KVKK Danışmanlığı

  • Ev
  • KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Özel hayatın gizliliği ve korunması, kişinin temel haklarından biridir. Kişisel verilerin korunmasıyla ilgili bu hak, 2010 yılında eklenen bir hüküm ile Anayasamızın 20. maddesinde güvence altına alınmıştır. İlgili maddenin uygulanması kapsamında ve kişisel veriler konusunda ülkemizde atılan en önemli adım ise 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)‘dur. KVKK, Avrupa Birliği’ne uyum çerçevesinde hazırlananmış ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun tam metnine ulaşmak için lütfen tıklayınız. BA Teknoloji olarak KVKK Danışmanlığı süreçlerini söz konusu kanun kapsamında güncel mevzuatı takip ederek yürütüyoruz.KVKK’yı anlayabilmek için öncelikle kişisel verinin tanımı yapmak gerekmektedir.
KVKK ile kişisel verilerin işlenmesi faaliyetlerine denetim mekanizmaları öngörülmüştür. Ayrıca mevzuatın temel mantığı, kişisel verilerin işlenmesini kısıtlamak veya sınırlandırmak değil, sadece belli standartlar belirleyerek hem veri sorumlusunu hem de verisi işlenen gerçek kişileri  korumaktır. Bu kapsamda kanunun amaçları; kişisel verilerin işlenmesinde özel hayatın gizliliğini ve kişinin mahremiyetini korumak, veri güvenliğini sağlamak, kişisel verilerin işlenmesi süreçlerini disiplin altına almak, veri sorumlusu ve veri işleyen gerçek/tüzel kişilerin uyması gereken kuralları belirlemektir.
KVKK kapsamına; kişisel verileri işlenen gerçek kişiler ve kişisel verileri işleyen gerçek ve tüzel kişiler girmektedir. Bu nedenle tüm ticari işletmeler ve organizasyonlar gerekli hukuki ve teknik tedbirleri almak zorundadır. Söz konusu süreçlerin mevzuata tam olarak uygun yürütülebilmesi için profesyonel KVKK Danışmanlığı hizmeti almak gerekmektedir. Tüzel kişilerle ilgili bilgiler kanun kapsamında değildir. Örneğin, bir şirketin ticaret yaptığı firmalara ilişkin tutulan kayıtlar; şirketin vergi kimlik numarası, MERSİS numarası, adresi, kurumsal e-posta adresleri, banka hesap numaraları gibi bilgiler kanun kapsamında değildir. Fakat aynı şirketin çalışanlarına ilişkin tutmuş olduğu tüm kişisel veriler kanun kapsamında korunmaktadır.
Kişisel veriler alanında, kanuna aykırı işlenebilecek fiiller, suç ya da kabahat kapsamında değerlendirilmektedir. Suç kapsamındaki fiillerin karşılığı olan cezalarda Türk Ceza Kanunu’na (TCK) atıfta (KVKK m.17) bulunulmaktadır ve söz konusu yaptırımlar gerçek kişilere uygulanır. Bunlar;
  • Kişisel ve nitelikli kişisel verileri hukuka aykırı olarak kaydetmek
  • Kişisel verileri hukuka aykırı olarak vermek, yaymak veya ele geçirmek
  • Kanunla belirlenen süreler geçmiş olmasına rağmen verileri imha etmemek.
  • Kanunen imha edilmesi gereken verileri imha etmemek.
business-corporate-protection-safety-security-concept-2048x1323

KVKK’da verilen tanımına göre, kişisel veri, belirli ya da belirlenebilir bir kişiye ilişkin her türlü bilgidir. Bu bilgilere örnek olarak; kimlik bilgiler, fiziksel özellikler, etnik köken, sağlık, eğitim, cinsel yaşam, haberleşme bilgisi, kredi kartı bilgisi, ekonomik durum, alışveriş alışkanlıkları, aile hayatı, özgeçmiş, ses, görüntü ve biyometrik bilgiler verilebilir.

KVKK Uyum Programı

KVKK Hukuki ve Teknik Tedbirler

Averd Teknoloji olarak, KVKK Danışmanlığı süreçlerini hem hukuki hem de teknik tedbirler kapsamında bütüncül bir yaklaşımla ele alıyoruz. Ayrıca, tüm süreçleri KVKK Danışmanlığı alan veri sorumlusunun (işletme, kurum ve kuruluşlar) ofislerinde ve sürekli iletişim halinde yürütüyoruz.

KVKK Danışmanlığı Uyum programı, (Compliance Program) bir kurum ve kuruluşun ilgili mevzuata ve mevcut uluslararası regülâsyonlara uyumlu hale getirilme sürecidir. Kişisel Verilerin Korunması Kanunu, 2016 ‘da kabul edilmiş olup, 2018’de yürürlüğe girmiştir. Kişisel Verilerin Korunması Kurumu kararları ve mevzuat kapsamında ülkemizde yerleşik bir uygulama oluşmuş durumdadır. Bu düzenlemeler, kuruluşlar için farklı yükümlülükler öngörülmektedir.

Aydınlatma Yükümlülüğü

Dokümantasyon, KVKK Danışmanlığı Uyum Programı ile ilgili en çok karşılaşılan sorunlardan biridir. Kişisel Verilerin Korunması Kanunu kapsamında aydınlatma ve açık rıza alma yükümlülükleri ile ilgili uygulamalar oldukça benimsenmiştir. Aydınlatma yükümlülüğü belirli bir kanun kapsamında işlenen kişisel veriler için dahi yerine getirilmesi gereken bir yükümlülüktür. Aydınlatma yükümlülüğü belirli bir şekle bağlanmamıştır. Açık rıza ise, kanundan veya bir sözleşmeden kaynaklanmayan veri işleme faaliyetleri gibi işlenmesi rızaya bağlı kişisel verileri işleyebilmek için getirilmiş bir ön yükümlülüktür. Sağlık verileri, biyometrik veriler gibi özel nitelikli kişisel verileri işleyebilmek için, sır saklama yükümlülüğü bulunanlar hariç, açık rıza alınması kuraldır.

Kişisel Veri Envanterinin Hazırlanması

Her ne kadar kişisel verilerin korunması ile ilgili akıllara ilk VERBİS kaydı gelse de, kişisel veri envanteri, KVKK Danışmanlığı Uyum Programı’nın ana yapıtaşıdır. Bir kurum veya kuruluş bünyesinde işlenmiş olan tüm kişisel verilerin kategorize edilerek sıralandığı, işlenme amaçlarının ve idari – teknik tedbirler kapsamında alınan önlemlerin bulunduğu bu döküm, sonraki aşamada VERBİS kaydı yapılırken yararlanacağımız ana doküman olacaktır. Envanter hazırlanırken yapılacak olan dosya incelemeleri titizlikle yürütülmeli, eğer imha edilen kişisel veriler mevcut ise mutlaka imha tutanağı tutulmalıdır. Kişisel veri envanteri sürekli olarak güncel tutulmalıdır.

KVKK Teknik Tedbirlerin Alınması

Veri sorumluları, kişisel verileri korumak amacıyla gerekli seviyede bilgi sistem güvenlik tedbirlerini almalıdır. Teknik tedbirlerin çerçevesi net olarak belirlenmemiştir.   Burada anlaşılması gereken, organizasyonun, siber güvenlik kapsamında kullandığı yöntemleri, politikaları, risk yönetimini ve analizini,  personel eğitimlerini, kullanılan teknolojileri ve ağ alt yapısını gözden geçirerek, yeterli düzeyde bir güvenlik sağlamasıdır. Günümüzde oluşan tehditler ve bu tehditlerden bireylerin ve kurumların gördükleri zararlar göz önüne alındığında siber güvenliğin önemi daha iyi anlaşılacaktır.

VERBİS Kaydının Yapılması

VERBİS, her veri sorumlusunun kayıt olma zorunluluğu olan bir sicil değildir. Yıllık mali bilançosu 25 Milyon TL veya 50’den fazla işçi çalıştıran veri sorumluları, VERBİS’ e kayıt olmak ile yükümlüdür. Bunun dışında ana faaliyet konusu özel nitelikli kişisel veri işlemek olan kurum ve kuruluşlar bu şartları sağlamasalar dahi VERBİS’ e kayıt olmakla yükümlüdürler. Kamu kurum ve kuruluşları da VERBİS’e kayıt olup, kişisel verilerin korunması ile ilgili gereken önlemleri alarak uyumluluğunu sağlamalıdırlar.

Farkındalık Eğitimleri

Bir KVKK Danışmanlığı Uyum Programı’nın kalıcı ve sürdürülebilir olmasının en temel şartı eğitim süreçlerinin başarılı geçmiş olmasıdır. KVKK eğitiminin, uygulama odaklı olması gerekmektedir. Aksi takdirde, uyum programının etkisi geçici olacaktır. Özel nitelikli kişisel veri işleyen işletmelerin 6 ayda bir personeline kişisel verilerin korunması ile ilgili eğitimi sağlaması tavsiye edilir.