Sayfa Kapak Fotoğrafı

KVKK (Kişisel Verilerin Korunması Kanunu) UYUM DANIŞMANLIĞI

 07/04/2016 tarihinde 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak tanımlanmıştır. 

Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir (Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu). Benzer şekilde kişinin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, sağlık bilgileri, biyometrik veriyi de kapsayan genetik verileri, fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin tüm bilgiler kişisel veri kapsamında yer almaktadır.

Avrupa Birliği direktifleri esas alınarak düzenlenen KVKK; hem özel sektör, hem de kamu sektörü için kişisel verilerin korunması ve işlenmesine ilişkin süreçler ile ilgili yükümlülükleri düzenlemekte olup; belirtilen yükümlülüklere aykırılık halinde 5 bin TL’den 1 milyon TL’ye kadar idari para cezası ile ile 1 yıldan 6 yıla kadar hapis cezasını  yaptırım olarak öngörmektedir. 



Gerçek bir kişi ile bağlantısı kurulabilecek yukarıda belirtilen kişisel verilere ilişkin olarak Kanun’da “Veri Sorumlusu” olarak tanımlanan (Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan) her gerçek veya tüzel kişi/kurum Kanun kapsamında sorumlu kılınmıştır. 


Buna göre Veri Sorumlusu, veri işleme (Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem) kapsamında Kanun’da öngörülen tüm yükümlülüklere uymak zorundadır. 


Bu nedenle bu tür süreçleri işleten tüm kişi ve kurumların Kanun’a uyum için bir dizi çalışma yapması gerekmektedir.

Yapılacak çalışmaları şöyle listeleyebiliriz:

  • Bilgi Güvenliği Yönetim Sistemi (BGYS - https://bit.ly/2SxsyAW) standartlarına göre çalışmak,

  • Gerçek Kişi’lere (Müşteri, çalışan, üye vs.) ait alınmış/alınacak veri türlerini belirlemek ve bunlara ilişkin stratejiler oluşturmak

  • Veri envanteri oluşturmak,

  • Geçmişe dönük olmak üzere ağ sistemlerindeki yapılandırılmış/yapılandırılmamış TÜM verileri tespit etmek,

  • Kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmak,

  • Geçmişe dönük olmak üzere verisi saklanmak istenen TÜM Gerçek Kişi’lere (Müşteri, çalışan, üye vs.) ulaşmak ve veri kullanım amacı konusunda bilgilendirme yapmak,

  • Veri işleme amaçları konusunda bilgilendirilen Gerçek Kişi’lerin (Müşteri, çalışan, üye vs.) rızasını makul yöntemlerle geçerli olarak almak,

  • Yapılan çalışmaların sürdürülebilirliği için teknolojiler, politikalar ve sistemler geliştirmek,

  • Belli dönemlerde değerlendirme, gözden geçirme ve iç denetim faaliyetleri gerçekleştirmek,

  • Belli aralıklarla sistemlerin güvenliğini ve verilerin korunmasını sağlamak adına Penetrasyon/Sızma Testi çalışmaları yapmak/yaptırmak,

  • İç denetimler, Penetrasyon Testi, vb. uygulamalar sonrasında elde edilecek sonuçlar ile yönetim sistemine sürdürülebilirliği sağlayıcı katkılar yapmak,

  • Veri sorumlusunun tabi olduğu diğer regülasyonlar da gözönünde bulundurularak KVKK uyum sürecinin ve prosedürlerinin tasarlanması.

Yukarıda yer alan çalışmalar; KVKK, veri tespiti, veri sınıflandırması ve veri koruma teknolojileri gibi konularda ciddi bir deneyime sahip uzman kişiler tarafından özenle yerine getirilmelidir. Ayrotek, uzman ekibiyle (1 avukat, 2 süreç danışmanı ve 1 bilgi güvenliği uzmanı) KVKK uyum danışmanlığını üç ana başlık altında toplayarak hizmetinize sunmaktadır:

 

1.       Analiz Süreci

1.1.    Hukuki Analiz: KVKK konusunda tecrübeli hukuk personellerimiz tarafından, kurumunuz dâhilinde gerçekleştirilen iş süreçleri hukuki analize tabi tutulur. Kurumun varsa kişisel verilerin korunması ile ilgili politika, veri saklama/silme veya başvuru vb. süreçlerine ilişkin prosedürlerinin incelenmesi; kurumunuzca kullanılan tip nitelikli sözleşme, form vb. dokümanlarının belirlenmesi, varsa açık rıza metinlerinin ve aydınlatma metinlerinin incelenmesi gibi süreçler bu aşamada ele alınmaktadır.

1.2.    Teknik Analiz: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, işlenmesi, aktarılması, devralınması, elde edilebilir hale getirilmesi ya da hukuka aykırı olarak kullanılmasının engellenmesi gibi veriler üzerinde gerçekleşen her türlü işlem ve kişisel verilerin kurum bilgi sistemlerine girdiği noktalar/yöntemler, kurum içerisinde işlendiği/tutulduğu sistemler ve kurum dışarısına çıktığı noktalar/yöntemler tespit edilerek, bunların güvenliğine yönelik karşılanması gereken ihtiyaçlar ortaya konulur. Bunun yanı sıra, Kanun’un ön gördüğü şekilde, kurumunuzun işlediği kişisel verilerin belirli sürelerde saklanması ve bu sürelerin sonuna gelindiğinde silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Bu gibi konular da bu aşamada ele alınır ve gereken noktalarda teknik destek sağlanır.

1.3.    Süreç Analizi: KVKK danışmanlık hizmet paketimiz kapsamında yürütülen süreç analizleri 2 ana başlık altında değerlendirilmektedir. Birincisi; mevcut iş süreçlerinizin KVKK uyumluluk gap analizin gerçekleştirilmesidir (mevcut veri akışları, kontrol noktaları, kişisel verilerin işlenmesini etkileyen tüm iş süreçlerinin analizi). İkincisi ise, KVKK ile hayatımıza dâhil olan ve şirketlerin sahip olması kaçınılmaz olan yeni süreçlerin analizi ve tasarımıdır (Kişisel Veri Yönetimi Prosedürü, Veri Silme/Yok etme/Anonimleştirme prosedürü, Veri İhlali Süreci, vb.)

 

2.       Dönüşüm Süreci: Hukuki, Teknik ve Süreç analizi çalışmaları ile KVKK Uyumluluğu için atılacak somut adımlar tanımlanmış olur. Kişisel verilerin korunması ile ilgili politika, veri saklama/silme veya başvuru vb. süreçlerine ilişkin prosedürlerin belirlenmesi ve kalıcı dokümanların içeriğinin belirlenmesi; veri envanteri oluşturulması; tip nitelikli sözleşme, form vb. dokümanların KVKK sürecine uyumlu hale getirilmesi; açık rıza ve aydınlatma metinlerinin oluşturulması gibi  üzerinde mutabık kalınan somut adımlar bu aşamada hayata geçirilir. Projelerin hayata geçişi sırasında da Ayrotek olarak teknik ve idari çözümler/öneriler sunmaya devam ederiz.