Şirketlerin Kvkk Uyum Sürecinde Yapması Gerekenler

6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Şirketlerin ticari faaliyetleri kapsamında pek çok kişinin kişisel verilerine erişmesi söz konusudur. Bu veriler bakımından şirket tüzel kişiliği KVKK kapsamında veri sorumlusudur. Veri sorumlusu, verilerin işlenme amaç ve araçlarını belirleyen ve veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir. Bu bağlamda Kanundan doğan sorumlulukları yerine getirmesi gerekir. Aşağıda şirketlerin KVKK ve ilgili mevzuat kapsamında KVKK uyum sürecini nasıl tamamlayacağına ve yapılması gerekenlere ilişkin genel nitelikte açıklamalara yer verilmiştir.

Şirketler 3 ayrı kategorideki kişilerin verilerini veri sorumlusu sıfatıyla işlemektedirler. Bunlar;

  • Şirket çalışanları ve iş başvurusunda bulunan çalışan adayları,
  • Müşteriler,
  • İş ortakları, tedarikçiler ve danışmanlarıdır.

Şirketler bu üç gruba ait kişilerin verilerini korumakla yükümlüdür. Bu korumanın kapsamı, kişisel verilerin Kanuna uygun şekilde işlenmesi, saklanması, paylaşılması, silinmesi ve anonim hale getirilmesi ile mümkündür. Aynı şekilde verilerin işlendiği ve saklandığı ortamlarla ilgili  gerekli teknolojik altyapının kurulmasıyla siber saldırılara karşı koruma önlemlerin alınması da önemlidir.

Kişisel verilerin işlenmesi ancak ilgili kişinin açık rızasının önceden alınmasıyla mümkündür. Bu kuralın istisnaları olsa da genellikle açık rıza şartı aranır. Bu konuda bazı belgelerin hazırlanması ve çalışmaların yapılması gerekmektedir. Bunlar;

1)Aydınlatma Metninin Hazırlanması

Bilgilerin hangi amaçla edindiğini, verilerin nerde saklandığını, bu verilere kimler tarafından erişilebileceğini, verilerin kimlere aktarılabileceğini içeren bir metindir. Veri politikası ve veri imha politikalarının da bu metinde yer alması gerekir. Şirketin aşağıdaki kişilere yönelik aydınlatma metni hazırlaması gerekir;

  • çalışanları(işçiler) veya iş başvurusunda bulunan adaylar
  • müşteriler
  • kamuoyu ve üçüncü kişiler

Aydınlatma metninin paylaşılmasının ardından kişilerin Açık Rızalarının alınması gerekmektedir. Açık rıza mutlaka veriler işlenmeden önce alınmalıdır. Açık rıza yazılı şekilde alınabileceği gibi online olarak da alınabilir. Web siteleri aracılığıyla veri toplayan firmaların sitede Aydınlatma Metnini okuttuktan sonra ilgili kişilerin kişisel verilerin işlenmesine online olarak izin vermesine olanak sağlayacak şekilde düzenlemeleri yapması gerekmektedir.

2) Gizlilik ve Çerez Politikalarının Hazırlanması

Web siteleri olan firmaların sitelerinde mutlaka gizlilik ve çerez politikalarının yer alması gerekmektedir.

3) Gizlilik Sözleşmelerinin Hazırlanması

İş ortakları, tedarikçiler, mali müşavirler, çağrı merkezleri gibi ortak iş yapılan firmalarla gizlilik sözleşmesi yapılmalıdır.

4) Şirket İçi Siber Güvenlik Politikalarının Oluşturulması

Veri sorumlularının işledikleri verilerle ilgili gerekli güvenlik önlemlerini alma yükümlülüğü vardır. Siber saldırılara karşı gerekli teknolojik altyapıyı kurma ve denetleme faaliyetlerinde bulunmalıdır. Aksi takdirde cezai ve hukuki yaptırımla karşılaşması olasıdır. Şirketlerin çalışanlarının ve müşterilerinin verilerinin gizliliğini sağlama, başkaları tarafından bu verilere izinsiz erişimleri engelleme, bunun için gerekli teknik altyapıyı kurma konusunda Kanun’dan doğan yükümlülükleri vardır. Hatta veri güvenliği için işveren başka bir iş yeri veya şirketten hizmet alıyor olsa dahi bu durum şirketin kendi sorumluluğunu kaldırmaz.

5) Ticari Elektronik İletilerle İlgili Yükümlülükler

Şirketlerin müşterileriyle ilgili elde etmiş oldukları iletişim bilgilerini, daha sonra bu kişilere ticari elektronik ileti göndermekte kullanabilmeleri için KVKK kapsamında ilgililerin açık rızalarının alınması gerekmektedir. 04.01.2020 tarihli ve 30998 sayılı Resmî Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’te Değişiklik Yapılmasına Dair Yönetmelik ile ile ticari elektronik ileti göndermek isteyen şirketlerin İYS’ye kaydolması zorunlu hale getirilmiştir. İYS, şirketlerin arama, mesaj ve e-mail gibi ticri ileti izinlerini saklayıp yönetebilecekleri, alıcıların verdikleri izinleri görüntüleyip kaldırabilecekleri ve saklayabilecekleri ulusal bir veri tabanı sistemidir.

Şirketlerin İYS ile ilgili yükümlülükleri aşağıda sıralanmıştır;

  • Müşterilerin veri işlenmesine ilişkin açık rızalarının İYS üzerinden online olarak alınması gerekmektedir. Eğer şirket sistem üzerinden dğil de kendi olanaklarıyla müşterinin açık rızasını almışsa, ispat yükü kendisine ait olmak şartıyla almış olduğu rıza beyanını 3 iş günü içinde İYS’ye kaydetmelidir.

İYS’ye kaydedilmeyen onaylar geçersiz sayılır ve onayı alınmayan müşterilere ticari elektronik ileti gönderilemez. İYS’ye mevcut onayların kaydedilmesi için son tarih 31 Mayıs 2021 olarak öngörülmüş olup, bu tarihe kadar sisteme aktarılmayan onaylar geçersiz sayılacak ve bu alıcılara ticari elektronik ileti gönderilemeyecektir.

  • İlgili yönetmelik uyarınca şirketler, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığı artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletilere ilişkin onay kayıtlarını, onayın geçerliliğinin sona erdiği tarihten itibaren, ticari elektronik iletilere ilişkin diğer kayıtları ise kayıt tarihinden itibaren “3 yıl” süreyle saklamakla yükümlüdür.

6) Yurtdışına Veri Aktarımı Konusunda Yükümlülükler

İlgilierin kişisel verilerinin yurtdışında paylaşılmasında birincisi  KVKK kapsamında işçinin bu paylaşıma ilişkin açık rızasını mutlaka temin etmelidir.  İkinci olarak şirketler, kişisel veri paylaşımı yapacağı  ülkenin bu verilerle ilgili yeterli korumayı sağlayıp sağlayamayacağını araştırmak ve sağlayamayacağını tespit ettiği durumlarda veri paylaşımı yapmamak yükümlülüğü altındadır.

Kişisel Verilerin Koruma Kurulu hangi ülkelerin yeterli koruma sağladığını duyurmaktadır. Bu ülkeler arasında bulunmayan bir ülkeye veri aktarımı yapılacaksa,  uluslararası sözleşmeler, karşılıklılık ilkesi ve aktarılacak veri sorumlusu tarafından taahhüt edilen önlemler göz önünde bulundurularak karar verilmelidir. Özellikle çok uluslu şirketler bakımından kişisel verileri yurtdışındaki merkez veya bağlı ortaklıkla yukarıdaki yükümlülüklere uymadan paylaşmak KVKK kapsamında sorumluluk sebebi olabilir.

7) İşlenen Kişisel Verilerin Sınıflandırması  Yapılarak Veri Envanteri Hazırlanması ve VERBİS’e Bildirim

Şirketlerin  Veri sorumlusu sıfatıyla VERBİS’E kaydı zorunludur. VERBİS’e şirketler işledikleri tüm verileri yüklemek zorunda değildir. Sadece  işledikleri verilerle ilgili genel nitelikte bilgileri bildirmekle yükümlüdürler. Bu bildirimin yapılabilmesi için şirketin işlediği tüm verilerin kategorize edilmiş envanteri çıkarılarak türleri belirlenmeli, hangi amaçla ve hangi süreyle işlendiğinin ve saklandığının bilgisi verilmeli, verilerin kimlere aktarılabileceği gibi dğer hususlar konusunda da bildirimde bulunulmalıdır. Aşağıda VERBİS’e kaydı gereken bilgilere yer verilmiştir;

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin kullanım amacı doğrultusunda belirlenecek işlenme amacı,
  • Kişisel verilerin işlendikleri amaca göre gereken maksimum süre,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki bilgiler,
  • Kişisel verilerin aktarılabileceği alıcı grupları,
  • Yabancı ülkelere aktarılacak kişisel veriler,
  • Kişisel veri güvenliğinin sağlanmasına yönelik alınan önlemler.

8) Veri İhlal Bildiriminin Yapılması

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirmekle yükümlüdür. Kişisel Verileri Koruma Kurumunun internet sayfası olan www.kvkk.gov.tr adresinde yer alan Kişisel Veri İhlal Bildirimi sekmesine tıklanarak kişisel veri ihlal bildirimi yapılabilmektedir. Veri sorumlusu tarafından verileri ihlal edilen ilgili kişilerin tespiti halinde bu kişilere de en kısa sürede bildirim yapılmaı gerekmektedir.

SONUÇ

Kişisel Verilerin Korunması Kanunu kapsamında şirketlere getirilen yükümlülüklere uyulmaması ciddi boyutta hukuki ve cezai sorumluluk gerektirmektedir. Bu nedenle şirketlerin faaliyetlerini KVKK ile uyumlaştırması bir zorunluluktur.

Veri sorumlusu olan şirketlerin faaliyet süreçlerini, ticari iletilerini, personel sözleşmelerini, satış ve ilgili diğer sözleşmelerini KVKK’ya uygun hale getirmesi, gerekli metinleri hazırlaması ve ilgililerde açık rıza alma konusunda gerekli tedbirleri alması gerekir.

KVKK uyumlaştırma çalışmaları uzmanlık isteyen süreçlerdir.İleride hukuksal sorunların ve mağduriyetlerin yaşanmaması adına veri envanterlerinin hazırlanması, gerekli bildirimlerin yapılması, KVKK mevzuatı ile ilgili metinlerin hazırlanması konusunda kişisel verilerin korunması alanında uzman bir hukukçudan yardım alınması tavsiye edilmektedir. Konuyla ilgili Solmaz Hukuk ve Danışmanlık Ekibinden KVKK Uyumlaştırma hizmetleri talep edebilirsiniz.

Saygılarımızla.

NOT: Konuyla ilgili daha fazla bilgi için “Kişisel Verilerin Korunması Hukukunun İş Sözleşmeleriyle İlişkisi ve Etkileşim Alanları” konulu bültenimize göz atabilir veya bizimle iletişime geçebilirsiniz.