Kurumlar kişisel verilerin muhafazasını ve güvenliğini gerekli olan yeterli teknik ve idari tedbirleri alarak sağlamakla yükümlüdürler. Paylaştıkları 3.kişi ve kurumlarda aynı düzeyde özeni göstermeleri konusunda eşit seviyede sorumludurlar. Tedbirlerin uygulanıp uygulanmadığını da denetlemek veya denetletmek zorundadırlar.
Kurumların, kişisel verilerin kanuna aykırı olarak başkalarının eline geçmesi durumunda kişisel verilerin elde edildiği bireylere ve Kişisel Verileri Koruma Kurumu’na bunu bildirmeleri gerekir.
Kişisel verilerin saklanmasını gerektiren sebep kalmadığında Kanun’da saklanması gereken bir süre yoksa silinmesi gerekir. Bu saklama yükümlülüğüne tabi olunduğuna dair süre Kanun’da belirtilmiş olması gerekir. Örneğin; ilgili kişinin artık firmanızla herhangi bir ilişkisi kalmamışsa veya üyelikten ayrılmışsa bu verilerin silinmesi gerekir.
VERBİS Kaydı Danışmanlığı kapsamında Global KVKK ekibi olarak veri envanteri çalışmanızı yönetmekteyiz
Örneğin; elde ettiğiniz cep telefonu görüşme bilgilerini Elektronik Haberleşme Kanunu gereği iki yıl süre ile saklamak zorundasınız. Bu durumda ilgili kişi abonelikten ayrıldığında dahi bu bilgilerin silinmesini talep edemez.
İlgili kişiler kişisel verilerini saklayıp saklamadıklarını kurumlara sorabilir ve bu noktada kurumlar bu soruları cevaplamakla yükümlüdürler. Hangi amaçlarla ve ne şekilde kullanıldıklarını iletmelidir. Eğer ilgili kişiler kişisel verilerinin kullanılması sonucunda bir zarara uğrar ise, bu zararın tazminini de talep edebilirler.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kurumların yapması gereken süreçler:
- Departmanlar ve görevler bazında eğitimlerin verilmesi (Global E-Learning tarafından verilmektedir)
- Veri envanterinin hazırlanması,
- Açık Rızaların belirlenmesi ve hazırlanması,
- Sözleşmelerin belirlenmesi ve hazırlanması,
- Aydınlatma Metinlerinin hazırlanması,
- Kişilerin taleplerine cevap verilmesi,
- Veri güvenliği ve gizliliği tedbirlerinin alınması ve denetimi.