• +(90) 850 888 18 36
  • info@abteknoloji.com
Ada Bilgi Teknolojileri
TR | EN
KVKK Çözümleri

Kişisel Verilerin Korunması Kanunu Uyum Sürecinde şirketler tarafından yapılması gerekenler nelerdir?

Hangi veriler bu kanun kapsamındadır?

6698 Sayılı Kişisel Verilerin Korunması Kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Müşterilerin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini tutan ve işleyen şirketler bu kapsamdadır.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir ve ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kişisel Verilerin Korunması Kanunu Uyum Süreci

Bundan böyle işverenler, kişisel verilerin korunması konusunda “uyum çalışması” başlatarak, gerekli politika ve prosedürleri hazırlayıp hayata geçirmek, kişisel verileri işleme konusunda strateji geliştirmek durumundadır.

Kişisel verilere uyum çalışması “idari tedbirler” ve “teknik tedbirler” olarak iki grupta toplanmaktadır.

Kişisel Verilerin Korunması Kanunu Nasıl Çalışır?

Etkin bir kişisel veri yönetimi için bir plan oluşturulmalı ve verilerin korunması ile ilgili süreçler belirlenmelidir.

  • Eğitim
  • Organizasyonun belirlenmesi
  • KVKK politikasının oluşturulması
  • Aydınlatma beyanlılarının oluşturulması
  • Açık rıza istenilmesi gereken durumların belirlenmesi ve açık rıza formlarının hazırlanması
  • Kişisel verilerin korunması ile ilgili risk analizinin yapılması
  • KVKK konusu ve bilgi güvenliği ile ilgili politikaların hazırlanması (Temiz masa, temiz ekran politikası, kabul edilebilir kullanım politikası)
  • Gizlilik sözleşmesi hazırlanması
  • Tedarikçiler ile gizlilik sözleşmesi hazırlanması
  • Veri envanteri hazırlama çalışmaları
  • Veri toplama amaçlarının belirlenmesi

Kimler Bu Standardı Uygulamalıdır?

KVKK kimleri kapsar sorusunun yanıtı aslında Kanunun 2. maddesinde belirtilmiştir. Kişisel Verilerin Korunması Kanunu ( KVKK ) “kişisel verileri işlenen gerçek kişiler” şeklinde bir düzenlemeye gitmiştir. Buna göre 6698 sayılı Kanun gereğince koruma kişisel verileri işlenen gerçek kişileri kapsamaktadır. Gerçek kişiden kasıt hak ehliyetine sahip olan herkestir.

İlgili maddenin devamı uyarınca kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişilere de uygulanacaktır. Yani KVKK verileri işleyen kimseler bağlamında gerçek veya tüzel kişi ayrımına gitmemiştir. Aynı zamanda tüzel kişiler bakımından özel kuruluşlar ile kamu kurum ve kuruluşları ayrımı da yapmamaktadır. Buna göre verileri işleyenler bağlamında 6698 sayılı Kanun hükümleri gerçek kişilerin yanında her türlü kurum ve kuruluşa da uygulanacaktır.

Kişisel Verilerin Korunması Kapsamında Şirketlerin Alması Gereken İdari Tedbirler

Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
Gizlilik Taahhütnameleri

Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,
Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Kişisel Verilerin Korunması Danışmanlığı

6698 Sayılı Kişisel Verilerin Korunması Kanun ve ilgili mevzuat kapsamında şirketiniz bünyesinde yapılması gerekenleri tespit etmek ve uyum sürecini başlatmak gerekmektedir.

Uyum süreci sonunda,
ISO 27001 Bilgi Güvenliği Yönetim Sistemi,(Security Techniques – Code of Practice for Information Security Management
ISO 31000 Kurumsal Risk Yönetim Sistemi Risk Management — Principles and Guidelines)
6698 Sayılı Kişisel Verilerin Korunması Kanun’un GEÇİCİ MADDE 1/3 gereğince Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu kanun 07.04.2016 tarihinde yayınlandığından 07.04.2018 tarihi itibariyle şirketlerin işlemiş oldukları kişisel verileri bu kanuna uygun hale getirmeleri gerekmektedir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yanı sıra Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecektir.
AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin buna uygun hareket etmesi gerekmektedir.
AB vatandaşlarının verilerini işleyen, ister AB’de isterse AB dışında olsun tüm kuruluşlar için geçerlidir.
Bu düzenlemenin de yürürlüğe girmesiyle Kişisel Verilerin Korunması Uyum Süreci olarak nitelendirilen- Gizlilik ve Veri Korumasına Uyumluluk – Privacy and Data Protection compliance konularında özellikle AB vatandaşlarıyla ilgili verilerle çalışan şirketlerin ve kurumların alması gereken önlemler artacaktır.

Kişisel Verilerin Korunması Kapsamında Şirketlerin Alması Gereken Teknik Tedbirler

TEKNİK TEDBİRLER

  • Kara Kutu Testi (Black Box) Yapılması Gerekmektedir.
  • Dâhili Test (İç Test) Yapılması Gerekmektedir.
  • Ağ Sızma Testleri Yapılması Gerekmektedir.
  • Sunucu Sistemleri Sızma Testleri Yapılması Gerekmektedir.
  • İstemci Analizi Yapılması Gerekmektedir.
  • Detaylı Uygulama Güvenlik Denetimi Yapılması Gerekmektedir.
  • DoS/DDoS Testleri Yapılması Gerekmektedir.
  • Sosyal Mühendislik Testleri Yapılması Gerekmektedir.
  • Raporlama Yapılması Gerekmektedir.

Kişi Tespit Bilgisinin Mahremiyeti ve Korunması

Kontrol
Kişi tespit bilgisinin mahremiyeti ve korunması, uygulanabilen yerlerde ilgili yasa ve düzenlemeler ile sağlanmalıdır.

Uygulama kılavuzu
Kişi tespit bilgisinin mahremiyeti ve korunması için bir kuruluşa ait veri politikası geliştirilmeli ve uygulanmalıdır.
Bu politika, kişi tespit bilgisinin işlenmesinde yer alan tüm personele bildirilmelidir. Kişisel mahremiyetin ve kişi tespit bilgilerinin korunmasına dair bu politikaya ve ilgili tüm mevzuata ve düzenlemelere uyum, uygun yönetim yapısı ve kontrol gerektirir. Genellikle, mahremiyet yöneticis gibi bu işten sorumlu olacak bir kişinin atanması ile iyi bir sonuç elde edilebilir. Bu kişi; yöneticilere, kullanıcılara ve hizmet sağlayıcılara kendi bireysel sorumlulukları ve takip etmeleri gereken prosedürleri hakkında rehberlik etmelidir. Kişi tespit bilgisini işlemek için sorumluluklar ve mahremiyet ilkelerinin sağlanması hususunda farkındalık, ilgili yasal ve düzenlemelere uygun olarak ele alınmalıdır. Kişi tespit bilgilerini korumak için uygun teknik ve kurumsal önlemler alınmalıdır.

Diğer bilgiler
ISO/IEC 29100[25] standardı, bilgi ve iletişim teknolojisi sistemlerinde kişi tespit bilgisinin korunmasına yönelik yüksek seviyeli bir çerçeve sağlar. Bazı ülkeler, kişi tespit bilgisinin toplanması, işlenmesi ve iletiminde kontrolleri yerleştirmek için düzenlemeler yapmıştır (Genellikle bu bilgilerden bilgilerin sahibi tespit edilebilir).
İlgili ulusal düzenlemelere bağlı olarak, bu tür kontroller kişi tespit bilgisini toplayan, işleyen ve dağıtan kişiler sorumluluklar getirebilir ve aynı zamanda diğer ülkelere kişi tespit bilgisinin transferi aktarılmasını imkânını sınırlayabilir.

Kişisel verileriniz, Aydınlatma Metni kapsamında işlenmektedir. Gönder butonuna basarak Rıza Metni’ni, Gizlilik ve Çerez Politikası’nı okuduğunuzu ve kabul ettiğinizi onaylıyorsunuz.