Örneklerle Kişisel Verilerin Korunması Kanunu’ndaki son değişiklikler

Örneklerle Kişisel Verilerin Korunması Kanunu’ndaki son değişiklikler

Kişisel Verilerin Korunması Kanunu’nda artık köprüden önce son çıkışa gelmek üzereyiz. Kişisel Verileri Koruma Kurumu ; “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmelik Taslağı” ve ‘Veri Sorumluları Sicili Yönetmelik Taslağı’nı web sitesi üzerinden yayınladı. Bu taslak yönetmelikleri incelendiğinde yasanın biraz daha detaylandırıldığını anlıyoruz. Çalıştığımız şirketlerde yönetmeliklerin son halini alıp yayınlanmasını beklemeden uygun altyapı kurmamız gerekmektedir.

Hakan Cem TOPAL
Sinpaş GYO CIO’su

Peki bu taslak kapsamında nelere dikkat etmemiz gerekiyor, bu yazımda bu konular hakkında yorumlarımı bulabilirsiniz.

Veri kayıt sistemi nedir, nerede tutulmalı?
Hazırlanan taslak yönetmelikte, kişisel verilerin işlenmesi ve takip edilmesi için bir “Veri Kayıt Sistemi” oluşturulması beklenmektedir. Sıfırdan yazılacak bir uygulama yerine , kurumsal şirketlerde kullanılan CRM programlarına ek bir modül geliştirilmesi ile bu ihtiyacın karşılanacağını düşünüyorum.
Müşteriler ile ilgili finansal bilgiler ERP sistemlerinde tutulmaktadır. Yasal yükümlülük gereği fatura bilgilerini zaten 10 yıl saklamak zorunda olduğumuz ve daha sonra yasal bir durumda şirket kayıtlarına ulaşmak zorunda olacağımız için ERP üzerindeki datamızda bir değişiklik veya ek bir modül geliştirilmesi gerektiğini düşünmüyorum.
Müşterilerimiz ile yaptığımız satış, pazarlama, satış sonrası hizmetler gibi bilgilerimizi tuttuğumuz CRM sistemlerinde “Veri Kayıt Sisteminin“ oluşturulması hem daha kolay hem de çok sağlıklı olacağını düşünüyorum. Tabi bunun olabilmesi için ilk şart ERP ve CRM sistemlerinin karşılıklı olarak birbirleriyle online bir şekilde entegre olmasıdır. CRM sisteminde yaratılan bir müşteri bilgilerinin otomatik olarak aynı anda ERP sisteminde bir müşteri carisi oluşturmasını bu entegrasyonuna örnek verebilirim.

Veri kayıt sisteminde hangi bilgiler tutulacak?
• Öncelikle gerekiyorsa, bence çok şirkette gerekiyor, datamızı temizleyip tekilleştirmeliyiz. Bir müşterimizin sadece bir kaydı bulunmalıdır.
• KVKK kapsamı gereği müşterimizden aldığımız aldığımız açık rızaları bu sistemde ne şekilde aldığımızı tutmalıyız. (hangi zamanda, hangi kanal vb. )
• Aldığımız açık rızayı hangi kanaldan aldıysak o kanalı destekleyen bilgileri de sistemde tutmalıyız.
o Mesela çağrı merkezi aracılığıyla bir onay aldıysak ses kaydı, telefon numarası, tarih gibi bilgileri tutmalıyız.
o Eğer yaş imzalı bir form ile yüz yüze görüşüp bir onay aldıysak , bu belgenin taranmış şekline CRM içindeki ilgili müşteri kartının içinden ulaşmalıyız.
o Login işlemi gerekmeden İnternet üzerinden doldurulan bir formdan onay alıyorsak mutlaka form doldurulduktan sonra ücretsiz SMS gibi iki faktörlü bir onay almamız gerekiyor. Ayrıca doldurulan bu formların hangi IP’den ne zaman geldiği ve onay SMS’ni hangi numaradan gönderdiği bilgisini tutmalıyız.
• Müşterilerimizden gelen talepleri veri silme (imha), bilgi sorma vb. işlemleri yine bu sistemde tutmalıyız.
• İlgili kurula yapılan bildirimlerin içeriklerini bu sistemde tutmalıyız.
• Anonim edilmiş bilgileri ,zaman ve neden bilgisi ile yine bu sistemde tutmalıyız.
• Periyodik imha işlemlerimizin nedenleri ve tarihçeleri içinde bir bölüm ayırmalıyız.

Veri kategorisinde neler olmalı?
CRM sistemlerimizde genelde potansiyel, gerçek ve kayıp müşterilerimizi ayrı kategorilerde tutarız. Bu kategorilere onay alınan, onay bekleyen, ret eden gibi alt bir kategori oluşturarak yasada istenilen veri kategorisi kısmını karşılarız diye düşünmüyorum.
Veri sicil bilgi sistemi (Verbis) nedir?
Veri sorumlularının sicile başvuru ve sicille ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, kurum tarafından oluşturulan ve yönetilen bir portal olarak hayatımıza girecek. Bu portal şu an canlı sistemde olmadığı için veri sorumluları sisteme kayıt edilememekte, dolayısıyla yasa yürürlüğe girememektedir.

Hangi bilgileri veri sicil bilgi sistemine (Verbis) kaydetmeliyiz?
Veri sorumlusunun ve varsa temsilcisinin adı ve adresi. Şirketlerde bence bu görevi IT departmanları yapmalı.
• Kişisel verilerin hangi amaçlarla işlenebileceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
• Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları. Özellikle hizmet aldığımız out-source şirketler bu kapsama girmektedir.
• Yabancı ülkelere aktarımı öngörülen kişisel veriler. Özellikle yurtdışından hizmet alınan bulut bilişim uygulamaları veya yedekleri bu madde kapsamında işlenmelidir.
• Sicile kayıt tarihi ile kaydın geçerliliğinin sona erdiği tarih

Veri saklama ve imha politikası (Prosedürü) Nedir?
Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası hazırlayarak, bu politikanın uygulanmasını temin etmekle yükümlüler.
Veri saklama ve imha politikasının kapsamı nelerden oluşur?
• Kişisel veri saklama ve imha politikasının hazırlanma amacına,
• Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
• Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
• Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
• Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
• Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
• Kişisel verileri saklama ve imha süreçlerinde yer alanların isimlerine ve sorumluluklarına,
• Kişisel verileri saklama ve imha sürelerini gösteren tabloya,
• Periyodik imha sürelerine, ilişkin bilgileri içerir.

Yasal olarak silinen kişisel veriye nasıl ulaşabiliriz?
İlgili taslak metinde” Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş sayılacaktır” şeklinde bir hüküm bulunmaktadır. Bu madde ile veri uzmanına CRM uygulamamızda özel bir yetki vererek gerekli durumlarda ilgili kayda ulaşmasını sağlayabiliriz. Teknik olarak aslında datamızı silmeyeceğiz sadece datanın statüsünü değiştireceğiz. Böylelikle ileriki aşamalarda yasal bir sürece girilmesi durumunda elimizdeki ilgili kayıtlara ulaşabileceğiz. Ama bu bilgileri asla pazarlama aktivitesi vb. durumlar için kullanamayız.
Verileri anonim hale getirirken nelere dikkat edeceğiz?
Onayını almadığımız verileri ya sileceğiz ya anonim hale getireceğiz. Anonim hale getirdiğimiz veriler üzerinden genel pazarlama aktiviteleri veya data analizleri yapabiliriz. Burada genel pazarlama aktivitesi ifadesi çok önemli asla pazarlama yaptığımız kişinin kim olduğunu bilmemeliyiz.

Categories: GÖRÜŞLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*