KVKK Sebebiyle Kurumların Sorumlulukları

KVKK Sebebiyle Kurumların Sorumlulukları

Kişisel Veri Nedir?

6698 sayılı kanun kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.” Şeklinde tanımlamakla beraber geniş anlamda kişisel veri, ilgili kişilere ait politik, dini, ticari, ve etnik gibi biyometrik verileri kapsayan genetik verileri, sağlık bilgileri gibi kişinin tanımlanmasına imkan veren önemli bilgiler olarak tanımlanmaktadır.

Neden Kişisel Verileri Koruma Kanunu Var?

İnternet çağı olarak adlandırılan çağımızda özellikle dijital ortamda işlenen ve tutulan veriler çok önem arz etmektedir. Veri saklama sistemleri geliştikçe buna bağlı riskler de ortaya çıkmakta ve kişisel veri güvenliğiyle alakalı çok çeşitli riskler meydana gelebilmektedir. Oluşan bu riskleri engellemek amacıyla teknik ve idari tedbirlerin alınması gerekir. Verilerin ilgisiz kişilerin eline geçmesi engellenerek hem kişilik haklarını koruma, hem de uluslararası meselelerde devletin güvenliği amaçlanmaktadır.

KVKK Düzenlemeleri

6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sahibinin izni olmadan kişisel verilerin işlenmesinin önüne geçecek düzenlemeler getirmektedir. Kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirildiği gibi yüksek meblağlarda para cezaları da mevcuttur.
Kurum bireyin iznini alması durumunda hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Bununla beraber, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı, verilerin nasıl imha edileceği veya verilerin anonimleştirilmesi süreci açıkça belirtilmelidir.

Kişisel Verilerin Korunması Hakkında Kanun’a Kurumların Uyum Süreci

VERBİS Sistemine kayıt ile başlayan süreçte kurumun tüm teknik altyapısı, işlenen veriler, verilere erişim sağlayan kişiler gibi bir çok incelemenin yapılıp teknik ve idari tedbirlerin alınmasını gerektirdiğinden KVKK süreci bu alanda uzmanlık sahibi kişiler tarafından gerçekleştirilmelidir. Tüm süreci genel hatlarıyla belirtmek gerekirse şu şekilde olacaktır;

  • VERBİS Sistemine Kayıt,
  • Veri Envanterinin Hazırlanması,
  • Şirketin Dijital Sistem Açıklarının Tespiti ve Gerekli Önlemlerin Aldırılması,
  • Açık Rıza Metinlerinin Hazırlanması,
  • Personel Aydınlatma Metinlerinin Hazırlanması,
  • Kişisel Verilerin Saklanması, Anonimleştirilmesi ve İmha Politikasının Hazırlanması,
  • Kişisel Verilerin Korunmasında İdari ve Teknik Tedbirler,
  • Kişisel Veri Başvuru ve Yanıt Prosedürü Hazırlanması,
  • Kişisel Verilerin Korunması ve İşlenmesi Politikasının Hazırlanması vd.
SONUÇ

Dijitalleşen günümüz dünyasında kişisel veriler her geçen gün önem kazanmakta olup, kişisel verilerin korunması için de her geçen gün yeni mevzuatlar ortaya çıkacaktır. Dolayısıyla bu süreçlerin yürütülmesi uzman kişilerce yapılmalı ve gerekli altyapı kurulduktan sonra güncel tutulmalıdır. 
Av. Uğur Özyurt