KVKK Uyum Danışmanlığı – İşletmeniz Gerçekten Güvende mi?
İşletmelerin büyük bölümü, Kişisel Verilerin Korunması Kanunu kapsamında sadece birkaç metin hazırlatarak yükümlülüklerini yerine getirdiğini düşünüyor.
Oysa uygulamada karşılaştığımız en büyük problem şudur:
Metin var, ancak fiili süreçler uyumlu değil.
KVKK kapsamında denetim ve yaptırımların muhatabı olan kurum
Kişisel Verileri Koruma Kurumu’dur.
Bu nedenle işletmeler için asıl önemli olan, kağıt üzerinde değil, fiilen uyumlu olmaktır.
Benim sunduğum KVKK danışmanlığı, hazır şablonlar üzerinden değil, işletmenizin gerçek işleyişi üzerinden yürütülür.
KVKK’da en kritik adım: Veri envanteri
KVKK uyumunun temeli, işletmenizde;
- hangi kişisel verilerin bulunduğu,
- bu verilerin hangi süreçte işlendiği,
- nerede tutulduğu,
- kimlerin eriştiği
sorularına net cevap verilmesidir.
Bu nedenle çalışmaya her zaman veri envanteri ile başlıyorum.
Her işletme için aşağıdaki başlıklar ayrı ayrı çıkarılır:
- hangi veri,
- hangi kişi grubu hakkında,
- hangi amaçla,
- hangi sistemde veya ortamda,
- kimlerin erişimiyle,
- hangi hukuki sebebe dayanarak,
- ne kadar süreyle saklanıyor.
Bu tablo oluşturulmadan hazırlanan aydınlatma metni ve politikalar, uygulamada ciddi risk doğurmaktadır.
Sahada gerçekten sorulan ve riski ortaya çıkaran 10 temel kontrol sorusu
Uyum çalışmasına başlamadan önce işletmenizde kısa bir ön kontrol yapılır.
Bu kontrolde özellikle şu sorular üzerinden ilerlenir:
- Hangi kişisel ve sağlık verileri toplanıyor?
- Bu veriler bilgisayarda mı, özel bir programda mı, bulutta mı tutuluyor?
- Kimler bu sistemlere erişebiliyor?
- Her çalışanın ayrı kullanıcı hesabı var mı?
- Kişisel veriler WhatsApp veya e-posta ile paylaşılıyor mu?
- Kamera kaydı alınıyor mu?
- Kameralar hangi alanları görüyor?
- Kayıtlar kaç gün saklanıyor?
- Çalışan dosyalarında hangi belgeler bulunuyor?
- Bugüne kadar yanlış gönderim, kayıp cihaz veya benzeri bir veri ihlali yaşandı mı?
Bu soruların cevapları, işletmenizin fiili risk haritasını ortaya koyar.
Çalışma yöntemim: Metin değil, süreç üretirim
KVKK danışmanlığı kapsamında sadece doküman teslimi yapılmaz.
İşletmenizin gerçek işleyişi analiz edilerek aşağıdaki adımlar yürütülür:
1. İşletmeye özel veri envanteri oluşturulur
Her bir iş süreci satır satır yazılır.
2. Uygulamayla uyumlu metinler hazırlanır
- Aydınlatma metinleri
- Açık rıza metinleri (gereken durumlarda)
- Saklama ve imha politikası
- Çalışan gizlilik ve veri güvenliği belgeleri
tamamı işletmenize özel düzenlenir.
3. Kamera ve izleme sistemleri özel olarak incelenir
- Kameraların konumu,
- kayıt süresi,
- izleme yetkileri,
- çalışan ve ziyaretçi alanları
ayrı bir başlık altında değerlendirilir.
Bu alan, uygulamada en fazla yaptırım riski doğuran konulardan biridir.
4. Dijital sistemler ve IT süreçleri kontrol edilir
- kullanılan yazılımlar,
- uzaktan erişimler,
- yedekleme altyapısı,
- bulut hizmetleri,
- dış IT firmalarının erişimleri
KVKK bakış açısıyla ele alınır.
Teknik kurulum yapılmaz; ancak risk yaratan noktalar net olarak tespit edilir.
Özellikle uzmanlaştığım alanlar
KVKK danışmanlığında, özellikle aşağıdaki işletmeler için derinlemesine çalışıyorum:
- diş klinikleri,
- psikolog ve danışmanlık merkezleri,
- sağlık ve terapi merkezleri,
- özel kurslar ve eğitim kurumları,
- site ve apartman yönetimleri.
Bu işletmelerde:
- sağlık verileri,
- biyometrik ve görüntü kayıtları,
- çalışan ve danışan dosyaları
yoğun şekilde işlendiği için özel nitelikli kişisel veri riski yüksektir.
En çok yapılan hata
İşletmelerin büyük bölümü:
“Zaten metnimizi hazırlattık.”
diyerek sürecin tamamlandığını düşünüyor.
Ancak;
- veri envanteri yoksa,
- kamera kayıtları analiz edilmemişse,
- IT süreçleri sorulmamışsa,
- erişim yetkileri belirlenmemişse
KVKK uyumu fiilen sağlanmış sayılmaz.
Amacım
Amacım, sadece dosya teslim etmek değil;
işletmenizde gerçekten çalışan, denetimde ve olası bir şikâyette sizi koruyacak bir KVKK uyum yapısı kurmaktır.
KVKK uyum süreci hakkında bilgi almak için iletişime geçebilirsiniz.
Sevgilerimle,
Av. Arb. Tuncay TARKIN