6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılından bu yana Türkiye'deki tüm veri sorumlularını bağlamaktadır. Kişisel Verileri Koruma Kurumu'nun (KVKK) verdiği idari para cezaları son yıllarda önemli ölçüde artmış; uyumsuz şirketler ciddi mali yaptırımlarla karşılaşmıştır. Bu rehber, şirketlerin KVKK uyumunu nasıl sağlayabileceğini adım adım açıklamaktadır.

1. Veri Envanteri Oluşturun

KVKK uyumunun ilk adımı, şirketin hangi kişisel verileri işlediğini belirlemektir. Müşteri, çalışan ve tedarikçi verileri başta olmak üzere tüm veri kategorileri, işleme amaçları, saklama süreleri ve aktarım yapılan üçüncü taraflar kayıt altına alınmalıdır.

2. VERBİS Kaydı

Yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço tutarı 25 milyon TL'yi geçen veri sorumluları VERBİS'e (Veri Sorumluları Sicili) kayıt olmakla yükümlüdür. Bu eşiğin altındaki veri sorumluları da Kurul kararıyla belirlenen veri işleme faaliyetleri söz konusu olduğunda kayıt yaptırabilir.

3. Aydınlatma Metni ve Çerez Politikası

Kişisel veri işleyen her şirketin, veri sahiplerini aydınlatma yükümlülüğü bulunmaktadır. Web sitesi ziyaretçileri için çerez politikası ve aydınlatma metni, çalışanlar için çalışan aydınlatma metni, müşteriler için ise müşteri aydınlatma metni hazırlanmalıdır. Bu metinlerin KVKK'nın 10. maddesi kapsamında gerekli bilgileri içermesi zorunludur.

4. Veri İhlali Acil Eylem Planı

KVKK, veri sorumlularının öğrendikleri tarihten itibaren 72 saat içinde veri ihlalini Kurula bildirmesini zorunlu kılmaktadır. Şirketlerin bu süreyi karşılayabilmesi için önceden hazırlanmış bir acil müdahale planına sahip olması büyük önem taşır. Büromuz, veri ihlali acil eylem planı oluşturulmasında ve ihlal gerçekleşmesi halinde tüm sürecin yönetilmesinde uzman destek sağlamaktadır.