6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ve BU KAPSAMDAKİ YÜKÜMLÜLÜKLER NELERDİR ?

Kişisel verilerin korunması adına uluslararası hukukun kapsamına uygun olarak 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunuyla, müşterilerinin, tedarikçilerinin veya çalışanları gibi kimselerin kişisel verilerini işleyen veya kullanan tüm tüzel ve gerçek kişilerle kamu kurum ve kuruluşlarının, kişisel verileri işlerken kullanacağı yollar ve bu verileri saklama biçimi düzenlenmiş, uyulması gereken usul ve esaslarla alınması gereken önlemler kanun ve yönetmeliklerle belirlenmiştir. Bu bağlamda KVKK kapsamında sorumlu olan herkesin kurum içinde hali hazırda yapılmış sözleşmeleriyle, alınan kişisel verilerin edinilme ve saklama biçimleri ve hatta çalışanlarının özlük dosyalarının 6698 sayılı yasa kapsamında değerlendirilmesi ve gerekli düzenlemelerin yapılması mecburiyet arz etmektedir. 6698 sayılı yasanın uygulanma biçimlerini resen veya şikayet üzerine denetleyen Kişisel Verileri Koruma Kurulu’nun ihlal tespit etmesi halinde çok büyük idari para cezalarıyla, şartlarının varlığı halinde 5237 sayılı Türk Ceza Kanununda öngörülen cezalarla ve şirketlere özgü güvenlik tedbirleriyle karşılaşılması olasıdır. Verinin kaydedilmesi, işlenmesi, aktarılması ve yok edilmesi ile ilgili yasaya uymamanın cezası 1-6 yıl arası hapis, kanunda belirtilen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000 TL -1.000.000 TL arası para cezası olabilmektedir. Şirketlerin bir an önce kanuna uyum ile ilgili çalışmalarını tamamlamaları ve kurumsal farkındalık yaratmaları için eğitim almaları gerekmektedir.

Kişisel Verileri Koruma Kanununun hukukumuzda yeni uygulama bulması dolayısıyla, kanunda öngörülen cezalarla ve şirketinizin itibarını sarsıcı eylemlerle karşı karşıya kalmamak adına uygulanacak en doğru yöntem ; “Kişisel Verileri Koruma Kültürünün” özümsemesi ve buna göre tatbik edilmesi gerekmektedir. Bu kapsamda doğru ve profesyonel bilgini alınması, uyum süreci yönetiminin uzman kadro nezaretinde yapılması hayatı önem taşımaktadır. Bunun yanında kurumunuzun ihtiyaç duyduğu kanun kapsamında alınması zorunlu teknik tedbirler ve yazılım altyapısının da eksiksiz ikamesi icap etmektedir. Hukuki ve teknik boyutun, hukukçu ve bilişimci uzman kadro tarafından eksiksiz yetine getirilmesi, risklerinizi minimuma indirecek, uzun vadede cezalarla karşı karşıya kalınmasının önüne geçecektir.

Hukukçu KVKK uzmanı kadromuz, bilişim uzmanı yazılımcılarımızla kurumunuzun ihtiyaç duyduğu ölçüde KVKK uyum süreci etkin biçimde sağlanacaktır.

KVKK kapsamında kurumunuza kazandıracağımız işlemler şunlardır:

1. a) Kurum’un taraf olduğu iş sözleşmeleri, kişisel verileri elde edilen veya verilerin aktarıldığı veya verilere erişimi olan diğer üçüncü kişilerle yapılan sözleşmelerin, hizmet sağlayıcıları ile yapılan sözleşmeler ile birlikte incelenerek gerekli tadillerin yapılması ve gerektiğinde gizlilik sözleşmelerinin imzalanması sağlanacaktır.

1. b) Karum’da yürütülecek olan uyum çalışmaları kapsamında, işlenen veriler ile veri işleme amaçları tespit ve tasnif ederek, gerçekleştirilen analiz sonuçlarına göre hangi veri sahiplerinden rıza alınması gerektiği, rızanın içeriği ve nasıl temin edileceği belirlenerek ve rıza alınmasının gerekli olduğu durumlarda veri sahiplerinden rıza alınmasına yönelik çalışmalar yürütülecektir.

1. c) Veri sahiplerine, kişisel verilerin toplanma yöntemini ve işlenme amaçlarını, verilerin aktarıldığı üçüncü kişileri ve veri sahibinin 6698 sayılı Kanun m.11’de sayılan haklarını içeren bir aydınlatma bildiriminde bulunulacaktır.

1. d) Kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı bir kişisel veri envanteri hazırlanacaktır.

1. e) Envanteri çıkarılan verilerin KVK Kanunu açısından veri riskleri analizi ile MED- Mahremiyet Etki Değerlendirmesi (PIA Raporu) yapılacaktır.

1. f) Kurum’un Verbis’e kaydı yapılacaktır. KVK kurumu ile iletişim sağlamak için veri sorumlusu irtibat kişisi atanması konusunda danışmanlık verilecektir. Veri envanterinde tespit edilen her bir veri türü için VERBİS’e gerekli tanımlama işlemleri yapılacaktır. VERBİS envanterinin ilerleyen süreçlerde nasıl kullanılacağına dair rehber doküman oluşturulacaktır.

1. g) Kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını sağlayacaktır. Avukat, iş bu idari ve teknik tedbirleri anlaşmalı olduğu Bilişim firması aracılığı ile yapacaktır.

1. h) 6698 sayılı Kanun m.13 uyarınca veri sahiplerinin başvurularını cevaplandırmak üzere gerekli sistemin kurulmasını sağlayacaktır. Başvuru süreçlerinin yönetilmesi için gerekli politika prosedür dokümanı oluşturulacaktır.

1. i) 6698 sayılı Kanun m.11 uyarınca kendisine verdiği hakkı kullanmak isteyen ilgili kişilere süresinde cevap vermek üzere İlgili Kişi Yardım Masası kurulması için gerekli önerileri raporu hazırlanacaktır.

1. j) Kişisel verilerin saklanması ve imhası politikası hazırlanarak kişisel verilerin imhası süre ve süreçleri belirlenecektir.

1. k) KVKS (kişisel veri koruma sistemi) için gerekli organizasyon yapısı oluşturulacak ve görev tanımları ile sorumlular belirlenecektir.

1. l) Özel Nitelikli Verilerin şifreli saklanması ve korunması için gerekli teknoloji ve sistem önerileri yapılacaktır.

1. m) Kurumun yöneticilerine, sistem sorumlularına, çalışanlara Farkındalık eğitimi verilecektir.

1. n) Kurum tarafından belirlenen çalışanlardan Oluşan Kişisel Verileri Koruma İç Kurulu üyelerine uygulamalı VERBİS kaydı, KVK eğitimi, veri işleme yöntemleri ile uyulması gereken usul ve kuralları içeren eğitimler verilecektir.

1. o) Tüm proje bilgileri, değerlendirme ve sonuçları raporları, KVK Kanunu Yönetmeliği, Aydınlatma Metinleri, Beyanları, Açık Rıza Sözleşmeleri, Başvuru Formları ve Cevap Formları, Veri paylaşımı ve Veri transferi Sözleşmeleri tarafından Kurum’un onay vereceği bir elektronik formatta dokümante edilerek Kurum’a teslim edilecektir.