KVKK Danışmanlığı

KİŞİSEL VERİLERİN KORUNMASIYLA İLGİLİ MEVZUAT ÖZETİ
Kişisel Verilerin Korunması Kanunu’nun 07 Nisan 2016 yılında yürürlüğe girmesiyle hukuk mevzuatımızda önemli bir boşluk doldurulmuş ve geniş kitleleri etkileyen bu yasal düzenlemeler zinciri kanuna uyum yükümlülüğü açısından bütün sektörleri harekete geçirmiştir. Avrupa Birliği (AB) mevzuatına paralel olarak yapılan düzenlemeler Avrupa ile eş zamanlı olarak güncellenmekte ve kamuoyu bakımından beklenenden daha hızlı ilerlediği gözlemlenmektedir. Özellikle AB ülkeleri ile iş yapan ve sınır ötesi aksiyonlarda bulunan şirketler bakımından kısa bir süre sonra zorunlu bir şart haline gelecek söz konusu uyum programı, şirketler açısından riskler içerdiği gibi fırsatlar da içermektedir. 

Teknolojinin hayatın her alanına kattığı hız ve imkanlar sayesinde veriye erişimin orantısız şekilde arttığı günümüz iş hayatında tüm şirketlerin ciddi yaptırımlarla karşılaşmamak için mevzuata süratle uyum sağlamaları gerekmektedir. Bahsi geçen yasal uyum yükümlülükleri dışında da çağımız koşullarında şirketlerin kişisel veri koruma alt yapılarını sağlamaları ve bu bağlamda veri politikalarının oluşturmaları kaçınılmaz hale gelmiştir. 

Ekibimiz, ana çalışma konularından biri olan Bilişim Hukuku (IT Law) alanı altında önemli bir başlığı oluşturan Kişisel Verilerin Korunması ve Gizlilik (Data Protection & Privacy) konularında kanuna uyum açısından geriye sayımın başladığı 2018 yılı başlangıcı itibarı ile her bir şirket özelinde ihtiyaçları tam olarak belirleyerek, şirketlerin yapısına ve ihtiyaçlarına uygun olarak farklı kapsamlarda uyum programları sunarak bu sürece hız kazandırabilmeyi hedeflemektedir.

KANUN’A UYUMLULUK AŞAMALARI
Teklif konusu hizmet en geniş kapsamı ile Şirketinizin kişisel verilerin korunması düzenlemeleri bakımından öncelikli olarak mevcut durumunun, risklerinin tespit edilmesi ve sonrasında Veri Koruma Politika ve Prosedürlerinin oluşturulmasını amaçlayan bir veri koruma Uyum Programıdır. Hukuk büromuzun ana çalışma konularından biri olan Bilişim Hukuku (IT Law) alanında önemli bir başlığı oluşturan Kişisel Veri Koruma ve Gizlilik (Data Protection & Privacy) programı içeriği aşağıdaki gibidir;

I.    AŞAMA
1)    Farkındalık Eğitimi
Uyumluluk Projesinin ilk aşamasında yer alan farkındalık eğitimlerinde amaç, Şirket çalışanlarına 6698 sayılı Kanun, Kanun’a bağlı çıkarılan ikincil düzenlemeler ve bağlayıcı nitelikteki Kişisel Verileri Koruma Kurulu kararları hakkında bilgi vermektir. Yapılan genel eğitimde personelin, departman yöneticilerinin ve Şirket yetkililerinin kişisel verilerin korunmasına ilişkin farkındalıklarının artırılması hedeflenmektedir. Projenin başlangıcı niteliğinde olan farkındalık eğitimleri, şirket merkezinin bulunduğu yerdeki bir toplantı odasında mümkün olan en geniş katılımla gerçekleştirilmektedir. Yapılan eğitimlerde Hukuk Büromuz tarafından slaytlar üzerinden sunum yapılır ve devamında soru cevap kısmına geçilir. Burada departman çalışanlarıyla interaktif şekilde gerçekleşen çalışmayla uyumluluğun ilk adımları atılmaktadır. 
2)    İç Değerlendirme Soru Listesinin Gönderilmesi
Çalışmamızın ilk aşamasında yer alan farkındalık eğitiminin tamamlanması ve bu eğitim toplantısından elde edilecek bilgilerle Şirket’inize özel oluşturulacak uyum programımızın önemli bir bölümü ve ilk adımı olan İç Değerlendirme (Self Assessment) Soru Setinin hazırlanması oluşturmaktadır. Bu amaçla soru seti üzerinden Şirket’in başta;
•    İdari ve yönetimsel işler kapsamında işlenen kişisel veriler,
•    İnsan Kaynakları süreçlerinin yürütülmesi kapsamında işlenen kişisel veriler,
•    Satış, Pazarlama ve Operasyon süreçleri kapsamında işlenen kişisel veriler,
•    Satın Alma ve Tedarik süreçleri kapsamında işlenen kişisel veriler,
•    Muhasebe, Finans ve Risk Yönetimi kapsamında işlenen kişisel veriler,
•    Bilgi İşlem, Web Sitesi ve Mobil Uygulamalar kapsamında işlenen kişisel veriler,
•    Şirket’e Özgü (mevcut ise Eğitim, Kalite, Çağrı Merkezi, Sigorta, vb.) ile ilgili süreçler kapsamında işlenen kişisel verilere,
ilişkin olarak ön değerlendirme Hukuk Büromuzca yapılacaktır. Soru seti e-posta üzerinden departman yöneticilerine gönderilecek ve ilgililer tarafından cevaplandırılması beklenecektir. Proje kapsamında en geç 1 hafta içerisinde sorulara cevap verilmesi ve soru setinin cevaplandırılmış halinin tarafımızla paylaşılması beklenmektedir. 
3)    Yerinde İncelemeler
İç Değerlendirme Soru Setinin yetkili tüm departmanlar tarafından doldurulmasından sonra karşılıklı olarak belirleyeceğimiz takvim doğrultusunda şirket merkezinde departman yetkilileri ve çalışanlarıyla birebir toplantılar gerçekleştirilecektir. Birebir toplantılar, departman bazında yapılacak olup her toplantı için ortalama 2 saatlik süre öngörülmektedir. Şirket bünyesindeki departman sayısına göre birebir toplantılar için birden fazla kez bir araya gelinebilir. Birebir toplantılardaki temel amaç, her departman bünyesinde detaylı şekilde veri işleme faaliyetlerini tespit etmek ve bu kapsamda hangi tip kişisel verinin ne amaçla ne kadar süreyle ve hangi ortamda işlendiği ile kişisel verilerin aktarıldığı alıcı gruplarının tespitinin yapılmasıdır. Böylelikle I. Aşamanın bir sonraki adımı olan gerekli dokümantasyon ve eylem planına geçiş yapılacaktır
Yerinde incelemelerin tamamlanabilmesi için proje süresince Şirket içerisinden bir proje ekibinin oluşturulması ve proje ekibinde aşağıdaki birimlerden yetkilendirilmiş kişilerin yer alması beklenmektedir.

ÖNCELİKLİ

BULUNMASI HALİNDE
  • İdari İşler
  • İnsan Kaynakları
  • Satış ve Pazarlama
  • Satın Alma ve Tedarik
  • Muhasebe, Finans ve Risk Yönetimi
  • Bilgi İşlem
  • Hukuk
  • Güvenlik
  • Eğitim ve Kalite
  • Çağrı Merkezi
  • Sigorta
  • İş Sağlığı ve Güvenliği

4)    Gerekli Dokümantasyon Çalışması ve Çözüm/Eylem Planı
Yerinde incelemelerin tamamlanmasından sonra, Hukuk Büromuz tarafından elde edilen bilgiler ve yapılan tespitler ışığında Şirket’in öncelikli olarak 6698 sayılı Kanun kapsamında ihtiyaç duyduğu dokümanlar tespit edilecektir. Uygulamada sıkça rastlanan aydınlatma metinleri, açık rıza beyanları gibi sair gerekli belgelerin hazırlanması bu aşamada tamamlanacak olup öncelikli olarak tarafınıza iletilecektir. Bunun yanında, Şirketiniz ile kişisel veri işleme faaliyetinde bulunan üçüncü kişi veri işleyenlerle aranızda akdedilmiş olan sözleşmeler incelenecek olup, gerekli görülmesi halinde söz konusu üçüncü kişilerle yapılan sözleşmelere ek protokoller hazırlanacak ve imzalatılması için tarafınıza iletilecektir. 
Gerekli dokümanların tarafınıza iletilmesinden sonra yine yerinde incelemelerde yapılan tespitler göz önünde bulundurularak eylem planı oluşturulacaktır. Eylem planı, 4 başlık altında ele alınır;

  • “Mevcut Durum” başlığı altında Şirket’teki mevcut durum ve uygulamaların tespiti yapılır.
  •  “Risk Değerlendirmesi” başlığı altında Şirket’in KVKK ve sair mevzuat kapsamında karşılaşabileceği idari para cezası ve diğer yaptırımlar değerlendirilir. 
  •  “Çözüm/Eylem Planı” başlığı altında Şirket’in bu riski ortadan kaldırmak için yapması gerekenler belirtilir.

MEVCUT DURUM:

“İş Başvuru Formu” vasıtasıyla çalışan adaylarından baba adı, nüfusa kayıt olunan yer, cinsiyet ve T.C. kimlik numarası bilgileri talep edilmektedir. Doldurulan iş başvuru formları fiziki ortamda muhafaza edilmektedir. Söz konusu kişisel veriler, çalışan adayı olan kişi hakkında detaylı bilgi edinmek için işlenmektedir.

 

RİSK:

Kişisel verilerin işlendikleri amaçla bağlı, sınırlı ve ölçülü olması ilkesine aykırılık kapsamında risk teşkil etmektedir. Ayrıca formların fiziki ortamda saklanmasından dolayı ve alınacak güvenlik tedbirleri de önem arz etmektedir.

 

ÇÖZÜM/EYLEM PLANI:

Çalışan adayları tarafından doldurulması istenen “İş Başvuru Formu”nun belirtilen riskler göz önünde bulundurularak revize edilmesi tavsiye edilmektedir. Bu kapsamda kişilerden baba adı, nüfusa kayıtlı olduğu il ve T.C. kimlik numarası bilgilerinin talep edilmemesi uygun olacaktır. Özellikle kişilerin kütük bilgisi, etnik köken hakkında izlenim uyandıracağından, bu bilginin iş başvurusunda işlenmesi kişisel verilerin işlendikleri amaçla sınırlı ve ölçülü olması ilkelerine aykırılık riski doğuracaktır. Bununla birlikte başvuru formu üzerinde kişinin resmi halihazırda yer aldığından, kişiden ayrıca cinsiyet verisinin işlenmesi verinin ölçülü şekilde işlenmemesi sonucunu da doğurabilmektedir. Dolayısıyla formdan bu kısmın da kaldırılması önerilmektedir.

Önerilen değişikliklerin kabul edilmesi ve hayata geçirilmesi halinde, eski tip formların tespit edilerek yok edilmesi veya ilgili yerlerin anonimleştirilerek muhafaza edilmesi yönünde idari tedbir alınması gerekmektedir.

 

II.    AŞAMA
1)    Departman Bazında Uyumluluk Prosedürlerinin Oluşturulması
Şirket’in genel veri işleme faaliyetlerine yönelik gerekli dokümanların ve çözüm/eylem planının oluşturulması akabinde, Hukuk Büromuz tarafından her departman bünyesinde kullanılacak ve bir nevi 6698 sayılı Kanun’a uyum kapsamında departmanların el kitabı niteliğinde olacak prosedürler hazırlanacaktır. Her bir prosedüre doküman numarası verilip versiyon takibi yapılacak ve ileride gerçekleşecek revizelere yönelik olarak doküman ve versiyon numaraları değiştirilecektir. Prosedürlerin oluşturulması gerek iç denetim, gerekse de Şirket’te yeni çalışmaya başlayan ve veri işleme faaliyetlerinde yer alacak olan çalışanlara yol gösterici olması açısından oldukça önemlidir. 
2)    Kişisel Veri İşleme Envanterinin Oluşturulması
6698 sayılı Kanun’a bağlı olarak çıkarılan “Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca VERBİS’e kayıt yükümlülüğü bulunan tüm veri sorumlularının kişisel veri işleme envanteri oluşturmaları zorunludur. Kişisel veri işleme envanteri, Yönetmelikteki tanımıyla; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel veri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.”
Kişisel veri işleme envanterinin oluşturulması başta VERBİS kayıt sürecinin yürütülmesi olmak üzere, Şirket içerisindeki genel veri akışının takibi ve veri sahipleri tarafından olası bilgi edinme başvurularına yasal süre içerisinde cevap verilmesi açısından önem teşkil etmektedir. Envanter çalışması departman bazında yürütülecek olup, departman çalışanları tarafından doldurulacak ve Hukuk Büromuzla paylaşılacaktır. Envanterin doldurulması aşamasında Hukuk Büromuz tarafından gerekli destek gösterilecektir. 

 

3)    VERBİS’E Kayıt
6698 sayılı Kanun’un 16. maddesi uyarınca Kurul tarafından belirlenmiş objektif kriterler göz önüne alınmak suretiyle bazı veri sorumlularına VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yükümlülüğü getirilmiştir. Kişisel Verileri Koruma Kurumu tarafından 18.08.2018 tarihinde Resmi Gazete’de yayınlanan kararla VERBİS kayıt kriterleri ve kayıt için son tarihler belirtilmiştir. İlgili kararda;
•    Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına VERBİS’e kayıt olmaları için 30.09.2019 tarihine kadar süre verilmesine, (Bu süre 03.09.2019 tarihli KVK Kurul kararı ile 31.12.2019 tarihine kadar uzatılmıştı ancak 17.12.2019 tarihli Kurul kararı ile 30.06.2020 tarihine kadar tekrar ve muhtemelen son defa uzatılmıştır. )
•    Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularına VERBİS’e kayıt olmaları için 30.09.2019 tarihine kadar süre verilmesine, (Bu süre 03.09.2019 tarihli KVK Kurul kararı ile 31.12.2019 tarihine kadar uzatılmıştı ancak 17.12.2019 tarihli Kurul kararı ile 30.06.2020 tarihine kadar tekrar ve muhtemelen son defa uzatılmıştır. )
•    Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço sayısı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularına VERBİS’e kayıt olmaları için 30.09.2020 tarihine kadar süre verilmesine,
•    Kamu kurum ve kuruluşu veri sorumlularına ise VERBİS’e kayıt olmaları için 31.12.2020 tarihine kadar süre verilmesine,
karar verilmiştir. Yukarıda belirtilen kriterler göz önüne alındığında Şirket’in 31.12.2019 tarihine kadar VERBİS kaydının tamamlanması ve kişisel veri işleme envanterinin sistem üzerinden girilmesi zorunludur. 
Söz konusu yükümlülüğe aykırı davranılması halinde 6698 sayılı Kanun’un 18/1-ç bendi uyarınca 1.802.641 TL’ye kadar idari para cezası verilecektir. VERBİS’e kayıt işlemlerinin ve VERBİS’e bağlı olarak irtibat kişisi atama işlemleri Hukuk Büromuz tarafından yürütülecek olup Kurul’un resmi internet sitesi olan www.kvkk.gov.tr üzerinden işlemler gerçekleştirilecektir. 
Unutulmamalıdır ki, VERBİS kayıt yükümlülüğü ilgili kişilere yalnızca ek bir külfet olup, tüm gerçek ve tüzel kişilerin KVKK’ya uygun olarak veri işleme faaliyetlerini sürdürmeleri ve veri işleme faaliyetleri kapsamında her türlü idari ve teknik tedbirlerini almaları gerekmektedir.

4)    Veri Güvenliği Tedbirlerinin Oluşturulması
Kişisel Verilerin Korunması Kanunu tarafından veri sorumlularına getirilmiş bir diğer yükümlülük, uygun veri güvenliği düzeyini temin etmek için teknik ve idari tedbirlerin alınmasıdır. Veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesi, erişilmesi ve muhafaza edilmesi için veri güvenliğini temin etmeli ve bu kapsamda her türlü teknik ve idari tedbiri almakla yükümlüdür. Hukuk büromuz tarafından I. Aşamadaki adımlar tamamlandıktan sonra şirketin ihtiyacı olan teknik ve idari tedbirler belirlenerek, bu kapsamda oluşturulacak tablo tarafınızla paylaşılacaktır. Bir takım mali yatırım gerektiren teknik ve idari tedbirlerin alınması kararı Şirket yönetimini ilgilendirmekle birlikte, bu kapsamda Hukuk Büromuzca yapılacak tüm değerlendirmeler tavsiye niteliğinde olacaktır. 
Veri güvenliğine ilişkin alınacak önlemleri aşağıda görebilirsiniz ;

  • VERBİS’e yapılacak kayıt için gerekli süreci başlatmak,
  • İrtibat kişisini atayarak talimatlarımız doğrultusunda VERBİS girişini sağlamak,
  • Şirkette işlenen veri kategorilerini belirlemek,
  • VERBİS sistemine resmi kayıt için Veri Envanteri oluşturmak,
  • Sözleşme ve belgeleri KVKK ve ikincil mevzuata uygun şekilde revize etmek,
  • Şirket tarafından işlenen satış, pazarlama ve finans verilerinin mevzuata uygunluğunu kontrol etmek,
  • Kişisel verilerinin işlenmesi ile ilgili veri politikalarını oluşturmak,
  • Veri sorumluları ve veri işleyenlerle ilgili rol, yetki ve sorumlulukları belirlemek,
  • Kurul’un bildirim ve rehberlerine uygun olarak kayıt işlemlerini gerçekleştirmek,
  • Şirket bünyesinde yapılan veri işleme faaliyetlerinin, Genel İlkeler ve Kurul tarafından rehber olarak yayınlanan düzenlemelerle uyumlu olmasını sağlamak adına mevcut durumun değerlendirilmesi için Veri Sorumluları ve Veri İşleyenlerle görüşmek,
  • Özel Nitelikli Kişisel Verilerin işlenip işlenilmediğini kontrol etmek ve geçerli mevzuata uygunluğu sağlamak,
  • Açık rıza alınması gerekmeyen özel durumları tespit etmek,
  • KVKK uyarınca ilgili kişilere sunulacak aydınlatma metinlerin içeriğini ve açık rızaların alınacağı durumları belirlemek,
  • İlgili kişinin, verilerin akibetiyle ilgili bilgi talep etmesi halinde, Şirket tarafından sunulması gereken cevapların ve aydınlatma yükümlülüğünün altyapısını oluşturmak,
  • Veri güvenliğini sağlayabilmek adına Şirket'in almış olduğu idari ve teknik önlemleri değerlendirmek ve gerekirse ilave önlemler almak,
  • İşleme amacının ortadan kalkması durumunda kişisel verilerin silinmesi, yok edilmesi veya imha edilmesi yöntemlerinin belirlenmesi için alınan idari ve teknik önlemleri değerlendirmek,
  • Kişisel verilerin üçüncü kişilerle paylaşılması ve yurtdışı veri aktarımı için gerekli prosedürlerin oluşturulması,
  • Şirket için ilgili kişilerin başvurularını, taleplerini, şikayet ve önerilerini toplayabilecek bir yapı oluşturmak,
  • Çalışan ve kişilik haklarıyla ilgili konularda İK departmanıyla birlikte toplantılar yapmak,
  • Şirket'deki mevcut uygulamalarda deneyimli olan personellerden politika, prosedür, sözleşme, duyuru, açık rıza vb. belgelerin hazırlanıp, onaylanması için ekipler oluşturmak.

5)    Kişisel Verileri Saklama ve İmha Politikasının Oluşturulması
6698 sayılı Kanun uyarınca işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Veri işleme amacı ortadan kalkmış olan kişisel verilerin işlenmeye devam etmesi 5237 sayılı Türk Ceza Kanunu kapsamında da suç sayıldığından, gerçek kişi veri sorumluları hakkında hapis cezası, tüzel kişi veri sorumluları hakkında ise güvenlik tedbirlerinin uygulanması riski mevcuttur. Bu riskin ortadan kaldırılması adına Hukuk Büromuz tarafından Şirket bünyesinde işlendiği tespit edilen kişisel veriler ortaya çıkarıldıktan sonra, öncelikle işleme amacı ortadan kalkmış olan veriler tespit edilerek imha işlemleri için gerekli yönlendirmeler yapılacaktır. Devamında da saklama ve imha politikası oluşturularak Şirket içerisinde yürürlüğe koyulması ve politikaya uyulması hedeflenecektir. 

 

III.    AŞAMA
1)    Departman ve Çalışan Bazında Kanun'a Yönelik Uygulama Eğitimleri
İlk iki aşamanın şirkete özgü olarak tamamlanmasından sonra 6698 sayılı Kanun’daki yükümlülüklerin şirket kültürünün bir parçası olarak kabulü ve uyumluluğun sürdürülebilir olması amacıyla önemli bir tamamlayıcı unsur olan şirket içi eğitimler yukarıda açıklanan tüm aşamalarda ve/veya ihtiyaca göre başlı başına bir hizmet olarak tarafımızca planlanmakta ve sunulabilmektedir. Bu eğitimler ihtiyaca göre oluşturulacak gruplar halinde şirketiniz bünyesinde gerçekleştirilmektedir.
2)    Periyodik Uygunluk ve Uyumluluk Denetimleri
Departman ve Çalışan Bazında Kanun’a Yönelik Uygulama Eğitimleri gibi bu adım da Hukuk Büromuz tarafından tüm aşama uyumluluk hizmeti içerisinde veya ihtiyaca göre başlı başına bir hizmet olarak sunulabilmektedir. Kanun’a uyumluluk açısından sürdürülebilirliğin sağlanması adına son derece önemli olan periyodik denetimler, süreçte yaşanan aksaklıkların ve eksikliklerin tespitinde büyük kolaylık sağlamaktadır. Bununla birlikte Şirketinizin olası Kurum denetimlerine karşı hazır olmasını sağlar. 
3)    Uyum Programını Takiben Düzenli Danışmanlık Hizmeti 
6698 sayılı Kanun’a uyumluluğun tamamlanmasından sonra, tam uyumluluk için tüm hizmetlerimizin sunulduğu, diğer hukuk dinamikleri ile kesişen noktalarda, arzu edildiği takdirde KVKK danışmanlığının da Uyum Programını takiben verilmeye devam ettiği ve 3 ile 6 ay süreyle devam eden Danışmanlık hizmetidir. Bu hizmet kapsamında Uyum Programı tamamlandıktan sonra veri koruma kültürünün şirket içinde benimsenmesinde gerekli desteğin verilmesi, ihtiyaç olması halinde eğitimler verilmeye devam edilmesi ve bu alandaki tüm hukuki ve teknik sorularınızın cevaplanmaya devam edilmesi de dahil olmak üzere kapsamlı bir danışmanlık hizmeti de sunulmaktadır. 

Ayrıntılı bilgi için lütfen FAVEO Eğitim Danışmanlık ile iletişime geçiniz…

Teklif Formu