KVKK Danışmanlığı

KVKK Danışmanlığı

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİ FİRMANIZIN A'DAN Z'YE DİJİTAL ENTEGRASYONU:


Kişisel Verilerin Korunması Nedir?

Kişisel verilerin işlenmesinin disiplin altına alınması ve bu bağlamda Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.


Kimleri Kapsıyor?

Yıllık çalışan sayısı 50 kişi üstü olan veya yıllık mali bilançosu 25 milyon TL üstü olan kişisel veri işleyen, kayıt altına alan tüm tüzel ve gerçek kişileri kapsamaktadır.


Kişisel Verilerin İşlenmesi Nedir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.


SON BAŞVURU TARİHİ NE ZAMAN?

Veri Sorumluları Kayıt Yükümlülüğü Başlangıç Tarihi Kayıt İçin Verilen Süre Kayıt İçin Son Tarih
Yıllık çalışan sayısı 50’den veya yıllık mali bilançosu 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumluları 01.10.2018 15 AY 31.12.2019
Yurt dışında yerleşik gerçek veya tüzel kişi veri sorumluları 01.10.2018 15 AY 31.12.2019
Yıllık çalışan sayısı 50’den ve yıllık mali bilançosu 25 milyon TL’den az olan ancak ana faaliyet konusu özel nitelikli veri işleme olan gerçek ve tüzel kişi veri sorumluları 01.01.2019 15 AY 31.03.2020
Kamu kurum ve kuruluşları veri sorumluları 01.04.2019 15 AY 30.06.2020


SİSTEME KAYIT OLMAMA CEZASI NEDİR?

CEZAİ VE İDARİ YAPTIRIMLAR PARA CEZASI
HAPİS CEZASI
1 MİLYON TL’YE KADAR
4.5 YILA KADAR


VERBİS Nedir?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi): Kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.


Veri Sorumlusu Nedir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.


Yetki Matrisi nedir?

“Kişisel verilerin güvenliğini sağlama amacıyla çalışanların yetkilerinin belirlenmiş olması gerekmektedir. Her çalışanın her kişisel veriye erişiminin mümkün olmaması 6698 sayılı Kişisel Verilerin Korunması Kanunun 4. maddesi uyarınca sınırlılık ilkesinin bir gereğidir.”


Özel Nitelikli Kişisel Veri nedir?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri


Kişisel Verilerin Anonim Hale Getirilmesi nedir?

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.


Firmanızın 6698 KVKK Hükümleri Gereği Yerine Getirilmesi Beklenen Dijital Çözümler İse Aşağıda Yer Almaktadır:

6698 Nolu Kişisel Verilerin Korunması Kanunu’na işbirliği yaptığımız şirketlerin uyum operasyonu kapsamında uygulanması kanunen beklenen veri güvenliği tedbirleri aşağıdadır. Bu tedbirlere istinaden kurumdaki cihazların durumuna, kapasitelerine, yasal mevzuata uygunlukları noktasında ihtiyaca göre düzenleme yapılması gerekmektedir.


Uygulanması Gereken Veri Güvenliği Tedbirleri: 

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • A'dan Z'ye Dijital KVKK Entegrasyon Hizmeti.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.
KVKK Danışmanlığı Ve Süreç Yönetim Hizmetleri

KVKK Danışmanlığı Ve Süreç Yönetim Hizmetleri

Kişisel Veri Nedir?

Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır.

Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri sayılmaktadır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder.


KVKK’nın Getirdiği Düzenlemeler

6698 sayılı Kişisel Verilerin Korunması Kanunu, sahibinin izni olmadan kişisel verilerin işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirilmektedir.

İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.


KVKK Hangi Kurumları İlgilendiriyor?

Gerçek bir kişi ile bağlantısı kurulabilecek yukarıda tanımı verilmiş kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir.


Neler Yapıyoruz?

Tüm bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi güvenlik işlevlerini sağlamak, yani Bilgi

Güvenliği Yönetim Sistemi (BGYS) standartlarına göre çalışmak

  • Müşterilerden alınan/alınacak veri türlerini belirlemek süreç ve politika oluşturma,
  • Var olan ve gelecek veri desteleri için, veri envanteri oluşturmak,
  • Geçmişe dönük olmak üzere ağ sistemlerindeki yapılandırılmış / yapılandırılmamış tüm verileri tespit etmek ve segmentasyon sağlamak.,
  • Kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmak,
  • Geçmişe dönük olmak üzere verisi saklanmak istenen tüm müşterilere ulaşmak ve kurumun niyetleri konusunda müşterileri bilgilendirmek (izinli sms kapsamı içerir),
  • Veri işleme amaçları konusunda bilgilendirilen çalışanlar ve müşterilerin almak,
  • Yukarıdakilerin tamamını sürdürülebilir şekilde uygulamak için teknolojiler, politikalar ve sistemler geliştirmek,
  • Talep halinde değerlendirme ve gözden geçirme faaliyetleri gerçekleştirmek.

Talep edildiği takdirde uzman ve sertifikalı personellerimiz ile sistemlerin güvenliğini ve verilerin korunmasını sağlamak adına Penetrasyon/Sızma Testi gibi etkili çalışmalar yapmak.

5651 Sayılı Kanun ve Log Yönetimi

5651 Sayılı Kanun Maddesinin Amacı:

Kanun maddesi internet erişiminin kontrol altına alınmasını amaçlamaktadır. Bu sayede internet üzerinden işlenen bilişim suçlarının önemli ölçüde önüne geçilmekle beraber suç unsuru içeren herhangi bir olay sonrasında suçluya da sorumluların tespit edilerek suçsuzdan kolayca ayırılmasını sağlamak. Ayrıca kullanıcıların internet üzerinden aldatılmalarını ve yasal içerikte olmayan kötü amaçlı içeriklerden korunması amaçlanmaktadır.

5651 Sayılı Kanun Maddesi ile İlgili Anlaşılması Gerekenler;

  • 5651 sayılı kanun maddesi kamu kurumları, özel şirketler ve kullanıcılar için bir öneri niteliği taşımamaktadır. İlgili kanun maddesinin gereklerinin yerine getirilmesi zorunlu kılınmıştır. Kanun maddesini yerine getirmeyen tüm erişim sağlayıcılar için kanuni yaptırımlar söz konusudur. Bunları uyarı, para cezası, hapis, kapatma ve yayından kaldırma gibi sıralayabiliriz.
  • Kanun maddesince alınması istenen tedbirler tamamıyla kullanıcıların çıkarlarını gözetmekte olup, uygulanmadığı takdirde kullanıcıya maddi zararlar açabileceği gibi bu kaybın yanı sıra kamu kurumları ve özel firmalar için prestij kaybına da sebep olabilmektedir.

Yukarıda özet olarak verilen 2 maddeyi inceledikten sonra kanun esasları ile ilgili detaylara bir göz atalım.

a) İnternet erişimini hizmet amaçlı veya işlerinin devamlılığını sağlamak için çalışan ya da ziyaretçilerine kullandıran kurum ve kuruluşlar.

  • Kamu kurumları
  • Özel şirketler
  • Hastaneler
  • Okullar
  • Alışveriş merkezleri vb. gibi kurumlar

b) İnternet erişimini kazanç elde etmek amacıyla kullanıcıların hizmetine sunan işletmeler.

  • İnternet Kafeler
  • Oteller
  • Ücretli kullanımın söz konusu olduğu Kafe vb. gibi işletmeler.