KİŞİSEL VERİLERİN KORUNMASI KANUNUNA TAM UYUMLU HALE GELİNMESİ İÇİN DİKKAT EDİLMESİ GEREKEN NOKTALAR
6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan kaynaklanan yükümlülüklerin yerine getirilmesi, kişisel verilerin ifşası, amaç dışı veya kötüye kullanımının engellenmesi ve kişisel verilerin daha güvenli bir şekilde korunması için şirket içinde uyulması gereken çeşitli politika ve prosedürler hazırlanmaktadır. Bu politika ve prosedürlerin şirket içerisinde kullanılmasında hareket edilmesi gereken önemli noktalar bulunmaktadır. Bu noktların şirket içerisinde sağlanmaması durumunda şirket olası cezai yaptırımlar ile karşı karşıya kalabililir. Bu sebeple aşağıda dikkat edilmesi gereken hususlar bilginize sunulmuştur.
POLİTİKALARIN ŞİRKET İÇERİSİNDE YÜRÜRLÜLÜĞE KONULMASI
Politika prosedürler önceden hazırlanmış olsa da şirket içerisinde yürürlüğe konulmamış olması olası bir veri ihlali veya şikayette veri sorumluları firmaların cezai yaptırımla karşılaşmasına neden olabilmektedir. Örneğin Kişisel Verileri Koruma Kurulu’nun 12.03.2020 tarih ve 2020/213 sayılı Kararı’nda bir veri sorumlusu şirket veri ihlali bildiriminde bulunmuştur. Kurul tarafından yapılan inceleme sonucu veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu tespit edilmiş ve Kurul tarafından 300.000 TL idari para cezasının uygulanmasına karar verilmiştir. Dolayısıyla şirket içi kullanım için hazırlananan politika ve prosedürlerin şirket Yönetim Kurulu tarafından yapılacak bir toplantıda alınan kararla yürürlüğe konulması gerekmektedir. İlgili politika ve prosedürlerin şirket imza yetkilileri tarafından onaylanıp yürürlüğe konulması bu politika ve prosedürlerin kullanıldığının ispatı açısından son derece önem arz etmektedir. İvedelikle yürürlüğe konulması gereken politika ve prosedürler aşağıdaki gibidir;
1) Kişisel Verilerin Korunması ve İşlenmesi Politikası
Bu politika belirtildiği üzere, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için hazırlanmıştır.
2) Kişisel Verilerin Saklanması, İmhası ve Anonimleştirilmesi Politikası
Bu politika belirtildiği üzere kişisel verilerin güvenli bir şekilde saklanması, imhası ve anonimleştirilmesi ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için hazırlanmıştır. Kanuni bir zorunluluk olan bu politikanın şirket içerisinde uygulanması fazlaca önemlidir.
3) Kamera ile İzleme ve Görüntü Depolama Politikası
Bu politika belirtildiği üzere ilgili kamera kayıtlarına erişimi olan Güvenlik Birimi veya Bilgi İşlem departmanında bulunan yetkili kişilerin uyması gereken kurallar bütününü oluşturmaktadır. Bu politika kapsamında aynı zamanda şirket çalışanları Gizlilik Taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
4) Kişisel Verilerin Korunması Kanunu’na Göre Ürün veya Hizmet Alıcısının Kişisel Verisinin Korunması Prosedürü
Bu prosedür belirtildiği üzere şirket müşterisi gerçek kişilerin kişisel verilerini korumakla ilişkilidir. Bu kapsamda müşterinin kişisel verileri, çalışana ait kişisel telefon, bilgisayar vb. elektronik ortamlarda tutulamaz. Çalışan, müşteri ile ilgili kişisel verileri kendisine ait telefon, bilgisayar, kurum dışı mail adresi, sosyal medya hesabı vb. platformdan paylaşamaz, ifşa edemez.
5) Kişisel Verilerin Korunması Kanunu’na Göre Şirket Personelinin Kişisel Verisinin Korunması Prosedürü
Bu politika belirtildiği üzere şirket çalışanlarının kişisel verilerini korumakla ilişkilidir. Bu kapsamda bir personele ait kişisel veriler, bir başka personele ait kişisel telefon, bilgisayar vb. elektronik ortamlarda tutulamaz. Çalışan, kendisine ait telefon, bilgisayar, kurum dışı mail adresi, sosyal medya hesabı vb. platformdan diğer çalışanlara ilişkin kişisel verileri paylaşamaz, ifşa edemez.
6) Kişisel Verilere Erişim Politikası
Bu politika belirtildiği üzere görev tanımı içerisinde departmanların iş ve faaliyetlerle ilgili kişisel verilere erişimini düzenlemektedir. İlgili politika yürürlüğe konularak departman personellerinin gizliliğe ve kişisel veri güvenliği hükümlerine uymasına ilişkindir.
7) Kişisel Veri Paylaşım Politikası
Bu politika belirtildiği üzere departmanların ve çalışanların iş ve faaliyetleri ile ilgili üçüncü kişilerle paylaştıkları kişiel verilere ilişkin düzenlemeleri içermektedir. Personellerin ve şirketin kişiel veri paylaşımında bu politikaya uyumlu hareket etmesi gerekmektedir.
8) Kişisel Veri İhlal Bildirim Prosedürü
Bu politika belirtildiği üzere olası bir kişisel veri ihlalinin gerçekleşmesi halinde veri sorumlusu şirketin nasıl hareket edeceğine ilişkin hükümleri düzenlemektedir. Bu prosedürün doğru uygulanması cezai yaptırım ile karşılaşma riskini azaltacaktır.
9) Kişisel Veri Başvuru ve Yanıt Prosedürü
Bu prosedürde belirtildiği üzere Kanun kapsamında ilgili kişilerin yapacağı başvurularda izlenecek yol, ilgili kişinin hakları ve başvuru usulu anlatılmaktadır. Bu prosedürün ilgili kişilerin başvurusunda kullanımı önem arz etmektedir. İlgili prosedürün versa şirket internet sitesine eklenmesi de tavsiye olunmaktadır." eklenmiştir.
POLİTİKA, PROSEDÜR VE AYDINLATMA METNİNİN ÇALIŞANLARA TEBLİĞ EDİLMESİ, DUYURULMASI
Politika prosedürler ne zaman hazırlandığına bakılmasızın yürürlüğe konulmadığı ve ilgili persoenellere tebliği sağlanmadığı sürece önemsiz kalmaktadırlar. Çalışanların bir hatası sonucu bir kişisel veri ihlalinin yaşanması veya ilgili kişi tarafından bir şikayet olması durumunda politika ve prosedürleri yürürlükte olduğunun ve ilgili personele tebliğ edildiğinin ispatı cezai yaptırımla karşılaşma riskini azaltmaktadır. Dolayısıyla şirket içi kullanım için hazırlananan politika ve prosedürler yönetim kurulu tarafından yürürlüğe konulduktan sonra çalışanlara tebliğ edilmesi ve duyurulması gerekmektedir. Bu kapsamda “Politikaların Şirket İçerisinde Yürürlülüğe Konulması” başlığı altında belirtilen politika ve prosedürlerin çalışanlara tebliğinin sağlanması gerekmektedir. Bununla birlikte çalışan adayları ve çalışanlar için hazırlanan aydınlatma metinlerinin de ilgili kişilerin kolaylıkla ulaşabileceği şekilde duyurulması gerekmektedir.
İŞ SÖZLEŞMELERİNE EK PROTOKOLÜN, GİZLİLİK TAAHHÜTNAMESİNİN VE DİSİPLİN HÜKÜMLERİNİN İMZA ALTINA ALINMASI
6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan kaynaklanan yerine getirilmei gerekli yükümlülüklerden bazıları da kişisel verilerin daha güvenli bir şekilde korunması için şirket içinde personeller için hazırlanan KVK kapsamında iş sözleşmelerine ek protokol, gizlilik tahhütnamesi ve disiplin yönetmeliğidir. Bu dökümanların çalışanlara tebliğ edilmesi ve akabinde imza altına alınması gerekmektedir. İlgili dökümanlar Verbsis tarafından sizlere sunulmuştur.
VERİ AKTARIM SÖZLEŞMESİNİN ÜÇÜNÇÜ KİŞİLERLE İMZALANMASI
Kişisel Verilerin Korunması Kanunu kapsamında alınması gereken bir başka idari tedbir de şirket dışında kişisel veri aktarımının yapıldığı üçüncü kişilerle kişisel veri aktarımına ilişkin sözleşmenin imzalanmasıdır. Bu sözleşme kişisel veri güvenliğine ilişkin hükümleri içermekle beraber kişisel verilerin aktarımında yaşanabilecek ihlal, yükümlülük ve sorumluluklara ilişkin hükümler içermektedir.
AÇIK RIZA METİNLERİNİN KULLANIMI
Veri sorumluları şirketler tarafından kişisel verilerin korunması kapsamında yerine getirilmesi gereken durumlardan biri ihtiyaç duyulan noktalarda açık rıza şartının sağlanmasıdır. Açık rıza şartının sağlanmasında herhangi bir şekil şartı bulunmamakta sadece yükümlülüğün yerine getirildiğinin ispatı sağlanmalıdır. Bu kapsamda hazırlanan açık rıza metinlerinin şirket içerisinde ilgili kişilere imzalatılması ispat açısından önemlidir. Açık rıza alınması gereken noktalar Verbsis tarafından gerçekleştirilen kişisel veri envanteri oluşturma faaliyeti sırasında tespit edilmiş ve ilgili evraklar tarafınıza sunulmuştur.
AYDINLATMA METİNLERİNİN KULLANIMI
Veri sorumluları şirketler tarafından kişisel verilerin korunması kapsamında yerine getirilmesi gereken durumlardan biri de aydınlatma yükümlülüğünün yerine getirilmesidir. Aydınlatma yükümlülüğünün yerine getirilmesinde herhangi bir şekil şartı bulunmamakta sadece yükümlülüğün yerine getirildiğinin ispatı sağlanmalıdır. Bu kapsamda hazırlanan aydınlatma metinleri şirket içerisinde ilgili kişilerin kolayca ulaşabileceği noktalarda bulunmalıdır.
ŞİRKET İNTERNET SİTESİ KULLANIMI VE ÇEREZ POLİTİKASI
Şirketin bir internet sitesinin bulunması durumunda bazı dökümanlarının yönetim kurulu onayından sonra şirket internet sitesinde yayımlanması kişisel verilerin korunmasına ilişkin yükümlülüklerin yerine getirildiğinin ispatında kolaylık sağşayacak ve cezai yaptırımla karşılaşma riskini azaltacaktır. Bu kapsamda ilk olarak ilgili kişiler için hazırlanan aydınlatma metinlerinin internet sitesinde “KVK” veya “Kişisel Verilerinn Korunması” başlığı altında veya ilgili internet sitesi başlıklarının altında; kişi, süreç bazlı yerleştirilmesi önemlidir. Örneğin şirket internet sitesi üzerinden iş başvuru formu alınıyor ise bu formun bulunduğu bölgeye çalışan adaylarına veya işe alım sürecine ilişkin aydınlatma metninin yerleştirilmesi gerekmektedir. Bununla beraber internet sitesi içinde internet sitesinde gezinen ziyaretçilere ilişkin aydınlatma metninin yerleştirilmesi gereklidir. Yine kanuni bir politika olan Kişisel Verilerin Saklanması, İmhası ve Anonimleştirilmesi Politikası’nın herkesin ulaşabileceği bir şekilde internet sitesinde ilan edilmesi gerekmektedir.
Yine bir başka konu şirket internet sitesi kullanımında çerez faaliyeti söz konusu ise çerezlere ilişkin politika şirket internet sitesinde mutlaka yer alamalı hatta siteye giriş sağlayan ziyaretçinin önüne bir “pop up” bildirimi ile bu politika sunulmalı onay alınmalıdır.
ŞİRKET KİŞİSEL VERİ ENVANTERİNİN VE VERBİS KAYDININ GÜNCEL TUTULMASI
KVK Kanunu kapsamında veri sorumluları siciline (VERBİS) kayıtla yükümlü olan şirketler için sicil kaydından önce kişisel veri işleme envanteri oluşturulması gerekmektedir. Bu envantere göre VERBİS kaydı gerçekleşmeketdir. Kişisel veri işleme envanteri şirket içerisinde yeni bir departmanın açılması veya yeni bir faaliyetin gerçekleşmeye başlaması veya yeni bir kişisel verinin şirket içerisinde işlenmeye başlaması durumunda güncellenmeli ve buna bağlı olarak VERBİS kaydı yenilenmelidir.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Her ne kadar ilgili politika,prosedür,sözleşme, aydınlatma metinleri yürürlükte olsa da uygulamanın tam sağlanamadığı sürece her zaman bir eksiklik yaşanacaktır. Bu kapsamda şirket tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Politikası'nın yürürlüğünü sağlamak için bir yönetim yapısı (komisyon) kurulmalı ve konuyla ilgili uzmanlardan düzenli olarak danışmanlık hizmeti alınmalıdır. Şirket bünyesinde politikalar, politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere Kişisel Verileri Koruma Komitesi’nin şirket üst yönetiminin kararı gereğince görevlendirilmesi tavsiye edilmektedir.
Bu Komitenin kişisel verilerin korunması ile ilgili görevleri aşağıdaki şekilde belirtilmektedir:
- Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve üst yönetiminin onayına sunmak,
- Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını üst yönetimin onayına sunmak,
- KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak,
- Kişisel verilerin korunması ve işlenmesi konusunda şirket içerisinde ve şirketin işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
- Kişisel verilerin korunması ve işlenmesi ile ilgili personelini bilinçlendirmek ve düzenli denetimler yapmak,
- Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini üst yönetimin onayına sunmak,
- Kişisel verilerin korunması ve politikaların uygulanması ve yayılımı konusunda, Kişisel verisi işlenen ilgili kişilerin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak,
- Kişisel verisi işlenen ilgili kişilerin başvurularını en üst düzeyde karara bağlamak,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak şirket içinde yapılması gerekenler konusundaki önerilerini almak,
- KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek,
- Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.