6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girdi.Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Firmaların Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kanunun en önemli noktası kişisel verilerin işlenmesi için ilgili açık rızanın alınması ve bu onayın kayıt altına alınmasıdır. Diğer bir önemli nokta ise kişisel verilerin işlemek için işletme tarafından yetkilinin atanması ve tüm işlemlerin ilgili yetkilinin sorumluluğunda olmasıdır. Başka bir deyişle herhangi bir kişisel veri ilgili yetkilinin yazılı onayı olmadan herhangi bir başka kişiye ya da kuruluşa aktarılamaz. İlgili yetkili, kanun hükümleri çerçevesinde verileri saklamaktan ve verilerin barındırıldığı sistemlerin güvenliğinden ‘tam’ olarak sorumludur.
Uyum Süreci
KVK Kanunu Uyum Sürecinin 3 temel tarafı bulunuyor:
Hukuk
Mevzuatların, Sözleşmelerin, Politikaların belirlenmesi
Süreç
İşlenecek verilerin tespiti ve iş süreçlerinin, prosedürlerin belirlenmesi
Teknoloji
Veri tabanı kayıt kurallarının denetlenmesi, kayıtların saklanması, ilgili çözümlerin tedarik edilmesi
Uyum sürecindeki belki de en önemli konu yapısal ve yapısal olmayan veri envanterlerinin tespiti ve işlenmesidir. Yapısal veri belirli bir formatta saklanabilen veri türüdür. Örnek olarak İK özlük dosyalarında yer alan isimler, doğum tarihleri, TC kimlik numaraları gibi veriler gösterilebilir. Yapısal olmayan yani belli düzende olmayan veriler ise özgeçmişler, Word, Excel gibi elektronik dokümanlar, mesajlaşma uygulamaları, taranmış dokümanlar, her türlü ses ve video kayıtları olarak gösterilebilir.
Bu bağlamda ilgili verilerin çok gizli, gizli veya halka açık gibi sınıflandırılması önemlidir. Sınıflandırılan verilen şirket içerisinde dolaşımı ya da şirket dışına çıkartılması belli kuralları içermelidir.