KVKK Danışmanlığı

KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu (KVKK) Danışmanlık Hizmetleri

Dijital dünyanın hayatımızın içine girmesinin ardından, buradaki verilerimizin güvenliği, hukuk açısından en önemli problemlerden biri haline geldi.

Bu sebeple Kişisel veriler ve ticari iletişim gibi konularda kanun üretilmesi ve yeni hukukun oluşturulması konusunda çalışmalar yapılması kaçınılmaz olmuştur.

Bu çalışmaların en önemlilerinden biri bizi yakından ilgilendiriyor: “KVKK”

Siber Güvenlik Hizmetleri


KVKK Uyum Süreci çalışmaları Hukuki ve İdari Hizmetler ve Siber Güvenlik Teknik Hizmetleri olmak üzere iki aşamadan oluşur.

KVKK Uyum Süreci Projeleri, kurum iç işleyişinin tespiti, eksikliklerin belirlenerek çözüm stratejilerinin sunulması ve uyumlu hale gelinmesi için hukuki ve teknik kısımların tamamlanmasını kapsamaktadır.

Başaran, KVKK Uyum Sürecinde IT sektöründeki 20 yıllık tecrübesiyle sunduğu hizmetlerden bazıları:

  • Network sistemleri yapılandırma
  • Firewall güncelliği ve alınan önlemler
  • Sunucu sistemlerinin kontrolü
  • Kullanıcı politikalarının belirlenmesi
  • Erişim yetkileri ve gereksiz yetki kullanımlarının tespiti
  • Felaket senaryolarının oluşturulması
  • Yedekleme işlemleri tavsiyeler
  • Bulut bilişim tedbirleri
  • Zaafiyet (sızma) testleri

Hukuki ve İdari Hizmetler (RDM Hukuk)


RDM Hukuk, Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Master programını bitirerek Avrupa ve Amerika'da bir çok proje ile birlikte dünyanın önde gelen üniversitelerinde veri koruma(data protection) alanında araştırmaları yürüten ve Türkiye'nin sayılı bilişim hukukçusu ünvanına sahip önderiyle, 2013 yılında kurulmuş bir şirkettir. RDM Hukuk, “Unutulma Hakkı (the right to be forgotten)” projesine büyük katkı sağlamıştır.

RDM Hukuk, Amerika Silikon Vadisi'nde yer alan e-ticaretle ilgili dünyanın en büyük platformlarının hukuk danışmanlığını yapmaktadır.

RDM Hukuk, 95/46/EC AB Veri Koruma Direktifi'nden başlayan, Veri Koruması Hukuku ve daha sonra GDPR ( Avrupa Birliği Veri Koruma Direktifi) alanında, Ulusal ve Uluslararası Kurumlara Uyum Süreçleri faaliyetleri yürütmektedir.

KVKK'dan Kurumlar Ne Anlamalı?


KVKK, veri işleyen her kuruluşu ilgilendirir ve bir takım yaptırımları öngörür.

Öngörülen yaptırımlardan kaçınmak adına her şirketin, kişisel verilerin elde edilmesi, işlenmesi, saklanması ve gerekli olduğunda verinin muhafaza ve imha edilmesi adına kanuna uygun bir usül belirleyip bunu hayata geçirmesi gerekir.

Her bir şirket tarafından, şirketin yapısı, işlemleri faaliyetleri dikkate alınarak, kişisel verilerin korunmasına ilişkin, mevzuata uygunluğuna ilişkin detaylı bir çalışmanın yürütülmesi gerekmektedir.

Bu kapsamda, şirketin iş süreçleri incelenmeli, kişisel veri envanteri hazırlanmalı, aydınlatma metinleri ile gerekli bilgilendirmeler yapılmalı ve bunlar duyurulmalı, başvuru formları hazırlanmalı ve gerektiği takdirde KVKK'ya uygun olarak kişisel veri işleme ve imha politikası hazırlanmalıdır.

KVKK'nın Amacı Nedir?


Özel hayatın gizliliği olmak üzere kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemektir.

KVKK'nın Yürürlülüğe Giriş Tarihleri Nelerdir?


Kanun, 7 Nisan 2016 tarihinde Resmî Gazete'de yayınlanarak yürürlüğe girmiş olup 7 Nisan 2018 tarihinde geçiş süreci sona ererek tüm işlenen kişisel verilerin Kanuna tam uygun hale gelmesi gerekmektedir.

KVKK Kimleri Kapsar?


Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Veri Nedir?


Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan bilgilerdir.

Örnek: Adı, soyadı, doğum tarihi, doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü, ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri v.s.

Özel Nitelikli Kişisel Veri Nedir?


Özel Nitelikli Kişisel Veri, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.

Örnek: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler v.s

Kişisel Verilerin İşlenmesi Ne Demektir?


Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Verilerin Korunması Neden Önemlidir?


2003 yılına kadar kayıt altına alınmış toplam veri miktarı 5 Milyar gigabayt'tır. Bu veri 2012 yılında her iki günde günümüzde ise saniyeleri içerisinde üretilmektedir. Bu nedenle devir “Big Data (büyük veri)” devridir.

Bu durum kişisel verilerin ekonomi, sosyal yaşam, eğitim, savunma gibi birçok alanda iyi ya da kötü niyetle ile her gerçek ve tüzel kişi ve hatta her akıllı nesneler tarafından kullanılmaya açık olduğunu gösterir.

Özetle, günümüzde kişisel verilerin korunması ekstra bir yükümlülük değil, toplum düzeni için olmazsa olmaz bir husus olarak görülmelidir.

Kanunun İstisnaları Nelerdir?


KVKK ve GDPR'ın (Avrupa Birliği Veri Koruma Tüzüğü) asıl amacı, veriyi minimize etme yani işleyişi aksatmayacak kadar veri işlenmesini sağlamaktır.

KVKK, bu anlamda veri işlemenin temel koşulunu 'açık rıza' olarak belirleyerek zorlayıcı sınırlamalar koymuştur. Ancak kanun, her faaliyet için açık rıza almak iş akışını durduracağı gerçeğinden dolayı açık rıza olmaksızın veri işlenebilir istisnalarını beraberinde getirmiştir.

Veri işlemenin; kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması bu istisnalardan bazılarıdır.

Açık Rıza Nedir? Zorunlu Mudur?


Açık Rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Örneğin, bir alışveriş mağazasının müşterisine indirim kartı almasını teklif etmesi, kartı alması durumunda yararlanacağı avantajlardan bahsetmesi, mağazanın hangi verilerinizi, hangi amaçlar ile ve hangi süreyle saklayacağını size bildirmesi ve karşılığında veri işleme faaliyetinin gerçekleştirilebilmesi için müşterinin verdiği onay açık rızadır.

Açık Rıza, KVKK ile birlikte kanunun istisnaları hariç zorunludur.

KVKK'ya Göre İlan Edilen Veri Sorumluları Siciline Kayıt Tarihleri Nelerdir?

Veri Sorumluları

Kayıt Yükümlülüğü Başlangıç Tarihi

Kayıt İçin Verilen Süre

Kayıt İçin Son Tarih

Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları

01.10.2018

21 ay

30.06.2020

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için

01.10.2018

21 ay

30.06.2020

Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları

01.10.2019

12 ay

30.09.2020

Kamu kurum ve kuruluşu veri sorumluları

01.04.2019

21 ay

31.12.2020

Veri Sorumluları Siciline Kişisel Veri İşlenecek Midir?


Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmaz.

VERBİS sistemine, ilgili kişilerin kişisel verileri işlenmez. Başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilir.

Bu nedenle, VERBİS kesinlikle kişisel veri içermez ve dolayısıyla kişisel verilerin kamuya ifşa edilmesi söz konusu olmaz.

VERBİS'te, ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanma zorunluluğundan dolayı; veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi yer alır.

KVKK İdari para cezaları ne kadardır?

Aydınlatma yükümlülüğünü yerine getirmeyenler

5.000 TL - 100.000 TL

Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler

15.000 TL - 1.000.000 TL

Kurul tarafından verilen kararları yerine getirmeyenler

25.000 TL - 1.000.000 TL

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler

20.000 TL - 1.000.000 TL

Not: Her bir ceza tutarı ihlal edilen veri başınadır.

Yaptırımları Uygulama Yetkisi Kimdedir?


Veri ihlallerini, resen veya şikayet üzerine tespit ederek Kanunda yer verilen yaptırımları uygulayacak olan otorite, idari ve mali özerkliğe sahip ve Başbakanlığa bağlı olarak kurulmuş olan Kişisel Verileri Koruma Kurumu'dur.

Kurum, Kişisel Verileri Koruma Kurulu karar organlarıyla birlikte 175 üyeden oluşur.

Kurum aynı zamanda, bünyesinde devletten maaş almayan ve kesilen ceza tutarınca prim usulü çalışan 4.000 denetçi ile hizmet verir.

Bu Kurulun başlıca görevi; şikâyetleri karara bağlamak ve kişisel verilerin Kanun'a uygun olarak işlenip işlenmediğini kontrol ederek gerekirse geçici önlem ve idari yaptırımlara karar vermektir.

KVKK Hayatımızda Doğrudan Neyi Değiştirdi ve Değiştirmeye Devam Edecek?


KVKK ile birlikte; Kişisel veri işleyen gerçek ve tüzel kişilikler ve bunlarla bağlantılı olarak akıllı nesnelerin veri işleme süreçleri baştan sona kontrol edilerek yeniden planlanması kaçınılmaz bir hale gelmiştir.

Özellikle özel sektör tüzel kişiliklerinin bu süreci görmezden gelmeden hızla işleyişlerine dâhil etmeleri ve faaliyetlerini kanuna uygun hale getirmeleri gerekmektedir.

Veri Sorumlusu/Veri İşleyenlerin Alabileceği Önlemler Nelerdir?


Veri sorumluları ve veri işleyenlerin kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazası için alması gereken bazı teknik ve idari tedbirler bulunmaktadır.

Bu tedbirler ile işlenmekte olan verilerin muhtemel siber saldırılara karşı korunması amaçlanmıştır.

İdari tedbirlerden bazıları; çalışanların bilinçlendirilmesi için yapılacak farkındalık eğitimleri, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi ve veri işleyenler ile ilişkilerin düzenlenmesidir.

Bu kapsamda; veri işleyenler ile ilişkilerin düzenlenmesi özellikle önem arz etmektedir.

Veri işleyenler ile veri sorumluları idari ve teknik tedbirlerin alınması konusunda müştereken sorumludurlar.

İdari tedbirler haricinde kişisel veri içeren ortamların güvenliğinin sağlanması, siber güvenliğin sağlanması ve kişisel verilerin dijital ortamda yedeklenmesi de veri sorumluları ile veri işleyenlerin alabileceği güvenlik önlemlerinden bazılarıdır.

KVKK PROJE PLANI

Başaran ve RDM Hukuk Ortak Uzman Görüşü


“Kanuna aykırı birçok davranışta kendinizi savcının ya da ceza hâkiminin karşısında bulabilirsiniz. Bu nedenle KVKK kapsamında hazırlık yaparken iki kere dikkatli olmak ve son derece iyi hazırlık yapmak gerekir. Burada yazılanlar sadece ışık tutma amacıyla kaleme alınan bilgi ve düşünceler. Her şirketin kendi özelinde kişisel veri akışlarını değerlendirmesi ve ona göre çözümler üretmesi şart.”

Kataloğumuzu indirmek için tıklayın.