KVKK Danışmanlığı

Verdiğimiz her hizmette kalite birincil önceliğimizdir.

Bilgilendiriyoruz, belgelendiriyoruz.
Hizmetlerimiz

Kişisel Verilerin Korunması Kanunu (KVKK) Danışmanlık Hizmetleri

07 Nisan 2016 tarihli 29677 Sayılı Resmi Gazete yayınlanan “Kişisel Verilerin Korunması Kanunu” kapsamında, Organizasyonunuz ile ilişkili Kişisel Verilerinizin, Mevzuat ve Uluslararası standartlar dikkate alınarak korunması konularında, Diamond Vision olarak Kamu ve Özel Sektör Deneyimimizle, ISO 27001:2017 Standardı ve GDPR (General Data Protection Regulation) ile uyumlu Danışmanlık Faaliyetleri gerçekleştirmekteyiz.

KVKK Danışmanlığı aşamalarında dikkate aldığımız mevzuat bilgisine buradan erişebilirsiniz.

Kişisel Verilerin Korunması Kanunu

Veri şirket ve kurumların vazgeçilmez bir parçası haline gelmiş durumda. Şirketlerin iş sürekliliğini sağlayabilmesi için gereken en önemli konu bu verileri devamlı olarak koruyabilmesi ve saklayabilmesidir.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriler kurum ya da şirketlerce günlük olarak işlenmektedir. Bu veriler çeşitli süreçlerde işlenmekte ve bu süreçler daima farklılık göstermektedir.

Kişisel verilerin korunması 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı kanun ile resmiyet kazanmıştır. Kişisel verileri koruma kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

KVKK ile ilgili diğer makaleler için aşağıdaki linklere tıklayabilirsiniz.

[1] Kvkk’ya Neden İhtiyaç Duyulmuştur?

[2] Kvkk Kurumunun Tavsiye Ettiği Teknik Önlemler

[3] Kurumların Kvkk Genel Yükümlülükleri

[4] Kvkk’nın Kapsadığı Üç Disiplin

[5] Kvkk Uyumluluk Testi

[6] Verbis Ve Kvkk İlişkisi

[7] Kvkk Ve Kullanılan Teknolojiler

KVKK Uyum Danışmanlığı ve Eğitimi

KVKK uyum danışmanlığı ve eğitim hizmeti KVKK çerçevesinde kişi ve kurumları bilgilendirmek amacı taşır. KVKK‘nın temelinde bireylerin hak ve özgürlüklerinin korunması ve özel hayatın gizliliğine saygı duyulması ilkeleri yer alır.

KVKK ile kişisel verilerin toplanmasında, işlenmesinde, depolanmasında ve dağıtımında başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amaçlanmıştır. Kişisel verileri koruma kanunu (KVKK) uyum kuralları çerçevesinde özellikle şirketlerin KVKK eğitimi müfredatından faydalanmaları önem arz etmektedir. KVKK danışmanlığı almak hem kişisel verilerin gizliliğine riayet etmek hem de ağır yasal yaptırımlardan korunmak anlamına gelecektir.

KVKK Uyum Danışmanlığı Nedir?

KVKK uyum danışmanlığı ile KVKK kapsamında veri sorumlularının kişisel verilerin elde edilme anından itibaren yapacakları tüm işlemlerde veri koruma hukukunun ilke, usul ve esaslarına uyumlu olarak hareket etmeleri amaçlanır. KVKK uyum süreci ile hedeflenen gaye danışmanlık talebinde bulunan kişi ya da kurumların bünyesinde bulundurduğu ve işlediği bütün kişisel verileri hem hukuki hem de teknik açıdan kanuna tam olarak uyumlu hale getirmektir. KVKK uyum süreci kanuna dayanılarak çıkarılan yönetmelikler, tebliğler, kararlar, mahkeme içtihatları, rehberler ve uygulama örneklerinden oluşan bir bütünü kapsar.

KVKK danışmanlık hizmeti şirketler tarafından verilebileceği gibi aynı zamanda bünyesinde bilişim avukatı bulunduran hukuk büroları tarafından da verilmektedir. Ancak en önemli unsur halihazırda ülkemizde yeni uygulamaya konulmuş bir mevzuat olan kişisel verilerin korunması yasası hakkında tecrübe sahibi olmaktır. Diamond Vision’un farkı daha önce Avrupa’daki veri gizliliği mevzuatı olan GDPR da dahil olmak üzere KVKK ve kişisel veri gizliliği konusunda uzman kişileri bünyesinde barındırmasıdır.

KVKK Danışmanlık Hizmeti İhtiyaç Mıdır?

KVKK danışmanlık hizmeti kişisel veri toplayan, işleyen, muhafaza eden ve aktaran kişi ve kurumlar için bir ihtiyaçtır. Çünkü KVKK ile korunmak istenen hukuki değer bireylerin temel hak ve özgürlükleri ve özel hayatın gizliliğidir. KVKK aracılığıyla da kişinin özel alanına herhangi bir müdahale olmaması adına çok dikkatli ve özenli davranılması gerektiğine dikkat çekilmiştir. Kanuna aykırı davranışlar çok ciddi yaptırımlara tabi tutulmuş ve caydırıcı cezalar öngörülmüştür. Özellikle şirketlerin KVKK‘da belirtilen cezalar ile karşı karşıya kalmaması için KVKK danışmanlık hizmeti almaları önerilir. Danışmanlık hizmeti ile kişisel verilerin elde edilmesi anından itibaren tüm işlemlerde hukuki ve teknik açıdan kanuna uygun hale getirilir.

KVKK Danışmanlığı Kimler Tarafından Talep Edilmektedir?

KVKK danışmanlığı çalışanları ile müşterilerine ilişkin herhangi bir kişisel veriyi bünyesinde tutan her kurum, kuruluş ve şirket tarafından talep edilmektedir. Ayrıca belirtmek gerekir ki KVKK eğitimi firma sahipleri, gerçek ve tüzel kişileri temsil yetkisi olan yöneticiler, kamu kurum temsilcileri, KVKK konusunda çalışan personeller ve avukatlar tarafından alınmalıdır. Çünkü kurumlar dinamik yapılardır. Herhangi bir prosedür değişikliği kurumun yapısında kişisel veri sızıntısı oluşturabilecek nitelikte olduğundan dolayı kurum bünyesinde KVKK eğitimi almış bir ekibin bulunması önemlidir.

KVKK Eğitimi Nedir?

KVKK eğitimi; KVKK’nın Türkiye’deki gelişimi ve kanunun amaç ve kapsamı hakkında kişi, kurum ve kuruluşların detaylı olarak bilgilendirilmesidir. Eğitimde kişisel verilerin tanımlanması ve işleme koşulları, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi üzerinde durulur. Veri sorumlularının yükümlülükleri ve kişisel veri envanterinin hazırlanması gibi pek çok konuya değinilir.

Kişisel veri nedir? Kişisel veri kimliği belirli veya belirlenebilir olan gerçek kişiye ilişkin her türlü bilgidir. Bireyin adı, soyadı, doğum tarihi gibi kimlik bilgileri ile fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgilerdir. Kişisel veri kapsamının içine kişiyi belirlenebilir kılan telefon numarası, pasaport numarası, görüntü ve ses kayıtları, parmak izi ve genetik bilgiler de girmektedir.

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlularının belli başlı yükümlülükleri bulunmaktadır:

  • Bu yükümlülüklerden ilki kişisel verileri alınan bireyi aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğü; kişisel verilerinin kim tarafından hangi amaçla alındığı ve bu verilerin nerelerde kullanılacağı ve kimlerle paylaşılacağı hakkında ilgili kişilere bilgi verilmesini kapsar.
  • Bir diğer yükümlülük veri sorumlusunun sakladığı verilere erişimi, verilerin işlenmesi ve muhafaza edilmesi ile ilgili gerekli güvenlik önlemlerini alma zorunluluğudur.
  • Kişisel verileri açık rıza ile alınmış olan kişiyi dilediğinde bilgilendirmek de başkaca bir yükümlülüktür. Yine aynı şekilde bilgi talep eden ilgili kurum da bilgilendirilir.
  • Bir başka yükümlülük ise VERBİS yani veri sorumluları siciline kayıt olmaktır.
  • Son yükümlülük de kişisel verilere hukuka uygun olmayan bir erişim gerçekleşmiş veya veriler çalınmış ise ilgili kişiyi ve kurumu bilgilendirme yükümlülüğüdür.

Şirketlerde KVKK Eğitiminin Önemi

Şirketlerde KVKK eğitimi, KVKK ile ilgili yasal mevzuata uymayanlar hakkında uygulanan idari ve cezai yaptırımlar sebebiyle oldukça önemli bir konudur. KVKK’ya aykırı olarak hareket edildiği takdirde verilecek ceza kişisel olarak kalmayıp şirketin yönetimini de ilgilendirmektedir. Bu sebeple; şirketlerin eğitim alma, kişisel verilerin korunması ve gizlilik politikası oluşturma ve iş yerinde bir veri sorumlusu bulundurma gibi belirli yükümlülükleri vardır. Benzer şekilde mevcut kişisel verilerin yok edilmesi, silinmesi veya anonim hale getirilmesine yönelik yönetmelik bulunmaktadır. Bu yönetmelik doğrultusunda iş yerinde kişisel  veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlanması gerekmektedir.

Kişisel verileri koruma kurulu kendi inceleme yapabileceği gibi herhangi birinin şikayeti üzerine de inceleme yapmak zorundadır. KVKK farkındalığı arttıkça kurula yapılacak olan ihbarların da sayısında önemli bir artış gözlemlenebilecektir. Kişisel verileri koruma kurulu yaptığı incelemeler sonucunda KVKK’nın ihlal edildiği hallerde ceza kesme yetkisine sahiptir. İdari para cezalarının alt ve üst sınırları arasındaki makas bilinçli olarak çok geniş tutulmuştur. İdari para cezası miktarı belirlenirken failin kusuru, ekonomik durumu ve kabahatin haksızlık içeriği dikkate alınacaktır.

KVKK Farkındalığı için Eğitim Yeterli Midir?

Kişilerde KVKK farkındalığının oluşması için eğitim uzun ve tekrarlanması gereken bir süreç olarak düşünülmelidir. Kişilerin veya kurumların aldığı KVKK uyum danışmanlığı hizmeti ile kişisel verilerin işlenişi kanuna uyumlu hale getirilir. Fakat kişisel verilerin toplanması ve işlenmesiyle ilgili prosedürde herhangi bir yenilik söz konusu olduğunda uyum sürecinin tekrarlanması gerekir. Bir örnekle açıklamamız gerekirse doldurulması gereken bir başvuru formunda isim, soyisim, yaş ve eğitim durumu alanlarının mevcut olduğunu düşünelim. Bu forma ekleyeceğimiz adres alanı ile yeni bir kişisel veri topladığımız için kişisel verilerin işlenişini yeniden kanuna uygun hale getirmemiz gerekmektedir. Dolayısıyla KVKK farkındalığı yaratmak için eğitimlerin ve uyum danışmanlığı hizmetinin tekrarlanması gerekir.

KVKK Rıza Metni Nedir, Nasıl Yazılır?

KVKK rıza metni veri işleme şartlarının başında gelmektedir. Günlük hayatta kişisel verilerimizi birçok kişi, kurum ve kuruluş ile paylaşmaktayız. Belirli şartların varlığı halinde kişisel verilerimiz bilgilerimizi paylaştığımız kişi, kurum veya kuruluş tarafından işlenmektedir. Verilerin hukuka uygun olarak işlenebilmesi için işleme şartlarından en az birini barındırması gerekmektedir. Veri işleme şartlarından biri işlenecek olan bilgi ile ilgili öncesinde ilgili kişiden açık rıza alınmasıdır. Açık rıza alınırken dikkat edilmesi gereken önemli noktalar bulunmaktadır:

  • İlk olarak rıza talebi belirli bir konuya dair olmalıdır. Genel bir rıza talebi alınamaz.
  • Kişisel verilerin toplanma ve kullanılma amacının ilgili kişiye açıkça ifade edilmesi gereklidir.
  • Son olarak da kişi rızayı özgür iradesiyle vermiş olmalıdır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde rıza geçerli değildir.

Açık rızanın yazılı şekilde alınması zorunlu olmamakla birlikte açık rıza metni birçok kurum ve kuruluş tarafından tercih edilmektedir. KVKK’ya uygun rıza metinleri, toplanılan kişisel verilerin nasıl ve kim tarafından hangi amaçla kullanılacağını açıkça belirten metinlerdir. Verilerin işlenme amacı hukuka uygun olmalıdır. İlgili kişiye gerekli tüm bilgilendirmeler rıza metni aracılığıyla şeffaf bir şekilde yapılmalıdır.

Açık rızanın yazılı şekilde alınması zorunlu değildir. Şirketler, kurum ve kuruluşlar elektronik ortamda veya sözlü olarak kişinin rızasını alabilirler. Rıza kişiye sıkı sıkıya bağlı bir hak olduğundan dolayı kişi veri sorumlusuna vermiş olduğu açık rızayı dilediği zaman geri alabilir.

Çalışanlarınıza Yönelik KVKK Uyumu Nasıl Gerçekleştirilebilir?

Çalışanlara yönelik KVKK uyumunun gerçekleştirilebilmesi için ilk olarak şirket çalışanlarının mutlaka KVKK eğitimine tabi tutulmaları gerekmektedir. Uyum süreci başarı ile tamamlanmış olabilir. Fakat şirket personeli yeterli eğitimi almamış ve personelde KVKK farkındalığı oluşmamış ise tamamlanan tüm bu süreç olumsuz yönde etkilenebilir. Olumsuz etki sebebiyle istenmeyen sonuçlarla karşılaşılabilir. KVKK uyum sürecinin en önemli parçası kişilerin eğitilmesi ve kişilerde KVKK farkındalığının yaratılmasıdır. Eğitim uyum sürecinin her aşamasında olmalı ve belirli aralıklarla tekrarlanmalıdır. Ayrıca kişisel verilerin korunmasına yönelik her türlü uygulama ışığında tüm personel hazırlanan metinler ile bilgilendirilmelidir.

KVKK Veri İşleme Envanteri Nasıl Hazırlanır?

KVKK veri işleme envanteri şirketlerin, kamu kurum ve kuruluşlarının, yabancı kurumların veya gerçek kişilerin KVKK uyarınca hazırlamakla yükümlü oldukları bir envanter çeşididir. Kişisel verilerin işlenmesi birçok risk ve ihlal ihtimalini beraberinde getirir. Dolayısıyla KVKK, veri işleme envanteri hazırlama yükümlülüğü getirerek kişilik haklarının ihlal edilmesinin önüne geçmeyi hedeflemektedir.

Veri sorumluları kişisel verileri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebeplerini, veri kategorilerini, verilerin aktarıldığı alıcı grubu ve kişisel verilerin muhafaza edilme sürelerini detaylandırarak bir envanter hazırlarlar. Basitçe açıklamak gerekirse hangi kişisel verilerin hangi amaçla toplandığını, nerelerde, kimlerle ve ne şekilde paylaşıldığının prosedürlere bağlanması gerekmektedir.

Veri sorumluları yükümlülüklerini doğru ve eksiksiz bir şekilde yerine getirebilmek adına bir veya daha fazla kişiden oluşan bir ekibi görevlendirebilirler. Görevlendirilen kişi veya kişiler veri sorumlusunun fiziksel ve elektronik ortamda işlemekte olduğu tüm verilerin analizini yaparlar. Veri işleme envanteri aşağıdaki adımlar dikkate alınarak hazırlanmalıdır:

  • İlk olarak kişisel verilerin hangi süreç ve faaliyet kapsamında elde edildiği ve hangi amaçlarla işlenip saklanacağı tek tek belirlenmelidir.
  • İşlenmekte olan verilerin genel veri mi yoksa özel veri mi olduğu tespit edilmelidir.
  • İşlenen kişisel verilerin hukuki sebebi tespit edilmelidir.
  • İşlenen kişisel verilerin hangi amaçla işlendiği tek tek veri bazında belirlenmelidir.
  • Veri sorumlularının faaliyetleri kapsamında hangi kişi veya kişi grupları ile ilgili olarak kişisel veri işlendiğinin belirtilmesi gereklidir.
  • Kişisel verilerin ne kadar süre saklanacağı ve sürenin bitiminde imha işlemi uygulanacağına ilişkin bilgilendirme yapılmalıdır.
  • İşlenen kişisel verilerin hangi alıcılara aktarıldığı hakkında bilgilendirmeler yapılmalıdır.
  • Yabancı ülkelere aktarılan kişisel veriler belirlenmelidir.
  • İşlenen kişisel veriler için alınan teknik ve idari tedbirler belirlenmelidir.

KVKK Eğitimi ile Cezalar Önlenebilir mi?

KVKK eğitimi ile KVKK ve Türk Ceza Kanunu’nda bahsedilen cezalar önlenebilmektedir. Her iki kanun da kişisel verilerin ihlali halinde çok ciddi idari ve cezai yaptırımlar öngörmüştür. KVKK uyarınca yükümlülüklerini yerine getirmeyen veri sorumlularına;

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Türk Ceza Kanunu uyarınca;

  • Hukuka aykırı olarak kişisel verileri kaydetme halinde 1 yıldan 3 yıla kadar,
  • Kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme halinde 2 yıldan 4 yıla kadar,
  • Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme halinde 1 yıldan 2 yıla kadar hapis cezası uygulanır.

KVKK Cezasına İtiraz

KVKK cezasıyla bir kez karşı karşıya kaldıysanız bundan sonraki süreçte daha dikkatli olmanız ve tedbir almanız gerekmektedir. KVKK‘ya uygun hareket edilmediğinde çok ciddi yasal yaptırımlarla karşılaşılmaktadır. Özellikle şirketlerin bu konuyu ciddiye almaları ve daha özenli hareket etmeleri gerekmektedir. Veri sorumluları, kurul tarafından ilan edilen süre içinde Veri Sorumluları Siciline (VERBİS) kayıt yaptırmak zorundadır.  Veri sorumluları siciline kayıt olmamanın cezası 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası olarak belirtilmiştir. Ayrıca VERBİS kayıt zorunluluğu süresi 31 Aralık 2019 tarihine kadar uzatılmıştır.

KVKK cezasına itiraz mümkündür. KKVK’nın 18. maddesinde idari para cezalarının veri sorumlusu olan gerçek kişiler ve özel hukuk tüzel kişilerine uygulanacağı belirtilmiştir. İdari para cezaları kişisel verileri işleyen şirketlere, vakıf, dernek gibi özel hukuk tüzel kişilerine ve gerçek kişilere uygulanır. KVKK kapsamında idari para cezasına karşı yasal başvuru yolu kararın tebliği tarihi itibarıyla 15 gündür. 15 günlük süre içinde yetkili Sulh Ceza Hakimliği’ne başvuru yapılabilir. Başvurunun kabulü halinde yapılacak yargılama sonucunda idari para cezasının miktarında değişiklik yapılabilir. KVKK cezasına itiraz mümkün olmakla birlikte Ceza Muhakemesi Kanunu hükümlerine göre itiraz süresi kararın ilgili kişiye tebliğ tarihinden itibaren 7 gündür.

KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu

Kişisel Veri Nedir?

Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri sayılmaktadır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

(Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu)

Kişisel Veri ve Özel Nitelikli Kişisel Veri arasındaki farkları detaylı görmek için tıklayınız.

KVKK Yerel Bir Mevzuat mıdır?

Çok özgün sayılmayan 6698 sayılı bu kanunumuzun ilham kaynağı olan EU GDPR (Avrupa Genel Veri Koruma Yönergesi) da tıpkı 6698 sayılı KVKK gibi 2018 yılı baharına kadar hazırlıkları tamamlamış olma konusunda veri toplayan kurumlara gün vermiş durumdadır. 6698 sayılı KVKK, Avrupa’daki muadili GDPR ile birlikte veri sorumlusu olarak adlandırılan kurumları epeyce etkileyecek ve iş yapma pratiklerini epey dönüşüme uğratacak bir öneme sahiptir.

KVKK’nın Getirdiği Düzenlemeler

6698 sayılı Kişisel Verilerin Korunması Kanunu, sahibinin izni olmadan kişisel verilerin işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirilmektedir.

İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.

Bu düzenlemeyi yürütmek üzere oluşturulan Kişisel Verileri Koruma Kurulu verileri toplayan/işleyen kurumları 6698 sayılı KVK kanunu ile kayıt altına alıp regüle edecek. Bilgilerini alıp işleyen/işleten kurumlar ile problem yaşayan veri sahipleri bu resmi kuruma başvurup şikâyette bulunabilecek. Bu kurul, yukarıda bir kısmı belirtilen kuralları uygulamayan kurumlara altı sıfırlı rakamlarla para cezası vermek ve hatta bazı durumlarda kusur, ihmal ve kötü niyet sahibi yetkililere hapis cezasının yolunu açmak gibi yaptırımları uygulama yetkisi olan bir kurum olarak tanımlanmaktadır.

KVKK’ya neden ihtiyaç duyulmuştur. Bilgi için tıklayınız.

KVKK Hangi Kurumları İlgilendiriyor?

Gerçek bir kişi ile bağlantısı kurulabilecek yukarıda tanımı verilmiş kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir.

Kanuna Uyum için Yapılması Gerekenler

Yapılacak çalışmalar şöyle listelenebilir:

– Tüm bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi güvenlik işlevlerini sağlamak, yani Bilgi Güvenliği Yönetim Sistemi (BGYS) standartlarına göre çalışmak
– Müşterilerden alınan/alınacak veri türlerini belirlemek üzere stratejiler oluşturmak
– Bir veri envanteri oluşturmak
– Geçmişe dönük olmak üzere- ağ sistemlerindeki yapılandırılmış / yapılandırılmamış TÜM verileri tespit etmek
– Kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmak
– Geçmişe dönük olmak üzere- verisi saklanmak istenen TÜM müşterilere ulaşmak ve kurumun niyetleri konusunda müşterileri bilgilendirmek
– Veri işleme amaçları konusunda bilgilendirilen çalışanlar ve müşterilerin rızasını makul yöntemlerle almak
– Yukarıdakilerin tamamını sürdürülebilir şekilde uygulamak için teknolojiler, politikalar ve sistemler geliştirmek
– Belli dönemlerde değerlendirme, gözden geçirme ve iç denetim faaliyetleri gerçekleştirmek
– Belli aralıklarla sistemlerin güvenliğini ve verilerin korunmasını sağlamak adına Penetrasyon/Sızma Testi gibi etkili çalışmalar yapmak
– İç denetimler, Penetrasyon Testi vb. uygulamalar sonrasında elde edilecek sonuçlar ile kurum yönetim sistemine sürdürülebilirliği sağlayıcı katkılar yapmak

Kurumların KVKK Genel Yükümlülüklerini daha detaylı görmek için tıklayınız.

©2020 Diamond Vision - Danışmanlık, Denetim ve Belgelendirme Hizmetleri

CONTACT US

We're not around right now. But you can send us an email and we'll get back to you, asap.

Gönderiliyor

Kullanıcı Bilgileriniz İle Oturum Açın

Bilgilerinizi Unuttunuzmu?