KVKK Uyum Sürecinde Yapılacak İşlemler

KVKK Uyum Sürecinde Yapılacak İşlemler

Kurum ise aşağıdaki işlemleri uygulayarak Uyum Sürecini Yürütebilir.

Uyumda Yapılacak İşlemler

 1. Envanterinin Çıkarılması
 2. Kurumun Veri Sorumlusu olarak ’e kaydettirilmesi
 3. Kurumun İrtibat kişisinin belirlenerek VERBİS’e kaydettirilmesi
 4. Kurumda Envanter ile Belirlenen Kişisel verilerin VERBİS’e Bildirilmesi
 5. Aydınlatma Metninin Hazırlanması
 6. Beyanı Formunun Hazırlanması
 7. İlgili Kişi Başvuru Formunun Hazırlanması
 8. Cookie ve Çerez Politikası’nın Hazırlanması
 9. Kamera Kayıt Sistemleri Aydınlatma Metninin Hazırlanması
 10. Fiziksel Verilerin Saklandığı Arşiv Odasının Güvenliğinin Sağlanması
 11. Network ve Elektronik Veri Güvenliğinin Sağlanması
 12. Sızma Testlerinin Yapılması
 13. Kurum içinde işlenen kişisel verilerin güvenliğinin sürekli sağlanması

Öncelikle bu aşamalar aşağıdaki şekilde özetlenebilir:

 1. Veri Sorumlusu Atanması
 2. Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt
 3. ve Politikaların Hazırlanması
 4. Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi
 5. Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması

1-Veri Sorumlusu Atanması

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu ilgili kişilere, işlenen verilerin hangi amaçla aktarılacağı, verilerin toplanmasının hukuki sebebini ve ilgili kişilerin hakları hakkında bilgi vermekle yükümlüdür. Mevzuat uyarınca fazlaca yükümlülüğü olan veri sorumlusunun tayin edilmesi uyum sürecinin hızlanması için önemlidir.

2-Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt

Veri envanteri hazırlanması hem VERBİS sistemine kayıt için hem de veri işleme ve imha politikası hazırlanmasında veri sınıflandırılması oluşturulması adına önemlidir. Veri envanteri veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir. Her şirket kendi bünyesinde ve kendi faaliyetiyle ilgili olarak toplanan, işlenen verilerle ilgili detaylı bilgi envanteri oluşturmak zorundadır.

Kişisel veri işleme envanteri, veri sorumlusunun hangi amaçlar için, hangi tür kişisel verileri, hangi zaman süresince, hangi işlemleri yaptığını ve varsa başka hangi kişilerle paylaştığını gösteren bilgilerdir.

Envanterin kendisi de bir veri tabanı olacağından envanterin oluşturulmasından sonra envantere uygun şekilde kişisel ya da anonimleştirilmesi süreci önemlidir.

Envanter sadece dijital verileri kapsamamaktadır. İnsan kaynaklarınca tutulan başvuru formları ya da kağıt üzerinden toplanan bir kayıt sisteminin parçası olan tüm kişisel verileri de kapsamaktadır.

3- Aydınlatma Metni ve Politikaların Hazırlanması

Envanterin hazırlanması ardından tespit edilerek sınıflandırılan verilerle ilgili aydınlatma metni ve politikaların hazırlanmasına gerekir.

Şirketlerin kişisel verilerini tuttukları ve/veya tutmaları gereken kişilere bu verileri ne amaçla ve hangi verileri tuttuklarını aynı zamanda, nasıl sakladıklarını ne kadar süre sakladıklarını veri sorumlusunun kim olduğunun duyurulması amacıyla Aydınlatma Metni hazırlanır ve şirketlerin internet sitelerinde bu metin yer alır.

Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası hazırlama yükümlülüğü vardır. Kişisel veri saklama ve imha politikası, veri sorumlusunun işlenen kişisel verilerle ilgili azami işleme sürelerini gösteren belgedir. Bu belge hazırlanırken veri sorumlusu sakladıkları tüm verilerinin bir analizi yapılmaktadır. Analiz sonucunda hangi verilerin kişisel veri olduğu ya da olabileceği belirlenmelidir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli, (adres bilgileri, telefon görüşme kayıtları vb.) ve her kategori için işlenebilecek azami süre bulunmalıdır.

Azami süre belirlenirken veri için kişinin açık rızası var ise, açık rızanın alınması sırasında ilgili kişiye verilen bilgilerdeki süreye dikkat edilmelidir. Önemli diğer nokta ise, her verinin saklama süresinin veri türüne göre değişkenlik göstereceğidir.

Ayrıca, şirketlerin tüm sözleşme altyapılarının da gözden geçirilmesi gerekmektedir.

4- Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi

Mevzuat uyarınca kişisel veriler ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.

Kanunun yayın tarihinden önce elde edilmiş kişisel verilerin, en geç 2 yıl içerisinde, kanunda belirtilen koşullara uygun hale getirilmelidir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.

5- Sistemsel ve Fiziksel Önlemlerin Alınması ve Denetim yapılması

Veri envanteri hazırlanarak sınıflandırılan verilerle ilgili olarak, verilerin hukuka uygun işlenmesini sağlamak, güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı erişimi engellemek adına her türlü idari ve teknik tedbir alınması veri sorumlusunun yükümlülüğüdür.

Bu tedbirlerin akabinde şirketlerin kendi bünyesinde denetim yapmaları veya yaptırmaları ve denetim sonuçlarını ilgili birime raporlayarak tedbirlerin iyileştirilmesini sağlamak gerekmektedir.

Bunun yanı sıra şirketlerin iş birimlerine, iş ortaklarına ve tedarikçilerine gerekli eğitimler düzenleyerek farkındalık sağlamaları önemli bir diğer noktadır.

Yol haritasında dikkat edilmesi gereken husus ise, her şirketin kendi faaliyetine göre farklılık gösterebileceğidir. Gerektiğinde Hukuki Danışmanlık alınmasında fayda bulunmaktadır.