Kişisel Verilerin Korunması Kanunu Uygulama Kılavuzu

Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesiyle Türkiye’deki şirketler için yeni bir dönem başladı. Şirketlerin olası cezalardan kaçınması için yeni kanuna uygun şekilde verileri işleyerek bu sürece hazırlıklı olmaları gerekiyor. Bu uygulama kılavuzunda KVKK’nın kapsamı ve amacını, şirketinizde mevcut olan kişisel verileri kanuna uygun bir hale nasıl getirebileceğinizin ve bu verileri nasıl güncel tutarak takip edebileceğinizin detaylarını bulacaksınız. 

Kişinin doğrudan ya da dolaylı bir şekilde tanımlanmasını sağlayan her türlü bilgi kişisel veri kapsamına giriyor. Sağlık ve finans bilgilerinden cep telefonu ve kimlik numarasına kadar geniş bir bilgi yelpazesi kişisel verileri oluşturuyor. Kameralarla izlenen bir restaurantın bunu tabelalarda belirtmesi ya da takip cihazı olan bir arabayı kullanan müşterinizin bu durumdan haberdar olması gerekiyor. Bu kısım sadece müşterileri aydınlatma yükümlülüğünü içeriyor. Kişisel verilerin nasıl ve ne zaman elde edildiği, başka bir yere aktarılıp aktarılmadığı ya da veri elde edilirken kişilerin bilgilendirilip bilgilendirilmediği gibi birçok bilgiyi de Kanuna uygun bir şekilde güncellemek gerekiyor. Tüm bu aşamalar birbirine bağlı ve sürekli bir veri takip yazılımı ve uzmanına ihtiyaç olduğunu gösteriyor. İş akış ve takip yazılımı olan Kissflow, KVKK uyum sürecine sorunsuz şekilde geçiş yapabilmenizin en kolay ve hesaplı yoludur. Kissflow ile bu süreçte neler yapabileceğinizden bahsetmeden önce KVKK kapsamı ve amacına, bu süreçte sizi nelerin beklediğine bir göz atalım.

KVKK Kapsamı ve Amacı

Kişisel Verilerin Korunması Kanunu, herkesin kişisel verilerinin korunmasını isteme hakkını anayasal bir hak olarak teminat altına almaktadır. KVKK, bireylerin kişisel verileri üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerinin hangi hallerde işlenebileceğini hükme bağlarken, kişisel verilerin korunmasına ilişkin usul ve esaslarını da düzenler. Kanunun 1. maddesine göre amaç, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”

https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

Kanunun amacı, kişisel verilerin işlenmesinin kontrol altında yapılması ve Anayasada yer alan özel hayatın gizliliği başta olmak üzere temel hak ve özgürlüklerin korunmasıdır. KVKK ile kişisel verilerin kontrolsüz şekilde toplanmasının, yetkisiz kişilerin erişimine açılmasının, yayılmasının, amaç dışı ya da kötüye kullanımı sonucunda kişilik haklarının ihlal edilmesinin önlenmesi amaçlanmaktadır. 

Kanunun amacı: 

• Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak, 

• Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak), 

• Kişilerin mahremiyetini korumak, 

• Kişisel veri güvenliğini sağlamaktır.

https://www.kvkk.gov.tr/Icerik/4185/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununun-Amaci-ve-Kapsami

Kanunun 2. maddesinde belirtildiği üzere “kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Kanun kamu ve özel olarak ayrı ayrı belirtilmeksizin tüm kurum ve kuruluşlar için geçerlidir.

https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

KVKK kapsamında sadece gerçek kişilere ait olan kişisel veriler koruma altına alınıp tüzel kişilere ait olanlar koruma kapsamına girmemektir. Fakat tüzel kişiye ait verinin elde edilmesi, gerçek kişinin de kimliğinin belirlenmesine neden oluyor ise, bu tür verilerin de koruması da kanun kapsamına girmektedir.

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf

Kanunda verilerin otomatik ya da otomatik olmayan yollarla işlenmesi bakımından bir ayrım yapılmamıştır. Bu sebeple kişisel verilere erişimi sağlayan  her türlü sistem Kanun kapsamına dahil edilmiştir. Örneğin, bir kağıtta kişilerin isimlerinin herhangi bir kritere bağlı kalmadan yazılı olması Kanun kapsamına girmez. Ancak bu isimler sistematik olarak, belli bir kritere göre kağıda kaydediliyorsa, bu veri kaydı Kanun kapsamına girecektir. Otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmeyecektir.

https://www.kvkk.gov.tr/Icerik/4185/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununun-Amaci-ve-Kapsami

Geçiş Sürecinde Yapılması Gerekenler

  • Kişisel Verilerle İlgili Akış Süreci 

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf

Verilerin işlenmesi, verilerin elde edilmeye başlanmasından silinmesine kadar kanunda öngörülen aşağıdaki akış sürecidir. Bu süreçte aşağıdaki adımların izlenmesi gerekir. 

  1. Mevcut durumun tespiti edilmesi: Var olan kişisel verilerin amacına, ne kadar süre ile kullanılabileceğine, bu verilere ihtiyaç olup olmadığına, verilerin elde edilirken kişilerden onay alınma şekline ve zamanına, başka bir yere aktarılma durumuna ve kişisel verilerin korunması için alınan idari ve teknik önlemlerin tespiti gerekir.
  2. Mevzuata uygunluk denetiminin yapılması: Verilerin kişisel veri tanımına uygunluğunun, verilerin toplanma yönteminin mevzuata uygunluğunun, kişilerden alınan onayların uygunluğunun ve veri işleme sürecinin mevzuata uygunluğunun belirlenmesi gerekir. 
  3. Mevzuata uymak için aksiyona geçilmesi: Mevzuata uymayan ama uygun hale getirilebilecek olan verilerin onaylarının 2 yıl içinde (6 Nisan 2018’e kadar) alınması, uygun hale getirilemeyecek verilerin ise bu süre içerisinde silinmesi gerekiyor

Kişisel Veri İşleme Süreçlerinin Oluşturulması 

  1. Veri sorumluları siciline kayıt olunması: Geçiş sürecinde atılacak ilk adım kişisel verileri işleyecek kişi, kurum ya da kuruluşun belirledikleri veri sorumlusu ya da temsilcisinin “Veri Sorumluları Sicili”ne kayıt olma zorunluluğunu yerine getirmektir. 
  2. Kişisel verileri toplamaya hazırlık yapılması: Veri Sorumluları Sicili kaydı tamamlandıktan sonra kişisel verilerin toplanacağı ortam, kişi, kurum ve kuruluşların erişimine açılır. Verilerin işlenmesinde kullanılacak sistem, verilerin ait olduğu kişilerin açık iradesini kayıt altına almalıdır.
  3. Kişilerin bilgilendirilmesi: Kişisel verileri toplanacak kişilere 
  • Veri sorumlusunun kimliği, 
  • Verinin kullanım amaçı, 
  • Verinin paylaşılma durumu hakkında bilgi verilerek kişilerin onaylarının alınması gerekir. Veri ancak kişinin açık rızası ile işlenebilir ve bu rızanın ispatı için kayıt altına alınması zorunludur. 
  1. Değişiklik olduğunda yapılması gerekenler: Kayıt sonrasında verilerde, verilerin kullanım amaçlarında veya paylaşılan kişilerde değişiklik olduğunda sicilde değişiklik için başvuru yapılması gerekir. Bu değişiklik, rızanın alındığı zamanın sonrasında yapıldıysa, veri sahibinden alınan açık rızanın güncellenmesi gerekebilir.
  2. Verilerin yok edilmesi veya anonimleştirilmesi
  • Toplanan kişisel verilerle ilgili işlemler sonlandığında
  • Kişiden alınan onayın şartları değiştiğinde ya da ortadan kalktığında  
  • Kişinin verilerinin kullanımını durdurmak istediğini beyan ettiğinde verilerin silinmesi gerekir. Silinmesi istenmeyen veriler anonim hale getirilir. Verilerin anonim hale getirilmesi demek, bu veriyi elde eden kişinin hiçbir şekilde kime ait olduğunu anlayamayacağı şekilde düzenlenmesi demektir. Örnek olarak, ad, soyad gibi bilgilerin silinip; yaşadığı şehir, cinsiyet, yaş ve harcama tutarının saklanmasıdır.

Kişisel veri işleme süreçlerinin KVKK’ya uygun bir şekilde tasarlanması önemlidir. Bu süreç verilerin elde edildikten sonra sadece kaydından ibaret değildir. Örneğin veri işleme sürecinin veri sahiplerinin şikâyetleri, güncellemeleri ya da bilgi edinme taleplerini karşılayabileceği şekilde oluşturulması gerekir. Kişisel verilerin güvenliğinin sağlanması konusunda teknik önlemlerin yeterli olduğundan emin olunan bir sistem kurgulanmalıdır. Kullanılacak sistem kişisel verilerin silinmesi, yok edilmesi ya da anonimleştirilmesi gereken bir durum olduğunda bu sürecin sorunsuz bir şekilde tamamlanmasını sağlamalıdır. Yine aynı şekilde veri sahiplerinden rıza alınması sürecini ve bu rızaların güncelliğinin kontrol ve takip edilebileceği bir akış kurgulanmalıdır. Veri sahiplerinden rıza alınması sürecinde kişilerin nasıl bilgilendirileceği ve bu bilgilendirmelerin takibinin nasıl yapılacağı gibi süreçlerin de alt yapısı oluşturulmalıdır. Kişisel verilerin paylaşımı ya da transferi gibi durumlarda 3. taraflara karşı denetleme yükümlülüğü takibini de kapsayacak bir sistem gereklidir. 

Uyum sürecinde şirketlerin en çok ihtiyaç duydukları konular detaylı inceleme ve durum tespiti ile yeni uygulamanın nasıl yapılacağı konuları oluyor. Bu süreçte şirketlerin mevcut verilerinin ne zaman, kimlerden, nasıl elde ettiklerini, veriyi hangi amaçla kullandıklarını, kayıtlı tutulduğunu, devredildiğini ya da yok edildiğini gösteren envanter oluşturmaları ve bunu güncel tutmaları gerekiyor. Envanterlerin oluşturulması ve güncel tutulması için de gerekli alt yapı çalışmasının yapılması gerekiyor. Envanterlerin oluşturulması sürecinde her bir iş sürecinin veri sorumluları tarafından organizasyonel yapıya göre kişisel verilere erişimin kimler tarafından olacağı ve bu kişisel verilerle ilgili sorumlulukların belirlenmesi gerekiyor. Ayrıca envanterlerin oluşturulduğu sistemde, kişisel verilerin güvenliği için kontrol analizlerinin de yapılabiliyor olması önemli. Uyum sürecinde şirketler envanter oluşturmak için kullanacakları sistemi seçerken kişisel verilerin korunması amacına uygunluğunun göz önünde bulundurması gerekiyor. Sistemin uygunluğunun değerlendirilmesi yapılırken, yazılımın kişisel verileri işleyen, aktaran, saklayan, imha eden ve herhangi bir iş ya da teknik süreçte sorun çıktığında bu sorunları tespit edip giderebilmesi önemli. Uygulama aşamasında şirketler en çok kendi iş süreçlerini tasarlamakta zorlanıyorlar. Bu sebeple genellikle başka kurum ve kuruluşlardan alınan süreçleri kendilerine uydurmaya çalışıyorlar ancak bu yöntem işlevsiz kalıyor, şirketin kendine has organizasyonel yapısına uymadığı için ihtiyaçlarını karşılayamıyor. Bu durum daha fazla zarara  yol açıyor. Bu yüzden uyum sürecinde her şirketin kendi yapısına uygun iş süreçlerinin tanımlanması ve buna göre uygulama yapılması çok önemli. 

Geçiş Sürecinde Dikkat Edilmesi Gereken Konular

 Envanterde asgari olarak; 

  • Veri kategorisi, 
  • Kişisel veri işleme amaçları ve hukuki sebebi, 
  • Aktarılan alıcı / alıcı grupları, 
  • Veri konusu kişi grupları, 
  • Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi, 
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler, 
  • Veri güvenliğine ilişkin alınan teknik ve idari tedbirler, yer alması gerekmektedir. 

Ancak envanterin sadece bu hususları içermesinin yeterli olacağı anlamına gelmediğini belirtmekte fayda var. Kişisel verilerin takibi açısından veri sorumlularının,

  • Departman/birim adı, 
  • Bilgi girişi yapan kişi,
  • Süreç adı, 
  • Faaliyetin adı, 
  • Faaliyetin açıklaması,
  • İşlenen kişisel veri kategorisi, 
  • İşlenen kişisel veri, 
  • Kişisel verisi işlenenlere, ilk elde etme esnasında aydınlatma yapılıp yapılmadığı, 
  • Kişisel verinin elde edildiği kaynak, 
  • Kişisel verinin elde edilme yöntemi, 
  • Saklandığı elektronik ya da fiziksel ortam, 
  • Birim dışında bu veriye erişenler, 
  • Saklama amacı, 
  • Periyodik imha süresi, 
  • Aktarma amacı ve kişisel veri aktarımının hukuki sebebi, 
  • Kişisel veri aktarım yöntemi, 
  • Alınan idari tedbirler ve teknik tedbirleri de eklemesi gerekecektir. 

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-c6c142f8da05.pdf

Uyum sürecinde envanter hazırlamak için görevlendirilecek kişi/kişilerin kişisel verilerin korunması ile ilgili kanun maddeleri konusunda yetkin, kişisel veri işleme süreçleri ve bu süreçlere bağlı olarak işlenen kişisel veriler hakkında detaylı bilgi sahibi olan kişilerden seçilmesi gerekiyor. Ayrıca kişisel veri işlemeyle ilgili tüm aşamaların tek tek tespit edildikten sonra kişisel veri akış şemalarının oluşturulması yine uzmanlık gerektirmektedir. Her aşamanın atlanmadan takip edilebilmesi için şu adımlar takip edilmelidir. 

Süreç veya Faaliyet Bazında Kişisel Verilerin Tespiti

  • Tespit edilen kişisel verilerin niteliklerinin belirlenmesi
  • İşlenen kişisel verinin hukuki sebebinin tespiti
  • Kişisel veri işleme amaçlarının tespiti
  • Veri konusu kişi grubunun belirlenmesi
  • İşlenen kişisel verilerin saklama süresinin belirlenmesi
  • İşlenen kişisel verilerin aktarıldığı alıcı / alıcı gruplarının belirlenmesi
  • Yabancı ülkelere aktarılan kişisel verilerin belirlenmesi
  • İşlenen kişisel veriler için alınan teknik ve idari tedbirlerin belirlenmesi

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf

Bu süreçte hukuk danışmanı ve yazılım uzmanlarından oluşan uyum komitesinin oluşturulması önemlidir. Bu sayede şirketin tüm departmanları ve birimlerinin katkısıyla yapılacak detaylı bir çalışma sonucunda envanter oluşturma sürecindeki iş akışları oluşturulacaktır. Kişisel verilerin tespiti, işlenmesi ve güvenirliği ile ilgili gerçekleşebilecek senaryoların analiz raporunu değerlendirebilecek ve buna uygun önlemler alabilecek yetkin kişilerin uyum komitesinde yer alması önemlidir.

Doğabilecek ağır cezalardan kaçınmak için, KVKK uyum sürecinde tekrar eden süreçlerin takibi gereklidir. Başlangıçta ve sadece belli durumlarda yapılması gereken işlemler kadar sürekli yapılması gereken işlemler de önemlidir. Örneğin kişisel verileri kayıt altında olan kişilerden gelecek taleplerin kesinlikle atlanmaması gerekir. Basit bir işlemin unutulması ağır cezai yaptırımlara maruz kalınmasına neden olabilir. Bu kadar önemli bir konunun, kişilerin hiçbir şeyi atlamayacağı varsayımına dayandırılmaması, güvenilir bir sistem kurulması gerekir. İş süreçleri yönetim yazılımları bu tip süreçlerin eksiksiz işlediğini güvence altına alan sistemleri oluşturmanızı sağlar. Böyle bir yazılımla, herkesin görevini yaptığından emin olur, yapılmayan bir şey olduğunda sistem tarafından haberdar edilirsiniz. Hangi işlemin kim tarafından ne zaman yapıldığı kayıt altında olacağı için olası bir şikayetle karşılaştığınızda sorun yaşamazsınız.