Kişisel Verilerin Korunması Kanunu (KVKK) ve VERBİS, iş hayatımıza ve özel hayatımıza birçok yenilik getiriyor. Bu anlamda hasta ilişkilerinin yeniden değerlendirilmesi ve verilerin gizliliğine yönelik ek önlemler alınması gerekiyor.
GİRİŞ
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlusu sıfatıyla hareket eden gerçek ve tüzel kişiliklere çeşitli yükümlülükler getiren bir kanundur. Bu yazımızda sağlık sektöründe faaliyet gösteren veri sorumluları için ne gibi yükümlülüklerin öngörüldüğü, bü yükümlülüklerin ne zamana kadar ve nasıl yapılması gerektiği ve yapılmaması halinde hangi yaptırımlar ile karşılaşılabileceğini ele alacağız. Ancak tüm bunlara geçmeden önce, KVKK ile hayatımıza giren bazı temel kavramlara açıklık getirmemizin konunun daha rahat anlaşılabilmesi için sağlıklı olacağını düşünmekteyiz. Bu kapsamda öncelikle kişisel veriyi tanımlamak gerekir.
Kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Örneğin isim, telefon numarası, kimlik numarası, e-posta adresi, adres bilgileri birer kişisel veridir. Mevcut durumun şartlarına göre bir insana ait binlerce kişisel veri olabilir. Sağlık verisi, kişilerin özel nitelikli kişisel verisi olarak tanımlanmıştır.
Özel nitelikli kişisel veri nedir? Kişilerin sağlığına ilişkin bilgileri, siyasi düşüncesi, vakıf, dernek, sendika üyelik bilgisi, cinsel hayata ilişkin bilgileri, dini, felsefi inancı, biyometrik ve genetik bilgisi kişilerin özel nitelikli kişisel verisidir. Özel nitelikli kişisel veriler KVKK’da sınırlı bir biçimde sayılmıştır. Özel nitelikli kişisel verilerden de bu yazı içeriğinde kişisel veri olarak bahsedilecektir.
Veri işleme nedir? Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, aktarılması, açıklanması, devralınması, değiştirilmesi, yeniden düzenlenmesi, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Dolayısıyla örneğin sağlık kurumları ve muayenehanelerde randevu oluşturma, hasta kaydı oluşturma, protokol defterine kayıt yapma, hasta bilgilerini kaydetme KVKK açısından bir veri işlemedir.
Veri sorumlusu nedir? Kişisel verilerin işlenme amaçlarını belirleyen, kayıt sisteminin yönetilmesinden sorumlu olan kişileri ifade etmektedir. Diğer bir ifade ile sağlık sektörü açısından düşünürsek muayenehaneler, poliklinikler, tıp merkezleri, dal merkezleri, eczaneler, hastaneler, görüntüleme merkezleri, psikolojik danışmanlık merkezleri vb. sağlık kuruluşları KVKK kapsamında veri sorumlusudur. Ancak burada şunu belirtmek gerekir ki, veri sorumlusu olabilmek için tüzel kişiliğin bulunması şart değildir. Diğer bir ifade ile kişi tek başına faaliyet gösteriyor ve veri işliyor ise KVKK kapsamında veri sorumlusudur (Örneğin tek başına muayenehanesinde faaliyet gösteren ve veri işleme faaliyetinde bulunan bir hekim). Veri sorumlusunun çalışanları bir veri sorumlusu değildir.
İlgili kişi kimdir? İlgili kişi, kişisel verileri işlenen gerçek kişilerdir. Dolayısıyla muayene olmak için iletişime geçen veya muayene olan hastalar birer ilgili kişidir. İlgili kişinin gerçek kişi olması gerekir. Bir tüzel kişilik ilgili kişi olamaz.
KVKK ilgili kişilere birtakım haklar tanırken, veri sorumlularına da (muayenehanelerde bizzat hekimin kendisi, hastanelerde ise tüzel kişiliğin kendisi) birtakım yükümlülükler getirmektedir. Bu yükümlülükleri sağlıklı bir şekilde yerine getirebilmek için veri sorumlusunun bünyesinde bir sistematik içerisinde KVKK’ya uyum çalışması yapılması gerekir. Peki bu uyum çalışması neleri içermelidir?
UYUM ÇALIŞMASI ADIMLARI
1. KİŞİSEL VERİ ENVANTERİ HAZIRLAMA:
Uyum çalışmasının belki de en önemli adımıdır. Çünkü kişisel veri envanteri, veri sorumlularının gerçekleştireceği uyum çalışmasının altlığını oluşturmaktadır. Başka bir anlatımla, ileri aşamalarda gerçekleşecek tüm işlemler, kişisel veri envanteri dayanak oluşturularak gerçekleştirilecektir.
Bu kapsamda bir veri sorumlusunda kimlere ait hangi veri türünün bulunduğu, bu verilerin nasıl ve hangi kanun kapsamında elde edildiği, nereye aktarıldığı gibi süreçler ortaya çıkarılmalıdır. Envanter oluşturabilmek için çeşitli yazılımlar kullanılabileceği gibi, excel dosyasında bu işlemi gerçekleştirmek de mümkündür.
Tablo 1: Kişisel veri envanteri (Örnektir, kişisel veri envanterinin mevcut yapıya göre hazırlanması gerekir)
2. AYDINLATMA/BİLGİLENDİRME
Veri sorumluları; kişisel verisini işlediği kişilere karşı bilgilendirme yapmak durumundadır. Bu kapsamda veri sorumluları; kendisinin kimlik bilgileri (isim ve adres gibi), kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel verinin toplama yöntemi, kanunun hangi hükmü dahilinde toplandığı, ilgili kişinin sahip olduğu hakları konularında ilgili kişilere bilgilendirme yapmak durumundadır. Bu hususların ortaya çıkarılmasında kişisel veri envanterinden yararlanılır. Aydınlatılmış onama benzetilen bu yükümlülük, teknik detayları ile aydınlatılmış onamdan farklılaşmaktadır. Ayrıca aydınlatma yükümlülüğünün yerine getirilmesinde hasta tarafından bir onaylama durumu söz konusu değildir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
3. FARKINDALIK EĞİTİMLERİ
Veri sorumluları, kendileri ve çalışanları açısından KVKK ve Bilgi Güvenliği konularında düzenli aralıklarla farkındalık eğitimleri almak ve düzenlemek durumundadır. Sağlık verisinin işlenmesi süreçlerinde yer alan çalışanlara yönelik eğitim düzenlenmesi zorunludur.
4. GİZLİLİK SÖZLEŞMESİ İMZALAMA
Veri sorumlularının, kişisel veriyi aktardığı (veya erişim yetkisi sunduğu) kişiler ile (örneğin mali müşavir, yazılım kullanılıyor ise ilgili firma, çalışan gibi) gizlilik sözleşmesi imzalaması ve bu kişilerden kişisel verilerin KVKK’ya uygun işleneceğine dair taahhütname alması gerekir.
5. İŞLEYİŞE YÖNELİK ÇEŞİTLİ POLİTİKA VE PROSEDÜRLER HAZIRLAMA
Kişisel verinin nasıl ve ne şekilde işleneceği, saklama süre ve yöntemleri, veri ihlali halinde neler yapılacağı, ilgili kişi tarafından yapılacak başvurularda hangi yolun izleneceği gibi konularda çeşitli politika ve prosedürlerin hazırlanması ve hayata geçirilmesi gerekir. Çalışanlar açısından da iş sözleşmelerine veya disiplin sözleşmelerine, hasta bilgilerinin yasal yükümlülükler haricinde bir başka kişi ya da kuruma verilemeyeceği ve bilgilerin KVKK’ya uygun kullanılacağı ile ilgili hükümler eklenmesi gerekir.
6. VERİ İŞLEME ŞARTLARINA UYMA
KVKK, kişisel verilerin işlenmesini belirli şartlara bağlamıştır. Şöyle ki; KVKK’nın 5. maddesine göre; Kişisel veriler;
a) kanunlarda açıkça öngörülmesi,
b) fiili imkansızlık durumu,
c) sözleşmenin kurulması ya da yerine getirilmesiyle ilgili olması kaydıyla taraflara ait verilerin işlenmesinin gerekli olması,
ç) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) ilgili kişinin kendisi tarafından alenileştirilmiş olması,
e) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmadan işlenebilir. Bunun dışındaki durumlarda ilgili kişinin açık rızası alınmalıdır.
KVKK’nın 6. maddesine baktığımızda ise özel nitelikli kişisel verilerin işlenme şartlarını görmekteyiz. Bu kapsamda sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Uygulamada bazı veri sorumluları tarafından gerçekleştirilen reklam ve kampanya amaçlı SMS/E-posta gönderimi veya sosyal medya hesaplarından ilgili kişilere ait görsel paylaşımları, ilgili kişinin açık rızasına tabi bir durumdur. Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yapılan veri işleme, ilgili kişinin açık rızasına tabi değildir.
7. YURT DIŞI AKTARIMI
KVKK, kişisel verilerin yurt dışına aktarımını da düzenlemiştir. Bu kapsamda kişisel verilerin yurt dışına aktarılması için iki yöntem bulunmaktadır. Birinci yöntem; ilgili kişiden açık rıza alınmasıdır. İkinci yöntem ise; “6. Veri İşleme Şartlarına Uyma” başlığında belirtilen hususların mevcudiyeti halinde ve kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma bulunması, yeterli korumanın bulunmaması durumunda Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunmasıdır. Yeterli korumanın bulunduğu ülkelerin listesi henüz Kurul tarafından yayınlanmamıştır. Bu sebeple şu an için kişisel veriler ya ilgili kişiden açık rıza alınarak ya da Kurul’dan onay alınarak yurt dışına aktarılabilir.
Bu anlamda sunucuları yurt dışında bulunan uygulama ve yazılımların kullanım durumu veri sorumluları tarafından yeniden değerlendirilmelidir. Örneğin veri sorumlusunun hasta kayıt ve takibi için kullandığı yazılım yurt dışı aktarımı gerçekleştiriyorsa, veri sorumlusunun yukarıda belirtilen yöntemler hakkında çalışma yapması gerekmektedir.
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI GEREKEN YETERLİ ÖNLEMLER İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULUNUN 31/01/2018 TARİHLİ VE 2018/10 SAYILI KARARINA UYMA
Kişisel Verileri Koruma Kurulu, 31.01.2018 tarihinde vermiş olduğu kararla özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemleri belirtmiştir. Bu kapsamda;
• Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerekir.
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik düzenli eğitimler verilmesi, çalışanlar ile gizlilik sözleşmesi imzalanması, erişim yetkisi olan kullanıcıların yetki kapsam ve sürelerinin net olarak tanımlanması, yetki kontrolü ve gerekiyorsa yetki kaldırma işlemlerinin gerçekleştirilmesi gerekir.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği, ve/veya erişildiği ortamlar elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekir.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise; verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekir.
• Özel nitelikli kişisel veriler aktarılacak ise; verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
Kurul kararı incelendiğinde işin idari boyutunun yanında teknik altyapısal boyutunun da epey önemli olduğunu görmek mümkündür.
9. KİŞİSEL VERİ GÜVENLİĞİ ÖZET TABLOLARI
Kişisel verilerin güvenliğinin sağlanması hem idari hem de teknik anlamda bir gerekliliktir. Kurul tarafından yayınlanan rehberler doğrultusunda idari ve teknik tedbirleri aşağıdaki tablodan görebiliriz.
Tablo 2: Kişisel veri güvenliği tedbirleri
Veri güvenliğine yönelik alınacak tedbirlerin her bir veri sorumlusuna göre farklılık göstermektedir. Şöyle ki, veri sorumlusunun yapısı, faaliyetleri ile kendi risklerine uygun olarak bu önlemlerin alınması gerekir. Bu sebeple alınması gereken önlemlere yönelik olarak standart bir liste öngörülememektedir. Uygun önlemlerin belirlenmesinde veri sorumlusunun yaptığı iş, cirosu ve büyüklüğü de önemlidir.
10. VERBİSE KAYIT VE BİLDİRİM
Uzun adı Veri Sorumluları Sicil Bilgi Sistemi olan VERBİS, kişisel verileri işleyen veri sorumlularının kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
KVKK ve VERBİS farklı şeylerdir. VERBİS’e kayıtlı zorunlu kişiler kimdir?
Uygulamada KVKK ile VERBİS’in aynı olduğuna yönelik yanlış yönlendirmeler yer alıyor. Ancak VERBİS’e kayıt yükümlülüğü, KVKK’nın getirdiği yükümlülüklerden yalnızca bir tanesidir. Bu anlamda bir veri sorumlusu VERBİS’e kayıtlı olmakla yükümlü olsa da olmasa da KVKK’ya uyum sağlamak durumundadır.
• Yıllık çalışan sayısı 50’den fazla olan veya mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumlularının VERBİS’e kayıt ve bildirim için son tarih 30.09.2020 idi.
• Bu sınırları aşmayan; ancak ana faaliyet konusu özel nitelikli veri işlemek olan veri sorumlularının VERBİS’e kayıt ve bildirim için son tarih ise 31.03.2021’dir.
VERBİS’e kayıt ve bildirim yükümlülüğü yerine getirilirken hasta/çalışan bilgileri sisteme kesinlikle doğrudan girilmez. Ancak kategorik olarak bir giriş yapılması gerekir. Örneğin randevu oluşturulması amacıyla hastasının isim, soy isim ve telefon numarasını işleyen bir veri sorumlusu; bu sürecini VERBİS’e yansıtırken “Hizmet alan kişilerin kimlik ve iletişim bilgisi randevu oluşturulması amacıyla işlenir” şeklinde bir bildirim yapar. Ayrıca kimlik ve iletişim bilgisinin neler olduğunu sisteme girmez.
Ana faaliyet konusu özel nitelikli kişisel veri işlemek ne demektir? Ana faaliyetin özel nitelikli kişisel veri işleme olup olmadığının tespitinde, veri sorumlularının en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevleri dikkate alınır. Ayrıca NACE Rev.2 ekonomik faaliyet sınıflandırılması ile veri sorumlularının ticaret sicil kaydında veya vergi levhasında yer alan faaliyet kodlarından yararlanılır. Bu kapsamda sağlık verisinin özel nitelikli kişisel veri olduğu da göz önüne alınarak muayenehaneler, poliklinikler, tıp merkezleri, dal merkezleri, eczaneler, hastaneler, görüntüleme merkezleri, fizyoterapi merkezi, psikolojik danışmanlık merkezleri gibi oluşumların (gerçek veya tüzel kişi) ana faaliyet konusunun özel nitelikli kişisel veri işleme olduğu değerlendirilmektedir.
11. İLGİLİ KİŞİNİN BAŞVURMASI HALİNDE SÜRESİ İÇERİSİNDE İLGİLİ KİŞİYE YANIT VERME İlgili kişiler; KVKK kapsamında veri sorumlusuna başvuruda bulunarak kendileri ile ilgili olarak
a) kişisel veri işlenip işlenmediği öğrenme,
b) işlenmiş ise buna yönelik bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Yasal şartlar oluşmuş ise kişisel verilerin silinmesini veya yok edilmesini isteme,
f) d ve e bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri sorumlularının başvuruda yer alan talepleri en kısa sürede ve en geç otuz gün içinde sonuçlandırması gerekmektedir. Bu sonuçlandırma aşaması kural olarak ücretsiz bir şekilde yapılır; ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir.
Başvurunun kendisine gelmesiyle veri sorumlusu, ilgili kişinin talebini kabul edebilir veya gerekçesini açıklayarak reddedebilir. Talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.
12. YÜKÜMLÜLÜKLERE UYMAMANIN YAPTIRIMLARI NELERDİR?
KVKK hükümlerine uymama halinde iki tür yaptırım ile karşılaşmak mümkündür. Bunlar idari para cezaları ve hapis cezaları olarak ikiye ayrılmaktadır.
İdari para cezaları;
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 39.000 Türk lirasından 1.960.000 Türk lirasına kadar,
• Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.000 Türk lirasından 196.000 Türk lirasına kadar,
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.000 Türk lirasından 1.960.000 Türk lirasına kadar,
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.000 Türk lirasından
1.960.000 Türk lirasına kadar öngörülmüştür.
Hapis cezaları ise;
• Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu,
• Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu,
• Kişisel verileri yok etmeme suçu olarak Türk Ceza Kanunu’nun 135. ve devamındaki maddelerinde belirtilmiş olup; 1 yıldan 4,5 yıla kadar artabilmektedir.
İdari para cezalarına kim hükmedebilir? Tıpkı RTÜK gibi, BDDK gibi, kişisel verilerin korunması alanında da Kişisel Verileri Koruma Kurumu oluşturulmuştur. KVKK’nın uygulanmasında ve yaptırım süreçlerinde yetkili kurum, Kişisel Verileri Koruma Kurumu’dur.
13. ÖZET
Sağlık sektöründe faaliyet gösteren veri sorumlularının yükümlülüklerini özetleyecek olursak; öncelikle temeli oluşturmak adına bir kişisel veri envanteri hazırlanması gerekir. Sonrasında bu envanter baz alınarak, açık rıza gereken bir sürecin bulunup bulunmadığı tespit edilmeli, aydınlatma metinleri ve gerekiyor ise açık rıza metinleri oluşturulmalıdır.
Yalnızca hizmet alan kişiye yönelik değil, aynı zamanda çalışanların kişisel verilerine yönelik de bu işlemler yapılmalıdır. Sonrasında veri aktarımı yapılan/erişim yetkisi verilen kişiler ile gizlilik sözleşmesi imzalanmalıdır. Bir kişisel verinin veri sorumlusu bünyesine girdiği andan imha edilmesine kadar olan süreçlere yönelik çeşitli politika ve prosedürler hazırlanmalı ve uygulanmalıdır.
Tüm bu süreçlerin sürdürülebilir olması açısından çalışanlara düzenli olarak farkındalık eğitimi verilmesi gerekir.
İdari ve hukuki dokümanların hazırlanması kadar, teknik altyapıda da çalışmaların yapılması önemlidir. Bu kapsamda yukarıda tabloda belirtilen önlemlerin alınması yönünde çalışmalar yapılması gerekir.
Yukarıda değinilen Kurul kararı çerçevesinde verinin muhafaza, aktarma, kaydetme vb. süreçleri yönünden yeterli önlemlerin alınması gerekir.
Son olarak düzenli aralıklarla KVKK kültürünün veri sorumlusu bünyesinde uygulanıp uygulanmadığının denetlenmesi, eksiklik var ise eksikliğin giderilmesine yönelik çalışmaların yapılması gerekir. Aksi durumlarda KVKK’da belirtilen idari yaptırımlar ve Türk Ceza Kanunu’nda belirtilen cezai yaptırımlar ile karşılaşılabilir.
KVKK, yalnızca bir kerelik uyum sağladığımız ve bir daha dönüp bakmayacağımız bir düzenleme değildir. Sürekli olarak göz önünde tutmalı ve organik bir yapı gibi güncelliğini denetlemeliyiz.
Av. Umut Emre Yağlıdere
Yararlanılan Kaynaklar:
1-6698 Sayılı Kişisel Verilerin Korunması Kanunu
(https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5)
2-Kişisel Verileri Koruma Kurumu Rehber ve Kararları
(https://kvkk.gov.tr/Icerik/2030/Rehberler)