6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yürürlüğe girmesiyle birlikte, bugüne kadar çeşitli vasıtalarla elde edilen kişisel verilerin mevzuata uyum sürecinde nasıl bir süreçten geçeceği sorusu büyük önem kazanmıştır. Kanun; kişisel veri işleyen, taşıyan veya saklayan kurumlar için önemli bir dönüşüm ve adaptasyon süreci öngörmektedir. Hiç şüphesiz ki mevzuata uyum sürecinin sağlıklı bir şekilde ilerleyebilmesi öncesinde şirketlerin iç işleyişlerini gözden geçirmeleri gerekmektedir.
Uyum sürecinde temel hedef, Kanun’un gerekliliklerine cevap verirken aynı zamanda kurum vizyonundan sapmayan bir veri koruma politikası oluşturmaktır. Bu kapsamda öncelikli olarak bir Kişisel Veri Sorumlusunun atanması ve kişisel verilerle temas halinde olan her çalışanda konu ile ilgili farkındalık yaratmak kişisel veri koruma sisteminin sürekliliğini sağlayabilecektir. Ayrıca, çeşitli ve düzenli eğitim faaliyetleri ile kurum içerisinde kişisel verilerin korunması kültürü yaygınlaştırılmalı ve sağlamlaştırılmalıdır.
Zaman Yönetimi
Kanun, 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanmıştır. Şirketler bu tarihi takiben 2 yıl içerisinde bu zamana dek işlediği tüm verileri Kanun’a uygun hale getirme yükümlülüğündedir. Diğer bir deyiş ile, bu hazırlık 7 Nisan 2018 tarihine kadar tamamlanmış olmalıdır.
Bu süre zarfında öncelikle halihazırda kayıtlarınızda bulunan kişisel verilerin Şirketler bünyesinde tutulmasına dayanak teşkil eden unsurların, yani hukuki gerekçelerin, halen geçerli olup olmadığı bir an evvel değerlendirilmelidir.
Eldeki Verilerin Sınıflandırılması
Kanun, kişisel verileri bir sınıflandırmaya tabi tutmuş olup, farklı türdeki kişisel veriler için farklı hukuki sorumluluk ve yaptırımlar düzenlemektedir.
Kişisel veri: Kimliği tanımlanmış veya tanımlanabilir gerçek kişilere ait herhangi bir bilgi kişisel veri olabilir. Böylece, müşteri isimleri, hobileri, satın alım tercihleri, hangi ürünleri inceledikleri, telefon numaraları veya e-posta adresleri gibi kişisel içeriğe sahip her türlü bilgi kişisel veri olarak sınıflandırılabilecektir.
Özel nitelikli kişisel veri: Bireylerin ırk, din, inanç, etnik köken, politik görüş, üye olunan dernek, sağlık, cinsel hayat ve benzeri bilgilerini içeren her türlü veridir. Özel nitelikli bir kişisel verinin kurumunuz dışına sızması, kişisel bir verinin kurumunuz dışına sızması ihtimaliyle karşılaştırıldığında, ilgili kişinin mağdur olması veya ayrımcılığa uğraması riski çok daha yüksek olduğundan, bu verileri işleme prosedürü mevzuatta özel olarak düzenlenmiş ve ihlal halinde farklı ve daha ağır yaptırımlar öngörülmüştür.
Teknik Destek
Kurulacak olan veri koruma sistemiyle amaçlanan ilk hedef “hesap verilebilirlik” ve “doğrulanabilirlik” kriterlerini yerine getirmek olmalıdır. Bu kriterler ışığında hareket edilirken, Kanun’a uyum süresince veri güvenliğine ilişkin teknik destek de alınarak teknik alt yapı oluşturulmasının da uygun olacağı düşünülmektedir.
Mevzuata uyum çalışmaları aynı zamanda veri sızıntısı ve/veya hırsızlığı gerçekleşmesi halinde müdahale planlarının hazırlanması, ilgili kurum ve kişilere yapılacak olan bildirimler için taslak metinler oluşturulması, iç tehditlere karşı izleme ve koruma mekanizmalarının tesis edilmesi süreçlerini de kapsamaktadır.