Makaleler
‘KİŞİSEL VERİLERİ KORUMA KANUNUNUN İŞLETMELERE GETİRDİĞİ YÜKÜMLÜLÜKLER’
‘KİŞİSEL VERİLERİ KORUMA KANUNUNUN İŞLETMELERE GETİRDİĞİ YÜKÜMLÜLÜKLER’
İnsan kaynakları, güvenlik birimi, muhasebe departmanı, satış ve pazarlama bölümü, bilgi işlem bölümü gibi işletmelerin hemen her bölümünde kişisel veriler işlenmektedir. Örneğin, bir işletmeye iş başvurusunda bulunan bir çalışan adayının insan kaynakları bölümüne e-mail ile yolladığı CV’si, bir markette satın aldığı ürünler için ödeme yapmak isteyen müşterinin kredi kartı, bir sitedeki arkadaşını ziyaret eden kişinin video kaydı ya da aracının plakası kişisel veriler içerir. Kişisel veriyi elde etme, tutma, depolama, yayma, çoğaltma, eşleştirme, yok etme işlemlerinin tamamı veri işleme sayılmaktadır. Kişisel Verilen Korunması Kanunu (“KVKK”) ile amaçlanan, bu denli kişisel verinin işlendiği sistemlerin düzenlenerek kontrol edilebilir hale getirilmesidir. Nitekim, kişisel verilerin korunmasını talep etmek her bireyin anayasal hakkıdır.
KVKK’nın 2016 senesinde yürürlüğe girmesini takiben, kişisel veri işleyen işletmeler, kişisel verilerin korunması için daha fazla yasal sorumluluk ve idari yaptırım altındadır. Kişisel verilerin hukuka aykırı olarak kaydedilmesi, kişisel veriyi hukuka aykırı olarak başkasıyla paylaşma, yayma, ele geçirme, verileri kanunun belirlediği süreler içinde silmeme Türk Ceza Kanunu uyarınca suç teşkil etmekte, 1 yıldan 4 yıla kadar hapis cezası müeyyidesi getirmektedir. KVKK uyarınca aydınlatma yükümlülüğünü, veri güvenliğine ilişkin yükümlülükleri, veri sorumlusu siciline kayıt ve bildirim yükümlülüğü, kurul kararlarını yerine getirme yükümlülüğünü yerine getirmeyenler 5.000 TL-1.000.000 TL tutarları arasında idari para cezası ile karşı karşıya gelmektedirler.
KVKK her bir işletmeye, veri envanterinin yapılması, her bir işlem bazında aydınlatma yükümlülüğünün yerine getirilmesi, veri saklama ve imha politikasının oluşturulması, kişisel veri politikasının oluşturulması, idari ve teknik tedbirlerin alınması, personelin eğitilmesi, (istisna kapsamındaki işletmeler hariç) VERBİS kaydı yapılması yönünde yükümlülükler getirilmiştir.
Her şirket veri işler. Müşteri verileri, personel bilgileri, personelin bilgisayarında tuttuğu kişisel veriler şirketin veri riskidir. Örneğin, personel özlük dosyasında fazla bilgi tutmak İnsan Kaynakları Bölümü’ne ait risktir. Kullanılmayan müşteri verisi tutmak Pazarlama Bölümü’ne ait risktir. Personelin kişisel mail adresinin sistemde otomatik kaydedilmesi Bilgi Teknolojileri Bölümü’ne ait risktir. Şirket risklerinin her biri bölümlere göre belirlenmeli, önlem alınmalı, bu riskler Kurul kararları ve güncel mevzuata göre sürekli güncellenmelidir.
Bu kapsamda öncelikle ilk aşamada şirket veri giriş hareketlerinin tespit edilmesi, veri işleme faaliyetlerinin incelenmesi ve veri envanterinin oluşturulması, veri işleme faaliyetlerinin hukuki dayanağının tespit edilmesi, şirket departmanlarındaki veri kategorilerinin tespit edilmesi, VERBİS sistemine uyumlu veri envanter dokümantasyonunun oluşturulması, Kişisel Veri Koruma Kurulu’na bildirilecek irtibat kişisinin tespiti ve eğitimi gerçekleştirilmelidir.
Gerçekleştirilmesi gereken diğer aşamalar ise, kişisel veriyle karşılaşma halinde, kişisel veri sahiplerinin bilgilendirilip aydınlatılması, rızalarının alınması işlemlerinin hazırlanması; sözleşmeler, formlar, kayıt defterleri, internet sitesi gibi alanlarda her bir işlem için ayrı ayrı aydınlatma ve rıza dokümantasyonlarının hazırlanması; KVKK uyarınca özel nitelikli veri olarak belirlenen verilerin işlenmesi için gerekli politikanın oluşturulması; her bir kişisel veri için saklama süresi, imha, anonim hale getirme işlemlerinin usul ve politikasının belirlenmesi; personelin çalıştığı departmanın niteliğine göre bilinçlendirilmesi, temel eğitimlerinin verilmesi, Kişisel Verilerin Korunması Kurulu’na şikayet ve itiraz aşamalarına yönelik bilgilendirme yapılmasıdır.