KVKK

Kişisel Verileriniz Koruma Altında Mı?

Kişisel Verilerin Korunması Kanunu ve Kapsamı Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel verilerin korunmasına ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir ki Kanun, 

  • Başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak,
  • Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uymaları gereken usul ve esasları düzenlemektedir.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri 

  • Tamamen otomatik veya 
  • Kısmen otomatik ya da 
  • Herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollar ile 

işleyen tüm gerçek ve tüzel kişiler hakkında uygulanmaktadır.

Neden kişisel verilerinizi korumanız gerekiyor? 

Kişisel verilerin her geçen gün giderek daha fazla kullanılması, firmaların faaliyetleri kapsamında kişisel verilere sıkça temas etmesi, gelişen teknolojinin de etkisiyle bu verilerin her gün farklı platformlarda kolaylıkla işlenebilmesinin getirdiği istismar riski ve bu verilerin sağladığı katma değer göz önüne alındığında kişisel verilerin özenli ve güvenli bir şekilde korunması gerekliliği ortaya çıkmaktadır. Ayrıca bireyler de bu konu ile ilgili daha fazla şeffaflık ve bilgi talep etmektedir.  

Bu kapsamda “kişisel verilerinizi korumanız” sadece Kanun’a uyum kapsamında gerçekleştirilen bir yükümlülük değil, rekabet avantajı, müşteri güveni, etkin iş yönetimi ve iş sürekliliği de sağlayan önemli bir etkendir. Bu bağlamda da firmaların kişisel verileri koruma çalışmalarını, Kanun’a uyum için tek seferlik gerçekleştirilen bir proje olarak değil, sürekli devam eden uzun soluklu bir süreç olarak ele alması gerektiğini düşünüyoruz. 

Kişisel verilerin Kanun’a uygun olarak etkin şekilde korunması için tüm gerçek kişi ve firmaların yapması gereken kritik önemde faaliyetler mevcuttur. Daha da önemlisi, bu kapsamdaki faaliyetlerin tamamlanması için Kanun tarafından belirlenen zamanlamadır. Kanun’a tam uyum için son tarihi 7 Nisan 2018 olarak belirlenmiş olup Kanun’da yer alan yükümlülükleri yerine getirmenin bedeli ağır olabilmekte, 1,000,000 TL’ye varan para cezaları veya hukuka aykırı veri işleme faaliyetleri için ise 1 yıldan 3 yıla kadar hapis cezaları söz konusu olabilmektedir. 

Kişisel Verileri -Kanun’una uyumlu olarak- korumak için ne yapmanız gerekiyor? 

Kişisel verileri işleyen gerçek ve tüzel kişilerin Kanun’un getirdiği yükümlülüklere uyum sağlaması için kapsamlı bir çalışma yapması gerekmektedir. Böyle bir çalışma ancak bütünleşik yaklaşım ile kişisel veri işleyen firma faaliyetlerinin hukuki, idari ve teknik açılardan uzman kişilerce analiz edilmesi ve bulguların ilgili uygulamalara yansıtılması ile mümkündür. Kişisel verilerin korunması ve Kanun’a tam uyumluluk; hukuki, idari ve teknik alanları birlikte kapsayan uçtan uca çözüm ile sağlanabilmektedir. 

Bu çözümün hayata geçirilmesi ve benimsenmesinin ardından Kanun hükümlerinin uygulanmasını sağlamak amacıyla firma genelinde uyumluluk denetimi yapılması veya yaptırılması da söz konusudur ki denetim faaliyeti, Kanun’da belirtilen veri sorumlusu yükümlülükleri arasında yer almaktadır.

Bütünleşik yaklaşım ile proje nasıl yapılmalıdır? Kapsamı ne olmalıdır?  

Bütünleşik yaklaşımda kişisel verilerin korunması konusu, hukuki, idari ve teknik açılardan tüm yönleri ile detaylı olarak incelenmelidir. Detaylandıracak olursak;

Kanun’un, veri sorumlularına getirdiği tüm yükümlülükler- Kişisel verilerin işlenme şartlarının yerine getirilmesi, aydınlatma yükümlülüğü, ilgili kişinin haklarına ilişkin yükümlülükler, veri sorumlusu siciline kayıt, veri güvenliğine ilişkin yükümlülükler (-Kişisel verilerin hukuka uygun işlenmesi, saklanması ve erişimi amaçlı teknik ve idari tedbirlerin alınması vb.),vb– aşağıda yer alan başlıkların merceği altında etraflıca ve birlikte incelenmelidir. 

Hukuk:

Hukuki analizlerin yapılması ve Kanun’a uygun olarak ilgili yerlerde gerekli hukuki bilgilendirmelerin ve yaptırımların yerine getirilmesi (Sözleşme, politika, yönerge, bilgilendirme metinleri, vb) ;

Teknik: Veri mimarisi analizinin yapılarak veri saklama, yedekleme, imha ve anonimleştirme süreçlerini de kapsayacak şekilde kişisel veri yönetimine ilişkin yöntemlerin incelenmesi, gereksinim ve risklerin tespit edilmesi, bilgi güvenliği alanında risk ve alınacak aksiyonların belirlenmesi

İdari: Kişisel verilerin işlenmesini içeren tüm iş süreçlerinin incelenmesi, Kanun’un getirmiş olduğu yeni süreçler de dahil olacak şekilde gereklilik ve ihtiyaçların tespit edilmesi ve süreçlerin ilgili tüm adımlarının uyumlandırılması  

Yönetişim: Uyumluluk için şirket organizasyon içindeki yetkinlik, gereksinim, rol ve sorumlulukların belirlenmesi, yönetişim yapısının oluşturulması

Eğitim: Çalışanlar için mevzuat ve devamlı eğitimlerin organize edilmesi

3.Parti Yönetimi: Firmanız adına veri işleyen 3. partileri kapsayacak şekilde veri güvenliğine ilişkin idari ve teknik gereksinim ve risklerin tespit edilmesi, denetim ve raporlama şeklinde özetlenebilir.

Size bu konuda nasıl destek olabiliriz?

PROFELİS, Kişisel Verilerin Korunması Kanunu’na uyumluluk kapsamında hukuki, idari ve teknik konuları bütünleşik şekilde değerlendiren danışmanlık ve denetim hizmeti sunmaktadır. Gerek KVKK gerekse de AB’de yürürlükte olan GDPR konusunda sertifikalı uzman ekibimiz ve çözüm ortaklarımız ile birlikte firmanıza özel hizmet vermekteyiz. 

Sunduğumuz KVKK danışmanlık ve denetim hizmetleri, yukarıda yer alan kapsamda (yukarıya link verilebilir.) sağlanmakta olup hizmet detaylarımızı aşağıda bilginize sunarız. 

KVKK Danışmanlık Hizmeti:

  • Tüm ilgili personele farkındalık eğitimi verilmesi (Bu çalışmanın başlangıç noktasıdır. Eğitim ile tüm personelde projenin etkin yürütülebilmesi için yeterli bilgi seviyesi sağlanır.),
  • İş birimlerinden anket, birebir toplantılar, vb. aracılığı ile süreçler, işleyiş bazında bilgi temini,
  • Kişisel veri envanterinin VERBIS (Veri Sorumluları Sicil Bilgi Sistemi) ne uyumlu olacak şekilde iş birimi ve iş süreci bazında hazırlanması,
  • Aydınlatma yükümlülüğünün yerine getirilmesi,
  • Kişisel veri ile temas edilen tüm faaliyet ve süreçlerin ayrıştırılarak kişisel veri işleme şartları açısından değerlendirilmesi ve gerekli yerlerde uyumlandırma için aksiyon alınması,
  • Hukuki belge ve formlar (Standart tedarikçi, müşteri, gizlilik sözleşmeleri, başvurular , vb.), politika ve yönergelerin analiz edilmesi,
  • Kişisel verileri saklama ve imha politikalarının ve ilgili diğer politikaların hazırlanması veya uyumlandırılması,
  • Yönetişim ihtiyaçlarının belirlenmesi ve VERBIS’e kayıt için destek verilmesi,
  • İş süreç ve prosedürlerinin incelenerek KVKK kapsamında değişiklik gerektiren süreç ve durumların belirlenmesi, Kanun’un getirmiş olduğu yükümlülükler bazında yeni süreçlerin oluşturulması,
  • 3. Parti yönetimi ve kişisel verilerin aktarılması, aktarım şartlarının değerlendirilmesi,
  • Veri saklama, yedekleme, imha ve anonimleştirme süreçlerini de kapsayacak şekilde kişisel veri yönetimine ilişkin yöntemlerin incelenmesi, gereksinim ve risklerin tespit edilmesi,
  • Bilgi güvenliği alanında risk ve alınacak aksiyonların belirlenmesi,
  • Performans yönetimi ve raporlama konularında destek verilmesi,
  • KVKK uyum ve risk değerlendirme analiz raporu, dönüşüm yol haritasının sunumu.

KVKK Denetim Hizmeti 

  • Kişisel veri envanteri, iş süreçleri, kişisel veri işleme ortam ve yöntemlerinin denetlenmesi, kişisel veri akış süreçlerinin incelenmesi, KVKK uyumluluğu bazında değerlendirilerek raporlanması
  • Kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve erişimi amaçlı alınan teknik ve idari tedbirlerin uygulanmasının değerlendirilmesi, 
  • Veri güvenliği risk analizi ( Olası saldırı ve kayıplara karşı teknik analizler )
  • İlgili personelin konu hakkında farkındalık seviyesinin tespiti
  • Kanun’a ilişkin güncellemelerin hayata geçirilmesine yönelik analizler
  • Kanun’a aykırı işlenen verilere ilişkin alınmış aksiyonların değerlendirilmesi
  • İlgili kişi taleplerine ilişkin yürütülen süreç ve alınan aksiyonların analiz edilmesi
  • Veri sorumlusu ve veri işleyen yükümlülüklerine ilişkin diğer denetim faaliyetleri

DPO Hizmeti:

  • Şirketiniz adına “Veri Koruma Sorumlusu” şeklinde hareket ederek KVK uyum ve denetim hizmetlerinin – uçtan uca olacak şekilde- şirket genelinde koordinasyonu, sürekliliğinin sağlanması ve kişisel verilerin korunması programının yönetim hizmetini içerir. Daha düşük maliyetli uyumluluk çözümü olup özellikle büyük skalada kişisel veri işleyen ve kendi ekiplerinde böyle bir rol tanımlanmamış olan firmalar için uygundur. 

Hizmetlerimiz ile ilgili daha detaylı bilgi talep etmeniz halinde iletişim formunu doldurarak gönderebilir veya aşağıdaki irtibat bilgilerinden tarafımıza ulaşabilirsiniz. 

KVKK konusunda sizin için neler
yapabileceğimizi görün!

İLETİŞİME GEÇİN!