Denetimlerin Amacı ve Denetimlerin İçeriği

Uyum Süreci ve Sonrası: Kişisel Verilerin Korunması Kanunu Kapsamında Danışmanlık ve Denetimlerin amacı veri sorumlusu olarak kurum ve kuruluşların, şirketlerin, işletmelerin KVKK’dan kaynaklanan yükümlülüklere riayet edip etmediğinin, varsa düzeltilmesi gereken hususların tespitidir.

Burada hemen belirtmek gerekir ki, bu denetimlerin şirket/kurumun Kanun uyum süreci tamamlandıktan ve VERBİS kaydı tamamlandıktan sonra yapılması gerekmektedir. Burada Kanun uyum sürecinde alınan kararların, oluşturulan politikaların uygulanıp uygulanmadığının tespiti söz konusudur.

Denetim teknik ve idari olmak üzere iki açıdan gerçekleştirilmelidir. Esasen teknik denetim ile veri güvenliği ile ilgili alınan teknik tedbirlerin, idari denetim ile ise veri güvenliği için alınan idari tedbirlerin yeterliliği, mevzuata uyumluluğu, doğru uygulanıp uygulanmadığı, uygulamasında ortaya çıkan hata ve eksiklikler ortaya çıkartılmalıdır.

Denetim sonucunda denetici tarafından detaylı bir rapor hazırlanmalıdır. Eğer raporda yapılması gereken eksiklikler belirtmiş ise bu eksiklikler ivedi olarak tamamlanmalı ve gerekirse tekrar bir deneti yaptırılıp son durum kontrol edilmelidir.

Şirket/kurum tarafından denetici tarafından hazırlanan bu raporlar ve rapor sonucunda ortaya konan eksiklikler ile ilgili yapılan işlemler de kayıt altına alınmalı ve şirket/kurum tarafından saklanmalıdır.

Denetimin Kanun uyum hizmetini veren dışında başka kimseler tarafından yapılması hem ikinci bir göz olarak uyum hizmetinde yapılan muhtemel yanlışların bertaraf edilmesi hem de denetimin güvenilirliği açısından önerilmektedir.

Çünkü uyum hizmetini veren kişilerin, denetim hizmetini sunarken kendi önceki hizmetleriyle ilgili olarak olumsuz yorumlarda bulunmaları hayatın olağan akışına aykırı olabilir.

KVKK bu konuda hem periyodik hem de rastgele denetimlerden bahsetmektedir. Periyodik denetimlerin azami yılda bir yapılması önerilmektedir.

Bu denetimler öncesinde şirket/kurum denetimden haberdar olacağı için eksikliklerin veya yanlışlıkların giderilmesi mümkündür. Bu durumda denetimin gerçek amacına ulaşamama ihtimali bulunmaktadır.

Bu dezavantajın önüne geçilmesi için zaman zaman rastgele denetimlerin de gerçekleştirilmesi KVKK tarafından önerilmektedir.

• Veri işleme ve bireylerin hak ve özgürlükleri ile ilgili riski azaltmak için etkili önlemleri almak
• Dokümanları Kurul Kararları ve mevzuat değişikliği uyarınca güncel tutmak
• İlgili kişilerin başvuru süreçlerini yönetmek

KVKK denetimleri, yalnızca mevzuata uyumun kontrolü değil; aynı zamanda veri güvenliği kültürünün sürdürülebilirliği açısından da kritik öneme sahiptir.