Veri Koruma Hukuku

Şirketler için KVKK Uyum Süreci

Yazar 6 Aralık 2022Ekim 3rd, 2023No Comments10 dakikalık okuma
Şirketler için KVKK Uyum Süreci

Şirketlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumu gerçekleştirmek adına yerine getirmesi gereken birden fazla yükümlülük bulunmaktadır. Şirketler bu yükümlülükleri yerine getirirken başta 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan genel ilkeleri ve diğer tüm maddelerini, tebliğleri, yönetmelikleri, Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberleri ve Kişisel Verileri Koruma Kurulu tarafından verilen kararları dikkate almalıdır.  

Şirketler için KVKK Uyum Süreci

Kişisel Verilerin Korunması Mevzuatına uyum süreci içerisinde birçok aşamaya yer vermektedir. Bu aşamalar;

  1. Uyum stratejisinin oluşturulması ve uygulanması,
  2. Başlangıç (kick-off) toplantısının gerçekleştirilmesi,
  3. Kişisel veri envanterinin çıkarılması,
  4. Boşluk analizi sürecinin yürütülmesi,
  5. Uyum danışmanlığının gerçekleştirilmesi,
  6. Veri koruma eğitiminin ve bilinçlendirmenin sağlanması,
  7. Uyum sürecinin sona ermesini takiben gözden geçirme çalışmalarının yapılmasıdır.

İlk aşama olarak sayılan uyum stratejisinin oluşturulması ve uygulanması sürecinde veri sorumlusu şirket kendisinin de gelecekte uygulayacağı bir uyum stratejisi oluşturmakta ve bu uyum stratejisiyle gelecekte yaşanabilecek mevzuata uyum sorunlarının önüne geçilmeye çalışılmaktadır. Uyum stratejisi ile projenin şirketin hangi bölüm ve departmanlarına ne şekilde uygulanacağı, kişisel verilerin korunması mevzuatına uygun bir şekilde revize edilecek doküman ve politikaların neler olacağı ile gelecekte kişisel verilerin işlenmesi durumunda ne gibi aksiyonlar alınacağı hakkında şirketçe vizyon ve misyon benimsenmektedir. Uyum stratejisi oluşturulurken bütüncül ve derinlemesine bir bakış açısı kullanılarak mevzuata tam uyum hedeflenmelidir.

İkinci aşama sayılan başlangıç (kick-off) toplantısının gerçekleştirilmesi sürecinde gündem bölüm ve departmanlardan önceden görevlendirilmiş kişi veya kişilerin uyum projesi süresince yapması gerekenlerdir. Veri sorumluları uyum projesinde görev alacak kişi veya kişileri belirlerken tüm kişisel veri işleme süreçlerine ve veri setlerine hâkim kişileri seçmeye özen göstermelidir. Bu kişiler genellikle departman veya bölüm yöneticileri olarak karşımıza çıkmaktadır. Uyum süreci için oluşturulacak veri koruma çalışma grubu ve yöneticisi mümkün olduğunca başlangıç (kick-off) toplantısından önce veya en geç toplantı sırasında belirlenmiş olmalıdır. Bu kişilerin belirlenmemiş olması ileride uyum projesi planında aksaklıklara sebep olabilecektir.

Üçüncü aşama olarak sayılan kişisel veri envanterinin çıkarılması aşamasında veri sorumlusu şirket ve veri koruma çalışma grubu, Kişisel Verilerin Korunması Mevzuatına uyumu gerçekleştirmek adına işledikleri ve aktarımda bulundukları kişisel veriler hakkında bir kişisel veri envanteri hazırlamaktadır. Bu envanter içerisinde;

  • Kişisel veri işleme faaliyetlerinin içeriği,
  • Kişisel veri işleme amacı ve hukuki sebebi,
  • Kişisel veri kategorisi (Örneğin: Kimlik, özlük, iletişim, sağlık bilgileri vb.)
  • Kişisel verilerin aktarıldığı alıcı grupları ve hangi amaç ve hukuki sebeple bu kişilere kişisel veri aktarıldığı,
  • Veri konusu kişi grupları,
  • Kişisel veri saklama süresi,
  • Yabancı ülkelere aktarılacak kişisel veriler,
  • Kişisel veri güvenliğinin sağlanmasına ilişkin alınan teknik ve idari tedbirler,

konularına yer verilmektedir. Kişisel veri envanteri hazırlanmasına ilişkin yükümlülük Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesinde açıklanmıştır. İlgili madde uyarınca Veri Sorumluları Sicili’ne kayıt olmakla yükümlü veri sorumlularının kişisel veri saklama ve imha politikası oluşturması zorunlu olup oluşturulacak bu politikaların kişisel veri envanteri dikkate alınarak hazırlanması gerekmektedir. Madde hükmünde her ne kadar Veri Sorumluları Sicili’ne kayıtla yükümlü veri sorumlularından bahsedilmiş olsa da Kişisel Verilerin Korunması Mevzuatı’na uyum ve yükümlülüklerin eksiksiz yerine getirilmesi adına kişisel veri envanteri hazırlanması veri sorumlularına birçok yönden kolaylık sağlayacaktır. Veri sorumluları böylelikle mevcut durumda hangi kişisel verileri, hangi amaçlarla ve ne şekilde işledikleri hakkında kesin bilgi sahibi olabilecektir.

Kişisel veri envanterinin çıkarılmasından sonra boşluk analizinin yapılması gerekmektedir. Boşluk analiziyle kişisel veri envanterinin çıkarılmasından sonraki mevcut durum dijital bir rapor halinde ortaya konmaktadır. Bu rapor sayesinde veri sorumlusu mevcut durumu, tamamlanması gereken eksiklikleri ve bu zamana dek yapmış olduğu yanlışlıkları görerek Kişisel Verilerin Korunması Mevzuatı’na uyumluluğa bir adım daha yaklaşmaktadır.

Beşinci aşama olan uyum danışmanlığının gerçekleştirilmesi sürecinde ise boşluk analizinin yapılmasıyla ortaya çıkarılan sorunlar çözülmektedir. Bu aşamada veri sorumlusu şirketin uygulayacağı politika ve prosedürler belirlenerek ilgili dokümanlar hazırlanmaktadır. Bu dokümanlara ek olarak şirketin kişisel veri işlediği süreçlerde ilgili kişilere sunulacak aydınlatma ve açık rıza metinleri de oluşturulmakta, şirketin mevcut sözleşmeleri kişisel veriler yönünden yetkili kişilerce gözden geçirilmektedir. 

Uyum sürecini yürütürken tamamlanması gereken bir diğer aşama ise veri koruma eğitimi ve bilinçlendirmedir. Kişisel Verilerin Korunması Mevzuatı’na uyum için gerçekleştirilecek projelerde atlanmaması gereken en mühim husus her zaman güncelliğini koruması gerektiğidir. Bu sebeple veri sorumlusu altında çalışan her bir çalışan kişisel verilerin korunması kapsamında bilgilendirilmeli, eğitimler sırasında çalışanların uyması gereken kurallar ve uyulmaması halinde çalışanlara ve veri sorumlusu şirkete yönelik yaptırımların ne olacağı açıkça belirtilmelidir.   

Uyum sürecinin son aşaması gözden geçirme aşamasıdır. Veri sorumlusu şirket uyum projesinin tamamlanmasından sonra da kişisel veri işleyeceğinden belirli aralıklarla kendisini denetimlere tabi tutmalıdır. Bu denetimler vasıtasıyla olası kişisel veri ihlallerinin önüne geçilmekte ve mevzuatta getirilen yenilik ve değişiklikler kapsamında önceden gerçekleştirilen uyum projesi güncellenmektedir.

Şirketlerin Aydınlatma ve Açık Rıza Alma Yükümlülüğü

Aydınlatma ve açık rıza alma yükümlülüğü 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta açıkça belirtilmektedir. 

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü açıklanmıştır. İlgili hüküm uyarınca kişisel verilerin en geç elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebinin ne olduğu ile ilgili kişinin haklarının neler olduğu hakkında bilgi sağlanmalıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ek olarak Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de aydınlatma yükümlülüğünün yerine getirilmesi için başkaca kurallara da yer verilmiştir. Buna göre veri sorumlusu şirket; aydınlatma yükümlülüğünü sözlü, yazılı, ses kaydı ve çağrı merkezi gibi fiziksel ve elektronik ortamlar kullanmak suretiyle yerine getirebilecektir. Aydınlatma yükümlülüğü, kişisel veri işleme amacı değiştiğinde değişen yeni amaç için ayrıca yerine getirilmelidir.

Açık rıza 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. İlgili tanım uyarınca açık rızanın belirli bir konuya ilişkin olması, ilgili kişiyi bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekmektedir. Şirket tarafından hazırlanacak açık rıza metinlerinde bu üç unsur gözetilmeli, ilgili kişinin ileteceği tüm kişisel veriler için onay vereceği belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikte açık rızalar ilgili kişilerden alınmamalıdır.

Şirketlerin VERBİS Kayıt Yükümlülüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca kişisel veri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (VERBİS) kaydolmak zorundadır. Bu kişiler sırasıyla;

  • Yıllık çalışan sayısı elliden çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları, 
  • Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları, 
  • Yıllık çalışan sayısı elliden az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile 
  • Kamu kurum ve kuruluşu veri sorumluları

olarak sayılmıştır. Şirketler yukarıda sayılan kişi grupları içinde değillerse Veri Sorumluları Sicili’ne (VERBİS) olarak kayıt yükümlülükleri doğmayacaktır.

Yukarıda hukuki açıdan önem ihtiva eden Şirketlerin KVKK uyum sürecinde yapması gerekenler konusu genel bir çerçeveyle açıklanmıştır. Şirketlerin KVKK uyum sürecinde yapması gerekenler konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code