Günümüzde dijitalleşen dünyada kişisel verilerin korunması, sadece ticari işletmeler için değil, dernek ve vakıflar gibi sivil toplum kuruluşları için de büyük önem taşıyor. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi ve korunmasıyla ilgili kapsamlı düzenlemeler getirmiştir. Dernek ve vakıflar da üyelerinin, bağışçılarının, gönüllülerinin ve diğer paydaşlarının kişisel verilerini işledikleri için bu kanun kapsamında önemli yükümlülüklere tabidir. KVKK Kanunu‘na uyum sağlamak, sadece yasal bir zorunluluk değil, aynı zamanda şeffaflık, güven ve itibar açısından da kritik bir adımdır.
Dernek ve Vakıfların KVKK Kapsamındaki Konumu
Dernek ve vakıflar, faaliyetleri gereği çok sayıda kişisel veriyi işlerler. Üye kayıtları, bağışçı bilgileri, etkinlik katılımcı listeleri, gönüllü bilgileri, iletişim bilgileri gibi pek çok veri, KVKK kapsamında kişisel veri olarak kabul edilir. Bu durum, dernek ve vakıfları kanun nezdinde “veri sorumlusu” konumuna getirir. Veri sorumlusu olmaları, kişisel verilerin işlenmesinde belirli ilkelere uymalarını ve çeşitli yükümlülükleri yerine getirmelerini gerektirir. Bu noktada KVKK danışmanlığı almak, dernek ve vakıflar için sürecin daha sağlıklı ve eksiksiz ilerlemesine yardımcı olabilir.
Dernek ve Vakıfların Başlıca KVKK Yükümlülükleri
6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun getirdiği başlıca yükümlülükler dernek ve vakıflar için şu şekilde özetlenebilir:
Aydınlatma Yükümlülüğü: Dernek ve vakıflar, kişisel veri sahiplerini (üyeler, bağışçılar, gönüllüler vb.) verilerinin hangi amaçla işlendiği, kimlere aktarıldığı, toplama yöntemleri ve hukuki sebebi gibi konularda açık ve anlaşılır bir şekilde bilgilendirmek zorundadır. Bu bilgilendirme genellikle bir aydınlatma metni aracılığıyla yapılır. Bu metin, web sitesinde yayınlanabilir veya fiziki olarak sunulabilir.
Açık Rıza Alma Yükümlülüğü: Kişisel verilerin işlenmesi için kanunda belirtilen istisnai haller dışında, veri sahibinden açık rıza alınması esastır. Bu rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olmalıdır. Örneğin, bir derneğe üye olurken, iletişim bilgilerinin derneğin bülten gönderimleri için kullanılmasına dair ayrı bir açık rıza alınması gerekebilir.
Veri Güvenliğini Sağlama Yükümlülüğü: Dernek ve vakıflar, işledikleri kişisel verilerin güvenliğini sağlamakla yükümlüdürler. Bu, veri güvenliğini sağlamak için idari ve teknik tedbirler almayı kapsar. Verilere yetkisiz erişimi engellemek, verilerin kaybolmasını, bozulmasını veya değiştirilmesini önlemek gibi tedbirler alınmalıdır. Bu kapsamda siber güvenlik önlemleri, şifreleme, yetkilendirme sistemleri gibi teknik tedbirler ile veri minimizasyonu, görev ve yetki ayrımı gibi idari tedbirler uygulanmalıdır.
Veri Sorumluları Siciline (VERBİS) Kaydolma Yükümlülüğü: Yıllık çalışan sayısı veya yıllık mali bilanço toplamı belirli eşiklerin üzerinde olan dernek ve vakıflar, Kişisel Verileri Koruma Kurumu (KVKK) bünyesindeki VERBİS’e kayıt olmak zorundadır. Bu kayıt, derneğin veya vakfın kişisel veri işleme envanterini, veri işleme amaçlarını ve veri güvenliği tedbirlerini kamuya açık bir şekilde beyan etmesini gerektirir. Bu yükümlülükler kapsamında güncel eşikleri takip etmek için KVKK danışmanlığı büyük fayda sağlayabilir.
Veri Sahibinin Haklarını Karşılama Yükümlülüğü: 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sahiplerine birtakım haklar tanımıştır. Bu haklar arasında kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, verilerinin düzeltilmesini veya silinmesini isteme gibi haklar bulunur. Dernek ve vakıflar, veri sahiplerinden gelen bu tür taleplere yasal süreler içinde ve usulüne uygun olarak yanıt vermek zorundadırlar.
Periyodik İmha Yükümlülüğü: Kişisel verilerin işlenme amacı ortadan kalktığında veya ilgili mevzuatta belirtilen sürelerin dolması halinde, bu verilerin resmen silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Dernek ve vakıflar, belirli periyotlarla kişisel veri envanterlerini gözden geçirerek gereksiz hale gelen verileri imha etmelidirler.
KVKK Uyum Sürecinde Dikkat Edilmesi Gerekenler
Dernek ve vakıfların KVKK Kanunu‘na uyum süreci, tek seferlik bir işlemden ziyade, sürekli takip ve güncelleme gerektiren bir süreçtir. Bu süreçte dikkat edilmesi gerekenler şunlardır:
Envanter Oluşturma: İlk adım, derneğin veya vakfın işlediği tüm kişisel verilerin kapsamlı bir envanterini çıkarmaktır. Hangi verilerin toplandığı, kimden alındığı, ne amaçla işlendiği, kimlerle paylaşıldığı ve ne kadar süreyle saklandığı gibi bilgiler detaylıca kayıt altına alınmalıdır.
Hukuki Dayanakların Belirlenmesi: Her kişisel veri işleme faaliyeti için KVKK’da belirtilen hukuki dayanaklardan (açık rıza, kanuni zorunluluk, sözleşme ilişkisi vb.) uygun olanın belirlenmesi ve bu dayanaklara göre hareket edilmesi önemlidir.
Politikaların ve Prosedürlerin Oluşturulması: Kişisel verilerin korunması ve işlenmesiyle ilgili iç politikaların (veri saklama ve imha politikası, kişisel veri işleme politikası vb.) ve prosedürlerin oluşturulması, KVKK uyumunun sürdürülebilirliğini sağlar.
Eğitim ve Farkındalık: Dernek veya vakıf bünyesindeki tüm çalışanların ve gönüllülerin KVKK hakkında bilgilendirilmesi ve farkındalıklarının artırılması, olası veri ihlallerinin önüne geçilmesi açısından hayati önem taşır.
Periyodik Denetimler ve Güncellemeler: KVKK uyum sürecinin etkinliğini sağlamak için düzenli olarak denetimler yapılmalı ve değişen mevzuata veya faaliyetlere göre güncellemeler yapılmalıdır.
Dernek ve vakıfların KVKK Kanunu yükümlülüklerini yerine getirmesi, hem yasal risklerden korunma hem de paydaşlar nezdinde güvenilir bir imaj sergileme açısından hayati önem taşımaktadır.
Bu süreçte doğru ve güncel hukuki bilgiye ulaşmak ve profesyonel KVKK danışmanlığı almak için Prestij Marka ‘yı inceleyin. WhatsApp kanalımız üzerinden bize her an ulaşabilirsini.z
