KVKK Sürecini Nasıl Yöneteceğiz? 

Dijitalleşme süreci hayatı kolaylaştırdı. Ancak güvenlik kaygılarını da beraberinde getirdi. Veri güvenliğini garanti altına almak için yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ve ardından başlayan uyum süreci ise beraberinde pek çok soru işaretini getirdi. “Kişisel verilerimizi çeşitli sebepler ile kurum ve kuruluşlarla paylaşıyoruz. Paylaştığımız verilere ilişkin hesap verilebilirliğin ve güvenliğin sağlanması amacıyla bu alanın regüle edilmesi oldukça önemli. KVKK ve ilgili sair mevzuatlar, kişisel veri sahiplerinin temel hak ve özgürlüklerinin korunmasının yanı sıra veri sorumluları ve veri işleyenlerin yükümlülüklerini düzenlemesi sebebiyle son derece önemli” diyen IAS Holding avukatı Gökçesu Fırat’tan, son derece kapsamlı bir konu olan KVKK’yı ve uyum süreçlerini özetlemesini istedik.

“Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinden itibaren yürürlüğe girdi. Bununla birlikte kanunla uyum sürecine ilişkin bir geçiş süreci öngörüldü. Bahsi geçen mevzuat ile şirketlere kanunla uyum için gerekli süreçlerin yürütülmesi konusunda çeşitli yükümlülükler getirildi. Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehberler, çeşitli tebliğ ve yönetmelikler doğrultusunda firmalardan aksiyon almaları beklendi” diyen IAS Holding avukatı Gökçesu Fırat, en yalın haliyle geçiş sürecinde firmaların nelere dikkat etmesi gerektiğini sıraladı. Fırat: “Firmaların mevzuatla uyumu sağlamaları açısından hukuki ve teknik yükümlülükleri yerine getirmesi gerekli. Bunlar hukuki tarafta genel hatlarıyla aydınlatma yükümlülüğünün yerine getirilmesi için gerekli çalışmaların yapılması, politikalar hazırlanması, belirli şartları taşıyan şirketlerin Veri Sorumluları Sicili Bilgi Sistemi’ne (VERBİS) kayıt olması olarak sıralanabilir. VERBİS’e kayıt yükümlülüğünü düzenleyen mevzuat uyarınca yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumlularına, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla beraber ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına ve kamu kurum ve kuruluşlarının VERBİS’e kayıt olmaları gerekmekte.”

VERBİS’ten Muaf Olan Kanundan da Muaf Sayılmaz 

“Birtakım meslek grupları ve kuruluşlar bu yükümlülükten istisna tutuldu. Noterler, avukatlar, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, gümrük müşavirleri, arabulucular ve yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişiler de bu kapsama dahil edildi. VERBİS’e kayıt yükümlülüğünün ihlal edilmesi halinde firmaları 1.966.862-TL’ye kadar çıkabilen ciddi yaptırımlarla karşılaşması söz konusu olabilir. Altını çizmek gerekir ki VERBİS’e kayıt yükümlülüğünden muaf olmak mevzuat hükümlerine uygun veri faaliyetleri gerçekleştirmekten muaf olmak anlamına gelmez!”

Firmalar İlgili Kişilere Karşı Aydınlatma Yükümlülüğünü Yerine Getirmeli

‘Şahıslar verilerinin ne şekilde işlendiğinde ilişkin nasıl bilgi sahibi olacak? Firmaların bu güveni sağlamak için izledikleri yol nedir?’ diye sorduğumuzda Fırat şu yanıtı veriyor: “VERBİS’e kayıt yükümlülüğünün yanı sıra veri sorumlularının aydınlatma yükümlülüğünü de yerine getirmesi gerekiyor. Bu kapsamda veri sorumluları topladıkları verilerle ilgili olarak bu verileri hangi amaçla işleyecekleri, hangi amaçlarla kimlere aktarabilecekleri, veri toplama faaliyetinin yöntemi ve hukuki sebeplerine ve veri sahiplerinin kanunda sayılan haklarına yer vermekle yükümlüler. Bu yükümlülüğün ihlali halinde ise 196.686-TL’ye varabilen idari para cezasıyla karşılaşabilirler. Ayrıca, VERBİS kayıt yükümlülüğü olan firmalar, işledikleri verilere ilişkin bir veri envanteri oluşturmak ve kişisel veri saklama ve imha politikası hazırlamak zorundalar.” 

Firmalar KVKK Sürecini Takip Edecek Ekipler Kurmalı  

Fırat: “Kurul tarafından, verilerle ilgili alınacak önlemlere ilişkin de rehberler yayımlandı. Kişisel Veri Güvenliği rehberinde belirtildiği üzere, veri sorumluları verilere ilişkin hususlarda belli başlı önlemler almalı. Kişisel verilere ilişkin sorumluluk her ne kadar veri sorumlusu olarak firmalara ait olsa da buna ilişkin işlemler çoğunlukla firma personelleri tarafından yürütülüyor. Bu nedenle firmaların sürecin yönetimiyle ilgili bünyesinde gerekli departmanları oluşturması, çalışanlarına düzenli aralıklarla farkındalık eğitimleri vermesi ve tüm iş süreçlerini hukuka uygun şekilde yürütmesi mevzuatla uyum ve yaptırımlardan kaçınılabilmesi için oldukça önemli. Ayrıca, uyum sürecinin yürütülmesinde firmanın faaliyet alanı, yapılanması ve iş süreçleri oldukça önem teşkil ediyor. Sürecin sağlıklı yürütülmesi hem hukuki hem de teknik tarafta gerekli çalışmaların yapılmasıyla mümkün. Bu nedenle sürecin sürdürülebilirliği ve olası risklerden kaçınılabilmesi adına düzenli olarak danışmanlık hizmeti alınması önemli. IAS olarak, sürecin takibi hususunda gerekli departmanların kurulması ve dokümantasyonlar ile uygulamaların organize edilmesi konusunda çalışmalarımızı ilgili birimler ile koordineli olarak takip ediyoruz.”