Şirketlerin Uyum Süreci Faaliyetleri

​Hemen hemen tüm şirketler iş süreçleri sırasında, çok fazla kişisel veri işlemek zorundadır. Bu nedenle de her şirket “veri sorumlusu” olarak Kanun’da belirtilen genel ilkelere, veri işleme şartlarına ve mevzuattan kaynaklanan diğer yükümlülüklere uymak zorundadırlar. Başka bir anlatımla, şirketlerin herhangi bir veri işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunmamaları gerekmektedir. Şirketlerin yürütecekleri uyum süreci ile Kanun’un yürürlüğe girmesinden önce işlenen kişisel veriler de dâhil olmak üzere, işlenen bütün kişisel verilerin hem hukuki hem de teknik açıdan tüm mevzuata uyumlu hale getirilmesi bir zorunluluktur.

Bu nedenle aşağıda belirtilen hususlar, şirketlerin yükümlülükleri kapsamında, bir uyum sürecinin zorunlu unsurları olarak karşımıza çıkmaktadır.

1. Üst Yönetim Desteği
Uyum sürecinin başarılı olabilmesi için, şirketin üst yönetiminin desteği, başarının olmazsa olmaz ilk koşuludur. Uyum sürecine başlamadan önce, üst yönetici tarafından, üst düzey yetkiler verilme suretiyle görevlendirilmiş bir kurul/komite oluşturmak ve süreci bu kurul ile yürütmek hızlı hareket edilmesini sağlayacaktır.

2. Kişisel Veri Envanteri Hazırlanması
Uyum sürecinde, veri sorumluları tarafından ilk yapılması gereken, kişisel veri envanterinin hazırlanmasıdır. Kişisel veri envanterinin hazırlanmasının iki temel amacı bulunmaktadır. Bunlardan birincisi, envanter hazırlamanın yasal olarak zorunlu olması, ikincisi ise uyum sürecinin sağlıklı olarak yürütülebilmesi için mevcut durumun eksiksiz görülebilmesini sağlamasıdır.
Kişisel veri envanteri, kişisel veri kategorisi baz alınarak değil, şirketlerde yürütülen iş süreçleri baz alınarak hazırlanmalıdır. Şirketlerin, her bir süreci ve bu süreçlerin altındaki faaliyet ve alt faaliyetler tek tek ele alınmalıdır. Bu faaliyetlerde hangi kişisel verilerin işlenmekte olduğu tespit edilmelidir.

3. Veri Sorumluları Sicil Bilgi Sistemine Kayıt
Çalışan sayısı 50’den fazla veya yıllık bilanço büyüklüğü 25 Milyon TL’den fazla olan veya ana faaliyet alanı özel nitelikli kişisel verilerin işlenmesi olan veri sorumluları, Kişisel Verileri Koruma Kurumu nezdinde oluşturulmuş bulunan bu sicile kaydolmak zorundadır. Sicil başvurularında, sicile açıklanacak bilgiler daha önce hazırlayacakları kişisel veri işleme envanterine dayalı olarak hazırlanmalıdır. Sicil sistemi, kayıt esnasında kullanıcıları yönlendirebilen bir sistem olarak kurgulandığından, kişisel veri işleme envanteri hazırlanmasını müteakip, envantere uygun olarak sicile kayıt işlemi kolaylıkla yapılabilecektir.

4. Aydınlatma Yükümlülüğünün Yerine Getirilmesi
6698 sayılı Kanuna göre “kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi” bir başka deyişle aydınlatılması gerekmektedir. Bu aydınlatma kişisel verilerin işlenmeye başlanmasından önce mutlaka yerine getirilmelidir.
Aydınlatma metinleri, her hukuki ilişki ve her farklı kişisel veri işleme amacı için ayrı olacak ve yukarıda belirtilen asgari hususları içerecek şekilde hazırlanmalıdır. Hukuki ve teknik terimlerin kullanılmasından, kişisel verilerin işlenmesi ve korunmasına ilişkin olmayan gereksiz açıklamalardan kaçınılmalıdır. Uygulamada çok sık karşılaşıldığı gibi tek bir aydınlatma metninin, şirketin tüm veri işleme faaliyetlerinde kullanılması mümkün değildir. Aydınlatma yükümlülüğü, şekil şartına tabi değildir. Kişisel veri işleme faaliyetinin açık rıza şartına bağlı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

5. Açık Rıza Alınması Gereken Alanların Tespit Edilmesi
Envanterin hazırlanmasıyla mevcut durumunun ortaya tam olarak çıkmasından sonra şirketin hangi faaliyetlerinde ilgili kişinin açık rızasına ihtiyaç duyduğu ortaya çıkacaktır. Kanun’un 5’inci ve 6’ncı maddelerinde sayılan diğer kişisel veri işleme şartlarının bulunması halinde açık rıza alınması yoluna gidilmemesi gerekmektedir. Açık rızanın geri alınması halinde, ilgili kişi artık kişisel verisinin işlenmeyeceği beklentisi içindedir. Ancak, diğer kişisel veri işleme şartlarına dayanarak, kişisel verinin işlenmeye devam edilmesi halinde, bu durum ilgili kişiyi aldatma sonucunu doğuracaktır. Bu nedenle, uyum süreci yürüten şirketlerin, hangi kişisel veriler için açık rıza alınması gerektiğini çok iyi tespit etmesi gerekmektedir. İş süreçlerinin yürütülmesi açısından açık rıza yolu ile kişisel veri işlenmesi durumu, son çare olarak düşünülmesi gereken bir veri işleme şartı olarak değerlendirilmelidir.

6. Sözleşmelerin Gözden Geçirilmesi
Şirketler, iş süreçlerinde, çok sayıda farklı sözleşme türünün tarafı olmaktadır. Çalışanlar, tedarikçiler, bayiler, müşteriler, iş ortakları gibi taraflarla yapılan sözleşmelerin ifası sırasında, taraflar birbirine ait çok fazla kişisel veriye temas etmekte, kısaca işlemektedirler. Kişisel verilerin korunması uyum sürecinde, sözleşmelere taraflara ait kişisel verilerin güvenliğini sağlayacak şekilde yeni hükümler konulmalı ya da ayrıca gizlilik taahhütleri imzalanmalıdırlar. Ayrıca bu hükümlerin ihlal edilmesi halinde sözleşmelere cezai şart eklenmesi de yararlı olacaktır.

7. İşe Girişlerde Doldurulan Bilgi Formaları ile Alınan Kişisel Veriler
İşveren, işe alımdan önce iş sözleşmesi yapacağı işçinin özelliklerini bilmek ve işçi hakkında edindiği fikir doğrultusunda, işçiyi işe alıp almamaya karar vermek durumundadır. “İşveren, yönetim hakkı kapsamında, iş sözleşmesi yapılmadan önce işçiye sorular sorarak iş için istediği niteliklerde olup olmadığını görmek ister. İşverenin, çalışanı işe almadan önce soracağı sorular, çalışanın mesleki bilgisini ölçmek, mesleki geçmişini ve meslek yaşantısını öğrenme amacına yönelik olmalıdır. İş sözleşmesi imzalanmasına karar verilen personele doldurtulan formlar, kişisel veri işleme şartları kapsamı dışında kalan ya da iş süreçlerinde ihtiyaç duyulmayan kişisel verilerden arındırılmalıdır.

8. Güvenlik Kameraları ile Kişisel Verilerin İşlenmesi
İşyerinin, çalışanlarının veya ziyaretçilerin fiziki güvenliklerinin sağlanması amacıyla kullanılan güvenlik kameraları vasıtasıyla alınan görüntüler de veri ilgilisinin kişisel verisidir. Bu nedenle bu kişisel verilerin işlenmesi de diğer kişisel verilerin işlenmesi gibi Kanun’da yazılı kişisel veri işleme şartlarına tabidir. Güvenlik kamerası vasıtasıyla çalışanlara veya ziyaretçilere ait kişisel verilerin işlenmesindeki amaç, işyerinin, çalışanın ve ziyaretçinin güvenliğinin sağlanması amacına yönelik meşru menfaat kapsamında değerlendirilmektedir. Kanun’daki veri işleme şartlarına dayanılamadığı durumlarda ise kamera görüntüsü alınmak suretiyle kişisel verisinin işlenmesinden önce ilgili kişilerinden açık rıza alınmalıdır. Ancak ister açık rıza alınsın isterse diğer veri işleme şartlarına dayanılsın mutlaka aydınlatma beyanında bulunulmalıdır.

9. Biyometrik Kişisel Verilerin İşlenmesi
Veri sorumlusu olan şirketler, iş süreçlerinde kendilerine birtakım kolaylıklar sağlamak ya da gizlilik gibi kaygılarla kişileri tam doğru olarak tanımlayabilmek için yüz tanıma, retina tarama, avuç içi okuma gibi bir takım biyometrik kişisel verileri işleme yöntemleri kullanabilmektedir. Ancak biyometrik kişisel veri işleyebilmesi için, bu kişisel verinin işlenmesi ile şirketin korunan hukuki menfaatinin yarışabilir seviyede olması gerekmektedir. Yani daha az ve özel nitelikli olmayan bir kişisel veri işleyerek aynı amaca ulaşabiliyorsak biyometrik kişisel veri işlemekten kaçınmak gerekecektir.