Kişisel Verilerin Korunması Kanununa Kurumlar Nasıl Uyum Sağlayabilir
Kişisel verileri koruma kurumu 18.08.2018 tarihinde yayımladığı karar ile bazı şirketler için VERBİS’e kayıt zorunluluğu getirmiştir. Veri Sorumluları Sicili (VERBİS) veri sorumlularının kayıt olunduğu, Kişisel Verileri Koruma Kurumu gözetiminde tutulan kamuya açık sicildir.
Buna göre ;
– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumluları 1.10.2018 tarihinden 30.09.2019 tarihine kadar,
– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları
1.10.2018 tarihinden 30.09.2019 tarihine kadar, kayıt yaptırmak zorundadırlar.
Bu nedenle bu şartları sağlayan şirketler, kurumlar VERBİS’e, 30.09.2019 tarihine kadar kaydolmak zorundadırlar. Aşağıda detaylı bir şekilde açıklayacağımız üzere VERBİS’e kayıt yapılan materyal kişisel veri işleme envanteridir. Bu envanterin hazırlanılması ve dolayısı ile VERBİS’e kayıt yapılabilmesi için şirketlerin, kurumların kişisel verilerin korunması kanuna uyum sürecine başlaması gerekmektedir. Kişisel Verilerin Korunması Kanunu uyarınca tüm şirketler veri Sorumlusu olarak verileri kanuna uygun işlemek, verilerin güvenliğini sağlamak zorundadır.
Kişisel Verilerin Korunması Kanunu Mad.12 (aynen) : “ Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile veri sorumlusunun yükümlülüklerini temel olarak anlatmıştır.
Bu nedenle uyum sürecinin Hukuk ve Teknik (IT) olmak üzere iki temel ayağı vardır. Şöyle ki;
1- Hukuk Aşaması:
Şirkette erilecek temel eğitimlerden sonra uyum süreci başlamalıdır. Bu uyum sürecinde aydınlatma metinleri ve açık rıza metinlerinin hazırlanması çok büyük önem arz etmektedir. Bu metinler ile ilgili ayrıntıları bir sonraki yazılarımızda açıklayacağız.
Uyum süreci için uyum sürecinin en önemli noktalarından olan ve bu sürecin yol haritası diyebileceğimiz kişisel veri işleme envanterinin hazırlanması gerekmektedir. Yönetmelik kişisel veri işleme envanterini “Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlamıştır.
Kişisel verilerin işleme envanteri Excel tablosu olup, herhangi bir kişisel veri içermemektedir. Bu envanter dernek, şirket, hastane vb gibi. veri sorumlularının kişisel verileri nasıl işlediklerini, kimlerin verilerini işlediklerini, bu işlemenin hukuki sebebini, verilerin ne kadar saklanıldığı gibi hususları göstermelidir.
Bu envanterin hazırlanması kolay bir süreç değildir. Bu envanter hazırlanırken Kişisel Veriler konusunda çalışan hukukçunun ve IT ekibinin iyi bir uyum yakalaması ve bu ekibin şirketin tüm birimleri ile iyi bir şekilde çalışması gerekmektedir. Envanter hazırlanması sadece kişisel veriler konusunda çalışan hukukçu ve IT ekibinin görevi değil, şirketteki, kurumdaki tüm birimlerin ( İK, operasyon, satış vb.) de görevidir.
2- Teknik (IT) Aşaması:
Daha önce bahsettiğimiz gibi Kişisel Verilerin Korunması Kanunu verilerin güvenliği için veri sorumlularına teknik önlemlerin alınması yükümlülüğünü getirmiştir. Bu nedenle veri sorumluları aydınlatma metinlerinin hazırlanması, envanterin oluşturması gibi sadece hukuki yükümlülükleri içeren önlemleri değil, aynı zamanda verilerin güvenliği için güvenlik sistemlerinin oluşturulması vb. teknik önlemleri de almak zorundadır.
Bu nedenle veri sorumlularının veri güvenliği alanında uzmanlaşmış iyi bir teknik ekiple çalışması şarttır. Bu teknik ekibin kişisel veriler konusunda uzman hukukçu ile diyalog halinde olması ve mümkünse hukuk ve teknik süreçlerin aynı anda yürütülmesi gerekmektedir.
Aksi halde uyum sürecinin başarılı olması çok zordur. Hukukçu ve teknik elemanların birlikte çalışması hem uyum sürecini başarılı kılacak hem de zaman bakımından çok daha faydalı olacaktır.
Avukat Ozan Genco Gürgöz
ozan@gurgoz.av.tr
