KVKK danışmanlığı hangi konuları kapsıyor?



KVKK

 

6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU, 24 Mart 2016’da TBMM’de kabul edilen ve 7 Nisan 2016 yılında Resmi Gazete yayımlanarak yürürlüğe giren 33 asıl ve 2 geçici maddeden oluşan bir kanundur.

 

Kanundaki ifadesiyle oluşturulma amacı; kişisel verilerin işlenmesinde başta özel hayatın

gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen

gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

 

Kişisel Verileri Koruma Mevzuatının Uygulanması

 

KVKK’ nın uygulamasına bakıldığında tek bir cümlede yapılacak tüm tedbirleri: “Kişisel Verinin ihlali, izinsiz işlenmesi ve paylaşılmasının önlenmesi ile ilgili gerekli olabilecek tüm idari ve teknik tedbirleri almak” olarak özetleyebiliriz. Lakin bu özeti detaylandırmak istediğinizde belirli ve kısa kalıplara sığdıramayacağınız önlemleri hayata geçirmek hatta şirketin iş yapış şekillerini yeniden tasarlaması gerekiyor.

 

Örneğin; yıllardır İnsan Kaynakları personelleri, çalışanlarının ve çalışan adaylarının verilerini “Bir gün belki lazım olur” mantığıyla işlemeye alışmışlardı. KVKK’ nın kurallardan bir tanesi verinin süreli ve amacına uygun olarak işlenmesini öngörüyor. Yani bir çalışan adayının evli ya da bekar olduğu bilgisini bir gün lazım olacak diye 10 yıl boyunca saklamanızın hiçbir yasal karşılığı yok. Hatta o veriyi süreli bir zaman için almanız da yeterli olmayabilir. Bu bilgiyi işlemek için amacınızı geçerli bir sebebe dayandırmanız gerekiyor.

 

Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehberler, yönetmelikler ve tebliğler bu tedbirlerin nasıl uygulanacağı konusunda yardımcı olmakta ve yol göstermektedir. Kişisel Verileri Koruma Kurulu tarafından yayımlanan “KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler)” içerisinde bu tedbirler şu şekilde sıralanmaktadır:

 

İdari Tedbirler

 

Kişisel Veri İşleme Envanteri Hazırlanması

Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında)

Gizlilik Taahhütnameleri

Kurum İçi Periyodik ve/veya Rastgele Denetimler

Risk Analizleri

İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

Teknik Tedbirler

 

Yetki Matrisi

Yetki Kontrol

Erişim Logları

Kullanıcı Hesap Yönetimi

Ağ Güvenliği

Uygulama Güvenliği

Şifreleme

Sızma Testi

Saldırı Tespit ve Önleme Sistemleri

Log Kayıtları

Veri Maskeleme

Veri Kaybı Önleme Yazılımları

Yedekleme

Güvenlik Duvarları

Güncel Anti-Virüs Sistemleri

Silme, Yok Etme veya Anonim Hale Getirme

Anahtar Yönetimi

 

Bu tedbirleri uygulamak isteyen bir kurum; KVKK ile ilgili sayfalarca doküman hazırlamak, iş süreçlerini belgelendirmek, teknik sistemlerinde revizeler gerçekleştirmek, Kişisel Verileri Koruma Kurumu ve kamuoyunu yaptığı değişiklikler veya mevcut sistemi ile ilgili gerekli noktalarda bilgilendirmek zorunda kalmaktadır.

 

Türkiye’de birçok kurumun bu tedbirleri kendi personellerine ek görevlendirmeler yaparak almaya çalıştığını biliyoruz. Birçok kurum idari işler personeli ya da bilgi işlem personellerinden ya da şirket avukatlarından KVKK ile ilgili hazırlıkları yürütmesini beklemektedir.

 

Kurumun yayımlamış olduğu içerikler, sürecin kapsamı ve zamanlaması düşünüldüğünde şu kısım çok net ifade edilmelidir ki: KVKK ne bir tek kişinin ne de tek bir departmanın görevi ya da sorumluluğu olamaz. Süreci yönetme ya da yürütme konusunda belli kişilere bazı görevler yüklenebilir lakin bu çalışma bir proje olarak değerlendirilmeli ve departmanlara kendi alanlarına yönelik sorumluluk ve iş yükleri dağıtılmalıdır.


·        KVKK tüm şirketleri kapsayan bir kanun mudur?

 

Kanundaki ifadesiyle; “Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.”

Günlük hayatta yapılan uygulamalarda ise KVKK’ nın, herhangi bir kişinin verilerini işlemeye başladığınız anda o kişiye karşı sorumluluk ve yükümlülüklerinizin de başladığını vurgulayabiliriz.

 

Cümleyi bu şekilde incelediğinizde, akla ilk gelen soru, bir şahıs şirketi (bakkal, tesisatçı vb.) ya da direkt olarak bir şahıs, kişisel veriyi deftere yazdığında, “Kişisel Veri Envanter” i hazırlamak zorunda mı kalacak ya da VERBİS’ e kaydolacak mı oluyor.

 

Bu sorunun cevabını VERBİS’ e kayıt yükümlülüğü, belge hazırlama yükümlülüğü ve KVKK yükümlülüğü olarak ayrı ayrı yanıtlamak gerekiyor. Şöyle ki;

 

VERBİS Kayıt Yükümlülüğü:

 

Hem gerçek hem de tüzel kişiler için; yurt dışında yerleşik değil iseniz, özel nitelikli kişisel veri işlemiyorsanız, tamamlanan en son yıldaki, yıllık mali bilanço toplamı 25 milyon TL'den az ya da bir yıllık çalışan sayı ortalaması 50’den az ise VERBİS’ e kayıt yükümlülüğü bulunmuyor. (Bunlar haricinde avukatlara, mali müşavirlere, noterlere, siyasi partilere getirilen bazı istisnalar vardır, detaylar için linkinde yer alan sayfa 10’daki istisnalar kısmı incelenebilir.)

 

Belge Hazırlama Yükümlülüğü:

 

KVKK’ nın idari tedbirlerinde saydığımız, envanter, politika, aydınlatma metni gibi belgelerin hazırlanması noktasında temel istisna, işlenen kişisel verilerin niteliği ve niceliği ile ilgilidir. Bunun yanında kurumun uygulamakta olduğu her yan uygulama yeni sorumluluklar doğurabilmektedir. Bu sebeple, belge ile ilgili sorumluluğu değerlendirirken, konu bazlı değerlendirmelerde bulunmak gerekmektedir.

 

Yani hiçbir kayıt sistemi kullanmayan (CRM, ERP, Excel vb.) bir kurumun bu kayıtlarla ilgili bir prosedür hazırlamasına gerek bulunmamaktadır. Ayrıca eğer kişisel veriyi bir zorunluluk kapsamı haricinde işlemiyorsanız kişisel veri sahibini bu konuda aydınlatmanıza da gerek bulunmamaktadır. Birkaç örnekle burayı netleştirebiliriz: Bir vatandaş olarak bakkala girdiğinizi düşünelim, alışverişinizi yaptınız, ücretini ödediniz ve dükkândan ayrıldınız. Bu süreç sırasında hiçbir şekilde veri işleme faaliyetine girilmediği için bakkalın yükümlülüğü bulunmuyor. Lakin alışveriş yaptığınız alanda güvenlik kamerası kaydı varsa, bakkalın bu güvenlik kameraları ile ilgili aydınlatma yükümlülüğü vardır. Kişiye direkt olarak uyarıda bulunmasa dahi alanda bir kayıt yapıldığı ile ilgili bir yazılı metin bulundurması zorunluluğu ortaya çıkmaktadır.

 

Alışveriş yapma amacı aynı olmakla birlikte bu sefer bir markete gittiğinizi varsayalım. Bu kez markete girdiğiniz andan itibaren bir takım yeni uygulamalar ile karşılaşıyorsunuz. Örneğin bazı marketler giriş yaptığınız alanda güvenlik kayıtlarınızı almaya başlıyor. Alışverişinizi yaparken cep telefonunuzun konum bilgisini kullanarak size SMS gönderiyor, tadım reyonlarında market personeli olmayan iş ortağına ait personellerin size ikramda bulunmasını, satış yapmasını hatta isim-soy isim gibi bilgilerini kaydetmenize sebep oluyor, kasaya geldiğinizde markete ait sadakat kartı için başvurunuzu alıyor (bu sırada isim-soy isim, TCKN, adres, telefon gibi verilerinizi istiyor), karta puan yüklemesi yapıyor ve tüm bu süreç esnasında güvenlik kameralarından kayıtlarınızı alıyor. Daha sonra sizin alışveriş kayıtlarınızı merkeze gönderiyor ve bu bilgileri muhasebe, satış/pazarlama, iş ortakları vb. kurumlar ile paylaşıyor. Tüm bu süreçler için market size karşı farklı aydınlatma metinleri hazırlamak ve ibraz etmek, gerekli ise açık rıza formlarını onaylatmak, KVKK politikalarını ve veri süreci ile ilgili envanterlerini hazırlayarak her şeyi yazılı hale getirmek zorunda kalmaktadır.

 

Bu basit örnekte de görüldüğü üzere, yapılan iş sonuçta aynı olsa da, uygulanan metotların ve yöntemlerin sayısına göre sorumluluklar da orantılı şekilde artmaktadır.

 

KVKK Yükümlülüğü

 

Bu noktada çok da fazla bir ayrıntıya girmeye gerek kalmıyor. Aslında sade bir vatandaş olsanız dahi çevrenizdeki insanların kişisel verilerini işlemek ve paylaşmak konusunda sorumluluğunuz var. Örneğin; salgın hastalığa yakalanan bir tanıdığınızı sosyal medya üzerinden ifşa ettiğinizde, KVKK’ yı ihlal etmekte ve ilgili kişinin rızası olmadan özel nitelikteki verilerini paylaştığınız için suç işlemektesiniz.


·        KVKK danışmanlığı hangi konuları kapsıyor?

 

Eğer bütünleşik bir yapıdan bahsediyorsak; KVKK danışmanlığı idari ve teknik tedbir başlıklarının bütününü kapsamalıdır. Bu noktada bir avukatın ya da bir bilgi işlem uzmanının tüm süreci tek başına yürütmesi mümkün görülmemektedir. Çünkü her ne kadar konu hakkında kısmi bilgi sahibi olsa da, bir kişinin her iki konuda da uzman olması çok da mümkün değildir. İdari tarafta mevcut kanunla birlikte, yayımlanan tebliğ, yönetmelik, rehber ve kurul kararlarını güncel olarak takip etmek gerekirken, teknik tedbirler kapsamında ise her gün gelişen donanım ve yazılım teknolojisini takip etmeli ve güncel güvenlik risklerine hâkim olup bunlarla ilgili önlemler almak gerekmektedir.

 

KVKK Danışmanlığı alacak bir kurumun bu iki başlığı da değerlendirmesi ve danışmanını bu konudaki uzmanlıklarına ve bütünleşik süreç yönetimine olan uygunluğu ile değerlendirmesi çok önemli olacaktır.

 

Unutulmamalıdır ki eğer bir danışmanlık hizmeti tercih edilecek ise, karar vermede etken olan faktör ücretlendirme değil, alınacak danışmanlığın doğruluğu olmalıdır. Aksi halde daha az ücret ödediğiniz fakat yeterli uzmanlığa ve hakimiyete sahip olmayan ya da size hizmet veremeyecek bir danışman, hem KVKK konusunda açıklar vermenize, hem idari para cezaları ile karşılaşmanıza hem de ticari itibarınızı zedelemenize sebep olabilecektir.


·        Danışmanlık almanın faydaları neler?

 

Danışmanlık hizmetinin en büyük faydası, danışmanın bu alandaki farklı tecrübeleri bir araya getirebilme ve bu farklı tecrübelerden ortaya yeni bir uygulama çıkarabilmesidir. Sektörel uzmanlaşmanın diğer alanlarda olduğu gibi kıymetli ve değerli olduğu KVKK Danışmanlığı, farklı sektörlerdeki uygulamalarla zenginleştirilen yapısı ile aslında temelleri yeni yeni atılmaya başlanan KVKK’ ya bağlı dokümantasyonların ve süreçlerin mükemmelleştirilmesini sağlamaktadır.

 

Bunun en bariz örneğini “Kişisel Veri İşleme Envanteri” taslaklarında gözlemleyebiliyoruz. Çünkü her ne kadar günlük uygulamada çok fazla farkına varılmasa da envanter hem kapsam hem de içerik yönünden detaylı ele alınması ve şirketin tüm süreç ve departmanlarının ortak bilgi ve belge birikimlerini içermektedir.

 

İç kaynakları ile KVKK sürecini yürüten ve envanterini kendi ekipleri tarafından oluşturan pek çok kurumun aslında envanter olarak, VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı sırasında belirlenen başlıklarla sınırlı olarak envanter oluşturduğunu görüyoruz. Bu envanterlerde kişisel veri kategorileri üst başlık olarak (kimlik, iletişim, özlük vb.) olarak yer alırken, aslında olması gereken bu başlıkların yatay olarak da çoğaltılmasıdır. Örneğin; kimlik kategorisi altında isim-soy isim, anne adı, baba adı gibi alt kategoriler de belirlenmeli ve envantere bunlar da işlenmelidir.

 

Aynı anda turizm, hizmet, tekstil, üretim, e-ticaret konularında faaliyet gösteren firmalara hizmet veren bir danışman her sektörün kendi dinamiklerine hakimiyet kazanırken ayrıca örneğin; e-ticaret sektöründe yaygın olarak kullanan müşteri bilgilendirme kanallarının kullanımı ve yöntemlerini turizm sektörüne de uygulamaya başlayabiliyor.

Senelerdir vergi denetimlerinde ve muhasebe ekiplerinin iş takiplerinde uygulanan dış denetim yöntemi aslında önümüzdeki dönemde KVKK için de bir standart haline gelecektir. Bu denetimler, kurumun KVKK politikalarını ve prosedürlerini ne kadar etkin uyguladığını, hazırlanan evraklar ile günlük işleyişin ne oranda örtüştüğünü tespit etmek amacıyla yol gösterici olacaktır. Bu bağlamda, KVKK danışmanlığının da dış denetimin ilk adımı olduğunu rahatlıkla vurgulayabiliriz. Kurum ister iç kaynakları ile isterse de farklı bir danışman ile sürece hazırlık yapmış olsa dahi, danışmanlık hizmetinin ilk adımı mevcut durumu analiz etmek ve gerekli düzeltmeleri yapmaktır. Dolayısıyla bu noktada çalışılan danışman, ilk adımda kurumun dış denetimini yapmış olacaktır.

 

Kaynaklar:

 

https://www.mevzuat.gov.tr/Metin1.Aspx?MevzuatKod=1.5.6698&MevzuatIliski=0&sourceXmlSearch=6698&Tur=1&Tertip=5&No=6698

https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

https://www.kvkk.gov.tr/Icerik/1016/Kurul-Uyeleri

https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERB%C4%B0S.pdf