KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)

KVKK Uyum Projesi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)  ‘na uyum sağlamak ve idari (hukuk) ve teknik (bilgi güvenliği) tedbirlerin alınması konusunda sizlere destek veriyoruz.

KVKK ile özel hayatın gizliliği ve kişisel verilerin korunması amaçlanmıştır. Ayrıca gerçek ve tüzle kişi veri sorumlularının KVKK kapsamındaki yükümlülükleri de belirlenmiştir.

Bu durum özellikle kuruluşlar açısından birçok yükümlülükler getirmiştir. Ayrıca Kişisel Verileri Koruma Kurulu ’nun cezai yaptırımları da göz önünde bulundurursak, kuruluşların kısa sürede bu geçişleri tamamlaması gerekmektedir. SZUTEST TEKNOLOJİ olarak kuruluşların ticari hayatına odaklanması ve bu dönüşüm sürecini başarı ile tamamlaması için sizlere çözüm odaklı yaklaşımlar sunmaktadır.

SZUTEST TEKNOLOJİ olarak KVKK Uyum Projelerinde neler yapıyoruz?

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlularının yükümlülüklerinin yerine getirilmesi ve uyumun sağlanması kapsamında aşağıdaki hizmetlerin verilmesi amaçlanmaktadır.

Aydınlatma Yükümlülüğü Kapsamında;

Veri sorumluları kişisel verileri elde ettiği anda ilgili kişileri bilgilendirmekle yükümlüdür.(KVKK md.10)

Bu kapsamda aşağıdaki hizmetlerin sağlanması amaçlanmaktadır;

  • Çalışanlar, Çalışan Adayları, Müşteriler, Potansiyel Müşteriler, Tedarikçiler, Firmayı ziyaret edenler gibi ilgili kişileri işlenen kişisel veriler hakkında bilgilendirmek ve rızalarını alabilmek için, Aydınlatma Metinleri ve Açık Rıza Beyanları ‘nın oluşturulması
  • Web Sitesi ‘nin KVKK ‘ya uyumu
  • Çağrı Merkezi ve Santral Anonsları

Veri Güvenliğine İlişkin Yükümlülükler Kapsamında;

Veri sorumluları, işlediği, sakladığı ve aktardığı kişisel verilerin güvenliğini sağlamakla yükümlüdür. (KVKK md.12)

Bu kapsamda aşağıdaki hizmetlerin sağlanması amaçlanmaktadır;

  • Kişisel veri işleme envanterinin oluşturulması
  • Kişisel veri güvenliği politika ve prosedürlerinin oluşturulması
  • Kişisel veri güvenliği risk analizinin yapılması
  • Çalışanlara kanun ve bilgi güvenliği eğitimi verilmesi
  • Çalışanlarla ve veri işleyen tedarikçiler ile imzalanacak olan gizlilik taahhütnamelerinin hazırlanması
  • Sözleşmelerin KVKK ile uyumlu hale getirilmesi, Şirket iç yönetmeliği veya disiplin sürecinin KVKK ile uyumlu hale getirilmesi
  • İlgili kişileri ve kişisel verileri koruma kuruluna yapılacak veri ihlal bildirim yöntemlerinin oluşturulması
  • KVKK iç denetim altyapısının oluşturulması
  • Teknik tedbirlerin belirlenmesi noktasında alınması gereken aksiyonlar için firmaya özel çözüm önerilerinin sunulması (firewall, antivirüs sistemi, log yönetimi gibi)

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ‘ne uygun teknik ve idari tedbirler önerileri

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Yükümlülüğü Kapsamında;

VERBİS kapsamında olan firmalar kayıt ve bildirim işlemlerini yerine getirmek zorundadır.(KVKK md.16)

Bu kapsamda aşağıdaki hizmetlerin sağlanması amaçlanmaktadır;

  • Verbis ilk kayıt işlemlerinin yapılması
  • Irtibat kişisi atamasının yapılması
  • Veri sorumlusu yurtdışında yerleşik tüzel kişi ise; Türkiye ‘de temsilci atanması gerektiğinden, temsilcilik yazılarının hazırlanması ve kurula iletilmesi
  • Kişisel veri işleme envanterine dayalı olarak VERBİS bildirimlerinin tamamlanması

İlgili Kişi Başvurularının Cevaplanması Yükümlülüğü Kapsamında;

İlgili kişiler KVKK 11.maddede sayılan hakları kapsamında  veri sorumlularına başvuruda bulunabilirler. Bu başvuruların en geç 30 gün içinde cevaplanması gerekmektedir. (KVKK md.13)

Bu kapsamda aşağıdaki hizmetlerin sağlanması amaçlanmaktadır;

  • Resmi başvuru sürecinin oluşturulması
  • Resmi cevap sürecinin oluşturulması

SzuKVK Yazılımı

Szutest Teknoloji tarafından KVKK uyum projelerinde kullanılmak üzere geliştirillen web tabanlı yazılımdır. SzuKVK yazılım ile;

  • Kişisel veri işleme envanteri daha kolay ve kanuna uygun olarak hazırlanmaktadır.
  • Kişisel veri güvenliği tedbirlerinin takibi yapılabilir.
  • İlgili kişi talepleri kayıt altına alınabilir.
  • Veri ihlal olayları kayıt altına alınabilir.

SZUTEST TEKNOLOJİ Hukuk ve Bilgi Güvenliği konusunda KVKK Uzmanı Avukat ve Bilgi Güvenliği Uzmanları ile sizlerin bu zorlu süreci tamamlamanıza yardımcı olmayı amaçlamaktadır.

Yukarıda da belirtildiği gibi gerçek ve tüzel kişi tüm veri sorumluları kanun kapsamındadır.

VERBİS ‘ten istisna tutulan veri sorumluları, KVKK kapsamında diğer yükümlülükleri yerine getirmeleri gerekmektedir.

Gerçek kişiye ait kimliği belirli veya dolaylı olarak belirlenebilen tüm verilerdir.

Ad soyad, TC kimlik no, Telefon no, İletişim adresi, Özgeçmiş, Görsel ve İşitsel Kayıtlar, Araç Plaka No, Doğum yeri, Doğum tarihi vb. gibi

Özel nitelikli kişisel veriler kanunda aşağıdaki gibi ifade edilmiş ve sınırlandırılmıştır. Özel nitelikli veriler öğrenilmesi durumunda ilgili kişilerin ayrımcılığa maruz kalabileceği ve mahduriyetine sebep olabilecek verilerdir.

Kişinin ırkı ve etnik kökeni, Siyasi düşüncesi,Felsefi inancı, dini, mezhebi, Kılık kıyafeti, Dernek, vakıf, sendika üyeliği, Cinsel hayat, sağlık bilgileri, Ceza mahkumiyeti bilgileri, Biyometrik ve genetik verilerdir.

Kişisel verilerin tamamen veya kısmen otomatik olan (elektronik) ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan (fiziksel) yollarla;

elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel veri işlemedir.

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişidir.

Bu kişiler;

GERÇEK KİŞİLER olabileceği gibi,

Kamu kurumları, Şirketler, Dernekler, Vakıflar gibi TÜZEL KİŞİLER de olabilir.

VERBİS bildirimlerini yapacak ve ilgili kişilerin başvurularına cevap verecek gerçek kişidir. Şirket içinden bir çalışanda olabilir. Dış kaynaklı gerçek kişi de olabilir. Türkiye Cumhuriyeti vatandaşı olması zorunludur.

  1. Aydınlatma Yükümlülüğü
  2. Veri Güvenliğine İlişkin Yükümlülükler
  3. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
  4. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
  5. Veri Sorumluları Siciline Kayıt Yükümlülüğü
  • Aydınlatma yükümlülüğüne aykırılık halinde; 9.834₺ – 196.686₺
  • Veri Güvenliğine ilişkin yükümlülüklere aykırılık halinde; 29.503₺ – 1.966.862₺
  • Kurul tarafından verilen kararlara aykırılık halinde; 49.172₺ – 1.966.862₺

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde; 39.337₺ – 1.966.862₺

Veri sorumluları, kişisel verileri elde ederken;

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. Kanunun 11. Maddesinde sayılan diğer hakları,

konusunda ilgili kişiyi bilgilendirmek zorundadır.

Kanunun 12 nci maddesinin birinci fıkrasında;

“Veri sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

Teknik Tedbirler

  1. Yetki Matrisi
  2. Yetki Kontrol
  3. Erişim Logları
  4. Kullanıcı Hesap Yönetimi
  5. Ağ Güvenliği
  6. Uygulama Güvenliği
  7. Şifreleme
  8. Sızma Testi
  9. Saldırı Tespit ve Önleme Sistemleri
  10. Log Kayıtları
  11. Veri Maskeleme
  12. Veri Kaybı Önleme Yazılımları
  13. Yedekleme
  14. Güvenlik Duvarları
  15. Güncel Anti-Virüs Sistemleri
  16. Silme, Yok Etme veya Anonim Hale Getirme
  17. Anahtar Yönetimi

 

İdari Tedbirler

  1. Kişisel Veri İşleme Envanterinin Hazırlanması
  2. Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  3. Sözleşmeler (Veri Sorumlusu- Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen)
  4. Gizlilik Taahhütnameleri
  5. Kurum İçi Periyodik ve/veya Rastgele Denetimler
  6. Risk Analizleri
  7. İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  8. Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi)
  9. Eğitim ve Farkındalık Faaliyetleri
  10. Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

Veri İhlal Bildirimi (72 saat)

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en geç 72 saat içinde ilgilisine ve Kurula bildirmesi gerekmektedir.

Veri İşleyen ile İlişkiler

Veri sorumlusu kendisi adına emanet ettiği kişisel verileri işleyen kişi ve kuruluşlar ile müştereken sorumludur. Bu kapsamda aşağıdaki tedbirleri alması gerekmektedir.

  • Veri sorumlusu-Veri işleyen sözleşmeleri yapılması gerekmektedir.
  • Veri sorumlusu veri işleyeni denetleyebilmeli,
  • Veri sorumlusu veri işleyeni kanun ve bilgi güvenliği konusunda farkındalığını sağlamalıdır.

Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır.

İlgili Kişinin Hakları nelerdir?

  1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

VERBİS Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumunca Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır.

VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

Verbis Yükümlülüğü Kımlerı Kapsıyor?

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine ertelenmesine karar verilmiştir.

Verbis’e Ön Kayıt Içın Neler Gerekıyor?

https://verbis.kvkk.gov.tr resmi web sayfasından Veri Sorumlusu Yönetici Girişi bölümünden ön kayıt işlemi yapılmaktadır. Ön kayıt için aşağıdaki bilgilere ihtiyaç duyulmaktadır. Başvuru formu oluşturulduktan sonra, KEP adresi ve Elektronik İmza ile kolayca Kurumun onayına gönderilebilir.

Yurtiçinde Yerleşik Tüzel/Gerçek KişiYurtdışında Yerleşik Tüzel/Gerçek KişiKamu Kurumu
Veri Sorumlusunun VKN/TCKN,Veri Sorumlusunun UnvanıVeri Sorumlusunun VKN
Vergi Dairesi,Veri Sorumlusunun E-posta AdresiVergi Dairesi
Veri Sorumlusunun Unvanı,Veri Sorumlusunun Telefon NumarasıVeri Sorumlusunun Unvanı
Veri Sorumlusunun E-posta Adresi,Veri Sorumlusunun AdresiVeri Sorumlusunun Adres Numarası
Veri Sorumlusunun Telefon Numarası,Veri Sorumlusunun Yerleşik Olduğu ÜlkeVarsa KEP (Kayıtlı Elektronik Posta) Adresi
Veri Sorumlusunun Adres Numarası,Veri Sorumlusu Temsilcisi Atamaya İlişkin Karar TarihiKoordinasyon Sağlayacak Üst Düzey Yönetici Adı Soyadı
Varsa KEP (Kayıtlı Elektronik Posta) AdresiVeri Sorumlusu Temsilcisi Atamaya İlişkin Kararın Varsa SayısıKoordinasyon Sağlayacak Üst Düzey Yönetici Unvanı
Veri Sorumlusu Temsilcisinin VKN/TCKNKoordinasyon Sağlayacak Üst Düzey Yöneticinin E-posta Adresi
Vergi DairesiKoordinasyon Sağlayacak Üst Düzey Yöneticinin Telefon Numarası
Veri Sorumlusu Temsilcisinin Unvanı
Veri Sorumlusu Temsilcisinin E-posta Adresi
Veri Sorumlusu Temsilcisinin Telefon Numarası
Veri Sorumlusu Temsilcisinin Adres Numarası
Varsa KEP (Kayıtlı Elektronik Posta) Adresi

Veri Sorumluları Siciline Kayıt Bildirimi

Veri Sorumluları VERBİS ‘e bildirim yaparken, kişisel veri işleme envanterine dayalı olarak, aşağıdaki bilgileri beyan edecektir;

  1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  2. Hangi kişisel veri kategorilerinin işlendiği,
  3. Kişisel verilerin hangi amaçla işleneceği,
  4. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  5. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  6. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  7. Kişisel veri güvenliğine ilişkin alınan tedbirler,
  8. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

 

Kışısel Verı İşleme Envanterı Nasıl Oluşturulur?

Kişisel Veri İşleme Envanteri VERBİS’e yapılacak bildirimlerin tespit edilmesini sağlayan bir listedir. Esasında daha sonra hazırlanacak hukuki ve süreç dokümanları içinde klavuz teşkil etmektedir. Bir nevi şirket içerisinde işlenen verilerin haritasıdır.

Departman ve süreç bazlı hazırlanması tavsiye edilmektedir. İşlenen Kişisel verilerin tespit edilmesi için örnek olarak aşağıdaki ortamlara bakılması gerekir.

Fiziksel ortamdaki kişisel veriler: Kağıt (Formlar, Sözleşmeler, İmza Sirküleri vb) , Bülten, Broşür, Afiş, Katalog, Şirket İçi Panolar vb.

Elektronik ortamdaki kişisel veriler: Sunucular (Dosya Sunucuları, Eposta Sunucuları), Kişisel Bilgisayarlar, Yazılımlar(Masaüstü-Mobil-Web), Sosyal Medya Platformları, Bulut sistemler vb.

Kişisel Veri Envanterini SzuKVK yazılımı ile dinamik ve hızlı bir şekilde oluşturabilirsiniz.

Kişisel Veri Saklama Ve İmha Politikası

Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak Kişisel Veri Saklama Ve İmha Politikası hazırlamakla yükümlüdür.

Kişisel veri saklama ve imha politikası asgari olarak aşağıdakileri içermesi gerekmektedir;

  • Kişisel veri saklama ve imha politikasının hazırlanma amacına,
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
  • Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
  • Saklama ve imha sürelerini gösteren tabloya,
  • Periyodik imha sürelerine,

Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,