KVKK danışmanlığı

KVKK Danışmanlığı

Kişisel Verileri Koruma Kanunu, veri sorumlularını (yani herhangi bir nedenle kişisel verileri işleyen/saklayan kişileri) ciddi yükümlülük altına sokmaktadır. Doğal olarak kişisel veri işleyen şirketler de bu noktada bir hukuki danışmanlık hizmetine ihtiyaç duymaktadır. Yazımızda genel olarak KVKK danışmanlığının nasıl gerçekleştiğine ve kapsamının ne olduğuna değineceğiz.

2016 yılından beri Türkiye’de şirketlerin en çok ihtiyaç duyduğu hukuki danışmanlık türlerinden bir de KVKK danışmanlığı oldu. 2016 yılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) kabul edildiği yıldır. 

Özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu geçici madde hükmü ile kişisel verileri işleyen veri sorumlularına 2 yıllık bir uyum süresi tanınmış olduğu için KVKK danışmanlığı önem kazanmıştır. Bu uyum sürecinin sona ermiştir ancak kanuna uyum yükümü devam ediyor ve artık kanuna aykırılıklar cezalandırılıyor. Bu nedenle KVKK danışmanlığı artık daha da önem kazandı.

Yazımızda önce kişisel verileri koruma sisteminin ne anlama geldiğini ve ardından KVKK danışmanlığının neleri kapsadığından bahsedeceğiz. Ardından KVKK uyum sürecinin genel özelliklerine ve bu alandaki danışmanlığa değineceğiz. Yazıda Kişisel Verileri Koruma Kanunu ile ilgili bazı dikkat edilmesi gereken önemli hususları da izah etmeye çalışacağız. Konunun önemli olması nedeniyle yazımızı dikkatlice okuyunuz.

Kişisel Verilerin Korunması Sistemi Nedir?

Kişisel verilerin ne olduğu Kişisel Verileri Koruma Kanunu’nda ayrıntılı olarak yer alıyor. Bunlar genel olarak bir kişiyi ayırt etmeye yarayan özel bazı bilgi ve verilerdir. Türkiye’de bütün şirketler bir şekilde kişisel veri işleme faaliyeti gerçekleştirir. Gerek müşterilere gerek çalışanlara gerekse ortaklara ait kişisel veriler işlenmekte hatta bazı durumlarda üçüncü kişilerle paylaşılmaktadır.

İşte Kişisel Verileri Koruma Kanunu bunun hukukunu düzenleyen sistemdir. Kanun; kişisel verilerin işlenme şartlarını, aktarılma şartlarını, veri işleme düzeninin ne şekilde olacağını, veri sorumlularının hak ve yükümlülüklerini, veri sahibinin hak ve yükümlülüklerini, kanuna aykırı davranılması halinde uygulanacak cezai yaptırımları vs. hükme bağlamış ve ayrıntılı bir düzen getirmiştir.

Bunun ayrıntılarına burada değinmiyoruz. Bununla ilgili olarak ‘KVKK (Kişisel Verilerin Korunması)’ başlıklı yazımızı inceleyebilirsiniz. Tüm bu hükümler KVKK kapsamında sürekli bir danışmanlığı gerekli kılıyor. Şimdi bunun kapsamına değineceğiz.

KVKK Danışmanlığı Kapsamında Neler Yer Alıyor?

KVKK danışmanlığı ile ilgili değinilmesi gereken bir kaç temel aşama vardır. Hukuki analiz, teknik analiz ve hukuki ve teknik dönüşüm sürecidir.

İşte uyum sürecinde ve sonrasında Kişisel Verilerin Korunması Kanunu danışmanlığı ihtiyacı doğdu. Uyum sürecinde KVKK danışmanlığı kapsamında şirketlerin mevcut iş ve işlemleri KVKK mevzuatına uygun hale getirilmekte, para ve hapis cezalarından korunma amacı güdülmektedir.

Kişisel veri işleme faaliyeti hiçbir zaman sona ermeyeceği için veri işleme sistemi özenle oluşturulmalıdır ki mevzuata uyum sağlıklı bir zeminde yürüsün. Bunun için ciddi bir hukuki danışmanlık alınmalıdır. KVKK danışmanlığı kapsamında genel olarak şu çalışmalar sürdürülüyor:

  • Farkındalık Eğitimi
  • Tarama
    • Kurumun Tanınması
      • Yönetim birimlerinin incelenmesi
      • Çalışma alanlarına göre birimlerin analizi
      • Yönetim birimlerinin ve departmanların çalışmalarının analizi (şirket esas sözleşmesi, iç yönergeler, kararlar, sözleşmeler, personel sözleşmeleri, üçüncü kişiler ile yapılan sözleşmeler, ifa yardımcıları ile yapılan sözleşmeler,  ticari olmayan sözleşmeler, ihaleler,  taahhütler,  idari kurumlarla yapılan sözleşmeler)
      • Personel yazışmalarının analizi
      • İfa yardımcılarının yetkilerinin analizi
      • Kurum web sitesi ve mobil uygulama analizi
      • Fiziki ve Dijital verilerin Genel Analizi
      • Verilerin tespiti
      • Verilen toplanması yöntemi
      • Verilerin anonimleştirmesi
      • Verilere ulaşabilen personelin tespiti
      • Verilerin kullanımı
      • Verilerin depolanması ve transferi
    • Veri sahibi ile temas
      • Veri sahibinin aydınlatılması
      • Beyaz masa, çağrı merkezi vs. bilgi toplama kanallarının analizi
      • Veri sahibi taleplerin toplanması
      • Veri sahibinin taleplerinin işleme konulması
      • Veri sahiplerinin izinlerinin alınması
    • Arşiv sisteminin analizi
      • Dijital arşivin analizi
      • Fiziki evrak arşivinin analizi
    • İrtibat kişisi atama
    • Uygulama
      • Önceki tarihli işlemlerin gerekmesi halinde revizesi
      • Yeni işlemlerde dikkate alınacak hususların belirlenmesi
      • Kurum içi yönergelerin hazırlanması
      • Kişisel verilerin niteliğine göre işlenme durumlarının belirlenmesi
      • İfa yardımcılarının yetkilerinin belirlenmesi ve sınırlandırılması
      • Personel yetkilerinin belirlenmesi ve sınırlandırılması
      • Veri sahibi ile ilişkilerin KVKK kapsamında usul ve esasların belirlenmesi
        • Aydınlatma formlarının hazırlanması
        • Bilgi toplama kanallarının düzenlenmesi
        • Veri sahibinin izinlerinin alınmasına yönelik dökümanların hazırlanması
        • Veri sahibi başvuru kanallarının oluşturulması
      • Sözleşmeler
        • Personel sözleşmelerinin revizesi
        • Üçüncü kişilerle yapılan sözleşmelerin revizesi
        • İfa yardımcıları ile yapılan sözleşmelerinin revizesi
        • Fiziksel ve dijital ortamda arşivleme
      • Yazışmalar
        • Fiziksel ve dijital ortamda yazışmaların usul ve esaslarının belirlenmesi
      • Özlük dosyaları
        • Özlük dosyalarının KVKK kapsamında usul ve esaslarının belirlenmesi
      • Kişisel veri işleme envanterinin oluşturulması
      • Kurum web sitesinin ve mobil uygulamalarının kapsamında düzenlenmesi için rapor hazırlanması
        • Web sitesinde KVKK bakımından yapılacak değişikliklerin belirlenmesi
        • Aydınlatma metinlerinin düzenlenmesi
        • Gizlilik kurallarının analizi
        • Şartlar ve kurallar metninin analizi
        • Rıza gereken bölümlerin düzenlenmesi
        • Veri alınması süreçlerinin KVKK uygunluğunun sağlanması
        • Kullanıcı sözleşmelerinin revizesi
        • Üçüncü kişi ve kurumlara yönelik bağlantıların düzenlenmesi
      • Kurum veri işlem ve alt yapısının KVKK kapsamında düzenlenmesine ilişkin önerileri içeren rapor tanzimi
        • Kurum içi güvenlik sisteminin KVKK kapsamında değerlendirilmesi ve alınacak tedbirlerin belirlenmesi
      • Verilerin KVKK kapsamında silinmesine dair usullerin belirlenmesi
      • Verilerin anonimleştirilmesi süreçlerinin belirlenmesi ve yönetimi
      • Veri sorumluları sistemine kayıt
    • Verbis kaydı
    • Eğitim
    • Dökümantasyon
      • El kitapçığının hazırlanması
    • Denetim ve gözden geçirme
      • Denetim birimi oluşturulması
      • Denetim birimlerinin eğitimi
    • Raporlama
      • Raporun hazırlanması ve sunulması

Esasen bir seferlik KVKK uyum danışmanlığı ile mevzuata uygun hale gelseniz de sürekli hukuki danışmanlık alarak, farklı durumlar ortaya çıkması durumunda ne yapılacağı hakkında danışma, Kurum tarafından verilen cezalara itiraz, açılan davalarda avukatlık hizmeti de alabilirsiniz.

DİKKAT!: Danışmanlık alacağınız yer yukarıda yazılan tüm aşamaları size sağlamalıdır. Aksi halde hukuki olarak eksik hizmet verilmiş olacaktır.

DİKKAT!: KVKK danışmanlığı konusunda mutlaka bir hukuk bürosundan destek almalısınız. Hukuk hizmeti verdiğiniz iddia eden danışmanlık firmaları ile bu süreci yürütmeniz durumunda hukuki riski her zaman taşıyacağınızdan emin olabilirsiniz.

DİKKAT!: KVKK sürecini yalnızca gizlilik sözleşmesinin hazırlanması veya Verbis kaydının yapılması gibi düşünmek oldukça yanlış bir durumdur. Zira yukarıdaki listeden göreceğiniz gibi Verbis kaydı işin yüzde 1’i gibi bir bölümdür ve mevzuata uyumun sonunda yapılması gerekir. Aynı şekilde şirketin analiz işlemleri geçirilmeden ve diğer yukarıdaki süreçler yürütülmeden hazırlanan gizlilik metni de sizi korumayacaktır.

DİKKAT!: Bize gelen işlerden gördüğümüz kadarı ile; bir çok veri sorumlusu firma Verbis kaydı yaptırmak istediğiniz söyleyerek bizden bu konuda danışmanlık istemektedir. Ancak durum bu şekilde değildir. Çünkü Verbis kaydı şirketin 360 derece KVKK uyum süreci tamamlandıktan sonra yapılması gereken işlemdir. Uyum sürecini bitirmeden kaydın yapılması asla doğru değildir. Bu şekilde yapılan kayıtlar uyum sağlanmadığı için yetersiz olacağı gibi sonradan değiştirme durumlarında da zor bir işlem süreci ve aşağıda bahsedeceğimiz idari para cezası (20 bin TL ile 1 milyon TL arası) şirketi beklemektedir.

Bu nedenle KVKK uyum süreci bitmeden; “verbis kaydı yapıyoruz” diye iş yapmak isteyen kişilerden ve firmalardan uzak durulması gerekmektedir. Bu konuda “verbis kaydı” yazımızı mutlaka okumalısınız.

Yalnızca KVKK eğitimi almak istiyorsanız bu konuda “kişisel verilerin korunması kanunu eğitimi” yazımızı okuyabilirsiniz.

Kimler KVKK Danışmanlığı Hizmeti Almalıdır?

6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlusu kavramından bahsediyor. KVKK danışmanlığını veri sorumluları almalıdır. Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi tutan, saklayan, işleyen her türlü kişi kanun kapsamında sorumludur. Kimliği belirli derken bunu isim soyisim olarak düşünmemek gerekir. Burada ip adresi bile kişisel veri kapsamına girmektedir.

Kısaca söylemek gerekirse ister küçük bir şahıs şirketi olsun ister büyük bir firma olsun KVKK danışmanlığına ihtiyaçları vardır. Ayrıca veri sorumlusu dernek, vakıf gibi diğer tüzel kişiler de KVKK yükümlülüğü altındadır. Bu tüzel kişilikler de hukuki destek almalıdırlar.

KVKK ile İlgili Konularda Dikkat Edilmesi Gerekenler

Yukarıda KVKK danışmanlığının gerekliliği ve süreçte neler yapılacağından genel hatları ile bahsettik. KVKK uyumluluğu ile ilgili işlemler en ufak ayrıntısına kadar kusursuzca gerçekleştirilmelidir. Çünkü kanuna aykırılık halinde ciddi yaptırımlar doğmaktadır.

Burada TCK 135-140. maddelerden ötürü hapis cezasını gerektiren sorumluluk doğabilir. Ayrıca Kanun 5 bin TL ile 1 milyon TL arasında bir idari para cezasından bahsediyor. Bu nedenle kanuna aykırı bir durum oluşturmamaya dikkat edilmelidir.

Sadece KVKK değil ayrıca diğer ilgili mevzuat hükümleri ile de sorumluluk devam eder. Bunları şu şekilde sıralayabiliriz:

  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
  • Veri Sorumluları Sicili Hakkında Yönetmelik
  • Kişisel Verileri Koruma Uzmanlığı Yönetmeliği
  • Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

Dolayısıyla sürecin hafife alınmaması gerekiyor. Tüm bu mevzuat hükümleri göz önünde bulundurularak söz konusu ticari veya türü ne olursa olsun ilgili faaliyetin niteliğine göre düzen oluşturulmalıdır. Bu kapsamda KVKK konusunda tecrübeli avukatlar ile çalışmak en sağlıklı yoldur.

Bu makale faydalı mıydı?