Şirketlerin KVKK Kültürünün Oluşturulması ve Uyum Süreci
Şirketlerin KVKK Kültürünün Oluşturulması ve Uyum Süreci, şirketlerin bu yolda izlenmesi gereken yöntemler, alınması gereken önlemler ve aksiyon planlamalarını kapsamaktadır. KVKK veya diğer bir deyiş ile Kişisel Verilerin Korunması Kanunu, 2016 yılında Resmî Gazetede yayımlanarak yürürlülüğe girmiştir. 2 yıllık uyum sürecinin ardından yasanın tüm hükümleri Nisan 2018 ile birlikte uygulanır hale gelmiştir. KVKK sayesinde kişisel verilerin internet üzerinden satılması uluslararası jargon ile “Big Data” daha büyük önem kazandı. Ülkemizde ve dünya genelinde ilgili direktifler baz alınarak benzer kanunlar oluşturularak uygulamaya girilmiştir.
KVKK Çalışmasına Neden İhtiyaç Duyulur?
Kanunun yürürlülüğe girmesi ve uyum sürecinin tamamlanmasının ardından 3 ayrı yönetmelik yayınlanmış ve Kişisel Verileri Koruma Kurulu oluşturulmuştur. Böylece şirketlere kişisel verilerin korunması konusunda çalışma mecburiyeti doğmuştur. Bu kültürü oluşturma adına şirketlerin eğitim almaları, önlemler almaları ve çalışanları ile muvafakat nameler yapma zorunluluğu gibi çeşitli zorunlulukları doğdu. Ayrıca şirketlerin tedarikçileri, iş ortaklığı yaptığı firmalar ve şahıslar ile akdedilen tüm sözleşmelerinde kişisel verilerin korunması kanunu çerçevesinde maddeler eklemesi gerekmektedir.
Ülkemizde 2017 yılında Resmi Gazete’de yayınlanan “Veri Sorumluları Hakkında Yönetmelik” hükümleri gereğince VERBİS sistemine uygun çalışmaların planlanması ve VERBİS sistemine kayıt aşamasında veri haritasının çıkarılmış olması zorunluluğu bulunmaktadır.
Kültürün Oluşturulması ve Uyum Süreci
Şirketlerin KVKK Kültürünün Oluşturulması ve Uyum Süreci, şirketler için farklı fazlar şeklinde uygulanmaktadır. Bu süreci maddeler halinde inceleyecek olursak;
• Kişisel Verilerin Korunması Kanunu uyum sürecinin ilk fazı temel altyapıyı oluşturma süreçleri ile geçmektedir. Bu süreç firmalara göre değişiklik göstermekle birlikte ortalama 8 ay gibi bir sürede tamamlanır.
• KVKK Uyum süreci kapsamında ikinci fazda işverenin karşılaşabileceği önemli durumlar hakkında rehberlik ve yol gösterim hizmeti çalışması yapılmaktadır. Bu faz tahmini olarak 12 ay gibi bir sürede tamamlanır.
Uyum süreci boyunca uygulanan farklı analiz alanları da bulunmaktadır. Bu alanlar:
• Veri sorumlusu atanması,
• Kişisel veri envanteri oluşturması,
• Eğitimler (Farkındalık vb. gibi),
• Politikaların ve aydınlatma metinlerinin hazırlığı,
• Veri düzenlemesi,
• Veri sorumlusunun siciline kaydın geçişi,
• Sistemsel ve fiziksel güvenlik önlemlerinin oluşturulması.
KVKK Mevzuatlarına Aykırı Davranma Sonucundaki Cezalar
Kişisel Verilerin Korunması Kanunu kapsamındaki mevzuatların yerine getirilmemesi durumunda ciddi hapis cezalarının ve para cezalarının olduğunu yasanın 17. ve 18. maddelerinde belirtilmiştir. Bu yasanın 17. maddesine göre kişisel verilerin silinmemesi ve anonim hale getirilmemesi durumunda Türk Ceza Kanunu gereği 1 ila 2 yıl arasında hapis cezası verilmektedir. Ayrıca Kişisel verilerin hukuka aykırı olarak kaydedilmesi durumunda ise 1 ila 3 yıl arasında hapis cezasının olduğu belirtiliyor. Yasanın 18. maddesi gereğince yükümlülük ihlali durumunda 100.000 TL’ye kadar para cezası verilmektedir. Bunun dışında veri sorumlularının sicil kaydının gerçekleştirilmemesi durumunda ise 1.000.000 TL’ye kadar para cezasına şirketler çarptırılmaktadır.
Şirketlere KVKK Mevzuatlarına aykırılık durumunda uygulanan bu cezalardan sorumlu kişiler ise şu şekildedir:
• Yönetim Kurulu Başkanı
• Yönetim Kurulu Üyeleri
• Genel Müdür / Şirket Müdürü
• İmza sirküleri ile yetkilendirilen birim müdürleri ve şirketi doğrudan veya dolaylı olarak temsil yetkisi olan kişiler.
Şirketlerin KVKK Mevzuatları Karşısında Yapması Gerekenler
KVKK için oluşturulan Veri Koruma Kurulu ile denetimlerin başlatılması öncelikli adımlar arasında yer almaktadır. Mevzuatlar karşısında yerine getirilmesi gereken birçok çalışma bulunmaktadır. Bu çalışmaları efektif ve pratik şekilde şirketler hukukuna hâkim profesyoneller ile yapmak hayati önem taşımaktadır. Ayrıca bilişim yönünde de şirketlerin yerine getirmesi gereken hükümlülükler bulunmaktadır. Şirketlerin zamanla biriken verilerin güvenliğini sağlama konusunda da çalışmalar gerçekleştirmesi gereklidir. KVKK gereğince verilerin oluşturulması, depolanması, saklanması ve yok edilmesi aşamaları belirli bir plan eşliğinde olmalıdır. Bu plan dahilinde güvenlik ve gizlilik politikalarının da oluşturulması oldukça önemlidir. Üçüncü şahıslar, kötü niyetli saldırılar gibi dış etkenlere karşı korumanın üst seviyede olması gereklidir.
Bu sebep ile bilişim alanında şirketlerin altyapılara daha fazla önem vermeleri gerekmektedir. Kişisel Verilerin Korunması Kanunu esasında,
• Siber Güvenlik,
• Kişisel Veri Güvenliğinin bilişim alanı takibi,
• Kişisel Verilerin yer aldığı ortamların güvenliği,
• Doğru şekilde bulut depolaması yapma,
• Geliştirme ve bakım,
• Kişisel Veri yedeklemesi
gibi konulara şirketlerin önem vermesi oldukça önemlidir. Oluşturulacak ekibin yanı sıra şirketin İT ekibinin de gözetiminde bu işlemlerin ilerlemesi gerekmektedir.
Şirketlerin KVKK Kültürünün Oluşturulması ve Uyum Süreci, tüm şirket ve kurumlar için ciddiye alınması gereken konular arsında yer almaktadır. Gerekli kültürü oluşturma ve uyum sürecinde işin uzmanı ekipler ile çalışmalar gerçekleştirmek ve üzerinde durmak son derece önemli hususlar arasında yer almaktadır.