Veri sorumlusu, kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri
sorumlusu ilgili kişilere, işlenen verilerin hangi amaçla aktarılacağı,
verilerin toplanmasının hukuki sebebini ve ilgili kişilerin hakları hakkında
bilgi vermekle yükümlüdür. Mevzuat uyarınca fazlaca yükümlülüğü olan veri
sorumlusunun tayin edilmesi uyum sürecinin hızlanması için önemlidir.
2-Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt
Veri envanteri hazırlanması hem
VERBİS sistemine kayıt için hem de veri işleme ve imha politikası
hazırlanmasında veri sınıflandırılması oluşturulması adına önemlidir. Veri
envanteri veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme
amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için
gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri
ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
ifade etmektedir. Her şirket kendi bünyesinde ve kendi faaliyetiyle ilgili
olarak toplanan, işlenen verilerle ilgili detaylı bilgi envanteri oluşturmak
zorundadır.
Kişisel veri işleme envanteri, veri sorumlusunun hangi amaçlar
için, hangi tür kişisel verileri, hangi zaman süresince, hangi işlemleri
yaptığını ve varsa başka hangi kişilerle paylaştığını gösteren bilgilerdir.
Envanterin kendisi de bir veri tabanı olacağından envanterin oluşturulmasından
sonra envantere uygun şekilde kişisel verilerin silinmesi ya da
anonimleştirilmesi süreci önemlidir.
Envanter sadece dijital verileri
kapsamamaktadır. İnsan kaynaklarınca tutulan başvuru formları ya da kağıt
üzerinden toplanan bir kayıt sisteminin parçası olan tüm kişisel verileri de
kapsamaktadır.
3- Aydınlatma Metni ve Politikaların Hazırlanması
Envanterin hazırlanması ardından
tespit edilerek sınıflandırılan verilerle ilgili aydınlatma metni ve
politikaların hazırlanmasına gerekir.
Şirketlerin kişisel verilerini tuttukları
ve/veya tutmaları gereken kişilere bu verileri ne amaçla ve hangi verileri tuttuklarını
aynı zamanda, nasıl sakladıklarını ne kadar süre sakladıklarını veri
sorumlusunun kim olduğunun duyurulması amacıyla Aydınlatma Metni hazırlanır ve
şirketlerin internet sitelerinde bu metin yer alır.
Veri Sorumluları Siciline kayıt
yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası
hazırlama yükümlülüğü vardır. Kişisel veri saklama ve imha politikası, veri
sorumlusunun işlenen kişisel verilerle ilgili azami işleme sürelerini gösteren
belgedir. Bu belge hazırlanırken veri sorumlusu sakladıkları tüm verilerinin
bir analizi yapılmaktadır. Analiz sonucunda hangi verilerin kişisel veri olduğu
ya da olabileceği belirlenmelidir. Kişisel verilerin dahil oldukları
kategoriler belirlenmeli, (adres bilgileri, telefon görüşme kayıtları vb.) ve
her kategori için işlenebilecek azami süre bulunmalıdır.
Azami süre belirlenirken veri
için kişinin açık rızası var ise, açık rızanın alınması sırasında ilgili kişiye
verilen bilgilerdeki süreye dikkat edilmelidir. Önemli diğer nokta ise, her
verinin saklama süresinin veri türüne göre değişkenlik göstereceğidir.
Ayrıca, şirketlerin sözleşme
altyapılarını da gözden geçirmesi gerekmektedir.
4- Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki
Verilerin Düzenlenmesi
Mevzuat uyarınca kişisel veriler
ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç
ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.
Kanunun yayın tarihinden önce
elde edilmiş kişisel verilerin, en geç 2 yıl içerisinde, kanunda belirtilen
koşullara uygun hale getirilmelidir. Kanun hükümlerine aykırı olduğu tespit
edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale
getirilmelidir.
5- Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması
Veri envanteri hazırlanarak
sınıflandırılan verilerle ilgili olarak, verilerin hukuka uygun işlenmesini
sağlamak, güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı erişimi
engellemek adına her türlü idari ve teknik tedbir alınması veri sorumlusunun
yükümlülüğüdür.
Bu tedbirlerin akabinde
şirketlerin kendi bünyesinde denetim yapmaları veya yaptırmaları ve denetim
sonuçlarını ilgili birime raporlayarak tedbirlerin iyileştirilmesini sağlamak
gerekmektedir.
Bunun yanı sıra şirketlerin iş
birimlerine, iş ortaklarına ve tedarikçilerine gerekli eğitimler düzenleyerek
farkındalık sağlamaları önemli bir diğer noktadır.
Yol haritasında dikkat edilmesi
gereken husus ise, her şirketin kendi faaliyetine göre farklılık
gösterebileceğidir. Gerektiğinde Hukuki Danışmanlık alınmasında fayda
bulunmaktadır.
FİLİZ ERBOĞA
İK Danışmanı - Profesyonel Koç