Dijitalleşen dünyada veri, şirketler için en değerli varlıklardan biri haline gelmiştir. Müşteri bilgilerinden çalışan kayıtlarına kadar her gün yüzlerce kişisel veri işlenmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu değerli varlığın nasıl işleneceğini, saklanacağını ve korunacağını düzenleyen temel kanundur. KVKK’ya uyum sağlamak, sadece yasal bir zorunluluk değil, aynı zamanda müşteriler ve iş ortakları nezdinde şeffaflık ve güven oluşturmanın da bir gereğidir. Uyumsuzluk ise şirketleri ciddi idari para cezaları ve itibar kaybı riskiyle karşı karşıya bırakır. İşte her şirketin bilmesi ve uygulaması gereken temel KVKK yükümlülükleri.
1. Veri Sorumlusu Olarak Sorumluluklarınızı Bilin
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “Veri Sorumlusu” denir. Yani, müşterilerinizin veya çalışanlarınızın verilerini işliyorsanız, şirketiniz bir veri sorumlusudur ve KVKK kapsamındaki tüm yükümlülükler sizi bağlar.
2. Aydınlatma Yükümlülüğünü Yerine Getirin
Kişisel verisini işlediğiniz herkese (müşteri, çalışan, web sitesi ziyaretçisi vb.) karşı şeffaf olmalısınız. Veri toplamaya başladığınız anda, kolayca erişilebilir bir “Aydınlatma Metni” ile şu konularda bilgi vermelisiniz:
- Veri sorumlusunun (şirketinizin) kimliği.
- Kişisel verilerin hangi amaçla işleneceği.
- Verilerin kimlere ve hangi amaçla aktarılabileceği.
- Veri toplamanın yöntemi ve hukuki sebebi.
- Veri sahibinin sahip olduğu haklar (bilgi talep etme, veriyi sildirme, düzeltme isteme vb.).
3. Gerekli Durumlarda “Açık Rıza” Alın
Veri işlemek için kanunda sayılan meşru sebeplerden biri (sözleşmenin kurulması, yasal zorunluluk vb.) yoksa, veri sahibinden mutlaka “Açık Rıza” almalısınız. Özellikle, pazarlama amaçlı SMS/e-posta gönderimi, sadakat kartı programları veya özel nitelikli kişisel verilerin (sağlık, dernek üyeliği vb.) işlenmesi için açık rıza şarttır. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir onaydır. Diğer sözleşmelerin içinde gizlenemez.
4. Veri Güvenliğini Sağlamak İçin Tedbirler Alın
KVKK, veri sorumlularına işledikleri verileri korumak için gerekli tüm teknik ve idari tedbirleri alma yükümlülüğü getirir.
- Teknik Tedbirler: Antivirüs sistemleri, güvenlik duvarları, veri sızıntısı önleme yazılımları, şifreleme, sızma testleri, erişim yetki matrisleri.
- İdari Tedbirler: KVKK uyum politikaları oluşturmak, çalışanlara düzenli eğitimler vermek, gizlilik taahhütnameleri imzalatmak, veri işleme envanteri hazırlamak.
5. VERBİS’e Kayıt Yaptırın
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının kamuya açık bir şekilde kayıt olduğu bir sistemdir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den çok olan şirketlerin (bu limitler değişebilir) veya ana faaliyet konusu özel nitelikli kişisel veri işlemek olan işletmelerin (hastaneler, sigorta şirketleri vb.) VERBİS’e kayıt olması zorunludur.
6. Veri Saklama ve İmha Politikası Oluşturun
Kişisel veriler sonsuza kadar saklanamaz. Verilerin, işlendikleri amaç için gerekli olan azami süre kadar muhafaza edilmesi ve bu süre sonunda güvenli bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Şirketler bu süreçleri yönetmek için bir “Veri Saklama ve İmha Politikası” oluşturmakla yükümlüdür.
7. Veri İhlallerini Bildirin
Tüm önlemlere rağmen bir veri ihlali (siber saldırı, veri sızıntısı vb.) meydana gelirse, durumu öğrendiğiniz andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirimde bulunmalısınız. Ayrıca, ihlalden etkilenen kişilere de makul olan en kısa sürede doğrudan bildirim yapmanız gerekir.
Sonuç KVKK uyumu, bir defalık bir projeden ziyade, şirket kültürü haline getirilmesi gereken sürekli bir sorumluluktur. Yükümlülüklere uymamanın cezai yaptırımları oldukça ağırdır. Şirketinizin mevcut durumunu analiz etmek, eksiklikleri gidermek ve yasal riskleri en aza indirmek için KVKK ve bilişim hukuku alanında uzman bir avukattan danışmanlık almak, işletmenizin geleceği için yapacağınız en doğru yatırımlardan biridir.
