KVKK (Kişisel Verilerin Korunması Kanunu) Amacı ve Kapsamı Nedir?
Bu kanunun amacı (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
KVKK ile İlgili Temel Kavramlar Nelerdir?
Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza.Anonim hale getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirelemeyecek hale getirilmesi.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan elde edilmesi,kaydedilmesi,depolanması,muhafaza edilmesi,değiştirilmesi,yeniden düzenlenmesi,açıklanması,aktarılması,devralınması,elde edilebilir hale getirilmesi,sınıflandırılması,ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Özel Nitelikli Kişisel Veriler: Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşlemede Uyulması Zorunlu İlkeler:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- İşlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma,
- Belirli,açık ve meşru amaçlar için işlenme,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
KVKK Danışmanlık Hizmetimiz
Bv Bilişim ve Teknoloji Hizmetleri olarak, KVKK Danışmanlık hizmeti kapsamımız aşağıda belirttiğimiz süreç adımları ile gerçekleştirilmektedir.- Danışmanlığımız tarafından şirket uyum analizlerinin yapılması, Danışmanlığımız ile şirket içerisinde ne yapılacağına dair politikaların belirlenmesi
- Veri ihlali halindeki protokollerin danışmanlığımız ile belirlenmesi,
- Sözleşmelerin gözden geçirilip, değişiklik gerektiren durumların analizinin yapılması, Danışmanlığımız ile açık rıza belgelerinin oluşturulması,
- İdari süreç ile karşılaşılması durumunda; danışmanlığımız ile beraber KVKK (Kişisel Verilerin Korunması Kurumu)'na verilecek bilgilerin gerek teknik gerekse hukuki açıdan doğru olmasını sağlayacak düzenlemelerin yapılması, Tüm bunların danışmanlığımız ile beraber, departmanları bağlayıcılığının oluşturulması, Tüm şirket bünyesinde Kişisel Verileri Koruma konusundaki bilincin ve hassasiyetin danışmanlığımız tarafından yerleştirilmesi.
Adım Adım KVKK Danışmanlık Yol Haritası
FAZ -1-: Kişisel Verilerin Korunması Kanunu’na Uyum Temel Altyapı Oluşturma Süreçleri- VERBİS Sistemine Kayıt
- Kişisel Veri Envanteri Oluşturma
- Süreç veya Faaliyet Bazında Kişisel Verilerin Tespiti
- Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi
- İşlenen Kişisel Verinin Hukuki Sebebinin Tespiti
- Kişisel Veri İşleme Amaçlarının Tespiti
- Veri Konusu Kişi Grubunun Belirlenmesi
- İşlenen Kişisel Verilerin Saklama Süresinin Belirlenmesi
- İşlenen Kişisel Verilerin Aktarıldığı Alıcı / Alıcı Gruplarının Belirlenmesi
- Yabancı Ülkelere Aktarılan Kişisel Verilerin Belirlenmesi
- İşlenen Kişisel Veriler İçin Alınan Teknik ve İdari Tedbirlerin Belirlenmesi
- Birim yöneticilerine KVKK sunumu ve bilgilendirmesi
- Farkındalık eğitimleri
- Veri sorumlusu eğitimi
- Aydınlatma politikasının hazırlanması
- Tedarikçi / müşteri/Personel sözleşmelerinin KVKK acısından güncellenmesi
- Genel Aydınlatma metninin hazırlanması
- Çalışanlara ilişkin genel aydınlatma metninin oluşturulması
- Veri saklama ve imha politikasının kurgulanması
- İşveren’den gelebilecek makul sayıdaki Kişisel Verilerin Korunması Kanun'una dair telefonla ve yazılı soru sorma durumlarında soruları cevaplandırma ve İşveren'e yol gösterme
- KVKK 'ya dair değişen yönetmelikler hakkında bilgilendirme
- KVKK Kurul Kararları ve bu kararların İşveren özelinde yaratabileceği etkilere dair bilgilendirme
- Geçen zaman içinde karşılaşılan Kişisel Verilerin İşlenmesi ve Korunması 'na dair güncel olaylara karşı görüş oluşturma /strateji geliştirme
- Kişisel Veri konusunda yaşanılan iyi uygulama örneklerini İşveren’e aktarma
- Bölüm bazlı Kişisel Veri Süreç analiz toplantılarının gerçekleştirilmesi (ihtiyaca göre)
- Değişen KVKK mevzuatlarına göre ek uyum politikalarının belirlenmesi
- Kişisel Veriye dair açık olabilecek noktalarda gerekli yerinde gözlemlerin yapılması ve çözüm önerileri sunulması
- Yeni eklenen çalışanlara bilgilendirmelerin yapılması
- Web sitesinde ve dijital ortamda yeni eklenen alanlara ilişkin KVKK Uyum Metinlerinin güncellenmesi
17 Soruda KVKK Uyum Analizi:
- Veri sorumlusu veya veri işleyen olarak;6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında aydınlatma yükümlülüğünüzü yerine getirdiniz mi?
- İşlediğiniz kişisel veriler için; kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturdunuz mu?
- Kişisel Verileri Koruma Kanunu kapsamında;eğer istisna kapsamındaki durumlardan birine girmeyen bir hal var ise veri işlerken ilgili kişi’den açık rıza aldınız mı?
- Veri işlerken rızaya ihtiyaç duyulmayan hallerin neler olduğunu biliyor musunuz?
- Kişisel Veri İşleme Envanteri’ni oluşturdunuz mu?
- Verilerinizi yurt dışında herhangi bir gerçek/tüzel kişiye aktardınız mı?
- İlgili kişilerin size başvurmalarını sağlayan Başvuru Formu’nuzu oluşturdunuz mu?
- İnternet adresinizde bir gizlilik politikası oluşturarak site ziyaretçilerinin bilgilerini toplama yönteminiz ile ilgili bir bilgilendirme yaptınız mı?
- Şirket tedarik sözleşmelerinizi ve ilgili diğer evraklarınıza Kişisel Verilerin Korunması Kanunu ile ilgili hükümleri eklediniz mi?
- Şirket personel sözleşmelerinize KVKK ile ilgili hükümleri eklediniz mi?
- Şirket personelinize zorunlu KVKK (Kişisel Verilerin Korunması Kanunu) eğitimi aldırdınız mı?
- Elektronik ortamda tutulan VERBİS sistemine kayıt oldunuz mu?
- Yetki Matrisi oluşturuldu mu?
- Yetki Kontrol Listesi bulunmakta mı?
- Erişim logları var mı?
- Kullanıcı hesap yönetimleri ne şekilde yapılmaktadır?
- Ağ güvenliği ile ilgili olarak IDS ve IPS sistemleri mevcut mu? Eğer yoksa nasıl bir yol izlenmektedir?
KVKK İdari Para Cezaları Nelerdir ?
KVKK Kanuna Uyum Göstermeme veya KVKK İdari ve Teknik Tedbirleri Almama Halinde Karşılaşılabilecek İdari Para Cezaları Nelerdir ?- İşlediğiniz kişisel veriler için; kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturmama:
- KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması Kurum kararı ile mümkün olabilecektir.
- KVKK kapsamında; istisna tanımına girmeyen durumlar için, veri işlerken ilgili kişi’ den açık rıza alınmaması durumu:
- Rıza alınmasını gerektirmeyen durumlar hariç olmak üzere rıza almadan veri işlemek söz konusu olmamalıdır. Aksi durumda; bu ilkeye muhalefet edilmesi durumunda KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. Ayrıca TCK 135. Madde kapsamında hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilmektedir.
- Veri işleyen veya Veri Sorumlusu sıfatıyla; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında aydınlatma yükümlülüğü’ nüzü yerine getirmeme:
- KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, idari para cezası uygulanması söz konusu olacaktır.
- Kişisel Veri İşleme Envanteri’ ni oluşturmama
- KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması Kurul Kararı ile mümkün olacaktır.
- Şirket personellerinize zorunlu KVKK eğitimini aldırmama
- Şirket personellerinize Kanun kapsamında yapılaması gerekli işlemleri neler olduğunda ilişkin eğitimi aldırmanız bir zorunluluktur. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.