KVKK

KVKK’YA UYUM DANIŞMANLIĞINI NASIL YÜRÜTÜYORUZ?

 Bu yazıda hayatımıza giren ve kişisel veri işleme süreçlerimizi birçok anlamda etkileyen 6698 sayılı Kişisel Verilerin Korunması Kanunu’na“(“KVKK veya Kanun olarak anılacaktır.”) yürüttüğümüz uyum sürecini KVKK danışmanlığı tecrübelerimiz ışığında yalın ve pratikte okuyucuya fayda sağlayacak şekilde anlatmayı amaçladık.

Bu zamana kadar yürüttüğümüz uyum projelerinde veri sorumluları hakkında gözlemimiz; veri sorumlularının bir kısmının KVKK’nın öneminin ve alınması gereken önlemlerin farkında olduğu, olası idari para cezaları ile muhatap olmamak ve bu anlamda risklerden korunmak ve/veya veri korumaya yaklaşımları ile itibar yönetimini sağlamak gibi amaçlar benimsediği ve fakat konuyu ele alırken nasıl bir yaklaşım sergileyecekleri konusunda sıkıntı yaşadıkları yönündedir. Bu sebeple KVKK danışmanlığı projelerinde SSD Hukuk olarak kişisel verilerin hukuki önlemlerle korunmasına ilişkin yaklaşım metodolojimizi aşağıda ortaya koymaya çalışacağız.

1. Adım: Kanun Hakkında Bilinçlenmek

Her şeyden önce “Kanun hakkında bilinçlenmek” kanımızca atılması gereken ilk adımdır. Kanun ile birlikte hayatımıza giren temel kavramları anlamak, bu kavramlar içerisinde süje olarak konumlarımızı tespit etmek, kişisel veri işleme süreçlerimizi bu kavramlar üzerinden yorumlayabilir hale gelmek yapılması gerekenler arasında ilk sırayı almaktadır.

Bu sebeple KVKK danışmanlığı projelerine başlarken yaptığımız ilk şey; veri sorumlusuna ve veri sorumlusu bünyesinde çalışan birim / departman / kadrolara genel KVKK eğitimi ve birim / departman / kadroların veri işleme süreçlerine göre özelleştirilmiş KVKK eğitimi vermektir.

Böylece sonraki aşamalara geçtiğimizde muhataplarımızla aynı dili konuşur hale gelmekte ve iyi bir ekip çalışması yürütebilmekteyiz. Örneğin; “Özel nitelikli kişisel veriler hakkında konuşalım veya kişisel veri işleyenlerle aranızdaki ilişkileri değerlendirelim” veya “Sözleşme ve taahhütnameler hazırlayalım.” dediğimizde, veri sorumlusu ve veri sorumlusu bünyesindeki muhataplarımızın zihninde bu cümlelerde geçen “özel nitelikli kişisel veri”, “veri işleyen”, “sözleşme ve taahhütnameler” gibi terimler somut ve karşılığı olan terimler olmakta ve KVKK danışmanlığı uyum projelerinde verimli ve faydalı sonuçlar alabilmekteyiz.

2. Adım: Ekip Kurmak

Ülkemiz mevzuatında kişisel veri süreçlerinin takip ve denetimi için VERBİS kaydı ve benzeri sicil kayıt ve bildirim önlemleri alınmış ve veri sorumluları bünyesinde bu hususta özel çalışacak bir veri koruma görevlisi istihdam etme zorunluluğu getirilmemiştir. Örneğin; Almanya’da şirketlerin faaliyetlerine başlamalarını takip eden bir ay içinde yazılı olarak bir veri koruma görevlisi atamaları zorunludur. Veri sorumlusu bünyesinde bu tür bir sorumlu atama zorunluluğu olmamakla birlikte kanaatimizce KVKK’ya uyumlu hale gelmek ve bunun devamlılığını sağlamak için görevli kişilerin belirlenmesi önemlidir. Kişisel veri işleme süreçlerini tanı ve tespit etmek, eksikleri belirlemek, uyum çalışmasını yürütmek, kişisel veri envanteri hazırlamak, hazırlanması gereken hukuki metinleri hazırlamak, alınan tedbirleri uygulamak ve konu ile ilgili sürekli takip halinde olmak için görevli kişiler belirlenmelidir. KVKK Uyum sürecine başlarken bu tür bir ekip kurmak, oldukça küçük detaylarla ilgilenilen bu sürecin derli toplu yürütülmesi ve dışarıdan alınan hukuki ve teknik danışmanlıkların verimli hale gelmesi için önem arz etmektedir.

Bu yüzden KVKK danışmanlığı uyum projelerine başlarken Müvekkil veri sorumlusu ile birlikte uyumlu bir süreç yürütmek adına Veri sorumlusu bünyesinde ve SSD Hukuk bünyesinde projeyi yakından takip edecek ekipleri belirlemekteyiz.


3. Adım: Temel İlkeleri ve Kişisel Veri Koruma Stratejisini Belirlemek

 Kanun’un 4. maddesinde kişisel veri işlenirken benimsenmesi gereken ilkelere yer verilmiştir. Genel bir bilgi vermek gerekirse kişisel veri işlenirken:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (ölçülü veri işleme hususunda yazımıza bu linkten ulaşabilirsiniz.),
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

ilkelerine uyulması gerekmektedir. Bu temel ilkelerin filtresiyle KVKK’ya uyum süreci başlatıldığında kanaatimizce, kişisel veri işleme süreçlerindeki hata ve eksikleri tespit etmek ve sınırları doğru çizmek çok daha kolay olmaktadır. Bu ilkeler ışığında veri sorumluları kendi iç işleyişlerine özel farklı ilkeler benimseyebilir, tüm bu prensipler ışığında önceliklerin, görevlendirmelerin ve aksiyon planlarının yer aldığı bir veri koruma strateji belirleyebilirler.

Bu sebeplerle KVKK danışmanlığı verirken genel ve özel ilkelerin benimsenmesini sağlıyor  ve öncelik ve aksiyon planlarını belirliyoruz.

 4. Adım:Kişisel Veri İnceleme (Due Diligence)

KVKK uyum sürecinin en meşakkatli kısımlarından biri, kişisel veri işleme süreçleri hakkında inceleme yapma kısmıdır. Bu incelemeyi doğru yapabilmek için; öncelikle kişisel veri / özel nitelikli kişisel veri tanımlarına hâkim olmak ve veri kategorilerini iyi tanımak gerekir. Veri sorumlusu bünyesindeki tüm birim, departman ve/veya kadrolar açısından ayrı ayrı yapılması gereken bu incelemede öncelikle kimin hangi kişisel verilerinin işlendiğinin tespiti gereklidir. Bu çalışma sonunda veri sorumluları her zaman kişisel verisini işlediği ve sorumlu olduğu bir muhatap olarak görmesi gereken “ilgili kişileri/veri sahiplerini” ve hukuka uygun olarak işlemek zorunda olduğu “kişisel verileri” ortaya koyacaktır. Sıklıkla çalışan, çalışan adayı, müşteri, tedarikçi ve benzeri şekillerde karşımıza çıkan veri sahiplerini tanımak, onlara karşı yerine getirilmesi gereken yükümlülükleri sıraya koymak açısından da oldukça faydalıdır.

KVKK danışmanlığı uyum projelerini yürütürken veri sorumlusu bünyesindeki birim ve departmanlarla ayrı ayrı olarak ve özel hazırlanan soru setleri ile birlikte veri inceleme çalışması yapıyor ve işlenen kişisel verileri ortaya koymaktayız.


5. Adım: Kişisel Veri İşleme Envanteri ve VERBİS Kaydı

Bu çalışmayı kişisel veri işleme envanteri hazırlığı ve VERBİS kaydı takip eder. (Envanter ve VERBİS kaydı hakkında detaylı blog yazımıza bu linkten ulaşabilirsiniz.) Kişisel veri işleme envanteri ve VERBİS kaydı zorunluluğu kapsamında olan veri sorumluları için aşağıdaki açıklamalar geçerlidir.

Kişisel veri işleme envanterinde; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetleri; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan tedbirler detaylandırılır. Bu çalışmayı başarılı ve titiz bir şekilde yürütmek için önemli olan kişisel veri işleme envanterini doğru kurgulamaktır. Öncelikle her bir birim/departman için incelemeyi özelleştirmek ve sonrasında incelenen birim ve departmanın veri işlediği iş süreçlerini ayrı ayrı tespit edip iş süreci ve faaliyet tanımına göre envanteri kurgulamak, sürdürülebilir ve detaylı bir envanter için iyi bir başlangıç olabilir.

IT departmanının bilgi işlem süreçleri kapsamında şirket içinde yer alan görüntü kayıt sistemi ile görüntülerin gerçek zamanlı kayıt altına alması örneğiyle konuyu açıklayalım. Departman IT ve faaliyeti ise görüntü kaydıdır. Bu hususları tespit ettikten sonra bu faaliyet kapsamında işlenen kişisel veri kategorisini, veri sahibini, işleme amaçlarını, yurtiçi ve yurt dışında üçüncü kişilere aktarımı ve aktarım amaçlarını, saklama sürelerini, kişisel verinin ne şekilde elde edildiğini ve nasıl saklandığını ve kişisel verinin korunması için alınan güvenlik tedbirlerini envantere işlemek kolaylaşacaktır.

Kişisel veri işleme envanteri hazırlandıktan ve tamamlandıktan sonra VERBİS kaydının tamamlanması gerekmektedir.

KVKK danışmanlığı verirken biz de sürdürülebilir ve takibi kolay bir envanter hazırlıyor ve uygulamaya koymakta ve hazırladığımız envanter ışığında VERBİS kaydını gerçekleştirmekteyiz.

 

6. Adım: İlgili Hukuki Metinlerin Hazırlığı

Bu aşamaya gelindiğinde veri sorumlusu bünyesindeki tüm veri işleme süreçleri tanımlanmış ve Kanun ve ilgili mevzuatın öngördüğü hukuki tedbirlerin alınması vakti gelmiştir. Veri sorumlusu veri sahibi olan ilgili kişileri, hazırlanacak metinleri ve metinleri hazırlama yönündeki amaçlarını belirleyerek işe başlamalıdır.

Her veri sorumlusunun ihtiyaçlarının hususi olarak belirlenmesi gerektiği bilgisini saklı tutarak, KVKK danışmanlığı uyum sürecinde hazırladığımız ve hazırlanması gerken belgeleri genel olarak aşağıdaki şekilde sıralamak mümkündür: 


Açık rıza düzenlemeleri: 
Her bir birim/departmanla yapılan çalışmalar neticesinde elde edilen bilgilere göre kişisel verisi işlenen kişilerin açık rızasının alınma prosedürleri belirlenir, ilgili hukuki metinler hazırlanır, gerekli yerlerde yapılacak uyarılar ve alınacak önlemler belirlenir.

Aydınlatma düzenlemeleri: Her bir birim/departmanla yapılan çalışmalar neticesinde elde edilen bilgilere göre kişisel verisi işlenen kişilerin aydınlatılması prosedürleri belirlenir ilgili hukuki metinler hazırlanır, gerekli yerlerde yapılacak uyarılar ve alınacak önlemler belirlenir.

KVKK taahhütnameleri: Çalışan, tedarikçi, müşteri vb. hukuki ilişkilerde veri sorumlusu kişisel verilere erişimi olan gerçek ve tüzel kişilerin belirlenmesi sağlanır. Bu kapsamda bu kişilerden KVKK’ya uygun davranılmasının sağlanmasına yönelik taahhütnameler hazırlanır.

Sözleşmelerde değişiklik: Çalışan, tedarikçi, bayi ve müşteriler ile yapılan sözleşmelerde KVKK’ya uyum konusunda güncellenmelerin yapılmasını sağlamaya yönelik çalışmalar yapılır.

Veri işleyenler ile sözleşme ve taahhütname: Veri sorumlusu adına veri işleyen üçüncü kişiler tespit edilir. Bu kişilerden taahhüt alınır / bu kişiler ile görev ve sorumlulukların belirlendiği sözleşmeler hazırlanır.

Yurtdışına aktarılan veriler: Yurtdışına aktarılan veriler tespit edilir. Bu verilerin ne şekilde, kim tarafından, hangi ülkelere aktarıldığı belirlenir.Veri Koruma mevzuatı olmayan ülkeler mevcutsa bu ülkeler hakkında Veri Koruma Kurulu’ndan izin alınması gerekli hukuki metinler hazırlanması süreçleri yürütülür.

Veri işleme politikası: Müvekkil’in işlediği kişisel veri kategorileri ışığında kişisel veri işleme prosedürlerini detaylı olarak anlatan ve veri sorumlusu çalışanları ve üçüncü kişilere karşı rehber ve bilgi niteliğinde kapsamlı bir Kişisel Veri İşleme Politikası hazırlanır.

Veri saklama ve imha politikası: Veri koruma komitesinin seçildiği ve görevlerinin belirlendiği ve veri saklama ve silme, anonimleştirme ve imhaya yönelik veri sorumlusu çalışanları ve üçüncü kişilere karşı rehber ve bilgi niteliğinde kapsamlı bir Veri Saklama ve İmha Politikası hazırlanır.

Çerez politikası & gizlilik politikası: Veri sorumlusunun online faaliyetleri kapsamında çerez ve reklam teknolojileri kullanarak topladığı kişisel verilerin işlenmesi politikası ve gizlilik politikaları hazırlanır.

Talep yönetim prosedürü ve başvuru formu: Kişisel veri sahibi olan ilgili kişilerin KVKK kapsamında veri sorumlusuna başvuru durumunda veri sorumlusu organizasyonu ve cevap süreçlerini belirleyen bir talep yönetim prosedürü ve ilgili kişilerin yararlanması için başvuru formu hazırlanır.

Diğer formlar: Anket, iş başvuru formu, kayıt sayfaları, iletişim izinleri, şikayet ve benzeri formlar hazırlanır.

7. Adım: Tedbirleri Uygulamaya Koyma ve Rutin Kontroller

Tedbirleri doğru şekilde uygulamaya oymak, tedbirleri hazırlamak kadar zor ve kritik olduğu kanaatindeyiz.

Tüm KVKK danışmanlığı uyum projesini sonunda yaptığımız hazırlığın uygulamaya konulduğu aşamaları tetkik etmekte, varsa hatalı uygulamaları raporlamakta ve ihtiyaç halinde düzenli KVKK danışmanlığı vermeye devam etmekteyiz.

Hayata geçirdiğimiz projelerde gözlemlediğimiz kadarıyla, hazırlıklar tamamlandığında hangi metnin nasıl imzalanacağı, hangi politikanın web sitesinde nereye konulacağı, iletişim izinleri ve açık rıza metinlerinin işaretlemeye açık şekilde değil ve fakat işaretli şekilde ilgili kişilere sunulup sunulamayacağı gibi küçük detaylarda çerçevenin dışına çıkıldığını gözlemliyoruz. Dolayısıyla uygulamanın hukuka uygunluğunun denetimi ve alınan tedbirlerin sürekliliğinin sağlanması da büyük önem arz etmektedir. Bunun yanı sıra Veri Saklama ve İmha Politikası’nda belirlenen esaslara göre veri koruma komisyonunun toplanması, toplanan kişisel verilerinin politika esaslarına göre değerlendirilmesi ve gerekli kişisel verilerin silinmesi, anonimleştirilmesi veya imhasının sağlanması gereklidir.