Cevap evet ise hukuki risk çoktan başlamış olabilir.
Bugün birçok şirket veri toplamaya odaklanırken, veriyi ne zaman ve hangi hukuki dayanakla sistemden çıkaracağını aynı ciddiyetle yönetmemektedir. Oysa kişisel verilerin hukuka uygun işlenmesi kadar, işlenme sebebi ortadan kalktığında (ilgili mevzuatta herhangi bir azami saklama süresi belirlenmemişse) sistemlerden çıkarılması da KVKK gereği yasal bir yükümlülüktür.
Sözleşmesi sona ermiş müşterilere ait kayıtlar, yıllardır bekleyen iş başvuruları, ayrılmış çalışanlara ilişkin gereğinden fazla belgeler, kullanılmayan üyelik hesapları, eski kampanya listeleri ve amacı kalmamış iletişim verileri hala aktif sistemlerde tutuluyorsa risk oluşturabilir. Bu durum çoğu zaman operasyonel alışkanlık gibi görülse de, hukuken açıklanması gereken ciddi bir uyumsuzluk alanıdır.
Asıl risk, şirketlerin veriyi neden tuttuğunu artık ispat edemediği noktada başlar. Çünkü “bir gün lazım olur”, “sistemde dursun”, “henüz silmedik” yaklaşımı herhangi bir hukuki işleme şartı yaratmaz.
Burada kritik soru şudur:
-Şirketiniz belirli periyotlarla tüm veri kategorilerini gözden geçiriyor mu?
-Hangi verinin neden tutulduğunu, ne zaman silineceğini ve hangi birimin sorumlu olduğunu gösterebiliyor mu? Yoksa yıllardır biriken veriler fark edilmeden kurumsal risk stoğuna mı dönüşüyor?
Denetimlerde sorun sadece veri ihlalinden değil, gereksiz veri saklamadan da çıkabilir. Çünkü ihtiyaç dışı tutulan her kayıt; ek güvenlik yükü, ek açıklama yükümlülüğü ve ek yaptırım ihtimali yaratır.
Veri koruma uyumu, yalnızca aydınlatma metni yayımlamakla sağlanmaz. Gerçek uyumun önemli bir kısmı; saklama sürelerini belirlemek, periyodik imha kontrolleri yapmak, departman bazlı veri envanterini güncellemek ve işleme sebebi sona eren ve tutulmaması gereken veriyi resen sistemden çıkarmakla mümkündür.
Bugün birçok şirketin ihtiyacı yeni veri toplama stratejisi değil; mevcut veriyi hukuken yeniden değerlendirecek kapsamlı bir revize sürecidir. Çünkü bazı riskler saldırıyla değil, yıllardır sessizce tutulan verilerle büyür.
İşbu yazı sadece genel bilgilendirme amacı ile hazırlanmış olup, bu yazı içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. Yazı kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir. İşbu yazı içeriğinden dolayı herhangi bir şekilde MT Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir.