Küçük İşletmelere KVKK Tavsiyeleri

İle Av. Alper Atmaca Kasım 21, 2018

Bir işletmenin sermayesi, yıllık cirosu, çalıştırdığı işçi sayısı veya kişisel verilerin nitelik ve niceliği 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesindeki sorumlulukları ortadan kaldırmamakta. Kişisel veri işleyen kişi ve kurumlar getirilen sorumlulukları ağır bulmakta ve yük olarak görmekte. Bu yaklaşımın çeşitli sebepleri olması muhtemel olsa da baskın bir sorun, küçük işletmelerin gerekli hukuki ve teknik yardımı almak konusunda gerekli bütçelerinin olmaması sayılabilir. Bu durum, başka yerlerin uygulamalarından kopyalanarak yapılan uyumsuz çalışmaların doğması veya kanunun gerekliliklerini tümden gözardı edilmesi ile sonuçlanmaktadır.

Amacımız, her ne kadar hukuki destek almak elzem olsa da küçük işletmelerin kullanıcılarına doğru hizmet verebilmeleri ve hali ile kanuna uyum sağlayabilmeleri adına gerekli adımları basitleştirmektir. Bu bağlamda, Kanunun gerekliliklerinin nasıl sağlanabileceği kolaylaştırılmış bir akış halinde aşağıda listelenmiştir.

Hukuk ve İşletme Zeminini Belirleyin

a. Veri envanterinizi, yani işlemekte olduğunuz kişisel verilerin kategorilerini ve niteliklerini belirleyin.

  1. Her ne kadar Kurumun 02.04.2018 tarihli 2018/32 numaralı kararı Veri Koruma Sicili (“VERBİS”) kayıt zorunluluğunun dışında kalmış olsanız da bu çalışmayı yapmak Kanunun veri sorumlusu olarak size verdiği yükümlülükleri yerine getirmenizi kolaylaştıracaktır. Aynı zamanda ileride işlerinizin genişlemesi sebebi ile kayıt yükümlülüğünüz doğduğunda hazırlığınız zaten var olduğundan kayıt sürecini çok daha kolay atlatabileceksiniz.

  2. Bu çalışmayı yaparken; işleme amacınızı, ne tür veriler işlediğinizi, kurum içinde kimin erişimi olduğunu, aktarılacak 3. kişiler, alınan teknik ve idari tedbirler ve kişisel verinin işleneceği süreyi içermesine özen gösterin. Basitçe, ne tür kişisel verileri, ne şekilde, kimden, hangi yollarla, ne amaçla ve ne süre için topladığınız ile bu bilgilere kimlerin erişmesi gereken kişiler olduğunu belirleyin.

b. Kişisel veri işlemenin hukuki temelini oluşturun.

  1. KVKK, kişilerin açık rızası olmadan kişisel veri işlenmesini yasaklar ancak; istisna kurallardan birine dayanamıyor olun. Bu sebeple kişisel verileri işleme şartınızı KVKK 5. madde uyarınca işlediğiniz her kişisel veri kalemi için ayrı ayrı belirleyin ve tespitlerinizde net olun.

  2. Bu belirlemeyi yaparken Kurumun yanıltma saydığı gibi kanuni sebep varken rıza almak ve her şeyi meşru menfaat sayarak aşırı genişletilmiş yorumlardan kaçının. Kanunun amacının kişisel veri sahiplerini korumak olduğunu aklınızdan çıkarmayın.

c. Veri işleme politikanızı ile hukuki temelinizi açık ve dürüstçe Aydınlatma metniniz ve/veya veri işleme politikanızda belirtin.

  1. KVKK’nın 10. maddesindeki gereklilikler çerçevesinde aydınlatma metninin içeriğinin tam olduğundan emin olun. Bu 10. maddenin ifadesi ile aydınlatma metninizin en az; veri sorumlusu olarak sizin veya temsilcinizin kimliğini, kişisel verilerin işlenme amaçlarını, kişisel verilerin kimlere ne amaçla aktarılabileceğini, kişisel verilerin tarafınızdan nasıl ve hangi hukuki dayanakla toplandığını, kişisel verisini topladığınız kişinin KVKK kapsamındaki haklarını içerdiğini temin edin.

  2. Bu aydınlatma metnini etkinlikleriniz kapsamında kişisel verinin elinize geçtiği gereken her yerde kişilere sunulmasını ve gerekli açık rızaların bu aşamadan alınmasını sağlayın.

  3. Metinlerinizin, anlaşılabilir, sadece, teknik dilden ve anlaşılması zor kavramlardan uzak olmasına dikkat edin. Test etmeniz gerekiyorsa bir dostunuza okutun. Ne kadar kolay anlaşılabilir ve kapsayıcı ise o kadar başarılı bir aydınlatma gerçekleştirmiş olursunuz.

Veri Güvenliğini Sağlayın.

a. Veri güvenliğini bir öncelik haline getirin. Kişisel verilerin size teslim edildiği ilk andan itibaren işlenecek süre boyunca bu durumun devam edeceğini unutmayın.

  1. KVKK 5. madde uyarınca ne zaman bir kimsenin kişisel verisi ile temas ettiğinizde bu veriyi korumak adına sorumluluklarınız olduğunu hatırlayın. Kanun ifadesi ile her türlü teknik ve idari tedbiri almak zorunluluğu ve bunun bir istinasının olmayışı uygulamanın en temel gerçeği.

  2. Kurumsal bir güvenlik alışkanlığını yaşatmak uyumluluğun temeli. Güvenliğin bir sefer uygulanan ve sonsuza kadar süren bir koşul olmadığı her zaman hatırlanmalı. Şifreleme, anonimleştirme veya imha gibi süreç ve işlemlerin her gün değişiklik gösterebileceği gerçeği sürekli bir denetim gösterilmesi gereken konular.

b. İmkan olan her fırsatta; şifreleyin, anonim hale getirin veya yok edin.

  1. Teknoloji hiç olmadığı kadar şifreleme imkanlarını kolaylaştırdı. Şifreleme bir güvenlik önlemi olarak doğru uygulandığında kişisel veri korumasının en güçlü savunmalarından biri. Bu araçlar’ın en gelişmişleri, özgür yazılımlar olarak kolaylıkla elde edilebiliyor ve uygulamaya alınabiliyor. Yani kullanmamak için hiç bir bahane yok. Hem saklanan veriyi, hem kullanılan sistemlerin depolama aygıtlarını hem de iletim sırasında mümkün olan her yerde işlediğiniz kişisel verileri şifreleyin ve anahtar yönetimini amacınıza uygun düzenleyin.

  2. Size teslim edilmiş olan kişisel verilere, özellikle bir kişi ile ilişkili olması önemli değil ise veya bu verilere sadece istatistik gibi genel bir amaç için ihtiyaç duyuyorsanız, ilgili kişiden size talep gelmese bile elinizdeki kişisel verileri KVKK 7. madde uyarınca anonimleştirin. Bu sayede hem elinizde kişisel veri bulundurmanın riskini azaltmış olursunuz hem de ihtiyacınız olan faydayı bir kişinin mahremiyet hakkına dokunmadan elde edersiniz. Bir verinin doğru şekilde anonim hale getirilmesi zor bir konu olabileceğinden KVKK ve ilgili yönetmeliğe dikkat edin.

  3. Şayet kişisel veri işlemeye, kanuni süreler dolduğundan veya işletme koşulları sebebi ile artık amaç bulunamıyorsa veyahut ilgili kişi kendisine ait kişisel verinin yok edilmesini talep ettiyse veriyi yok edin. Bu işlemlerin ne zaman ne şekilde yapılacağının aydınlatma metnininde doğru şekilde ifade edildiği bir durumda veriyi elde tutmak hem hukuka aykırılık hem de kişisel veriye ilişkin riskin artması anlamına gelir.

c. Her sistemin en zayıf halkasının insan olduğunu unutmayın. Bunun için şirket içi güvenlik politikaları üzerine ve veri güvenliği hakkında farkındalık eğitimleri düzenleyin.

  1. Kişisel veri işlemenin tehlikelerine yönelik riskleri azaltmak için gerekli tedbirleri almaya özen gösterin. Bu güvenli parolalar kullanıldığından emin olmak, çok aşamalı kimlik doğrulama kullanılmasını sağlamak olabileceği gibi, VPN ve şifreleme gibi araçlarla cihaz güvenliğini sağlamak gibi teknik tedbirler de olabilir.

  2. Aldığınız tüm güvenlik tedbirleri ekibinizin farkındalığı kadar etkili olabilir. Bu bakımdan ekibinizin tehlike ve risk kavramlarının ne olduğunu, yaptığınız işin ve aldığınız güvenlik tedbirlerinin amacı konusunda eğitimli olmasına çaba gösterin. Alınan tedbirlerin bir angarya değil bir amaca yönelik olduğunu ve ihlalinin sonuçlarından haberdar olunduğuna emin olun. Kişisel verilere özellikle erişimi olan ve teknik bilgisi olmayan personelin daha dikkatlice eğitimden geçmesine özen gösterin.

  3. Kurallar hayatı zorlaştırmak için değil kolaylaştırmak için yazılır. Bu bakımdan ekibinizin olağan işletme koşullarında veya olağandışı durumlarda ne yapacaklarını açıkça tanımlayan metinler hazırlayın. Bu prosedürlerin takip edilmesinin hem işletme sırasında belirlenebilirlik yaratacağı hem de olası bir istenmeyen durumda toparlanma ve tespit sürecine katkısı olacağı değerlendirilmelidir.

  4. Sorumluluk, yaptırımsız mümkün değildir. Özellikle kişisel veri ile temas eden veya teknik altyapıda yüksek yetkilere sahip olan personel ile aranızda, eğitimlerin yanı sıra, sorumlulukları açıkça belirten ve aksine davranışların sonuçlarını içeren bir taahhütname hazırlayın. Çok aşamalı kimlik doğrulama ve/veya zaman mührü gibi teknolojiler ile kişilerin kişisel veri işleyen sistemlere erişimini kayıt altına alın.

d. KVKK uyarınca denetim ve denetleme yükümlülüğünüz olduğunu bilin. Bu kurum içi denetimler olabileceği gibi kurum dışından hizmet olarak alınabilecek denetimler de olabilir.

  1. Kurum içinde alınan tedbirlerin, belirli ve belirsiz zamanlarda denetlemesini yapın. Bu incelemeleri kayıt altında tutun, tespit ettiğiniz ihlalleri düzeltin ve sorumluları gerekli şekilde uyarın. Bunu sadece kanuni bir gereklilik için değil kurumsal düzenin bir parçası olarak gerçekleştirin.

  2. Kurum dışı denetimlerin belirli bir tanımı veya standardı olmamakla birlikte veri güvenliği denetimi yapabilecek nitelikte bir kurumdan ve alanında uzman bir hukukçudan gerekli denetimleri gerçekleştirmesi talep edilebilir.

e. Bir kişisel veri sızıntısı olduğu durumda yetkililere ve ilgili kişilere haber vermeye hazırlıklı olun.

  1. Bu sorumluluğu yerine getirebilmek için gerekli tedbirlerin ve denetimlerin yapılıyor olduğundan emin olun. Bir sızıntının öğrenilmesi durumunda derhal gerekli önlemleri alın.

  2. Yaşanan durum kontrol altına alındığı anda en kısa sürede Kuruma gerekli bildirimleri yapın. Benzer şekilde güvenlik ihlali sebebi ile ifşa olan kişisel verilerin sahibi olan ilgili kişilerin de durumdan haberdar edilmesini sağlayın.

Kişisel Veri Sahiplerinin Haklarını Temin Edin.

a. KVKK 11. madde kapsamında ilgili kişilerin haklarını bilin ve bu hakların elde edilmesi için kolay ve erişilebilir araçları ortaya koyun.

  1. Bilgi talep edilmesi kolay mı?

    1. İlgili kişilerin kendileri ile ilgili işlenen kişisel veriler hakkında bilgi alma hakları bulunmakta. Bu taleplerin size kimlikleri doğrulanabilir şekilde ulaştırılabilmesine imkan sağlayan işlevsel yollar belirleyin.

    2. İlgili kişiler sizden kendileri hakkında kişisel veri işlenip işlenmediğini, işleniyorsa bu verilerin neler olduğunu, işleme amacını ve amacına uygun olarak kullanılıp kullanılmadığını öğrenmeyi ve tam bir örneğini talep edebilir. Bu bilgiler özellikle pahalı bir işlem değilse ücretsiz ve kanuni süreleri içinde yerine getirmek için gerekli çalışmaları gerçekleştirin.

  2. Aktarım yapılan üçüncü kişilere ilişkin taleplerin iletilmesi kolay mı?

    1. İlgili kişiler sizden kişisel verilerinin aktarılıp aktarılmadığını ve aktarılan kişiyi öğrenme hakkı bulunmaktadır. Bu bakımdan kişiler temelinde aktarım yapılan kişilere ve aktarılan verilere ait bilgilerin istendiğinde verilmeye hazır olması gerekir.

    2. İlgili kişiler yine hakları kapsamındaki size yönelttikleri taleplerinin aktarım yapılan üçüncü kişilere de bildirimini talep edebilir. Bu talep için gerekli iletişimin yapılması ve çalıştığınız üçüncü kişilerin bu talepleri sizin hukuki sorumluluğunuz olması sebebi ile zamanında yerine getirmesini sağlamalısınız.

  3. Kişisel verilerini düzeltmesi veya güncellemesi kolay mı?

    1. İlgili kişiler sizden kendileri hakkında işlediğiniz kişisel verilerin düzeltilmesini veya güncellenmesini talep edebilirler. Bu taleplerini kanuni süreleri içinde yerine getirmekle sorumlusunuz.

    2. Siz de işlediğiniz kişisel verilerin güncel tutulmasından sorumlusunuz. Bu sebeple yaptığınız veri işleme faaliyetinin doğal döngüsü çerçevesinde bu verilerin güncellenmesi için etkin olarak çalışmada bulunmalısınız.

  4. Otomatik veri işlenmesi sonucuna itiraz edilmesi kolay mı?

    1. İlgili kişi kendisi hakkında otomatik bir sistemin işlediği kişisel veri sonucunda ortaya çıkan aleyhe sonuca itiraz etme hakkı bulunmaktadır.

    2. Bu talebin süresi içinde incelenebilmesi ve cevabın doğru şekilde verilebilmesi gereklidir. Otomatik sonuç çıkaran sistemlerin üzerinde gerekli incelemenin hızlıca ve tatmin edici şekilde yapılabilmesini sağlamalısınız.

  5. Kişisel verilerinin silinmesini veya yok edilmesinin talep edilmesi kolay mı?

    1. Silme ve yok etme kavramlarının kanun açısından farkını ve uygulamaya yansımasını bilin. Büromuzun konu hakkındaki yayınını okuyabilirsiniz.

    2. Kişisel verilerin silinmesi veya yok edilmesi için gerekli, kişisel veri koruma hazırlığınızın bir parçası olan işleme şartlarını uygulamaya hazırlıklı olun.

    3. İlgili kişiler kendileri hakkında işlenen kişisel verilerin silinmesini talep edebilirler. Bu ilgili kişisel verinin sistemler aracılığı ile erişilmesinin engellenmesi anlamına geleceğinden bu işlemin kanuni süreleri içinde yapılabilmesini sağlayın.

    4. İlgili kişiler kendileri hakkında işlenen kişisel verilerin yok edilmesini talep edebilirler. Bu durumda verilerin doğru şekilde tespiti ve geri döndürülemez şekilde yok edilmesi gereklidir. Bu işlemin doğru ve güvenilir şekilde yapılmasını sağlayın.

Hukuki yardım alın.

  1. Yukarıda yaptığınız çalışmanın tüm aşamalarının hukuki yansımaları ve sonuçları bulunacaktır. Bu çalışmada sizin gözünüzden kaçan bir unsurun kişisel veri koruması açısından çok önemli yansımaları bulunabilir. Bu sebeple kişisel verilere el sürmeden önce mutlaka yapılan çalışmayı uzman bir hukukçuya danışın.

  2. Hukuki sorumluluklar ve uygulamanın koşulları sürekli değişen bir süreçtir. Bu süreç kapsamında uyumluluğunuzu en doğru şekilde yapmış olsanız dahi hukuki veya teknik düzlemdeki takip etmediğiniz bir değişiklik sorumluluğunuzu doğurabilir. Bu bakımdan iç denetimler kapsamında uzman bir hukukçu tarafından belirli zamanlarla danışmanlık almanız faydanıza olur.

Yukarıdaki çalışmayı hakkıyla tamamlamak ve uygulamada tutabilmek sadece kanuni gereklilikleri yerine getirmekten öte, günümüzde artık fazlasıyla önem kazanmış ve insanların Anayasal mahremiyet haklarının bir uzantısı olan kişisel verilerine daha fazla sahip çıktığı bir dönemde her kişi için itibar ile gelecekte yer edinebilmenin bir koşuludur.

Her süreç gibi uygulamaya başından doğru başlamak, yapılan hataları geriye dönük olarak ileride düzeltmekten daha kolaydır. Bu bakımdan yukarıdaki adımları izleyerek yapılacak bir hazırlık hem alınması gereken hukuki desteğin niteliğini ve süresini kısaltacaktır hem de olası hataların önüne geçerek ileride zor durumlarla karşılaşılmasına engel olacaktır.

Bu çalışmanın bir çerçeve olduğunun ve her durumun kendine özel niteliği sebebi ile uygulamada farklılıklar yaratabileceği unutulmadan kullanılması gereğini ve bir uzmanın görüşü ve yardımının elzem olduğunu hatırlatarak iyi uygulamalar dileriz.

Ara

Etiketler