KVKK hakkında DOĞRU BİLİNEN YANLIŞLAR
Biz Kurum Olarak Süreci Hukuk Birimimiz ile yürütürüz başka bir Danışmanlığa ihtiyacımız yok
KVK Kanunu için ilerleme kaydederken işin sadece hukuk ile ilgili olduğu düşüncesi yanlıştır. Yani sadece hukuk birimi ile ilerlemek isteyen firmaların KVK kanunu konusunda atacakları adımlar sağlam olmayacaktır. Hukuk konusunun yanı sıra teknoloji ve süreç danışmanlığı alanında da destek alınmalıdır. Teknoloji içeriğinde yer alan bazı yazılım, donanım ve altyapı düzenlemeleri hukuk birimleri tarafından
takip edilemez. Bu gereklilikleri yerine getirmek için bilgi güvenliği yönetim sistemi danışmanlarından veya denetçilerinden destek alınmalıdır. Kişisel verilerin girildiği her alan KVK kanunu kapsamına dahildir. Satın alma, hukuk, muhasebe, kalite birimleri KVK kapsamına giren ve ilk akla gelen birimlerdir. Ancak bunun yanı sıra firmaya adım atıldığı andan itibaren iletişime geçilen her birimde bir kişisel veri mevcuttur. Bu sebeple dijital veri dahilinde olan yer bölüm sorumluluk sahibidir.
Bu konu kurumda Bilgi Teknolojilerinin işidir, onlar ilgilenmelidir
6698 Sayılı KVKK Uyum Süreci çalışmaları tek başına bir iş birimine veya kişiye asla bağlı olmayacak şekilde düzenlenmesi gereken bir projedir. Kapıda sizi karşılayan Güvenlik görevlileri ile Danışma personelinden başlayarak ofis görevlisi ve hizmetli olarak görev yapan tüm çalışanların sorumluluk altında olduğu çalışmalar bütünüdür. Dijital verinin artık girmediği herhangi bir iş birimi olmadığına göre
Kişisel Veri içeren, işleyen, dağıtan, oluşturan herkes bu konuda sorumluluk altındadır. Kurumlarda bu sürecin sadece IT, Satınalma, Hukuk, Muhasebe veya Kalite Birimlerine değil Kurumsal bir bakış açısıyla her birimin katılımıyla yürütülmesi sağlanmalıdır.
Verbis’e kayıt yükümlülüğü yoksa Kanun kapsamı dışındayız, her hangi bir yükümlülüğümüz yok
KVK Kurulu Verbis’e kayıt yükümlülüğü açısından şirketler için bir takım şartlar getirmiştir. Örneğin; 50 kişiden fazla personeli olan veya yıllık 25 milyon liralık bilançosu olan işletmeler Verbis’e kayıtla yükümlüdür. Fakat; bu diğer şartların yerine getirilmeyeceği anlamına gelmemektedir. Verbis’e kayıt yükümlülüğünün dışında kanun kapsamındaki diğer yükümlülüklerin yerine getirilmesi gerekmektedir.
Veri Envanteri hazırlanmasa da olur
Evet, Verbis’e kayıt yükümlülüğü olmayanlar açısından Veri Envanteri hazırlanmasını Kanun kapsam dışı bırakmıştır. Fakat; KVK kurulu sağlıklı bir uyum sürecinin gerçekleşebilmesi için Verbis’e kayıt yükümlülüğü olmayanlar açısından da ayrıntılı bir Veri Envanteri hazırlanmasını önermektedir. Bu husus yerine getirilmediği takdirde kanun kapsamında uyum sağlanması gereken diğer konularda eksiklikler meydana gelecektir. Örneğin; aydınlatma metni oluşturulması, açık rıza alınması gibi..
Her veri için izin alınmalı
Doğru bilinen yanlışlardan biri de her veri için ilgili kişinin açık rızasının alınması gerektiğidir. Bu durum kanuna aykırıdır, her veri için açık rıza alınmasına gerek yoktur. Biz tüm verileri ayrıntılı olarak sınıflandırıyor, hangi veri için kanun kapsamında açık rıza alınması gerektiğini belirliyoruz.
Bizde ISO 27001 var, ekstra bir çalışma yapmaya ihtiyacımız yok
ISO 27001 Bilgi güvenliği yönetim sistemidir. Bu sisteme sahip firmaları KVK sürecinde herhangi bir değişiklik yapmasına gerek olmadığı görüşü yanlıştır. Çünkü kanun içeriğinde yer alan bazı hükümler ISO 27001’de düzenlenmesi gereken yerlerin olduğu sonucunu çıkarmamıza sebep olmaktadır. Gerekli düzenlemelerin yapılması yeni sisteme uyumluluk, farkındalığın artması ve idari para ile hapis
cezalarından etkilenmemek adına oldukça önemlidir.
KVKK sadece büyük şirketleri kapsıyor
Doğru bilinen yanlışlar arasında en çok dile getirilenlerden biri de KVKK’nın sadece büyük şirketleri kapsıyor olduğudur. Kanunun özel ya da kamu, büyük ya da küçük şirket ayrımı yapmadığını, esas olarak tüm gerçek ve tüzel kişileri kapsadığının altını çizmek gerekiyor.