KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA ŞİRKETLERİN YÜKÜMLÜLÜKLERİ VE ALMASI GEREKEN ÖNLEMLER

KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDİR?

2010 yılında Anayasa’ya eklenen «Herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkında sahiptir.» maddesiyle birlikte (Anayasa md.20) kişisel verilerin korunması alanında yasal bir düzenlemeye ihtiyaç duyulmuştur.

Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.


KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDEN ÖNEMLİDİR?

Teknolojinin gelişmesi ve yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.

Bir süre önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun ile birlikte verilerin kim tarafından, hangi amaçlara yönelik işleneceği, nasıl kullanılacağını, nasıl ve ne zaman silineceğine ilişkin düzenlemeler getirilmiştir.


Bu kanuna uyulmaması çok yüksek miktarlarda para cezaları ve hapis cezaları ile karşılaşmak demektir.

İlgililer, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilir.

Kanun bu alandaki gelişmelerin henüz başlangıcıdır. Kişisel verinin korunması ve kişilerin kendi verileri üzerindeki hakları artarak devam edecektir.


KİŞİSEL VERİ NEDİR?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan ve onu tanımlanabilir kılan her türlü bilgiyi ifade eder. Kişisel verilere örnek verecek olursak,

  • Ad, Soyadı

  • Özgeçmiş

  • Fatura

  • SGK Numarası

  • IP Adresleri

  • T.C. Kimlik No

  • vb.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER NELERDİR?

Bu tip kişisel veriler ayrı bir madde halinde özel olarak düzenlenmiştir ve kanunda sayılan verilerle sınırlıdır. Nedeni ise bu tip veriler için kesin işlem yasağı ve diğer verilere kıyasla daha yüksek koruma ön görmesidir. Bu tip kişisel veriler kişinin açık rızası olmadan işlenemez ve paylaşılamaz.


KİŞİSEL VERİLERİN İŞLENMESİ NEDİR?

Kişisel verilerin tamamen veya kısmen

  • elde edilmesi

  • depolanması

  • muhafaza edilmesi,

  • değiştirilmesi

  • yeniden düzenlenmesi

  • açıklanması

  • aktarılması

  • devralınması

  • elde edilebilir hale getirilmesi

  • sınıflandırılması

  • kullanılmasının engellenmesi

gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.


VERİ İŞLENİRKEN UYULMASI GEREKEN KURALLAR

  • Hukuka ve dürüstlük kurallarına uygun olma

  • Belirli, açık ve meşru amaçlar için işlenme

  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

  • İşlendikleri amaç için yeterli olan süre kadar muhafaza edilme


KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

  • Veri Sorumluları Sicili’ne kayıt olma ve güncel tutma

  • Kişisel veri envanteri hazırlama ve güncel tutma

  • İlgili kişileri aydınlatma ve aydınlatma metinlerinde gerekli güncellemeleri yapma

  • Kişisel verilerin güvenliğine ilişkin idari ve teknik tedbirleri alma

  • Kişisel veri saklama ve imha politikası hazırlama

  • Kişisel verileri yasal süreler kadar saklama ve periyodik olarak imha etme

  • Veri sorumlusuna yöneltilen başvuruları yanıtlama

  • Açık rıza alma ve açık rıza metinlerinde gerekli güncellemeleri yapma


YÜKÜMLÜLÜKLERE UYMAMA HALİNDE UYGULANAN YAPTIRIMLAR NELERDİR?


GÜNCEL İDARİ PARA CEZALARI

  • Aydınlatma yükümlülüğüne aykırılık 9.013 TL – 180.264 TL

  • Veri güvenliğine ilişkin yükümlülüğe aykırılık 27.040 TL – 1.802.641 TL

  • VERBİS’e kayıt yükümlülüğüne aykırılık 36.053 TL – 1.802.641 TL

  • Kurul tarafından verilen kararları yerine getirme yükümlülüğüne aykırılık 45.066 TL – 1.802.641 TL


HAPİS CEZALARI

Hapis cezasından şirketi temsil edenler sorumludur.

  • Anonim şirketlerde Yönetim Kurulu

  • Limited şirketlerde Şirket Müdürleri

Kişisel verileri hukuka aykırı ve kasıtlı olarak üçüncü kişilere aktaran kişi cezai olarak sorumludur. Ancak veri sorumlusunun sorumluluğu ortadan kalkmaz.

*Suçların nitelikli hallerinde cezalar arttırılmaktadır.


  • Kişisel verilerin hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar

  • Kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi 2 yıldan 4 yıla kadar

  • Kişisel verilerin yok edilmemesi 1 yıldan 2 yıla kadar


KVKK KAPSAMINDA ALINMASI GEREKEN İDARİ VE TEKNİK ÖNLEMLER NELERDİR?

  • Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,

Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,

Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

  • Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

  • Kişisel verilere sadece yetkili kişilerin ulaşabilmesi

  • Kişisel Verilerin Mümkün Olduğunca Azaltılması

  • Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

  • Çalışanlar ile gizlilik anlaşmalarının imzalanması

  • Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin sürecinin belirlenmesi

  • Veri İşleyenler ile İlişkilerin Yönetimi

  • Veri işleyen ile imzalanan sözleşmenin yazılı olması

Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket etmesi

Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlüğünün olması

  • Yetkilendirme matrisi oluşturulmalıdır.

  • Yetki kontrolü yapılmalıdır.

  • Güvenlik duvarı ve ağ geçidi kurulmalıdır.

  • Erişim logları tutulmalıdır.

  • Kullanıcı hesapları yönetilmelidir.

  • Ağ ortamının güvenliği sağlanmalıdır.

  • Uygulamaların güvenliği sağlanmalıdır.

  • Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.

  • Veriler şifreleme yöntemleri ile şifrelenmelidir.

  • Yama Yönetimi ve yazılım güncellemelerinde gerekli önlemlerin olup olmadığı denetlenmelidir.

  • Kişisel verilere erişim kısıtlı olmalıdır. Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır. Güçlü şifre ve parola oluşturulmalıdır.

  • Kaba kuvvet algoritması (BFA) kullanılmalıdır.

  • Şifre girişi deneme sayısının sınırlandırılmalıdır.

  • Düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmalıdır.

  • Yönetici hesabı ve admin yetkisi sadece ihtiyaç olduğu durumlarda kullanılmalıdır.

  • Şirket ile ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesap silinmeli ya da girişlerin kapatılmalıdır.

  • Sızma testleri yapılarak kurum güvenliği test edilmelidir.

  • Saldırı tespit ve önleme sistemleri oluşturulmalıdır.

  • Log kayıtları incelenmeli ve yedeklenmelidir.

  • Veri maskelemeleri yapılmalıdır.

  • Veri kaybı önlemeye yönelik teknik tedbirler alınmalıdır.

  • Yedekleme sistemleri kullanılmalıdır.

  • Güncel anti-virüs sistemleri kullanılmalıdır.

  • Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.


Şirketiniz için KVKK uyum süreci ve sonrasında biz neler yapabiliriz;

· Şirketinizin Üst Düzey Yöneticilerine Geniş Kapsamlı KVKK Eğitimi Verilmesi

· Kişisel Veriye Temas Eden Yönetici ve Çalışanlarınıza Farkındalık Eğitimlerinin Verilmesi

· Eğitimlerin Belgelendirilmesi

· VERBİS Kaydınızın Yapılması ve Güncel Tutulması

· Kişisel Veri Envanteri Hazırlanması ve Güncel Tutulması

· Kişisel Veri Saklama ve İmha Politikası Hazırlanması

· Aydınlatma Metinlerinin, Açık Rıza Metinlerinin ve İhtiyaç Duyulan Diğer Formların Hazırlanması

· Kişisel Verilerin İşlenmesi ve Korunması Politikası Hazırlanması

· Gerekli Düzenlemelerin Yapılması ve Hukuki Görüş Bildirilmesi

· GAP Analizi Yapılarak Şirketinizin Teknik Anlamda Risk Durumun Belirlenmesi

· Penetrasyon-Sızma Testleri

· Veri Sorumluluğu Görev ve Tanımlarının Oluşturulması

· Şirketinizin Mevcut Doküman ve Sözleşme Formatlarının İncelenmesi ile Gerekli KVKK Maddelerinin Eklenmesi

· Müşteri, Tedarikçi ve Diğer Üçüncü Kişi Sözleşmelerinin KVKK Maddelerinin Düzenlenmesi

· Periyodik Toplantılarınıza Katılım Sağlayarak Hukuki ve Teknik Açıdan Durum Değerlendirmesi Yapılması

· İmha Edilecek Verilerin Tespiti

· Şirketin KVKK Mevzuatı ve Uygulamalarındaki Değişiklikler Hakkında Bilgilendirilmesi ve Gerekli Güncellemelerin Belirlenerek Aksiyon Oluşturulması

· Günlük İşleyiş ve Operasyonlarınızla İlgili Sorularınızın Cevaplandırılması


Deneyimli hukukçu ve teknik kadromuz ile KVKK kapsamında tüm bu yükümlülüklerinizi yerine getirebilmeniz için sizlere yardımcı olmaktan ve şirketinizin KVKK uyum sürecine katkıda bulunmaktan mutluluk duyarız.


8 görüntüleme0 yorum

Son Paylaşımlar

Hepsini Gör

Adres

MANY Dijital Hiz. Danış. Tic. A.Ş.

 

Bağdat Cad. No: 464 Suadiye

Kadıköy/İstanbul

Telefon

0216 362 10 12


0542 379 73 00

Mail

  • Beyaz Instagram Simge
  • Twitter
  • LinkedIn
VeriyiKoru Logo_Çalışma Yüzeyi 1.png