KİŞİSEL VERİ NEDİR?
Kişisel veri(Kimlik, İletişim, Eğitim, Finansal Veriler vs.) ve belirli veya kimliği belirlenebilir bir gerçek kişiye ait her türlü bilgidir. Bu veriler, tek başına veya başka verilerle birleştirildiğinde ilgili kişinin kimliğinin belirlenmesine olanak tanır. Bazı kişisel veriler ise kişiyi toplumda daha dezavantajlı bir konuma sokabileceği için daha da hassas olup, özel nitelikli kişisel veriler olarak kabul edilir. Bunlar kanunda ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler şeklinde sayılmıştır.

6698 Sayılı Kanun Nedir?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi, saklanması ve korunmasına yönelik usul ve esasları belirleyen Türkiye’deki temel yasal düzenlemedir. 2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların ilgili kanunla düzenleneceği öngörülmüştür. Kanunun temel amacı, kişisel verilerin işlenirken özel hayatın gizliliğini korumak ve kişisel verilerin hukuka uygun şekilde işlenmesini sağlamaktır.

6698 Sayılı Kanun Kimleri Kapsamaktadır? Kanuna Uyum Süreci Nasıl Gerçekleştirilir?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır. Bu kapsamda hem özel sektör hem de kamu kurumları KVKK'ya uymak zorundadır. Uyum süreci temel olarak şu şekildedir;

1-) Aydınlatma Metni  ve KVKK Politika ve Prosedürlerin  Hazırlanması
Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır . Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır. Kısaca Aydınlatma Yükümlülüğü her işletme için zorunludur ve bu yükümlülük yerine getirilmediği takdirde idari para cezası ile karşılaşılabilir.
KVKK politikalarını ise şirketlerin kişisel veri işleme süreçlerini düzenleyen iç yönetmelikler şeklinde açıklayabiliriz. Bu politikaları ise Kişisel Veri Koruma Politikası, Kişisel Veri Saklama ve İmha Politikası, Veri İhlali Bildirim Prosedürü, Çalışanlara Yönelik KVKK Uyum Politikaları, Üçüncü Taraflarla Veri Paylaşımı Politikaları, Saklama ve İmha Politikası şeklinde sayabiliriz.

2-) Kişisel Veri İşleme Envanteri Hazırlanması
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. 

3-) İş Sözleşmesi, Disiplin Yönetmeliği, Sözleşmeler ve Gizlilik Taahhütnamelerinin Düzenlenmesi
KVKK kapsamında iş sözleşmelerinde, disiplin yönetmeliklerinde, tedarikçi sözleşmelerinde ve gizlilik taahhütnamelerinde gerekli düzenlemeler yapılmalıdır.
İş Sözleşmelerinde KVKK Düzenlemelerinin yapılmasındaki Amaç: İşveren, çalışanların kişisel verilerini toplarken, işlerken ve saklarken KVKK hükümlerine uymasıdır.
Disiplin Yönetmeliğinde KVKK Düzenlemeleri Amaç: KVKK kapsamında çalışanların veri güvenliğini ihlal edecek davranışlardan kaçınmalarını sağlamak ve disiplin sürecinde kişisel veri kullanım kurallarını belirlemektir.
Hizmet, Tedarikçi ve İş Ortaklığı Sözleşmelerinde KVKK Düzenlemeleri Amaç: Şirketin müşteri, tedarikçi, iş ortakları ve alt yüklenicileriyle olan sözleşmelerinde, kişisel verilerin korunmasına yönelik yükümlülükleri düzenlemektir.
Gizlilik ve Kişisel Veri Koruma Taahhütnamesi Amaç: Çalışanların ve iş ortaklarının, kişisel verileri KVKK hükümlerine uygun olarak koruyacaklarına dair yazılı bir taahhüt vermeleridir.

4-) Risk Analizleri ve Eğitim ve Farkındalık Faaliyetleri
Kişisel veri işleme süreçlerinde güvenlik risklerini belirlemek, veri ihlallerini önlemek  amacıyla risk analizleri yapılmalıdır. Bu süreçte  öncelikle kişisel veri varlıkları belirlenmeli sonrasında  Risk Kaynaklarının Tespiti , Risklerin Etki ve Olasılık Analizi , Kontrol Önlemlerinin Belirlenmesi , Düzenli Denetim ve Güncellemeler yapılmalıdır.
Kanun ve buna bağlı yönetmelikler Kişisel verilerin korunması hakkında düzenli olarak çalışanlara eğitimler verilmesini gerektirmektedir. Böylece çalışanların KVKK'ya uyum sağlaması kolaylaşacak ve veri ihlallerini minimum seviyeye çekilecektir.

5-) Kurumsal İletişim ve İtibar Yönetimi
Kurumsal iletişim süreci hem veri sahibi ilgili kişi ile işletme arasındaki hem de kurul ile işletme arasındaki iletişimi kapsamaktadır. Bu iletişim için Kriz Yönetimi stratejileri oluşturulmalı ve Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri düzenlenmelidir. Kurumsal iletişim sürecinin sağlıklı şekilde tesisi şirketlerin güvenilirlik ve şeffaflık ilkesine dayalı bir imaj oluşturmasına yardımcı olur.  Bu imaj ve itibar şirketler açısından büyük önem taşımaktadır zira KVKK ihlalleri ve veri güvenliği hataları şirketin itibarına büyük zarar verebilir. 

6-) Veri Sorumluları Sicil Bilgi Sistemi
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16'ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmüne haizdir. Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.  Kanunda yer alan istisnalar göz önüne alındığında  sicile kayıt yükümlülüğü bulunan grupları şu şekilde  sayabiliriz;
*  Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları
* Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları
* Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'den az olup, ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları
* Kamu kurum ve kuruluşu veri sorumluları
sicile kayıt olmakla yükümlüdürler aksi takdirde idari para cezası ile karşılaşma riski mevcuttur.

Bir işletmenin KVKK ve GDPR(AB Kişisel Verilerin Korunması Mevzuatı) uyum sürecine uyum sağlamasının avantajları nelerdir?
* Hukuki Güvence ve Risk Minimizasyonu
KVKK ve GDPR kapsamında belirlenen yükümlülüklere uyum sağlamak, yüksek idari para cezaları ve hukuki yaptırımlardan kaçınmanıza yardımcı olur ve olası yasal sorunların önüne geçilmesini sağlar.
* Müşteri Güveni ve İtibar
Müşteriler, kişisel verilerinin güvenli bir şekilde işlendiğini bildiklerinde, işletmeye olan güvenleri artar. Bu durum marka imajınızı güçlendirir.  Ayrıca veri koruma konusundaki hassasiyet ve şeffaflık, rakipleriniz arasında sizi öne çıkarır. Özellikle veri güvenliğine önem veren sektörlerde bu durum müşteriler için belirleyici bir faktör olabilir. Ve son olarak müşteriler, verilerinin korunacağına emin oldukları işletmelerle uzun süreli ilişkiler kurma eğilimindedir. Bu durum, müşteri sadakatini artırır.
* Uluslararası Pazarda Rekabet Gücü
GDPR uyumu, işletmenizin Avrupa Birliği (AB) ve diğer uluslararası pazarlarda faaliyet göstermesi için bir ön koşul haline gelmiştir. Bu sayede, işletme uluslararası arenada güvenilir bir partner olarak öne çıkar. Ayrıca Veri koruma konusunda uluslararası standartlara uygunluk, potansiyel iş ortaklıkları ve müşteri ilişkilerinde avantaj sağlar.
*İçsel Farkındalık ve Kültür Oluşturma
Düzenli eğitim ve farkındalık faaliyetleri, çalışanların veri koruma konusundaki bilinç düzeyini artırır ve şirket genelinde güvenlik kültürünün oluşmasına katkı sağlar. 

KVKK ve GDPR uyum sürecine giren işletmeler, yasal riskleri minimize ederken müşteri güveni, marka itibarı ve operasyonel verimlilik gibi önemli avantajlar elde ederler. Bu uyum süreci aynı zamanda, uluslararası pazarda rekabet gücünü artırır ve şirket içinde güçlü bir veri yönetimi kültürü oluşturarak uzun vadeli başarıya katkıda bulunur.

Her iki düzenlemeye de uyum sağlamak, sadece yasal bir zorunluluk değil; aynı zamanda işletmenin stratejik bir yatırımıdır.