KVK Uyum Yönetimi
Kişisel Verilerin Korunması Kanunu
6698 sayılı Kişisel verilerin korunması kanunu 24.03. 2016 tarihinde kabul edilmiştir. Bu kanun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla kabul edilmiştir.
Kanun Kapsamındaki Kişisel Veriler
Bu kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
Kanunda Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Buradan hareket ile; ad-soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası, adres, fotoğraf, kimlikte yer alan her tür bilgi, çalışılan kurum, hobiler, tercih edilen giyim türü, beğenilen film türü, her türlü kayıt, her kimse ile olursa olsun iletişim içerikleri, eğitim bilgileri, sertifika bilgileri ve benzeri her türlü veridir. Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
KVKK Kapsamı
Kişisel veri işleyen tüm özel hukuk ve kamu hukuku süjeleri bu kanun kapsamındaki yükümlülükleri yerine getirmek zorundadır. İhlallerin çok ağır yaptırımları söz konusudur. Kişisel veri işleyen özel hukuk süjelerinin başında ise; alışveriş merkezleri, yönetim şirketleri, kargo şirketleri, oteller, eczaneler, fabrikalar, temizlik ve güvenlik personel hizmeti veren şirketler, ajanslar, özel okullar ve üniversiteler, hastaneler ve tıp merkezleri, e-ticaret kuruluşları, bankalar, elektrik, su, doğalgaz, telefon, internet, uydu televizyon yayıncılığı abonelik sistemiyle çalışan kuruluşlar gelmektedir. Bu ve benzeri şirketlerin sistemlerini mevzuata uyumlu hale getirmeleri gerekmektedir.
Kişisel Veri İhlalleri Halinde Söz Konusu Olacak Yaptırımlar (2021 Yılı)
İdari Para Cezaları (2021 yılı)
Hapis Cezaları (2021 Yılı)
- Kişisel verileri hukuka aykırı olarak kaydetmek (TCK 135/1); 1 – 3 Yıl
- Kişilerin siyasi, felsefi veya dini görüşlerine, ırki köklerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek (TCK 135/2); 1,5 – 4,5 Yıl
- Kişisel verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek 136/1); 2 – 4 Yıl
- Bu suçlar; kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenirse (TCK 137/1-b); Yukarıdaki cezalar yarı oranında arttırılır
- Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi (TCK 138/1); 1 – 2 Yıl
- Suçun konusunun ceza muhakemesi kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde (TCK Madde 138/2); yukarıdaki ceza bir kat arttırılır
VERBİS Kayıtları
Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”); kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
6698 sayılı Kişisel Verilerin Korunması Kanununun 16’ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir.
Kişisel verileri koruma kurulunca 6698 sayılı kanunun geçici 1 inci maddesine(*) göre ilan edilen veri sorumluları siciline kayıt tarihleri;
Veri Sorumluları
|
Başlangıç
|
San Tarih
|
Yıllık çalışan sayısı 50’den çok veya
yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları
|
01.10.2018
|
30.09.2020
|
Yurtdışında
yerleşik veri sorumluları
|
01.10.2018
|
30.09.2020
|
Yıllık çalışan sayısı 50’den az ve
yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel
nitelikli kişisel veri işleme olan veri sorumluları
|
01.01.2019
|
31.03.2021
|
Kamu
kurum ve kuruluşu veri sorumluları
|
01.04.2019
|
31.03.2021
|
(*) GEÇİCİ MADDE 1-(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.
VERBİS’e Kayıt Yükümlülüğünün İstisnaları*
Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
- 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
- 19/03/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
- Gümrük müşavirleri,
- Arabulucular,
- 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
*Burada belirtilen istisnalar dışında kalan ve veri işleyen tüm kurum ve kuruluşların VERBİS’e kayıt zorunluluğu mevcuttur. Yukarıda belirttiğimiz gibi söz konusu kaydı yapmamak çok ciddi yaptırımlara bağlanmıştır.
KVK Uyum ve Dönüşüm Süreci
1-) Raporlama
İnceleme yapılarak hedeflenen şartlar ile mevcut durum arasındaki farklar raporlanır ve eksikliklerin giderilmesi için yöntemler ortaya konur.
2-) Uyum Ekibinin ve İrtibat Kişisinin Belirlenmesi
Uyum ekibi ve sorumlulukları belirlenir (Bu aşamada, veri sorumlusu irtibat kişisi belirlenecek ve kişilerin ataması yapılarak çalışanlara duyurulacaktır).
3-) Eğitimlerin Planlanması
Öncelikli olarak uyum ekibinin eğitim süreçleri tamamlanır ardından çalışanların ve gerekli görüldüğünde ilgili diğer kimselerin eğitimleri doğru şekilde alınması sağlanır.
4-) Proje Planının Oluşturulması
Uyum ekibi ile proje planı hazırlanır. Projede görev alanlar arasındaki bağların kurulması, iş paketlerinin detaylı bir şekilde tanımlanması ve süreç takibinin yapılması gerekmektedir.
5-) Veri Envanter Çalışmaları
Bir organizasyonun veri yönetimi konusundaki en önemli ihtiyacı ve hatta başlangıç noktası, sahip olduğu verilerin miktarı, yeri, paylaşımı ve ömrü ile ilgili bilgilere hâkim olmaktır.
Envanter hazırlamanın faydası, veri sorumlularının faaliyetleri ile ilgili iş süreçlerinde kanuna uyumluluk için alt yapı hazırlanması, diğer bir deyişle kanuna aykırı bir kişisel veri işlemenin söz konusu olup olmadığının kolayca tespitinin sağlanmasıdır. Bu envanter sayesinde, kişisel veri işleme faaliyetlerinin kanuna uyumu ile ilgili veri sorumlusu da kendini denetleme olanağına kavuşmaktadır.
6-) Dokümantasyon Çalışmaları
Veri envanteri ışığında kişisel verilerin korunması politikasının hazırlanması ve yayınlanması, aydınlatma metinlerinin oluşturulması (çalışan, taşeron, misafir, web sayfaları gibi) kişisel verilerin açık rıza ile toplanması ve diğer belgelerin hazırlanmasını sürecidir.
7-) Teknik Değerlendirme ve Tedbir Çalışmaları
Teknik testler yapılarak (Sızma testi yapılması, sızma testi sonucunda şirketin alması gereken teknik tedbirlerin raporlanması, yetki matrisi oluşturulması ve yetki kontrol düzenlemeleri) ilgili değerlendirmelerin sonucuna göre gerekli tedbirlerin alınması sağlanmaktadır.
Tedarik edilmesi gereken teknik tedbirleri (Ağ Güvenliği, Uygulama Güvenliği, SIEM Programları, DLP Yazılımları, Yedekleme, Güncel Anti-Virüs Sistemleri, Anahtar Yönetimi), gerekmesi durumunda partner şirketlerimiz tarafından uygun teklifler verilebileceği gibi, hizmet verilen Şirket başka kaynaklardan da temin edebilecektir.
8-) Veri Sorumluları Siciline Kayıt
Envanter ile toplanan verilerin veri sorumlusu tarafından sicile kaydı sağlanır. Bu kayıtlar sırasında hata yapılmaması büyük önem arz eder.
9-) Sonuç Raporunun Teslimi
Proje kapsamında yapılan çalışmalar uyum ekibi tarafından raporlanacak ve tüm dokümanların kontrolü sağlanacaktır. Proje raporunun teslimi ile dönüşüm tamamlanmış kabul edilir.
10-) Uyum Süreci Sonrası
Uyum süreci sonrası gerekli görüldüğü ve talep edildiği takdirde yenileme eğitimleri ve raporlamalar ile sürecin sağlıklı devamı sağlanmaktadır.