6698 Kişisel Verilerin Korunması Kanunu ( KVKK) hem özel sektör hem de kamu sektöründe, başta özel hayatın gizliliği olmak üzere, temel hak ve özgürlükleri korumak ve  sadece şahısların kişisel verilerini işleyen, gerçek ve tüzel kişilerin, yükümlülüklerini düzenlemek amacıyla 7 Nisan 2016 dan itibaren uygulamaya girmiş bir kanundur.

Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması veya sınıflandırılması gibi her türlü işlem kişisel veri işleme olarak kabul edilmektedir ve kanunda düzenlenen kurallara uygun olmalıdır. Kişisel bilgi tutan her kurum ise KVKK’ na tabidir.

Bu çerçevede;  Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü, 30 Eylül 2020 tarihinde sona erecek. Ancak bu büyüklüğün altında olan firmaların VERBİS hariç olmak üzere diğer başlıklarda KVKK yükümlüsü olduğu ve aşağıda sayılan idari ve teknik tedbirleri almakla mükellef olduğunu önemle hatırlatırız.

Kanun kapsamında tüm kuruluşların uyum sürecini tamamlaması gerekmektedir. Tamamlanmaması durumunda  Kişisel Verileri Koruma Kurulu tarafından yapılan denetimler ve şikayetler sonucu Türk Ceza Kanunu (TCK) kapsamında hapis cezası ve kabahatler kapsamında idari para cezaları uygulanmaktadır. (Ceza ve yaptırımlara ilişkin bilgilendirmeyi ekte görebilirisiniz. Ayrıca kurumun (KVKK) bu kapsamda ceza kestiği şirketlere ilişkin bilgileri kurumun sitesinden takip edebilirsiniz.

KVKK uyum süreçleri kapsamında şirketlerin;

  1. Veri envanterinin oluşturulması,
  2. Kurumsal politika prosedürlerin oluşturulması (Veri işleme ve saklama politikası, imha politikası, bilgi güvenliği politikası, özel nitelikli veri politikası vs.)
  3. Gizlilik sözleşmeleri, taahhütnameler (çalışan, müşteri, tedarikçi vs.),
  4. Aydınlatma metinleri (Çalışanlar, Çalışan Adayları, Ziyaretçiler, Müşteriler vs. 3. Kişiler için),
  5. Açık rıza süreçlerinin tasarlanması (Çalışan, Müşteri vs.),
  6. Denetim ve Risk analizi yapılması
  7. Farkındalık eğitimi
  8. VERBİS kaydının yapılması

gibi çalışmaları yapmış olması ve faaliyetlerinde uyguluyor olması önemli bir zorunluluk olup cezai bir durumla karşılaşmamak için önlem alınması önemlidir.

DANIŞMANLIK KAPSAMI

  • İşletme Faaliyetlerinin ve Süreç/İş akışlarının Analiz Edilmesi ve bu kapsamda alınan İdari ve Teknik Tedbirlerin Tespiti,
  • Çalışan, Müşteri, Ziyaretçi ve Tedarikçi Verilerine İlişkin Süreçlerin Analizi (Veri Türleri, İşleme Amaçları, Toplama Kanalları, Hukuksal Nedenler, Yurtiçi ve Yurtdışı Aktarım)
  • İşletmede bulunan bilgi güvenliği ve kişisel verilerin korunmasına ilişkin politika ve prosedürlerin incelenerek, yeterlilik analizi ve iyileştirme noktalarının belirlenmesi
  • Tüm sözleşme tiplerinin (Müşteri sözleşmeleri, tedarikçi sözleşmeleri, personel sözleşmeleri vb.) KVKK kapsamında uyum durumunun incelenmesi ve uygunluğunun sağlanması için iyileştirme yapılacakların belirlenmesi.
  • Kişisel veri yönetimine ilişkin kurumsal görevlendirme, iletişim yapısı ve başvuru yönetimine ilişkin organizasyon, görev tanımı ve süreç yönetimi oluşturulacaktır.
  • Yasal uyumluluk, KVKK ve buna ilişkin ikincil mevzuatın taleplerinin karşılanması ve iş ihtiyaçları doğrultusunda önerilerinde bulunulacaktır,
  • Şirketin mevcut süreç ve faaliyetleri incelenerek, süreç sahipleriyle birlikte kişisel verilerin tespit edilmesine ve veri envanteri oluşturulmasına yönelik olarak analizler yapılacaktır.
  • Veri amaçları kategorize edilecek ve süreçlerin süreç ve bilgi güvenliği açısından kanun ile olan uyumluluğu (istisnalar, açık rıza gereksinimi, aktarım süreçleri, saklama süreleri vs.) analiz edilerek, nihayetinde veri envanteri oluşturulacaktır.
  • Bilgi Teknolojileri alanında kullanılan sistem, uygulama ve bilgi güvenliği risklerinin özdeğerlemesi yapılacaktır.
  • “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” e uygun şekilde Aydınlatma ve Açık Rıza metinleri oluşturulacaktır. (Çalışan, Çalışan Adayı, Ziyaretçi, Müşteri, Tedarikçi vs. için ayrı ayrı)
  • Bilgi Güvenliği kapsamında sözleşmeler gözden geçirilecek ve Gizlilik Taahhütnameleri oluşturulacaktır. (Personel, Tedarikçi, Müşteri vs.)
  • Kişisel Verilerin Koruma Kurumunun yayınlamış olduğu Kişisel Veri Güvenliği Rehberindeki idari tedbirleri karşılayacak şekilde şirket için Kişisel Verilerin İşlenmesi ve Korunması Politikası, Veri Saklama ve İmha Politikası, Özel Nitelikli Kişisel Verilere İlişkin Önlem Politikaları, Bilgi Güvenliği Politikaları ve prosedürler oluşturulacaktır.
  • Şirket çalışanlarına KVKK Farkındalık Eğitimi verilecektir.
  • İdari tedbirler başlığında sayılan Risk Analizi ve Denetim Raporu hazırlanacaktır. (Tespit edilen hususların iyileştirilmesi amacıyla önceliklendirme ve yol haritası hazırlanacaktır.)
  • Teknik tedbirler kapsamında şirketin yapması gereken çalışmalara ilişkin öneriler paylaşılacak, 27001 Bilgi Güvenliği örnek dokümanları paylaşılacaktır.
  • Hazırlanan Veri Envanterinin VERBİS’e kaydı şirket ile birlikte yapılacaktır. (25 milyon aktif ya da 50 çalışan sayısının altında olan firmalar hariç)
  • Açık rıza metinleri
  • Aydınlatma Metinleri
  • Kurumsal Politikalar
  • Gizlilik Taahhutnameleri
  • Eğitim Dokumanları
  • Veri Envanteri
  • Veri Sorumluları Sicil Kayıt Formları
  • Denetim Raporu
  • Risk Analizi
  • Talep, Şikayet, İhlal Yönetim ve Görev Tanımları