Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016 tarihinde yürürlüğe girmesi ile beraber, 6 yıllık uygulama geçmişinde, şirketlerin kişisel verilerin korunmasına ilişkin farkındalıklarının gün geçtikçe arttığını gözlemlemekteyiz. Bunda Kanun’un 2.7 Milyon TL’ye varan idari para cezaları öngörmesi kadar itibar kaybı endişesi de etkili olmaktadır. Bu anlamıyla şirketlerin kişisel verilerin korunmasına ilişkin mevzuata uyumlu hale gelmesi şirketin itibarı bakımından da önem kazanmaktadır.
Ancak Kanun’un ülkemizdeki bu uygulamasına baktığımızda, küçük ve orta ölçekli şirketlerin KVK uyum çalışmalarında şirketlerin mevcut İnsan Kaynakları ya da Bilgi İşlem departmanlarında çalışanlarından bir veya bir kaçını görevlendirerek Kanun’a uyum sağlamaya çalıştıklarını görmekteyiz. Kişisel verilerin korunması alanının şirketlerin uyum politikalarının bir parçası olduğunu dikkate aldığımızda, bu alandaki çalışmaların Şirketin yönetici kadrosundan tüm personel kadrosuna kadar sindirilmesi ve içselleştirilmesi gerektiği tartışmasızdır.
Dolayısıyla Şirketlerin ayrıca bir Uyum Departmanı ya da Uyum Yöneticisi yoksa Şirket içerisinde kişisel verilerin korunması konusunda regülasyonlara uyumun sağlanabilmesi amacıyla bir komite kurulması önemlidir. Bu Komite içerisinde Şirketin Genel Müdür Yardımcısı, Bilgi Teknolojileri Sorumlusu, İnsan Kaynakları Sorumlusu, Proje Yönetimi Sorumlusu gibi şirketin çeşitli departmanlarından veya Yönetim Kurulu’nun belirleyeceği şirketin faaliyet alanına özgü benzer departmanlardaki personelin bir arada çalışması, komitenin görevlerini yerine getirebilmesi bakımından gerekli olarak görülmektedir.
Kişisel Verileri Koruma Komitesi’nin amacı nedir?
Komite, kişisel verilerin saklanması, toplanması ve kullanılmasında en yüksek etik standartların korunması için gerekli olan uygun yönetişim ve gözetim politikalarını oluşturmak ve denetlemek amacıyla oluşturulmalıdır. Bu kapsamda Kanun ve mevzuat düzenlemeleri kapsamında yükümlülüklerin yerine getirilmesi, Şirketin Kişisel Verilerin Korunması ve İmha Politikalarının hazırlanması ve bu politikalara tüm şirketin uyum sağlanması, mevzuatı kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevli olmalıdır.
Kişisel Verileri Koruma Komitesi’nin görevleri nelerdir?
Kişisel Verileri Koruma Komitesi’nin görevleri her Şirketin faaliyet konusuna göre veya Şirketin hangi kişisel verileri hangi amaçlarla işlendiği, aktardığı veya başkaca bir işleme faaliyetine konu ettiğine göre veya Şirkette hangi teknik ve idari tedbirlerin alınabildiğine veyahut kişisel verilerin korunması konusunda bütçe ve insan kaynağı oluşturulup oluşturulamadığına göre değişiklik gösterebilecektir. Ancak genel anlamıyla yukarıda belirttiğimiz amacı gerçekleştirebilmek için kurulan Kişisel Verilerin Korunması Komitesi’nin görevleri aşağıda örnek olarak belirtilmiş olup, bu görevlerin ve Komite’nin çalışma prensiplerinin belirlenmesi bakımından ayrıca Kişisel Verileri Koruma Komitesi Yönergesi hazırlanmasını da önermekteyiz.
- Kişisel Verilerin Korunması mevzuatının takip edilmesi, bu gelişmelere ve düzenlemelere uygun olarak Şirket operasyonlarında yapılması, değişen yasalar nedeniyle doğan risklerinin yönetilmesi konusunda üst yönetime bilgi verilmesi veya konuya ilişkin uzman görüşü alınması için gerekli işlemlerin gerçekleştirilmesi
- Şirketin kişisel verilerinin korunması, işlenmesi ve imhası ile ilgili temel politikaların hazırlanması
- Kişisel verilerinin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetimi için Şirket içi görevlendirmeler yapılması ve koordinasyonun sağlanması
- Kişisel veri işleme envanterinin güncel tutulmasının ve veri sorumluları siciline gerekli bildirimlerin gerçekleştirilmesinin sağlanması
- Kişisel verilerin korunması ve işlenmesi konusunda Şirket içinde ve işbirliği içerisinde olunan kurumlar nezdinde farkındalığın arttırılması
- Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek risklerin tespit edilerek gerekli önlemlerin alınmasının sağlanması, iyileştirme önerilerinin sunulması
- Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimlerin verilmesinin sağlanması
- Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu olmak üzere kişisel verilerin korunmasına yönelik kamu kurumları ve özel kuruluşlarla gerekli iletişimin sürdürülmesi ve takip edilmesi
- Kişisel veri sahiplerinin başvurularının yönetilmesi, bunlara süresi içinde cevap verilmesi, karara bağlanması konusunda işlemlerin gerçekleştirilmesi
- Şirket’in kişisel verilerin korunması mevzuatına uyumunu ispata yönelik gerekli kayıtların tutulmasının sağlanması
- Veri güvenliği bakımından re’sen tespit edilen veya bildirilen vakaların incelenmesi, kişisel veri sahipleri ve Şirket nezdinde doğabilecek riskleri asgariye indirgemeye yönelik gerekli önlemlerin tespit edilmesi ve uygulanması veya uygulattırılması,
- Kişisel veri ihlali tespit edildiğinde 72 saat içerisinde KVK Kurulu’na gerekli bildirimlerin yapılmasının sağlanması
- Üst Yönetime, Kanun’a uyum konusunda ve komitenin faaliyetleri hakkında düzenli raporlama yapılması