Son günlerde çok sık konuşulan 6698 Sayılı Kişisel Verileri Koruma Kanunu (KVKK) hakkında kısa bir kaç kelam etmek istedim.
Bu konu ile ilgili özel bir eğitim kurumundan tam günlük eğitim alarak konunun detaylarını öğrenme fırsatı yakaladım. Yazıyı okuyanlara tavsiyem konu hakkında uzman bir kişi yada kuruluştan destek almanız yönünde olacaktır 7 saat teorik ve pratik uygulama ile süren bir eğitim bir kaç sayfa ile anlatılması mümkün olmayacaktır. İşletmelerdeki KVK sürecine uygunluk, yönetim anlayışının oturması ve işletmelerin yükümlülüklerin yerine getirilmesi aylar sürecek çalışmaları beraberinde getirecektir.
İşletmelerin faaliyet alanlarına göre tuttukları kişisel verilerin fazlalığı azlığı değişmek ile beraber kişisel veri nedir öncelikle bunun tanımını kısaca yapmak gerekir.
KVK Kurumunun belirtiği tanım; Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Konu kapsamında işletmelerin öğrenmesi gereken birçok tanım ve kanuni yükümlülük vardır. Bu tanımlardan bazıları "Veri Sorumlusu", "Açık Rıza" ,"İlgili Kişi", "Temsilci", "İlgili Kullanıcı", "Veri İşleme Envanteri", "Özel Nitelikli Veri" ve daha birçok tanım.
Öncelikle kanun kapsamında;
İşlenen suçlar için 1 ila 5 yıl hapis cezası
İşlenen kabahatler için 5.000 TL ila 1.000.000 TL para cezası olduğunu bilmenize fayda olacaktır.
Peki Kurumlar KVKK süreci ile ilgili nereden başlamalı;
* Kanun, Yönetmelikler ve Kurul kararları incelenmeli
* Kurumda bu iş ile ilgilenecek kişiler mutlaka bir uzman kurum yada kişiden eğitim almalı.
* Eğitim sonrası yapılması gerekenler belirlenerek süreç başlatılmalı.
Kurumların yapması gereken bazı konu başlıkları;
* Kurum içinde kullanılan tüm verilerin analiz sürecini yapacaklar.
* Kurum Tüzel olarak Veri Sorumlusu olacak şekilde KVKK Web sitesi üzerinden kayıt işlemini yapacak.
* Kişisel veriler ile ilgili envanterler hazırlayacaklar. Hazırlanan envanterler KVKK' nun web sitesi üzerinden kuruma aktarılacaklar.
* Tutulan kişisel veriler için neyi? ne zaman? ne kadar süre? saklayacak yada silecek mekanizmalar geliştirecekler.
* Kurumlar tuttukları tüm kişisel verilerin güvenliğini almak ve şeffaf olmak için yöntemler geliştirecekler.
* Başvuru ve şikayet talep süreçlerini yönetecek mekanizmalar kuracaklar.
* Kurumlar KVK ile ilgili olarak aydınlatma ile yükümlüdürler. Yükümlülüklerini hazırlayacakları "Aydınlatma Metni" metni ile yapacaklar.
* Rıza alma yöntemleri belirleyecek ve "Açık Rıza" metinlerini nasıl onay alıp saklayacaklarını ne kadar süre saklayacaklarını belirleyecekler.
* Kurumlar KVK Politikasını hazırlayacaklar.
* Kurumlar KVK ile ilgili neyi nasıl yapacaklarını anlatan Prosedürler hazırlayacaklar.
Kurumların yapması gereken bazı konu başlıkları;
* Kurum içinde kullanılan tüm verilerin analiz sürecini yapacaklar.
* Kurum Tüzel olarak Veri Sorumlusu olacak şekilde KVKK Web sitesi üzerinden kayıt işlemini yapacak.
* Kişisel veriler ile ilgili envanterler hazırlayacaklar. Hazırlanan envanterler KVKK' nun web sitesi üzerinden kuruma aktarılacaklar.
* Tutulan kişisel veriler için neyi? ne zaman? ne kadar süre? saklayacak yada silecek mekanizmalar geliştirecekler.
* Kurumlar tuttukları tüm kişisel verilerin güvenliğini almak ve şeffaf olmak için yöntemler geliştirecekler.
* Başvuru ve şikayet talep süreçlerini yönetecek mekanizmalar kuracaklar.
* Kurumlar KVK ile ilgili olarak aydınlatma ile yükümlüdürler. Yükümlülüklerini hazırlayacakları "Aydınlatma Metni" metni ile yapacaklar.
* Rıza alma yöntemleri belirleyecek ve "Açık Rıza" metinlerini nasıl onay alıp saklayacaklarını ne kadar süre saklayacaklarını belirleyecekler.
* Kurumlar KVK Politikasını hazırlayacaklar.
* Kurumlar KVK ile ilgili neyi nasıl yapacaklarını anlatan Prosedürler hazırlayacaklar.
KVKK ile ilgili önemli tarihler;
* 07.04.2016 KVKK Yürürlük Tarihi
* 07.04.2017 Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.
* 07.04.2018 Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir.
Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunundan da istisna olmak anlamına gelmemektedir. Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
Kaynak: https://www.kvkk.gov.tr/