TEKLİF İSTE

Kişisel verileri koruma kanunu 7 Nisan 2016 tarihinde 6698 sayılı kanunla birlikte ülkemizde yürürlüğe girmiş oldu.

KVKK Nedir?


Kişisel verilerin kötüye kullanımının önüne geçilmesi amacıyla hem Türkiye’de hem de Avrupa’da yeni kanunlar ve yeni düzenlemeler hayatımıza girmeye başladı.Kişisel verileri koruma kanunu da 7 Nisan 2016 tarihinde 6698 sayılı kanunla birlikte ülkemizde yürürlüğegirmiş oldu. Bu kanunun amacı şirketleri nkişisel verileri işlerken, bireylerin başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerini korumak, sahip olunan verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.



Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?


Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiğ ikayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanmasıb enimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamındadır. Yükümlülükleriniz hakkında yeterli bilginiz yoksa ve KVKK uyum süreci hakkında ne yapacağınızı bilmiyorsanız KVKK Danışmanlığı konusunda uzman firmarlarla çalışmanız sürecin tamamlanması adına şirketiniz için faydalı olabilir.


Kişisel Veri Nedir?


Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden bahsedebilmek için, verinin gerçek bir kişiye ilişkin olması ve bu kişinin kimliği belirlebebilir ya da belirlenebilir nitelikte olması gerekmektedir. Yani kişiselveri, belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Kişisel veri kavramı kişinin sadece adı,soyadı,doğum tarihi, doğum yeri gibi bilgilerle beraber telefon numarası, parmak izi, genetik bilgileri, özgeçmişi, ses kayıtları, fotoğrafları,mesajları, e-posta adresi, hobileri, aile bilgileri, pasaport numarası vb. Yani kısacası kişiye ilişkin tüm veriler kişisel veri kapsamındadır. Özel nitelikli kişise veriler ise; kişilerin ırkı, isyasi düşüncesi, etnik kökeni, dini, felsefi inancı, mezhebi, vakıf, dernek ya da sendika üyeliği, cinsel hayatı, ceza mahkumiyeti, sağlığı ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.


Açık Rıza Nedir?


Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Açık rıza beyanı herhangi bir şekilşartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açıkrıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açıkrıza metinleri açık,anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca,açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir.


Veri Sorumlusu Kimdir?


Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir. Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.


Veri İşleyen Kimdir?


Veri sorumlusunun verdiği yetkiye dayanarak onun adınakişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işlemesözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.


Veri İşleyen ve Veri Sorumlusu Arasındaki Fark Nedir?


Herhangi bir gerçek veya tüzel kişiaynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır.Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl”yapılacağısorularınıncevabını verecek kişidir. Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır :

• Kişisel verilerin toplanması ve toplama yöntemi,

• Toplanacak kişisel veri türleri,

• Toplanan verilerin hangi amaçlarla kullanılacağı,

• Hangi bireylerin kişisel verilerinin toplanacağı,

• Toplanan verilerin paylaşılıppaylaşılmayacağı,paylaşılacaksa kiminle paylaşılacağı,

• Verilerin ne kadar süreyle saklanacağı.

Bununla birlikte, veri sorumlusu yapacağıkişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:

• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğermetotlarınkullanılacağı,

• Kişisel verilerin hangi yöntemle saklanacağı,

• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,

• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,

• Kişisel verilerin saklanmasınailişkin sürelerin doğru uygulanabilmesi için kullanılacakmetot,

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.

Veri sorumlusuyla veri işleyen arasındaki ortak bazı noktaların belirtilmesi gerekir. İlk olarak, veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir. Veri sorumlusu (aynı şekilde veri işleyen de) olmak, Kanunun hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüde yer alacaktır.Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirketin kendisi “veri sorumlusu” sıfatına sahiptir.

İkinci olarak, her iki kavram da, hem gerçek hem de tüzel kişiler için geçerlidir. Örneğin, serbest çalışan bir mali müşavir de, mali müşavirlik firması da, hem veri sorumlusu, hem de veri işleyen olabilir. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu veya veri işleyen olması mümkün değildir. Bununla birlikte, bir şirketle topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerinher biri ayrı iki statüde de yer alabilir.

Son olarak, bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu, hem de veri işleyen olabileceğini söylemek mümkündür. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.


Aydınlatma Yükümlülüğü Nedir?


Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişininonayına tabi değildir.


Kişisel Veri İşleme Envanteri Nedir?


Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkinalınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.


Zorunlu KVKK Eğitimi


Kişisel verileri koruma kanunu kapsamında veri sorumlusu ve veri işleyenlerin kendi personellerine KVKK kapsamında yapmaları gereken hakkında eğitim verdirtmeleri zorunludur. Bu eğitimin personellerin çalıştıkları departmana göre hem idari hem teknik tedbirlere ilişkin olması gerekmektedir.


Kişisel Verileri Koruma Kanununun Kazandırdığı Avantajlar


• Verilerin güvenliği: verilerin artık güvende olması için alınan kararlar ve kanunlar kamuoyuna duyuruldu, her kurumun uyması gereken usul ve esaslar zorunlu hale getirildi.

• Farkındalık yaratma: insan kaynaklarının daha doğru, düzenli ve efektif kullanımı.

• Bilinçli olma: işilişkilerinde yaşanabilecek olumsuz senaryoların azalması. Bu konuya bir örnek de vermek gerekirse şirket içerisindeki verilerin dışarı sızdırılmaya çalışılmasının engellenmesi.

• Veri Bulma: Kurumların en değerli varlığı olan veriye erişimin hızlanması.

• Verilerin Sınıflandırılması: verilerin değerinin tespiti ve hassas verilerin sınıflandırılarak güvenliğinin artırılması.

• İş sürekliliği: iş sürekliliği ve devamlılığının sağlanabilmesi için gerekli olan temel taşın yani verinin alternatifli olarak saklanması.