KVKK’DA YOKMUŞ GİBİ GÖZÜKEN AMA İŞİN ÖZÜNDE VAR OLAN YÜKÜMLÜLÜK: Hesap Verilebilirlik (Accountability) vs. Belgelendirme/İspat

Avrupa’nın bundan önceki 30 senede yaşanan eksik uygulamalardan/her gün gelişen teknolojiden yola çıkarak ileriye yönelik, verileri işleyenlerin diledikleri gibi hesapsız/kitapsız veri işlemesine izin vermeme arzusu sonucu ortaya çıkan bir konsept.

Aslında her ne kadar GDPR kapsamında getirilen yeni bir yükümlülük gibi gözükse de ve KVKK’da açıkça yer almasa da, zaten “her sorumlunun sorumluluğunu yerine getirdiğini ispat etme durumu elbet bir gün doğacaktır” gerçeğinin bir yansıması Türkiye’de bizim için de.

Bu nedenle 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında da Türkiye’deki veri sorumlusu şirketler tarafından işlenen verilerin KVKK’ya uygun işlendiğinin ve korunduğunun ve veri işleme faaliyetlerinin ispatlanabilmesi açısından belgelenmesi son derece önemlidir.

YAPTIRIMLAR

Türkiye’de de aynı Avrupa’da olduğu gibi Veri Koruma mevzuatına aykırılık küçümsenmeyecek cezaları beraberinde getiriyor.

Her ne kadar “hesap verilebilirlik” KVKK’da açıkça bir uyum gerekliliği olarak öngörülmemişse de, KVKK’ya uyum, süreçlerdeki veri toplama ve işleme faaliyetinin, amacının, yönteminin, süresinin Kanuna uygun belirlenmesi esası üzerine kurulduğundan ve buna aykırılıklar idari para cezaları ve hatta Türk Ceza Kanunu kapsamında hapis cezaları ile karşılaşabildiğinden, hesap verilebilir olmanın Türk uygulamasında da karşılığı “belgelendirme” ve “ispat” olarak kendini bulmaktadır.

Veri Sorumluları talimatıyla veri işleyen süreç sahibi çalışanlar, veri işleme süreçlerini Kanuna uygun olduğunu belgelendirdiği ve güvenliği sağladığı/sağlattığı sürece yukarıda bahsedilen yaptırımlarım Şirketlerine ve/veya kendilerine uygulanması olasılığını en aza indirmiş olacaklar.

İPUCU

Anonim olan veri kullanırken, yani gerçek kişinin kim olduğu hiçbir şekil ve yöntemle bilinemeyecek şekilde veri kullanırken, KVKK uygulama alanı bulmaz.

SÜREÇ SAHİPLERİNİN DİĞER YÜKÜMLÜLÜKLERİ

KVKK kapsamında bazı yükümlülüklere sahipler:

• Veri Sahiplerinin hakları 

Süreç sahipleri sorumluluk alanlarında, verilerini işledikleri veri sahiplerinin haklarını kullanması halinde Şirketin belirlediği cevap verme süreçlerini takip edip yeterli bilgileri verebilmek için gerekli belgelendirme işlemlerini yapmış olmaları gerekir.

• Süreçlerin başında KVKK’ya uyumlu sistemler kurmak

Her ne kadar yine GDPR’da yer alan “Privacy by design & by default” konseptleri KVKK’da yer almasa da, özellikle faaliyetlerde yer alacak olan yeni süreçlerde/projelerde KVKK’de öngörülen veri işleme ve güvenlik gerekliliklerine uygun teknik sistemler, programlar, yazılımlar, tasarımlar, web siteleri satın alınmasını, lisans alınmasını ve kurulmasını sağlamak için gerekli adımları atmalılar.

• Tedarikçilerle entegrasyonun sağlanması:

Veri işleme faaliyetlerinde herhangi bir 3. kişi tedarikçiye veri aktarımı gerçekleşecek ise, veri sorumlusu ile söz konusu tedarikçi arasında veri aktarımına ilişkin bir sözleşme/protokol olduğu ilgili departman ile teyit edilmeli.

Tedarikçilerin özenle seçilmiş olması ve yerine getirecekleri hizmetleri Kanuna ve iyi uygulamalara uygun yerine getirmelerine yetecek teknik ve idari yapılanmaya sahip olduğundan emin olunmalı.

Halihazırda var olan sözleşmelerin de KVKK’ya uyumlu hale getirilip getirilmediği teyit edilmeli.

• Veri İhlali:  

Herhangi bir veri ihlali, kaybı veya çalınma durumunu fark ettikleri anda derhal ya da en kısa zamanda bunu belgelendirmeli ve KVKK ve veri güvenliği ile ilgili hususlarda yetkilendirilen kişilere iletmeliler. Tabi bu kişiler, mutlaka bir acil durum planını daha önceden hazırlamış olmalı ve zaman zaman tatbikatlar yaparak veri ihlali halinde eylem planını uygulayabilmek için hazırlıklı olmalıdırlar

• Veri işleme envanteri

Veri Siciline kayıt zorunluluğu olan veri sorumluları açısından, her bir yeni veri işleme sürecinin veri işleme envanterine kaydı ve sonrasında Kişisel Verileri Koruma Kurumu nezdinde tutulan Veri Sicili’ne (VERBIS) işlenmesi gerekir. Sicile kayıt zorunluluğu olmayanlar için dahi envanter tutulması gerekliliktir.

DİKKAT!

Her bir yeni planlanan kişisel veri işleme sürecinden/faaliyetinden önce, aşağıdakilerden herhangi birinin ver işleme faaliyeti için geçerli olup olmadığı kontrol edilmeli:

• Profilleme/davranış takibi yapılıyor mu?
• Veri sahibi ile ilgili sonuçlar çıkaracak otomatik karar verme mekanizmalarının (Automatic decision making) kullanılıp kullanılmayacağı
• Özel nitelikli hassas veri (sağlık verileri, din, ırk, sendika, dernek, vakıf, kılık kıyafet gibi) işleniyor mu?
• Yurt dışına veri transferi yapılacak mı? Yapılacaksa hangi ülkeye?
• Kişilerin temel hak ve özgürlüklerini ilgilendiren başkaca veri işleme faaliyetleri mevcut mu?

Veri sorumluları, organizasyonel yapıları içinde standart bir “belgelendirme evrakı” yaratarak, tüm birimlerin yeni bir veri işleme faaliyetine başlamadan önce (hatta ilgili süreci tasarlarken en başta) bu evrakın doldurulmasını prosedüre bağlayabilirler. Bu prosedür çerçevesinde ayrıca ilgili birimlerin bilgilendirilmesi ve yaratılan belgelerin sürecin sahibi olan yöneticilerin belirleyeceği ve üst yönetimi bilgilendireceği şekilde muhafaza edilmesi isabetli olacaktır.