KVKK Danışmanlığı

KVKK Danışmanlığı

KVKK danışmanlığı, 2018 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu ile şirketler ve diğer veri sorumluları açısından önemli hale gelmiştir. Kanunda detaylı düzenlemeye sahip olan idari ve teknik tedbirlerin uygulanması, konuya hakim olmayan şirketler açısından uyum süreçlerinin yönetilmesini zorunlu kılmaktadır. Yükümlülüklere uyumun sağlanmaması halinde, şirketlerin 9.5 milyona liraya kadar idari para cezası ile karşı karşıya kalmaları söz konusudur.

KVKK Danışmanlığı Nedir?

KVKK danışmanlığı; kişisel veri işleyen şirket, dernek, vakıf yahut gerçek kişilerin fiillerinin  6698 sayılı Kişisel Verilerin Korunması Kanununa uyumlu hale getirilmesi için gerekli çalışmaların yapıldığı danışmanlık hizmetidir.

KVKK danışmanlığı kapsamında, kişisel veri işleyen şirket, dernek, vakıf yahut gerçek kişilerin veri güvenliğine ilişkin kanuni yükümlülükleri yerine getirilir. Bu yükümlülükler; kişisel verilerin hukuka aykırı olarak işlenmesini önleme, verilere hukuka aykırı olarak erişilmesini engelleme ve verilerin muhafaza edilmesini sağlamaktır.

Alınan KVKK danışmanlığı ile, şirketlerin yükümlü olduğu hukuki, idari ve teknik tedbirler veri sorumlusu sıfatındaki şirket adına yerine getirilmektedir. Danışmanlık kapsamında, belirtilen yükümlülüklerin tek sefere mahsus yerine getirilmesi mümkün olduğu gibi, KVKK uyum süreçlerinin devamlı olarak yürütülmesi de mümkündür.

Kimler KVKK Danışmanlığı Hizmeti Almalıdır?

Kişisel Verileri Koruma Kanunu kapsamında veri sorumlusu olarak değerlendirilen herkesin KVKK danışmanlığı alması gerekmektedir.

Veri sorumluları; hangi kişisel verilerin toplanacağı ve saklanacağı, bu verilerin hangi amaçla işleneceği, ne kadar süreyle saklanacağı gibi hususlara karar veren gerçek veya tüzel kişidir. Bu itibarla, kamu tüzel kişileri yahut şirketler, vakıflar, dernekler arasında herhangi bir fark ve ayrım yapılmamıştır. 

Örneğin, şirketler, mali müşavirler, bulut sağlayıcılar, ödeme servisleri, kargo firmaları; hangi amaçla, ne kadar süre işleyecekleri verileri tespit ettikleri durumda veri sorumlusu sıfatına sahip olmaktadır. Bu durumda, kanunda getirilen tüm yükümlülüklere uyulması gerekmektedir. 

Uygulamada, VERBİS yükümlülüğü ile kanuna uyum zorunluluğu birbirine karıştırılmaktadır. Kişisel veri işleyen tüm kişiler ve şirketler KVKK’ya uyum yükümlülüğü altındayken yalnızca belli şirketler VERBİS kaydı yaptırmak zorundadır. 

50 kişiden az yıllık çalışanı bulunan ve yıllık bilanço toplamı 100 milyon liradan az olan şirketler VERBİS kaydı yükümlülüğünden muaftır. Aynı şekilde, avukatlar, mali müşavirler, gümrük müşavirleri ve arabulucular da  VERBİS yükümlülüğünden muaftır. Ancak bu durum kanunla getirilen diğer yükümlülüklere uyma zorunluluğunu ortadan kaldırmamaktadır.

KVKK Danışmanlığı Neden Gereklidir?

Kişisel Verileri Koruma Kanunu ve ilgili yönetmeliklerde yer alan teknik ve hukuki tedbirlere tam uyum sağlanması uzman bilgisi gerektiren bir konudur. Belirtilen yükümlülüklere uyulmaması sonucu Türk Ceza Kanununda yer alan suçların ortaya çıkmasıyla 12 yıla kadar hapis cezasının verilmesi ve veri ihlali yapan şirketlere 9.463.213 liraya kadar idari para cezası verilmesi söz konusudur. 

Bununla birlikte, Avrupa Veri Koruma Tüzüğüne ve gelişen teknolojiye uyumun yakalanması adına dönem dönem Kişisel Verilerin Korunması Kanununa değişiklikler getirilmektedir. Bu değişikliklerin takip edilmesi, şirket işleyişinin güncel kurallara uygun hale getirilmesi gerekmektedir. Bu süreçlerin ve işleyişin takibi, veri koruma alanında uzman olmayan kişiler tarafından zorlayıcı olabilmektedir.

Örneğin, 1 Haziran 2024 tarihi ile yürürlüğe girecek olan yeni değişiklik ile özel nitelikli kişisel verilerin işlenme şartları yahut yurt dışına veri aktarımı usulü gibi hususlarda değişikliğe gidilmiştir. Bu değişikliğe ilişkin kanun metninin detaylıca tahlil edilip şirket faaliyetlerine uyarlanması gerekmektedir. Aksi halde, yürürlük tarihinden itibaren çeşitli cezaların verilmesi söz konusu olabilmektedir.

Son olarak, veri hukuku gelişmekte olan alanlar arasındadır. Pratikte ortaya çıkan uyuşmazlıklar Kişisel Verileri Koruma Kurumuna yapılan şikayetlere verilen cevaplarla giderilmektedir. Bu kararların veri sorumluları tarafından yakından takip edilmesi ve şirket uygulamalarının bu kararlara uyumlu olarak güncellenmesi gerekmektedir. Bu süreçlerin yakından takibi, KVKK danışmanlığını şirketler açısından önemli kılmaktadır. 

KVKK Danışmanlığı Süreci Nasıldır?

KVKK danışmanlığı süreci; veri sorumlusunun büyüklüğü, i̇ş konusu, veri işleme faaliyetleri, işlediği verilerin türleri gibi hususlara göre değişiklik göstermektedir. Bununla birlikte bir veri sorumlusunun KVKK uyum sürecinde aldığı danışmanlık süreci genel olarak şu aşamalardan oluşmaktadır:

  • Veri sorumlusu organizasyonel yapısının departmanlarının anlaşılabilmesi için incelemelerini yapılması,
  • Departmanlarda sürdürülen faaliyetler kapsamında yapılan veri işleme işlemlerinin tespiti,
  • İşlenen kişisel verilerin eksiksiz şekilde ortaya konulabilmesi için veri sorumlusu bünyesinde çalışan işverenlerle toplantıların yapılması,
  • İrtibatın kolaylıkla sağlanması için veri sorumlusu bünyesinden bir irtibat kişisinin atanması,
  • Şirketin o zamana kadarki işlemleri ve dokümantasyon süreçlerindeki KVKK uyumunun denetlenmesi,
  • Teknik tedbirlerin uygulanırlığının tespiti için varsa IT biriminden yoksa buna en yakın birimden bir görevlinin belirlenmesi,
  • Yapılan toplantılar sonucu veri sorumlusunun veri işleme süreçlerine ilişkin elde edilen bilgiler doğrultusunda, veri işleme politikasını hazırlanması,
  • Politikaya uygun olarak veri sorumlusunun tabi olduğu diğer dokümantasyonların hazırlanması (aydınlatma metni gerekliyse açık rıza metinleri gizlilik sözleşmeleri, e-posta alt metinleri vb.)
  • Şirket için KVKK eğitimlerinin yapılması,
  • Kişisel veri envanterin hazırlanması,
  • VERBİS kaydının yapılması.

Veri sorumlularının kanuna uyum süreçlerini tamamlanması ancak bir uzman eşliğinde olumlu sonuç doğurmaktadır. Örneğin açık rıza alınmasının gerekli olmadığı durumlarda açık rıza metninin onaylatılması, rızanın geri alınması halinde çeşitli hukuki problemler ortaya çıkaracaktır. Bu itibarla, KVKK uyum süreçlerinin alanında uzman bir veri koruma avukatı ile yürütülmesi oldukça önemlidir.

KVKK Risk Analizi

KVKK risk analizi, uyum sürecinde yapılacak iş ve işlemlerin tespit edilmesi için detaylıca yürütülmesi gereken ön adımdır. Risk analizi aşamasında, KVKK danışmanlığı verilen şirketin özellikleri, şirket iş ve işlemlerinde işlenen veriler, bu verilerin kanuni nitelikleri, yurt dışına aktarım yapılıp yapılmadığı gibi hususlar değerlendirilir.

Şirketin tüm birimleriyle yapılan görüşmeler sonucunda bir risk analiz formu çıkarılır. Bu forma uygun olarak hangi yükümlülüklerin yerine getirileceği tespit edilir.

Örneğin, yıllık 50 çalışana ulaşamayan şirketler açısından veri envanteri oluşturma yükümlülüğü, VERBİS kaydı yapma yükümlülüğü getirilmemektedir.

KVKK Hukuki Danışmanlık

Kişisel Verileri Koruma Kanunu bünyesinde, veri sorumlusuna getirilen yükümlülüklerden biri, hukuki ve idari tedbirlerin alınmasıdır. Veri sorumlusu sıfatındaki şirket, dernek, vakıf yahut gerçek kişi; hukuki danışmanlık hizmeti alarak bu yükümlülüklerini bir uzmana yaptırabilmektedir. 

Şirket faaliyetlerinin KVKK uyumlu olabilmesi için şirket tarafından bizzat yapılması yahut KVKK hukuki danışmanlığı alınması gereken iş ve işlemler şunlardır:

Belirtilen yükümlülüklerin yerine getirilmesi için KVKK danışmanlığı kapsamında yapılan iş ve işlemlerden bazıları şunlardır:

  • Hukuka aykırı olarak işlenen kişisel veriler tespit edilir,
  • İşlenen kişisel verilerin kanuna uygun olarak muhafaza edilmesi sağlanır,
  • Kişisel veri envanteri hazırlanır,
  • Veriye erişim, bilgi güvenliği, veri kullanımı yahut veri muhafazası gibi hususlarda kurum içi politikalar hazırlanır,
  • Veri sorumlusu bünyesinde yapılan yahut veri sorumlusunun taraf olduğu sözleşmeler Kişisel Verilerin Korunması Kanununa uyumlu hale getirilir,
  • Veri gizliliği taahhütnameleri hazırlanır, 
  • Kanuna uygun bir imha politikası hazırlanır. Bu kapsamda, silinecek, yok edilecek yahut anonimleştirilecek verilerin tespiti yapılır,
  • KVKK eğitimleri ve veri güvenliği farkındalık seminerleri verilir,
  • Gerekliyse, Veri Sorumluları Siciline (VERBİS) kayıt yapılır, bu kayıtların güncelliği takip edilir,
  • Aydınlatma metni hazırlanır,
  • Kişisel veri envanteri hazırlanır,
  • Yurt dışına veri aktarımı için gerekli şartlar uygulanır, 
  • Açık rıza metinlerinin hazırlanır,
  • Kullanılması halinde, çerez politikalarının hazırlanır,
  • Şikayet ve veri ihlali durumunda uygulanmak üzere şirket içi iletişim ve organizasyon şeması belirlenir.

Kanuna uyumun sağlanması, belirtilen yükümlülüklerin sürekli olarak gerçekleştirilmesi ile mümkündür. Aynı şekilde, kanuna gelen değişikliklerin tespit edilmesi, bu değişikliklere uygun olacak şekilde hukuki belgelerde de değişikliğe gidilmesi gidilmektedir. 

Örneğin, şirket faaliyetleri sonucu işlenen kişisel veriler, süreç içerisinde değişmiştir. Bu itibarla, müşterilerin yahut çalışanların adreslerine ilişkin verileri de alınmaya başlanmıştır. İşlenen yeni verilerin envantere kaydedilmesi, kayıtların yapılması gerekmektedir.

KVKK Danışmanlığı

KVKK Teknik Danışmanlık

KVKK teknik danışmanlık, kanuna uyum sürecinde tamamlanması gereken teknik işlemlerdir. Kişisel veri işleyen şirket, vakıf, dernek yahut gerçek kişilerin yerine getirmesi gereken bu teknik işlemlerin bir danışmanlık şirketine de yaptırılması mümkündür.

KVKK teknik danışmanlık kapsamında yerine getirilmesi gereken kanuni yükümlülükler şunlardır:

  • Siber güvenlik çalışmalarının yapılmalıdır. Bu kapsamda, birden fazla siber güvenlik ürününün kullanılması gerekir,
  • En uygun antivirüs programı tespit edilmeli ve düzenli olarak kullanılmalıdır.
  • Güvenlik duvarı ve ağ geçidi savunma sistemleri uygulanmalıdır.
  • Şirket bünyesinde kullanılan yazılım ve donanımların 
  • Kişisel verilere erişimin kısıtlanması gerekmektedir. Çalışanlar, şirket bünyesinde işlenen verilerden yalnızca yaptıkları iş için gerekli olan verilere erişmelidir.
  • Kullanıcı adı ve şifreleme yöntemiyle çalışanların kişisel verilerin tutulduğu sisteme girişi tespit edilmelidir.
  • Şifre girişi deneme sayısı sınırlandırılmalı, şifreler düzenli aralıklarla değiştirilmelidir. İşten ayrılma yahut diğer şekillerle veri sorumlusuyla ilişiği kesilen kişiler adına açılan hesaplar en kısa sürede kapatılmalıdır.
  • Erişim, yetki ve kontrol matrisi oluşturulmalıdır.
  • Farklı bir veriden veri alınması halinde, kullanılan bağlantılar SSL ya da daha güvenli bir yol ile gerçekleştirilmelidir.
  • Kişisel verilerin depolandığı bulut sisteminin güvenlik önlemlerine dikkat edilmesi ve mümkünse kriptografik yöntemlerle şifreleme yapılması gerekir.
  • Kişisel veriler yedeklenmelidir.

Veri sorumlularının KVKK’ya uyumunu sağlamak için uygulanması gereken teknik tedbirler sınırlı olmayıp her şirketin özelliklerine göre değişiklik göstermektedir. Şirketin veri işleme yolları, verilerin niteliği yahut bu amaçla yapılan işlemler gibi somut ayrıntılar değerlendirilip alınması gereken idari tedbirler tespit edilmelidir. 

KVKK Şikayet Danışmanlığı 

KVKK şikayet danışmanlığı, kişisel verileri işlenen kişilerin veri sorumlusuna başvuru yahut Kurula başvuru hakkını kullanması halinde, idari ve hukuki sürecin yönetilmesine ilişkin danışmanlık türüdür.

Kanuna göre, kişisel verileri işlenen kişiler çeşitli taleplerle veri sorumlusuna başvuru hakkına sahiptir. Verisi işlenen kişilerin veri sorumlusuna sunabileceği talepleri şunlardır:

  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • Hangi kişisel verilerin işlendiği öğrenme,
  • İşlenen kişisel verinin hatalı yahut eksik olması halinde bu verilerin düzeltilmesi,
  • Hukuka aykırı şekilde işlenen kişisel verilerin silinmesi, yok edilmesi yahut anonim hale getirilmesi,
  • Kanuna aykırı şekilde işlenen veriler sebebiyle doğan zararın giderilmesi.

Veri sorumlusu sıfatındaki şirket, verisi işlenen kişinin bu taleplerine en geç 30 gün içinde, 10 sayfaya kadar ücretsiz olacak şekilde yazılı yahut elektronik ortamda cevap vermekle yükümlüdür. Şikayetçinin şikayetinin reddedilmesi halinde, veri sorumlusu tarafından gerekçeli ret kararının yazılması zorunludur.

Şikayet başvurusunun reddedilmesi, verilen gerekçeli cevabın yetersiz bulunması yahut süresinde cevap verilmesi halinde verisi işlenen kişi Kişisel Verilerin Korum Kurumuna başvurma hakkına sahiptir. Kurum tarafından verilen kararların da en kısa süre içinde veri sorumlusu tarafından yerine getirilmesi gerekmektedir.

Kurul kararlarına karşı yargı yoluna başvuru mümkündür. Bu itibarla sulh ceza hakimliğine (1 Haziran 2024 itibariyle idare mahkemeleri) sunulan dilekçe ile kurul kararlarının denetimi talep edilebilmektedir. Tüm bu idari ve hukuki süreçlerin takibi KVKK şikayet danışmanlığı kapsamında uzmanlar tarafından yapılmaktadır.

KVKK Sürekli Danışmanlık Hizmeti

KVKK sürekli danışmanlık hizmeti, kanuna uyumun tam olarak sağlanması için gereken hususlardandır. Kişisel Verilerin Korunması Kanunu, kanun kapsamında yer alan yükümlülüklerin, veri sorumlusu tarafından, tek seferlik değil sürekli olarak takip edilmesini gerektirmektedir. 

Alınan KVVK uyum danışmanlığının sürekli olmasını gerektiren bazı örnek durumlar şunlardır:

  • Şirketin yeni uygulamaya koyduğu faaliyetler sonucu işlenen yeni verilerin niteliğinin tespit edilmesi ve bunlara uygun olarak koruma politikalarının geliştirilmesi gerekmektedir.
  • Kanuna gelen değişikliklerin, şirketin mevcut uygulamaların uyarlanması gerekmektedir,
  • Kişisel Verileri Koruma Kurumuna yapılan şikayetler sonucu yayınlanan kararlarda yer alan hususlara dikkat edilecek şekilde, şirket uygulamalarını yenilenmesi gerekmektedir.
  • Sızma testlerinin düzenli olarak yapılması gerekmektedir.
  • Ağ güvenliklerinin düzenli aralıklarla kontrol edilmesi gerekmektedir.
  • Kurum tarafından şirkete yapılan bildirimlerin ve uygulanmasına karar verilen yükümlülüklerin yerine getirilmesi gerekmektedir.
  • Veri ihlali halinde, idari ve hukuki sürecin takip edilmesi gerekmektedir.

Yukarıda sayılan ihtimaller yalnızca birer örnek olup, uygulamada diğer pek çok hususla karşılaşılması mümkündür. Şirket faaliyetlerinin güncel hükümlere uyum sağlamaması halinde, veri ihlali gündeme gelmektedir. Bu durum, şirket faaliyetlerinin Kişisel Verileri Koruma Kuruluna şikayet edilmesi ve şirkete yaptırımların uygulanması sonucunu doğuracaktır.

Sonuç

KVKK danışmanlığı, 1 Haziran değişiklikleri ile sıkça aratılan konular arasına girmiştir. Yapılan yeni düzenleme ile şirketler yeniden uyum sürecine girmiştir. Bu durum, KVKK sürekli danışmanlık hizmetlerinin önemini ortaya koymaktadır. Düzenlemelerin en kısa sürede şirket faaliyetlerine uyumlanması bir uzman danışmanlığında yapılabilmektedir. Bu noktada, alanında uzman bir KVKK avukatından danışmanlık almak oldukça önemlidir.

Avatar Mıhcı Hukuk Bürosu
Written by Mıhcı Hukuk Bürosu

Hukukun çeşitli alanlarında uzmanlaşmış avukat kadrosu olan ve Avukat Mustafa Mıhcı tarafından İstanbul'da kurulan Mıhcı Hukuk Bürosu, uzmanlık alanları ile ilgili konularda hukuki makaleler yazmakta ve bu konularda tüm Türkiye ve bir çok ülke dahil olmak üzere hukuki danışmanlık ve dava takibi hizmetleri vermektedir.