KVKK

KVKK uyum süreci nedir ve nasıl yürütülür?

KVKK uyum sürecini birkaç cümlede anlatmak mümkün olmasa da en azından bu sürecin temel aşamalarını anlamak mümkün olabilir. Bu konuda iki kitap yazmış birisi olarak, KVKK uyum çalışmasının nasıl yapılması gerektiği konusunda başlangıç seviyesinde birkaç tavsiye verebilirim. KVKK uyum sürecinde yapılması gerekenler nelerdir?

KVKK uyumu nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016’da hayatımıza girdi ve kişisel verilerin işlenmesine dair kuralları belirledi. Kişisel veri işleme sürecinin iki tarafı bulunur ve bunlardan biri kişisel verisi işlenen gerçek kişi iken, diğeri kişisel verileri işleyen veri sorumlusudur.

İşte 6698 sayılı Kanun’un öngördüğü tüm şartları yerine getirmesi gereken taraf veri sorumlusu olacaktır. Çünkü kişisel veriyi işleyen odur ve haliyle Kanun’un öngördüğü tedbirleri alması gereken de veri sorumludur.

KVKK uyum çalışması neleri içerir?

Bir KVKK uyum çalışmasının temel amacı, kişisel verilerin Kanun’a uygun şekilde işlenmesini sağlamaktır. Peki, ama kişisel verilerin işlenmesi ne demektir?

Kişisel verilerin işlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Yazının devamını okumadan önce, kişisel veri ve işlenmesi kavramları hakkında yeterli bilgiye sahip değilseniz, şu iki yazıya göz atmanızı öneririm:

https://mustafabaysal.com/kisisel-veri-nedir/

https://mustafabaysal.com/kisisel-veri-isleme-sartlari/

KVKK uyum süreci nedir?

İşte KVKK uyum süreci, veri sorumlusunun tüm kişisel veri işleme faaliyetlerini mevzuata uygun hale getirme işlemidir. Bunun yapılabilmesi için bir sistematik oluşturulması ve oluşturulan sistematik üzerinden ilerlenmesi gerekir.

KVKK uyum süreci adımları

KVKK uyum sürecinin nihai gayesi kişisel verilerin doğru şekilde işlenmesini sağlamak olduğuna göre, sürecin ilk basamağı da kişisel verileri tespit etmek üzerine kurulmalıdır.

Öyle ki; veri sorumlusu nezdinde işlenmekte olan her türlü kişisel veri mutlaka tespit edilmeli ve geride bir tek kişisel veri dahi bırakılmamalıdır.

Bu bölümde geride bırakılan bir kişisel veri demek, KVKK uyum sürecinin noksan şekilde nihayete erdirilmesi demek olacaktır. O halde KVKK uyum süreci adımları üç ana başlıkta şöyle sıralanabilir:

  • Kişisel verilerin tespit edilmesi
  • Uyum dokümanlarının hazırlanması
  • VERBİS kaydının yapılması

Yukarıda yer alan üç başlık, KVKK uyum sürecinin ana başlıkları olup bunlar elbette birçok alt başlıklardan oluşacaktır. Bu ana süreçlerle ilgili bilinmesi gereken bir başka husus ise, bunların sırasıyla gerçekleştirilmesi gerektiğidir. Biri bitmeden diğerine geçilmesi mümkün değildir.

KVKK uyum süreci nedir?

Bu üç ana başlık alt başlıklara ayrıldığında, aşağıdaki gibi bir görüntü ortaya çıkar:

  • Veri sorumlusu bünyesindeki birimlerin tespiti
  • Süreçlerin tespiti
  • Faaliyetlerin tespiti
  • İşlenen kişisel verilerin tespiti
  • Kişisel verilere doğru soruları sorarak envanterin oluşturulması
  • Envanterden yola çıkarak dokümanların hazırlanması
  • Envanter ve dokümanlardan yola çıkarak VERBİS kaydının gerçekleştirilmesi

Yukarıda sayılan tüm adımlar birbirinden önemli olsa da içlerinden bir tanesi vardır ki; KVKK uyum sürecinin yapı taşı odur: Kişisel veri işleme envanteri.

Bir KVKK uyum sürecini rezil ya da vezir edecek olan kişisel veri işleme envanteri hakkında yazdığım bir makaleye şuradan ulaşabilirsiniz: https://mustafabaysal.com/kvkk-envanter-nedir-ornek/

KVKK uyum süreci son tarihi nedir?

Birçok okuyucu ve veri sorumlusunun VERBİS yükümlülüğü ile KVKK uyum sürecini karıştırdığını görüyorum. Evet, VERBİS kaydı yapılması her veri sorumlusu için geçerli değil ve kayıt için öngörülmüş son tarih de mevcut: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/

Fakat bir veri sorumlusu ister VERBİS kayıt yükümlüsü olsun ve isterse de olmasın, KVKK uyumunu sağlamak zorundadır.

Çünkü KVKK uyumu demek; kişisel verileri doğru şekilde işlemek demektir. Kişisel verilerin doğru şekilde işlenmemesi demek ise, hem idari para cezalarıyla hem de cezai yaptırımlarla karşı karşıya gelmek demektir.

KVKK uyum çalışması nedir

SONUÇ

KVKK uyum süreci nedir? Birçokları için KVKK uyum süreci, başkalarının yapmakla mükellef olduğu bir şeydir!

Hâlbuki KVKK uyumu, kişisel veri işleyen her veri sorumlusunun sağlamak zorunda olduğu bir süreç yönetimidir. 6698 sayılı Kanun, kişisel verilerin işlenmesi için hangi şartları talep ediyorsa, her veri sorumlusu bu şartları sağlamak zorundadır.

KVKK uyum sürecini gerçekleştirmemiş; yani kişisel verileri doğru şekilde elde etmeyen, muhafaza için gerekli tedbirleri almayan, politika metinlerini hazırlamamış, veri sahibi başvurularına nasıl cevap vereceği bilemeyen ya da kişisel verileri pervasızca başkalarına aktaran bir veri sorumlusu ne kadar güvende olabilir? Bu veri sorumlusu bünyesindeki kişisel veriler ne kadar güvende olabilir?

Şunun çok iyi anlaşılması gerekir ki; yürürlükte bir Kanun var ve bu Kanun’un getirdiği birtakım kurallar var. Aşağıdaki soruların cevabını biliyorsanız, KVKK uyum çalışması yapmanıza ya da yaptırmanıza gerek yok demektir:

  • Kişisel veri nedir?
  • Hangi kişisel verileri, hangi amaçla ve hangi hukuki sebeplerle işliyorum?
  • Bu verileri nasıl muhafaza ediyorum ve onları korumak için hangi tedbirleri alıyorum?
  • Kişisel verileri kimlere ve hangi şartlarda aktarıyorum?
  • Yurtdışına kişisel veri aktarıyor muyum?
  • Kişisel verilerini işlediğim ilgili kişilere gerekli bilgileri veriyor muyum ve onlardan gerekli onayları alıyor muyum?
  • İdari para cezalarının 13 bin liralardan başlayıp neredeyse 3 milyon liralara kadar çıktığını biliyor muyum?

Yukarıdaki sorulara cevabınız hayır ise bir an önce “bir bilen”e danışmanızı ve KVKK uyum çalışması yaptırmanızı şiddetle tavsiye ederim.

Son olarak, eğer KVKK kapsamında olup olmadığınızı merak ediyorsanız, şu yazım işinize yarayabilir: https://mustafabaysal.com/kvkk-kapsami/

KVKK uyum süreci hakkında sık sorulan sorular:

KVKK için neler yapılmalı?

Bu soruya cevap verilirken genelde; aydınlatma metinlerinin hazırlanması ve açık rıza onaylarının alınması gerektiğinden bahsedilse de bu kesinlikle eksik bilgidir. KVKK için yapılması gereken, KVKK uyum çalışması yapmak ve yaptırmaktır. Bu çalışma yapılmadan hazırlanacak her doküman “sıfır” etkili olacaktır.

KVKK kimler için zorunlu?

Kişisel Verilerin Korunması Kanunu’nun kapsamı o kadar geniştir ki; neredeyse her işyerinin KVKK kapsamında olduğunu söyleyebiliriz. Daha detaylı bilgi için makale içinde yer alan ve KVKK kapsamını açıklayan yazı bağlantıma göz atabilirsiniz.

Mustafa Baysal

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Göz Atın
Kapalı
Başa dön tuşu