Şirketler İçin KVKK Uyum Süreci ve Verbis Kaydı
- Av. Sünbül AKÇINAR
- 18 Ara 2024
- 4 dakikada okunur
Veri Nedir ve Neden Önemlidir?
Teknolojinin baş döndürücü bir hızla geliştiği çağımızda, veri artık bir güç kaynağı haline gelmiştir. Şirketlerin iş süreçlerinden bireylerin günlük yaşantısına kadar her alanda veri, hayati bir role sahiptir. Ancak bu gücün yanlış kullanımı, bireylerin mahremiyetinin ihlali, şirketlerin yaptırımlarla karşı karşıya kalması ve güven kaybı ve hatta ulusal güvenlik sorunları gibi ciddi sonuçlar doğurabilmektedir.Bu kapsamda, bireylerin kişisel verilerinin korunması amacıyla pek çok ülke ulusal düzenlemeler yaparken, uluslararası otoriteler de pek çok düzenlemeye imza atmıştır. Bunlardan en kapsamlı ve meşhuru AB tarafından düzenlenen Genel Veri Koruma Tüzüğü (GDPR)’dır. Türkiye’de ise Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin korunması ve işlenmesi süreçlerine yasal bir çerçeve sunmakta, kurul kararları ve rehberlerle kapsamlı bir veri koruma süreci planlanmaktadır.
Özellikle şirketler için kişisel verilerin korunması süreci artık yalnızca bir yasal zorunluluk olmaktan çıkmış, aynı zamanda firmanın güvenilirliğini, prestijini ve rekabet gücünü artıran önemli bir adım haline gelmiştir. Çünkü büyük şirketler, tedarikçilerini KVKK uyumu ve veri güvenliği açısından denetlemekte ve bir takım kriterlere uyan firmalarla çalışmayı tercih etmektedirler.
Uyum süreci nasıl yönetilir?
Veri Süreçlerinin Tespiti ve Analizi
Şirket bünyesinde kişisel veri toplanan ve işlenen tüm süreçlerin detaylı bir şekilde tespit edilmesi gerekir. Her şirket, faaliyet alanı ve iş süreçleri doğrultusunda kişisel verilerle muhatap olmaktadır. Bu nedenle veri süreçlerinin kapsamı ve niteliğinin doğru tespiti, yasal yükümlülüklerin eksiksiz yerine getirilmesi açısından kritik öneme sahiptir.
Kişisel Veri Envanteri Oluşturulması
Veri envanteri çalışması, şirketin kişisel veri işleme faaliyetlerini bir bütün halinde görmesini sağlar. Bu envanterde;
İşlenen verilerin türü,
İlgili kişiler,
Verilerin toplandığı birimler ve amaçları,
Saklama süreleri,
Verilerin aktarılmasına ilişkin detaylar vb. tespit edilir.
Bu çalışma, ilerleyen aşamalarda uygulanacak idari ve teknik tedbirlerin temelini oluşturur.
İdari Tedbirlerin Alınması
KVKK kapsamında şirketlerin uygulaması gereken bazı idari tedbirler bulunmaktadır. Tedbirler kurul kararları ve rehberlerle detaylandırılmıştır. Bunlar arasında;
Kişisel verilerin işlenmesine ilişkin politika ve prosedürlerin oluşturulması,
Çalışanlar ve hizmet sağlayıcılarla veri güvenliği sözleşmelerinin hazırlanması,
Veri süreçlerinin düzenli olarak denetlenmesi, risk analizlerinin yapılması gibi süreçler yer almaktadır.
Ayrıca, çalışanların veri güvenliği konusunda bilinçlendirilmesi, sürecin en önemli aşamalarından biridir. Düzenli eğitimler ve disiplin uygulamaları, farkındalığı artırmanın yanı sıra veri ihlallerini minimize etmede önemli bir rol oynar.
Teknik Tedbirlerin Uygulanması
Kişisel verilerin güvenliği, teknik tedbirlerin doğru ve etkin şekilde uygulanmasına bağlıdır. Kurul tarafından pek çok teknik tedbir sayılmıştır, bunun yanı sıra şirketler pek çok iyi uygulama örnekleriyle bunları çeşitlendirmiştir. Örnek vermek gerekirse;
Yetki matrisi oluşturulması,
Erişim loglarının tutulması ve denetlenmesi,
Ağ ve uygulama güvenliğinin sağlanması,
Veri maskeleme ve yedekleme sistemlerinin kullanılması,
Güçlü şifreleme yöntemlerinin uygulanması ve sızma testlerinin yapılması gibi tedbirler sayılabilir.
Teknik tedbirlerin hayata geçirilmesi, şirketlerin IT/bilişim teknolojileri ekipleriyle koordineli bir şekilde çalışmasını gerektirir.
VERBİS Kaydı ve Bildirim Yükümlülüğü
KVKK’nın getirdiği en önemli yükümlülüklerden biri de Veri Sorumluları Sicili’ne (VERBİS) kayıt zorunluluğudur. Türkiye’de yerleşik veri sorumlularının, veri işlemeye başlamadan önce bu sicile kayıt olmaları gerekmektedir. Ancak, Kurul tarafından belirlenen bazı veri sorumluları istisna kapsamındadır.
Bu istisnalar dışında kalan veri sorumluları için VERBİS kaydı zorunludur ve kayıt yükümlülüğünün yerine getirilmemesi, ciddi idari para cezalarına yol açabilir. Bu nedenle şirketlerin kayıt süreçlerini titizlikle takip etmeleri önemlidir. İstisnalara ilişkin temel tablo yazımızın sonunda paylaşılacaktır. Ancak tablodaki tutar ve sınırlar her yıl güncellendiğinden emin olmak adına muhakkak yasal danışmanızdan fikir almalısınız.
Sonuç
KVKK ve GDPR uyum süreci, sadece bir yasal zorunluluk değil; aynı zamanda şirketlerin güvenilirliğini ve itibarını koruyan stratejik bir adımdır. Uyum süreci; veri süreçlerinin tespiti, envanter oluşturulması ve idari ile teknik tedbirlerin uygulanmasını kapsayan detaylı bir çalışmayı gerektirir.
Özellikle, VERBİS kaydı gibi yükümlülüklerin zamanında ve eksiksiz olarak yerine getirilmesi, şirketlerin idari yaptırımlarla karşılaşmasını önleyecek önemli bir adımdır.
Firmaların, kişisel veri güvenliği konusunda hukuki ve teknik destek alarak süreçlerini doğru yönetmeleri, ileride yaşanabilecek hak ihlalleri ve yaptırımların önüne geçecektir.
VERBİS İSTİSNA TABLOSU
Veri Sorumluları | Kurul Kararı Tarihi | Kurul Kararı Sayısı | Resmi Gazete’de Yayımlanma Tarihi | |
|---|---|---|---|---|
1 | Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla veri işleyenler | 02.04.2018 | 2018/32 | 15.05.2018 |
2 | 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler | 02.04.2018 | 2018/32 | 15.05.2018 |
3 | 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler | 02.04.2018 | 2018/32 | 15.05.2018 |
4 | 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler | 02.04.2018 | 2018/32 | 15.05.2018 |
5 | 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar | 02.04.2018 | 2018/32 | 15.05.2018 |
6 | 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler | 02.04.2018 | 2018/32 | 15.05.2018 |
7 | 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri | 28.06.2018 | 2018/68 | 18.08.2018 |
8 | Arabulucular | 05.07.2018 | 2018/75 | 18.08.2018 |
9 | Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar | 19.07.2018 | 2018/87 | 18.08.2018 |
ÖNEMLİ NOT:
Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu'ndan da istisna olmak anlamına gelmez. Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
Comments