Uyum Programları ve Genel Veri Koruma Yasası Arasındaki Entegrasyon

Çağdaş toplumdaki hukuki ve ticari ilişkilerin artan karmaşıklığı, kuruluşların yapılandırılmış iç kontrol ve mevzuata uyum mekanizmalarını benimsemesini zorunlu kılmaktadır. Bu bağlamda, uyum (compliance) programlarının uygulanması, yasaların, yönetmeliklerin, etik standartların ve şirket içi politikaların yerine getirilmesini sağlamak için esaslı bir araç haline gelmektedir.

**13.709/2018 Sayılı Kanun'un (Genel Veri Koruma Kanunu – LGPD) yürürlüğe girmesiyle birlikte, Brezilya hukuk sistemi, gizliliğin korunması ve kişisel verilerin korunmasına yönelik yeni bir düzenlemeye kavuşmuş olup, tüm veri işleyicilerine özel yükümlülükler getirmektedir.**

 Bu bağlamda, uyum ile KVKK (Kişisel Verilerin Korunması Kanunu) arasındaki kesişim kaçınılmaz hale gelmektedir. KVKK'ya uyum, sadece teknik bir gereklilikle sınırlı olmayıp, gerçek bir hukuki yükümlülük teşkil etmektedir. Bu yükümlülüğe uyulmaması, idari, hukuki ve belirli durumlarda hatta cezai sorumluluklara yol açabileceği gibi, bu parametrelere uymayan şirketler açısından kurumsal itibara da ciddi zararlar verebilir.

Bu nedenle, uyum programlarının kişisel verilerin işlenmesiyle ilgili riskleri azaltmayı amaçlayan LGPD yönergeleriyle tam olarak uyumlu olması esastır. Dahili kontrollerin uygulanması, etik bir kültürün sağlamlaştırılması ve iyi iş uygulamalarının benimsenmesi, yasa dışı veri sızıntılarını önlemek ve yasal uyumluluğu sağlamak için temel sütunlardır.

Bu akşam, bir şirketin Genel Veri Koruma Kanunu (LGPD) ve Uyum programı yönergelerine uyumlu olması için bir dizi temel önlem alması gerekmektedir. Bunlar arasında şunlar öne çıkmaktadır: kuruluş tarafından işlenen tüm kişisel verilerin (toplanması, depolanması ve imha edilmesi dahil) haritalanması ve belgelenmesi; verilerin nasıl toplandığı, kullanıldığı ve korunduğu hakkında doğru bilgi veren açık ve erişilebilir gizlilik politikaları ve kullanım koşullarının oluşturulması; veri sahibi haklarının (erişim, düzeltme, silme, taşınabilirlik ve onay iptali gibi) kullanılmasını sağlayan bir veri sahibi hizmet kanalının oluşturulması; veri koruma ve iyi güvenlik uygulamaları konusunda çalışanların sürekli eğitimi, bilgi işlemde etik kültürü ve olay önleme bilincinin teşvik edilmesi; güvenlik olaylarına etkili yanıt prosedürlerinin oluşturulması, sızıntı veya yetkisiz erişim durumlarında hızlı ve yapılandırılmış bir müdahaleye olanak tanınması, risk değerlendirmesi ve yetkililere ve veri sahiplerine bildirim yapılması; ve son olarak, sürekli uyumluluğu değerlendirmek ve yasal yönergelerin etkili bir şekilde uygulandığından emin olmak amacıyla düzenli iç denetimlerin yapılması.       

 Yani, veri yönetişimi ise organizasyon içinde verilerin güvenli ve etkili bir şekilde yönetilmesinden sorumlu süreçlerin, politikaların ve yapıların tanımlanmasını içerir. Ancak buna karşılık, bu yönetişim uyumluluk ile uyumlu olmadığında, hem hukuki güvenliğin hem de şirketin itibarının tehlikeye girebileceği bir sorun ortaya çıkar.

Veri yönetişimi ile uyumluluk arasındaki entegrasyon bu nedenle sadece tavsiye edilmekle kalmayıp, bütünlük, sorumluluk ve yasal ve etik gerekliliklere uygun olarak faaliyet göstermeye çalışan kuruluşlar için bir zorunluluktur.

Amanda Batista Fernandes Segala, Rücker Curi Advocacia e Consultoria Jurídica'te avukattır.