KVKK Mevzuatının İşletmelere Yükümlülükleri

24 Mart 2016 tarihinde kabul edilen 6698 sayılı kişisel verilerin korunması kanunu, günümüz itibari ile tüm maddeleri ile yürürlüğe girmiş bulunmaktadır. Günümüzün gelişen teknolojisinde gerçek kişilere ilişkin çeşitli veriler gerek fiziki gerekse dijital platformlarda kolayca işlenebilmekte ve aktarılabilmektedir.

Kanunla Kişisel Verilerin İşlenmesi

Kanunla kişisel verilerin işlenmesi disiplin altına alınarak gelişi güzel ve sınırsız toplanması ve yetkisiz kişilerin erişimine açılması, ifşası engellenmekte ve böylelikle kişilik haklarının ihlali engellenmektedir. Kanuna göre yıllık çalışan sayısı 50’den fazla veya yıllık mali bilançosu 25 Milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumlularının VEBBİS olarak adlandırılan veri sorumluları siciline kayıt olma zorunluluğu vardır. Buna göre bu kıstaslardan herhangi birini sağlayan tüm veri sorumluları 31.12.2019 tarihine kadar VERBİS’e kayıt olmak zorundadır. Kanunda öngörülen zorunluluk, yükümlülükler bunlarla kısıtlı değildir.

VERBİS’e kayıt olsun ya da olmasın, veri toplayan, işleyen, aktaran tüm gerçek ve tüzel kişi veri sorumlularının kanunda öngörülen yükümlülüklere uyması ve verilerin korunması ve muhafazası anlamında gerekli idari ve teknik önlemleri alması zorunludur. Buna göre başta kişisel veri envanteri oluşturulması olmak üzere, verilerin toplanması, işlenmesi, aktarılması, imha edilmesi gibi tüm süreçleri belirleyen şirket prosedürlerinin oluşturulması, aydınlatma metinlerinin oluşturulması açık rıza beyanlarının alınması, internet sitelerinin, çağrı merkezlerinin yasaya uygun hale getirilmesi gibi idari tedbirlerin yanında, veri tabanlarındaki güvenlik riskleri tespit edilerek buna ilişkin gerekirse program ya da yazılımları almak suretiyle efektif teknik tedbirlerinde alınması gerekmektedir.

Verilerin alınması aşamasında dikkat edilmesi gerekenler esasen kanunda çeşitli ancak burada örnek vermek gerekirse; örneğin çalışanlardan açık rıza alınması gereken bazı durumlar söz konusu olabilir. Fakat şunu belirtmekte de fayda var, kanunun öngördüğü almanız gereken bilgiler açık rızaya tabii değil, fakat kanunun öngörmediği sizin aldığınız bilgiler varsa açık rıza beyanının olması gerekir. Bu sadece çalışanlar için değil, çalışan adayları için de gerekli olan bir detaydır. Açık rıza belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve kişinin özgür iradesi çerçevesinde açıklanmış olmalı. Burada şunu örnek olarak vermeyi uygun buluyorum; Örneğin asgari geçim indiriminin hesaplanması ve ödenmesi için, medeni durum bilgisi, sahip olunan çocuk sayısı gibi detayların alınması yasa gereği iken bazı sağlık bilgileri için açık rıza alınması gerekebilir. Her şekilde belirtmek gerekir ki kişilerin açık rızalarının alınmış olması veya aydınlatma metinlerinin yapılmış olması toplanan kişisel verilerin istendiği gibi işlenebileceği anlamına gelmez. Kişisel veriler her şekilde toplanma amacına uygun ve ölçülü bir şekilde işlenmeli, amacı dışında kullanılmamalıdır. Yine aynı şekilde farklı, kanuna uygun toplanmamış kişisel veri varsa derhal imhası yasanın gereğidir.

Yasal Saklama Süreleri Sonunda Kişisel Verilerle İlgili Ne Yapılmalı?

Kanunun 5 ve 6. maddelerinde belirlenen kişisel verilerin işlenme amacının tamamen ortadan kalkması halinde kişisel verilerin silinmesi yada imha edilmesi zorunludur. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili tüm süreç kayıt altına alınır ve bu kayıtlar diğer hukuki yükümlülükler hariç olmak üzere 3 yıl süreyle saklanmalıdır.

İçindekiler