KVKK Nedir sorusuna yanıt vermeden önce bu kavramının açılımının “Kişisel Verilerin Korunması Kanunu” şeklinde yapıldığını bilmek yararlı olacaktır. 7 Nisan 2016 tarihinde yayınlanarak yürürlüğe giren KVKK; dijital ortamlarda kişilerin başta veri güvenliğini sağlamak, hak ve özgürlüklerini güvence altına almak gibi amaçlara hizmet eden bir yasadır. Kişisel Verilerin Korunması Kanunu öncelikli olarak işletmelerin, dijital süreçler vasıtasıyla elde ettikleri kullanıcı verilerini onların rızası ve onayı olmadan işlemesini engeller. Bu bağlamda KVKK, verilerin kişilerin onayı olmadan işlenmesi durumunda işletmelere ciddi yasal sorumluluklar getirmekle birlikte işletmeler üzerinde bir takım denetlemeleri de söz konusu kılmaktadır. KVKK kapsamında şirketlerin dikkat etmeleri gereken etkenler ise şu şekilde sıralanabilir:
Şirketlerin Sahip Olduğu Müşteri Verilerinin Güvenliğini Sağlaması Yükümlülüğü
Kişisel Verilerin Korunması Kanunu için şirketlere tanınan 2 yıllık uyum süresi uzatılarak en son durumda 30 Haziran 2020 tarihine kadar süre verilmiştir. Bu doğrultuda, şirketler yasanın tüm maddeleri ve kapsamından sorumlu tutulmaya başlanmışlardır. Yasa doğrultusunda şirketlerin en önemli ve büyük yükümlülüğü sahip olduğu müşteri verilerinin güvenliğini sağlamak olacaktır. Özellikle büyük veri analizleri adı verilen yaklaşımları kullanan büyük işletmeler, ellerinde bulundurdukları verileri uzun 3. parti organizasyonlarla paylaşamazlar. Bunun yanı sıra şirketler, internet üzerinden verilerini talep ettikleri kullanıcılara gizlilik politikası onaylatmakla yükümlüdürler. Bahsi geçen gizlilik politikası, işletmenin web sayfasına kayıt olma aşamasında işletme tarafından kullanıcılara iletilerek veri paylaşımı konusundaki genel koşullar hakkında onları bilgilendiren dokümandır. Yasa gereğince internet üzerinden müşterilerinin verilerini toplayan tüm işletmeler, kullanıcılarından gizlilik politikası onayı almakla yükümlüdür.
KVKK Kapsamında Oluşturulan Gizlilik Politikası Nedir?
Kişisel Verilerin Korunması Kanunu ile internet sitelerinin ya da işletmelerin dijital kanallar vasıtasıyla kullanıcı verileri üzerindeki kontrolü ciddi oranda kısıtlanmıştır. Uygulamaya giren KVKK sayesinde, internet siteleri ve işletmeler veri toplama sürecinde kullanıcı onayına ihtiyaç duymaktadır. Bu onayı alabilmek için de kullanıcıya, verilerin hangi amaçlarla kullanılacağını ve herhangi bir üçüncü parti katılımcı ile paylaşılmayacağını taahhüt etmelidir. Bu bağlamda kullanıcı verilerinin alındığı işlem süresince, işletmeler ya da internet siteleri şahıslara “Gizlilik Politikası” adı verilen bir taahhütname sunar. Gizlilik Politikası ile birlikte şirket, verilerini aldığı kullanıcısına bu verileri kimseyle paylaşmayacağının ve güvenli bir şekilde koruyacağının garantisini verir.
İşletmeler KVKK Maddelerince Kişisel Verileri Hangi Amaçlarla Kullanılabilir
Kişisel Verilerin Korunması Kanunu ile şirketlerin veri üzerindeki kontrolleri her ne kadar kısıtlansa da şirketler yine de müşteri verilerini işleme konusunda hak sahibi olabilmektedirler. Bu bağlamda işletmelerin kişisel veriler üzerindeki öncelikli hakkı; satış, pazarlama, iş geliştirme gibi süreçlerdeki operasyonlarının kalite düzeyini kişisel verileri kullanarak arttırabilirler. Gerek piyasa analizleri konusunda gerekse pazarlama faaliyetleri süresince, işletmeler KVKK yükümlülüklerini yerine getirerek müşteri verilerini işleyebilirler. Özellikle iş süreçlerini zenginleştirme, müşteri ilişkilerini geliştirme ve müşteri ihtiyaçlarını anlayarak hizmet niteliğini arttırma gibi adımlarda işletmeler, kişisel verileri kullanarak avantaj elde edebilirler. Fakat oldukça hassas bir süreç olan veri işleme sürecinde işletmelerin, Kişisel Verilerin Korunması Kanunu yükümlülükleri kapsamındaki tüm detaylara dikkat etmeleri yararlı olacaktır.
KVKK Gereğince Kişisel Verilerin Yok Edilmesi ve İmhası
Kişisel Verilerin Korunması Yönetmeliği gereğince işletmeler, sahip oldukları müşteri verilerini ancak belirli bir süre boyunca ellerinde bulundurabilirler. Elde tutulan verilerin niteliğine göre değişen zaman kıstası tamamlandığında, işletmeler verileri yok etme, imha etme ya da anonim hale getirme gibi işlemlerle yükümlüdürler. Verilerin silinmesi işlemi, kullanım ömrünü tamamlayan verilerin işletme tarafından tekrar erişilemez hale getirilmesi işlemidir. Veriden sorumlu olan işletme, kişisel verilerin silinmesi işlemi sayesinde elde tutulan verilerin tekrar kullanılamaz hale gelmesini sağlamaktan sorumludur. Kişisel verilerin yok edilmesi işlemi ise işletme de dahil olmak üzere elde tutulan verilerin hiçkimse tarafından erişilemez hale getirilmesi anlamına gelir. Bunun yanı sıra kişisel verilerin anonim hale getirilmesi, işletme tarafından elde tutulan verilerin başka verilerle eşleştirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak öne çıkar.
Döküman yönetim sistemi makalemizide mutlaka okuyun: kry.com.tr/dokuman-yonetim-sistemi
