Anayasanın 20. maddesinde değişiklik yapılarak ve Türk Ceza Kanunu’nda düzenlemeler getirilerek önem kazanmaya başlayan kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunun ve buna paralel düzenlenen Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ve Veri Sorumluları Sicili Hakkında Yönetmeliğin de yürürlüğe girmesi ile gündemi hayli meşgul etmeye başladı. Mevzuatlara uyum süreci açısından kafalardaki soru işaretlerinin giderilmesi amacıyla yol gösterici örnek bir yazı hazırlamak istedim. Bu yazıda yer alan hususlar her işverenin kendi faaliyet alanına göre çeşitlendirilebilecektir.
*Yukarıda yer alan tablo mevzuata uyum süreci hakkında özet bir yol haritasıdır.
Veri Sorumlusu Atanması
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu ilgili kişilere, işlenen verilerin hangi amaçla aktarılacağı, verilerin toplanmasının hukuki sebebini ve ilgili kişilerin hakları hakkında bilgi vermekle yükümlüdür. Dolayısıyla mevzuat uyarınca fazlaca yükümlülüğü olan veri sorumlusunun tayin edilmesi uyum sürecinin hızlanması için önemli olacaktır.
Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt
Veri envanteri hazırlanması hem VERBİS sistemine kayıt için hem de veri işleme ve imha politikası hazırlanmasında veri sınıflandırılması oluşturulması adına önemlidir. Veri envanteri veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir. Dolayısıyla her şirket kendi bünyesinde ve kendi faaliyetiyle ilgili olarak toplanan, işlenen verilerle ilgili detaylı bilgi envanteri oluşturmak zorundadır. Kişisel veri işleme envanteri, veri sorumlusunun hangi amaçlar için, hangi tür kişisel verileri, hangi zaman süresince, hangi işlemleri yaptığını ve varsa başka hangi kişilerle paylaştığını gösteren bilgilerdir. Envanterin kendisi de bir veri tabanı olacağından envanterin oluşturulmasından sonra envantere uygun şekilde kişisel verilerin silinmesi ya da anonimleştirilmesi süreci önemlidir.
Envanter sadece dijital verileri kapsamamaktadır. İnsan kaynaklarınca tutulan başvuru formları ya da kağıt üzerinden toplanan bir kayıt sisteminin parçası olan tüm kişisel verileri de kapsamaktadır.
Aydınlatma Metni ve Politikaların Hazırlanması
Envanterin hazırlanması ardından tespit edilerek sınıflandırılan verilerle ilgili aydınlatma metni ve politikaların hazırlanmasına gerekir. Şirketlerin kişisel verilerini tuttukları ve/veya tutmaları gereken kişilere bu verileri ne amaçla ve hangi verileri tuttuklarını aynı zamanda, nasıl sakladıklarını ne kadar süre sakladıklarını veri sorumlusunun kim olduğunun duyurulması amacıyla Aydınlatma Metni hazırlanır ve şirketlerin internet sitelerinde bu metin yer alır.
Ancak aydınlatma metninin ayrı olarak şirketlerin kişisel veri politikalarının ve imha politikalarının da hazırlanması gerekmektedir. Kişisel verilerin nasıl korunduğunu, envanter olarak nelerin kabul gördüğünü, aynı zamanda silinmesi ve anonimleşmesi süreçlerinin tanımlandığı genel bir kişisel verilerin korunması politikasının hazırlanması ve bununda internet sitesinden yayınlanıyor olması şeffaflık açısından önemlidir.
Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası hazırlama yükümlülüğü vardır. Kişisel veri saklama ve imha politikası, veri sorumlusunun işlenen kişisel verilerle ilgili azami işleme sürelerini gösteren belgedir. Bu belge hazırlanırken veri sorumlusu sakladıkları tüm verilerinin bir analizi yapılmaktadır. Analiz sonucunda hangi verilerin kişisel veri olduğu ya da olabileceği belirlenmelidir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli ( adres bilgileri, telefon görüşme kayıtları vb.) ve her kategori için işlenebilecek azami süre bulunmalıdır.
Azami süre belirlenirken veri için kişinin açık rızası var ise, açık rızanın alınması sırasında ilgili kişiye verilen bilgilerdeki süreye dikkat edilmelidir. Önemli diğer nokta ise, her verinin saklama süresinin veri türüne göre değişkenlik göstereceğidir.
Ayrıca, şirketlerin sözleşmesel altyapılarını da gözden geçirmesi gerekmektedir.
Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi
Mevzuat uyarınca kişisel veriler ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.
Kanunun yayın tarihinden önce elde edilmiş kişisel verilerin, en geç 2 yıl içerisinde, kanunda belirtilen koşullara uygun hale getirilmelidir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması
Veri envanteri hazırlanarak sınıflandırılan verilerle ilgili olarak, verilerin hukuka uygun işlenmesini sağlamak, güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı erişimi engellemek adına her türlü idari ve teknik tedbir alınması veri sorumlusunun yükümlülüğüdür.
Bu tedbirlerin akabinde şirketlerin kendi bünyesinde denetim yapmaları veya yaptırmaları ve denetim sonuçlarını ilgili birime raporlayarak tedbirlerin iyileştirilmesini sağlamak gerekmektedir.
Bunun yanı sıra şirketlerin iş birimlerine, iş ortaklarına ve tedarikçilerine gerekli eğitimler düzenleyerek farkındalık sağlamaları önemli bir diğer noktadır.
Tüm bunların yanı sıra özellikle VERBİS’in halen kurulmamasından kaynaklı olarak bu yol haritası tam anlamıyla somutlaşamamaktadır. Yol haritasında dikkat edilmesi gereken husus ise, bunların örnek olduğu ve her şirketin kendi faaliyetine göre farklılık gösterebileceğidir.