KVKK Danışmanlığı
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri isleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacını taşımaktadır.
Bu Kanun gerçek kişilere ait olan kişisel verilerin işlenmesini konu almaktadır dolayısıyla bu verileri (otomatik veya değil) bir kayıt sisteminin parçası olarak işleyen tüm gerçek ve tüzel kişiler bu Kanun kapsamındadır.
Kanun esas itibarı ile Nisan 2016 ayından itibaren yürürlükte olup, İşlenen Kişisel Verilerin, Veri Envanterinin yapılarak Veri Sicil Sistemine (VERBİS) kaydının bildirilmesi; Büyük işletmelerden; 50 Kişiden fazla çalışanı olan/veya 2018 Bilanço büyüklüğü 25.000.000,00 TL ve üstü olanlar ile çalışan sayısı ve bilanço büyüklüğü bunun altında yer alan ve faaliyet konusu özel nitelikli veri işleyen diğer işletmelerin tümü için 31.12.2021 tarihine kadar kayıt olmaları ve Kişisel Verileri Koruma Kurumu’na hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmeleri gerekmektedir.
6698 Sayılı Kanunda Öngörülen Cezalar
KVKK ile gelen Ağır İdari Para ve Hapis Cezaları bulunmaktadır.
Siz bu ağır cezaları ödemek ister misiniz?
Hiçbir işletme ağır cezalara maruz kalmak istemez. 6698 Sayılı KVKK ile gelen ağır cezalar nelerdir?
Hapis Cezaları ve İdari Para Cezaları
| Kişisel Verileri Hukuka aykırı olarak kaydedilmesi | 1-3 yıl |
| Kişisel Verileri Hukuka aykırı olarak yayma, başkasına verme, ele geçirme | 2-4 yıl |
| Kişisel Verileri süresi geçmesine, ilgili kişi istemesine rağmen yok etmeme | 1-2 yıl |
| 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA DÜZENLENEN İDARİ PARA CEZALARI (TL) | ||||||||||
| Madde | Aykırılık Oluşturulan Madde | Açıklama | 2016 YILI CEZA TUTARLARI (TL) |
2020 YILI CEZA TUTARLARI (TL) |
2021 YILI CEZA TUTARLARI (TL) |
2022 YILI CEZA TUTARLARI (TL) |
||||
| 22,58% | 9,11% | 36,20% | ||||||||
| 18/a | 10 | Aydınlatma yükümlülüğünü yerine getirmeme | 5.000 | 100.000 | 9.012 | 180.263 | 9.832 | 196.684 | 13.391 | 267.883 |
| 18/b | 12 | Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi | 15.000 | 1.000.000 | 27.037 | 1.802.640 | 29.500 | 1.966.860 | 40.179 | 2.678.863 |
| 18/c | 15 | Kurul kararlarının yerine getirilmemesi | 25.000 | 1.000.000 | 45.062 | 1.802.640 | 49.167 | 1.966.860 | 66.965 | 2.678.863 |
| 18/ç | 16 | Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi | 20.000 | 1.000.000 | 36.050 | 1.802.640 | 39.334 | 1.966.860 | 53.572 | 2.678.863 |
Not; İdari Para Cezaları her yıl yeniden değerleme oranında arttırılmıştır.
Ayrıca kanun, kanunda sayılan “Özel Nitelikli Veriler” işlendiğinde cezaların 1,5 kat, işlenen veriler Ceza Muhakemeleri Kanunu kapsamında ise 2 kat artacağını öngörmektedir.
GDPR (EU General Data Protection Regulation) ise Avrupa Birliğinde uygulanan aynı amaçlı yönetmeliktir. Dört yıllık hazırlık ve tartışma sonrasında GDPR, 14 Nisan 2016 tarihinde AB Parlamentosu tarafından nihayet onaylandı. 25 Mayıs 2018’de yürürlüğe girdi.
Seçkinler Grup, Veri Danışmanlığı olarak, kişisel veri yönetimi ve kişisel verilerin korunması kanunu uyumluluğu kapsamında hukuk, süreç, organizasyon, veri yönetimi ve güvenliği alanlarını kapsayacak şekilde bütünsel bir yaklaşım ile kurumunuz ihtiyaçlarına özel uçtan uca danışmanlık hizmeti sunuyoruz.
Seçkinler Grup, Veri Danışmanlığı, veri gizliliği alanında dünyanın öncü kuruluşlarından olan IAPP (international association of privacy professionals) topluluğu kurumsal üyesidir.
Kişisel Verilerin Korunması Kanunu ile; Kanun kapsamına giren gerçek ve tüzel kişilere getirilen yükümlülüklerin tanımlanması, bu yükümlülüklerin uygun bir şekilde yerine getirilmesi için veri kayıt sistemlerinin, sözleşmelerin, ilgili formların gözden geçirilmesi ve uyumlandırılması, kişisel verilerin toplanmasına, işlenmesine, paylaşılmasına ve silinmesine ilişkin politika, prosedür, yönetmeliklerin incelenip gerekli değişikliklerin yapılması ve/veya ihtiyaç duyulan yerlerde yeniden oluşturulması dahil olmak üzere kişisel verilerin korunmasına ilişkin kapsamlı bir hukuki danışmanlık hizmetini sunmaktayız.
Veri Danışmanlığı, kişisel verileri koruma ve kanuna uyumluluk kapsamında kurumların iş süreçlerini bütün detaylarıyla incelemekte ve süreçlerin ilgili kişisel verileri koruma mevzuatına uyumluluğu için ihtiyaç duyulan eksik veya iyileştirme gereken noktaları belirleyerek bu değişikliklerin iş akışlarını aksatmadan hayata geçirilmesi konusunda hizmet vermektedir.
Kurumun içinde bulunduğu sektör baz alınarak her iş birimi için kişisel veri işlenmesine ilişkin iş süreç ve akışlarını analiz ederek iyileştirmeler uygulamakta ve kişisel verileri koruma mevzuatı ile uyumlu hale getirmektedir. Mevcut iş akışlarında ihtiyaç duyulan iyileştirme ve değişikliklerin yapılması, iş akışlarına uygulanabilir kurallar entegre edilmesinin yanı sıra kişisel verileri koruma mevzuatının getirdiği yeni düzenleme gerektiren alanlarda da (ilgili kişinin başvuru, itiraz ve şikayet süreçleri gibi..) kurum işleyişine göre yeni iş süreç ve akışları deneyimli süreç analistleri tarafından oluşturulmaktadır.
Uyum süreci kapsamında öncelikle kurumların sahip oldukları kişisel verileri tanımlamaları kritik önem taşımaktadır. Kişisel veri envanterinin çıkarılması aşağıdaki soruların kurumlardaki tüm iş birimleri ve süreçleri kapsayacak şekilde cevaplanması ile mümkündür.
– Hangi Kişisel veriler?
– Hangi kaynaklardan elde edilerek?
– Hangi yöntemlerle elde edilerek?
– Hangi hukuki dayanaklarla?
– Hangi amaçlarla?
– Kimlerle paylaşılarak?
– Hangi süreçlerle?
– Hangi departmanlar tarafından?
– Hangi teknolojilerle?
– Kimlere aktarılarak?
– Ne Süreyle?
İşlenmektedir.
Bu çalışma için genellikle tüm iş birimlerinden ilgili yöneticilerle toplantı ve çalıştaylar düzenlenerek kişisel veriler ve süreçler ile ilgili bilgi alınır, kişisel veri toplanır.
Daha kapsamlı, büyük resmi yansıtan ve birebir, net bir veri envanteri çıkarılması amaçlanıyorsa – ki tarafımızdan tavsiye edilmektedir – veri analiz ve sınıflandırma yazılımlarından faydalanılmaktadır. Seçkinler Grup Veri Danışmanlığı, veri envanteri ve yönetimi konusunda beraber çalıştığı uzman çözüm ortaklarıyla bu tarz çözümleri de sunmaktadır.
Kişisel verilerin etkin ve sistematik yönetimi ancak güvenli bir veri yaşam döngüsü oluşturulduğu takdirde mümkündür. Kurumların kişisel verilerinden yaşam döngüsü boyunca maksimum verimliliği alması ve bu yaşam döngüsü boyunca kişisel veri koruma kanunu ve kurum içi güvenlik politikalarına uyum sağlaması için ihtiyaç duyulan çözüm ve gereksinimleri belirleyerek çözüm ortaklarımız aracılığı ile bu alanlarda ihtiyaç duyacağınız veri sınıflandırma, etiketleme, depolama, arşivleme, yedekleme, imha etme, iş sürekliliği, teknik altyapınız için güvenlik yönetimi, uç nokta, e-posta ve mesajlaşma güvenliği çözümleri konularında da danışmanlık veriyoruz.
Kişisel veri işleyen gerçek kişi ve kurumlar, sahip oldukları verilerin gizliliğini ve bütünlüğünü sağlayarak, erişim haklarını da kontrol altına aldıkları sürece iş süreçlerini sağlıklı yürütebilir ve iş sürekliliğini güvenli bir şekilde sağlayabilirler. Veri güvenliğini tehdit eden başlıca etkenlerin başında olan dış dünyayla bağlantıların ise (gerek sistem gerekse de kullanıcı düzeyinde olabilir) güvenli bir şekilde sağlanması ve kontrol altında tutulması, veri güvenliği açısından önem taşımaktadır.
Veri güvenliği konusunda uzman çözüm ortaklarıyla işbirliği içerisinde hizmet veren Seçkinler Grup Veri Danışmanlığı, gerçekleştirdiği analizler ve birebir incelemeler sonrasında kurumların kişisel verilerinin güvenliğini tehlikeye atabilecek unsurları ve/veya kurumun mevcut yapısındaki zafiyetleri tespit etmektedir. Bu bulgular ışığında kurum iş süreçleri ile paralel olacak şekilde güvenlik politikaları ve prosedürlerini oluşturmaktadır. Seçkinler Grup Veri Danışmanlığı , veri güvenliği ile ilgili olarak kurumların ihtiyaçlarına özel, uçtan uca çözümler önererek danışmanlık hizmeti sağlamaktadır. Veri sızıntısı önleme (DLP), şifreleme çözümleri veri güvenliği için kullanılan etkin çözümler arasında sayılmaktadır.
Kişisel verileri Koruma kanunu kapsamında kurulacak olan veri güvenliği altyapısında amaçlanan ilk hedef “hesap verilebilirlik” ve “doğrulanabilirlik” kriterlerini yerine getirmek olmalıdır. Kanuna uyum süresince veri güvenliğine ilişkin alınacak teknik tedbirler, bu kriterler ışığında uygulanmalıdır.
Veri Güvenliği Danışmanlığı, aynı zamanda veri sızıntısı veya verinin başkalarınca ele geçirilmesi halinde müdahale planlarının hazırlanması, ilgili kurum ve kişilere yapılacak olan bildirimler ile ilgili süreçlerin oluşturulması ve veri güvenliğine ilişkin politikalarının oluşturulmasını da kapsamaktadır.
Kişisel verilerin korunması ve Kanuna uyuma dair kurum içi farkındalığın oluşturulması ve bu bilincin yönetim ve iş yapış süreçlerine yansıtılabilmesi için gerekli çalışma ve eğitimleri düzenliyor, kurumunuzun ihtiyacı olan danışmanlık hizmetini sunuyoruz.
Farkındalık eğitimi, Seçkinler Grup Veri Danışmanlığı’nın kişisel verileri koruma danışmanlık hizmetlerinin ana bileşenlerinden olup her çalışma öncesinde ilgili birimlere bu eğitim verilip gerekli bilgilendirme sağlandıktan sonra projeye başlanmaktadır. Ayrıca proje bitiminde, kurum çalışanlarına kişisel verileri koruma Kanununa uyum sürecine ilişkin yeni politika ve isleyişe ilişkin eğitimler de organize edilmektedir.
Ayrıca kurumlara özel olarak, Kişisel Verileri koruma hakkında farkındalık eğitimleri, toplam 3 saat (yarım gün) olmak üzere ilgili tüm kurum çalışanlarının katılacağı şekilde düzenlenebilmektedir. Kurumun ihtiyaçları ve sektörüne göre kuruma özel eğitim programları hazırlanıp farklı modüllerin eğitimlere eklenmesi mümkündür. Farkındalık eğitimi, Seçkinler Grup Veri Danışmanlığı tarafından konusunda uzman avukatlar tarafından verilmektedir.
Kişisel Verileri Koruma ve Kanuna uyum başta yönetim kurulu olmak üzere tüm yönetimin sorumluluğu ve sahipliği ile mümkündür. Etkin ve sistematik bir yönetim ise kurum içerisindeki ilgili tüm birimlerin bu sürece katılmasını zorunlu kılmaktadır.
Seçkinler Grup Veri Danışmanlığı olarak, organizasyon yapısını göz önünde bulundurarak uyum için yetkinlikleri değerlendirip gereksinimleri analiz ediyoruz. Kişisel verilerin korunması kapsamında kişisel veri işleme süreçleriyle ilgili yeni oluşabilecek rol ve sorumlulukların belirlenmesi, görev tanımlarının çıkarılması, ilgili sorumluların eğitimi ve kurumsal farkındalığın sağlanması dahil olmak üzere kapsamlı danışmanlık hizmeti sunmaktayız.
