KVKK NEDİR?
KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanununu açıklayan terimdir. KVKK, bireyler tarafından kanuni zorunluluk ya da kişisel tercih doğrultusunda paylaşılan bilgilerin güvenliğini sağlamak üzere düzenlenmiş bir kanundur.
Kişisel verilerin korunması, verileri korumaktan çok kişilerin güvenliğini korumak için gereklidir. Kanunun dahilindeki verilerin güvenliğinin sağlanamaması veri sahiplerine zarar vereceği için, KVKK ile teknik verilerin güvenliği değil, veri sahibi bireyler koruma altına alınır.
Kişisel Verileri Koruma Kurumu yani KVKK, yürürlüğe girmesiyle beraber kişisel verileri işleyen gerçek ve tüzel kişilere yönelik yükümlülükler verdi.
Madde 1 üzerinden açıklanan amaç; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
MADDE 2- 1.fıkraya göre; Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
KVKK kapsamında olan gerçek ve tüzel kişiler;
Anonim şirketler,
Tüm Üniversiteler,
Vakıflar,
Turkcell, Türk Telekom, Vodafone gibi tüm telekominikasyon şirketleri, Kişisel Verilerin Korunması Kanunu kapsamındadır.
Sonuç olarak Kişisel verilerin korunması kanunun amacı ve kapsamı oldukça geniş ve net bir şekilde ifade edilmiştir. Kısacası, kişilerin veri güvenliğini, temel hak ve özgürlüklerini korumak amacıyla; kısmen veya tamamen, otomatik veya manuel bir şekilde veri kayıt sisteminin parçası olmak kaydıyla işleyen tüm gerçek ve tüzel kişiler ile birlikte kişisel verileri işlenen gerçek kişileri kapsar. Tüzel kişi grubundaki kurumlar için özel ya da kamu kuruluşu olma konusunda bir ayrım yapılmamış olup hepsi için aynı esaslar kabul edilmiştir. Yani hak ehliyetine sahip olan herkes bu kanun kapsamındadır.
Kişisel verileri işlenen tüzel kişilerin verileri KVKK kapsamı dışındadır. Ayrıca veri kayıt sisteminin parçası olmaksızın veri toplayan ve işleyen gerçek ve tüzel kişiler de bu kanundan muaftır.
Yönetmelikte belirtilen maddelere göre kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel verileri işleme almadan önce VERBİS’e kayıt olmak zorundadır.
VERBİS Nedir?
KVKK’nın yürürlüğe girmesi sonuç olarak kişisel verileri işleyen gerçek ve tüzel kişiler için yeni yükümlülükler getirdi. Bu yükümlülüklerin en önemlisi kısa adı VERBİS olan “Veri Sorumluları Sicil Bilgi Sistemi” dir. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kayıt olmakla yükümlüdür.
Yani söz konusu olan gerçek ve tüzel kişiler, veri işlemeye başlamadan önce ilgili bilgileri kategorileriyle VERBİS sistemine bildirmek zorundadır. VERBİS sistemi sayesinde gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanır ve kişisel verilerin korunmasında nasıl bir yol, yöntem izleneceği sisteme tanımlamış olur.
Fakat bazı durumlar, işlenecek verinin boyutu, niteliği, konusu, amacı gibi kriterler göz önüne alınarak, kurul tarafından bazı veri sorumlularına, Veri sorumluları sicil bilgi sistemine VERBİS’e kayıt olmaktan muaf olabilirler. Muafiyet durumu genellikle verinin bir kanun kapsamında işlenmesinden dolayı gerçekleşir. Bu istisnalar;
SMMM ve Yeminli Mali Müşavirler
Dernek, vakıf ve sendikalardan sadece ilgili mevzuat ve amaçlara uyan, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine ve bağışçılarına yönelik kişisel veri işleyen kurum ve kuruluşlar
Yıllık çalışan sayısı 50’den az ve yıllık bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işlemeyenler KVKK kapsamından muaf tutulmaktadır.
KVKK Aydınlatma Metni Nasıl Olmalıdır?
KVKK aydınlatma metni; kanunun 10. ve 11. maddesi kapsamında belirtilen tüm detayları içermeli ve veri sahibi tarafından anlaşılabilmelidir. Veri sorumlusu ya da yetkilendirdiği kişi tarafından, veri sahibini temsilci kimliği, veri toplama yöntemi, veri işleme amacı ve hukuki sebebi, işlenen verilerin hangi sebeple kimlere aktarılacağı hakkında bilgilendirme metnidir. Veri sorumlusu ya da veri sorumlusunun yetkilendirdiği kişi, kanun kapsamında bu metni hazırlamakla yükümlüdür.
KVKK Hassas Veri Nedir?
Herhangi bir kişi veya kurum tarafından öğrenilmesi veri sahibinin dışlanmasına, mağdur olmasına ve zarar görmesine sebebiyet verecek veriler “özel nitelikli kişisel veri” ya da “hassas veri” olarak kabul edilir. Kanunda hassas olarak belirtilenlerin verilerin dışındakiler hassas kabul edilemez ve bu grupta değerlendirilemez.
KVKK kapsamında kişinin; ırkı, dini, mezhebi ve diğer inançları, etnik kökeni, felsefi inancı, siyasi düşüncesi, cinsel hayatı, sağlık durumu, dernek, vakıf ve sendika üyeliği, kılık ve kıyafeti, güvenlik tedbirleriyle ilgili bilgileri, ceza mahkûmiyeti genetik ve biyometrik verileri hassas verileri olarak belirlenmiştir.
KVKK kapsamında eksiklikleri ve hatası bulunan şirketlere idari para cezaları uygulanmaktadır. Kanun yükümlülüklerine aykırı davranışlar, teknik önlemlerin alınmaması ve bazı kararları yerine getirmeyen şirketler için farklı şekillerde idari para cezaları verilmektedir. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler gerçek ve tüzel kişilerin hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası Kurum kararı ile kesilmektedir.
KVKK İdari Para Cezaları Hangi durumlarda verilir?
- İşlediğiniz kişisel veriler için; kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturmamak.
- KVKK kapsamında; istisna tanımına girmeyen durumlar için, veri işlerken ilgili kişi’ den açık rıza alınmaması. (KVKK’ nun Kabahatler başlıklı 18.maddesi ve ayrıca TCK 135. Madde kapsamında hukuka aykırı olarak kişisel verileri kaydeden kişilere bir ile üç yıl arasında değişen hapis cezası verilmektedir.)
- Veri işleyen veya Veri Sorumlusu sıfatıyla; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında aydınlatma yükümlülüğü’ nüzü yerine getirmemek.
- Kişisel Veri İşleme Envanteri’ ni oluşturmamak.
- Şirket personellerinize zorunlu KVKK eğitimini aldırmamak.
KVKK DANIŞMANLIĞI NEDİR?
KVKK İrtibat Kişisi Nedir?
Kişisel Verileri Koruma Kurumu arasındaki iletişimi sağlayan veri sorumlusu ve veri sahibi kişiye “irtibat kişisi” denilmektedir. İrtibat kişisi ilgili kişi ve veri sorumlusu arasındaki talepleri iletir ve cevaplandırılmalarını sağlar. İrtibat kişisi veri sorumlusunun ya da veri sahibi kişinin kanun karşısındaki yükümlülüklerinden sorumlu değildir ve bu tarafları temsil etmez. Tarafların kanun karşısındaki yükümlülükleri, arada irtibat kişisi olduğu süreç boyunca sürmeye devam eder.
OZZTECH Bilgi güvenliği ve yazılım limited şirketi sizlere KVKK danışmanlığı hizmeti sunarak verilerin nasıl kullanılacağına dair bilgi sağlar ve veri işleme izni almak için yardım eder. Kişisel verilerin sunucu ve istemci arasında güvenli bir şekilde korunması için;
Sertifikalar
SSL Güvenlik Katmanı
Güvenlik Duvarı
Çerez Politikası (E-ticaret sitelerinde çerez politikası yer almalıdır. Bu politikada verilerin ne amaçla kullanılacağı bildirilerek kullanıcıdan izin istenmelidir.)
OZZTECH Bilgi Güvenliği ve Yazılım Limited Şirketi olarak sağladığımız danışmanlık hizmetiyle, şirketinizin kanun kapsamında ihtiyaçlarına göre çeşitli hizmetler sunmaktayız. Verdiğimiz KVKK danışmanlığı sayesinde hem kanunu ihlal etmemiş olursunuz hem de müşterilerinize kişisel verilerinin güvende olduğu temel hak ve özgürlüklerini korunduğu güvenli bir hizmet sunabilirsiniz.
KVKK Danışmanlığımızla sizlere, KVKK’ya uyum ve temel altyapı oluşturmanın ilk aşaması olan VERBİS sistemine kayıt etmekle başlayıp son aşamanıza kadar danışmanlık hizmeti vermekteyiz. Danışmanlık kapsamında bilgilendirme ve veri yönetimi, farkındalık eğitimleri, şirket uyum analizlerinin yapılması, politikaların belirlenmesi, veri ihlali kapsamına giren protokollerin belirlenmesi, KVKK aydınlatma metninin yani açık rıza belgelerinin oluşturulması ve çözüm önerileri vermekteyiz. Bu hizmetten yararlanmayı isteyen şirketler için iyileştirmeler adım adım yapılmaktadır. Söz konusu olan iyileştirmeler kanuna göre şirketin eksiklikleri ve uyarlama işlemleri için analiz raporu sunmaktır.