Kişisel Verileri Koruma Kanunu

PUSULA KVKK

KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDEN YAYINLANDI?

  • Özel hayatın gizliliği, Anayasa’mızın 20.maddesi ile koruma altına alınmış temel bir haktır. Kişisel veriler de özel hayatın gizliliği ilkesi kapsamında değerlendirilen, korunması gereken verilerdir.
  • Özellikle son 20 yılda, iletişim ve bilişimde yaşanan gelişmeler hem genel yaşamı hem de iş yaşantısını kolaylaştırdı ve farklılaştırdı.
  • Bilişim ve iletişimde yaşanan gelişmeler ilk anda çok sevilse de günümüzde geldiği nokta pek çok gerçek kişiyi bunaltmaya başladı.
  • Bu gelişimlere paralel olarak ortaya çıkan siber suçlar ise hem gerçek hem de tüzel kişileri son derece olumsuz etkiliyor.
Pusula KVKK

◦ KişiselVerilerin Korunması Kanunu, gerçek ve tüzel kişileri, siber suçlardan koruma adına atılan önemli bir adımdır. Kanunun yayımlanmasında 3 ana hedef ön
plana çıkmaktadır.
1- Gerçek kişilerin, kendilerine ait kişisel verilerin gizli kalması sağlanarak, farkında olmadan suça karışmalarının ve/veya suçtan etkilenmelerinin önüne geçmeye çalışılmak.
2- Tüzel kişilerin, veri toplayan ve işleyen olarak(veri sorumlusu), sahip oldukları, gerçek kişilere ait kişisel verileri iyi koruyamayıp, gerçek kişilerin zarar görmelerine neden olmalarını ve bu yüzden ciddi yaptırımlara uğramalarını engellemek.
3- Avrupa Birliği uyum sürecinde, birliğin uluslararası ticaretin ayrılmaz bir parçası olarak gördüğü, kişisel veri güvenliğini sağlamaya yönelik uygulamaların gerekliliklerini yerine getirmek ve entegrasyonu sağlamak.

KİŞİSEL VERİ NEDİR?

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi KİŞİSEL VERİ olarak tanımlanır.

◦ KVK Kanunu, tüzel kişilere ait verileri korumakla ilgilenmiyor. Kaldıki bu veriler zaten aleni halde.
◦ Kanun, gerçek kişilerin verilerini korumaya yönelik…
◦ Tüzel kişilikler de sanılanın aksine pek çok kişiye ait kişisel veri bulunuyor, işleniyor…

KANUN TÜZEL KİŞİLERDEN NE İSTİYOR?

  • Aynı detayların, koruma yöntemlerini de içerecek şekilde Kişisel Verileri Koruma Kuruluna bildirilmesi,

  • Kişisel verilerle ilgili tüzel kişiliğe ulaşan taleplerin değerlendirilmesi,

  • Tüzel kişiliğin çalışma şeklinde, kişisel verilerin korunması ilkesine uygun değişikliklerin yapılması,

  • Personel farkındalığının sürekli eğitimlerle artırılması,

  • İç denetimlerle sistemin sürekli ve sağlıklı çalışmasının sağlanması,

  • Bu işlemler Kişisel Verileri Koruma Kurulu’nun 2018/88 sayılı kararı uyarınca, çalışan sayısı 50’nin üzerinde olan veya yıllık mali bilanço toplamı 25 milyon Türk Lirası’ndan fazla olan işletmelerde, en geç 30.09.2020 tarihinde tamamlanmalıdır. Ayrıca çalışan sayısı 50 den az ve yıllık mali bilanço toplamı 25 milyon TL’ den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için bu işlemlerin yapılması için son tarih 31.12.2020’ dir.

KANUNUN GEREKLİLİKLERİYERİNE GETİRİLMEZSE NE OLUR ?

NASIL BİR SÜREÇ ?

  • KVKK uyum süreci son derece dikkatli yürütülmek zorunda.

  • Sürecin herhangi bir noktasında yapılacak hata, kurgulanan tüm sistemin de hatalı olmasına neden olabilir.

  • Bu hata/hatalar nedeniyle hem resmi kurumlarla hem de gerçek kişilerle karşı karşıya kalınabilir, ciddi bedeller ödenmek zorunda kalınabilir.

  • Süreç, işletmenin zaten var olan diğer süreçlerine ek olarak geliyor ve son tarih 31Aralık2019. İşletmedeki diğer süreçler nedeniyle sıklıkla aksamalar yaşanabiliyor.

  • Çoğu şirket, konuyu sadece hukuksal yaklaşımla çözebileceklerini düşünüyor. Oysa sürecin tamamı hem hukuk hem de bilgi işlem bölümlerinin eş zamanlı çalışmasını gerektiriyor.

  • Süreçlerin, yeterli tecrübeye sahip olmayan kişiler tarafından kurgulanması ne yazık ki pek çok eksiklik yaşanmasına neden oluyor.

  • KVKK konusun da alınacak idari ve teknik tedbirlerin, mevzuat karşısında tüzel şirketi yeterince koruması, şirket yapısına uygun olması ve sürdürülebilir olmasına dikkat edilmelidir.

  • KVKK konusunda işletmenin her kademesinde çalışanların farkındalığının sürekli sağlanması gerekiyor.

  • KVKK, yaşayan, güncelliği sürekli takip edilmesi gereken bir konu. Uygulamaların belirli aralıklarla denetlenmesi, aksayan yönlerin tespit edilerek önlemler alınması gerekiyor.

SÜREÇTE NELER YAPACAĞIZ?

1- AÇILIŞ EĞİTİMİ: KVKK ile ilgili bilinmesi gereken detaylar, kişisel veri, veri koruma, kanunun istedikleri, veri envanteri hazırlama ile ilgili bilgilendirme yapılıyor,

2- VERİ ENVANTERİ ÖN HAZIRLIK ÇALIŞMASI: Departmanların, kullandıkları kişisel veriler ile ilgili ön envanter çalışması yapması sağlanıyor,

3- VERİ ENVANTERİ BİRLEŞTİRME: Tüm departmanların veri envanterleri birleştiriliyor ve şirket genel veri envanteri oluşturuluyor,

4- SÖZLEŞME VE DOKÜMAN KONTOROLÜ: Şirket genelinde kullanılan tüm sözleşmeler(personel, tedarikçi, müşteri vb.) ve kritik dökümanların KVKK açısından incelemesi yapılıyor ve yine KVKK açısından gereken eklemeler/ değişiklikler öneriliyor,

5- IT ANALİZİ: Tüm IT altyapınız donanım, yazılım ve uygulama açılarından değerlendiriliyor, KVKK açısından gerekli iyileştirmeler öneriliyor,

6- TEDBİR TASARLAMA: Yapılan incelemeler, oluşturulan veri envanteri ve şirketinizin işleyiş şekline uygun idari ve teknik tedbirler oluşturuluyor,

7- KVKK KOMİSYONU OLUŞTURMA: Şirket içinde KVKK süreçlerini takip edecek bir komisyon oluşturuluyor,

8- VERBİS SİSTEMİNE KAYIT: Şirket veri sicil kaydı, şirketiniz çalışanları ile birlikte yapılıyor ve kayıt işleminin nasıl yapıldığı seçilecek kişilere öğretiliyor,

9- İRTİBAT KİŞİSİ ATAMA: Şirket adına verbis sistemini kullanacak kişinin ataması yapılıyor ve nasıl yapılacağı seçilecek kişiye öğretiliyor,

10- VERİ ENVANTERİ AKTARIMI: Oluşturulan veri envanterinin verbis sistemine nasıl aktarılacağı irtibat kişisine uygulamalı olarak öğretiliyor,

11- FARKINDALIK EĞİTİMİ: Kritik personelin katılımı ile şirket KVKK sürecinin detayları ve çalışanların dikkat etmesi gereken konular ile ilgili olarak eğitim veriliyor. Bu aynı zamanda projenin aktif fazının tamamlandığı anlamına geliyor.