KVKK Uyum Süreci Danışmanlığı

Kişisel Verilerin Korunması Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 2016 yılında Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Biz, KVKK Uyum Süreci Danışmanlığı ile bu alanda uzman danışmanlarımızla size yönelik özel çözümler sunuyoruz.

KVKK İhlal Bildirim İşlemleri

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir ?

Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin işlenmesi, saklanması ve kullanılmasını düzenleyen bir yasadır. Kişisel verilerin işlenmesi, korunması, saklanması, imha edilmesi ve kullanılmasıyla ilgili kuralları belirler. Kanunun temel amacı, bireylerin kişisel verilerinin işlenmesinde doğru, adil ve güvenilir standartları oluşturmak ve bu verilerin korunmasını sağlamaktır. KVKK, kişisel verilerin toplanması, işlenmesi, saklanması, kullanılması, paylaşılması gibi süreçlerde kişisel verilerin mahremiyetini korumayı ve bu verilerin kötüye kullanılmasını engellemeyi amaçlar. Bu kanun, kişisel verilerin işlenmesi konusunda veri sorumlularının (kişisel verileri işleyen gerçek veya tüzel kişiler) yükümlülüklerini düzenler ve kişisel veri sahiplerinin (veriyle ilişkili gerçek kişiler) haklarını korur.

Kişisel Verilerin Korunması Kanununun Amacı Nedir ?

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş şartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir.

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Kişisel Veri Nedir ?

Kişisel veri denilince ilk akla gelen veriler; isim, doğum tarihi ve kimlik numarası gibi tamamen kişiye özel ve onun kimliğinin tespit edilmesine yönelik bilgilerdir. Ancak kişisel veri kapsamı bunlarla sınırlı değildir ve kişinin ailesini de içerisine alır. Ayrıca kişinin ekonomik tercihlerini, psikolojik ve fiziki profilini ortaya çıkaran doğrudan veya dolaylı her bilgi de kişisel veri olarak kabul edilir. Dolayısı ile 6698 sayılı kanun tarafından kişisel veri kavramı ile çizilen çerçeveye giren her bilgi mahremdir ve kişinin izni ve bilgisi olmadan kesinlikle açık edilemez veya üçüncü taraflara aktarılamaz.

KVKK Yükümlüleri Kimlerdir ?​

“Türkiye’de faaliyet gösteren ve gerçek kişi verisi işleyen Emniyet ve İstihbarat Kurumları Dışındaki Tüm Resmi/Özel gerçek ve tüzel kişileri kapsamaktadır.” denilmekle veri işleyen herkes kanun kapsamında sorumlu gösterilmektedir. Ancak VERBİS yani “Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık” yükümlülüğü sadece bazı veri sorumluları için geçerli olacak ve bu kayıt yükümlülüğünü belirlenen tarihlerde yerine getirmeyenler  13.620.402 TL’ye kadar idari para cezası ile karşı karşıya kalacaklardır.

Veri Sorumluları​Kayıt Yükümlülüğü Başlangıç Tarihi​Kayıt Ve Bildirim Yükümlülüğü İçin Son Tarih​
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon Tl'den çok olan gerçek ve tüzel kişi veri sorumluları01.10.201830 Haziran 2020
Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları01.10.201830 Haziran 2020
Yıllık çalışan sayısı 50'den az veya yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli veri işleme olan gerçek ve tüzel kişi sorumluları01.01.201930 Eylül 2020
Kamu kurum ve kuruşları veri sorumluları01.04.201931 Aralık 2020

KVKK YAPTIRIMLARI

Hapis Cezaları

*Kişisel verilerin hukuka aykırı olarak kaydedilmesi: 1-3 Yıl
*Kişisel verileri hukuka aykırı olarak başkasına verme, yayma, ele geçirme: 2-4 Yıl
*Kişisel verileri, belirli sürenin geçmesine karşın yok etmeme: 1-2 Yıl

İdari Para Cezaları

  • Aydınlatma Yükümlülüğünün İhlali: 68.083 TL’ den 1.362.021 TL’ ye kadar
  • Veri Güvenliği Yükümlülüğünün İhlali: 204.285 TL’ den 13.620.402 TL’ ye kadar
  • Kişisel Verileri Koruma Kurulu Kararlarına Muhalefet:  340.476 TL’ den 13.620.402 TL’ ye kadar
  • Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık: 272.380 TL’ den 13.620.402 TL’ ye kadar

KVKK İle Gelen Sorumluluklar Ve Yaptırımlar

Kişisel Verilerin Korunması Kanunu (KVKK), kurumlar ve şirketler için belirli sorumluluklar getirir. Bu sorumluluklar doğrultusunda yerine getirilmediği takdirde çeşitli yaptırımlar söz konusu olabilir.

Kişisel Verilerle İlgili Sorumluluklar

Dijitalleşmenin hizmet kalitesini artırdığı bir gerçek olsa da, kişisel verilerin sanal sunucularda saklanması, siber hırsızlık veya ajan faaliyetleri gibi risklerle karşı karşıya olmalarından dolayı güvenlik endişelerini de beraberinde getiriyor. Bu durum, bilgi güvenliğinin sağlanması ve kişisel verilerin korunması konusunda kurumların üzerine düşen sorumlulukları artırıyor.

KVKK İle Gelen Yaptırımlar

Bu sorumlulukları yerine getirmeyen ve kişisel verilerin siber hırsızlık veya farklı yöntemlerle üçüncü şahısların eline geçmesine sebep olan kurumlar, hem idari para cezaları hem de adli cezalarla karşı karşıya kalabilirler. Ayrıca, kurum içerisindeki kişisel verileri kötü niyetle çalan, üçüncü şahıslara aktaran yazılım mühendisleri, hackerlar ve benzeri kişiler için hapis cezaları öngörülmektedir.

Kişisel Verilerin Korunması Kanunu, bireye ait özel verilerin, bilgilerin ve onu tanımlayıcı unsurların güvenliğinden kurumları sorumlu tutmaktadır. Bu alanda kanuni düzenlemelerin eksikliği, kişisel verilerin aktarımı ve paylaşımıyla ilgili bir belirsizliğe sebep olabilmekteydi. Her ne kadar kurum kaynaklı hatalar meydana gelse de, kişisel verileri üçüncü şahıslara ileten kişilerin, kurumlar hakkında yasal işlem başlatma hakkına sahip olmadığı belirtilmelidir.

Veri ihlalleri Önlemleri

Aşağıda belirtilen başlıklar kurum içerisinde gereğiyle yapıldığında verilerin ihlali azaltılmış olur.

Teknik Tedbirler

  • Yetkilendirme matrisi oluşturulmalıdır.
  • Yetki kontrolü yapılmalıdır.
  • Erişim logları tutulmalıdır.
  • Kullanıcı hesapları yönetilmelidir.
  • Ağ ortamının güvenliği sağlanmalıdır.
  • Uygulamaların güvenliği sağlanmalıdır.
  • Veriler şifreleme yöntemleri ile şifrelenmelidir.
  • Sızma testleri yapılarak kurum güvenliği test edilmelidir.
  • Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
  • Log kayıtları incelenmeli ve yedeklenmelidir.
  • Veri maskelemeleri yapılmalıdır.
  • Veri kaybı önleme yazılımları kullanılmalıdır.
  • Yedekleme sistemleri kullanılmalıdır.
  • Güncel anti-virüs sistemleri kullanılmalıdır.
  • Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.

İdari Tedbirler

  • Kişisel veri işleme envanteri hazırlanmalıdır.
  • Kurumsal politikalar oluşturulmalıdır. ( Erişim, bilgi güvenliği, kullanım, saklama ve imha vb. )
  • Sözleşmeler hazırlanmalıdır. ( Veri sorumlusu – veri sorumlusu, veri sorumlusu-veri işleyen arasında)
  • Gizlilik taahhütnameleri oluşturulmalıdır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmalıdır.
  • Risk analizi yapılmalıdır.
  • İş sözleşmesi, disiplin yönetmeliği oluşturulmalıdır. (Kanuna uygun hükümler ilave edilmelidir.)
  • Eğitim ve farkındalık faaliyetleri yürütülmelidir.
  • Veri Sorumluları Sicil Bilgi Sistemine(VERBİS) bildirim yapılmalıdır.

Tavsiye Edilen Teknik Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasında belirtilen görevler çerçevesinde, kurumlarda veri sorumlusu olarak belirlenen kişi veya birim;
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel verilere hukuka aykırı olarak erişilmesini engellemek,
c. Kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini sağlamak amacıyla, teknik ve idari tedbirleri almakla yükümlüdür.

Bu kapsamda, teknik önlemler şu şekilde belirlenmiştir:

  1. Bilgi teknoloji sistemlerini izinsiz erişimlere karşı korumak için güvenlik duvarı ve ağ geçidi kullanılmalıdır.
  2. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
  3. Ağda kullanılan cihazların ve programların güncel olup olmadığı, işlerliklerinin ve sistem güvenlik tedbirlerinin düzenli olarak denetlenmelidir.
  4. Sistemlere erişim, çalışanların işi ve görevleriyle doğru orantılı olmalıdır. Gerektiği kadar erişim sağlanmalı, kullanıcı adı ve parola ile sistemlere giriş yapılmalıdır.
  5. Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
  6. Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
  7. Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
  8. Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
  9. Kötü amaçlı yazılımlardan korunmak için düzenli olarak bilgi sistem ağını tarayıp tehditleri tespit edebilen antivirüs ve antispam ürünleri kullanılmalıdır. Bu yazılımların güncel tutulması ve dosyaların periyodik olarak taranması önemlidir.
  10. Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir
Listenin Tamamını Görmek İçin

Referanslarımız

yetkimedikal
Zeytinoğlu_Holding_logo
nettree
kelessan
ekaturk
tekom
Caycuma_OSB
GMIS
Karin
Selnikel
bimel
deponet
eregli
gerede
mertsan
isintip
hiziroglu
gmis_vakif
isra_gıda
metropolitan_belediyeler_birligi
obal_alüminyum
sevgitip
ztso
zonguldak_teknopark
sinav_koleji
tatsan
özdemir
4
yakutt
Can_diyaliz