Şirketlerin Uyum Süreci Faaliyetleri

     ​Hemen hemen tüm şirketler iş süreçleri sırasında, çok fazla kişisel veri işlemek zorundadır. Bu nedenle de her şirket “veri sorumlusu” olarak Kanun’da belirtilen genel ilkelere, veri işleme şartlarına ve mevzuattan kaynaklanan diğer yükümlülüklere uymak zorundadırlar. Başka bir anlatımla, şirketlerin herhangi bir veri işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunmamaları gerekmektedir. Şirketlerin yürütecekleri uyum süreci ile Kanun’un yürürlüğe girmesinden önce işlenen kişisel veriler de dâhil olmak üzere, işlenen bütün kişisel verilerin hem hukuki hem de teknik açıdan tüm mevzuata uyumlu hale getirilmesi bir zorunluluktur.

     Bu nedenle aşağıda belirtilen hususlar, şirketlerin yükümlülükleri kapsamında, bir uyum sürecinin zorunlu unsurları olarak karşımıza çıkmaktadır.

1. Üst Yönetim Desteği
     Uyum sürecinin başarılı olabilmesi için, şirketin üst yönetiminin desteği, başarının olmazsa olmaz ilk koşuludur. Uyum sürecine başlamadan önce, üst yönetici tarafından, üst düzey yetkiler verilme suretiyle görevlendirilmiş bir kurul/komite oluşturmak ve süreci bu kurul ile yürütmek hızlı hareket edilmesini sağlayacaktır.

2. Kişisel Veri Envanteri Hazırlanması
     Uyum sürecinde, veri sorumluları tarafından ilk yapılması gereken, kişisel veri envanterinin hazırlanmasıdır. Kişisel veri envanterinin hazırlanmasının iki temel amacı bulunmaktadır. Bunlardan birincisi, envanter hazırlamanın yasal olarak zorunlu olması, ikincisi ise uyum sürecinin sağlıklı olarak yürütülebilmesi için mevcut durumun eksiksiz görülebilmesini sağlamasıdır.
    Kişisel veri envanteri, kişisel veri kategorisi baz alınarak değil, şirketlerde yürütülen iş süreçleri baz alınarak hazırlanmalıdır. Şirketlerin, her bir süreci ve bu süreçlerin altındaki faaliyet ve alt faaliyetler tek tek ele alınmalıdır. Bu faaliyetlerde hangi kişisel verilerin işlenmekte olduğu tespit edilmelidir.

3. Veri Sorumluları Sicil Bilgi Sistemine Kayıt
     Çalışan sayısı 50’den fazla veya yıllık bilanço büyüklüğü 25 Milyon TL’den fazla olan veya ana faaliyet alanı özel nitelikli kişisel verilerin işlenmesi olan veri sorumluları, Kişisel Verileri Koruma Kurumu nezdinde oluşturulmuş bulunan bu sicile kaydolmak zorundadır. Sicil başvurularında, sicile açıklanacak bilgiler daha önce hazırlayacakları kişisel veri işleme envanterine dayalı olarak hazırlanmalıdır. Sicil sistemi, kayıt esnasında kullanıcıları yönlendirebilen bir sistem olarak kurgulandığından, kişisel veri işleme envanteri hazırlanmasını müteakip, envantere uygun olarak sicile kayıt işlemi kolaylıkla yapılabilecektir.

4. Aydınlatma Yükümlülüğünün Yerine Getirilmesi
    6698 sayılı Kanuna göre “kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi” bir başka deyişle aydınlatılması gerekmektedir. Bu aydınlatma kişisel verilerin işlenmeye başlanmasından önce mutlaka yerine getirilmelidir.
     Aydınlatma metinleri, her hukuki ilişki ve her farklı kişisel veri işleme amacı için ayrı olacak ve yukarıda belirtilen asgari hususları içerecek şekilde hazırlanmalıdır. Hukuki ve teknik terimlerin kullanılmasından, kişisel verilerin işlenmesi ve korunmasına ilişkin olmayan gereksiz açıklamalardan kaçınılmalıdır. Uygulamada çok sık karşılaşıldığı gibi tek bir aydınlatma metninin, şirketin tüm veri işleme faaliyetlerinde kullanılması mümkün değildir. Aydınlatma yükümlülüğü, şekil şartına tabi değildir. Kişisel veri işleme faaliyetinin açık rıza şartına bağlı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

     Sürecek...