Detaylı Açıklama
KVKK uyum süreci, veri sorumlusu sıfatını taşıyan gerçek ve tüzel kişilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ikincil mevzuata tam uyum sağlaması için yürüttüğü kapsamlı bir dönüşüm programıdır. Uyum süreci, yalnızca belge hazırlamaktan ibaret değildir; kurumun veri işleme kültürünü, teknik altyapısını ve iş süreçlerini bütüncül olarak ele almayı gerektirir. KVKK uyumu sağlanmadığı takdirde Kişisel Verileri Koruma Kurulu tarafından yüz binlerce liradan milyonlarca liraya kadar idari para cezası uygulanabilir.
Uyum sürecinin ilk adımı veri envanterinin oluşturulmasıdır. Kurumun hangi departmanlarda, hangi kişisel verileri, hangi amaçlarla, hangi hukuki sebeplere dayanarak işlediği tespit edilir. Ardından mevcut veri işleme faaliyetlerinin kanuna uygunluğu değerlendirilir. Hukuka aykırı işlenen veriler tespit edilerek düzeltme veya silme işlemleri yapılır. Bu süreçte veri sorumlusu ile veri işleyen arasındaki ilişki de sözleşmesel olarak düzenlenir.
Hukuki Dayanak ve Uygulama
KVKK m.12 uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. KVKK m.16 gereğince veri sorumluları Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmakla yükümlüdür.
Uyum sürecinde hazırlanması gereken başlıca belgeler şunlardır: kişisel veri işleme envanteri, aydınlatma metinleri, açık rıza beyanları, kişisel veri saklama ve imha politikası, veri işleyen sözleşmeleri, çalışan gizlilik taahhütnameleri ve veri ihlali müdahale planı. Kurul’un yayımladığı rehberler ve ilke kararları, uyum sürecinde yol gösterici niteliktedir. Özellikle özel nitelikli kişisel verilerin işlenmesinde Kurul’un belirlediği yeterli önlemlerin alınması zorunludur.
Sık Karşılaşılan Durumlar
Uygulamada şirketlerin en çok zorlandığı konular arasında açık rızanın hukuka uygun şekilde alınması, meşru menfaat dengesinin doğru kurulması, çalışan verilerinin işlenmesinde sınırların belirlenmesi ve uluslararası veri aktarımı kurallarına uyum yer alır. Birçok kurum, aydınlatma yükümlülüğünü yalnızca web sitesine gizlilik politikası eklemekle yerine getirdiğini düşünmektedir; oysa KVKK her veri işleme faaliyeti için ayrı ve somut aydınlatma yapılmasını gerektirir. Veri ihlali halinde KVKK m.12/5 gereğince Kurul’a en kısa sürede ve her halde 72 saat içinde bildirim yapılması zorunludur. Bildirim yükümlülüğüne uyulmaması ayrı bir yaptırım sebebi oluşturur.