KVKK DANIŞMANLIĞI

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Özel hayatın gizliliği ve korunması, kişinin temel haklarından biridir. Kişisel verilerin korunmasıyla ilgili bu hak, 2010 yılında eklenen bir hüküm ile Anayasamızın 20. maddesinde güvence altına alınmıştır. İlgili maddenin uygulanması kapsamında ve kişisel veriler konusunda ülkemizde atılan en önemli adım ise 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)‘dur. KVKK, Avrupa Birliği’ne uyum çerçevesinde hazırlananmış ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun tam metnine ulaşmak için lütfen tıklayınız. BA Teknoloji olarak KVKK Danışmanlığı süreçlerini söz konusu kanun kapsamında güncel mevzuatı takip ederek yürütüyoruz.

KVKK’yı anlayabilmek için öncelikle kişisel verinin tanımı yapmak gerekmektedir.

KVKK’da verilen tanımına göre, kişisel veri, belirli ya da belirlenebilir bir kişiye ilişkin her türlü bilgidir. Bu bilgilere örnek olarak; kimlik bilgiler, fiziksel özellikler, etnik köken, sağlık, eğitim, cinsel yaşam, haberleşme bilgisi, kredi kartı bilgisi, ekonomik durum, alışveriş alışkanlıkları, aile hayatı, özgeçmiş, ses, görüntü ve biyometrik bilgiler verilebilir.

KVKK'nın Amacı Nedir?

KVKK ile kişisel verilerin işlenmesi faaliyetlerine denetim mekanizmaları öngörülmüştür. Ayrıca mevzuatın temel mantığı, kişisel verilerin işlenmesini kısıtlamak veya sınırlandırmak değil, sadece belli standartlar belirleyerek hem veri sorumlusunu hem de verisi işlenen gerçek kişileri  korumaktır. Bu kapsamda kanunun amaçları; kişisel verilerin işlenmesinde özel hayatın gizliliğini ve kişinin mahremiyetini korumak, veri güvenliğini sağlamak, kişisel verilerin işlenmesi süreçlerini disiplin altına almak, veri sorumlusu ve veri işleyen gerçek/tüzel kişilerin uyması gereken kuralları belirlemektir.

Veri Gizliliği

Kişisel verilerin işlenmesinde özel hayatın gizliliğini ve kişinin mahremiyetini korumak.

Veri Güvenliği

Veri güvenliğini sağlamak ve kişisel verilerin işlenmesini disiplin altına almak.

Hukuki Sorumluluk

Veri sorumlusu ve veri işleyen durumundaki gerçek ve tüzel kişilerin yükümlülüklerini, uyacakları usul ve esasları belirlemek.

KVKK Kapsamı Nedir?

KVKK kapsamına; kişisel verileri işlenen gerçek kişiler ve kişisel verileri işleyen gerçek ve tüzel kişiler girmektedir. Bu nedenle tüm ticari işletmeler ve organizasyonlar gerekli hukuki ve teknik tedbirleri almak zorundadır. Söz konusu süreçlerin mevzuata tam olarak uygun yürütülebilmesi için profesyonel KVKK Danışmanlığı hizmeti almak gerekmektedir. Tüzel kişilerle ilgili bilgiler kanun kapsamında değildir. Örneğin, bir şirketin ticaret yaptığı firmalara ilişkin tutulan kayıtlar; şirketin vergi kimlik numarası, MERSİS numarası, adresi, kurumsal e-posta adresleri, banka hesap numaraları gibi bilgiler kanun kapsamında değildir. Fakat aynı şirketin çalışanlarına ilişkin tutmuş olduğu tüm kişisel veriler kanun kapsamında korunmaktadır.

KVKK Danışmanlığı
KVKK Danışmanlığı Ankara
Kural olarak Kişisel Verilerin Korunması Kanunu’nda kamu ya da özel kuruluşlar açısından bir ayrıma gidilmemiştir. Bu nedenle kamu kurum ve kuruluşları da gerekli tedbirleri almak zorundadır. Mevzuata uyumluluğu sağlayabilmek için kamu kurum ve kuruluşlarının da alanında uzman KVKK Danışmanlığı firmaları ile birlikte süreçleri yürütmeleri gerekmektedir.  

KVKK Kapsamında Öngörülen Cezalar

Kişisel veriler alanında, kanuna aykırı işlenebilecek fiiller, suç ya da kabahat kapsamında değerlendirilmektedir. Suç kapsamındaki fiillerin karşılığı olan cezalarda Türk Ceza Kanunu’na (TCK) atıfta (KVKK m.17) bulunulmaktadır ve söz konusu yaptırımlar gerçek kişilere uygulanır. Bunlar;

  • Kişisel ve nitelikli kişisel verileri hukuka aykırı olarak kaydetmek
  • Kişisel verileri hukuka aykırı olarak vermek, yaymak veya ele geçirmek
  • Kanunla belirlenen süreler geçmiş olmasına rağmen verileri imha etmemek.
  • Kanunen imha edilmesi gereken verileri imha etmemek.
VERBİS Kayıt

Kabahat kapsamındaki fiillerim karşılığı idari para cezaları ise, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Bu kabahatler bir kamu tüzel kişisi tarafından işlenmesi durumunda ise, Kişisel Verileri Koruma Kurulun yapacağı bildirim üzerine, ilgili kurumdaki çalışan hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Kişisel veri ihlali durumunda, KVKK kapsamında işletmelere 1.966.862 TL yi aşabilen idari para cezaları öngörülmektedir. Ayrıca, ihlalden sorumlu kişiler, 5237 Sayılı Türk Ceza Kanunu (TCK) kapsamında 4 yıla kadar hapis cezası ile yargılanmaktadır.
VERİ SORUMLUSU
Hangi kişisel verilerin, nasıl ve hangi amaçlarla işleneceği, kimlerle paylaşılacağı ve ne kadar süreyle saklanacağı gibi kararları veren gerçek ya da tüzel kişidir.
İRTİBAT KİŞİSİ
Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişidir.
VERİ İŞLEYEN
Veri sorumlusunun kendisi adına veri işlemesi için yetki verdiği gerçek ya da tüzel kişilerdir. Veri işleyen veri sorumlusu tarafından verilen talimatlara göre çalışır.

KVKK Uyum Programı

KVKK Hukuki ve Teknik Tedbirler

BA Teknoloji olarak, KVKK Danışmanlığı süreçlerini hem hukuki hem de teknik tedbirler kapsamında bütüncül bir yaklaşımla ele alıyoruz. Ayrıca, tüm süreçleri KVKK Danışmanlığı alan veri sorumlusunun (işletme, kurum ve kuruluşlar) ofislerinde ve sürekli iletişim halinde yürütüyoruz.

KVKK Danışmanlığı Uyum programı, (Compliance Program) bir kurum ve kuruluşun ilgili mevzuata ve mevcut uluslararası regülâsyonlara uyumlu hale getirilme sürecidir. Kişisel Verilerin Korunması Kanunu, 2016 ‘da kabul edilmiş olup, 2018’de yürürlüğe girmiştir. Kişisel Verilerin Korunması Kurumu kararları ve mevzuat kapsamında ülkemizde yerleşik bir uygulama oluşmuş durumdadır. Bu düzenlemeler, kuruluşlar için farklı yükümlülükler öngörülmektedir.

Her ne kadar kişisel verilerin korunması ile ilgili akıllara ilk VERBİS kaydı gelse de, kişisel veri envanteri, KVKK Danışmanlığı Uyum Programı’nın ana yapıtaşıdır. Bir kurum veya kuruluş bünyesinde işlenmiş olan tüm kişisel verilerin kategorize edilerek sıralandığı, işlenme amaçlarının ve idari – teknik tedbirler kapsamında alınan önlemlerin bulunduğu bu döküm, sonraki aşamada VERBİS kaydı yapılırken yararlanacağımız ana doküman olacaktır. Envanter hazırlanırken yapılacak olan dosya incelemeleri titizlikle yürütülmeli, eğer imha edilen kişisel veriler mevcut ise mutlaka imha tutanağı tutulmalıdır. Kişisel veri envanteri sürekli olarak güncel tutulmalıdır.

VERBİS, her veri sorumlusunun kayıt olma zorunluluğu olan bir sicil değildir. Yıllık mali bilançosu 25 Milyon TL veya 50’den fazla işçi çalıştıran veri sorumluları, VERBİS’ e kayıt olmak ile yükümlüdür. Bunun dışında ana faaliyet konusu özel nitelikli kişisel veri işlemek olan kurum ve kuruluşlar bu şartları sağlamasalar dahi VERBİS’ e kayıt olmakla yükümlüdürler. Kamu kurum ve kuruluşları da VERBİS’e kayıt olup, kişisel verilerin korunması ile ilgili gereken önlemleri alarak uyumluluğunu sağlamalıdırlar.

Dokümantasyon, KVKK Danışmanlığı Uyum Programı ile ilgili en çok karşılaşılan sorunlardan biridir. Kişisel Verilerin Korunması Kanunu kapsamında aydınlatma ve açık rıza alma yükümlülükleri ile ilgili uygulamalar oldukça benimsenmiştir. Aydınlatma yükümlülüğü belirli bir kanun kapsamında işlenen kişisel veriler için dahi yerine getirilmesi gereken bir yükümlülüktür. Aydınlatma yükümlülüğü belirli bir şekle bağlanmamıştır. Açık rıza ise, kanundan veya bir sözleşmeden kaynaklanmayan veri işleme faaliyetleri gibi işlenmesi rızaya bağlı kişisel verileri işleyebilmek için getirilmiş bir ön yükümlülüktür. Sağlık verileri, biyometrik veriler gibi özel nitelikli kişisel verileri işleyebilmek için, sır saklama yükümlülüğü bulunanlar hariç, açık rıza alınması kuraldır. Aydınlatma metinleri ve açık rıza metinleri dışında politika ve prosedürler hazırlanırken de bir uzmandan (KVKK Danışmanlığı) yardım alınmalı ve alenileştirilmesi gerekenler internet sitesinde yayınlanmalıdır.

Bir KVKK Danışmanlığı Uyum Programı’nın kalıcı ve sürdürülebilir olmasının en temel şartı eğitim süreçlerinin başarılı geçmiş olmasıdır. KVKK eğitiminin, uygulama odaklı olması gerekmektedir. Aksi takdirde, uyum programının etkisi geçici olacaktır. Özel nitelikli kişisel veri işleyen işletmelerin 6 ayda bir personeline kişisel verilerin korunması ile ilgili eğitimi sağlaması tavsiye edilir.

Veri sorumluları, kişisel verileri korumak amacıyla gerekli seviyede bilgi sistem güvenlik tedbirlerini almalıdır. Teknik tedbirlerin çerçevesi net olarak belirlenmemiştir.   Burada anlaşılması gereken, organizasyonun, siber güvenlik kapsamında kullandığı yöntemleri, politikaları, risk yönetimini ve analizini,  personel eğitimlerini, kullanılan teknolojileri ve ağ alt yapısını gözden geçirerek, yeterli düzeyde bir güvenlik sağlamasıdır. Günümüzde oluşan tehditler ve bu tehditlerden bireylerin ve kurumların gördükleri zararlar göz önüne alındığında siber güvenliğin önemi daha iyi anlaşılacaktır.

Profesyonel Destek

Hedefimiz her anlamda müşterilerimizin iş sahasını kolaylaştırmak, onları bilişim suçlarından ve suçlularından korumak ve firma yükümlülüklerini mevzuata göre eksiksiz yerine getirilmesini temin ederek onları cezai yaptırımlardan kurtarmaktır.

Daha Detaylı Bilgi İçin

Sıkça Kullanılan Terimler

KVKK kapsamında kullanılan terimlerin ne anlama geldiğini öğrenin.

Daha Fazlası

KVKK ve GDPR

KVKK ve GDPR – farkları ve benzerlikleri hakkında bilgi sahibi olun.

Daha Fazlası

Kişisel Veri Yükümlülükleri

Veri Sorumlusu ve Veri İşleyenin Sorumlulukları ile ilgili daha detaylı bilgi sahibi olun.

Daha Fazlası

Veri Envanteri Hazırlama

Veri envanteri hazırlarken nelere dikkat etmeniz gerektiğini öğrenin.

Daha Fazlası

İletişim Formumuzu Doldurunuz

    500
    Mesaj Gönder
    1
    Merhaba, nasıl yardımcı olabiliriz?