Türkiye’nin 2025-2027 Orta Vadeli Programı’nda, Kişisel Verilerin Korunması Kanunu’nun (KVKK), Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) ve diğer AB düzenlemeleri ile tam uyumunun sağlanacağı duyuruldu. Bu uyum süreci, Türkiye’nin veri koruma standartlarını AB seviyesine çıkararak uluslararası iş ortaklıklarını güçlendirme, veri güvenliği alanında güvenilir bir ülke olarak konumlanma ve dijital ekonomiyi destekleme amacıyla önem taşıyor.
Bu konuyu yine tarihsel bir kronoloji ile konuyu açıklamaya çalışacağım.
- Bildiğiniz üzere KVK kanunu 2016 yılında yayımlandı.
- İki yıl öngörülen uyum süresi tanındı tüm veri sorumlularına ve 2018 yılında yaptırımlar uygulanmaya başlandı.
- 2019 ise ilk yaptırıma ilişkin kurulun aldığı kararları, ilke kararlarını yayınlaması ile uygulamalara oldukça yön verdi.
Bu zamandan sonra tüm veri sorumluları veri envanterini gözden geçirmeye, sürekli ertelenen VERBİS bildirimlerini yapmaya ve yanında da diğer kanun kapsamındaki dokümanlarını şekillendirdi.
Gözden kaçan peki ne idi de son 3 yılda cezalar en köklü ve kaynak sorunu olmayan veri sorumlularına uygulanmaya ve miktarları artmaya devam etti? El cevap; KVK kanununa uyum bir doküman seti değil bir SÜREÇ’ti!
Her süreç yönetiminde olduğu gibi KVK uyum sürecinde de değerlendirme, eksiklikleri tespit etme, iyileştirme ve düzeltme tabii olarak gerekli idi. Bu sadece gereklilikle de açıklanacak bir husus değil aslında. Kanun m12 kapmasında idari ve teknik güvenlik tedbirlerinin alınması zorunluluğu zaten mevcut. Bu tedbirleri kurumun açıkladığı özet ve/veya basitleştirilmiş yol gösterici rehberde idari tedbirler başlığında “Periyodik ve/veya rastgele iç denetimlerin yapılması.” yer almaktadır.
Her maddenin olduğu gibi m12 kapsamında da yaptırımlar uygulanmakta. Yani denetimsizliğin de bir idari ceza uygulaması yer almakta.
Peki bu dönem denetim konusunun öne çıkaran ne oldu?
Herkesin ilgili kanun maddesi çerçevesinde belli bir kronoloji sonucu, sıranın denetime gelmesi değil tabi ki. 😊 Yıllardır sürdürülen KVK uyum faaliyetleri kapsamında bugün de artarak devam eden idari cezaların oluşması yani ihlallerin yaşanması, biz nerede hata yapıyoruz diye sorulmasına neden oldu. Bunun yanı sıra da uyum süreçlerini yöneten veri sorumlusu çalışanları tarafında farkındalığın artması da katkı sağladı.
Peki denetim sürecinde veri sorumlusu şirketlerin yaşadığı en önemli problem neydi?
Son dönemlerde dokunduğumuz tüm şirketlerden aldığımız tepkilerin çoğunluğunda görüldü ki, ilgili şirketler çok yönü olan KVK kanununu, aynı çok yönlülüğe sahip (hukuk, teknik ve idari süreçler kapsamına haiz) denetim ekiplerini bulmakta zorlanıyorlardı.
Bu yönde 2024 yılında gerçekleştirdiğimiz projeler, taleplerle beraber de şekillenerek sırası ile; “KVK Süreç Denetimi , Değerlendirme ve Aksiyon Planı , İyileştirme ve Süreç Yönetimi , Dijital Uygulamalar ve Yapılandırma” kapsamında şekillendi ve devam etmekte.
Bu yönde çalışmalarımız devam ederken, ilgili taraflara da ışık tutmak ve yol göstermek amacı ile katkı sağlaması amacıyla bu makaleyi kaleme alma ihtiyacı hissettik.
Sevgi ve saygılarımızla…
Bilg. Yük. Müh. Yakup Elarslan
ITGT Consulting Partner