Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'deki tüm veri işleyen kuruluşlar için artık kaçınılmaz bir uyum süreci gerektirmektedir. Kurul'un son dönemde kestiği milyonluk cezalar, veri güvenliği konusundaki denetimlerin arttığını ve 'sehven yapıldı' gibi savunmaların artık kabul görmediğini kanıtlamaktadır.
VERBİS Kaydı ve Veri Envanteri Hazırlama Zorunluluğu
Belli bir ciro ve çalışan sayısı eşiğini aşan veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt olması hukuki bir zorunluluktur. Ancak VERBİS kaydı sadece teknik bir giriş işlemi değildir. Şirketin hangi veriyi neden, hangi hukuki sebeple ve ne kadar süreyle sakladığını gösteren detaylı bir 'Kişisel Veri İşleme Envanteri'nin hazırlanması gerekir. Envantersiz bir VERBİS kaydı, denetimler sırasında gerçeğe aykırı beyan olarak kabul edilmekte ve ağır yaptırımlara yol açmaktadır.
Aydınlatma Yükümlülüğü ve Açık Rıza Kavramı
Veri işleme sürecinin en başında, ilgili kişilerin (müşteriler, çalışanlar vb.) mutlaka 'aydınlatılması' gerekir. Aydınlatma metinleri karmaşık ve anlaşılmaz olmamalı, verinin işlenme amacını açıkça belirtmelidir. Ayrıca, kanunda sayılan istisnalar dışında kalan veriler için mutlaka hür iradeye dayalı 'Açık Rıza' temin edilmelidir. Açık rızanın bir hizmet şartına (örneğin indirim kuponu karşılığı rıza gibi) bağlanması, Kurulu tarafından hukuka aykırı bulunmaktadır.
Siber Güvenlik İhlalleri ve 72 Saat Kuralı
Herhangi bir veri sızıntısı veya siber saldırı durumunda veri sorumlusunun en geç 72 saat içerisinde durumu KVKK Kurulu'na ve etkilenen kişilere bildirmesi şarttır. Bu bildirimin geç yapılması, tek başına bir ihlal sebebi sayılarak cezai işleme tabi tutulmaktadır. Şirketlerin sızma testleri yapması, şifreleme yöntemleri kullanması ve çalışanlarına veri güvenliği eğitimi vermesi, Kurul nezdinde iyi niyet göstergesi olarak kabul edilmekte ve olası bir ihlal durumunda ceza indirimine zemin hazırlamaktadır.
