KVKK Sanatları
KVKK (Kişisel Verileri Koruma Kanunu) uyum sürecinin başarıya ulaşması ve işletmenize gerçek anlamda fayda yaratması için hukuk, siber güvenlik ve yönetişim disiplinlerini bir araya getiriyoruz. Eğer amacınız sadece kağıt üzerinde uyumlu hale gelmek değil, işinize değer katmak ise biz hazırız.
6698 Sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Bununla birlikte Anayasa, Türk Medeni Kanunu gibi diğer mevzuatlarda, kişisel verilerin korunmasına ilişkin düzenlemelere yer verilmektedir.
Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel Veri
Kişisel Veri, KVK’nın 3 maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Tüzel kişilere ilişkin kişisel veriler bu tanımın kapsamına girmemektedir.
Özel Nitelikli Kişisel Veri
Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikle olan ve bu nedenle daha fazla korumaya ihtiyaç duyulan kişisel veriler özel nitelikli kişisel verilerdir.
Veri Sorumlusunun Yükümlülükleri
- İlgili Kişiyi Aydınlatma
- İdari ve Teknik Tedbirler Alma
- Veri Güvenliğini Sağlama
- Başvurulara Cevap Verme
- Veri Sorumluları Siciline Kaydolma
- Kişisel Veri Saklama ve İmha Politikası Oluşturma
Veri Güvenliğini İlişkin Yükümlülükler
KVKK’nın 12. maddesi uyarınca Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan da istisna olmak anlamına gelmemektedir.
- Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
Veri Güvenliğini İlişkin Yükümlülükler
KVKK’nın 12. maddesi uyarınca Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan da istisna olmak anlamına gelmemektedir.
- Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
Kişisel Veri Saklama ve İmha Politikası
KVKK’nın 12. maddesi uyarınca Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan da istisna olmak anlamına gelmemektedir.
- Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.
KVKK Denetim Hizmetimiz
6698 Sayılı Kişisel Verilerin Korunması Kanununa tüm veri sorumlularının uyum sağlaması gerektiği, bir kısım veri sorumlularının da VERBİS kayıt sistemine kaydolması gerektiği kanunen belirlenmiştir.
Bu kanuna uyum süreci; bu kanunun yurt dışından alınan bir kanun olması sebebiyle zorlu olabilmekte bazen de tam anlaşılmayabilmektedir.
KVKK ile alakalı entegrasyonunuzu bir başka hizmet sunandan satın aldıysanız veya kendi içinizde hallettiyseniz; Kişisel Verileri Koruma Kurumu tarafından da yapılması gerektiği belirtilen denetimleri bünyemizdeki denetçilerle gerçekleştiriyor; Kişisel Verileri Koruma Kurumu nezdinde de geçerli bir denetim raporu sunarak entegrasyon düzeyinizin bağımsız bir göz tarafından da değerlendirilmesini sağlanmaktadır.
Bu değerlendirme raporunu sunarken firmanıza bir gizlilik taahhütnamesi sunmaktayız.
Bu rapor ile hem KVK Kurumu tarafından yılda en az bir defa yapılması zorunlu değerlendirilen bir idari tedbiri ücretsiz yerine getirmiş hem de kurumunuzdaki Bilgi Güvenliği süreçlerini bağımsız bir göz tarafından tekrar değerlendirmiş olursunuz.
KVKK Denetim Hizmet Adımlarımız:
Kurumunuzda kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla alınması gereken teknik ve idari tedbirlerin uygulandığının denetimi sağlanmaktadır.
Denetimde Kontrol Edilen İdari Tedbirler:
Denetimde Kontrol Edilen Teknik Tedbirler:
KVKK Uyum Danışmanlığı Hizmetimiz
KVKK’na uyum süreci kapsamında verilen uyum danışmanlık hizmetinin amacı, kurumda kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla alınması gereken hukuki, teknik ve idari tedbirlerin alınmasını sağlamaktır.
KVKK Uyum Danışmanlığı Hizmet Adımlarımız:
KVKK Uyum Danışmanlığı Kapsamına İlişkin Detaylar:
- KVKK için gerekli rehber dokümanların hazırlanması.
- Kurum iş sözleşmeleri, üçüncü taraf sözleşmeleri ve genel ve sektörel kurum mevzuatı KVKK açısından incelenmesi.
- Kurumda yönetim sistemi olarak kanuna uyum sağlamak için gerekecek politika, prosedür ve diğer belgelerin (Veri koruma, silme, imha, anonimleştirme) gözden geçirilmesi.
- Kurumun var olan yazılı hizmet süreçlerin incelenerek süreçlerdeki kişisel verilerin tespit edilmesi ve veri envanteri listesi oluşturulması.
- Kurumun Dosya Sunucusu üzerindeki dosyaların indekslenerek dosyaların içlerindeki kişisel verilerin tespiti için tarama yapılması.
- Kişisel verileri ve kritik bilgi varlıklarını dikkate alan bir sınıflandırma yapılması.
- Envanteri çıkartılan verilerin KVKK açısından veri riskleri analizi yapılması.
- Kurumda tutulan kişisel verilerin ilgili mevzuat ve/veya oluşturulacak makul çerçeveye göre veri tutma limitlerinin belirlenmesi.
- Veri yaşam döngüsü ve periyodik etkinlikler ile ilgili kurum ihtiyaçlarının belirlenmesi.
- KVKK Uyumunu sağlamak üzere kurgulanacak yapıda bulunması gereken birim/kişi görev tanımları ile ilgili tavsiyelerin belgelenmesi.
- Envanterdeki verilerin MED- Mahremiyet Etki Değerlendirmesinin (PIA Raporu) yapılması.
- 03.2018 tarihli 30356 sayılı Resmî Gazetede yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun şekilde Aydınlatma, rıza ve vazgeçme beyanlarının gözden geçirilmesi.
- Veri alma, kayıt, saklama ve silme operasyon süreçlerinin incelenerek, gerekli revizyonların önerilmesi.
- Kurumun VERBİS’e kaydının yapılması. KVK kurumu ile iletişim sağlamak için veri sorumlusu irtibat kişisi atanması konusunda danışmanlık verilmesi.
- KVKS (Kişisel Veri Koruma Sistemi) için gerekli organizasyon yapısının oluşturulması ve görev tanımlarının belirlenmesi.
- KVKK’nın sağlıklı bir şekilde kullanılabilmesi ve kişisel verilerin korunabilmesi için gerekli teknoloji önerilerinin belge olarak sunulması. Bu kapsamda veri sızıntısı engelleme, veri maskeleme, şifreleme, anonimleştirme için gerekebilecek teknolojilerin incelenmesi. Gerektiği takdirde çözüm konumlandırması danışmanlığı verilmesi.
- 01.2018 tarihli 2018/10 sayılı Resmî Gazetede yayınlanan “Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca alınması gereken yeterli önlemler” konulu KVKK kararına uygun şekilde Özel Nitelikli Kişisel Verilerin şifreli saklanması ve korunması için gerekli teknoloji ve sistem önerilerinin yapılması.
- Erişim yetkileri incelenerek, gerekli düzenlemelerin önerilmesi, kritik ortamların/kişilerin ayrıştırılmasının sağlanması.
- Bulut kullanımı incelenerek, gerekli tavsiyelerin sunulması.
- Diğer yönetim standartları ile bütünlük arz etmek üzere belge ve sistemleri tekilleştirme tavsiyelerinin verilmesi.
KVKK Sürdürülebilirlik Danışmanlığı Hizmetimiz
KVKK sürdürülebilirlik danışmanlığı hizmetinin amacı kurumda kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla alınan hukuki, teknik ve idari tedbirlerin düzenli takibini ve güncelliğini sağlamaktır.
KVKK Sürdürülebilirlik Danışmanlığı Hizmet Adımlarımız:
KVKK Eğitimleri
İlgili sektöre özel bir yaklaşımla KVKK’nın hukuki, idari ve teknik gereklilikleri mevzuatla paralel bir şekilde örneklerle anlatılmaktadır. Kişisel veri tanımı, verinin işlenmesi, politikalar, kurul cezaları, tehditler ve çözümler, kişilerin (özel/tüzel) hakları ve sorumlulukları konusunda son kullanıcılara farkındalık kazandırılmaktadır.
KVKK Uyumluluk sürecinin yürütülmesinde izlenecek adımların uçtan uca anlatıldığı kapsamlı bir eğitim programıdır. Sektöre özel bir yaklaşımla mevzuatın hukuki, idari ve teknik gerekliliklerini yerine getirirken takip edilecek yol haritasıyla ilgili detaylı bilgilendirme sağlanmaktadır.
Kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek için, Veri Güvenliği Rehberinde yer alan gerekli teknik tedbirler açıklanarak, verinin bütün noktalarda “siber güvenlik” bakış açısından güvenliğinin nasıl sağlanacağına dair çözümler anlatılmaktadır.
Sadece BT Yöneticilerinin ve Hukuk biriminin değil, diğer birim yöneticilerinin de kendi birimleri dahilinde işlenen kişisel verilerle ilgili farkındalık kazanması esastır. Eğitim kapsamında kurumun bilgi varlıklarının önemi, bunları koruma yolları ve iş süreçlerinde işlenen verinin kanuna aykırı işlenmesi durumunda, kuruma uygulanması öngörülen yaptırımlar anlatılacaktır. Yönetimin KVKK’ya yaklaşımının nasıl olması gerektiği gibi sektöre özel örneklemeler de kapsam dahilindedir.