7 Nisan 2016 yılında yasalaşan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde oluşturulması gereken Veri Kurulu’nun son iki üyesinin de atamasının tamamlanmasıyla birlikte şirketler için yumurtanın kapıya dayandığını söyleyebiliriz. Her ne kadar ana mevzuat dışında ikincil mevzuatın henüz yazılmamış olması elleri rahatlatıyor gibi gözükse de ülkemizde kişisel veri koruma kültürünün istenilen düzeyde olmaması nedeniyle aslında zaman giderek daralıyor. Elimizdeki zamanın kıymetini bilmek açısından ve fotoğraftaki beyefendiler kadar rahat bir şekilde işinizi yapabilmeniz için acil olarak atılması gereken adımları 7 adımda sizler için derledik.

1. Sahip olduğunuz/olacağınız verinin niteliğini belirleyin

Hangi seviyede veri işlediğinizi anlayın. Verilerinizin hassas veri ve/veya özel düzenlemeye tabi veri (Finans, Sağlık veya Telekom) olup olmadığını araştırın. Şayet bu sayılan türde verileri işliyorsanız o zaman çok daha sıkı kurallara tabi olacağınızı ve daha acil eylem planlarına ihtiyacınız olduğunu unutmayın.

2. Şirket Kültürünü Oluşturun

Şirket politikalarını ve şirket içi süreçleri olası bir veri ihlalini tespit edebilecek ve hızlıca bertaraf edebilecek şekilde ihtiyaçlarınıza göre oluşturun; hali hazırda varsa güncelleyin. Yetki, rol ve sorumlulukları belirleyin; bunların hayata geçirilmesi için gerekli Yönetim Kurulu kararlarını bir an önce alın. Gerekirse şirket içerisinde veri sorumluları kurulu oluşturun ve bunu ana sözleşmede tadil ederek yasal zemine oturtun. Bununla birlikte şirket çalışanlarınızın işin ciddiyetine varması için eğitimleri sıklaştırın, varsa siber güvenlik uzmanı veya yasal danışmanınızdan bu süreçti sürekli bilgilendirmeler yapmalarını talep edin.

3. Teknik Altyapıyı Kurun

Verilerinizi korumak, takip etmek, aktarılmasını engellemek vs. gibi tüm önlemlerin bir siber güvenlik uzmanı tarafından sistematik hali getirilmesini sağlayın. Süreçlerin öncesi ve sonrasında testler yapın, acil önlem planları oluşturun. Yaşanabilecek problemlere karşı senaryolar üretin. Verilerin daha güvenli şekilde şirket içerisinde paylaşılabilmesi için otomasyon ve/veya dokümantasyon sistemlerini tercih edin. Unutmayın bu tedbirleri almak olası bir tazminat talebinde çok işinize yarayacaktır.

4. Hukuki Metinlerinizi Düzenleyin

Hukuki uyarılar, iş sözleşmeleri, gizlilik taahhütnameleri ve diğerleri. Hepsi açık, detaylı, amaca uygun ve meşru metinler içermelidir. Bunları güncellemeden süreci tamamlayabileceğinizi aklınızın ucundan bile geçirmeyin. Uygulama yerleşene kadar bu evrakları daha onlarca kez değiştirmeniz gerektiğini de unutmayın.

5. Çözüm Ortaklarınızın sorun olmasını engelleyin

İş ortaklarınızla yapmış olduğunuz sözleşmeleri baştan aşağı kontrol edin. Rücu haklarınızı kanuna göre yeniden düzenleyin. Sizin adınıza veri işlediklerini unutmayıp, onların da belgelerinin uyumluluk süreçlerine müdahale edin, gereken düzenlemeleri yapmalarını sağlayın.

6. Önceden işlediğiniz verileri gözden geçirin

Yasa yürürlüğe girmeden yani önce 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verileri de Kişisel Verilerin Korunması Kanunu'na uygun hale getirmeniz gerekiyor. Bunun için son tarih 7 Nisan 2018.

7. Hangi ülkede iş yaptığınıza dikkat edin

Yurtdışında iş ilişkisi içerisinde bulunduğunuz iş ortağınızın ülkesinin kişisel veriler kanunlarını iyice inceleyin. Nitekim veri kurulu da güvenli ülkeler listesi oluşturacağından bu konuda iş yaptığınız ülkenin durumu konusunda bilgi sahibi olup hazırlıklı olmanızda fayda var. Örneğin AB sınırları içerisinde bir mal veya hizmet satışı yapıyorsanız süreçlerinizi AB mevzuatına göre veya başka bir deyişle o seviyede düzenlemekte fayda olacaktır. Nitekim AB mevzuatının halen dünyanın en ileri Kişisel Veri Koruma Mevzuatına sahip olduğu kabul edilmektedir.

Bu çetrefilli süreçten yalnızca 7 adım atarak kaçıp kurtulabilmeniz ne yazık ki mümkün olmayacak. Ancak bu sürece profesyonel bir şekilde ve en kısa sürede eğilmeniz ise işinizi oldukça kolaylaştıracaktır.