SON YAZILAR

5 Mart 2018 Pazartesi

Kişisel verilerin korunması kanununa uyumda yol haritası

Alo Sgk | 09:00 | | |


Kişisel verilerin korunması kanununa uyumda yol haritası

Umut KOLCUOĞLU
Dünya Gazetesi

2016 yılının Ekim ayında yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun (KVK) uygulaması, ikincil mevzuatın da yayımlanması ile birlikte açıklık kazanmaya başladı. Bu kapsamda oluşturulan Veri Sorumluları Sicili’nin çok yakında faaliyete geçmesi bekleniyor. Böylece, sicile kayıt yükümlülüğü yakın zamanda başlayacak. Kişisel verilerin yasal olarak korunması açısından geri sayım başlamışken, veri sorumlularının vakit kaybetmeden faaliyetlerini KVK mevzuatı ile uyumlu hale getirmeleri önem taşıyor. Bugünlerde birçok şirket bu konuda dahili çalışma grupları oluşturuyor ve çeşitli eğitimlere katılarak bir yol haritası çizmeye çalışıyor.




KVK’ya göre, kişisel verilerin işlenme amaç ve araçlarını belirleyen, bu kapsamda veri kayıt sistemi kurmak ve yönetmekle sorumlu gerçek veya tüzel kişiler, “veri sorumlusu” olarak kabul ediliyor. Günümüzde şirketlerin neredeyse tamamının çalışanlardan müşterilere kadar çok çeşitli kişisel veriyi topladıkları göz önüne alındığında, bu konu oldukça önem kazanıyor. Peki veri sorumluları faaliyetlerini KVK mevzuatı ile uyumlu hale getirmek için neler yapmalı, nasıl bir yol izlemeli?

İlk aşama, tespit ve envanter çalışmaları ile kişisel veri saklama ve imha politikasının oluşturulması. Bu kapsamda, veri sorumlularının öncelikle kimlerin, hangi verilerini, ne amaçla işlediklerini tespit etmeleri gerekiyor. Bu tespitin yapılabilmesi için veri sorumluları, işledikleri verilere ilişkin kapsamlı bir iç denetim yapıp, bir kişisel veri işleme envanteri hazırlamalı. Bu envanter, asgari olarak veri sorumlularının veri işleme faaliyetlerini, işleme amaçlarını, kategorilerini, verilerin aktarıldığı alıcı gruplarını, her bir kategori bakımından azami işleme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve aktarım güvenliğine ilişkin alınan tedbirlerin detaylarını içermeli. Bu oldukça kapsamlı bir çalışma ve yalnızca tek bir kişisel veri kategorisini içermemeli. Örneğin, veri sorumlularının, çalışanlarına ilişkin her türlü kişisel verinin veya akdettikleri herhangi bir sözleşmenin karşı tarafına ilişkin sahip oldukları kişisel verilerin bu envanter içerisinde yer alması bekleniyor.

Envanterin vakit kaybetmeden hazırlanması oldukça önemli; çünkü bu envanter esas alınarak hangi verilerin ilgilisinin açık rızası gerektiği saptanacak ve akabinde kişilerden rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi gibi uygun tedbirlerin alınması mümkün olabilecek. Ayrıca, veri sorumluları, veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ne zorunlu kayıtlarını çok yakında bu envantere dayalı olarak gerçekleştirecekler. Envanter hazırlanması, şirket nezdindeki tüm kayıtların incelenmesini gerektirdiğinden, yüklü miktarda kişisel bilgiye sahip olan veri sorumlularının bu kapsamlı çalışma için profesyonel destek almaları değerlendirilebilir. Tespit ve envanter hazırlanması çalışmaları ile paralel olarak, veri sorumlularının saklama ve imha politikası da hazırlamaları gerekiyor. Böylece veri sorumlusu, kişisel verilerin işleme amacı için gerekli olan azami süreyi, bu verileri yok etme ve anonim hale getirme prosedürlerini belirliyor. Ayrıca, her bir veri sorumlusunun, şirket içerisinde bu işlemleri yürütecek kişiler öncelikli olmak üzere, tüm çalışanlarına bu konularda dahili teknik ve idari eğitimler vermesi önemli.

Uyum çalışmaları kapsamında ikinci aşama...

Kaynak ve Yazının Devamı ► https://www.dunya.com/kose-yazisi/kisisel-verilerin-korunmasi-kanununa-uyumda-yol-haritasi/405757