6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NA UYUM SÜRECİ: NELER YAPIYORUZ?

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun" veya "KVKK") 7 Nisan 2016 tarihinde yürürlüğe girerek bütün şirketlerin kişisel veri işleme süreçlerinde yeni bir dönem başlatmıştır. Şirketler, ticari faaliyetlerini yerine getirirken çeşitli iş ve işlemler yapmakta ve bu süreçlerde kişisel veri işlemektedir. Kanun, kişisel verilerin işlenmeye başladığı noktada devreye girerek kişisel veri işlenmesini gerektiren her bir süreç için düzenlemeler yapmış ve getirdiği hükümlere uygun hareket etme yükümlülüğü öngörmüştür.

Kişisel veri, gerçek kişiyi belirlenebilir kılan, tanımlanacak hale getiren her türlü veridir. Örneğin, isim, soy isim, kimlik numarası, pasaport numarası, araba plakası, cep telefonu numarası, adres, sabıka kaydı, parmak izi, din bilgisi gibi kişiye ait her türlü bilgi kişisel veridir. Kişisel veri kapsamının sınırlandırılması mümkün olmadığı gibi objektif bir niteliğe sahip olmadığını belirtmek gerekir. Dolayısıyla gerçekleştirmiş olduğunuz her bir sürece "ben bu süreçte kişisel veri işliyor muyum" sorusunu sorarak yaklaşmak yerine "ben bu süreçte mutlaka kişisel veri işliyorumdur" şeklinde yaklaşmanızı öneriyoruz.

KVKK, gerçek kişiye ilişkin verilerin korunmasına dair düzenlemeler getirmektedir. Yani tüzel kişilere ait veriler (doğrudan bir gerçek kişi belirlenebilir hale getirmedikçe) bu Kanun kapsamı dışındadır.

Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen veri sorumlularının yükümlülüklerini düzenlemek ve bu kapsamda uyulacak usul ve esasları belirlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir.

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan (gerçek veya tüzel) kişilerdir. Tüzel kişiler, kişisel verilerin işlenmesinden sorumlu olduklarından veri sorumlusudur. Dolayısıyla şirketler de gerçekleştirdikleri faaliyetlere ilişkin olarak işledikleri veriler bakımından veri sorumlusu olup; işbu Kanun kapsamında doğrudan sorumludur.

Neden Böyle Bir Düzenlemeye İhtiyaç Duyuldu?

Kişisel verilerin korunması alanında yasal düzenlemelere ihtiyaç duyulmasının nedeni verilerin bilinçsiz bir şekilde ve neredeyse sonsuza kadar kullanılabileceği algısıdır. Konuyla ilgili yasal gelişmeler artık bu düzenin değişmesini amaçlamaktadır. Buna göre, her bir kişisel veri işleme sürecinde, veriyi işlemeden evvel "bu süreç için bu veriye gerçekten ihtiyacım var mı", "bu süreci yerine getirebilmek için hangi verileri kullanmam zorunlu", "bu verilerin güvenliğini sağlayabilmek için nerede saklamalıyım", "bu verileri kimlerle paylaşabilirim", "kullandığım verilere ne kadar süreyle ihtiyacım var" ve "ihtiyaç duyduğum süre sona erdiğinde bu verileri yok etmeli miyim" gibi sorular sorulmalı ve kişisel veriler bu soruların cevabına göre Kanuna uygun şekilde işlemeli veya belki de hiç işlenmemelidir. İşte bu uyum projesiyle Şirketinizin gerçekleştirdiği her bir süreç için söz konusu soruların cevabı aranacak ve bu doğrultuda bir düzen oluşturulacaktır.

Dikkatinizi çekmek isteriz ki, Kanun kişisel verilerin kullanılmamasını/işlenmemesini/saklanmamasını öngörmemektedir. Elbette kişisel veriler işlenecektir; Kanun kişisel verilerin nasıl hukuka uygun şekilde kullanılacağını/işleneceğini/saklanacağını düzenlemektedir.

KVKK Uyum Projesinin Amacı Nedir?

Veri sorumlusu, ticari amaçlarla yerine getirdiği her bir süreçte kullandığı kişisel veriler bakımından Kanun'a uygun olarak hareket etmek zorundadır. Kanun'a uygunluk, kişisel verilerin elde edilmesinden yok edilmesine kadar geçen çok uzun bir süreçte izlenmesi gereken ilkeleri ve yerine getirilmesi gereken kural ve düzenlemeleri ifade eder. İşte bu projelerde şirketlerin veri sorumlusu sıfatıyla gerçekleştirdiği tüm süreçlerde Kanun'a uyumluluk kapsamındaki eksikliklerinin ve ihtiyaçların belirlenmesi ve bu eksiklik ve ihtiyaçların giderilmesi için gerekli çalışmaların yapılması amaçlanmaktadır. Burada dikkat edilmesi gereken nokta Kanun'un kişisel verilerin kullanılmamasını değil, bunların Kanun hükümlerine uygun olarak kullanılmasını sağlamayı amaçladığıdır. Bu amaca ulaşmak için hangi aşamalardan geçileceğini aşağıda projelerin kapsamına ilişkin bölümde açıklayacağız.

KVKK Uyum Projesini Ne Zaman Yapmaya Başlamalısınız?

Esas olarak 6698 sayılı Kanun 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; geçiş sürecine ilişkin öngörmüş olduğu tüm süreler 7 Nisan 2018 tarihi itibariyle sona ermiş bulunmaktadır. Dolayısıyla halihazırda tüm şirketler gerçekleştirdikleri kişisel veri işleme süreçleri bakımından Kanun'a uyumlu olmak zorundadır. Kişisel Verileri Koruma Kurulu ("Kurul") Kanun'a uyumlu olmayan süreçler bakımından Kanun'un öngörmüş olduğu idari para cezalarını uygulamakta ve buna ilişkin vermiş olduğu kararların bir kısmını da kamuya açık bir şekilde paylaşmaktadır. Dolayısıyla KVKK uyum projesine ilişkin çalışmanın bir an önce başlatılması gerekir.

KVKK'ya Uyumlu Olmamanın Olumsuz Bir Etkisi Olur mu?

KVKK uyumluluk sürecinin sürdürülebilirliği büyük önem arz etmektedir. Mevzuata aykırı davranılması halleri için 5.000 TL'den 1.000.000 TL'ye (idari para cezaları her yıl yeniden değerleme oranında artırıldığından 2020 yılı için en düşük ceza 9.013 TL olup en yüksek ceza 1.802.641 TL olmuştur) kadar idari para cezaları öngörülmüştür.

KVKK Uyum Projesinin Kapsamı: Bu Süreçte Neler Yapacağız?

Uyum çalışmamızın kapsamı aşağıda belirtilen aşamalardan oluşmaktadır:

1.       Genel hatlarıyla KVKK farkındalık eğitimi

Kişisel verilerin korunmasına ilişkin kurallara uyulmasının ilk aşaması konuyla ilgili farkındalığın oluşmasıdır. Bu nedenle öncelikle kişisel verilerin korunmasının ne olduğu, neden yapılması gerektiği ve bundan sonra nelere dikkat edilmesi gerektiğine ilişkin bir bilinç ve farkındalık eğitiminin yapılmasını öneriyoruz.

Bu nedenle projeye başlangıç olarak Şirketin üst düzey yöneticileri de dahil olmak üzere mümkünse tüm çalışanlara veya daha sonra kendi bölümleri ile paylaşmak üzere şirkette mevcut departmanların müdürlerine / yöneticilerine ve özellikle İK ve IT bölümlerine "kişisel veri"nin ne olduğuna, ne şekilde işlendiğine ve kişisel veriler işlenirken uyulması gereken kurallara ilişkin maksimum süresi 1 iş günü olan ilk farkındalık eğitiminin verilmesini öngörüyoruz.

2.       Kişisel veri envanterinin çıkartılması

Yerine getirmekte olduğunuz süreçleri Kanun'a uygun hale getirmek için öncelikle ne yaptığınızı bilmeye ihtiyacımız var. Envantere girilmeyen bir sürecin tarafınızca yerine getirildiğini tahmin etmemiz mümkün olmayıp; şirketinizin kişisel verilerin korumasına ilişkin metinlerinin Kanun'a uyumlu bir şekilde tasarlanması veya düzenlenmesi de mümkün olmayacaktır. Bu nedenle öncelikle şirketlerin yerine getirdiği tüm süreçlerin yer aldığı bir envanter çıkartmayı ve böylece mevcut durumunun bir fotoğrafını çekmeyi hedefliyoruz. Bu aşama şirket büyüklüğüne göre 1-3 ay sürebilmektedir.

Bu aşamanın temel başlıkları ise şu şekilde özetlenebilir:

• Envanterin nasıl doldurulacağına ilişkin bir envanter çalışmasının yapılması,
• Şirketin her bir departmanından belirlenen bir ve/veya iki kişiyle birlikte bu envanterin doldurulmasının sağlanması,
• Şirket bünyesindeki iş birimlerine -gerekirse departmanların müdürlerine / yöneticilerine ayrı ayrı olmak üzere- toplantılar organize ederek iş süreçleri ile ilgili bilgi alınması,
• Oluşturulan envanter taslağının kontrolü ile gerekli değişiklik ve düzeltmelerin yapılması,
• Envanter üzerinde yapılan çalışmalar sonucunda nihai hale getirilmesi, böylece şirketin bütün süreçlerinin bu envanterde yer almasının sağlanması
   

3.    Boşluk analizinin yapılması

Boşluk analizi aşaması çıkartılan kişisel veri envanteri doğrultusunda tespit edilen mevcut durumun Kanun hükümleri uyarınca istenen durum ile karşılaştırılmasını içerir. Dolayısıyla burada "şirket, yerine getirmekte olduğu faaliyetlerde ve bunlara ilişkin süreçlerin neresinde eksik, neresinde yanlış veya neresinde doğru" sorularının cevapları aranmaktadır. Bu aşama da yine Şirket büyüklüğün göre 1-2 ay süre almaktadır.

Bu aşamanın temel başlıkları ise şu şekilde özetlenebilir:

• Şirketin mevcut durumunun hukuki analizinin yapılması*,
• Mevcut durumun Kanun gereklilikleriyle karşılaştırılması,
• Kanun hükümleri çerçevesinde yapılması ve yapılmaması gerekenlerin tespiti,
• Sorunlu süreçlerin tespit edilerek gerekli düzenlemelerin yapılmasının sağlanması,
• IT bölümünden veri güvenliğinin nasıl sağlandığına ilişkin bilgi alınması,
• Talep halinde Kanun hükümleri ışığında teknik destek gerektiren durumların ve çözümlerin tespiti.
   

4.       Kanun'a uyumun sağlanması

Kanun hükümlerine uyum sağlanmaya başlanıldığı aşama burasıdır. Zira buraya kadar geçirilen aşamalar şirketin mevcut durumu doğrultusunda eksik veya yanlış olduğu hususları belirlemek içindir. Bundan sonra Kanun'un getirdiği yükümlülüklerin yerine getirilmesi, süreçlerin Kanun hükümlerine göre baştan tasarlanması veya düzenlenmesi, Kanun uyarınca gerekli uyum dokümanlarının oluşturulması, politikaların hazırlanması, sözleşmelerin düzenlenmesi gibi uyum aşamaları gerçekleştirilecektir. Bu aşama da yine Şirket büyüklüğün göre 1-3 ay süre almaktadır.

Bu aşamanın temel başlıkları ise şu şekilde özetlenebilir:

• Şirket politikalarının oluşturulması / tadil edilmesi – Kişisel veri envanterinin tamamlanmasını takiben işlene kişisel verilere ilişkin "Veri İşleme Politikasının" hazırlanması veya var olan politikanın kişisel veri envanteri ışığında tadil edilmesi. Bu politikada, kişisel verilerin saklanma ve imha neden ve şartlarına, veri güvenliği için alınan idari ve teknik tedbirlere, imha tekniklerine, kişisel veri saklama sürelerine, periyodik imha süreçlerine yer verilmesi gereklidir. 
• Aydınlatma metinlerinin hazırlanması / tadil edilmesi – Kişisel veriler, kanunda belirtilen hangi hukuka uygunluk sebebine dayanarak işlenirse işlensin, ilgili kişileri  kişisel verilerinin işlendiğine dair bilgilendirmek zorunlu olduğundan, ilgili kişi - işlenen kişisel veri - veri işlemenin amacı gibi unsurları içeren gerekli sayıda aydınlatma metinlerinin hazırlanması. 
• Açık rıza metinlerinin hazırlanması / tadil edilmesi – Açık rızaya dayanarak işlenen kişisel verilere uygun açık rıza metinlerinin hazırlanması. Kişisel verilerin ilgilinin açık rızası ile işlendiği hallerde, açık rızanın varlığına ilişkin ispat yükü Şirketinizde olduğundan, ispat açısından açık rızanın yazılı olarak veya ispat edilebilir diğer bir şekilde alınması zarureti bulunmaktadır.
• Şirket sözleşmelerinin incelenmesi – (a) Şirketin çalışanları ile akdettiği standart hizmet sözleşmelerin incelenerek gerekli ek protokol ve diğer belgelerin hazırlanması, (b) Şirketin tedarikçileri, hizmet aldığı ve/veya verdiği 3.kişilerle iş ilişkilerini düzenleyen standart sözleşmelerin incelenerek gerekli ek protokollerin hazırlanması ve bu ilişkiler kapsamında alınması gereken idari ve teknik tedbirler hakkında bilgi verilmesi. 
• Şirket formlarının incelenmesi / tadil edilmesi – Şirketin hali hazırda kullanmakta olduğu standart formları bulunuyorsa (ziyaretçi formu, izin formu, iş sağlığı ve güvenliği formu vb.) bu formların gözden geçirilerek gerekli düzenlemelerin yapılması. 
• Teknik destek – veri güvenliğinin temini, siber güvenlik önlemlerinin alınması, Şirketin veri saklama, yedekleme, imha (silme, yok etme veya anonimleştirme) süreçlerinin incelenerek eksikliklerinin belirlenmesi, bu nedenle doğabilecek risklerin tespiti ile çözümlerin sunulması. 
• VERBİS (Veri Sorumluları Sicili) kaydı – VERBİS'e kayıt işleminin başvuru safhası dahil başarılı bir şekilde tamamlanması için gerekli tüm desteğin verilmesi (VERBİS'e kayıt e-devlet üzerinde yapılacağı için bu işlemleri sizin adınıza yürütmüyoruz. Ancak bu süreçte size her türlü desteği veriyoruz, kayıt işlemini birlikte gerçekleştirebiliyoruz). 
• Kişisel verilerin yurt dışına aktarılması sorunun çözülmesi - Yurt dışına veri aktarımının hukuka uygun bir şekilde gerçekleştirilebilmesi için gerekli taahhütname, izin veya onayların alınması

5.       Farkındalık eğitimin tekrarlanması

Kişisel verilerin korunması bütün bu yapılan çalışmanın ötesinde bir bilinç ve farkındalık düzeyi gerektirdiğinden uyum çalışmamızı geçirilen tüm bu aşamaların sonunda yapılacak bir eğitimle sonlandırıyoruz. Bu süreçte nelerin yapıldığı, Şirket içerisinde yeni düzenin nasıl yürüteceği, bundan sonra nelere dikkat edilmesi gerektiği gibi tüm hususlar bu eğitimin konusunu oluşturmaktadır.

KVKK Uyum Projesi Ne Kadar Sürmektedir?

KVKK uyum çalışması kapsamında yukarıda belirtilen aşamaların tamamlanması için şirket büyüklüğüne ve niteliğine göre 4 ile 8 ay arası bir süre öngörüyoruz. Ancak bu çalışmanın arkasında devam eden bir süreç bıraktığını ve "çalışma tamamlandı, başka bir şey yapılmasına gerek yok" gibi bir durumun söz konusu olamayacağını belirtelim.

Bu Uyumluluk Halini Nasıl Sürdürebilirsiniz?

Kişisel veri işleme süreçleri her ne kadar bir uyum projesi çerçevesinde Kanun'a uyumlu hale getirilse de bu projenin ardında devam eden bir süreç olduğu unutulmamalıdır. Zira bir yandan şirket, kişisel veri işlemeye devam etmekte diğer yandan ise mevzuatta değişiklikler yaşanmaktadır; Şirket yeni bir süreç başlatmıştır ve bu süreçte de kişisel veriler kullanılmaktadır; mevcut bir sürecini değiştirmiştir ve bu çerçevede Kanun kapsamında da bazı değişikliklere ihtiyaç vardır. Dolayısıyla uyum projesinin ardından sürdürülebilirliğin sağlanması için konuyla ilgili düzenli olarak danışmanlık hizmeti almanızı öneririz.