Şirketlere Özel Kişisel Verileri Koruma Kanunu (KVKK) Danışmanlığı ve Uyum Süreci

Değerli Şirket Sahipleri ve Yöneticileri,

Günümüzde teknolojinin hızla gelişmesiyle birlikte kişisel verilerin işlenmesi de kaçınılmaz hale gelmiştir. Türkiye Cumhuriyeti Anayasası ile güvence altına alınan kişisel verilerin korunması hakkı, 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) ile detaylı bir şekilde düzenlenmiştir. Şirketlerinizin faaliyetlerini yürütürken bu yasal düzenlemelere tam uyum sağlaması, hem hukuki riskleri bertaraf etmek hem de müşteri güvenini tesis etmek açısından büyük önem taşımaktadır.

Kale Hukuk ve Danışmanlık olarak, şirketlerin KVKK süreçlerine tam uyum sağlamaları için kapsamlı danışmanlık ve uyum süreci hizmetleri sunmaktayız. Alanında uzman kadromuz ile şirketinizin özgün ihtiyaçlarına yönelik çözümler üreterek, KVKK’nın getirdiği yükümlülükleri eksiksiz bir şekilde yerine getirmenize yardımcı oluyoruz.

Şirketlerin KVKK Kapsamında Dikkat Etmesi Gereken Temel Hususlar:

Şirketlerin KVKK’ya uyum sürecinde aşağıdaki temel hususlara özellikle dikkat etmesi gerekmektedir:

• Veri Envanterinin Oluşturulması: Şirket bünyesinde işlenen tüm kişisel verilerin kategorileri, işleme amaçları, veri sahibi grupları, aktarım alıcıları ve saklama süreleri gibi detayları içeren bir veri envanteri hazırlanmalıdır.
• Aydınlatma Yükümlülüğünün Yerine Getirilmesi: Kişisel verileri işlenen ilgili kişilere (müşteriler, çalışanlar, tedarikçiler vb.) veri sorumlusu kimliği, veri işleme amaçları, aktarım alıcıları, veri toplama yöntemi ve hukuki gerekçesi ile ilgili açık ve anlaşılır bilgiler sunulmalıdır. Aydınlatma metinleri hazırlanmalı ve ilgili kişilere sunulma yöntemleri belirlenmelidir.
• Açık Rıza Alınması: Kişisel verilerin işlenmesi için Kanun’da sayılan hukuki sebeplerden biri bulunmuyorsa, ilgili kişilerin özgür iradeleriyle ve bilgilendirilmiş olarak verdikleri açık rızaları alınmalıdır. Açık rıza süreçleri hukuka uygun şekilde yönetilmelidir.
• Veri Güvenliğinin Sağlanması: Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbir alınmalıdır. Bu tedbirler arasında erişim yetkilendirme, şifreleme, sızma testleri, veri maskeleme, fiziksel güvenlik önlemleri ve çalışanların eğitimi yer alabilir.
• Veri Sorumlusu Siciline (VERBİS) Kayıt: Kişisel Verileri Koruma Kurumu (KVKK) tarafından belirlenen kriterlere uyan veri sorumlularının VERBİS’e kayıt olması zorunludur. Kayıt süreci doğru ve eksiksiz bir şekilde tamamlanmalıdır.
• İlgili Kişi Başvurularının Cevaplanması: Kişisel verileri işlenen kişilerin KVKK’nın 11. maddesinde sayılan haklarını kullanmalarına olanak tanınmalı ve yapılan başvurular yasal süresi içinde cevaplandırılmalıdır. Başvuru süreçleri ve cevaplama mekanizmaları oluşturulmalıdır.
• Veri İşleyenlerle Sözleşmeler: Kişisel veri işleme faaliyetlerinin bir kısmı üçüncü taraf veri işleyenler aracılığıyla yürütülüyorsa, veri sorumlusu ile veri işleyen arasında KVKK’ya uygun sözleşmeler akdedilmelidir.
• Kişisel Veri İhlali Bildirimi: Kişisel verilerin güvenliğinin ihlal edilmesi durumunda, KVKK’da belirtilen usul ve esaslara göre Kişisel Verileri Koruma Kurulu’na (Kurul) ve ilgili kişilere bildirimde bulunulmalıdır.

KVKK Denetimlerinde Yetkili Makamlar Neleri Denetler?

Kişisel Verileri Koruma Kurulu (Kurul) ve ilgili diğer kamu kurum ve kuruluşları, şirketlerin KVKK’ya uyumunu denetleme yetkisine sahiptir. Bu denetimlerde genellikle aşağıdaki hususlar incelenir:

• Veri Envanteri: Veri envanterinin oluşturulup oluşturulmadığı, içeriğinin doğruluğu ve güncelliği.
• Aydınlatma Yükümlülüğü: Aydınlatma metinlerinin hazırlanıp hazırlanmadığı, içeriği, ilgili kişilere sunulma şekli ve zamanlaması.
• Açık Rıza Süreçleri: Açık rıza alınması gereken durumlarda, rızanın hukuka uygun şekilde alınıp alınmadığı ve kayıtlarının tutulup tutulmadığı.
• Veri Güvenliği Tedbirleri: Alınan teknik ve idari tedbirlerin yeterliliği ve etkinliği.
• VERBİS Kaydı: VERBİS’e kayıt yükümlülüğü olan şirketlerin kaydını yaptırıp yaptırmadığı ve bilgilerin doğruluğu.
• İlgili Kişi Başvuruları: İlgili kişi başvurularının usulüne uygun olarak alınıp alınmadığı ve zamanında cevaplandırılıp cevaplandırılmadığı.
• Veri İşleyenlerle İlişkiler: Veri işleyenlerle yapılan sözleşmelerin KVKK’ya uygunluğu.
• Kişisel Veri İhlali Bildirimleri: Meydana gelen ihlallerin Kurul’a ve ilgili kişilere zamanında bildirilip bildirilmediği.
• Çalışanların Eğitimi: KVKK konusunda şirket çalışanlarına gerekli eğitimlerin verilip verilmediği.