KVKK Uyum Süreci Danışmanlığı

• İş süreçlerinin birimler bazında tespiti,
• Süreçler kapsamındaki faaliyetlerin listelenmesi,
• Faaliyetleri yerine getirirken hangi tür kişisel veri içeren bilgi veya belgelerin elde edildiğinin tespiti,
• Bu bilgi veya belgelerde yer alan tüm kişisel verilerin tek tek belirlenmesi,
• Birden fazla iş akışında işlenen kişisel verilerin  
  1. İşlenme amacı,
  2. Saklanma süreleri, 
  3. Aktarım ve güvenlik tedbirleri açısından farklılıklarının belirlenmesi.
•  

Kurum içindeki birimler ve iş süreçleri analiz edildikten sonra, veri sorumlusu her fiziksel veya elektronik ortamda işlenen kişisel veri dosyası için, bu süreçler kapsamında elde edilen belgeler, dokümanlar, özel kayıtlarla birlikte daha ayrıntılı bir belge oluşturmak zorundadır. Bu belge, işleme amaçları ve hukuki dayanağı, bir aktarımın gerçekleşip gerçekleşmediği, işlenen verilerin aktarıldığı üçüncü kişiler hakkında bilgiler, saklama süreleri, etkilenen kişi grupları ve alınan güvenlik önlemlerini içermelidir.

Bu noktada envanter veri sorumlusunun kendi bünyesinde kalacak ve kamuya açık olmayacaktır. Ancak, Kurul tarafından talep edilmesi durumunda envanterin Kurula ibraz edilmesi gerekmektedir.

Kanunun 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. Burada veri sorumlusu veya veri sorumlusunun yetkilendirdiği kişi, ilgili kişilere;

1. Veri sorumlusunun ve varsa temsilcisinin kimlik bilgileri,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Kişisel veriler işlendikten sonra kimlere ve hangi sebeple aktarılacağı,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi ve belirtilen diğer haklar konusunda bilgi vermekle yükümlüdür. Kişisel veri elde edilirken hukuki sebep ve yöntem değiştikçe aşamaya göre aydınlatma metni de bu noktada değişmelidir.

Kişisel verilerin tüm veri toplama kaynakları için, net bir rıza beyanı gerektirenler de dahil olmak üzere, yasa, faaliyet ve amaçlarla uyumlu net bir açık rıza beyanı oluşturulmalıdır. Alınacak rıza beyanı özgür iradeyle verilmeli ve yeterli bilgiye sahip olduğunu doğrulamalıdır. Yasal düzenleme şu şekildedir:

1. 6698 sayılı KVKK madde 5/1 gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
2. 6698 sayılı KVKK madde 6/2 gereğince özel nitelikteki kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
3. 6698 sayılı KVKK madde 8/1 ve 9/1 gereğince kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt içine veya yurt dışına aktarılamaz.

Kurumların kişisel veri alışverişinde bulunduğu kişi veya kurumlarla aralarında protokol veya sözleşme hazırlamaları gerekmektedir. Bu sözleşme tarafların hak ve yükümlülüklerini belirlediği gibi kişisel veri içerdiği durumlarda hukuki / teknik kısıtlamaları da beraberinde getirmektedir.

Gelecekte uyuşmazlık potansiyelini ve riskini en aza indirmek amacına yönelik olarak hazırlanması KVKK yükümlülükleri arasında yer almaktadır.

KVKK Uyum Süreci Danışmanlığı kapsamında verilen Hukuki Danışmanlık uyumluluk sürecinde dikkate alınması gereken temel adımlardan biridir.

“Hukuki danışmanlık almaya gerek yok” düşüncesi şirketlerin cezalara maruz kalmasına neden olabilir. Profesyonel, hukukun tüm alanlarında uzmanlaşmış, KVKK danışmanlığında sertifikalı danışmanların deneyimlerinden faydalanmak süreci sorunsuz geçirmenize yardımcı olacaktır.

Kurumlar kişisel verilerin muhafazasını ve güvenliğini gerekli olan yeterli teknik ve idari tedbirleri alarak sağlamakla yükümlüdürler. Paylaştıkları 3.kişi ve kurumlarda aynı düzeyde özeni göstermeleri konusunda eşit seviyede sorumludurlar. Tedbirlerin uygulanıp uygulanmadığını da denetlemek veya denetletmek zorundadırlar.

Kurumların, kişisel verilerin kanuna aykırı olarak başkalarının eline geçmesi durumunda kişisel verilerin elde edildiği bireylere ve Kişisel Verileri Koruma Kurumu’na bunu bildirmeleri gerekir.

Kişisel verilerin saklanmasını gerektiren sebep kalmadığında Kanun’da saklanması gereken bir süre yoksa silinmesi gerekir. Bu saklama yükümlülüğüne tabi olunduğuna dair süre Kanun’da belirtilmiş olması gerekir. Örneğin; ilgili kişinin artık firmanızla herhangi bir ilişkisi kalmamışsa veya üyelikten ayrılmışsa bu verilerin silinmesi gerekir.

VERBİS Kaydı Danışmanlığı kapsamında Garanti KVK ekibi olarak veri envanteri çalışmanızı DESTEKLERİZ!

Örneğin; elde ettiğiniz cep telefonu görüşme bilgilerini Elektronik Haberleşme Kanunu gereği iki yıl süre ile saklamak zorundasınız. Bu durumda ilgili kişi abonelikten ayrıldığında dahi bu bilgilerin silinmesini talep edemez.

İlgili kişiler kişisel verilerini saklayıp saklamadıklarını kurumlara sorabilir ve bu noktada kurumlar bu soruları cevaplamakla yükümlüdürler. Hangi amaçlarla ve ne şekilde kullanıldıklarını iletmelidir. Eğer ilgili kişiler kişisel verilerinin kullanılması sonucunda bir zarara uğrar ise, bu zararın tazminini de talep edebilirler. 

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında 2020 yılı içinde Şirketlerin / Vergi mükelleflerinin yapması gerekenler;

1. Şirket/ kurum içi eğitimlerin verilmesi,
2. Veri envanterinin hazırlanması,
3. Açık Rızaların belirlenmesi ve hazırlanması,
4. Sözleşmelerin belirlenmesi ve hazırlanması,
5. Aydınlatma Metinlerinin hazırlanması,
6. Kişilerin taleplerine cevap verilmesi,
7. Veri güvenliği ve gizliliği tedbirlerinin alınması ve denetimi.

Kurumlar KVKK hukuki yükümlülüklerini kendi hukuk danışmanları ile çözmeye kalkışırlarsa, teknolojik altyapı gereksinimlerini göz ardı edebilirler. Kişisel verileri korunması kanunun kapsamında şirketlerin yükümlülükleri hem hukuki hem de teknik açıdan yönlendirmeler ve alınacak danışmanlıklarla yürütülmelidir.

Bu noktada Garanti KVK ile kişisel verilerin hukuka, ilgili mevzuatlara uygun olarak işlenmesi, muhafaza edilmesi ve paylaşılması gibi konularda kurum işlevlerinin güvenli, sorun ile karşılaşılmayacak bir çalışma ortamı içinde yürütülmesi sağlanır. Uyum Süreci Danışmanlığı kapsamında;

1. İşyerinin fiziki olarak KVKKkapsamında düzenlenmesi.
2. Kişisel Verilerin bulunduğu fiziksel ortamın gerekli güvenlik önlemlerinin alınması ve olası tabii afetler, hırsızlık vb. olaylara karşı tedbir alınmış olması. (Verilerin bağımsız güvenli bir ortamda saklanması gibi.)
3. Kişisel verilere yetkisiz kişiler tarafından erişiminin engellenmesi, sadece kendilerine tanımlanan yetki dâhilinde ve ilgili KVK prosedürüne uygun olarak erişimin sağlanması.
4. Kurum bünyesinde çalışan kişi kendi yetki alanında yer alan fiziki dosyaların güvenliğinden sorumlu olacak şekilde düzenleme getirilmesi.
5. Hukuken uygunluk belgesi verilmesi şeklinde hizmet vermekteyiz.

Hukuki ve teknik çalışmaların tamamlanması prosedür ve protokollerin hayata geçirilmesi ve VERBİS kaydının onaylanmasından sonraki aşama hukuken uygunluk belgesinin hazırlanmasıdır. KVKK Uyum Süreci Danışmanlığı yla tüm bu süreçlerde sizinleyiz.