleme rağmen ihlal yaşanması durumunda yapılacaklar da önceden belirlenmelidir.
KVKK cezai yaptırımları son derece ağır olabildiğinden bu yaptırımlardan kaçınmak için alınan idari önlemler kadar veri güvenliği konusunda da üst düzey teknik önlemlerin alınması gerekir. Bu çerçevede ilk adımı veri güvenliğinin en önemli noktalarından biri olan erişim güvenliği aşamasında planlamalara başlayarak yapabilirsiniz. Gelişmiş Ayrıcalıklı Erişim Yönetimi (Privileged Access Management – PAM) çözümleriyle hassas verilerinizi daha güvenli hale getirebilirsiniz. Kron’un modüler ve ajansız yapısıyla hızlı kurulum imkânı sunan Ayrıcalıklı Erişim Yönetimi platformu Single Connect ile kritik verilere erişim konusunda üstün güvenlik sağlayabilir, konuyla ilgili daha detaylı bilgi almak için bizimle iletişime geçebilirsiniz.