KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)
KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK) başlıklı bu yazımızda, şirketler için kanun hakkında genel bilgiler, kanunun amacı, kapsamı ve izlenecek yollar özetlenmiştir.
Günümüzde birçok kurum ve kuruluş günlük faaliyetler çerçevesinde gerçek kişilere ait çeşitli bilgiler elde edebilmektedir. Elde edilen bu bilgiler bilişim teknolojilerindeki gelişmelerin de etkisi ile kolayca işlenebilmekte ve 3. kişilere aktarılabilmektedir. Bu bilgiler arasında yer alan kişisel veriler beraberinde bu verilerin korunması ihtiyacını gündeme getirmiş olup Kişisel Verilerin Korunması Kanunu (KVKK) nun önemi daha da artmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi.
Kişisel Verilerin Korunması Kanunu (KVKK) amacı; kişisel verilerin gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesidir ve böylece anayasada öngörülen başta özel hayatın gizliliği olmak üzre temel hak ve özgürlüklerin korunmasıdır.
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamı; kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) TEMEL KAVRAMLAR
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Bir kişisel veriden söz edebilmek için verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri bir kişinin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, aile hayatı, adresi, düşünce ve inançları, telefon numarası, TC Kimlik numarası, özgeçmiş, resim, görüntü ve ses kayıtları olmak üzere o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya yarayan her türlü bilgi
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. Kişisel veriler ilk elde edildikten imha edilmesine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel verilerin işlenmesi sayılmaktadır.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasında ve yönetiminden sorumlu olan gerçek veya tüzel kişi. Veri Sorumlusu ifadesi ile kişisel veri işleme faaliyetlerinden sorumlu olan bir kişi kastedilmemektedir. Görevlendirilen bir gerçek kişi değil, tüzel kişinin kendisidir.
Veri Sorumluları siciline kayıt tarihleri:
Veri sorumluları | Kayıt başlama tarihi | Süre | Kayıt için son tarih |
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 12 ay | 30.09.2019 |
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için | 01.10.2018 | 12 ay | 30.09.2019 |
Yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 01.01.2019 | 15 ay | 31.03.2020 |
Kamu Kurum ve Kuruluşu veri sorumluları | 01.04.2019 | 15 ay | 30.06.2020 |
Veri Sorumluları için getirilmiş olan bazı yükümlülükler aşağıda açıklanmıştır;
- Kanunda sayılan temel ilkelere uyum
- Kişisel veri işleme şartlarına dayanma
- Şartların ortadan kalkması halinde imha etme
- Aktarım usul ve esaslarına uyum sağlama
- Aydınlatma yükümlülüğünü yerine getirme
- Veri güvenliği için teknik ve idari tedbirleri alma
- VERBİS’e kayıt olma
- Kişisel veri işleme envanteri hazırlama
- Kişisel veri saklama ve imha politikası hazırlama
Kişisel Verilerin Korunması Kanunu (KVKK) nda bu ve bunun gibi birçok temel kavram bulunmakta ve Kişisel Verilerin Korunması Kanunu (KVKK) nda detaylı olarak ele alınmıştır. Şirketlerin tüm bu kavramları karşılaması gerekmektedir.
ŞİRKETLERİN KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) UYUM İÇİN YAPMASI GEREKEN ADIMLAR
- Uyum için kişi/birim/ekip görevlendirilmesi
- Veri analizi yapılması
- Teknik tedbirlerin alınması
- Kişisel veri işleme envanteri hazırlanması
- Envantere dayanarak diğer dokümanların hazırlanması
- VERBİS’e kayıt olunması
- Çalışanlar için farkındalık oluşturma ve eğitim planlanması
1.Uyum için kişi/birim/ekip görevlendirilmesi
Şirketler, veri işleme faaliyetleri hakkında detaylı bilgi sahibi bir kişiyi veya birden çok kişiden oluşan birimi/ekibi görevlendirebilir.
2. Veri analizi yapılması
Görevlendirilen kişi/birim/ekip tarafından şirketin tüm kişisel verilerinin analizi yapılmalıdır. Bu analiz kapsamında öncelikle işlenen kişisel verilerin niteliğinin tespit edilmesi, sonrasında da kişisel verilerin elde edilmesi, kaydedilmesi, kullanımının engellenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, güncellenmesi, saklanması, depolanması, değiştirilmesi, açıklanması, devralınması, sınıflandırılması gibi kişisel veri işlemeye ilişkin tüm aşamaların tek tek tespit edilmesi gerekmektedir. Ayrıca bu doğrultuda kişisel veri iş akış şemalarının da çizilmesi önerilir.
3. Teknik tedbirlerin alınması
Veri Sorumlusu kişisel verinin uygun şartlarda işlenmesi, depolanması ve muhafazasını yerine getirmek, sağlamak üzere gerekli teknik tedbirleri almalıdır. Bu tedbirler bilgi güvenliğinin gizlilik, bütünlük ve erişilebilirlik ilkeleriyle uyumlu olmalıdır. Bu kapsamda siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknoloji sistemleri tedariği geliştirme ve bakımı, kişisel verilerin yedeklenmesi gibi şartları Veri Sorumlusunun hiçbir şekilde veri ihlali gerçekleşmeyeceğine emin olacağı ölçüde alması gerekmektedir.
4. Kişisel veri işleme envanteri hazırlanması
Görevlendirilen kişi/birim/ekip tarafından tüm kişisel veri işleme faaliyetleri doğrultusunda kişisel veri işleme envanteri hazırlanmalıdır.
5. Envantere dayanarak diğer dokümanların hazırlanması
Görevlendirilen kişi/birim/ekip tarafından, aydınlatma yükümlülüğünün yerine getirilmesi için envantere dayanarak aydınlatma metinleri ile kişisel veri saklama ve imha politikası hazırlanması gerekmektedir.
6. VERBİS’e kayıt olunması
Hazırlanan envantere dayalı olarak Veri Sorumluları siciline kayıt yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda www.kvkk.gov.tr adresinde yer alan VERBİS’e kayıt yapılmalıdır.
7. Çalışanlar için farkındalık oluşturma ve eğitim planlanması
Görevlendirilen kişi/birim/ekip tarafından şirket bünyesindeki en alt düzeyden en üst düzeye kadar tüm çalışanlarda kişisel veri koruma kültürü ve bu kapsamda farkındalık oluşmasını sağlamak amacıyla şirket içi eğitimler verilmesi gerekmektedir.
Tüm bu uyum sürecinin ayrıntılarını öğrenmek ve süreci en doğru şekilde ve başarıyla yöneten uzman kadromuzdan yardım almak için hemen bizimle iletişime geçin!