Kişisel Verilerin Korunması Kanunu’na (“Kanun”) göre her veri sorumlusu:
-
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü teknik ve idari tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır.
Veri sorumlusunun tüm yükümlülükleri için ilgili yazımıza göz atabilirsiniz.
Kişisel Verileri Koruma Kurumu (“KVKK”) Kişisel Veri Güvenliği Rehberi’ni (“Rehber”) yayınlamıştır ve veri sorumluları tarafından alınması gereken idari ve teknik tedbirleri belirtmiştir. Rehber uyarınca veri sorumlusunun alması gereken idari tedbirlerden biri olarak da kurum içi periyodik ve rastgele denetimlerin gerçekleştirilmesidir.
Denetimlerin Amacı ve Denetimlerin İçeriği
Bu denetimlerin amacı veri sorumlusu olarak şirket/kurumun KVKK’dan kaynaklanan yükümlülüklere riayet edip etmediğinin, varsa düzeltilmesi gereken hususların tespitidir.
Burada hemen belirtmek gerekir ki, bu denetimlerin şirket/kurumun Kanun uyum süreci tamamlandıktan ve VERBİS kaydı tamamlandıktan sonra yapılması gerekmektedir. Burada Kanun uyum sürecinde alınan kararların, oluşturulan politikaların uygulanıp uygulanmadığının tespiti söz konusudur.
Denetim teknik ve idari olmak üzere iki açıdan gerçekleştirilmelidir. Esasen teknik denetim ile veri güvenliği ile ilgili alınan teknik tedbirlerin, idari denetim ile ise veri güvenliği için alınan idari tedbirlerin yeterliliği, mevzuata uyumluluğu, doğru uygulanıp uygulanmadığı, uygulamasında ortaya çıkan hata ve eksiklikler ortaya çıkartılmalıdır.
Denetim sonucunda denetici tarafından detaylı bir rapor hazırlanmalıdır. Eğer raporda yapılması gereken eksiklikler belirtmiş ise bu eksiklikler ivedi olarak tamamlanmalı ve gerekirse tekrar bir deneti yaptırılıp son durum kontrol edilmelidir. Şirket/kurum tarafından denetici tarafından hazırlanan bu raporlar ve rapor sonucunda ortaya konan eksiklikler ile ilgili yapılan işlemler de kayıt altına alınmalı ve şirket/kurum tarafından saklanmalıdır.
Denetimin Kanun uyum hizmetini veren dışında başka kimseler tarafından yapılması hem ikinci bir göz olarak uyum hizmetinde yapılan muhtemel yanlışların bertaraf edilmesi hem de denetimin güvenilirliği açısından önerilmektedir. Zira uyum hizmetini veren kişilerin, denetim hizmetini sunarken kendi önceki hizmetleriyle ilgili olarak olumsuz yorumlarda bulunmaları hayatın olağan akışına aykırı olabilir.
Denetimler Ne Sıklıkla Gerçekleştirilmelidir?
KVKK bu konuda hem periyodik hem de rastgele denetimlerden bahsetmektedir. Periyodik denetimlerin azami yılda bir yapılması önerilmektedir. Bu denetimler öncesinde şirket/kurum denetimden haberdar olacağı için eksikliklerin veya yanlışlıkların giderilmesi mümkündür. Bu durumda denetimin gerçek amacına ulaşamama ihtimali bulunmaktadır. Bu dezavantajın önüne geçilmesi için zaman zaman rastgele denetimlerin de gerçekleştirilmesi KVKK tarafından önerilmektedir.
Çalışanlarınıza gerekli eğitimlerin verilmesi ve bu konularla ilgili daha fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından veya info@startupnedir.com e-posta adresinden iletişime geçebilirsiniz.