Kişisel Verilerin Korunması Kanunu’nun 07 Nisan 2016 yılında yürürlüğe girmesiyle hukuk mevzuatımızda önemli bir boşluk doldurulmuş ve geniş kitleleri etkileyen bu yasal düzenlemeler zinciri kanuna uyum yükümlülüğü açısından bütün sektörleri harekete geçirmiştir. Avrupa Birliği (AB) mevzuatına paralel olarak yapılan düzenlemeler Avrupa ile eş zamanlı olarak güncellenmekte ve kamuoyu bakımından beklenenden daha hızlı ilerlediği gözlemlenmektedir. Özellikle AB ülkeleri ile iş yapan ve sınır ötesi aksiyonlarda bulunan şirketler bakımından kısa bir süre sonra zorunlu bir şart haline gelecek söz konusu uyum programı, şirketler açısından riskler içerdiği gibi fırsatlar da içermektedir.
Ekibimiz, ana çalışma konularından biri olan Bilişim Hukuku (IT Law) alanı altında önemli bir başlığı oluşturan Kişisel Verilerin Korunması ve Gizlilik (Data Protection & Privacy) konularında kanuna uyum açısından geriye sayımın başladığı 2018 yılı başlangıcı itibarı ile her bir şirket özelinde ihtiyaçları tam olarak belirleyerek, şirketlerin yapısına ve ihtiyaçlarına uygun olarak farklı kapsamlarda uyum programları sunarak bu sürece hız kazandırabilmeyi hedeflemektedir. Teknolojinin hayatın her alanına kattığı imkanlar sayesinde veriye erişimin orantısız şekilde arttığı günümüz iş hayatında tüm şirketlerin ciddi yaptırımlarla karşılaşmamak için mevzuata süratle uyum sağlamaları gerekmektedir. Bahsi geçen yasal uyum yükümlülükleri dışında da çağımız koşullarında şirketlerin kişisel veri koruma alt yapılarını sağlamaları ve bu bağlamda veri politikalarının oluşturmaları kaçınılmaz hale gelmiştir. Kişisel Verileri Koruma Kurulu tarafından uygulanan müeyyideler incelendiğinde uyumluluk çalışması yapan şirketlerin çeşitli eksikler sebebiyle idari para cezası ile karşılaştıkları görülmektedir. İşbu Soru seti veri sorumlularının KVKK kapsamında almış olduğu aksiyonların hukuki ve idari anlamda yeterlilik tespitinin sağlanması amacıyla hazırlanmıştır.
KVKK Hukuki ve İdari Tedbirler Soru Seti
- KVKK uyumluluk çalışması yaptınız mı? Yaptıysanız ne aşamadasınız? Hazırlık değerlendirmesi ve risk analizine göre yol haritası eksiksiz oluşturuldu mu? Uyumluluk ekibi tarafından her birim ve departman bazında yerinde ikili görüşmeler yapıldı mı? Süreç içerisinde oluşturulan KVK dokümanlarının ne şekilde kullanılması gerektiği hakkında düzenli aralıklarla yeterli bilgilendirme yapıldı mı?
- Özellikle kişisel veriyle temas halindeki çalışanlara KVKK farkındalık eğitimi verildi mi? Düzenli aralıklarla Veri Güvenliği eğitimleri veriliyor mu? Eğitimler kayıt altına alınıp belgelendiriliyor mu? Çalışanlardan kişisel veri güvenliği ve gizlilik taahhütnamesi alındı mı? Aykırılık halinde yaptırımlar belirlendi mi?
- Fiziksel ve teknik alanlarda veri güvenliği kontrolleri yapıldı mı, gerekli aksiyonlar karşılandı mı?
- İnternet ve fiziki ortamlarda gerekli aydınlatma metinleri kolaylıkla anlaşılır ve mevzuatın gerekliliklerini karşılayacak şekilde hazırlanıp gözle görülür pozisyonlara yerleştirildi mi?
- KVKK’dan doğan yükümlülükleri karşılayacak şekilde internet sitesi incelendi mi? Gerekli aydınlatma metinleri internet sitesinde mevcut mu? (Güvenlik Kamerası, Ziyaretçi girişleri, Fuar Stantları, Çerez Politikası, İnternet sitesinde yer alan sekmeler ile ilişkili metinler)
- Kişisel veri işleme envanteri oluşturuldu mu? Oluşturulduysa ve kayıt zorunluluğu mevcutsa envanterle uyumlu şekilde VERBİS sistemine envanter girişi yapıldı mı? İrtibat kişisi yükümlülüklerini ve muhtemel senaryolarda rolünü biliyor mu? Veri işleme amaçları değiştiğinde VERBİS kayıtlarını nasıl düzelteceğine yönelik olarak kendisine eğitim verildi mi?
- KVKK kapsamında çalışan, çalışan adayları, taşeron, müşteri, tedarikçi, ziyaretçi, veli, e-posta, tanıtım, pazarlama vs. ilgili aydınlatma metniniz oluşturuldu mu? Birimlerdeki işleyişe entegre edildi mi? Süreç boyunca karşılanabilecek senaryolarda (katalog çekimi, reklam, iş geliştirme gibi amaçlar) danışabileceğiniz bir ekip mevcut mu? Sürdürülebilir olduğunu düşünüyor musunuz?
- İş Sözleşmeleri, Disiplin Yönetmelikleri, İş Başvuru Formları vs. evrak KVKK ile uyumlu olarak revize edildi mi? Özlük dosyalarında minimizasyon (sadeleştirme) çalışmaları tamamlandı mı?
- Çalışanlarla KVKK gizlilik sözleşmeleri yapıldı mı? KVKK’ya ve sair ikincil mevzuatta yer alan yükümlülüklere ve Kurul’un İlke Kararlarına, tavsiyelerine uyacaklarına ilişkin taahhütname alındı mı? Teknik ekiple birlikte yetki matrisi hazırlıkları tamamlandı mı?
- Kişisel Veri farkındalık ve veri güvenliği eğitimleri prosedürü, İlgili kişi başvuru ve yanıtlandırılması prosedürü, Kişisel Veri ihlal bildirim prosedürü oluşturuldu mu?
- Veri işleyen niteliğinde alt taşeronlarınız (Araç takip sistemi, out-source bordrolama, muhasebe, YMM, avukat, SGK teşvik danışmanlığı vs.) varsa bunlarla KVKK gizlilik sözleşmesi/ek protokol yapıldı mı? Veri işleyenler KVKK’da ve sair ikincil mevzuatta yer alan yükümlülüklere ve Kurul’un ilke Kararlarına, tavsiyelerine uyacaklarını taahhüt ediyorlar mı?
- Kanun kapsamında zorunlu olan “kişisel veri saklama imha politikası” ve “özel nitelikli kişisel verilerin işlenmesi yeterli önlemler politikası” oluşturuldu mu?
- Kurul’un kişisel veri güvenliği rehberinde belirtmiş olduğu teknik ve idari tedbirler alındı mı? Bu hususta IT birimi ile diğer birimler arasındaki entegrasyon sağlandı mı? Veri ihlali halinde alınması gereken aksiyonlar hakkında IT ve yetkili birimlere gerekli eğitimler verildi mi?
- Uyumluluk süreci sonunda kılavuz niteliğinde mevcut durum/risk/eylem planı içeren ayrıntılı bir Kişisel Verilerin Korunması raporu tarafınızla paylaşıldı mı ve sunumu yapıldı mı? Şirketiniz veri işleme ve genel faaliyetlerine raporla uyumlu olarak mı çalışmalarına devam etmektedir?
- Şirket üst yönetimi tarafından KVKK özelinde alınması gerekli kararlar alınarak, karar defterlerine işlendi mi?
- Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin Kişisel Verileri
- Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararına İlişkin Duyuru kapsamında “Veri İhlal Bildirim Prosedürü” oluşturuldu mu?
- Kişisel verileri yurt dışına aktarılıyorsa Kanun’da yer alan yeterlilik şartları sağlandı mı? Açık rıza mı yoksa veri aktarılacak olandan taahhüt alma yoluna mı gidildi? Şirketinizin uluslararası yapısı sebebiyle; BCR ( Bağlayıcı Şirket Kuralları ) gerektiren bir durum mevcut mu?
- Özel nitelikli kişisel veri işleniyorsa “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı kapsamında belirtilen önlemler ne düzeyde alınmaktadır?
- KVKK kapsamında müşterilerinizden, çalışanlarınızdan ve diğer ilgili kişilerden alınan açık rızalar geçerli aydınlatmalara dayanarak usulüne uygun şekilde alındı mı?
- Veri sorumlusu olarak ilgili kişilerden gelen başvuruları değerlendirmek, yasal süresi içerisinde talepleri karşılamak, güncel gelişmeleri takip etmek ve Şirket içerisindeki uyum projesini sağlıklı bir şekilde devam ettirmek üzere içeride KVKK Komitesi şeklinde bir yapılanmanız bulunmakta mıdır? Eğer bulunuyorsa bu komite hangi birimlerden ve kaç kişiden meydana gelmektedir?
- Periyodik KVKK uyumluluk danışmanlığı alıyor musunuz? Şirketin değişen veri işleme faaliyetlerini envanter, doküman ve prosedür bazında güncelliyor musunuz?