Kobi'ler İçin Basitçe; KVKK Süreçleri ve Yürütülmesi


Covid-19 pandemisinin ortasında, şirketlerin erteleme beklediği takvimlerden biri, 30 Haziran'da sona erecek olan Verbis kayıt zorunluluğu. buna göre;

Kişisel Verileri Koruma Kurumu’nun 27 Aralık 2019 tarihinde aldığı karar gereği, gerçek ve tüzel kişilerin VERBİS kayıt ve envanter hazırlama süresi 6698 sayılı Kanunun Geçici 1 inci maddesine göre uzatılmıştır. Karara göre aşağıdaki tarihlere kadar kayıt yapılması zorunludur.
     Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,

     Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,

     Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,

     Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine, kayıt yaptırmaları zorunludur.

Kişisel verinin tanımı geniş, malum. Ad soyad, tck no, gsm no, mail adresi net kişisel bilgi; bunun yanında bu bilgilerden bir ikisinin yada mesela sadece isminin (soyadı olmadan) yanında aktarılabilecek lakap, memleket, taraftarı olduğu takım, saç şekli vs. de kişisel bilgi olarak kabul edilebiliyor. Yani, gerçek bir kişinin tanınmasını, bulunmasını sağlayabilecek hemen her türlü bilgi kapsam içi kabul ediliyor.

Bu anlamda herkes, KVKK’nın muhatabı. Ticari kurumlar ise bu muhataplığın yanında bir de aşama aşama, Verbis aracılığıyla kişisel veri politikalarını oluşturmaya ve yönetmeye yönlendiriliyorlar.

Kişisel Verileri Koruma Kurumu, şu ana kadar ki pratikleriyle en çok nelerin üzerinde durduğunu ortaya koyuyor aslında;
  • Kişiden gereğinden fazla kişisel bilgi alınmasından,
  • Nitelikli kişisel bilgilerin alternatifsiz alınmasından,
  • Kişisel verilerin satılmasından, paylaşılmasından, yurt dışına çıkarılmasından hazzetmiyor.

Bunun yanında KVKK / Verbis muhatabı kurumların
  • Ticari amaçla elde edilen kişisel verilerin güvenliğinin sağlandığından (hem dijital, hem fiziksel),
  • Kişisel verisinin akıbetini soran gerçek kişilere yanıt verebilecek bir kayıt ve envanter sistemin olduğundan, emin ve sorumlu olmalarını istiyor.

Tanımdaki anlamda kişisel veriyi herhangi bir kurum birçok kanaldan alıyor; müşteri bilgisi, sözleşmelerle gelen bilgi, tedarikçi ilişkileriyle gelen bilgi, personel bilgisi vs.

Küçük / büyük (ciro anlamında değil de temas ettiği kişi sayısı anlamında) her kurumda bu çalışma aslında 3 ayaklı yürütülüyor:
  1. Kurumun işleyişini tanımlama ve bunun üzerinden kişisel verilerin hangi kanallardan geldiğini ve hangi kanallarla iletildiğini belirleme.
  2. Dijital altyapı incelemesi (mail, mail sunucuları, kurum sunucuları, network altyapısı, sistem şifreleme / yetkilendirme vs.
  3. Kurumun kişisel veri politikasının belirlenmesi. Bunun üzerinden de;
    1. Kişisel verileri alınanlara dönük aydınlatma metinlerinin hazırlanması (bu metinlerde hangi tip kişisel verilerin alındığı, kimlerle paylaşıldığı / paylaşılacağı, yurt dışına gönderilip gönderilmeyeceği, anonimleştirilip anonimleştirilmeyeceği vs. bilgiler verilir.
    2. Aydınlatma metinlerinin paralelinde, kimi kişisel bilgilerin alınabileceğine dair kişilerin açık rıza beyanlarının alınması gerekir.
    3. Gerekiyorsa, dijital ortamda saklanan kişisel verilerin “silinmesi ya da anonimleştirilmesi” planlanır ve uygulanır.
Tüm bunların sonunda da, toplanan tüm bilgilerle “kurumun kişisel veri envanteri” hazırlanır ve bu envantere göre de Verbis kaydı yapılır.

Bunlar bittikten sonra da kurumun kişisel veri envanterini güncel tutması ve gerektiğinde aynı güncelliği Verbis’e taşıması önemli, yani kurum kendi içinden de bu işle ilgilenecek bir kişi belirlerse iyi olur.

Kurumda KVKK'ya dönük uygulamaları, yasal gereklilik dolayısıyla yapılması gereken bir "iş'ten" çok, bir proje olarak ele almak daha sağlıklı olacaktır. Buraya kadar yazılanlardan da anlaşılacağı üzere bu proje ekibinin içerisinde de;
  • Personelle ilişkileri yürüten bir kişi,
  • İş süreçlerini ve Çalışanların “çalışma tarzlarını” (kişisel veri alma / verme bağlamında düşünelim) bilen bir kişi, (eğer tamamen free çalışma tarzı varsa -her çalışan kendi ilişkisini kendi bağlantısıyla yürütür- o zaman çalışanların tamamıyla görüşmek gerekebilir.)
  • Dijital altyapılarını bilen bir kişi (mail / mesajlaşma / web konferans vs. sistemlerini ismen tanımlayabilen, mail sunucusunun nerede olduğunu bilen ya da gerekiyorsa sorup öğrenebilecek bir kişi)… yer alması olumlu olacaktır.

Yorum Gönder

0 Yorumlar