KVKK ve Uyum Süreci: Şirketler Nereden Başlamalı?

KVKK, birçok şirket için ilk bakışta karmaşık ve teknik bir alan gibi görünür. Bu nedenle çoğu işletme, konuya ancak bir sorun yaşandığında yönelir. Oysa kişisel verilerin korunması meselesi, sadece bir kriz anında gündeme alınacak bir konu değildir. Asıl önemli olan, şirketin günlük işleyişinin daha baştan hukuka uygun, düzenli ve kontrol edilebilir bir yapıya sahip olmasıdır.

 

Bugün hemen her şirket, farkında olarak ya da olmayarak kişisel veri işlemektedir. Çalışanların özlük dosyaları, müşteri iletişim bilgileri, internet sitesi başvuru formları, e-posta listeleri, kamera kayıtları, tedarikçi bilgileri, muhasebe kayıtları ve insan kaynakları süreçleri bu alanın içindedir. Bu nedenle KVKK uyumu, sadece belli sektörlerin değil, neredeyse tüm işletmelerin gündeminde olması gereken bir konudur.

Kişisel Verileri Koruma Kurumu da veri sorumlusunun; kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorunda olduğunu açıkça belirtmektedir. Ayrıca veri sorumlusu, kendi kurumunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla da yükümlüdür. (kvkk.gov.tr)

 

KVKK uyumu tam olarak ne anlama gelir?

KVKK uyumu, en sade anlatımla, şirketin kişisel veriyle ilgili tüm süreçlerini açık ve düzenli hale getirmesidir.

Bu sadece bir metin hazırlamak anlamına gelmez. Asıl mesele, şirketin şu sorulara net cevap verebilmesidir:

Hangi kişisel veriler toplanıyor?
Bu veriler neden alınıyor?
Ne kadar süre saklanıyor?
Kimlerle paylaşılıyor?
Kimler bu verilere erişebiliyor?
Bu veriler nasıl korunuyor?

Bir şirket bu sorulara açık, tutarlı ve uygulanabilir cevap veremiyorsa, orada bir uyum ihtiyacı bulunduğu söylenebilir.

 

Şirketler çoğu zaman neden geç kalıyor?

Uygulamada en sık görülen durum, şirketlerin KVKK’yı ancak bir problem ortaya çıktığında fark etmesidir. Örneğin bir müşterinin verilerinin yanlış kişiye gönderilmesi, eski bir çalışanın şirket sistemlerine erişmeye devam etmesi, internet sitesinde toplanan verilerin kontrolsüz biçimde saklanması ya da bir kişinin “Benim verilerim neden işleniyor?” diye başvuruda bulunması, konuyu bir anda önemli hale getirir.

Oysa bu sorunların çoğu, ani şekilde ortaya çıkmaz. Genellikle baştan kurulmamış veya güncellenmemiş iç süreçlerin sonucudur. Bu nedenle KVKK uyumu, sadece ihlal sonrası başvurulacak bir alan değil; önleyici nitelikte bir kurumsal düzen çalışmasıdır.

 

KVKK sürecine başlarken ilk adım ne olmalıdır?

Şirketlerin KVKK sürecine başlarken yaptığı en büyük hata, doğrudan belge hazırlamaya yönelmektir. Oysa en doğru ilk adım, şirketin hangi kişisel verileri işlediğini tespit etmektir.

Başka bir ifadeyle, önce mevcut durum görülmelidir.

Bir şirkette genellikle şu veri grupları bulunur:

çalışan verileri,
aday çalışan verileri,
müşteri verileri,
tedarikçi ve iş ortağı verileri,
ziyaretçi verileri,
kamera kayıtları,
internet sitesi ve dijital kanallar üzerinden elde edilen veriler.

Bu verilerin hangi süreçte, kim tarafından, hangi amaçla işlendiği netleştirilmeden hazırlanan uyum belgeleri çoğu zaman uygulamada karşılık bulmaz.

 

Her veri neden işlendiğiyle birlikte değerlendirilmelidir

KVKK bakımından önemli olan sadece veri toplanması değil, bu verinin neden işlendiğinin de açık olmasıdır. Çünkü her veri aynı amaçla ve aynı hukuki nedenle işlenmez.

Örneğin bir çalışanın banka hesap bilgisi ile bir ziyaretçinin kamera görüntüsü aynı hukuki zeminde değerlendirilemez. Benzer şekilde bir müşterinin iletişim bilgileri ile bir aday çalışanın özgeçmişi de aynı amaçla işlenmez.

Bu nedenle her veri için şu sorular sorulmalıdır:

Bu veri neden alınıyor?
Bu veri gerçekten gerekli mi?
Bu verinin işlenmesi için hukuki dayanak nedir?
Bu veri ne kadar süre saklanmalı?
Bu veriye herkes mi, yoksa sadece ilgili birimler mi erişmeli?

Uyum sürecinin sağlam kurulabilmesi için, kişisel veri işleme faaliyetinin günlük işleyiş içindeki gerçek karşılığının görülmesi gerekir.

 

Aydınlatma metni ve açık rıza neden karıştırılmamalıdır?

KVKK uygulamasında en sık karıştırılan konulardan biri aydınlatma metni ile açık rıza arasındaki farktır.

Aydınlatma yükümlülüğü, ilgili kişiye verisinin kim tarafından, hangi amaçla ve hangi kapsamda işlendiğinin bildirilmesidir. Açık rıza ise ancak gerekli olan durumlarda başvurulan ayrı bir hukuki işlemdir. Bu nedenle her veri işleme faaliyetinde otomatik olarak açık rıza aranmaz. Kişisel veri işleme şartları sadece açık rızadan ibaret değildir. (kvkk.gov.tr)

Pratikte şirketler bazen gereksiz şekilde her işlem için açık rıza toplamaya çalışmakta, bazen de gerçekten gerekli olan yerlerde eksik kalmaktadır. Bu durum hem hukuki belirsizlik yaratmakta hem de günlük iş akışını zorlaştırmaktadır. Doğru yaklaşım, hangi süreçte hangi hukuki sebebin kullanılacağını açık biçimde belirlemektir.

 

Veri güvenliği sadece teknik koruma anlamına gelmez

KVKK kapsamında veri güvenliği denildiğinde akla çoğu zaman şifreleme, sunucu güvenliği veya antivirüs önlemleri gelir. Oysa veri güvenliği bunlardan ibaret değildir. Kurumun da vurguladığı üzere, veri sorumlusu hem teknik hem de idari tedbirleri almakla yükümlüdür. (kvkk.gov.tr)

Bu nedenle şu sorular da en az teknik altyapı kadar önemlidir:

Şirket içinde kim hangi verilere erişebiliyor?
Yetkiler görev tanımına uygun mu?
Ayrılan çalışanların erişimleri zamanında kapatılıyor mu?
Kişisel veri içeren belgeler ortak klasörlerde gereksiz biçimde dolaşıyor mu?
Fiziksel evraklar ve dijital kayıtlar yeterince korunuyor mu?

Birçok veri riski, sistem dışından değil, şirket içindeki düzensizlikten kaynaklanmaktadır. Bu yüzden veri güvenliği, yalnızca bilgi işlem departmanının değil, tüm organizasyonun birlikte ele alması gereken bir konudur.

 

VERBİS konusu neden ayrıca değerlendirilmelidir?

KVKK sürecinde sık sorulan konulardan biri de VERBİS’tir. Ancak burada tek tip bir cevap vermek doğru değildir. Çünkü her şirketin kayıt yükümlülüğü aynı şekilde değerlendirilmez.

Öncelikle şirketin VERBİS yükümlülüğü kapsamında olup olmadığı incelenmelidir. Kayıt yükümlülüğü bulunan veri sorumluları bakımından, Sicile kayıt ve Sicilde yer alan bilgilerin güncelliği ayrıca önem taşır. (kvkk.gov.tr)

Burada dikkat edilmesi gereken önemli nokta şudur: VERBİS kaydı yapılmış olması tek başına uyumun tamamlandığı anlamına gelmez. Aynı şekilde sadece birkaç metin hazırlanmış olması da yeterli değildir. Önemli olan, şirketin fiilî veri işleme süreçleri ile beyan edilen hukuki çerçevenin birbiriyle gerçekten uyumlu olmasıdır.

 

İlgili kişi başvuruları neden önem taşır?

KVKK yalnızca şirketlere yükümlülük getirmez; kişilere de çeşitli haklar tanır. İlgili kişi, verisinin işlenip işlenmediğini öğrenme, verilerinin hangi amaçla kullanıldığını sorma, aktarıldığı kişileri öğrenme, yanlış verilerin düzeltilmesini isteme ve şartları varsa silme veya yok edilmesini talep etme hakkına sahiptir. Başvuruların ise kural olarak en kısa sürede ve en geç otuz gün içinde sonuçlandırılması gerekir. (kvkk.gov.tr)

Bu nedenle şirket içinde başvuru yönetimi kurulmamışsa, küçük gibi görünen talepler kısa sürede daha ciddi bir soruna dönüşebilir. Çünkü çoğu zaman problem, başvurunun kendisinden değil; şirkette buna cevap verecek düzenli bir mekanizmanın bulunmamasından kaynaklanır.

 

Veri ihlali halinde ne yapılmalıdır?

KVKK sürecinin en hassas anlarından biri veri ihlalidir. Yanlış kişiye e-posta gönderilmesi, yetkisiz erişim, veri sızıntısı, dosyaların hatalı paylaşılması ya da şirket içinden bilgilerin amacı dışında kullanılması gibi durumlar veri ihlali sonucunu doğurabilir.

Kurumun açıklamalarına göre kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmekle yükümlüdür. (kvkk.gov.tr)

Bu nedenle her şirkette önceden belirlenmiş bir iç hareket planı bulunmalıdır. Bir ihlal halinde kimin bilgilendirileceği, ilk teknik incelemeyi kimin yapacağı, hangi kayıtların tutulacağı ve bildirim gerekip gerekmediğinin nasıl değerlendirileceği önceden belli değilse, kriz anında süreç daha da zorlaşır.

 

Sağlıklı bir uyum çalışması şirkete ne sağlar?

İyi yapılandırılmış bir KVKK ve uyum süreci, yalnızca hukuki riskleri azaltmaya yardımcı olmaz. Aynı zamanda şirket içindeki işleyişi daha düzenli hale getirir.

Hangi birimin hangi veriyi işleyeceği, hangi belgenin hangi amaçla kullanılacağı, verilerin ne kadar süre saklanacağı, kimlerin hangi kayıtlara erişebileceği ve başvuru veya ihlal halinde nasıl hareket edileceği netleştiğinde, hem yönetim hem çalışanlar açısından daha öngörülebilir bir yapı oluşur.

Bu nedenle KVKK uyumu sadece mevzuata uyma meselesi değil; aynı zamanda şirketin iç düzenini kurma meselesidir.

 

Sonuç olarak, KVKK ve uyum sürecine başlamak için ilk yapılması gereken şey, şirketin mevcut veri işleme yapısını açık biçimde görmektir. Hangi verilerin işlendiği, hangi süreçlerin kontrolsüz ilerlediği, hangi belgelerin eksik kaldığı ve hangi alanlarda güncelleme gerektiği ortaya konulduğunda, daha sağlıklı ve uygulanabilir bir yol haritası oluşturmak mümkün hale gelir.

 

Bu nedenle KVKK ve uyum süreçlerinde, mevcut uygulamanın somut veri akışı ve kurumsal yapı üzerinden incelenmesi önem taşır.