KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu Uyum Sürecinde şirketler tarafından yapılması gerekenler nelerdir?

Hangi veriler bu kanun kapsamındadır?

6698 Sayılı Kişisel Verilerin Korunması Kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Müşterilerin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini tutan ve işleyen şirketler bu kapsamdadır.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir ve ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kuruluşların KVKK Kapsamındaki Yükümlülükleri
Aydınlatma (Bilgilendirme) Yükümlülüğü
Veri Güvenliğine İlişkin Yükümlülükler (İdari ve Teknik Tedbirler)
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü

VERBİS Kayıt Süreleri İçin Tıklayınız
01.10.2020 tarihinde son yayınlanan kurul kararı için Tıklayınız

Kişisel Veri İşleme Envanteri Hazırlanması

Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )

Gizlilik Taahhütnameleri

Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,

Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

1. Kara Kutu Testi (Black Box) Yapılması Gerekmektedir.

2. Dâhili Test (İç Test) Yapılması Gerekmektedir.

3. Ağ Sızma Testleri Yapılması Gerekmektedir.

4. Sunucu Sistemleri Sızma Testleri Yapılması Gerekmektedir.

5.İstemci Analizi Yapılması Gerekmektedir.

6. Detaylı Uygulama Güvenlik Denetimi Yapılması Gerekmektedir.

7.DoS/DDoS Testleri Yapılması Gerekmektedir.

8. Sosyal Mühendislik Testleri Yapılması Gerekmektedir.

9. Raporlama Yapılması Gerekmektedir.

Sızma Testi PENETRASYON için

Etkin bir kişisel veri yönetimi için bir plan oluşturulmalı ve verilerin korunması ile ilgili süreçler belirlenmelidir.

1- Eğitim

2- Organizasyonun belirlenmesi

3- KVKK politikasının oluşturulması

4- Aydınlatma beyanlılarının oluşturulması

5- Açık rıza istenilmesi gereken durumların belirlenmesi ve açık rıza formlarının hazırlanması

6- Kişisel verilerin korunması ile ilgili risk analizinin yapılması

7- KVKK konusu ve bilgi güvenliği ile ilgili politikaların hazırlanması (Temiz masa, temiz ekran politikası, kabul edilebilir kullanım politikası)

8- Gizlilik sözleşmesi hazırlanması

9- Tedarikçiler ile gizlilik sözleşmesi hazırlanması

10- Veri envanteri hazırlama çalışmaları

11- Veri toplama amaçlarının belirlenmesi

KVKK kimleri kapsar sorusunun yanıtı aslında Kanunun 2. maddesinde belirtilmiştir.

Kişisel Verilerin Korunması Kanunu ( KVKK ) “kişisel verileri işlenen gerçek kişiler” şeklinde bir düzenlemeye gitmiştir. Buna göre 6698 sayılı Kanun gereğince koruma kişisel verileri işlenen gerçek kişileri kapsamaktadır. Gerçek kişiden kasıt hak ehliyetine sahip olan herkestir.

İlgili maddenin devamı uyarınca kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişilere de uygulanacaktır. Yani KVKK verileri işleyen kimseler bağlamında gerçek veya tüzel kişi ayrımına gitmemiştir.

Aynı zamanda tüzel kişiler bakımından özel kuruluşlar ile kamu kurum ve kuruluşları ayrımı da yapmamaktadır. Buna göre verileri işleyenler bağlamında 6698 sayılı Kanun hükümleri gerçek kişilerin yanında her türlü kurum ve kuruluşa da uygulanacaktır.

Kontrol
Kişi tespit bilgisinin mahremiyeti ve korunması, uygulanabilen yerlerde ilgili yasa ve düzenlemeler ile sağlanmalıdır.

Uygulama kılavuzu
Kişi tespit bilgisinin mahremiyeti ve korunması için bir kuruluşa ait veri politikası geliştirilmeli ve uygulanmalıdır.
Bu politika, kişi tespit bilgisinin işlenmesinde yer alan tüm personele bildirilmelidir. Kişisel mahremiyetin ve kişi tespit bilgilerinin korunmasına dair bu politikaya ve ilgili tüm mevzuata ve düzenlemelere uyum, uygun yönetim yapısı ve kontrol gerektirir.

Genellikle, mahremiyet yöneticis gibi bu işten sorumlu olacak bir kişinin atanması
ile iyi bir sonuç elde edilebilir. Bu kişi; yöneticilere, kullanıcılara ve hizmet sağlayıcılara kendi bireysel sorumlulukları ve takip etmeleri gereken prosedürleri hakkında rehberlik etmelidir. Kişi tespit bilgisini işlemek için sorumluluklar ve mahremiyet ilkelerinin sağlanması hususunda farkındalık, ilgili yasal ve üzenlemelere
uygun olarak ele alınmalıdır. Kişi tespit bilgilerini korumak için uygun teknik ve kurumsal önlemler alınmalıdır.

Diğer bilgiler
ISO/IEC 29100[25] standardı, bilgi ve iletişim teknolojisi sistemlerinde kişi tespit bilgisinin korunmasına yönelik yüksek seviyeli bir çerçeve sağlar. Bazı ülkeler, kişi tespit bilgisinin toplanması, işlenmesi ve iletiminde kontrolleri yerleştirmek için düzenlemeler yapmıştır. (Genellikle bu bilgilerden bilgilerin sahibi tespit edilebilir).
İlgili ulusal düzenlemelere bağlı olarak, bu tür kontroller kişi tespit bilgisini toplayan, işleyen ve dağıtan kişiler sorumluluklar getirebilir ve aynı zamanda diğer ülkelere kişi tespit bilgisinin transferi aktarılmasını imkânını sınırlayabilir.

YYS DANIŞMANLIK olarak; KVKK Danışmanlığı almak isteyen firmalara kurumlara Kişisel Verilerin Koruma Kanunu için eğitim, danışmanlık (Tüm Dokümanların Hazırlanması) hizmetleri vermekteyiz. KVKK Danışmanlık alacak Kurumun/Firmanın KVKK verbis kaydını sağlayarak KVKK işlemlerini yaparak firmaya kazandırılmasını sağlıyoruz.