Kişisel Verilerin Korunması Politikası, 6698 sayılı yasa gereği kişisel veri işleyen tüzel kişi ve gerçek kişilerin hazırlaması gereken dökümanlardan biridir. Bu doküman başta 108+ sözleşme, GDPR ve 6698 sayılı yasaya uygun olarak hazırlanmalı ve kişisel verisi işlenen gerçek kişi ve tüzel kişilere uygun yöntemlerle duyurulmalıdır. Politika sürdürülebilir bir politika olarak yazılmalı ve sürekli değişikliğe uğramaması için veri sorumlusunun uzun yıllar geçerli olacak bir politika üretmesi gerekmektedir. Kişisel Verilerin Korunması Politikası veri sorumlusunun kimliklerinden biridir ve bu konuda standartlarını ortaya koyan, kişisel verilerin korunması konusuna yaklaşımını belirleyen bir manifestodur.
Kişisel Verilerin Korunması Kanunu (6698) kişisel verilerin politikasının hazırlanmasında dikkat edilecek olan hususlara doğrudan değinmese de politikada hangi hususlara yer verilmesi gerektiği şöyle sıralanabilir:
- Kişisel veri ve politikada yer verilecek kavramlara dair tanımlar,
- Veri Sorumlusu ve Veri İşleyen Kimlik ve Tanımlamalar
- Kişisel Verilerin Niteliğine İlişkin İlkeler,
- Kişisel Verilerin İşlenme Koşulları
- Kişisel Verilerin Neden İşlendiği,
- İşlenen Kişisel Verilerin Saklanma ve İmha Politikaları
- Kişisel Verilerin Aktarılmasına ilişkin ilkeler
- Veri Güvenliği (Alınan teknik ve idari tedbirler)
- İlgili Kişinin Katılımı ve Denetimi
- “Veri Minimizasyonu” için alınan tedbirler
- Veri Sorumlusuna Başvuru Koşulları
- Veri sorumlusunun bildirme yükümlülüğü,
- Yaptırım
İyi bir politika her zaman veri sorumlusu olan gerçek veya tüzel kişiyi KVKK’nun uygulayacağı yaptırımlardan koruyacaktır ancak tabii ki tek başına yeterli bir unsur değildir. Politikayi, Aydınlatma metni, Kişisel Verilerin Saklanma ve İmha Politikası, Gizlilik Sözleşmeleri ile desteklemek gerekecektir.
Uygulamada kanuni düzenlemenin aksine politikayı hazırlamak ile tüm yükümlülüklerini yerine getirdiğini düşünen veri sorumluları için 31.12. 2019 tarihinden sonra KVKK yaklaşımı aynı düşüncede olmayacak gibi görünüyor. Daha çok da GDPR’den (Genel Data Regülasyonu) kaynaklanan sorumluluklarımız daha erken başladığı ve GDPR’nin de bizler için uygulanması gereken zorunlu metinlerden olması dolayısı ile politikanın kapsamının önemli olduğu ancak tek başına yükümlülüklerimiz açısından yeterli olmadığı ortadadır.
Kişisel Verilerin Korunması Politikasında yer alan hususların daha önce de ifade ettiğimiz gibi veri sorumlusunun manifestosu olduğu düşünüldüğünde öncelikle kimliğimizi çok iyi yansıtması gerekiyor. Kişisel veriler gibi oldukça hassas bir meselede bir veri sorumlusunun şirketinin çevre politikası konusundaki manifestosu kadar önemli olan bu yaklaşım bizi gelecekte bu alanda iyi bir endüstri oluşturmaya da götürebilir.
Dolayısı ile kişisel verilerin korunması politikamızda topladığımız veri kategorilerini bir gün nasıl olsa gerekli olur diye çok fazla yazmak, toplamadığımız kişisel verilerin de politikada yer alması, veri minimizasyonu ilkesini doğru yorumlayamamak bizi kötü bir politikaya götürür.
Bu anlamda şeffaf, veri ekonomisini amaçlayan, sektörde amaçladığımızla doğru orantılı ve sadece bizi amacımıza taşıyacak kadar verinin toplandığı hususunun yer aldığı bir alanda kalmak her zaman iyi bir tercihtir. Kişisel verilerin korunması konusunda gerek 108+ sayılı sözleşmenin gerek GDPR’nin ve KVKK’nun öngördüğü amaç ve bizi götürdüğü yol da verinin mümkün olduğu kadar az işlenmesi, amaçlarımıza ilgili kişinin temel hak ve hürriyetlerine zarar vermeden ulaşmamızdır.
Politikada ve onu destekleyen diğer metinlerde yer alan düzenlemelerin hepsi veri sorumlusunun uygulama alanında da var olmalıdır. Veri Koruma Ofisleri tarafından yapılan incelemelerde politika ile uygulama karşılaştırıldığında örtüşmeli ve politika dışına çıkılan her uygulama veri sorumlusu tarafından denetlenmeli ve raporlanmalıdır. Veri Koruma Ofisleri raporlamalar konusunda da inceleme yapacak ve denetlemelerin zamanında ve periyodik aralıklarla yapılmadığının tespitinde gerekli yaptırım uygulanacaktır. Bu yaptırım uyarı şeklinde de olacağı gibi idari para cezası ile de karşılık bulabilir.
Politikada şu üç unsur önemle vurgulanmalıdır:
- Verilerin toplanma amacının belirliliği ve açıklığı ilkesi,
- Toplama faaliyetinin meşruluğu,
- İşlenme amacı ile toplanma amacı arasında uyum olması.
Politikanın dili sadece ve anlaşılır olmalı ve kullanılan tüm teknik dilin tanımlamaları yapılmalıdır. Belirsiz, karmaşık, ucu açık ifadelerden kaçınılmalıdır. Sadece değineceğimiz silme ve imha yöntemleri konusunda KVKK net bir düzenleme yapmadığı ve bu hususu veri sorumlusunun tercihine bıraktığı için, seçeceğimiz imha yöntemi verinin türüne göre farklılık gösterebilir. Özellikle bu konuda teknoloji ve imkanlar değişeceği için silme ve imha yöntemlerinin kişisel verilerin gizliliğini koruyucu tedbirler açısından en uygun yöntem olacağını belirtmekte fayda vardır. İlgili kişinin talebi ile kişisel verinin silinmesi ya da silme zamanı geldiğinde veri sorumlusu tarafından resen silinmesi durumlarında ilgili kişiye, kişisel verinin silinmesi/yok edilmesi yöntemleri ve silindiğine dair tutanakla birlikte iyi bir gerekçe ile bilgilendirme yapılacaktır.
Gelecek dönemde KVKK tarafından akreditasyon getirileceği ve standartların mutlaka kalite belgesine bağlanacağını tahmin etmek zor değildir. Bu nedenle veri sorumlusunun bu konuda gerekli idari ve teknik tedbirleri alması ve şirketini insan temelli, temel hak ve özgürlüklere saygılı pozitif bir alana taşıması önem arzediyor. Kişisel verilerinin yüksek derecede önemli olduğunun farkına varan ilgili kişi de bu alanda veri sorumlusunu zorlayacak gibi görünüyor. Gerçek bir koruma tarafların ve sisteme katılan üçüncü kişilerin farkındalıkları ile şekillenecek.
Şu an şirketlerde yeşil politika ile birlikte insan haklarına dayalı bir politika yürütme zamanı.