KVKK Uyum Süreci: Şirketlerin Alması Gereken Önlemler

Günümüzde şirketlerin hukuki altyapılarını oluştururken en çok dikkat etmeleri gereken konulardan biri 6698 sayılı Kişisel Verilerin Korunması Kanunu mevzuatına uygun hareket etmektir. Bir şirketin ticari faaliyetlerini sürdürürken çalışanlarına, müşterilerine ve tedarikçilerine ait verileri kanuna uygun şekilde işlemesi için KVKK uyum süreci adımlarını eksiksiz olarak tamamlaması şarttır. Bu süreç, sadece idari para cezalarından korunmak için değil, aynı zamanda kurumsal itibarın zedelenmemesi için de kritik bir öneme sahiptir. Özellikle ticari ortaklıklar ve sözleşmeler kapsamında veri aktarımlarının doğru yönetilmesi, ileride doğabilecek ticari alacakların tahsili gibi süreçlerde de şirketlerin hukuki elini güçlendirir.

İşletmeler İçin KVKK Uyum Sürecinin Temel Adımları

Kanun uyarınca veri sorumlusu statüsünde olan şirketlerin, veri işleme faaliyetlerini belirli bir sisteme oturtması gerekmektedir. Şirket içi işleyişte iş sözleşmelerinin düzenlenmesi aşamasından itibaren veri güvenliği standartları hayata geçirilmelidir. Örneğin, çalışanlarla yapılan belirli ve belirsiz süreli sözleşme metinlerinde KVKK kısıtlamalarına ve gizlilik hükümlerine mutlak surette yer verilmesi gerekir.

Kişisel Veri İşleme Envanterinin Hazırlanması

Şirketlerin departman bazında işledikleri tüm kişisel verileri tespit ederek bir Kişisel Veri İşleme Envanteri oluşturması yasal bir zorunluluktur. Bu envanterde, verilerin hangi hukuki sebebe dayanılarak işlendiği, kimlere aktarıldığı ve ne kadar süreyle muhafaza edileceği açıkça belirtilmelidir. Envanter, aynı zamanda Kişisel Verileri Koruma Kurumu’nun denetimlerinde şirketin şeffaflığını gösteren en temel belgedir. Şirketin insan kaynakları departmanından tedarik zincirine kadar her birimde işlenen veri türü (örneğin evlilik nedeniyle işten ayrılma bildirimlerinde alınan sağlık veya aile verileri gibi) bu envantere titizlikle işlenmelidir.

Aydınlatma Yükümlülüğü ve VERBİS Kaydı

Kanunun 10. maddesi uyarınca veri sorumluları, kişisel verilerini işledikleri ilgili kişileri bilgilendirmekle yükümlüdür. Bu bağlamda aydınlatma yükümlülüğü yerine getirilirken; veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere aktarılabileceği ve ilgili kişinin hakları açıkça belirtilmelidir. Ayrıca, yasal şartları sağlayan şirketlerin Veri Sorumluları Sicil Bilgi Sistemine, yani VERBİS kaydı yapması zorunludur. Kayıt yükümlülüğünü yerine getirmeyen işletmeler ciddi idari para cezaları ile karşı karşıya kalabilmektedir. Dijital dünyada markalara ait patent, marka ve fikri sınai haklar korunurken gösterilen hassasiyet, kullanıcı ve müşteri verilerinin korunmasında da aydınlatma metinleri aracılığıyla en üst düzeyde gösterilmelidir.

KVKK Kapsamında Alınması Gereken İdari ve Teknik Tedbirler

Şirketlerin kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri alması zorunludur. İdari tedbirler kapsamında çalışanların eğitilmesi, gizlilik sözleşmelerinin imzalanması ve şirket içi politikaların oluşturulması yer alırken; teknik tedbirler siber güvenliğin sağlanması, erişim loglarının tutulması ve veri sızıntılarını önleyici yazılımların kullanılmasıdır. Şirketlerin kurumsal yapısını incelerken hakkımızda kısmında beyan ettikleri vizyon ve güvenilirlik ilkesi, ancak bu siber güvenlik ve idari tedbirlerin tam olarak uygulanmasıyla gerçeğe dönüşebilir.

Veri İhlali Durumunda Karşılaşılan Hukuki Yaptırımlar

Gerekli teknik ve idari tedbirleri almayarak veri güvenliğini sağlayamayan veya Kurul kararlarına muhalefet eden şirketler, 6698 sayılı Kanun kapsamında ağır yaptırımlara tabi tutulur. Bu ihlaller sonucunda şirketlere milyonlarca lirayı bulabilen idari para cezaları kesilebildiği gibi, kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi Türk Ceza Kanunu kapsamında hapis cezasını gerektiren suçlar arasında da yer almaktadır. Kamu ihalelerine giren şirketlerin veri ihlali nedeniyle prestij kaybetmesi, ihalenin iptali davası süreçlerinde doğrudan bir olumsuzluk yaratmasa da idari denetimlerde ve kurumsal ilişkilerde geri dönülemez zararlar doğurabilmektedir.

Sıkça Sorulan Sorular

  1. KVKK uyum sürecini tamamlamayan şirketlere ne ceza verilir? 6698 sayılı Kanun kapsamındaki yükümlülükleri (aydınlatma, veri güvenliğini sağlama, Kurul kararlarına uyma ve VERBİS’e kayıt) yerine getirmeyen veri sorumluları hakkında, her yıl yeniden değerleme oranına göre güncellenen idari para cezaları uygulanmaktadır. Bu cezalar alt ve üst sınırları itibarıyla milyonlarca Türk Lirasına ulaşabilmektedir.
  2. Hangi şirketler VERBİS’e kayıt olmak zorundadır? Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı Kurul tarafından belirlenen güncel limitin üzerinde olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik veri sorumluları VERBİS’e kayıt olmak zorundadır. Ana faaliyeti özel nitelikli kişisel veri işleme olan işletmeler için çalışan sayısı veya bilanço sınırı aranmaksızın kayıt zorunluluğu bulunur.
  3. KVKK aydınlatma metni nasıl olmalıdır? Aydınlatma metni; anlaşılır, sade ve ilgili kişinin kolayca idrak edebileceği bir dilde yazılmalıdır. Metin içerisinde veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ile hukuki sebebi ve Kanunun 11. maddesinde sayılan ilgili kişi hakları eksiksiz olarak yer almalıdır.