KVKK dönüşümüne kurumlar hazırlanırken nelere dikkat etmeli?
Bugüne kadar Kişisel Verileri Koruma Kanunu (KVKK) kapsamında yaklaşık 9 milyon TL’lik idari para cezası kesildi. Şirketlerin KVKK kapsamında tüm alanlarda dönüşüm gerçekleştirmeleri gerekiyor. Aksi takdirde ceza riski yüksek.
İş hayatının ve günlük hayatın büyük bir kısmının artık dijital ortamlara taşınmış olması, veri toplama ve işleme kapasitesinin artışı ile kişisel verilerin korunması zorunluğunu ortaya çıkardı.
Bunun için Türkiye’de 2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK), geçen zaman içinde özellikle şirketler tarafından tam olarak uygulanamadı.
Şirketler için kritik önemde değişiklikler içeren KVKK, veri sorumlusu, veri işleyen, kişisel verilerin açık rıza ile işlenmemesi gibi pek çok kavram ve yükümlülüğü beraberinde getirdi. Şirketlerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VER-BİS) de kayıt yapmaları gerekiyor.
CEZA YAPTIRIMI VAR
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15 bin TL’den 1 milyon TL’ye kadar idari ceza uygulanabiliyor. 2020’de ise üst tutar 1,5 milyon TL’ye çıkacak.
KURUMLAR HAZIRLIK YAPARKEN NELERE DİKKAT ETMELİ?
Kurumlara danışmanlık hizmeti veren PEAKUP, şirketlere KVKK’ya uygun çalışmak için dokuz maddelik liste hazırladı.
1- İş başvurusu yapan adayın kişisel bilgilerinin yer aldığı CV’lerin ne kadar süreyle şirket veri tabanında tutulacağı ve kimlerin paylaşımda olacağı, ne zaman imha edileceği veya anonimleştirileceği ayrıntılı olarak aday ile paylaşılmalı.
2- CV’lerin saklanma koşullarının herhangi bir ofis kazası veya siber saldırıya karşı korunaklı olması gerekiyor.
3- Referans bilgisi bulunan CV’lerde adayın da referans aldığı kişiden rıza almasının şart olduğu anımsatılmalı.
4- Özel nitelikli kişisel verilere giren sağlık bilgileri veya sabıka kaydının muhafaza koşullarının KVKK süreçlerine uygun olması gerekiyor.
5- Çalışan sözleşmelerine haklarını bildiren KVKK maddesi eklenmeli.
6- Çalışanların fotoğraflarını paylaşmadan önce onay alınmalı.
7- Güvenlik kameralarının açıları, çalışanın özel hayatına müdahale etmeyecek şekilde konumlandırılmalı.
8- Güvenlik çözümlerinde parmak izi veya retina taramasını tercih etmemeye özen gösterilmeli.
9- Bilgi işlem departmanlarında iç ve dış siber saldırılara uğramamak için risk analizi yaptırılmalı.