KVKK Zorunluluğu Olan Şirketler ve Uyum Süreci
KVKK Zorunluluğu Olan Şirketler Hangileri?
Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de kişisel verilerin işlenmesini düzenleyen temel hukuki çerçevedir. KVKK'nın yürürlüğe girdiği 2018 yılından bu yana, birçok şirket KVKK uyumluluğu konusunda sorular sormaktadır. Peki, KVKK zorunluluğu tam olarak hangi şirketleri kapsar? Bu sorunun cevabı, çoğu işletme yöneticisinin beklediğinden daha geniştir.
KVKK'nın kapsamı, işletmenin büyüklüğüne, sektörüne veya kar amacı taşıyıp taşımadığına bakılmaksızın oldukça geniştir. Kanunun 3. maddesine göre, KVKK tüm tüzel ve gerçek kişilere uygulanır. Bu, milyar dolarlık uluslararası şirketlerden, küçük yerel işletmelere kadar herkesi kapsar.
KVKK Uygulanırken Hangi Şirketler Sorumludur?
KVKK'ya tabi olmayan hiçbir şirket yoktur, ancak bazı işletmeler diğerlerine göre daha yüksek sorumluluk taşır. Bu sorumluluk düzeyi, işlenen veri türüne ve veri işleme faaliyetinin kapsamına göre değişir.
Kamu Kurum ve Kuruluşları
Kamu kurum ve kuruluşları, KVKK'nın en önemli uyucu grubunun başında gelir. Emniyet müdürlükleri, belediyeler, vergi müfettişlikleri, sağlık kuruluşları ve eğitim kurumları gibi kuruluşlar, vatandaşların kişisel verilerini yasal olarak işlemektedir. KVKK m.28'e göre, kamu kurum ve kuruluşları, gözden geçirmeli (accountability) ve veri koruma etki değerlendirmesi yapmakla yükümlüdür.
Örneğin, bir belediye vatandaşların adres, telefon ve kimlik bilgilerini tutuyor ise, bu veriler KVKK çerçevesinde kesinlikle korunmalıdır. Kamu kurumunun veri işleme politikası, gizlilik bildirimi ve veri güvenliği önlemleri net olarak tanımlanmış olmalıdır.
Özel Sektör İşletmeleri
Özel sektördeki şirketler de KVKK kapsamında yer almaktadır. E-ticaret şirketleri, finans kuruluşları, sigorta şirketleri, telekomünikasyon şirketleri, pazarlama ajansları ve dijital platformlar, müşteri verilerine erişim sağladıkları için KVKK'ya uymalıdır.
Bir e-ticaret sitesi müşterilerin adı, soyadı, adresi, kredi kartı bilgisi ve hatta gezinti geçmişini tutabilir. KVKK m.5 ve m.6'ya göre, bu verilerin işlenmesi sınırlandırılmış, amaçlı ve güvenli olmalıdır. Veri işleyen her şirket, çalışanlarına eğitim vermelidir.
Başlıca Sektörlerde KVKK Uyumluluğu
- Finans Sektörü: Bankalar, sigorta şirketleri ve kredi kuruluşları müşteri verilerini KVKK çerçevesinde işlemeleri zorunludur.
- Sağlık Sektörü: Hastaneler, klinikleri ve eczacılar hasta bilgilerini özel veri olarak tanımlanmış veriler olarak korumalıdır.
- Telekomünikasyon: Telefonlardan mesajları ve operatörler abonelik bilgilerini hukuka uygun şekilde işlemeleri gerekir.
- E-Ticaret: İnternet mağazaları, sipariş verenlerin adres ve ödeme bilgilerini güvence altına almalıdır.
- İnsan Kaynakları: Her şirket çalışanları hakkında kişisel veri tutar ve KVKK'ya uymalıdır.
- Pazarlama ve Medya: Dijital reklamcılık şirketleri kullanıcı izleme verilerini işlerken kanuna uymalıdır.
KVKK Zorunluluğu Başında Yapılması Gerekenler
KVKK uyumluluğu, tek bir adımda başlayan bir süreç değildir. Bunun yerine, birkaç kritik adımdan oluşan kapsamlı bir program şeklindedir. Şirketler aşağıdaki adımları izlemelidir:
1. Veri Envanteri Yapma
İlk olarak, şirketinizin ne tür kişisel verileri topladığını ve işlediğini kayıt altına almanız gerekir. Müşteri verileri mi, çalışan verileri mi, yoksa her ikisi mi? Verilerin nereden toplandığı, ne amaçla kullanıldığı ve ne kadar süre saklanıldığı belirlenmelidir.
Örneğin, bir pazarlama şirketi müşterilerin:
- Ad ve soyadı
- E-posta adresi
- Telefon numarası
- Web sitesindeki davranış geçmişi
- Satın alma geçmişi
2. Yasal Dayanak Belirleme
KVKK m.5'e göre, her kişisel veri işleme faaliyetinin bir yasal dayanağı olmalıdır. Yasal dayanaklar şunlardır:
- Rıza: Kişinin açık onayı
- Sözleşme: Sözleşmenin yerine getirilmesi gerekirse
- Yasal Yükümlülük: Kanunla gerekli kılındıysa
- Hayati Çıkar: Kişinin temel haklarını koruma
- Kamu Görev: Devletin kamusal görevleri
- Meşru Menfaat: Veri işleyen tarafın veya üçüncü kişilerin haklı çıkarları
Bir e-ticaret sitesi müşteri verisi işlerken yasal dayanağı "Sözleşme" (ürün teslimi için) olabilir. Pazarlama mesajı göndermek için ise "Rıza" alınması gerekir.
3. Gizlilik Bildirimi Hazırlama
Şirket, kişisel veri topladığı her kişiye net ve anlaşılır bir gizlilik bildirimi sunmalıdır