Kişisel verilerin korunması kanununa uyumda yol haritası

Av. Umut KOLCUOĞLU
Av. Umut KOLCUOĞLU HUKUK NOTLARI [email protected]

2016 yılının Ekim ayında yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun (KVK) uygulaması, ikincil mevzuatın da yayımlanması ile birlikte açıklık kazanmaya başladı. Bu kapsamda oluşturulan Veri Sorumluları Sicili’nin çok yakında faaliyete geçmesi bekleniyor. Böylece, sicile kayıt yükümlülüğü yakın zamanda başlayacak. Kişisel verilerin yasal olarak korunması açısından geri sayım başlamışken, veri sorumlularının vakit kaybetmeden faaliyetlerini KVK mevzuatı ile uyumlu hale getirmeleri önem taşıyor. Bugünlerde birçok şirket bu konuda dahili çalışma grupları oluşturuyor ve çeşitli eğitimlere katılarak bir yol haritası çizmeye çalışıyor.

KVK’ya göre, kişisel verilerin işlenme amaç ve araçlarını belirleyen, bu kapsamda veri kayıt sistemi kurmak ve yönetmekle sorumlu gerçek veya tüzel kişiler, “veri sorumlusu” olarak kabul ediliyor. Günümüzde şirketlerin neredeyse tamamının çalışanlardan müşterilere kadar çok çeşitli kişisel veriyi topladıkları göz önüne alındığında, bu konu oldukça önem kazanıyor. Peki veri sorumluları faaliyetlerini KVK mevzuatı ile uyumlu hale getirmek için neler yapmalı, nasıl bir yol izlemeli?

İlk aşama, tespit ve envanter çalışmaları ile kişisel veri saklama ve imha politikasının oluşturulması. Bu kapsamda, veri sorumlularının öncelikle kimlerin, hangi verilerini, ne amaçla işlediklerini tespit etmeleri gerekiyor. Bu tespitin yapılabilmesi için veri sorumluları, işledikleri verilere ilişkin kapsamlı bir iç denetim yapıp, bir kişisel veri işleme envanteri hazırlamalı. Bu envanter, asgari olarak veri sorumlularının veri işleme faaliyetlerini, işleme amaçlarını, kategorilerini, verilerin aktarıldığı alıcı gruplarını, her bir kategori bakımından azami işleme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve aktarım güvenliğine ilişkin alınan tedbirlerin detaylarını içermeli. Bu oldukça kapsamlı bir çalışma ve yalnızca tek bir kişisel veri kategorisini içermemeli. Örneğin, veri sorumlularının, çalışanlarına ilişkin her türlü kişisel verinin veya akdettikleri herhangi bir sözleşmenin karşı tarafına ilişkin sahip oldukları kişisel verilerin bu envanter içerisinde yer alması bekleniyor.

Envanterin vakit kaybetmeden hazırlanması oldukça önemli; çünkü bu envanter esas alınarak hangi verilerin ilgilisinin açık rızası gerektiği saptanacak ve akabinde kişilerden rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi gibi uygun tedbirlerin alınması mümkün olabilecek. Ayrıca, veri sorumluları, veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ne zorunlu kayıtlarını çok yakında bu envantere dayalı olarak gerçekleştirecekler. Envanter hazırlanması, şirket nezdindeki tüm kayıtların incelenmesini gerektirdiğinden, yüklü miktarda kişisel bilgiye sahip olan veri sorumlularının bu kapsamlı çalışma için profesyonel destek almaları değerlendirilebilir. Tespit ve envanter hazırlanması çalışmaları ile paralel olarak, veri sorumlularının saklama ve imha politikası da hazırlamaları gerekiyor. Böylece veri sorumlusu, kişisel verilerin işleme amacı için gerekli olan azami süreyi, bu verileri yok etme ve anonim hale getirme prosedürlerini belirliyor. Ayrıca, her bir veri sorumlusunun, şirket içerisinde bu işlemleri yürütecek kişiler öncelikli olmak üzere, tüm çalışanlarına bu konularda dahili teknik ve idari eğitimler vermesi önemli.

Uyum çalışmaları kapsamında ikinci aşama, ilgililer için açık rıza formları ile aydınlatma metinlerinin hazırlanması. Envanter ile yapılan tespit doğrultusunda, KVK mevzuatı kapsamındaki istisnalara girmeyen kişisel veriler bakımından bir işlem yapmadan önce, ilgili kişilerin açık rızalarının alınması gerekiyor. Ayrıca, istisnaların kapsamına girip girmediğine bakılmaksızın, ilgili kişilerin aydınlatılması gerekiyor. Halihazırda aydınlatma yükümlülüğü ve açık rıza beyanı bakımından mevzuatta bir şekil şartı öngörülmüş değil. Bununla birlikte, bu yükümlülüklerin yerine getirildiğinin ispat edilebilmesi için yazılı olarak yapılmalarında fayda var. Dolayısıyla bu form ve metinlerin de bu uyum süreci kapsamında hazırlanması önem teşkil ediyor. Uyum sürecinde bir diğer aşama ise sözleşmelerin tadil edilmesi. Veri sorumlularının, matbu sözleşmeler dahil olmak üzere, halihazırda akdetmiş oldukları sözleşmeleri inceleyerek, KVK mevzuatına uyumlu hale gelecek şekilde tadil etmeleri gerekiyor.

Yukarıda yer alan adımlar, KVK mevzuatına uyum sürecinde yapılması gereken ilk işlemler. İlerleyen süreçte, Kişisel Veri Koruma Kurulu’nun vereceği kararlar ile Veri Sorumluları Sicili’nin faaliyete geçmesi de KVK mevzuatının uygulaması bakımından belirleyici olacak. KVK’da öngörülen ağır yaptırımları önlemek adına, şirketlerin uyum çalışmalarına vakit kaybetmeksizin başlamaları önem arz ediyor.

Yazara Ait Diğer Yazılar Tüm Yazılar