KVKK (Kişisel Verileri Koruma Kanunu)
Uyum Danışmanlığı
ÖZEL YÖNETİM SİSTEMLERİ EĞİTİM DANIŞMANLIK OLARAK KVKK DANIŞMANLIĞIMIZDA
Bu süreci uygularken Özel Yönetim Sistemleri Eğitim Danışmanlık’tan KVKK uyum danışmanlığı hizmeti almak tüm organizasyonlara çok daha hızlı ve kolay bir adaptasyon süreci sağlayacaktır.
Özel Yönetim Sistemleri Eğitim Danışmanlık sunmuş olduğu danışmanlık hizmeti ile firmaların KVKK ile ilgili yapması gereken tüm çalışmaları planlamaktadır. Bu süreçte hazırlanması gereken tüm dokümanlarla ilgili şirketlere destek olmakta; konuyla ilgili eğitimler düzenlemektedir. Bu sayede şirketlerde bir KVKK kültürü oluşmasını sağlamakta ve kurumların kişisel verilerin yönetimi konusunda sürdürülebilir politikalar geliştirmesine yardımcı olmaktadır.
Teklif Talep Sözleşme Hazırlanması ve Onaylanması
Firmada Saha Kontrolü tarafımızca yapılması
Organizasyonun Oluşturulması
1. Kişisel Veri Sorumlusu Atanması
2. Veri İşleme Saklama Ve İmha Süreçleriyle Yeni Gelebilecek Rol Ve Sorumlulukları
3. Tedarikçilerin Ve Hizmet Sağlayıcıların Rolleri
4. Sürekli Eğitim Ve Farkındalık
5. Kurum KVKK Kurulunun Kurulması
Hukuk Olarak Yapılacaklar /Dikkat Edilecek Konular
1. Muvafakatname, Kişisel Veri, Veri Sorumlusu
2. Kişisel Verilerin İşlenmesi
3. Kişisel Verilerin Silinmesi, Anonimleştirilmesi
4. İlgili Kişilerin Hakları
5. Veri Sorumlusunun Yükümlülükleri
6. Kişisel Verilerin Aktarılması
7. Suçlar Ve Kabahatler Konusunda Bilgilendirme
Bilgi Güvenliği olarak Yapılacak Konular
1. Veri Sınıflandırma Ve Etiketleme
2. Kimlik Ve Erişim Yönetimi
3. Veri Gizliliği Ve Bütünlüğü Koruma
4. Veri Sızıntıları Koruma Ve Engelleme
5. Tedarikçi Güvenliği
6. Güvenlik İzleme Ve Değerlendirme
7. Güvenlik Standartları
8. Acil Durum Eylem Planları
9. Siber İncelemeler
10. Risk Analizi
Operasyon
1. Kurum Operasyon Modeli Ve İş Süreçlerinin Kanuna Uygun Olarak Tasarlanması
2. İlgili Politika Ve Prosedürlerin Oluşturulması
3. Müşteri Kurumsal İletişim Süreçleri
4. İnsan Kaynakları Süreçleri
5. Hizmet Sağlayıcıların Yönetimi
6. Kişisel Verilerin Yönetilmesi İle İlgili Müşteri Deneyimi
7. Kişisel Verilerin Korunmasına Yönelik Denetim Çalışmaları
8. Bilişim Sistem Güvenliğine İlişkin Denetim Çalışmaları
Veri Yönetimi (IT BİRİMİ)
1. Erişim Yönetimi
2. Veri Mimarisi
3. Veri İşleme Prosedürlerinin Bilgi Teknolojileri Bazında Değerlendirilmesi
4. Veri Saklama Yedekleme Ve Kurtarma Prosedürleri
5. Veri Keşfi
6. Raporlama
Teknolojinin gelişmesiyle gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bunun sonucunda da kişisel verilerin korunması ihtiyacı doğmuştur.
KVKK (Kişisel Verilerin Korunması Kanunu), kamu ve özel sektör kuruluşlarına kişisel verilerin işlenmesi konusunda birtakım sorumluluklar getirmektedir.
1970 de ilk veri koruma kanunu Almanya tarafından yayınlanmıştır. 1973 de İsviçre de 1978 de Fransa da veri koruma kanunları yayınlamıştır. O yıllardan bugünlere kadar birçok tasarı taslak kanun oluşturulmuştur. Ülkemiz de ise 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Ülkemizde 2016 tarihinde yürürlüğe giren 6698 sayılı KVKK, kişisel verilerin hangi koşullar altında nasıl işleneceğine dair kural ve esasları açıklamaktadır. Bu çerçevede kuruluşlar bu verilerin oluşturulması, saklanması, taşınması, değiştirilmesi ya da yeniden düzenlenmesi, katagorize edilmesi, silinmesi veya ortadan kaldırılması gibi durumlarda KVKK’daki prosedürleri takip etmek zorundadır. Büyüklüğü, sektörü, çalışan sayısı, ürün ve hizmet gamı fark etmeksizin her kuruluş belirli bir hacimdeki kişisel veriyi yönetmek zorunda kaldığından neredeyse her kurumun KVKK kapsamına girdiğini söyleyebiliriz. Bu bağlamda, kuruluşların kişisel veri yönetim sistemlerini KVKK’ ya uygun hale getirmesi gerekmektedir.
Teknolojinin günlük hayatın içine tamamen nüfuz ettiği günümüzde bireyin kimlik, iletişim, sağlık ve mali bilgileri, özel hayatı, dini inancı, siyasi görüşü gibi kişisel verilerinin mahremiyetini korumak büyük önem arz etmektedir. Kişisel veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da, bilgilerin istismar edilme riskini de beraberinde getirmektedir. Dolayısıyla bu iki menfaat arasındaki meşru ve makul dengenin kurulması gereklidir.
KVKK Uyum Danışmanlığı Kapsamı
KVKK’nın kapsamı oldukça geniştir ve tüm kuruluşlara önemli sorumluluklar ve görevler tanımlamaktadır.
Şirketler bu doğrultuda veri yönetim sistemlerinde önemli değişiklikler yapmak ve belirli kişileri bu sistemin ilgili fonksiyonları için yetkilendirme zorundadır.
Örneğin KVKK’daki veri sorumlusu ve irtibat kişisi tanımların doğru anlaşılması ve gerektiğinde bu kişilere, yasaya uygun şekilde yetkiler ve sorumluluklar vererek sürecin işletilmesi gerekmektedir.
Aynı şekilde VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) ile ilgili yapılması gereken çalışmalar mevcuttur. KVKK’ya göre kuruluşlar bu sistem üzerinden veri sorumlusu olarak atadığı kişilerin kaydını yapmak ve sistemin gerektirdiği birtakım bilgileri girmek zorundadır. Yasanın getirdiği veri yönetim sistemi hem dijital hem de yazılı dokümanlar ile çalıştığından kuruluşların her iki formatta da önemli birçok dokümanı hazırlaması ve işlemi gerçekleştirmesi gerekmektedir. KVKK uyum danışmanlığı hizmeti bu saydığımız tüm çalışmaların hızlı, doğru ve sürdürülebilir şekilde gerçekleştirilebilmesi için ihtiyaç duyulan kılavuz bilgileri ve yönlendirmeleri sağlamaktadır.
KVKK Neden Önemli?
Kişisel verilerin doğru bir şekilde yönetilmesi günümüzde tüm dünyada üzerinde yoğun bir şekilde durulan bir konudur. Yakın geçmişte Avrupa Birliği tarafından yayınlanan Genel Veri Koruma Yönetmeliği (GDPR) bu konuyla ilgili çok önemli bir gelişme olmuş ve diğer ülkeler için de bir teşkil etmiştir. KVKK de dünyadaki bu farkındalığın ülkemizdeki yansıması olmuş ve kuruluşlara kişisel veri yönetimi için çok önemli sorumluluklar vermiştir. Hatta bu konuda doğrudan Cumhurbaşkanlığına bağlı olarak Kişisel Verileri Koruma Kurumu kurulmuş ve KVKK ile ilgili uygulamaları ve gelişmeleri takip etmesi istenmiştir. Bu sayede yasada “kimliği belirli ya da belirlenebilir gerçek kişilere ilişkin her türlü bilgi” olarak tanımlanan kişisel verilerin hangi şartlar altında işleneceğine dair önemli bir çerçeve çizilmiş ve sürdürülebilir bir yol haritası yayınlanmıştır. Kurumlar da bir kurumsal sürdürülebilirlik gerekliliği olarak KVKK uyum danışmanlığı kapsamında faaliyetlerini bu yasaya göre düzenlemelidir.
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanunun kapsamı bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
KİŞİSEL VERİ NEDİR?
Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları kapsamaktadır.
Toplama veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.
• Organize etme/depolama: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir.
• Kullanma/değiştirme: Kişisel verilerin, görüntülenmesi de dâhil olmak üzere, her türlü kullanımı işleme sayılır.
• Aktarma: Kişisel verilerin çeşitli yöntemlerle iletilmesi.
• Yayma/erişilebilir kılma: Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.
•Engelleme/silme/yok etme/anonim hale getirme: Bunlar da bir işleme faaliyeti olarak kabul edilmektedir. Kişisel veriler otomatik veya otomatik olmayan yollarla işlenebilecektir:
KVKK KAPSAMINDA İŞLETMELERİN YAPMASI GEREKENLER
Kişisel verilerin sisteme işlenmesi
Veri Analizi
Kişisel Veri İşleme Envanteri
Kişisel verilerin ilgili çalışanın veya kişinin rızası alınarak sisteme işlenmesi
Aydınlatmanın gerçekleşmiş olması
Kişisel Veri Saklama ve İmha Politikası
Özel nitelikli kişisel verilerin işlenmesi hakkında yapılması gereklilikler
İşlemenin amaç ve süre ile sınırlı olması
Veri yükümlülüğüne ilişkin gereklilikler
Periyodik İmha Süresi
Periyodik İmha Süresi Belirleme
VERİ SORUMLUSU
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerekse de hukuki sorumluluk bakımından, tüzel kişilerin sorumluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir Danışmanlık şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama amacı,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı,
• Veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı.
Veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
• Kişisel verilerin hangi yöntemle saklanacağı,
• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemi.
GDPR (Genel Veri Koruma Yönetmeliği)
Hakkında Dikkat Edilmesi Gerekenler
Peki, siz GDPR' ın ne olduğunu biliyor musunuz?
GDPR nedir? GPDR açılımı nedir? İşte tüm detaylar.
Genel Veri Koruma Yönetmeliğinin (GDPR), yeni AB çerçevesi, tüm üye ülkelerdeki kuruluşlar için geçerlidir. Avrupa, Avrupa ötesindeki işletmeler ve bireyler için oldukça büyük etkileri vardır.
GDPR (General Data Protection Regulation), Avrupa Genel Veri Koruma Tüzüğü'dür. Avrupa genelinde, Avrupa Birliği vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş bir yönetmeliktir. GDPR, Avrupa Birliği sınırları içerisindeki vatandaşların kişisel verilerini barındıran bütün işletmeleri kapsamaktadır.
Genel Veri Koruma Yönetmeliği (GDPR), bir Avrupa Birliği (AB) yönetmeliği olup AB vatandaşlarının kişisel verilerinin korunmasını amaçlamaktadır. GDPR, kapsamı itibariyle AB ile ticari ilişkisi bulunan tüm kuruluşları ilgilendirmektedir. Henüz yeni sayılan bir tüzük olduğundan kişiler ve kurumlar için GDPR nedir, GDPR’nin açılımı nedir, Genel Veri Koruma yönetmeliği nedir, GDPR davranış kuralları nelerdir, GDPR ülkeleri hangileridir gibi birçok soru önem kazanmıştır. Bu yazımızda bu soruları cevaplandırmaya çalışacağız.
Teknolojinin gelişmesi ile beraber bilgi güvenliği ve gizliliği konusu çok daha önemli hale geldi. Bu nedenle hükümetler, vatandaşlarının ve kurumlarının bilgilerinin en güvenli şekilde işlenebilmesi için belirli yasal düzenlemeler yapmaya başladı. Ülkemizdeki KVKK (Kişisel Verilen Korunması Kanunu) da bunlardan biridir. Hatta bu nedenle sıklıkla KVKK GDPR karşılaştırması yapılmaktadır. AB de Avrupa Birliği Veri Koruma Tüzüğü çerçevesinde GDPR’ yi yayınlayarak bu konuda çok önemli bir adım attı. GDPR ile sadece kendi içerisinde değil, AB dışında faaliyet gösteren kurumlara da belirli sorumluluklar yükledi.
AB ülkelerinde yaşayan insanlara veya kurumlara ürün veya hizmet sunan şirketlerden GDPR’ye uyum sağlaması; bu kapsamda müşterilerinin kişisel verilerini GDPR’ye göre işlemesi beklenmektedir. Bu yüzden AB ülkeleri ile ticari ilişkileri bulunan her şirket KVKK GDPR eğitimi alarak süreç hakkında detaylı sahibi olmakta ve sorumluluklarını yerine getirmeye çalışmaktadır.
GDPR Kapsamı/ Temel Prensibi Nedir?
Yürürlüğe girdikten sonra kişisel verilerin yönetimi ile ilgili birçok yeni gelişmeyi, kural ve ilkeyi de beraberinde getirdi. GDPR’nin kişisel verilerle ilgili en önemli ilkeleri şunlardır:
Doğruluk
İstenen verileri en aza indirme
Depolama sınırlaması
Hesap verebilirlik
Hukuka uygunluk, şeffaflık ve adalet
Amaç sınırlaması
Bilgilerin bütünlüğü, gizliliği ve güvenliği
GDPR, şirketlerden özetle şu konularla ilgili birtakım gereklilikleri yerine getirmesini beklemektedir:
• Kişisel verilerin işlenmesi için verinin sahibinden izin / onay alınması
• Olası veri ihlallerine karşı veri sahibine ve ilgili yetkililere bildirimde bulunulması
• Verilerin bir yerden başka bir yere güvenli teknikler ve araçlar ile aktarılması
• Toplanan verilerin anonim hale getirilerek depolanması
• Kurumların kişisel veri yönetimi faaliyetlerinin GDPR ile uyumluluğunu denetlemek üzere yetkili birini ataması
GDPR Türkiye’de Geçerli mi?
GDPR yürürlüğe girdikten sonra, GDPR Kararları Türkiye’de geçerli mi, Türkiye GDPR ülkesi mi, GDPR Türkiye’yi kapsıyor mu gibi sorular da sorulmaya başlandı. Öncelikle şunu belirtmekte fayda var; GDPR, bir AB tüzüğüdür ve AB ülkelerinin vatandaşlarının kişisel verilerinin korunmasını amaçlamaktadır. Verilerin AB veya AB dışındaki bir kurum ile paylaşılmasında da aynı durum geçerlidir. Yani Türkiye’de faaliyet gösterip AB vatandaşlarının verilerini işleyen her kamu ve özel sektör kuruluşu GDPR uyum göstermelidir.
GDPR, biraz da yeni olmasından ötürü, birçok şirket tarafından henüz tam anlamıyla bilinmemektedir. Fakat AB ile ticari ilişkileri bulunan şirketlerin GDPR gereğince kişisel veri işleme sistemlerini ve uygulamalarını GDPR’ye uyumlu hale getirmelidir. Aksi takdirde birtakım cezalar söz konusu olabilmektedir. Alınacak ceza, ihlalin türüne ve süresine, uygulanan güvenlik önlemlerinin düzeyine, veri ihlalinden sonra atılan adımlara vs bağlı olarak değişebilmektedir.
GDPR Uyumluluğu Nedir?
GDPR uyumluluğu, AB üye ülkeleriyle ticari ilişkileri bulunan ve bu ülkelerdeki vatandaşlara ait verileri işleyen şirketleri ilgilendirmektedir. Bu şirketlerin veri işleme faaliyetlerinden ötürü GDPR uyumluluğunu sağlaması gerekmektedir. GDPR uyumluluğunu sağlamayan şirketlere uyumsuzluk türüne ve seviyesine göre çok ağır cezalar verilebilmektedir.
Uyumlu olmak için aşağıda yer alan maddeler dikkate alınmalıdır;
• Kuruluştaki önemli kişilerin GDPR'ın önemini ve onunla uyumluluğunu anladığından emin olmak gerekir.
• Eldeki kişisel verileri, nereden geldiğini ve kimlerle paylaşıldığı belgelenmelidir. Bunu yapmak için bir bilgi denetiminin düzenlenmesi gerekebilir.
• Mevcut gizlilik bildirimleri incelenmeli ve gerekli değişiklikler yapılmalıdır.
• Bireylerin kişisel verilerinin yaygın olarak kullanılan bir biçimde sunulması gereklidir. Kişilerin haklarının karşılanabileceğinden ve istek üzerine verilerinin silinebileceğinden emin olmak için prosedürlerin kontrol edilmesi gerekir.
• Prosedürlerin güncellenmesi icap eder, böylece gelen talepler gerekli zaman çizelgesi içinde halledilebilir.
• GDPR'daki veri işleme faaliyetinin yasal dayanağı belirlenmeli, belgelenmeli ve açıklamak için gizlilik bildirimleri güncellenmelidir.
• İzin alma, kaydetme ve yönetme şekli ve herhangi bir değişiklik yapılmasının gerekli olup olmadığı gözden geçirilmelidir.
• Bireylerin yaşlarının nasıl doğrulanacağı ve herhangi bir veri işleme faaliyeti için ebeveyn veya veli onayını nasıl alınabileceği üzerine düşünülmelidir.
• Kişisel bir veri ihlalini tespit etmek, bildirmek ve araştırmak için prosedürlerin olduğundan emin olunmalıdır.
• Veri koruma uyumluluğu için sorumluluk alacak biri belirlenmeli ve resmi olarak bir Veri Koruma Görevlisi atamasının gerekip gerekmediği üzerine düşünülmelidir.
• Birden fazla AB ülkesinde faaliyet gösteriliyorsa, önde gelen veri koruma denetim otoriteleri belirlenmelidir.
GDPR Eğitimi / GDPR’a yönelik farkındalığın olması
GDPR eğitimi, GDPR’ ye tabii olan şirketlerin alması gereken temel koşulu eğitimdir. Planlı ve sistematik bir eğitim süreci yapılmalıdır. Kuruluşun yeterliliklerinin artırılması ve veri koruma hedeflerine yönelik ilerleyebilmesine yardımcı olacak farkındalıklar ve eğitimler sağlanmalıdır.
Dokümantasyon, görev tanımı, personel yeterliliği, GDPR ile ilgili diğer mevzuatlar çok yönlü bir süreç olan GDPR için kritik öneme sahiptir. Bu nedenle şirketlerin özellikle bilgi güvenliği ve veri işlemeden sorumlu personellerine GDPR eğitimi aldırması gerekmektedir. Bunun yanında, şirket üst yönetiminin de GDPR konusundaki farkındalığını artırmak adına temel GDPR eğitimi almasında fayda vardır.
KVKK GDPR Nedir?
Kişisel veriler, Genel Veri Koruma Yönetmeliğinin (GDPR) merkezinde yer alır. Ancak, birçok kişi hâlâ "kişisel verilerin" tam olarak ne anlama geldiğinden emin değildir. Neyin kişisel veri olup olmadığına dair kesin bir liste bulunmamaktadır, bu nedenle her nokta GDPR'ın tanımının doğru şekilde yorumlanması ile alakalıdır:
"Kişisel veriler, tanımlanmış veya tanımlanabilir gerçek bir kişi(veri konusu) ile ilgili herhangi bir bilgi anlamına gelir.”
Bu bağlamda kişisel veri, gerçek kişiye ilişkin akla gelebilecek her türlü veriye denilebilir. Aşağıda yer alanlar kişisel veridir;
• İsim,
• Soy isim,
• Doğum tarihi,
• Doğum yeri,
• Adres,
• Anlık konum takibi,
• Ip adresi,
• Biyometrik veriler,
• Genetik veriler,
• Dini inanç,
• Irk,
• Etnik köken,
• Siyasi görüş
Belirlenebilir gerçek bir kişi, ismini ve soy ismini bilmediğimiz birinin, geri kalan bilgilerinden kim olduğunu çıkarabilmektir. Konuyla alakalı herhangi bir etkileşime geçilmeyen insanlar, sadece özel verilerin kişisel veri olduğunu düşünebilmektedir. Geri kalan bilgilerle alakalı bir anonimlik söz konusu olmasına gerek yok diye düşünebilirler. Akla gelebilecek en basit noktalar bile kişisel veridir, sadece gerçek kişiye ait olması yeterlidir.
GDPR ve KVKK Arasındaki Farklar
KVKK ile GDPR temelde aynı amacı taşıyan iki farklı düzenlemedir.
KVKK Türkiye için GDPR ise AB ülkeleri için geçerlidir.
KVKK ve GDPR’nin en önemli ortak özelliği ikisinde de aydınlatma metni bulunmasıdır. Bu metin, kişisel verisi talep edilen kişiye bilginin ne amaçla, ne zaman, nerede ve nasıl kullanıldığını anlatmaktadır. Kişisel veri işleyici taraf KVKK ve GDPR uyarınca bu metinleri ilgili kişi ya da kurumlara iletmek zorundadır. Bu metne istinaden kişisel verisi talep edilen kişiden verinin işlenmesi için açık rıza alınması gerekmektedir.
GDPR ve KVKK arasındaki farklardan en önemlisi iki yönetmeliğin uygulama alanlarında karşımıza çıkmaktadır. Bu bağlamda, GDPR’nin KVKK’ya göre daha geniş bir yetki alanı bulunduğunu söyleyebiliriz. Bunun yanı sıra, GDPR ve KVKK kapsamında özel görev tanımlamalarında da birtakım farklılıklar söz konusudur. KVKK’ daki veri sorumlusunun GDPR’deki karşılığı veri kontrolörüdür. Veri sorumlusu kişisel verilerin işlenmesi, toplanması, silinmesi, aktarılması vb gibi adımlardan sorumlu olurken veri kontrolörü GDPR’nin tüm temel ilkelerinden sorumludur.
GDPR ve KVKK arasındaki farklardan bir diğeri de cezai yaptırımlarla ilgilidir.
Genel olarak bakıldığında şirketin konumu Avrupa Birliği sınırları içerisinde bulunmasa bile, Avrupa Birliği içinde yerleşik olan vatandaşların verileri toplanırsa, bu şirket GDPR’dan sorumlu tutulur. Yönetmelikte belirtildiği şekilde yapılmıyorsa ya da ilgili kişiden yani kişisel veri sahibinden açık bir onay alınmıyorsa hiçbir kişisel veri işlenemez. Kişisel veri sahibinden onay alınmalı, kanunda ya da tüzükte belirtilen şartlar yerine getirilmeli ya da açık rıza alınmalıdır. Açık rıza iptal edilebilmektedir. Verilen rızayı geri alabilmek konusunda sıkıntı yaşanmaz. Rızanın geri alınması durumunda geçmişte rızaya yönelik alınan ya da işlenen her veri silinmek zorundadır.
Aydınlatma Metni Nedir?
Aydınlatma metni, aydınlatma yükümlülüğü ile alakalıdır. KVKK’da da GDPR’da da aydınlatma metni vardır. Aydınlatma metni; kişisel bir verinin işlenmesi durumunda, bu kişisel verinin neden, hangi amaçla ve nerede işleneceği, ne kadar sağlanacağı ve yasal dayanağının ne olduğu ile alakalı ya da yapılan kişisel veri ile alakalı yapılan işlemin ne olduğu ile alakalı ilgili kişiyi bilgilendirme, yani aydınlatma yükümlülüğü vardır. Aydınlatma yükümlülüğü de aydınlatma metinleri ile sağlanmaktadır.
Örneğin; kişisel bir veriyle alakalı açık rıza alınması gerekiyor. Bu durumda, rızanın alınmasından önce, verinin neden işlendiği ve veriyle ne yapıldığını anlatmak için bir aydınlatma metnine ihtiyaç duyulur. Kişinin bilgilenmesi ve rızasının özgür iradesiyle gerçekleşebilmesi için konunun ne olduğunu anlayabilmesi gerekir. KVKK kanunun üçüncü bölümü Haklar ve Yükümlülükler kısmında veri sorumlusunun aydınlatma yükümlülüğü vardır. Kişisel verilerin elde edilmesi sırasında veri sorumlusu, veri sahibi ilgili kişiye, aşağıdaki kriterlere uygun şekilde aydınlatma yapmalıdır;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi sebeple işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11. maddede sayılan diğer hakları konusunda bilgi vermesi
Aydınlatma metinlerinin veri toplama süreçlerinin tamamında ayrı ayrı hazırlanması gerekmektedir. İlgili sürece uygun olarak hazırlanmalıdır. Özetle, veri işlenirken ilgili kişiyi bilgilendirmek için kullanılan metinlere aydınlatma metni denir.
Yeni GDRP Düzenlenmesinde Dikkat Çeken Noktalar
En büyük değişiklik, şirketin bulunduğu yere bakılmadan Avrupa Birliği’nde ikamet eden kişilerin verilerini işleyen tüm tüketicilerin GDPR’a tabi olmasıdır. Avrupa vatandaşlarına hizmet sunan işletmelere GDPR uygulama alanı bulmaktadır. Bu şirketler için irtibat veri koruma görevlisi atanması zorunluluk hale geldi. Yaptırımlar ağırlaştırıldı.
Açık rızanın şartları güncellendi. Açık rıza, veri işlemenin amacına yönelik olarak anlaşılır ve kolay erişilebilir bir biçimde verilmesi çok önemlidir. Açık dille, sade bir şekilde, konuyu diğer konulardan açık ve ayırt edilebilir bir şekilde belirtilmelidir. Net olarak hangi kişisel amaç için ceza verildiğine yönelik bir ayrımın olması gereklidir. Her bir konu için ayrı ayrı rızaların yazması icap etmektedir. Geri alınması basit olmalıdır. Açık rıza metni; açık, anlaşılır ve sade olmalıdır.
Açık rızanın amaca uygun olarak verilmiş olması, yalın ve açık bir şekilde anlaşılması, neye açık rıza verildiğinin belirgin olması, rızanın alınmasının yolunun da kolay olacağı şekilde olması gerekmektedir. “Açık rıza veriyorum”. şeklinde bir tikleme olduğunda, “Açık rıza vermiyorum.” şeklinde de bir tiklemenin de olması çok olumlu olabilir. Hizmete bağlı bir durum olmadığını bize ifade etmektedir. “Açık rıza vermiyorum.” şeklinde de bir tiklemenin oluşturulmaması, karşı tarafı zorunda bırakıyormuş gibi bir algı oluşturabilir. “Ben bu açık rızayı istemiyorum.” kısmının da olması, bu seçeneğin gerçekten var olduğunu karşı tarafa daha fazla hissettirmektedir. Olumsuz kısmında açık rıza metninin altında yer alması oldukça önemsenilmektedir.
Bir şirketin açık rıza metni açık ve anlaşılır değilse, bu şirket Kişisel Verileri Koruma Kurumu’na şikâyet edilebilir. Kurum denetime geldiği sırada açık rıza metninin yalın olmadığı anlaşılabilir ve bunun doğru bir rıza olmadığını söyleyebilir. Açık rıza metni anlaşılır değilse, yani kişisel veri faaliyetine bağlanan bir yanlışlık söz konusuysa geçersizlik söz konusu olacaktır ve bu durumda işletmenin açık rıza metnine bağlı olarak işlediği kişisel verileri işlememesi gerektiği ortaya çıkacaktır. Açık rıza metni uygun olmamasına rağmen kişisel veriler işlendiği takdirde ise ise ağır cezalar uygulanacaktır. Miktar hakkında kesin bir şey söylenilmesi mümkün değildir. Ceza, kurumun takdirine bağlı olarak değişkenlik gösterebilir. Kısacası, cezasal durumlar söz konusu olabilir.
GDPR Yönetim Sürecinde Püf Noktalar Nedir?
Dokümantasyon Yönetimi
Dokümantasyonların yönetilmesi, izlenebilirliğinin ve güvenli erişilebilirliğinin sağlanması gerekir.
İlgili tarafla iletişimin güçlü olması
En etkili iletişim nasıl olacaksa, gelişme nasıl yönlendirileceğinin bulunması ve sağlanması, kurulun belirli bir iletişim stratejisi olması ve ilgili kişiyle sürekli temas halinde olunması gerekir. İletişimin araçlarının ne olduğu da çok önemlidir. Broşürler, posterler, reklamlar, basın toplantıları ve e posta gibi alakalı iletişim araçları kullanılabilir. İletişim yaklaşımları seçilirken hedef kitlenin ne olacağı, ihtiyaçlarının ne olduğu ve ilgi seviyesinin ne kadar olduğu belirlenmelidir. İletişimle alakalı değerlendirilmeler yapılmalıdır. İletişimin etkilerini görmek için yeterli süreye sahip olunmalıdır.
İhlal Yönetimi
Bir ihlal olduğu zaman ihlal olayının nasıl yönetileceğine yönelik bir tüzük, prosedür belirlenmesi icap etmektedir. Mümkün olduğu derecede tüzük uygulanmalıdır. Önce planın hazırlığı sonra ise müdahalenin nasıl gerçekleşeceği ve takibin devamının da getirilmesi oldukça önemlidir.
GDPR Hangi Şirketleri Etkiler?
GDPR genel olarak, Avrupa Birliği’nde yerleşik kişilere yönelik verilerin işletmeler tarafından tutulması durumunda varlığını sürdürebilir. İşletme, Avrupa Birliği’ne mal ya da hizmet sağlıyorsa, şirket GDPR’a tabiidir. Şirketin küçük olup olmadığının önemi yoktur. Verilerin kime ait olduğu ve hangi ülkenin vatandaşının verisi olduğu önemli olan noktadır. Amerika’da kapsamlı bir durum söz konusu değildir. Örneğin şu anda günümüzde olan WhatsApp ile ilgili gizlilikle alakalı güncellemenin Avrupa Birliği ülkelerine dayatılamamasının temel sebebi de GDPR’dır. Türkiye, Avrupa Birliği üyesi olmadığı için WhatsApp bize bu gizlilik ile alakalı güncellemeyi dayatmaktadır.
GDPR’a Uyulmazsa Ne Gibi Cezalar Uygulanır?
Para cezaları her vaka için etkili, orantılı ve caydırıcı olmalıdır. Cezanın değerlendirilip değerlendirilemeyeceği ve hangi düzeydeki cezanın değerlendirilebileceğine dair yetkililerin kararları için dikkate almaları gereken bir yasal kriter kataloğu vardır. Diğer şeylerin yanı sıra; kasıtlı ihlal, meydana gelen zararı hafifletmek için önlem alınmaması veya yetkililerle işbirliği yapılmaması cezaları artırabilir.
Konunun ne kadar önemli olduğu, ne kadar dikkat edilmesi gerektiği, kamuoyunun bilinmesi ve buna yönelik önlemler, kapsamlar geliştirilmesi amacıyla cezalar yüksek tutulmaktadır.
GDPR cezaları zorunlu olmaktan ziyade isteğe bağlıdır. Durum bazında uygulanmalı ve “etkili, orantılı ve vazgeçirici” olmalıdır. Alabileceğiniz herhangi bir para cezası aşağıdakilere bağlı olacaktır;
• İhlalin türü, ne kadar şiddetli olduğu ve ne kadar sürdüğü
• Kasıtlı veya tesadüfi olup olmadığı
• Bireylere (veri sahipleri) verilen zararı azaltmak için gerçekleştirdiğiniz eylemler
• Güvenlik önlemleriniz
• Bunun ilk GDPR ihlaliniz olup olmadığı
• Sorunu çözerken ne kadar işbirlikçi davrandığınız
• İlgili kişisel veri türleri
• Denetim otoritesine kendiniz bildirip bildirmediğiniz
• Onaylanmış davranış kurallarına veya sertifika programlarına uyup uymadığınız.