KİŞİSEL VERİLERİ KORUMA KANUNU UYUM SÜRECİ

İş Planının Hazırlanması

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında veri sorumluları ve veri işleyenler için birtakım yükümlülükler öngörülmüştür.

Uyum sürecini kolaylaştırmanın en kolay yolu öncelikle bir iş planı oluşturulmalı, ikinci adım dokümanların hazırlanması olmalı ve son adımsa verbis kaydı olmalıdır.

1. ADIM: İŞ PLANININ HAZIRLANMASI

Veri sorumlusunun veri işleme süreci bir insanın parmak izi gibi kendine özgüdür. Bir veri sorumlusu, uyum sürecine başlamadan önce bu sürecin doğru yönetilebilmesi ve mevzuata uygun tamamlanabilmesi için, kendi veri izleme süreçlerini göz önünde bulundurarak plan yapmalı ve bu plan dahilinde hareket etmelidir.

İş planı ile mevzuatın öngördüğü yükümlülüklerin nasıl, hangi sıralama ile ve nelere dikkat edilerek yerine getirilmesi gerektiği anlatılacaktır.

1.1. Veri Sorumlusu Organizasyon Yapısı Anlaşılmalıdır

Veri sorumlusunun yapısı ve işleyişi net şekilde anlaşılmalıdır. Organizasyon

yapısını bir bütün halinde karşımızda görmediğimiz müddetçe bazı hatalı işlemlerin,

veri işleme faaliyetlerinin ve süreci etkileyebilecek pek çok hususun gözden

kaçırılması ihtimali artacaktır.

Veri sorumlusunun organizasyon yapısının anlaşılması demek, veri sorumlusundaki birimlerin ve organizasyon içindeki yerlerinin öğrenilmesi demektir. Veri sorumlusunun birimleri öğrenildiğinde bu birimlerin, işleri kapsamında gerçekleştirdikleri faaliyetler vev bu faaliyetler sebebiyle işledikleri kişisel veriler daha kolay anlaşılabilecektir.

ÖNERİ: Veri sorumlusu organizasyon yapısı, veri sorumlusu ile gerçekleştirilen toplantılar neticesinde elde edilen bilgiler ışığında süreci yönetecek olan kişilerce çıkarılabilir. Ancak veri sorumlusu yetkilileri böyle bir çalışmayı önceden yaparak süreci yönetecek kişilere sunmasının sürecin daha sağlıklı yürütülmesini sağlayacaktır.

1.2. Veri Sorumlusu Çalışanlarına Farkındalık Eğitimleri Verilmelidir

Hem gerçek hem de tüzel kişiler veri sorumlusu olabilecekleri için, verilecek farkındalık eğitimleri bu niteliğe bağlı olarak değişecektir.

Gerçek kişi veri sorumlulularının KVKK uyum sürecine başlamadan evvel KVKK konusunda bilinçlendirilmeleri oldukça önemlidir. Dolayısıyla gerçek kişi veri sorumlularının KVKK alanında danışmanlık alması durumunda eğitim verilecek kişi, veri sorumlusu olan gerçek kişilerdir.

Veri sorumlusu tüzel kişi olduğu durumlarda ise farkındalık çalışmaları yapılacak kişilerin hem sayısı artacak hem de niteliği değişecektir. Zira tüzel kişiler iş ve eylemlerini organları vasıtasıyla yerine getirir. Bu organların ve organlara bağlı birimlerin faaliyetlerini ise elbette gerçek kişiler yürütür. Bu kişiler mevzuat kapsamında veri sorumlusu veya veri işleyen değildirler. Ancak veri sorumlusu tüzel kişilerin faaliyetlerini bu kişiler yürütür.

Bu eğitimlerin amacı veri işleme sürecine katılan herkesin kişisel verilerin korunması hukuku alanında farkındalık düzeylerinin yükseltilmesi, hukuka aykırı işleme faaliyetlerinin önüne geçilmesidir. Bu eğitim neticesinde kişiler hem kendi kişisel verileri üzerindeki haklarına ilişkin bilgi sahibi olacak hem de hukuka aykırı işleme faaliyetlerine karşı tedbir alınmış olması nedeniyle veri sorumlusunun menfaatleri korunmuş olacaktır.

Kişisel Verileri Koruma Kurulu, personelin bilgilerinin sürekli güncel tutulmasını önemsemektedir. Bu sebeple Ocak 2018 tarihinde Kişisel Verileri Koruma Kurulu’nun resmi internet sitesinde yayınlanan ‘’ Kişisel Veri Güvenliği Rehberi’nin 2.2 ( Çalışanların eğitilmesi ve farkındalık çalışmaları ) madde ve 31.01.2018 tarih ve 2018/10 sayılı kararı gereğince veri sorumlusu çalışanlarına düzenli aralıklarla eğitimler verilerek, kişisel veri güvenliğine ilişkin bilgilerin güncel tutulması gerekmektedir.

ÖNERİ: Verilerin çoğunlukla bilişim sistemleri üzerinde iletildiği ve muhafaza edildiği göz önüne alındığında uygulamada KVKK uyum süreçlerini bilişim uzmanları, bilgi-işlem daireleri ile koordineli şekilde yürütme eğilimi oldukça sağlıklıdır. Fakat kişisel verilerin korunması süreçlerinin yalnızca bilgi işlemden sorumlu kişiler üzerine bırakılması gibi bir yanılgıya düşülmemelidir. Zira KVKK’ya uyum bütüncül yaklaşım gerektirir, süreklilik arz eder ve ancak doğru koordinasyonla mümkündür.

1.3. Veri Haritası Çalışması Yaptırılmalıdır

Veri sorumlusu organizasyon yapısı anlaşılıp gerekli eğitimler verilince sonraki aşamaya geçilebilir. Bu aşamadan sonraki aşamalar KVKK uyum süreciyle doğrudan ilgilidir.

1.3.1. Veri Haritası Çalışmasında Sorulması Gereken Sorular

• Birimleride yürütülen rutin faaliyetler,

• Aktif rol alınan veri işleme süreçlerinin neler olduğu,

• Bu süreçlerde hangi veriler nasıl, ne şekilde işlendiği ( veri toplama yöntemi )

• Elde edilen kişilerin kimlerden toplandığı,

• Kişisel verilerin işlenmesindeki amacı,

• İşlemenin hukuki sebeplerini,

• Kimlere hangi vasıtalarla aktarıldığını,

• Aktarımın yönetimini ve hukuki sebebini,

• Yurt dışına veri aktarım olup olmadığını,

• Kişisel verilerin hangi sürelerde saklandığını,

• Kişisel verilere ilişkin tedbirlerin neler olduğunu,

• Öngörülmüşse hali hazırda gerçekleştirilen imha faaliyetlerini, sorulmalı ve cevaplar kaynağından öğrenilmelidir.

1.4. Veri Sorumlusu Türüne Göre Mevzuat Çalışması Yapılmalıdır

Veri sorumlusu organizasyon yapısı anlaşıldı, gerekli tüm birimlere eğitimler verilerek farkındalık oluşturuldu, veri işleme süreçlerinin detaylarının anlaşılabilmesi için çalışanlara veri haritalaması çalışması yaptırıldı. Karşımızda veri sorumlusunun yapısı ve uyum için yapılması gerekenler hakkında ana şema oluştu. Evrak aşamasına geçmeden önce, veri sorumlusu türüne göre değişen ve KVKK uyum sürecinde muhakkak göz önünde alınması gereken hususların olduğu unutulmamalıdır.

Her veri sorumlusu tüm veri faaliyetleri için olmasa bile, kişisel verileri belirli bir süre saklayacaktır. Ancak bu süreler bütün veri sorumlulularında aynı değildir. Örneğin, KVKK uyum süreci yürütülürken tüm veri sorumlulularına ‘’kimlik bilgileri 10 yıl saklanacaktır ‘’ denmesi doğru değildir. Zira veri sorumlularının bağlı bulundukları özel mevzuatlar bulunabilir. İşte bu sebeple, uyum süreci yürütülecek olan veri sorumlusunun türüne göre veri sorumlusunun faaliyet alanlarını ilgilendiren mevzuatın belirlenmesi ve incelenmesi gerekmektedir. Bu inceleme sadece kanun aşamasında kalmamalı, en alt basamağa kadar tüm mevzuat incelenmelidir. Uygulamada, çok çeşitli mevzuatlarda, hazırlanış amaçları KVKK olmasa bile, KVKK yükümlülüklerini ilgilendiren hükümler bulunabilmektedir. Özellikle açık rızanın alınması gereken hallerin tespiti ve kişisel verilerin saklanması sürelerinin belirlenmesi noktasında mevzuat çalışması yapmak büyük önem taşır.

Örneğin, Kimlik Bildirme Kanunun Uygulanması Hakkında Yönetmelik’in 17. maddesi gereği öğrenci yurtlarının sorumlu işleticileri yurtta kalan öğrencilerin kimlik bilgilerini en yakın genel kolluk birimine üç gün içinde iletmek zorundadır. Bu hükme göre, mevzuatın öngördüğü sınırlar içinde kalan kişisel verilerin ilgili kolluk merciine iletilmesi için öğrenci yurdu veri sorumlusunun açık rıza almasına gerek bulunmamaktadır. Ancak açık rıza alma yükümlülüğü başka bir veri sorumlusu için veya aynı veri sorumlusunun diğer veri işleme faaliyetleri için bulunabilir.

1.5. İrtibat Kişisi Belirlenmelidir

İrtibat kişisi, Veri Sorumluları Sicili Hakkında Yönetmelik’in 4/1-ç maddesine göre ‘’ Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından , Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi’’ ifade eder.

Yönetmeliğin 11/5. maddesine göre ‘’ Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticiyi’’ ifade eder.

Veri sorumlusu eğer Türkiye’de yerleşik bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.

İrtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimi sağlamakla görevlidir. KVKK kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil tüzel kişiyi teslim ve ilzama yetkili organ üzerindedir. İrtibat kişisinin görevlendirilmiş olması, veri sorumlusunun sorumluluğunu ortadan kaldırmaz. İrtibat kişisi veri sorumlusunun temsil yetkisi yoktur

1.6. İdari Kararla KVKK Birimi Kurulması

Organizasyonların büyüklüğü ve yapılarının çeşitliliği dikkate alındığında veri sorumluları birçok kişisel veriye erişebilmekte, bunları çok çeşitli yöntemlerle işlemekte, saklamakta ve aktarmaktadır. Büyük veri sorumlulularında KVKK uyum sürecinin yalnızca bir kişi üzerinden çözülmesi yahut ana faaliyeti farklı bir iş olan tek bir birimin çabası ile yürütülmesi mümkün değildir. Bu sorunu aşabilmek için veri sorumlularının alabilecekleri bir yönetim kurulu kararı, idare için ise karar alma merci tarafından verilecek bir karar ile yeni birim kurmaları önem arz etmektedir.

Kurulacak bu birimin ana faaliyeti kişisel verilerin korunması için çalışmak ve veri sorumlusunun menfaatlerini gözetmek olmalıdır. Kurulacak bu birimde veri sorumlusunun organizasyonu içinde kişisel verilerle etkileşimi olan tüm birimlerden temsilci bulunmalı, irtibat kişisi de bu birimin içinde yer almalıdır.

Bu birim düzenli aralıklarla toplanmalı, ilgili mevzuatı ve ve kurul kararlarını takip etmelidir. Birim bünyesinde, veri sorumlusunun aldığı tedbirler düzenli aralıklarla denetlenmeli, yeni tedbirlere ihtiyaç duyulup duyulmadığı değerlendirilerek tespit edilen ihtiyaçlar vakit kaybetmeksizin veri sorumlusuna bildirilmelidir. İlgili kişilerin başvurularının değerlendirilmesi temel olarak irtibat kişisinin yükümlülüğü olmakla birlikte irtibat kişisi ihtiyaç duyulması halinde KVKK biriminden destek almalı ve hangi verilerin imha edilmesi gereltiği ile imha usulüne KVKK birimi karar vermelidir.

1.7. Kişisel Verilerin Teknik Olarak Saklanması ve Depolanmasından Sorumlu Kişi/Birimin Belirlenmesi

KVKK kapsamında her veri sorumlusunda kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi/birimin bulunması gereklidir.

Bu usulün yerine getirilmesi usulü kamu kurumu veri sorumluları ile diğer veri sorumluları için farklıdır.

Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in 6. maddesi gereğince her kamu kurumunda kurum belge yöneticisi ve kurum içindeki her birim için birim belge yöneticileri bulunmaları zorunludur. Bu hususlar beraber ele alındığında kurum içindeki belge yöneticileri veri sorumlusu için kişisel verilerin saklanmasından ve depalanmasından sorumlu birim olarak belirlenmelidir. Zira Devlet Arşiv Hizmetleri Hakkında Yönetmelik gereğince kurum belge yöneticilerine ve birim belge yöneticilerine verilen görev ve sorumluluklar, nitelikleri gereği KVKK kapsamındaki kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu birim üyelerinin yapması gereken faaliyetlerle örtüşmektedir. Bu iki birim çalışanlarının farklı kişilerden oluşması halinde, kişisel verilere daha çok kişi erişebilecek, bu durumda kanunun amacıyla bağdaşmayacaktır.

Kamu kurumları dışında kalan veri sorumlularında, bu birim eldeki verilerin tutulduğu ortamlar ( fiziki ortamlar, bulut bilişim sistemleri vb. ) ve veri sorumlusunun yapısı göz önüne alınarak belirlenmelidir. Bu belirleme dahilinde verilerin muhafazasını sağlayabilecek, veri ihlallerini tespit edebilecek, işleme şartları ortadan kalkan verilerin takibi sağlayacabilecek niteliklere sahip kişiler seçilmeli ve bu kişilerin de kendilerine tanımlanan görevleri yerine getirirken eriştikleri ortamlara girişleri şifreleme gibi uygun yöntemlerle yapılmalıdır.

Veri sorumlusunda hangi sıfatla olursa olsun, kişisel verilere ve bu verilerin tutulduğu sistemlere, odalara erişimi olan kişilerin görev tanımları değiştiğinde veya görevlerine son verildiğinde, eski görevleri sebebiyle sahip oldukları erişim yetkileri kısıtlanmalı veya yeni durum gerektirmiyorsa tamamen kaldırılmalıdır.

1.8. Kişisel Verilerin İşlenmesi ve Korunması Politikasının Hazırlanması

Bu aşamaya kadar olan aşamalarda veri sorumlusunun, veri haritalamasını tam olarak çıkarması amaçlanmıştır. Ancak bu çalışmalar esnasında veri işleme faaliyetlerindeki eksiklikler, hatalar ve yapılması gerekenler ayrı ayrı not edilmeli ve veri sorumlusunca her ilgili birime/kişiye uyum için nelerin yapılması veya yapılmaması gerektiğinin anlatılması gereklidir.

Tüm bu işlemler neticesinde artık veri sorumlusunun ihtiyacı olan dökümanların hazırlanması safhasına geçebiliriz.

Hazırlanması gereken dökümanlar veri sorumlusu türüne göre değişiklik gösterecektir. Bu belgelerin plansız bir şekilde hazırlanması birçok soruna kapı aralayabileceği için, en doğru yöntem elde edilen tüm bilgiler ışığında veri sorumlusunun bütün veri işleme sürecini detaylı olarak açıklayacak ve sonrasında hazırlanacak belgeler için yol gösterici temel bir belgenin hazırlanması olacaktır. Bu belge kişisel verilerin işlenmesi ve korunması politikasıdır. Bu nedenle, bu aşamada Politika’nın hazırlanması önemli olacaktır.

1.9. Sair Dökümanların Hazırlanması

Tarif edilen süreçlerin ardından, elimizde kişisel verilerin işlenmesi ve korunması politikası bulunacaktır. Bu politikanın varlığı, hazırlanacak bütün evraklar için yol gösterici olacaktır.

Hazırladığımız Politika’da bütün evrakların esası ve temeli bulanacağından, hazırlanacak olan belgeler bu temel içinden kolay ve ihtiyaca göre hazırlanabilecektir.

Sair dökümanların her birinin nasıl hazırlanacağı ve döküman örnekleri ‘’ dökümanların hazırlanması’’ kısmında anlatılacaktır.

1.10. Envanterin Hazırlanması

Veri Sorumluları Sicili Hakkında Yönetmelik madde 4/1-h’ye göre kişisel veri işleme envanteri ‘’ Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ‘’ ifade eder.

Envanter KVKK uyum sürecindeki en temel dökümanlardan biridir. Hatta envanter niteliği itibariyle, bir kişi veri sorumlusunun envanterine baktığında zihninde tüm veri işleme süreçlerinin canlanması gerekir.

Envanter hazırlanış usulü bakımından kategori bazlı ve kişi bazlı olmak üzere ikiye ayrılabilir. Dökümanların hazırlanması bölümünde envanter örnekleri verilecektir.

1.11. VERBİS’e Kayıt

VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir bilgi sistemidir.

Veri sorumluları denetime tabi tutulmaları halinde, bu denetimin sadece VERBİS vasıtasıyla yapılacağını düşünmekte fakat VERBİS’e kayıt veri sorumlularının yükümlülüklerinden yalnızca bir tanesidir. VERBİS’e yapılacak kayıtlara ilişkin ayrıntılar Veri Sorumluları Sicili Hakkında Yönetmelik’te gösterilmiştir. VERBİS kamuya açık bir sistemdir, bu sebeple içinde kişisel veriler barındırmaz.