6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdiği 2016 yılından bu yana, iş dünyası profesyonellerince olduğu kadar vatandaşlar tarafından da her daim gündemde kalan konu başlıklarından olmuştur. Hemen herkes tarafından sıklıkla konuşulup tartışılsa, veri ihlalleri sonucu verilen cezalar herkesin dikkatini çekse de KVKK konusunun çalışanların halen yeterli bilgi sahibi olmadığı görülmektedir. Bu sebeple çalışanların hem kendileri hem de çalıştıkları kuruluşlar için bilmeleri gereken KVKK’ya dair pek çok detayı yazımızda derledik.
Veri Sorumlusu Kimdir?
Gerçek ya da tüzel kişi olabilecek veri sorumlusu; verilerin işlenme amaçlarını ve şekillerini şirket adına belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu olan görevlidir. Amaçları ve sınırları hukuka ve dürüstlük ilkesine uygun şekilde belirlenmiş veri sorumlusu, verileri kaydetme, saklama, sınıflandırma ve gerektiğinde KVK Kanunu’na uygun şekilde üçüncü kişilere aktarma yetkisine sahiptir.
Kişisel Verilerin İşlenme Amaçları Nelerdir?
Kişisel verilerimizin ne gibi amaçlarla işlendiğini bilmek, bu konuda ilgili kişilerden bilgi talebinde bulunmak hem sade vatandaş hem de çalışanlar olarak en doğal hakkımızdır. Veri işleme amaçları açık rıza bulunup bulunmamasına göre değişkenlik gösterir. Temel olarak birkaç başlık altında toplanabilecek ve açık rıza gerektirmeyen amaçları, şu şekilde sıralayabiliriz:
- Kişisel verilerin işlendiği şirket için planlama ve geliştirme yapabilme
- Mevzuatta belirtilen yükümlülükleri ve yasal bildirim, takip gibi süreçleri yerine getirebilme
- Marka bilinirliğini artırmaya ve kurumsal iletişim faaliyetlerini gerçekleştirmeye yönelik faaliyetler gerçekleştirebilme
- Şirketin ve şirketle ilişki içerisindeki üçüncü kişilerin teknik, ticari ve hukuki anlamda güvenliklerini sağlayabilme
Veri işleme faaliyetinde açık rıza gerektiren amaçlar ise şu şekilde ifade edilebilir:
- Satış, pazarlama ve genel bilgilendirme amacı taşıyan faaliyetler
- Hizmet içeriklerinin kişiselleştirilmesine yönelik çalışmalar
Kişisel Verilerin Aktarımı
Gerekli görülen hallerde ve kişisel verisi aktarılacak kişiye yapılacak bilgilendirme ile hizmetlerin daha iyi sunulması, daha güvenli şekilde saklanması ve olası gönderilerin en sağlıklı şekilde tesliminin gerçekleştirilebilmesi amacıyla gerektiği takdirde ve ölçüde üçüncü kişilere aktarım yapılabilmektedir.
Kişisel Verilerin Toplanma Yöntemi
Kişisel veriler şirketler tarafından form, e-posta, kısa mesaj, telefon vb. pek çok farklı yöntem ile elde edilebilmektedir. Burada dikkat edilmesi gereken noktalar verisi işlenen kişilerden açık rıza alınması ve gerekli bilgilendirmelerin, aydınlatma metinlerinin kişilere en doğru ve eksiksiz şekilde yapılmasıdır.
6698 sayılı KVK Kanunu’nun 11. Maddesi ve Verisi İşlenen Kişilerin Hakları
Her birey, kişisel verisinin ilgili şirket tarafından işlenip işlenmediğini, işlenmişse ne amaçla işlendiğini ve amacına uygun kullanılıp kullanılmadığını, verilerinin üçüncü kişilere aktarılıp aktarılmadığını, aktarılıyorsa bu üçüncü kişilerin kim olduğunu bilmeye; kişisel verilerinin silinmesini ya da yok edilmesini, herhangi bir zarara uğraması durumunda bu zararın giderilmesini isteme hakkı bulunmaktadır. Kişisel verisi işlenen bireylerin verileri işleyen veri sorumlusuna yapacakları ve kurallara uygun şekilde ilettikleri başvurularının ilgili şirket tarafından en geç 30 gün içerisinde sonuçlandırılması gerekmektedir.
Kişisel Verilerin Saklanması, Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi
KVKK uyarınca mevzuata uygun şekilde işlenen veriler, yine mevzuatta belirtilen yasal süre boyunca saklanabilir. Verilerin işlenmesi için gerekli sebeplerin sonuçlanması durumunda veriler yine KVKK’ya uygun prosedürler takip edilerek silinir, yok edilir ya da anonim hale getirilir.
Çalışan Kaynaklı Hataların Önüne Geçmek için: KVKK Farkındalık Eğitimi
Herhangi bir veri ihlali sonucunda hem itibar kaybı hem de maddi zarara uğrayabilecek olan şirketlerde çalışanların, veri işleyenlerin ya da veri ile temas eden herhangi bir bireyin KVKK konusunda bilgi sahibi olması ve tüm süreci en sağlıklı şekilde yönetmesi gerekmektedir. Tamamen işverenlerin sorumluluğunda olan ve olası kayıpların önüne geçmek için yapılması gereken en önemli şey: tüm çalışanlara KVKK Farkındalık Eğitimi aldırmaktır. Zira olası bir ihlalde resmi makamlarca yapılacak denetimler sırasında sorulacak ilk soru çalışanlara KVKK Farkındalık Eğitimi aldırılıp aldırılmadığı olacaktır.
Rasyotek olarak Bilişim Hukuku Avukatları ve siber güvenlik ekipleri tarafından hazırlanmış Kayıtlı KVKK Farkındalık Eğitimi ile işveren yükümlülükleri yerine getirilir, olası cezai şartların önüne geçilir. Konu ile ilgili detaylı bilgi için akademi@rasyotek.com.tr adresine e-posta gönderebilir, 444 4 908 numaralı telefondan Rasyotek Akademi ile iletişime geçebilirsiniz.