KVKK DANIŞMANLIK HİZMETİ

Tarafımızdan alınacak KVKK danışmanlık hizmeti vesilesi ile şirketinizin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuata uyumu sağlanır. Mevzuattaki tüm yükümlülüklerin yerine getirilmesi kolaylaştırılarak şirketinizin ağır yaptırımlardan kaçınması, şirketinizin piyasa koşullarında rekabet gücü arttırılarak, müşteri memnuniyeti ile birlikte şirket itibarı da yükseltilir. Ve böylece şirketinizin piyasa değerinde bariz artış sağlanır. 

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA UYUM SÜRECİ

GENEL BİLGİLENDİRME

Kişisel Veri Nedir?

Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Buna göre kişisel veriden bahsedebilmek için verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine ilişkin bilgiler, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi veriler kişisel veridir.

Kişisel veriler işlenme şartlarının fark etmesi açısından özel nitelikli kişisel veri ve genel nitelikli kişisel veri olmak üzere ikiye ayrılmaktadır.

Ülkemizde Kişisel Verilerin Korunması

Kişisel verilerin korunması gelişen teknoloji ile her geçen gün daha da önem kazanmış ve ülkemizde de bu koruma adına ilk adım, Anayasamızın Özel Hayatın Gizliliği başlıklı 20. maddesine ek fıkra eklenmek suretiyle atılmıştır. Anayasamızdaki Kişisel Verilerin Korunmasına dair hüküm doğrultusunda, 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çıkarılmış ve bu kanun, 7 Nisan 2016 tarihinde resmî gazetede yayımlanarak yürürlüğe girmiştir.

Kanunun amacına bakıldığında 1. maddesinde belirtildiği üzere; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanım sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. KVKK kişisel verinin alınmasını ve işlenmesini yasaklamamakta, bilakis kişisel verinin alınması, işlenmesine ve korunmasına ilişkin kuralları belirlemektedir.

Kanunun kapsamına bakıldığında, yani kanunun hangi kişilerin kişisel verilerini koruduğunu, 2. maddesinden anlayabiliyoruz, buna göre: Kanun yalnızca gerçek kişilerin kişisel verilerini korumaktadır. Fakat gerçek kişilerin kişisel verilerinin korunması noktasında belirlenen usul ve esaslara uymakla yükümlü kılınan kişilere baktığımızda, gerçek kişiler, özel hukuk tüzel kişileri, kamu kurum ve kuruluşları ve kamu kurumu niteliğindeki meslek kuruluşları olmak üzere Kanun bazında veri sorumlusu olarak adlandırılan herkes kişisel verilerin korunması için Kanun ve ilgili diğer mevzuat kapsamında alınması gereken tüm yükümlülüklere uymak ve verilerin korunması için gerekli görülen teknik ve idari tedbirleri almak zorunda bırakılmıştır.

 

Veri Sorumlusu Kimdir?

Veri sorumlusu kanunda, kişisel verilerin işlenmesinin amaç ve yöntemlerini belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi olarak tanımlanmıştır.

Kanun tahtında veri sorumlusu şirketinizin tüzel kişiliğidir. Veri sorumlusu olarak şirket tüzel kişiliğinin kanun kapsamındaki tüm yükümlülüklere uymak, kişisel verilerin korunması için gerekli teknik ve idari tedbirleri almak zorunda olduğunuzu belirtmek isteriz.

Tedbirlerin Alınması Neden Gereklidir?

6698 sayılı KVKK’nın 12. maddesinde, veri sorumlularının, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmüne yer verilmiştir.

Bu kapsamda veri sorumluları kişisel verileri elde ederken, aktarırken ve diğer her türlü işlemeleri yaparken belirlenmiş kurallara uymakla yükümlü olmakla birlikte, elde ettiği kişisel verilerin kendi bünyesindeki mevcudiyeti noktasında, yetkisiz kişilerin veya 3. kişilerin bu verilere erişimi engellemekle de yükümlendirilmiştir.

Bu arada Veri Sorumluları Sicili (VERBİS)’ne kayıtla yükümlü olan veri sorumlularının kişisel veri güvenliğine ilişkin aldığı tedbirleri de sicile bildirmeleri zorunludur. Bu sebeplerle veri güvenliğinin sağlaması adına gerekli her türlü teknik ve idari tedbirlerin alınması gerekmektedir.

Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesi Durumunda Yaptırımlar Nelerdir?

Yükümlülüklere uymayan ve kişisel verileri hukuka aykırı şekilde işlediği tespit edilen veri sorumları ( bu tespit bu kanun ile kurulan Kişisel Verileri Koruma Kurumu bünyesinde bulunan, 9 üyeden oluşan Kurul tarafından resen denetim veya ilgili kişi olarak adlandırılan kişisel verinin sahibi tarafından usulüne uygun olarak şikayete binaen denetim ile yapılır.),  Kanun’ un 18. maddesinde belirtilen, eyleme göre değişen ve alt sınırı 5 bin TL, üst sınırı 1 milyon TL gibi geniş bir aralıkta tutulan idari para cezaları ile karşı karşıya kalacaklardır.

Ayrıca veri sorumlusu yetkililerinin ve eylemi gerçekleştiren kişilerin, kişisel verilerin hukuka aykırı olarak işlenmesi noktasında eylemin, Türk Ceza Kanunu 135 vd. maddelerindeki Kişisel Verilerin Korunmasına ilişkin suçlardan birini teşkil etmesi durumunda, bu kişilerin ceza soruşturması ve kovuşturması ile hapis cezası içeren cezai müeyyideler ile karşı karşıya kalma durumu da mevcuttur.

Son olarak da kişisel verilerin hukuka aykırı olarak işlenmesi bir kişilik hakkı ihlali oluşturuyorsa veri sahibinin genel hükümler doğrultusunda Tazminat Davası açma hakkı olduğunu da belirtmek isteriz.

 

KVKK’ YA UYUM SÜRECİ AÇISINDAN TARAFIMIZCA VERİLECEK HİZMETİN KAPSAMI

Aşağıda Kişisel Verilerin Korunması Kanunu ve ilgili diğer yasal mevzuata uyum sağlama noktasında, veri sorumlusu olarak şirketinizin neler yapmak zorunda olduğunu ve bizler tarafından verilecek danışmanlık hizmetinin kapsamından bahsedilmektedir:

1- Şirket Bünyesindeki Veri İşleyen Çalışanlara Farkındalık Eğitimi Verilmesi:

Öncelikle Kişisel Verilerin Korunması Kanunu ve ilgili diğer yasal mevzuatı ve uyum süreci kapsamında neler yapılması gerektiğine dair şirketinizde bulunan, şirketiniz adına kişisel veri işleyen birimlerinizdeki (İnsan Kaynakları, Muhasebe, IT gibi) çalışanlarınıza farkındalık eğitimi verilir.

Eğitimin amacı tüm çalışanlarda bilinç oluşturmak ve farkındalık yaratarak uyum sürecinde, kendilerinden neler beklenildiği konusunda kendilerini bilgilendirmek ve daha hızlı ve kolay yol kat edilmesi sağlanmak istenmesidir.

2- Ana Dokümantasyonların Hazırlanması:

a. Kişisel Veri Envanteri (Veri Haritası-Veri Akış Şeması):

Envanter, belirli kriterler bazında kategorizasyon yapılarak oluşturulan, şirketiniz bünyesinde bulunan tüm kişisel verilerin bir şema halinde toplanmasıdır.

Envanterin oluşturulması aşamasından öncelikle, veri işleyen birim çalışanlarınıza, ekibimiz tarafından envanterin nasıl hazırlanacağı anlatılır ve süreci birlikte takip ederek envanterin kontrolümüzde tamamlanması sağlanır. Envanterin oluşturulması şirketinizin Veri Sorumluları Sicili (VERBİS) olarak adlandırılan sicile kayıt açısından, aydınlatma metninin uygun ve düzgün bir şekilde oluşturulması açısından, ilgili kişinin başvurusunun hızlı ve etkin bir şekilde cevaplanması gibi birçok durum açısından önem arz etmekte ve envanterin devamlı olarak güncel tutulması gerekmektedir.

b. Politika Belgelerinin Hazırlanması:

Kişisel Verilerin Korunması ve İşlenmesi Politikası ile Kişisel Verilen Saklanması ve İmha Edilmesi Politikası tarafımızca hazırlanır. Politika belgeleri; tabiri caizse şirketinizin KVKK açısından anayasası niteliğindedir.

c. Aydınlatma Metni Hazırlanması:

Şirketinizin kişisel veri sahiplerinden veriyi elde ederken uymak zorunda olduğu yükümlülüklerden birisi olan Aydınlatma Metinleri tarafımızca hazırlanır.

ç. Açık Rıza Metni Hazırlanması:

Kişisel veri sahiplerinden veri açık rıza alınması gerekli olan durumlarda kullanılabilmesi için, Açık Rıza Metinleri tarafımızca hazırlanır.

d. Protokollerin Hazırlanması:

Kişisel verilerin aktarılması durumları için, şirketinizin veriyi aktaracağı diğer veri sorumluları ile imzalamak zorunda olduğu protokoller tarafımızca hazırlanır.

e. Başvuru Formu Hazırlanması:

Kişisel verinin sahibi olan ilgili kişinin veri sorumlusu olan şirketinizden, kendi kişisel verilerine ilişkin taleplerine dair oluşturulması gereken başvuru formu tarafımızca hazırlanır ve nerelerde konumlandırılması gerektiği ve başvurudan sonraki süreç hakkında yol gösterilir.

f. Başvuruya Cevap Formu Hazırlanması:

Veri sahiplerinden gelen talep başvuru formlarına cevap verirken Şirketin kullanacağı başvuru cevap formu tarafımızca hazırlanır.

g. Kişisel Veri İmha Tutanağı Hazırlanması:

Her periyodik imha zamanında, imhası gerçekleştirilen kişisel verilerin kayıt altına alınması adına imzalanması gereken tutanak tarafımızca hazırlanır.

h. Eğitim Katılım Tutanağı Hazırlanması:

Şirket çalışanlarının bilgilendirilmesi adına, kişisel verilerin korunması mevzuatı sunumunun tüm çalışanlara sirküle edilmesi, bu hususun kayda alınması ve çalışanın özlük dosyasına konulması için tarafımızca tutanak hazırlanır.

ı. Gerekli Diğer Dokümantasyonların Hazırlanması:

İş başvuru formlarına eklenmesi gereken metin, mevcut çalışanlara imzalatılması gereken çalışan muvafakatnamesi ve talimatları içerir evrak, müşterilere gönderilmesi gereken SMS metni, şirketinizde sesli veya görüntülü kayıt alınıyorsa buna ilişkin metinler vs. gibi gerekli her türlü dokümantasyon tarafımızca hazırlanır.

3- İmha Sürecine Girilmesi:

Envanter hazırlandıktan sonra gereksiz ve işlenme şartları ortadan kalmış olan kişisel veriler tespit edilir. Ayrıca şirketiniz açısından bir zorunluluk olan periydik imha süresinin belirlenmesi açısından yol gösterilir.

 

4- İrtibat Kişisi Atanması:

İrtibat kişisi, Veri Sorumluları Sicili Hakkında Yönetmelik madde 4(ç) uyarınca, “Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi” anlamına gelmektedir.

VERBİS kapsamında, Şirketiniz ile Kurul arasında irtibatı sağlayacak ve yönetecek bir irtibat kişisinin atanması ve VERBİS’e kayıtta bildirilmesi gerekecektir.

5- Veri Sorumluları Sicili(VERBİS)’ e Kayıtlı Yükümlü ise Kayıt:

Şirketinizin yıllık çalışan sayısı 50 ve üzerinde ise veya şirketinizin yıllık mali bilanço toplamı 25 Milyon Türk Lirası’nın üzerinde ise veya şirketinizin ana faaliyet konusu özel nitelikli kişisel veri işlemek ise veri sorumlusu olan şirketiniz Veri Sorumluları Sicili- VERBİS’ e kayıtla yükümlüdür.

Bu kapsamda şirketinizin bu şartlardan birisine girip girmediği tespiti yaptıktan sonra şayet şartlardan birisi dahi sağlanıyorsa, VERBİS’ e kaydı için gerekli destek tarafımızca sağlanır.

6- Sözleşmelerin Revize Edilmesi:

 

Şirketinizde mevcut olan tüm sözlemeler gözden geçirilir ve Kişisel Verilerin Korunmasına dair sözleşmede yer alması gereken formatta KVKK madde metinleri eklenir.

7- Kişisel Veri Güvenliği ve Politikalara Uyumdan Sorumlu Kişisel Veri Komitesi Kurulması:

Şirket içinde kişisel veri politikalarınızın işleyişi ve denetimi ile ilgili iç kontrolü sağlayacak, Yönetmelik uyarınca belirlenen irtibat kişisinin de dâhil olduğu bir komite kurulmasını önem arz etmektedir.

Kurulan komite, kişisel veri politikalarınıza uyumun takip edilmesi, belirli sürelerde kontrollerin ve denetimlerin yapılması, eksikliklerin tespiti ve giderilmesi, veri güvenliğinin sağlanmasına yönelik çalışmalar yapacak ve ayrıca Kişisel Veri Saklama ve İmha Politikanızda belirlenen periyodik imha zaman aralıklarında bir araya gelerek, işlevsiz hale gelen verilerin imhasını gerçekleştirecektir. Şirket içinde kişisel veri mevzuatına uyumun takibi ve denetimi işbu komite tarafından gerçekleştirilecektir.

8- IT Entegrasyonu ve Geliştirmeler:

Şirketiniz IT ve bilişim mimarisinin Kanun ve bağlı mevzuatına uyumunun sağlanması ve/veya uyumluluğunun devamlılığı adına gerekli çalışmalar yapılarak tarafımızca IT mimarisi Kanuna uygun hale getirilmeye çalışılır.