Kişisel Verilerin Korunması Kanununa ("KVKK") dair uygulama ve uyum çalışmaları pek çok şirkette başladı ve devam ediyor.

Kişisel Verileri Koruma Kurulu ("Kurul") göreve geldikten sonra, yoğun çalışmaların sonucunda 2 mühim yönetmelik taslağını yayınladı ve ilgililere yol göstermeyi amaçlayan soru-cevaplar ile bazı broşürler hazırladı. Uyum programlarının yönetimi açısından, KVKK, taslak yönetmelikler ve bilgi notları doğrultusunda şirketler ve danışmanları yapılması gerekenleri tespit etmeye ve uygulamaya çalışıyorlar.

Peki uyum programları yürüten şirketlerin en çok zorlandıkları hususlar ne?

Uyum programları genel olarak ana iki fazdan oluşmaktadır: 1) detaylı şirket incelemesi ve durum tespiti ve 2) uygulama.

Detaylı inceleme ve durum tespiti aşamasında, öncelikle şirketler verinin giriş ve çıkış noktalarını belirlemekte zorlanıyorlar. Kurul düzenlemeleri uyarınca şirketlerin verilerin ne zaman ve kimlerden toplandığını, verinin ne şekilde kullanıldığını, depolandığını, devredildiğini ve imha edildiğini gösteren bir envanter oluşturulması ve bunun güncel tutulması için gerekli altyapı çalışmasını yapmaları gerekiyor. Bu çalışma için veri sorumluları, her bir iş sürecini belirleyip, organizasyonel yapılarını ve kimlerin kişisel verilere eşimi olduğunu tespit etmeliler. Buna paralel olarak, veri güvenliği uzmanları tarafından kişisel verilerin güvenliğine dair mevcut güvenlik kontrollerinin analizinin de yapılıyor olması şart. Veri sorumlusunun bünyesinde kişisel verilerin korunması amacı ile uygulanan manuel ve bilgi teknolojileri bazlı alınmış önlemler belirlenerek uygunluklarının test edilmesi gerekiyor. Bu değerlendirmenin sonucunda kişisel verileri işleyen, aktaran, saklayan ve imha eden iş ve teknik süreçlere dair eksiklikler ve bu eksiklikleri giderme yollarının belirlenmesi çok önemli.

Uygulama aşamasında ise şirketler kendi stratejilerini belirlemek ve kendi şirketleri özelinde süreç ve uygulamalara uygun politikalar tasarlamakta zorlanıyorlar. Bu durumda da rakiplerin ya da başka kurumların politikalarından ödünç alınan metinler ortaya çıkıyor. Bu şekilde 'ödünç alınan' bir metin, başka bir şirketin ihtiyaçlarına göre hazırlanmış olacağından aslında bunun yarardan çok zarar getireceğinin unutulmaması gerekir.

Envanter hazırlığı ile ilgili bilinmesi ve dikkat edilmesi gerekenler neler?

  • Kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; veri kategorisi ve niteliğini, veri işleme amaçlarını, veri saklama yerlerini ve sürelerini, , aktarılan alıcı gruplarının ilgili kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları kaydı ifade etmektedir.
  • Envanterlerin hazırlanabilmesi için veri sorumlusunun her bir ilgili kişi grubuna ilişkin belirlenecek olan veri kategorilerini ayrı ayrı belirlemesi gerekmektedir.
  • Uyum projesi kapsamında gerçekleştirilecek durum tespiti ve değerlendirmelerin doğru bir şekilde yapılabilmesi için çok önemlidir. Bu da envanterin, mümkün olduğu ölçüde, veri sorumlusu şirketin tüm departman ve birimlerinin katılımıyla yapılacak detaylı bir çalışma sonucunda hazırlanmasını gerektirmektedir. Bu amaçla bir uyum komitesinin görevlendirmesi tavsiye edilmektedir.

Uyum komiteleri ne yapar?

  • Uyum komiteleri öncelikle şirketler tarafından yürütülecek uyum projesinin ilk aşaması olan envanterin hazırlanması çalışmasını tamamlamalıdırlar.
  • Envanter tamamlandıktan sonra, açık rıza gerektiren hallerin tespiti ve bu amaçla rıza metinlerinin ve tüm veri toplama faaliyetleri için de gerekli yasal bilgilendirilme metinlerinin hazırlanmasını ve kişisel verilerin aktarılması 3. Kişilere sonucunu doğuran her türlü sözleşmenin tadilini temin etmelidirler.
  • Uyum komitesi ayrıca, veri sorumlusunun veri elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi işleme faaliyetleri özelinde veri işleme politikalarını ve süreçleri oluşturmalıdır.
  • Bunlara ek olarak uyum komitesi, bilgi güvenliğine dair de, teknik inceleme sonucunda belirlenen zafiyetlerinin uygun yöntemlerle giderilmesi ve mevcut açıklıkların zafiyeti ile hangi senaryoların gerçekleşebileceğine dair analiz raporu sonuçlarına uygun önlemlerin alınmasını da amaçlamalıdır. Bu kapsamda, şirketin risk yönetimi yapısı, güvenlik politikaları, bilgi güvenliği organizasyonu, insan kaynakları güvenliği, bilgi varlık yönetimi, erişim kontrolü güvenliği, kriptografik kontrolleri, fiziksel ve çevresel güvenliği, bilgi teknolojileri operasyonları ve iletişim güvenliği gibi konular ele alınmalıdır.
  • Uyum komitelerinin görevinin sadece uyum projelerinin yürütülmesiyle sona ermemesi ve düzenli bir şekilde faaliyet gösteren dinamik bir yapıya kavuşturulması çok önemlidir. Bu özellikle KVKK'ya uyuma dair şirketin reflekslerinin hızla geliştirilebilmesini ve sağlıklı şekilde şirketin vizyonuna uygun bilgi güvenliği olay yönetiminin kurulmasını sağlayacaktır.

Uyum komitelerinde kimler olmalı?

  • Bir uyum komitesinin kurulması şirket içi organizasyonun verimli şekilde yürütülebilmesi için çok önemlidir. Eğer şirket bir KVK uyum departmanı ya da yöneticisi (Data Privacy Officer) ataması yapacaksa bu komitenin faaliyetlerinin de bu yönetici tarafından organize edilmesini doğru olur. Ama veri koruma yöneticisinin atanması yasal bir zorunluluk olmadığından, halihazırda çok az sayıda şirketin bir KVK uyum yöneticisi atama yolunu seçtiğini görüyoruz.
  • Şirketlerin kendi organizasyonel yapıları açısından en uygun olacak şekilde, uyum komitelerinde hukuk, bilgi teknolojileri, bilgi güvenliği, finans, insan kaynakları, satış, iş geliştirme departmanı yöneticilerinden bir ya da birkaçına uyum komitesinde yer vermelerini öneriyoruz. Varsa, KVK uyum yöneticisi ile birlikte, bu departman yöneticilerin şirketin uyum çalışmalarında görev almaları farklı veri kategorilerinde şirketin kişisel verileri işleme amaçları ve şekillerinin tespiti, şirketin veri sorumlusu ve duruma göre veri işleyen olarak sorumlulukları açısından tüm birimlerin farkındalıklarının artırılması açısından büyük önem taşıyor.

Kişisel Veri İşleme Politikası Nedir?

  • Politika, veri sorumlusu şirket tarafından, hangi kişisel verilere kimler tarafından erişilebileceği veya hangi kullanımların yasak olduğunu belirleyen kurallar bütünüdür. Şirket tarafından hazırlanacak süreç ve politikalar, veri işleme faaliyetinin nasıl yürütüleceği konusunda bir kılavuz niteliğindedir. Bu surette şirketler veri işleme faaliyetleri açısından uyuma dair kararların da daha hızlı şekilde alınmasını sağlayabilirler. Politikalar, doğru şekilde uygulandığında, veri işleme faaliyetleri açısından her bir departman etkin bir işleyişe kavuşur.
  • KVKK halihazırda politikaların şirket websitesinde yayınlanmasını bir zorunluluk olarak getirmiş değil. Ancak, şirketler veri işleme faaliyetleri açısından şeffaflığı temin adına politikalarını yayınlamayı tercih edebilirler.
  • Veri işleme politikalarının şirketin kişisel verileri işleme faaliyetleri açısından tek taraflı bir taahhüdü olduğunu unutmamak gerek. Bu kapsamda, politika içinde yer alan beyanların ve taahhütlerin, gerçekten şirket faaliyetleri özelinde dikkatli değerlendirilerek kaleme alınması gereklidir.
  • Şirketlerin, KVKK ve zaman zaman Kurul tarafından çıkarılacak ikincil mevzuat çerçevede kendilerine veri sorumlusu ve/veya veri işleyen olarak yükletilen yükümlülükleri tam anlamaları ve politikalarını kaleme alırken, yasal yükümlülüklerin ötesinde bir özen yükümlülüğünü vaad eden tarzda bir taahhütte bulunmak isteyip istemediklerini de iyi değerlendirmeleri gerekir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.