KVKK Arts
We bring together the disciplines of law, cyber security and governance so that the KVKK (Personal Data Protection Law) compliance process succeeds and truly benefits your business. If your goal is not just to harmonize on paper but to add value to your business, we are ready.
6698 Sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Bununla birlikte Anayasa, Türk Medeni Kanunu gibi diğer mevzuatlarda, kişisel verilerin korunmasına ilişkin düzenlemelere yer verilmektedir.
Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel Veri
Kişisel Veri, KVK’nın 3 maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Tüzel kişilere ilişkin kişisel veriler bu tanımın kapsamına girmemektedir.
Özel Nitelikli Kişisel Veri
Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikle olan ve bu nedenle daha fazla korumaya ihtiyaç duyulan kişisel veriler özel nitelikli kişisel verilerdir.
Veri Sorumlusunun Yükümlülükleri
- İlgili Kişiyi Aydınlatma
- İdari ve Teknik Tedbirler Alma
- Veri Güvenliğini Sağlama
- Başvurulara Cevap Verme
- Veri Sorumluları Siciline Kaydolma
- Kişisel Veri Saklama ve İmha Politikası Oluşturma
Veri Güvenliğini İlişkin Yükümlülükler
KVKK’nın 12. maddesi uyarınca Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan da istisna olmak anlamına gelmemektedir.
- Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
Veri Güvenliğini İlişkin Yükümlülükler
KVKK’nın 12. maddesi uyarınca Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan da istisna olmak anlamına gelmemektedir.
- Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
Kişisel Veri Saklama ve İmha Politikası
KVKK’nın 12. maddesi uyarınca Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan da istisna olmak anlamına gelmemektedir.
- Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
KVKK Denetim Hizmetimiz
6698 Sayılı Kişisel Verilerin Korunması Kanununa tüm veri sorumlularının uyum sağlaması gerektiği, bir kısım veri sorumlularının da VERBİS kayıt sistemine kaydolması gerektiği kanunen belirlenmiştir.
Bu kanuna uyum süreci; bu kanunun yurt dışından alınan bir kanun olması sebebiyle zorlu olabilmekte bazen de tam anlaşılmayabilmektedir.
KVKK ile alakalı entegrasyonunuzu bir başka hizmet sunandan satın aldıysanız veya kendi içinizde hallettiyseniz; Kişisel Verileri Koruma Kurumu tarafından da yapılması gerektiği belirtilen denetimleri bünyemizdeki denetçilerle gerçekleştiriyor; Kişisel Verileri Koruma Kurumu nezdinde de geçerli bir denetim raporu sunarak entegrasyon düzeyinizin bağımsız bir göz tarafından da değerlendirilmesini sağlanmaktadır.
Bu değerlendirme raporunu sunarken firmanıza bir gizlilik taahhütnamesi sunmaktayız.
Bu rapor ile hem KVK Kurumu tarafından yılda en az bir defa yapılması zorunlu değerlendirilen bir idari tedbiri ücretsiz yerine getirmiş hem de kurumunuzdaki Bilgi Güvenliği süreçlerini bağımsız bir göz tarafından tekrar değerlendirmiş olursunuz.
KVKK Denetim Hizmet Adımlarımız:
Kurumunuzda kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla alınması gereken teknik ve idari tedbirlerin uygulandığının denetimi sağlanmaktadır.
Denetimde Kontrol Edilen İdari Tedbirler:
Denetimde Kontrol Edilen Teknik Tedbirler:
KVKK Uyum Danışmanlığı Hizmetimiz
KVKK’na uyum süreci kapsamında verilen uyum danışmanlık hizmetinin amacı, kurumda kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla alınması gereken hukuki, teknik ve idari tedbirlerin alınmasını sağlamaktır.
KVKK Uyum Danışmanlığı Hizmet Adımlarımız:
KVKK Uyum Danışmanlığı Kapsamına İlişkin Detaylar:
- Preparation of necessary guide documents for KVKK.
- Examining corporate employment contracts, third party contracts and general and sectoral institution legislation in terms of KVKK.
- Kurumda yönetim sistemi olarak kanuna uyum sağlamak için gerekecek politika, prosedür ve diğer belgelerin (Veri koruma, silme, imha, anonimleştirme) gözden geçirilmesi.
- Examining the existing written service processes of the institution, determining the personal data in the processes and creating a data inventory list.
- Scanning the files on the Institution's File Server to detect the personal data in the files.
- Making a classification that takes into account personal data and critical information assets.
- Performing data risk analysis of inventoried data in terms of KVKK.
- Determination of data retention limits according to the relevant legislation and/or the reasonable framework to be established for the personal data held in the institution.
- Determining corporate needs related to data lifecycle and periodic activities.
- KVKK Uyumunu sağlamak üzere kurgulanacak yapıda bulunması gereken birim/kişi görev tanımları ile ilgili tavsiyelerin belgelenmesi.
- Conducting a MED-Privacy Impact Assessment (PIA Report) of the data in the inventory.
- Reviewing the declarations of enlightenment, consent and waiver in accordance with the Communiqué on the "Procedures and Principles to be Complied with in Fulfilling the Liability of Illumination" published in the Official Gazette dated 03.2018 and numbered 30356.
- Examining data acquisition, recording, storage and deletion operation processes and recommending necessary revisions.
- Registration of the institution in VERBIS. Providing consultancy on the appointment of a data controller contact person to communicate with the KVK institution.
- Establishing the necessary organizational structure for KVKS (Personal Data Protection System) and determining job descriptions.
- KVKK’nın sağlıklı bir şekilde kullanılabilmesi ve kişisel verilerin korunabilmesi için gerekli teknoloji önerilerinin belge olarak sunulması. Bu kapsamda veri sızıntısı engelleme, veri maskeleme, şifreleme, anonimleştirme için gerekebilecek teknolojilerin incelenmesi. Gerektiği takdirde çözüm konumlandırması danışmanlığı verilmesi.
- Making necessary technology and system suggestions for encrypted storage and protection of Special Quality Personal Data in accordance with the KVKK decision on "Adequate measures to be taken by Data Controllers in the processing of Special Quality Personal Data" published in the Official Gazette dated 01.2018 and numbered 2018/10.
- Examining access authorizations, suggesting necessary regulations, ensuring the separation of critical environments/persons.
- Examining cloud usage and presenting necessary recommendations.
- Giving recommendations for deduplication of documents and systems to ensure integrity with other management standards.
KVKK Sürdürülebilirlik Danışmanlığı Hizmetimiz
KVKK sürdürülebilirlik danışmanlığı hizmetinin amacı kurumda kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla alınan hukuki, teknik ve idari tedbirlerin düzenli takibini ve güncelliğini sağlamaktır.
KVKK Sürdürülebilirlik Danışmanlığı Hizmet Adımlarımız:
KVKK Trainings
With a sector-specific approach, the legal, administrative and technical requirements of KVKK are explained with examples in parallel with the legislation. End users are raised awareness on the definition of personal data, data processing, policies, board penalties, threats and solutions, and individuals' (private/legal) rights and responsibilities.
It is a comprehensive training program in which the steps to be followed in the execution of the KVKK Compliance process are explained from end to end. With a sector-specific approach, detailed information is provided on the roadmap to be followed while fulfilling the legal, administrative and technical requirements of the legislation.
In order to prevent the illegal processing of personal data and illegal access to personal data, the necessary technical measures in the Data Security Guide are explained and solutions are explained on how to ensure the security of the data from a "cyber security" point of view at all points.
It is essential that not only the IT Managers and Legal department, but also other department managers gain awareness about the personal data processed within their own units. Within the scope of the training, the importance of the information assets of the institution, the ways to protect them and the sanctions foreseen to be applied to the institution in case of illegal processing of the data processed in the business processes will be explained. Industry-specific examples, such as how the management should approach KVKK, are also within the scope.