EN KALİTE DANIŞMANLIK OLARAK KVKK DANIŞMANLIĞIMIZDA
- Teklif Talep Sözleşme
- İşletme Saha Kontrolü
- Hukuk
- Muvafakatname, Kişisel Veri, Veri Sorumlusu
- Kişisel Verilerin İşlenmesi
- Kişisel Verilerin Silinmesi, Anonimleştirilmesi
- İlgili Kişilerin Hakları
- Veri Sorumlusunun Yükümlülükleri
- Kişisel Verilerin Aktarılması
- Suçlar Ve Kabahatler Konusunda Bilgilendirme
- Bilgi Güvenliği
- Veri Sınıflandırma Ve Etiketleme
- Kimlik Ve Erişim Yönetimi
- Veri Gizliliği Ve Bütünlüğü Koruma
- Veri Sızıntıları Koruma Ve Engelleme
- Tedarikçi Güvenliği
- Güvenlik İzleme Ve Değerlendirme
- Güvenlik Standartları
- Acil Durum Eylem Planları
- Siber İncelemeler
- Risk Analizi
- Operasyon
- Kurum Operasyon Modeli Ve İş Süreçlerinin Kanuna Uygun Olarak Tasarlanması
- İlgili Politika Ve Prosedürlerin Oluşturulması
- Müşteri Kurumsal İletişim Süreçleri
- İnsan Kaynakları Süreçleri
- Hizmet Sağlayıcıların Yönetimi
- Kişisel Verilerin Yönetilmesi İle İlgili Müşteri Deneyimi
- Kişisel Verilerin Korunmasına Yönelik Denetim Çalışmaları
- Bilişim Sistem Güvenliğine İlişkin Denetim Çalışmaları
- Organizasyon
- Kişisel Veri Sorumlusu Atanması
- Veri İşleme Saklama Ve İmha Süreçleriyle Yeni Gelebilecek Rol Ve Sorumlulukları
- Tedarikçilerin Ve Hizmet Sağlayıcıların Rolleri
- Sürekli Eğitim Ve Farkındalık
- Kurum Kvkk Kurulunun Kurulması
- Veri Yönetimi (IT BİRİMİ)
- Erişim Yönetimi
- Veri Mimarisi
- Veri İşleme Prosedürlerinin Bilgi Teknolojileri Bazında Değerlendirilmesi
- Veri Saklama Yedekleme Ve Kurtarma Prosedürleri
- Veri Keşfi
- Raporlama
Teknolojinin gelişmesiyle gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bunun sonucunda da kişisel verilerin korunması ihtiyacı doğmuştur. 1970 de ilk veri koruma kanunu Almanya tarafından yayınlanmıştır. 1973 de İsviçre de 1978 de Fransa da veri koruma kanunları yayınlamıştır. O yıllardan bugünlere kadar birçok tasarı taslak kanun oluşturulmuştur. Ülkemiz de ise 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Teknolojinin günlük hayatın içine tamamen nüfuz ettiği günümüzde bireyin kimlik, iletişim, sağlık ve mali bilgileri, özel hayatı, dini inancı, siyasi görüşü gibi kişisel verilerinin mahremiyetini korumak büyük önem arz etmektedir. Kişisel veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da, bilgilerin istismar edilme riskini de beraberinde getirmektedir. Dolayısıyla bu iki menfaat arasındaki meşru ve makul dengenin kurulması gereklidir.
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanunun kapsamı Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
KİŞİSEL VERİ NEDİR?
Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları kapsamaktadır.
Toplama veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.
• Organize etme/depolama: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir.
• Kullanma/değiştirme: Kişisel verilerin, görüntülenmesi de dâhil olmak üzere, her türlü kullanımı işleme sayılır.
• Aktarma: Kişisel verilerin çeşitli yöntemlerle iletilmesi.
• Yayma/erişilebilir kılma: Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.
•Engelleme/silme/yok etme/anonim hale getirme: Bunlar da bir işleme faaliyeti olarak kabul edilmektedir. Kişisel veriler otomatik veya otomatik olmayan yollarla işlenebilecektir:
KVKK KAPSAMINDA İŞLETMELERİN YAPMASI GEREKENLER
- Kişisel verilerin sisteme işlenmesi
- Veri Analizi
- Kişisel Veri İşleme Envanteri
- Kişisel verilerin ilgili çalışanın veya kişinin rızası alınarak sisteme işlenmesi
- Aydınlatmanın gerçekleşmiş olması
- Kişisel Veri Saklama ve İmha Politikası
- Özel nitelikli kişisel verilerin işlenmesi hakkında yapılması gereklilikler
- İşlemenin amaç ve süre ile sınırlı olması
- Veri yükümlülüğüne ilişkin gereklilikler
- Periyodik İmha Süresi
- Periyodik İmha Süresi Belirleme
VERİ SORUMLUSU
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerekse de hukuki sorumluluk bakımından, tüzel kişilerin sorumluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama amacı,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı,
• Veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı.
Veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
• Kişisel verilerin hangi yöntemle saklanacağı,
• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, • Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemi.