Belediyelerde Veri Yönetiminde KVKK’ya Uyum Süreci Raporu Yayınlandı

6698 sayılı Kişisel Verilerin Korunması Kanun ve ilgili mevzuat kapsamında belediye bünyesinde yapılması gerekenleri tespit etmek ve uyum sürecini derhal başlatmak amacıyla MBB tarafından hazırlanan rapor yayınlandı.

Temel bir insan hakkı olan kişisel verilerin korunması hakkı, özel hayatın gizliliği ile doğrudan ilişkilidir. Üçüncü kişilerin eline geçmesinde sakınca bulunan bu verilerin korunması gerekliliği, hem kamu kurumlarını hem de özel kurumları ilgilendirmektedir. Bu sebeple, kişisel verilerin korunması konusu ilk olarak 5237 sayılı Türk Ceza Kanununda 135 ve 140. maddeler arasında düzenlenmiştir. Sonrasında Anayasada 2010 yılında yapılan değişiklikle kişisel verilerin korunması anayasal güvence altına alınmıştır. 7 Nisan 2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu bu kapsamdaki temel düzenleme olmuştur. MBB Bilgi Teknolojileri Platformu ve Hukuk Platformu üyelerinden oluşan 32 katılımcıyla düzenlenen bir çalıştayda 6698 sayılı Kişisel Verilerin Korunması Kanunu'na ilişkin düzenlemeler ekseninde MBB üye belediyelerinin veri yönetiminde, ne şekilde hareket edeceklerine dair bir rehber niteliğinde olan bu rapor hazırlamıştır. 

Yerel yönetimlerde bu kanuna ilişkin uyum süreci; başta belediye başkanı, daire başkanları, müdürleri ve şefleri ile birlikte belediye bünyesinde çalışan hukuk müşavirleri, avukatlar, insan kaynakları (İK) yöneticileri ve personeli, bilgi işlem merkezi (IT) yöneticileri ve personeli, halka ilişkiler yöneticileri ve personeli, risk bölüm yöneticileri ve personelini ilgilendirmektedir. Bu doğrultuda 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında belediye bünyesinde yapılması gerekenleri tespit etmek ve uyum sürecini başlatmak gerekmektedir. Uyum süreci çalışmalarının zaman ve bütçesinin doğru tespit edilerek verimli kullanılabilmesi için belediye merkezinde ilgili departman yöneticilerinin katılacağı “Kişisel Verilerin Korunması Temel Bilgiler Farkındalık Eğitimi” eğitimi ve sonrasında hukuk ve bilgi işlem birimlerinin katılacağı “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Temel Eğitimi” alınması ihtiyacı tespit edilmiştir.

Uyum Sürecinde Neler Yapılması Gerekiyor?
Öncelikli olarak yapılması gereken belediyelerde mevcut durum analizidir. Bu analizden sonra veri politikaları oluşturulmalıdır. Bu eksende yetki matrisi çalışmaları yapılarak, veri paylaşım şeması oluşturulmalıdır. En önemli aşamalardan biri olan kişisel veri envanteri hazırlanmalıdır. Kişisel veri işleme sistemi ile veriye ilişkin tüm bilgilerin yer alması sağlanmalıdır. Bu verilerin paylaşımı veya saklanması paydaşı olan iş ortaklarıyla yapılan sözleşmeler güncellenmeli veya yenilenmelidir. Bu verilerin korunmasını sağlayacak olan ve kanunen zorunlu olan açık rıza, aydınlatma ve bilgilendirme metinlerinin hazırlanmalı ve ilgililere iletilmelidir. Veri işleme ile ilgili kimseler Verbis’e bildirilmeli; kurumsal iletişim, kurumu ve kişileri bilgilendirme süreçlerini yönetmelidir. Her alanda olduğu gibi bu alanda da eğitim ve farkındalık faaliyetleri geliştirilmelidir. Teknik veri koruma önlemlerinin ne seviyede olduğu tespit edilmelidir. Kişisel veri uyumsuzlukları ve risk listesi belirlenerek; veri silme, periyodik imha ve anonim hale getirme uygulamaları geliştirilmeli, depolanan kişisel verilerin azaltılması yoluna gidilmelidir.

Uyum sürecinde yapılması gerekenler;
1- Veri politikalarının oluşturulması,
2- Yetki matrisi çalışmalarının yapılması,
3- Veri paylaşım şeması oluşturulması,
4- Kişisel veri envanterinin hazırlanması,
5- Veri işlenme sıklığı, türü, amacı, birimi gibi kişisel veri işleme sisteminde bulunması gerekenlerin listesinin oluşturulması,
6- Açık rıza, aydınlatma ve bilgilendirme metinlerinin düzenlemesi,
7- Veri silme, periyodik imha ve anonim hale getirme gibi adımları detaylar halinde açıklanmıştır.