KVKK danışmanlığı son dönemde popüler bir iş olduğu kadar, doğru yapılmadığında çok önemli sonuçlara gebe olabilecek bir danışmanlık biçimidir. KVKK danışmanlığı konusunu biraz dışarıdan; ancak KVKK uyum sürecini bilen bir uzman olarak sizin için açıklamak istiyorum. O halde birlikte bakalım: KVKK danışmanlığı nedir ve nasıl yapılır?
KVKK nedir?
KVKK, Kişisel Verilerin Korunması Kanunu’nun kısa ismidir. Bu kısaltma ayrıca Kişisel Verileri Koruma Kurumu’nun da kısaltmasıdır.
6698 sayılı Kişisel Verilerin Korunması Kanunu, kapsamına giren veri sorumluları için çok önemli yükümlülükler getirmekle kalmamış, bir de bu yükümlülüklerin yerine getirilmemesi halinde çok büyük idari para cezaları da öngörmüştür.
KVKK uyum süreci ne demek?
KVKK uyum süreci en temel tanımıyla; bir veri sorumlusu bünyesinde mevcut tüm kişisel verilerin doğru şekilde işlenmesini, muhafaza edilmesini ve aktarılmasını sağlama faaliyetidir.
Çünkü 6698 sayılı Kanun, tüm veri sorumlularının kanuna uyumlu hale gelmesini istemekte ve bazıları için bunu bir adım öteye götürerek VERBİS kaydını zorunlu tutmaktadır.
VERBİS kaydı
Şu kadarını söylemekle iktifa ederim ki; her veri sorumlusunun VERBİS kaydı yaptırması gerekmiyor olsa da her veri sorumlusu KVKK uyumunu sağlamakla yükümlüdür.
KVKK danışmanlığı neden gerekir?
İşte geldik en önemli soruya? Ortada bir kanun metni varsa ve bu metnin talep ettikleri belliyse, neden KVKK danışmanlığına ihtiyaç duyulsun? Veri sorumlusu, bu yükümlülüğü kendi kendine yerine getiremez mi?
Bu soruya şahsi cevabın çok nettir: Olabilir; fakat neredeyse imkânsızdır. Çünkü KVKK danışmanlığı şu temel konularda bilgi sahibi olmayı gerektirir:
- Süreç yönetimi
- Planlama
- Raporlama
- Hukuki bilgi
- Bilgi teknolojileri
- Denetim
Bir de KVKK uyumunun sağlanamaması ve kişisel veri ihlali yaşanması halinde karşı karşıya kalınabilecek hukuki ve adli yaptırımlar söz konusudur ki, hiçbir veri sorumlusunun bu riski üstlenebileceğini zannetmiyorum.
KVKK danışmanı ne iş yapar?
KVKK danışmanı, veri sorumlusunun kişisel verileri doğru işlemesini, işlememesi gereken kişisel verileri işlememesini, sahip olduğu kişisel verileri güvenli şekilde saklamasını ve mevzuata uygun olarak başkalarıyla paylaşmasını sağlar.
Bunun için de aşağıdaki işlemleri ve burada sayılamayan daha birçok benzer işlemi gerçekleştirir:
- Kişisel veri işleme envanterini hazırlar.
- Gerekli tüm metinleri ve belgeleri tanzim eder.
- Kişisel verilerin muhafazası için gerekli tedbirleri belirler.
- Gerekmesi halinde bilgi teknolojilerine ilişkin tüm işlemleri yapar ya da yaptırır.
- Veri sorumlusuna hukuki danışmanlık yapar.
- Veri sorumlusu bünyesinde eğitimler düzenler.
- Veri sorumlusunun KVKK bilincini artıracak faaliyetler yürütür.
KVKK danışmanı nasıl olunur?
Öncelikle şunu söylemek gerekir ki; resmi olarak KVK danışmanlığı diye bir meslek yoktur. Haliyle bunun bir sertifikasyonu ya da eğitimi de bulunmaz. Ancak KVKK konusunda danışmanlık hizmeti verenlerin sahip olması gereken asgari şartlar şöyle sıralanabilir:
- KVKK danışmanlığı bir tür hukuki danışmanlık olduğu için, bu danışmanlık faaliyetinin esas olarak baroya kayıtlı avukatlar tarafından yapılması gerekir.
- Ancak bundan, avukatların KVKK danışmanlığı faaliyetini mutlaka tek başına yürütecekleri sonucu çıkmamalıdır.
KVKK uyum sürecinin yürütülmesi anlamına gelen KVKK danışmanlığı için hukuki bilgi yanında iki temel bilgiye daha ihtiyaç vardır. Bu iki temel tecrübe ve bilgi şunlardır:
- Süreç yönetimi ve denetimi
- Bilgi teknolojileri ve yazılım
Hukuki bilginin KVKK danışmanlığında tek başına yeterli olmamasının sebebi, tüm bu KVKK uyum sürecinin kişisel veri işleme envanterinin doğru şekilde oluşturulmasına bağlı olması ve envanterin oluşturulmasının ise tam bir süreç yönetimi tecrübesi gerektirmesidir.
Bkz: https://mustafabaysal.com/kvkk-envanter-nedir-ornek/
Eğer bir avukat aynı zamanda süreç yönetimi ve denetimi konusunda bilgili ise ve bilgi teknolojileri konusuna da hâkimse, elbette tek başında da KVKK danışmanlığı yapabilir.
KVKK danışmanlık ücreti ne kadar?
Hem veri sorumluları tarafında hem de KVKK danışmanlığı yapan kimseler ve şirketler tarafında belki de en çok sorulan soru bu olsa gerek.
Ancak bu sorunun net bir cevabı kesinlikle yoktur. Çünkü KVKK danışmanlığı sektöre, çalışan sayısına, gerçekleştirilen kişisel veri işleme faaliyetlerinin büyüklüğüne ya da bilgi teknolojileri kullanım oranına göre muhakkak farklılık gösterecektir.
Böyle olunca, her veri sorumlusu nezdine özel bir fiyat belirlenmesi gerekir. Bunu belirlerken izlenecek en doğu yok kanaatimce, KVKK uyum sürecini gerçekleştirmek için harcanacak sürenin değerini ortaya koymaktır.
Örneğin bir veri sorumlusu nezdinde yürütülecek faaliyet 5 iş günü sürecekse, bu sürenin karşılığında ne kadar ücret alması gerektiğini en iyi bilecek olan kimse yine KVKK danışmanı olacaktır.
Ancak özellikle KVKK danışmanlığının uyum sürecinin sağlanmasının hemen bitmediği ve uzun vadeli bir hukuki danışmanlık yürütüldüğü durumlarda, KVKK danışmanlık ücreti de düzenli ve uzun vadeli danışmanlık hizmetine göre tespit edilecektir.
KVKK uzmanı sertifikası
Hemen yukarıda da belirttiğim üzere, resmi geçerli böyle bir sertifika yoktur. Elbette birtakım eğitim kurumları KVKK uzmanlığı eğitimi verip KVKK uzmanı sertifikası dağıtabilir. Ancak kişisel tanıtım vb. amaçlı kullanım dışında, bu sertifikanın resmi bir geçerliliği olmayacaktır.
KVKK uyum programları işe yarar mı?
KVKK uyum süreci hem meşakkatli hem de pahalı bir faaliyet olduğundan, birtakım veri sorumluları KVKK uyum programları kullanma yoluna gitmektedir.
Bu KVKK uyum platformlarında bazı sektörler için temel bilgiler hazır olarak yer alır ve veri sorumlusuna sorulan belirli sorularla ve yapılan yönlendirmelerle envanterin otomatik oluşturulması sağlanır.
Böylece envanterden de tüm diğer dokümanlara otomatik bir geçiş sağlanarak açık rıza metinlerinden aydınlatma metinlerine kadar birçok doküman yine otomatik olarak hazırlanır.
Açıkçası ben bu tür KVKK uyum programlarına çok soğuk bakmıyorum. Evet, KVKK uyum sürecinin her veri sorumlusu bünyesinde farklı sonuçlar ortaya koyacağını biliyorum ve evet, birbirinin aynısı görünen iki ayrı işletmede bile bazen farklı kişisel verilerin işlenebileceğini de biliyorum.
Fakat aşağıdaki hususlara dikkat edilirse, özellikle KVKK profesyonelleri tarafından bu KVKK programlarının kullanılabileceğine ve yarar sağlayacağına da inanıyorum:
- Bu tür programlar için belirli veri sorumluları bünyesinde özel çalışmalar yapılmalı ve envanterler gerçek zamanlı oluşturulmalıdır (Doktor, diş hekimi, süpermarket, mali müşavir, kafe vb.).
- Programı kullanan veri sorumlusunda, programın önerdiği envanteri aynen kullanmak beklentisi ve mantığı oluşmaması için yeterli bilgilendirme yapılmalıdır.
- KVKK programını satan şirketin sahada görev yapacak avukatları ve diğer elemanları olmalı ve gerektiğinde yerinde müdahale edilmesi sağlanmalıdır.
Yine de çok büyük işletmelerde KVKK programlarının yeterli olması çok zordur. Kanaatimce bu tür programların asıl müşterisi, KVKK uyum süreci çalışması yürüten KVKK profesyonelleri olmalıdır. Böylece KVKK programlarının yardımıyla metin/belge işleri hızlanacak, KVKK profesyoneli zamanının önemli bir kısmını kişisel veri işlenmesi faaliyetinin kendisine verebilecektir.
SONUÇ
KVKK danışmanlığı ile ilgili bilinmesi gereken ilk şey, bunun çok ciddi ve sorumluluk gerektiren bir olduğudur.
Çünkü KVKK uyumunu gerçekleştirememiş ya da yanlış gerçekleştirmiş bir veri sorumlusu hem iki milyon liraya kadar idari para cezalarıyla hem de adli yaptırımlarla karşı karşıya kalabilir.
Bu nedenle KVKK danışmanlığı yapacak kimsenin yazıda da açıklandığı üzere hukuk, süreç yönetimi ve bilgi teknoloji konularında bilgi sahibi olması; her konuda bilgisi yoksa bir ekiple bu işin yürütülmesi gerekir.
Veri sorumluları ise; KVKK uyumunu tek başlarına tamamlamalarının çok zor olduğunu anlamalı ve bu işin ciddiyetinin farkına vararak KVKK danışmanlığı hizmeti almaktan çekinmemelidir.
KVKK uyumu için harcanacak para bir maliyet olarak değil de uzun vadede hem müşterilerin/paydaşların memnuniyetini artıracak hem de karşı karşıya kalınması muhtemel yaptırımları en aza indirecek bir fırsat olarak görülmelidir.
Yazı içinde, resmiyette KVKK uzmanı diye bir meslek olmadığını söylemiştim; ancak bu durum piyasadaki KVKK danışmanlığı faaliyetleri içindi. Yoksa, elbette KVKK uzman yardımcılığı ve uzmanlığı mesleği vardır ki; Kişisel Verileri Koruma Kurumu bünyesindeki bu meslek için şuradan bilgi alabilirsiniz:
Hayır, veri sorumlusu nezdinde gerçekleştirilecek KVKK danışmanlık faaliyetleri için belirlenmiş bir ücret tarifesi bulunmaz.
Veri sorumlusunun KVKk uyumunu gerçekleştirmesi yetmez; bir de bu uyumu aralıklarla denetlemesi gerekir. İşte veri sorumlusunun, KVKK uyum durumu konusunda bizzat yapabileceği ya da başka bir kurumu/kimseye yaptırabileceği bu denetim faaliyetine KVKK denetimi denir.