KVKK UYUM SÜRECİ

Avrupa Birliğine uyum kapsamında hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu - KVKK 07 Nisan 2016 da yayımlanarak yürürlüğe girmiştir.
Detaylı bilgi için bizlere 0216 640 11 01 numaralı telefonumuzdan ulaşabilirsiniz.
KVKK UYUM SÜRECİ.

Kişisel Verilerin Korunması Kanunu Uyum Süreci

Kişisel verileri koruma amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu getirilmiştir. 7 Nisan 2016 tarihinde, veri sorumlularının yükümlülükleri belirlenerek, zorunlu hale getirilmiştir. Uyum süreci kapsamında, veri sorumlularının hukuka uygun veri işleme, Verbis Kayıt, "Veri Sorumluları Sicil Bilgi Sistemine" bağlı olarak " Saklama ve İmha Politikası" ile "Kişisel Veri İşleme Envanteri" hazırlama ve gerekli tedbirleri almak gibi yükümlülükler bulunmaktadır.

KVKK Uyum Süreci ile, 2016 yılından beri, kurumların, şirketlerin ve kuruluşların, yasal mevzuata uymayanlara cezai işlemler yapıldığı bir kanundur. Cezalar, kuruluşların genelini kapsayan bir kanundur.

KVKK Uyum Süreci Kapsamında, Şirketlerin Yapması Gerekenler

Kişisel verilerin korunması hukukuna göre, şirketlerin yapması gerekenler, maddeler halinde, aşağıda bulunmaktadır.

1.            Veri envanterinin oluşturulması,
2.            Kurumsal politika prosedürlerin oluşturulması (Veri işleme ve saklama politikası, imha politikası, bilgi güvenliği politikası, özel nitelikli veri politikası vs.)
3.            Gizlilik sözleşmeleri, taahhütnameler (çalışan, müşteri, tedarikçi vs.),
4.            Aydınlatma metni (çalışanlar ve 3. Kişiler için),
5.            Açık rıza alınması(çalışan, müşteri, tedarikçi vs.),
6.            Risk analizi yapılması
7.            Farkındalık eğitimi
8.            VERBİS kaydının yapılması

Verbis Kayıt Nedir?

Veri Sorumluları Sicil Bilgi Sistemidir. Veri işleme faaliyetleri ve veri sorumlularının kayıt olmak zorunda oldukları ilgili bilgileri beyan ettikleri bir kayıt sistemi olup, Kanun gereği yapılması zorunludur. Sicile ilişkin esaslar, Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir. Devlet tarafından yapılacak denetimler sonucu, kişisel verilerin korunması uyum süreci ile ilgili gerekli önlemlerin alınması, işletmelerin, kurumların veya kuruluşların cezai bir işlem uygulanmaması için önemlidir. Kanuna göre, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Veri işleme faaliyetlerine başlamadan önce, Kayıt işleminin tamamlanması gerekmektedir.

A1 Belgelendirme olarak bize en çok danışılan konulardan biri "KVKK Verbis Kayıt Nasıl Gerçekleştirilir?" sorusu olmaktadır. Kuruluşlar kriterlerine göre son bulan tarihte, kayıt yapmakla yükümlüdür. Veri Sorumluları Sicil Bilgi Sistemine kayıt olma konusundaki yükümlülük ile, kişisel verilerin işlenmesi faaliyetleri bakımından, veri sorumlularının mevzuata uygun hareket etmeleri konusunda güvenli bir ortam oluşturulması amaçlanmaktadır. Şirketinizin, uyum sürecinde sözleşme, mevzuatlar, kayıt sürecinde gereken eğitim ve kanuna uyum desteği sağlamaktayız. 0216 641 11 01  arayın, Kaliteli ve hızlı, A1 Belgelendirme Hizmetine Başvurunuz. 

Kayıt Yaptırma Süresi

Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den fazla olan gerçek ve tüzel kişi veri sorumlularının 30.06.2020 tarihine kadar kayıt yaptırma süresi uzatılmıştır. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30.09.2020 tarihine kadar Kayıt yaptırma süresi uzatılmıştır. Kanun 2016’dan beri uyulması zorunlu olup sadece kayıt için süre uzatılmıştır. Kayıt için uyulması gereken 17 Maddeden sadece bir tanesidir.​

Bununla beraber;

  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları – 30.06.2020
  • Kamu kurum ve kuruluşu veri sorumluları- 31.12.2020
  • Kuruluşlar kriterlerine göre son bulan tarihte kayıt yapmakla yükümlüdür.

Veri Sorumluları Siciline Kayıt Bildiriminin Kapsamı

Aşağıdaki bilgileri içeren bir bildirim ile Veri Sorumluları Siciline kayıt olmak için başvuru için:

  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Yukarıda listelenen bilgilerde, bir değişiklik gerçekleşmesi durumunda, yapılan değişikliklerin, Kuruma bildirilmesi gerekmektedir. Sicilin güncel olması için, değişikliklerin bildirilmesi zorunluluktur.

Kişisel Verilerin Korunması Kanunu Uyum Süreci Yol Haritası

Kişisel veri envanteri oluşturulması çok kolay bir süreç değildir. Sorumlu olunan verilerin nasıl saklanacağı  ve nasıl paylaşılacağı konusunda bilgi sahibi olmak önemlidir. Bu konuda bilgi sahibi olmamak, rehbersiz, rotasız yol almaya benzer. Kişisel verilerin korunması ile ilgili envanter çalışması Envanter, 30.12.2017 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesi 1. fıkrası (h) bendinde tanımlanmıştır. Daha sonra çeşitli düzenlemeler ile kapsamı değiştirilmiştir.

MADDE 4 – (1) Bu Yönetmelikte geçen; h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.

Envanter oluşturma, kişisel verileri korunma kanuna göre zorunludur.

Kişisel Veri İşleme Envanteri

Veri sorumlularının, gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; veri kategorisi, hukuki sebebi, veri konusu ve aktarılan alıcı grubu ilişkilendirerek oluşturdukları ve işleme sebebi için gerekli olan saklanma süresini, yabancı ülkelere aktarımı öngörülen kişisel veri güvenliğine ait alınan önlemleri açıklayarak, ayrıntılı detaylandırdıkları envantere denir. "Kişisel Verilerin Silinmesi, Yok Edilmesi Yönetmelik" ile “Veri Sorumluları Sicili Hakkında Yönetmelik” gereği veri sorumlularınca hazırlanmaktadır. KVKK envanteri hazırlanmasında A1 Belgelendirme uyum süreci yol rehberi hizmeti çözümleri için bizi arayın. 

Kişisel Veri Envanteri Oluşturulması

Kişisel verilerin korunması ve buna yönelik hukuki bir altyapının oluşturulmasına ihtiyaç duyulmuştur. Yetkisiz kişilerin erişimini engellemek ve kişilik haklarının ihlal edilmesinin önüne geçmek için, kanun ile dikkate alınmalıdır. Envanter hazırlanması zorunluluktur. Veri Sorumluları Siciline kayıt yükümlülüğü olan tüm veri sorumlularının envanter oluşturması zorunluluktur. Envanter hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerinde, Kanuna aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin sağlanmasıdır.

Kişisel Veri Envanteri İle Verbis Arasındaki Fark

Verbis KVKK ile sadece başlıklar halinde bilgi girişi yapılırken, Envanterde bu verilerin, alt bilgileriyle birlikte detaylı şekilde yer alması gerekmektedir.

KVKK Risk Analizi Nasıl Yapılır?

Kişisel Verilerin Korunması Kanunu Risk Analizinde yapabilecekleriniz, risk politikası oluşturmak, risk yönetimi ve değerlendirilme prosedürü oluşturmak, risk işleme standartları belirlemedir. Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, risklerin önceden iyi belirlenebilmesini sağlayacaktır. Ayrıca sürekliliği olan bir önlem alınmasını sağlayacaktır. Doğru ve tutarlı politika ve prosedürler, riskleri azaltır. Veri sorumlularınca politika ve prosedürler, zamanında, iyi bir şekilde hazırlanmalıdır. Aksi takdirde zamanında hazırlanamadığında, sorunlu alanların belirlenememesi kişisel veri güvenliği seviyesinin iyi olmaması demektir. Mevcut güvenlik önlemlerinin kullanılması önemlidir. 

A1 Belgelendirme olarak, risk analizi sürecini size kolaylaştırıyoruz. Mevcut güvenlik önlemlerini inceleyerek yasal yükümlülüklerle uyumlu hareket edildiğinden emin olunmasını sağlıyoruz. Risk yönetimi politikanızı oluşturulmasında, her departmanınızda risklerin yönetmeliğe uygun olmasına, risk kriterlerinizin belirlenmesinde,risk matrisi ve eylem matrisinin belirlenmesinde, risk işleme standartlarının oluşturulmasında, risk yönetiminde, risk analizi nasıl yapılır, hem yanındayız. 

Risk yönetimi çözümü için bizi şimdi arayın. 0216 640 11 01.

Açık Rıza Kişisel Verilerin Korunması ve İstisna Halleri

KVKK Açık Rıza, uluslararası metinlerde önemli bir kavramdır. Kanun’un gerekçesinde de belirtildiği gibi, 95/46 EC sayılı Avrupa Birliği Direktifine göre açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Rıza açıklaması, hukuksal değer sahibinin, işlenmesine izin verdiği verinin sınırlarını, süresini, gerçekleştirme biçimini ve kapsamının belirlenmesini sağlayacaktır. Datalar, kişilerin açık rızası olmadan işlenemez. Özel nitelikli datalar, ilgilinin açık rızası olmadan işlenemez. Bilgiler, ilgili kişinin açık rızası olmadan başkasına aktarılamaz, paylaşılamaz. Gene ilgili kişinin beyanı olmadan yurtdışına aktarılmaz. Açık rıza ve istisna halleri, uluslararası dökümanlarda da kendine yer bulan bir kavramdır.  

KVKK Farkındalık Eğitimi

6698 sayılı Kanun, şirketler için hapis cezaları ve idari para cezaları riskleri taşımaktadır. Bu risklerin en aza indirilmesi için, personelin eğitilmesi çok önemlidir. Kişisel veri güvenliğini zedeleyecek saldırılara ilişkin, çalışanların çok az bilgileri olsa bile, öncelikli ilk müdaheleyi yapabilmeleri çok önemlidir. Çalışanların, kişisel dataların, kanuna aykırı olarak açıklanmaması ve paylaşılmaması için eğitim almaları, önemlidir. Çalışanlara yönelik eğitim alınması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması ile kanuni yükümlülüklerinizi yerine getirilmesi önemlidir. Yöneticilerin eğitimi, iyi bir yönetim yapabilmeleri açısından gereklidir. Kuruluşlarda çalışan kişilerin görev tanımı ve konumuna bakılmaksızsızın, rol ve sorumlulukları, kendilerine görev tanımlarında belirlenmelidir. Herkes rol ve sorumluluğunun farkında olması gerekmektedir. Bu farkındalık sağlanmalıdır. 

Kişisel verilerin korunması eğitimi ile personelinizi eğiterek kanuni yükümlülüklerinizi yerine getirin. KVKK eğitimi ile çalışanlarınızın eksik bilgisi kalmasın. Rol ve sorumluluklarının farkında olsunlar.

Eğitim Taleplerinizi İletmek için Tıklayınız.

Veri Sorumlularının Hukuki Yükümlülükleri, Cezalar, Yaptırımlar

2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu kapsamında veri güvenliğine ilişkin yükümlülükleri yerine getirmek zorunluluktur. Yükümlülükleri yerine getirmeyenler hakkında 15 bin liradan 1 milyon liraya kadar idari ceza uygulanabilmektedir. Yazılı ve dijital basında, bir hava yolu şirketi ile bankaya uygulanan para cezasını okumuşsunuzdur.

6698 sayılı Kanunda, veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12’nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, veri güvenliği ihlallerinin önüne geçilmesi için, tespit edilenler hakkında, Türk Ceza Kanunu kapsamında cumhuriyet başsavcılıklarına ihbarda bulunulmasına, gerekli adli işlemlerin yapılması için karar verildi. 

Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak ''kişisel veri saklama ve imha politikası'' hazırlamakla yükümlüdür.

Kişisel verileri saklamak, korumak ve işleyebilmek için gerekli olan tüm hukuki ve teknik teddbirleri şirketlerin alması gerekiyor. İhtiyaç duyduğunuz gerekli adımların atılmaması karşılığında gerçekleşecek cezalar konusunda geç kalmamak adına profesyonel destek almaktan kaçınmayın. Yasal zorunluluk olduğunu unutmayın. 

Uyum Süreci tamamlanmaması durumunda uğranacak yaptırımlar için lütfen tıklayınız;

Saklama ve İmha Politikaları

Çalışanlar, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Yasal zorunluluktur.

Kişisel Veri Güvenliğine İlişkin İdari ve Teknik Tedbirler

Veri Güvenliğine İlişkin İdari Tedbirler

Mevcut risk ve tehditlerin belirlenmesi gerekmektedir. Çalışanların eğitilmesi gerekmektedir. Güvenlik için gerekli politikaların ve prosedürlerin belirlenmesi gerekmektedir. Verilerin mümkün olduğunda azaltılması önemlidir. Veri işleyenler ile ilişkilerin yönetimi iyi olmalıdır. İşlemek için hizmet alınan kuruluşların, güvenliği sağlamasından emin olunması, en önemli güvenliğe ilişkin idari tedbirlerden biridir. 

Veri Güvenliğine İlişkin Teknik Tedbirler

Verilerin yedeklenmesi, siber güvenliğin sağlanması, güvenliğinin takibi, data içeren ortamların güvenliğinin sağlanması, bilgi teknolojileri sistemleri tedariği ve bakımı, dataların bulutta toplanması, teknik tedbirlerdir.