Savunma sanayii şirketleri KVKK uyum projelerinde nelere dikkat etmeli

Kendimizle alakalı her türlü bilgiyi ifade eden kişisel verilerimiz dünya genelinde birçok devletin yasalar ve yaptırımlarla müdahil olduğu önemli bir alan haline geldi. Türkiye’de de 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ve getirdiği düzen ile kişisel veri işleme faaliyetleri belli usul ve esaslara bağlanmıştır. Ancak ülkemizdeki dört yıllık uygulamaya bakıldığında kanunun muhatabı, uygulayıcıları ve uyum danışmanları arasında sağlıklı bir iletişim ve etkileşimin kurulamadığı ve hem şirketlerin hem de kişisel verileri işlenen ilgili kişilerin veri mahremiyeti kültürünü istenilen seviyede benimseyemediği gözlemlenmektedir.

Günümüzde veriyle teması olmayan şirket neredeyse yoktur. Türkiye’deki yasal düzenlemeyle birlikte kişisel veri işleme faaliyeti olan şirketler kişisel veri mevzuatına uyumlu olmak maksadıyla çalışmalar yürütmeye başlamıştır. Kişisel veri mevzuatının çok yeni ve uygulama olarak halen gelişmekte olması sebebiyle de şirketler bu alandaki düzenlemelere hakim olamamakta ve yükümlülüklerini yerine getirebilmek maksadıyla danışmanlardan ya da hukuk bürolarından yardım alma yolunu tercih etmektedirler.

Uyum projeleri hazırlayarak şirketlere hizmet sunan bazı danışmanlık şirketleri ve hukuk büroları ise kişisel veri mevzuatı üzerinden korku oluşturmakta, bunun yanında kişisel veri işleme faaliyeti olan bazı kurum, kuruluş ve şirketler ise yasal yükümlülüklerini yerine getirmeyi ya önemsememekte ya da bilinçli olarak ertelemektedir.

Böyle bir ortamda en çok zarar gören kurumlar her türlü yasal yükümlülüklerine uymak için gerekli dikkat ve özeni başından itibaren gösteren şirketler olmaktadır. Maalesef belirtmek gerekir ki şirketlerin iş süreçlerini ve tüm faaliyet alanlarını incelemeksizin matbu form ve şablonları teslim etmekten öteye geçmeyen KVKK uyum projeleri yürütülmektedir. Dört yıllık uygulama sürecinde birden fazla defa uyum projesi uygulamak zorunda kalan şirketler vardır.

Kişisel verilerle temas eden ve özellikle hassas verilerin sıklıkla kullanıldığı savunma sanayi şirketlerinin yasal sorumluluklarını yerine getirmek için başlattığı, sürdürdüğü veya tamamladığı uyum süreçlerine dair dikkat etmesi gereken hususlar özel önem taşır.

Bilmekte Fayda Var

Eğer bir uyum süreci yürütmeyi planlıyor veya hali hazırda yürütüyorsanız bunları bilmenizde fayda var.

Kapsamlı çalışma gerektirir. Uyum süreci şirketinizin bütün faaliyetlerinin incelenip kişisel veri işleme faaliyetlerinin tespit edilmesini gerektirdiğinden çok geniş, kapsamlı ve aşamalı bir çalışmayı gerektirir. Bu sebeple tüm faaliyetlerinizin danışmanlarınız tarafından incelendiğinden emin olun.

Karşılıklı çalışma esasına dayanır. Uyum sürecini yöneten danışmanlar şirket faaliyetinizi tespit edip veri koruma kuralları çerçevesince analiz edebilmesi için sizin desteğinize ihtiyaç duyar. Çalışma boyunca form doldurma, mülakat ve belge toplama gibi çeşitli yöntemlere başvurulur. Bu sebeple danışmanlarınıza gerekli bilgi ve belgeleri zamanında vermeye çalışın.

Kuruma özeldir. Her şirketin yürüttüğü faaliyetin niteliği, büyüklüğü ve kapsamı kendisine özgü olduğu için şirket özelinde bir uyum projesi yürütülmesi gerekir. Daha önceden başka şirketler için hazırlanmış dokümanlar sizin için geçerli olmayacaktır. Bu sebeple şirketinize özel bir proje yürütüldüğünden emin olun.

Sürekli olarak gerçekleştirilmelidir. Uyum danışmanlığı belirli bir sürede tamamlansa dahi arkasında devam eden ve çalışan bir sistem bırakması gerekmektedir. Yani şirketinizin bir kere uyumlu hale gelmesi daima uyumlu olacağı manası gelmez. Sistemin devamlılığı şirket bünyesinde veri mahremiyeti kültürü ile devam ettirilmelidir.

Dinamiktir. Veri koruma mevzuatı yeni olduğu için sürekli gelişmektedir. Dolayısıyla alandaki gelişmeler takip edilmeli ve güncel olanla uyum sağlanmalıdır.

Uyum Projesinde Neler Olmalıdır

Bir uyum danışmanlığının amacına ulaşması için asgari olarak aşağıdaki dört ana unsuru içermelidir.

Envanter çalışması ve uyum analizi. İlk olarak şirketin hangi kişisel verileri ne amaçla ve hangi hukuki sebebe dayalı olarak işlediği, kimlerle hangi amaçla paylaştığı, yurtdışına veri aktarımının olup olmadığı, verilerin saklama sürelerinin ne kadar olduğu gibi belirli başlıklarda ve tüm iş süreçlerini kapsayacak şekilde kişisel veri işleme envanterinin çıkarılması gerekmektedir. Envanter oluşturulması aşamasında şirketin mevcut durumu analiz edilerek gerekli idari ve teknik tedbirler ortaya çıkarılmalı ve riskler tespit edilmelidir. Envanter çalışması tüm projenin merkezinde yer almaktadır. Her bir departmanla tek tek görüşmeler yapılarak şirketin yapılandırılmış veya yapılandırılmamış tüm veri akışlarının haritası oluşturulur. Dolayısıyla danışman ile fiziki ve dijital ortamda karşılıklı mesai gerektirir.

Dokümantasyonların oluşturulması. Envanter aşamasında elde edilen bilgi ve belgeler ile tespit edilen gerekli tedbirlere istinaden belgeler oluşturulur. Danışman aydınlatma ve açık rıza metinlerinden politika ve prosedürlere kadar tüm dokümanları hazırlar, sözleşmeleri gözden geçirir. Bu aşamada şirket daha çok onay veren konumundadır.

Uyum projesi uygulamalarının hayata geçirilmesi. Tespit edilen eksikliklerin tamamlanması, risklerin giderilmesi, dokümanların yayınlanması ve uygulamaya konması, belirlenen idari ve teknik tedbirlerin alınmaya başlanması, ilgili personellerin veri koruma eğitimleri ve bilinçlendirilmeleri faaliyetleri ile proje kapsamında yapılan çalışmaların sonuçları alınmalıdır.

Gözetleme. Kanuna uyumlu hale gelmek süreklilik arz eden bir durum olduğu için uyum projesi tamamlandıktan sonra şirketinizin ihtiyacına göre belli bir süre uyum projesi ile kurulan düzenin devam edip etmediğinin takip edildiği projenin nihai aşamasıdır.

Av. Mahmut Esat Kocaoğlu, Savunma Sanayii Dergilik için yazdı.