KVKK’ya tabi şirketler ve kuruluşlar, çalışanlarının, çalışan adaylarının, müşterilerinin, iş ortaklarının ve tedarikçilerinin verilerini, veri sorumlusu sıfatıyla işlemektedir. Şirketler ve kuruluşlar, işledikleri verileri korumak ve güvenliğini sağlamakla yükümlüdür. Bu amaçla verilerin işlendiği ve saklandığı ortamların teknolojik altyapılarının kurulması ve koruyucu önlemlerin alınması yine şirketlerin yükümlülükleri arasındadır.
KVKK uyum süreci hem hukuki yönü itibariyle hem de teknolojiye bakan yönü itibariyle yetkinlik gerektiren bir süreçtir. Uyum sürecinde avukatların, veri sorumlularının, şirket çalışanları ile yöneticilerin uyum içinde çalışması ve ciddi bir efor sarfedilmesi gereklidir.
KVKK Uyum Sürecinde Yapılacak İşlemler
Uyum sürecinde avukatların karşılaştıkları en önemli sorun, KVKK mevzuatını bilmelerine, gerekli metin ve politikaları hazırlamalarına rağmen, firmayla karşı karşıya geldiklerinde nereden başlayacaklarını kestirememeleri olabilir. Aşağıdaki maddeler avukatlar ve diğer uyum süreci aktörleri için bir yol haritası niteliğindedir:
- Kişisel verilerin korunması hakkında bilgilendirme ve eğitim: Çalışanların uyum sürecinin ve kendilerine düşen sorumluluğun farkında olabilmeleri adına eğitime tabi tutulmaları önemlidir.
- Kişisel veri işleme sürecinin planlanması: Uyum sürecini başarılı bir şekilde tamamlamak, kişisel verilerin toplanması kararından silinmesine kadar geçen sürecin iyi planlanması ile mümkündür
- Kişisel veri envanterinin hazırlanması: Veri sorumluları, işledikleri kişisel verilerin envanterini çıkarmakla yükümlüdür. Envanter, veri sorumlusunun hangi tür kişisel verileri, hangi amaçlarla, hangi işlemlerle, hangi zaman süresince işlediğini ve hangi kişilerle paylaştığını gösteren bilgilerdir.
- Kuruluşun veri sorumlusu olarak VERBİS’e kaydedilmesi: Veri Sorumluları Sicili (VERBİS)’ine kayıt noktasında muaf tutulmayan bütün veri sorumluları sicile kaydolmakla yükümlüdür.
- Kuruluşun irtibat kişisinin belirlenmesi ve VERBİS’e kaydedilmesi: Veri sorumlusunca atanan irtibat kişisi, KVK Kurumu ile veri sorumlusu ve ilgili kişi arasındaki iletişimi sağlar.
- Envanterdeki kişisel verilerin VERBİS’e bildirilmesi (VERBİS’e kaydedilecek veriler):
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin kullanım amacıyla aynı doğrultuda belirlenecek işlenme amacı,
- Kişisel verilerin işlenme amacına göre gerekli maksimum süre,
- Veri konusu kişiler ile kişi gruplarına ait veri kategorileri hakkındaki bilgiler,
- Kişisel verilerin aktarılabileceği alıcı grupları,
- Yabancı ülkelere aktarılabilecek kişisel veriler,
- Kişisel verilerin güvenliğinin sağlanması amacıyla alınan tedbirler.
- Aydınlatma Metni, Açık Rıza Beyan Formu, İlgili Kişi Başvuru Formu, Gizlilik ve Çerez Politikası (Cookies) gibi belgelerin hazırlanması: Kişisel veri envanteri hazırlandıktan sonra yapılacak işlemlerden ilki, aydınlatma metni ile diğer sözleşme ve politikaların hazırlanmasıdır. Aydınlatma metninde kişisel verilerin hangi amaçla edinildiği, nerde saklandığı, verilere kimler tarafından erişilebileceği, verilerin kimlere aktarılabileceği açıklanır. Uyum sürecinde hazırlanan hukuki metinler, çalışanları, çalışan adaylarını, müşterileri, kamuoyunu ve üçüncü kişileri aydınlatmayı amaçlar.
- Şirket içi siber güvenlik politikalarının oluşturulması: Veri sorumluları, verilerin saklandığı ortamların network güvenliği ile elektronik veri güvenliğini sağlamak, üçüncü kişilerin izinsiz erişimlerini engellemek ve sızma testlerini yapmakla yükümlüdür.
KVKK Uyum Sürecinde Avukatların Rolü
KVKK uyum sürecinde avukatların varlığı ve rolünün belirlenmesi çok önemlidir. Çünkü, süreçte yer alan bilişim uzmanları, veri güvenliğine odaklanırken avukatlar ise hukuki yapılanmaya odaklanırlar. Avukatları, sürecin diğer aktörlerinden ayıran husus, hukuk nosyonudur.
Avukatlar, şirketlerin uyum sürecinde gerçekleştirilen iş ve işlemlerin mevzuata aykırı olan veya mevzuatın gerekliliklerin karşılamayan yönlerini tespit etmekte ve gerekli düzenlemeleri yapmaktadır. Bazen tüm sözleşme metinlerinin yeniden hazırlanması gerekmekte yahut yeni politika ve prosedürler oluşturulmaktadır. Bütün bu sayılanlar, ancak KVKK süreçlerine hakim olan bir avukatın desteği ile gerçekleştirilebilir. Çünkü kişisel verilerin korunması konusu hem anayasa hukuku ile ceza hukukuna hem de hukukun diğer alanlarına temas etmektedir. Hukukun birçok alanıyla ilişkili olan KVKK sürecinin avukat desteği alınmadan tamamlanması, uyum sürecinin hukuki eksikliklerle malül olmasına neden olabilir. Dahası, mevzuata uygun bir uyum süreci gerçekleştirilemezse şirketin idari para cezaları ile karşılaşması da söz konusu olabilir.