KVKK Danışmanlığı: KVKK Uyum Süreci ve 6698 sayılı Kanun Kapsamında Alınması Gereken Tedbirler

KVKK Danışmanlığı: KVKK Uyum Süreci ve 6698 sayılı Kanun Kapsamında Alınması Gereken Tedbirler - Kayseri Avukat - Av. Zülküf Arslan Hukuk Bürosu

KVKK Danışmanlığı ve KVKK Uyum Süreci

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ülkemizde kişisel verilerin korunması özelinde yürürlüğe giren ilk resmi kanun olma özelliğini taşımaktadır. Kişisel Verilerin Korunması Kanunu kapsamında, özellikle firmalar için yeni yasal sorumluluklar ortaya çıkmıştır. Genel hatlarıyla Avrupa Birliği’nde uygulanan kişisel verilerin korunmasına ilişkin mevzuat ile uyum gösteren 6698 sayılı Kanun (KVKK), AB yasalarına benzemekle birlikte tam bir kopyası değildir. Daha ziyade, AB yasaları ile Türkiye yasalarının birbirleriyle uyumu korunmak suretiyle, kişisel verileri koruma üzerine geliştirilmiş ulusal veri koruma kanunu olarak tanımlanabilir. Zira Kişisel Verilerin Korunması Kanunu, Türk Ceza Kanunu ve T.C. Anayasası’nda yer alan hükümler doğrultusunda son şeklini almıştır. Şirketlerin, kişisel verileri saklaması, işlemesi ve kullanmasına ilişkin birçok adımda, Kişisel Verilerin Korunması Kanunu’na riayet etmeleri zorunludur. Bununla beraber 50 kişi üzerinde çalışana ya da yıllık 25 Milyon TL Yıllık Mali Bilançoya sahip firmalara VERBİS kayıtlarını oluşturması zorunluluğu getirilmiştir. VERBIS kaydı da dahil olmak üzere Kanun ve mevzuat hükümlerine aykırılık halinde ilgili şirketlere 1.500.000 TL’ye kadar ciddi cezai yaptırımlar uygulanmaktadır.

Kanun’da belirtilen kriterler, şirketler tarafından genellikle VERBİS kaydı zorunluluğu noktasında dikkate alınmaktadır. VERBİS kaydından istisna olunması 6698 sayılı Kanun (KVKK)’dan da istisna olunduğu anlamına gelmemektedir. Firma ve şirketler tarafından KVKK kapsamında Kişisel Verilerin Korunması Politikasının oluşturulması ve aydınlatma yükümlülüğü dahil olmak üzere gerekli sözleşme metinlerinin düzenlenmesi, envanter hazırlığının yapılması gerekmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişilerin en temel haklarından biri olan özel hayatın gizliliği, kişisel verilen kişinin izni olmadıkça paylaşılmaması gibi hakları korumak adına yürürlüğe giren bir kanundur. Bu kanun, firmaları belirli kurallar çerçevesinde sınırlandırarak, özellikle de kişisel verileri işleyen firmalara yükümlülükler getirmiş ve uyacakları kuralların çerçevesi çizilmiştir. Bu kapsamda son dönemlerde pek çok firma ve şirket Kişisel Verilen Korunması Kanunu (KVKK), konusunda oldukça etkin çalışmalar yaparak, işletmelerine daha kurumsal bir yapı kazandırmak için uğraşmaktadır.

Kişisel Verilerin Korunması Kanunu, temel olarak kişilerin temel hak ve özgürlüklerini koruyarak, ister tüzel ister gerçek kişiler olsun, hepsinin yükümlülüklerini ve uyacakları usul ile esasları düzene koymayı amaçlar. Bu noktada, uzun süredir online sistemlerde ya da telefon görüşmelerinde de duymaya alıştığımız şekilde, kişilere Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında verilerin kayıt altına alındığını önceden bildirmek, yani açık olarak rızasını almak zorunlu hale gelmiştir. Bu Kanun ile birlikte, kişisel veriler kişinin rızası olmadığı takdirde işlenemez ve başkalarına aktarılamaz. Aksi takdirde yasal olarak suç işlenmiş olacaktır.

Şirketlerin KVKK uyum süreci, şirketin KVKK kültürünün oluşturulması, bu yolda izlenmesi gereken yöntemler, alınması gereken önlemler ve aksiyon planlamalarını kapsamaktadır. Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılında yürürlüğe girmiş ve 2 yıllık uyum sürecinin ardından Kanun’un tüm hükümleri Nisan 2018 tarihi itibariyle uygulanır hale gelmiştir. Bununla birlikte dünya genelinde yapılan ilgili düzenlemeler de dikkate alınarak kişisel verilerin korunması ve işlenmesi ile ilgili yasal düzenlemeler oluşturularak uygulamaya geçirilmiştir.

Zülküf Arslan Hukuk Bürosu olarak; KVKK Uyum Süreci ile ilgili olarak İdari, Hukuki ve Teknik Danışmanlık hizmetleri sağlıyor ve firma ve şirketlerin Kanun ve mevzuat hükümlerine uyumlu hale gelecek sistemsel düzen kurulması bağlamında danışmanlık ve eğitim hizmetleri sağlamaktayız. KVKK Danışmanlığı Hizmetimizle ilgili süreç ve içerik detayları hakkında sorularınız ve randevu talebiniz için Hukuk Büromuz ile iletişime geçebilirsiniz.

KVKK Kapsamında Şirketlerin Alması Gereken Tedbirler

İşletmeler KVKK hakkında pek çok çalışma yaparken, alınması gereken hem hukuki hem idari boyutta önlemler vardır. Ancak bunların yanı sıra, aynı zamanda sistem yöneticileri tarafından alınması gereken teknik tedbirler de bulunmaktadır. Bu teknik tedbirler, kişisel verilerin güvenliğini sağlamak için en önemli konu başlıklarından birisidir.

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında alınması gereken teknik tedbirler şunlardır:

1) Kimlerin hangi verilere ne koşulda ulaşabileceğini gösteren yetki matrisi çıkarılmalıdır.

2) Bir kurumda, kişisel veriler içeren sistemlere herkes tarafından erişimi engelleyebilmek adına erişimin sınırlı olması gerekir. Bunu sağlayabilmek için ise, yetki kontrolü sistemi kurulmalıdır. Yani, bir işletmedeki çalışanlar, yaptıkları iş ve görevler çerçevesinde gerek olan ölçüde veriye ulaşmalıdır. Bu verilere ulaşmak için ise, bir güvenlik duvarı oluşturularak, yetkili kişinin tanınabilmesi için kullanıcı adı ve şifre kullanılmasını sağlayacak bir sistem kurulmalıdır.

3) Erişim logları oluşturulmalıdır. Yani, bir veri için bir sisteme giriş yapıldığında, güvenlik duvarının gereğince sisteme hangi tarihte ve saatte, hangi IP adresinden giriş yapıldığının loğları oluşturulmalı yani kayıtları tutulmalıdır. 

4) SIEM yani Güvenlik Bildirimi ve Olay Yönetimi ile kullanıcı hesap yönetimi sağlanmalıdır.

5) Ağ güvenliği ve ardından da bu sistemin uygulama güvenliği oluşturulmalıdır.

6) Uygun bir alt yapı ile şifreleme yapılarak, sızma testi ile sistemin güvenilirliği kontrol edilmelidir.

7) Eğer ki bir siber saldırı olursa neler yapılabileceği ile ilgili önlem planları oluşturulmalıdır. Siber saldırı olmaması için varsa sistem açıkları hızlıca kapatılmalı ve bir saldırı olursa nasıl tespit edileceği belirlenmelidir.

8) Verileriniz korunmalıdır. Bunu sağlayabilmek için ise, öncelikle veri maskeleme işlemi nasıl yapılabilir diye üzerinde çalışılmalı ve ardından da veri kaybını önleyebilme adına sistemler geliştirilmelidir. Elde edilen verilerin korunabilmesi ve kaybolmaması, sistem sürekliliği açısından elzemdir. Veri kaybının önüne geçmek için yedekleme sistemleri geliştirilmelidir.

9) Güvenlik duvarları test edilmeli, iyi bir güvenlik duvarı kurulduğundan emin olunmalı, bu sistemler de güncel anti-virüs programları ile desteklenmelidir.

10) Kişisel verileri saklanan ilgili kişi, kendisine ait kişisel verilerin silinmesini ve yok edilmesini veyahut anonim hale getirilmesini yani kişisel verilerin başka verilerle eşleştirilmesi durumu olsa dahi kimliklerinin gizlenmesini talep edebilir. Bu nedenle, veri sorumlusu böyle bir talep gelmesi durumunda, verilerin tamamen kullanılamaz hale gelmesi için bir sistem kurmakla yükümlüdür.

11) Bilişim alanında şifreleme sistemi, şifreleme anahtarlarının yönetimi ile sağlanabilmektedir. Veri sorumlusu, anahtar yönetimini uygulamakla yükümlüdür. Kullanıcıların bir sistemin erişimi için bu anahtarları kullanmalıdır. Bu anahtarların üretilmesi, gerektiği durumda değiştirilmesi, güvenli şekilde saklanması, gerektiği durumda imhası yapılmalıdır ve bu da Kişisel Verilerin Korunması Kanunu (KVKK) gereğince alınması gereken teknik tedbirlerdendir.

KVKK Sistemi Kurulması

Kişisel verilerin korunmasını sağlayabilmek amacıyla, kurum ve kuruluşlar alanında uzman ve bu sistemi en etkin şekilde uygulayabilecek profesyoneller ile çalışmak isterler. Bu durumda, Kişisel Verilerin Korunması Kanunu (KVKK) hakkında danışmanlık alarak sistemi en iyi şekilde kurabilirler.

Kişisel verilerin korunması için verilen danışmanlık kapsamları aslında üç aşamalıdır ve bu aşamaların hepsi uygun şekilde tamamlandığında, kişisel veriler korunabilmektedir.

1) Hukuki Danışmanlık

2) Süreç Danışmanlığı

3) Teknik Tedbirler Hakkında Danışmanlık

Bu aşamaları başarı ile tamamlayabilen firmalar, kişisel verilerin güvenliğini sağlayarak, ticari hayatında da pek çok avantaj sağlarlar. Bu avantajlar sıralanacak olursa;

Farkındalık yaratılmış olur.

İş ilişkilerinde ortaya çıkabilecek olumsuz senaryolar azalır ve bilinç artar.

Verilere daha hızlı, kolay ve uygun koşullarda erişim sağlanabilir.

Verileri sınıflandırma şansı elde edilir.

İş sürekliliği sağlanır.

KVKK Danışmanlığı ve Kapsamı

KVKK Danışmanlığı hizmeti kapsamında oluşturulacak çalışma planı, firma ve şirketlere göre farklılık göstermekle birlikte genellikle 6 aylık veya 1 yıllık sözleşmeler çerçevesinde yapılmaktadır.

KVKK Bilgilendirme Süresi

Ön bilgilendirme ve iş planı dahilinde yapılacak çalışmaların bilgisinin verildiği bilgilendirme toplantısının üst yönetim ile yapılması ve konunun özet bilgisinin aktarılması.

Birimler arası eş zamanlı gerçekleştirilecek çalışmaların planlama, uygulama ve takibini yapacak proje ekibinin oluşturulması ve görev dağılımının belirlenmesi

Proje takviminin oluşturulması

Proje ekibinin detaylı eğitime alınması ve örnek çalışmalar paylaşılarak birimlerin iş planlarının belirlenmesi

İş Planının Belirlenmesi

Firmanın faaliyet alanına bağlı olarak yapılacak çalışmaların belirlenmesi ve iş planına dahil edilmesi

Mevcut durum analizinin yapılması ve ön rapor hazırlığı

Firmada KVKK kapsamında saklanan tüm verilerin kaynağının belirlenerek analizlerinin gerçekleştirilmesi

IT Birimi/Danışmanı ile teknik durum analizinin gerçekleştirilmesi ve ön rapor hazırlanması

Proje ekibine envanter hazırlık ön eğitiminin verilerek, görev tanımları dahilindeki çalışmaların tamamlanması için terminlerin belirlenmesi

KVKK Uyum Çalışmalarının Gerçekleştirilmesi

Ön hazırlık çalışmalarını tamamlayan proje ekibi ile birimler özelinde dokümantasyon ve uyum çalışmalarının gerçekleştirilmesi

Firma sahibi / yetkilisi ile analizlerin paylaşılması ve uyum süreci için (varsa) alım yapılması gereken ürün/hizmet/eğitimlerin tavsiyelerinin bildirilmesi, talep edilirse organizasyonlarının yapılması

İnsan Kaynakları, Finans, Satın Alma, Satış, Üretim vb. tüm birimleri ile firmada toplanan verilerin gözden geçirilmesi ve KVKK kapsamında yapılacak olan düzenlemelerin örnek dokümanlarla (çalışan/personel sözleşmeleri, muvafakatnameler, tedarikçi sözleşmeleri, müşteri bilgileri, açık rıza metinleri vb.) düzenlenmesi için gerekli eğitimlerin verilmesi

Çalışanlara verilecek eğitimlerin takviminin hazırlanması, eğitim dokümanları hazırlanarak proje ekibi eğitim sorumlusuna teslimi

IT Birimi ile alınması gereken teknik önlemler ve yapılacak değişikliklerin iş planı takibinin yapılması

Firma web sitesi ve sosyal medya hesaplarının KVKK ile uyumlu hale getirilmesi için yapılması gereken düzenlemelerin bilgisinin verilmesi

Kamuoyu Aydınlatma Metni Hazırlanması ve gerekli mecralarda paylaşılmak üzere ilgili birimlere iletilmesi

VERBİS Kayıt Süreci Danışmanlığının Yapılması

Envanter hazırlığı danışmanlığı

Hazırlanmış envanterlerin kontrolü ve onaylanması

Veri İrtibat Kişisi seçimi, eğitimlerin verilerek atamasının gerçekleştirilmesi

Kayıt süreci desteği

Değerlendirme ve Sonuç

Proje başlangıç ve mevcut durum karşılaştırılmaları sunumu

Proje ekibinin sürdürülebilir KVKK uyum ile ilgili rutin iş planlarına ekleyecekleri sistemsel çalışmaların üstünden geçilerek onaylanması

Altı haftalık periyotlar ile yapılacak değerlendirme toplantısı takviminin belirlenmesi

KVKK Uyum Süreci

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ve uyum sürecinin tamamlanmasının ardından 3 ayrı yönetmelik yayınlanmış ve Kişisel Verileri Koruma Kurulu oluşturulmuştur. Böylece şirketlere kişisel verilerin korunması konusunda çalışma mecburiyeti doğmuştur. Bu kültürü oluşturma adına şirketlerin eğitim almaları, önlemler almaları ve çalışanları ile muvafakat nameler yapma zorunluluğu gibi çeşitli zorunlulukları doğdu. Ayrıca şirketlerin tedarikçileri, iş ortaklığı yaptığı firmalar ve şahıslar ile akdedilen tüm sözleşmelerinde Kişisel Verilerin Korunması Kanunu çerçevesinde maddeler eklemesi gerekmektedir.

Resmi Gazete’de yayımlanan “Veri Sorumluları Hakkında Yönetmelik” hükümleri gereğince VERBİS sistemine uygun çalışmaların planlanması ve VERBİS sistemine kayıt aşamasında veri haritasının çıkarılmış olması zorunluluğu bulunmaktadır.

KVKK uyum süreci ve şirket kültürünün oluşturulması, şirketler için farklı fazlar şeklinde uygulanmaktadır. Bu süreci maddeler halinde inceleyecek olursak;

Kişisel Verilerin Korunması Kanunu uyum sürecinin ilk fazı temel altyapıyı oluşturma süreçleri ile geçmektedir. Bu süreç firmalara göre değişiklik göstermekle birlikte ortalama 8 ay gibi bir sürede tamamlanır.

KVKK Uyum süreci kapsamında ikinci fazda işverenin karşılaşabileceği önemli durumlar hakkında rehberlik ve yol gösterim hizmeti çalışması yapılmaktadır. Bu faz tahmini olarak 12 ay gibi bir sürede tamamlanır.

Uyum süreci boyunca uygulanan farklı analiz alanları da bulunmaktadır. Bu alanlar:

Veri sorumlusu atanması,

Kişisel veri envanteri oluşturması,

Eğitimler (Farkındalık vb. gibi),

Politikaların ve aydınlatma metinlerinin hazırlığı,

Veri düzenlemesi,

Veri sorumlusunun siciline kaydın geçişi,

Sistemsel ve fiziksel güvenlik önlemlerinin oluşturulması.

Şirketlerin KVKK Mevzuatları Karşısında Yapması Gerekenler

KVKK için oluşturulan Veri Koruma Kurulu ile denetimlerin başlatılması öncelikli adımlar arasında yer almaktadır. Mevzuatlar karşısında yerine getirilmesi gereken birçok çalışma bulunmaktadır. Bu çalışmaları efektif ve pratik şekilde şirketler hukukuna hâkim profesyoneller ile yapmak hayati önem taşımaktadır. Ayrıca bilişim yönünde de şirketlerin yerine getirmesi gereken hükümlülükler bulunmaktadır. Şirketlerin zamanla biriken verilerin güvenliğini sağlama konusunda da çalışmalar gerçekleştirmesi gereklidir. KVKK gereğince verilerin oluşturulması, depolanması, saklanması ve yok edilmesi aşamaları belirli bir plan eşliğinde olmalıdır. Bu plan dahilinde güvenlik ve gizlilik politikalarının da oluşturulması oldukça önemlidir. Üçüncü şahıslar, kötü niyetli saldırılar gibi dış etkenlere karşı korumanın üst seviyede olması gereklidir.

Bu sebep ile bilişim alanında şirketlerin altyapılara daha fazla önem vermeleri gerekmektedir. Kişisel Verilerin Korunması Kanunu esasında,

Siber Güvenlik,

Kişisel Veri Güvenliğinin bilişim alanı takibi,

Kişisel Verilerin yer aldığı ortamların güvenliği,

Doğru şekilde bulut depolaması yapma,

Geliştirme ve bakım,

Kişisel Veri yedeklemesi

gibi konulara şirketlerin önem vermesi oldukça önemlidir. Oluşturulacak ekibin yanı sıra şirketin İT ekibinin de gözetiminde bu işlemlerin ilerlemesi gerekmektedir.

Şirketlerin KVKK Kültürünün Oluşturulması ve Uyum Süreci, tüm şirket ve kurumlar için ciddiye alınması gereken konular arsında yer almaktadır. Gerekli kültürü oluşturma ve uyum sürecinde işin uzmanı ekipler ile çalışmalar gerçekleştirmek ve üzerinde durmak son derece önemli hususlar arasında yer almaktadır.

KVKK Mevzuatlarına Aykırı Davranma Halinde Ceza Verilmesi

Kişisel Verilerin Korunması Kanunu  ile KVKK kapsamındaki ilgili mevzuat hükümlerinin yerine getirilmemesi durumunda verilebilecek hapis cezaları ile para cezaları Kanun’un 17. ve 18. maddelerinde belirtilmiştir. Kanun’un 17. maddesine göre kişisel verilerin silinmemesi ve anonim hale getirilmemesi durumunda Türk Ceza Kanunu gereği 1 ila 2 yıl arasında hapis cezası verilmektedir. Ayrıca Kişisel verilerin hukuka aykırı olarak kaydedilmesi durumunda ise 1 ila 3 yıl arasında hapis cezasının olduğu belirtiliyor. Kanun’un 18. maddesi gereğince yükümlülük ihlali durumunda 100.000 TL’ye kadar para cezası verilmektedir. Bunun dışında veri sorumlularının sicil kaydının gerçekleştirilmemesi durumunda ise 1.000.000 TL’ye kadar para cezasına şirketler çarptırılmaktadır.

Şirketlere KVKK Mevzuatlarına aykırılık durumunda uygulanan bu cezalardan sorumlu kişiler ise şu şekildedir:

Yönetim Kurulu Başkanı

Yönetim Kurulu Üyeleri

Genel Müdür / Şirket Müdürü

İmza sirküleri ile yetkilendirilen birim müdürleri ve şirketi doğrudan veya dolaylı olarak temsil yetkisi olan kişiler.

KVKK Kapsamında Aydınlatma Metni ve Açık Rıza Metni Hazırlanması

Aydınlatma Metni Hazırlanması

Aydınlatma Metni; 6698 sayılı Kişisel Verilerin Korunması Kanunu  kapsamında; kişisel verilerin elde edilmesi, kaydedilmesi, saklanması, güncellenmesi, sınıflandırılması, mevzuatın izin verdiği üçüncü kişilerle paylaşılması veya onlara devredilmesi gibi konularda mevzuata uygun olarak yapılan açıklama olarak ifade edilebilir. 6698 sayılı Kanun (KVKK)’da kişisel verileri işleyenler ve kişisel verileri işlenenler ile ilgili maddeler vardır. Bu maddeler kapsamında özetle şu söylenebilir ki; kişisel verileri işleyen gerçek veya tüzel kişi, kişisel verilerini işlediği kişiyi bir aydınlatma metni ile aydınlatmalı ya da aydınlatmanın yapılmasını sağlamalıdır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye veri sorumlusu denilmiştir. Veri sorumlusunun aydınlatma yükümlülüğü Madde 10’da şu şekilde belirtilmiştir;

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

Veri sorumlusunun ve varsa temsilcisinin kimliği,

Kişisel verilerin hangi amaçla işleneceği,

İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel veri toplamanın yöntemi ve hukuki sebebi,

6698 sayılı Kanun (KVKK)’un 11 inci maddesinde sayılan diğer hakları (ilgili kişinin hakları),

konusunda bilgi vermekle yükümlüdür. Bu kapsamda, bir aydınlatma metni yukarıdaki hususları içermelidir.

Ayrıca aynı Kanun’un 11’inci maddesinde ise ilgili kişinin (kişisel verisi işlenen gerçek kişi) hakları şu maddelerle belirtilmiştir;

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

Kişisel veri işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

Kişisel verilerin silinmesini veya yok edilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Ayrıca söz konusu kanunda; bu kanunun 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında “5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir” olarak belirtilmiştir. Bu hususlar dikkate alınarak bir aydınlatma metni hazırlanabilir.

Açık Rıza Metni Hazırlanması

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda bahsedilen bir diğer konu da; “Açık Rıza” kavramıdır. Söz konusu kanunda bu kavram; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.” şeklinde belirtilmiştir. Bu kapsamda, bu tanıma ve söz konusu kanuna uygun olarak hazırlanan metin Açık Rıza Metni olarak adlandırılabilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda açık rıza kavramının tanımı yapılmış ancak açık rıza metni tanımından bahsedilmemiştir. Ayrıca söz konusu kanunda, bu metnin nasıl hazırlanacağını adım adım anlatan bir madde bulmak mümkün değildir. Ancak, 6698 sayılı Kanun (KVKK)’da açık rıza kavramı ile ilgili düzenlemeler dikkate alınarak bir Açık Rıza Metni hazırlanabilir. Açık rıza metni hazırlanırken aşağıdaki metinler örnek alınabilir:

“Kişisel verilerimin 6698 sayılı Kanun (KVKK)’a uygun olarak saklanmasını ve işlenmesini kabul ediyorum.”

“Kişisel verileriniz, size daha iyi hizmet verebilmek için toplanmaktadır. Bu bilgiler sadece kurumumuz tarafından saklanıp işlenecektir. Veri temsilcimize ulaşarak sizinle ilgili veriler için erişim, değişiklik ve imha talebinde bulunabilirsiniz. Bu kapsamda kişisel verilerinizin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak saklanmasını ve işlenmesini kabul ediyor musunuz?”

Veri Envanter Listesi Hazırlanması

Kişisel verilerin işlenmesi ile ilgili 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında yapılan ikincil düzenlemeler arasında en önemli olanları, Veri Sorumluları Sicili Hakkında Yönetmelik ile Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesi Hakkında Yönetmelik’tir. Bu düzenlemeler ile, veri sorumlularına bazı yükümlülükler getirmektedir. Bunlar arasında en önemli olanlardan biri de kişisel veri işleme envanteri hazırlama yükümlülüğüdür. (KVKK kapsamında Veri Sorumlularının Yükümlülüklerine ilişkin makalemize sitemizden ulaşabilirsiniz.)

Kişisel Veri İşleme Envanteri

Söz konusu envanterin tanımı ilgili Yönetmelikte şu şekilde tanımlanmıştır: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteridir. Oldukça detaylı ve uzun bir tanımı yapılan kişisel veri işleme envanteri hakkında şu önemli hususları belirtebiliriz:

Veri sorumluları, kişisel verilen işlenmesinde tüm süreçleri değerlendirmeli.

Tüm faaliyetleri detaylandırmalı.

Kişisel veri sınıfına giren tüm bilgileri ayrı ayrı belirtmeli.

Bu verilen neden işlendiğini ve bu yaparken takip edilen hukuki prosedürlerin neler olduğunu açıklamalı.

Bilgiler bir yere aktarılıyorsa, kime, neden ve ne zaman aktarıldığı bilgisine yer vermeli.

Kişisel verilen saklanma süresini ve korunması için alınan güvenlik önlemlerinin neler olduğunu belirtmeli.

Kişisel veri işleme envanteri , veri sorumluları tarafından hazırlanan ve yukarıda belirtilen konuları kapsayan bir rapordur. Envanterin sahip olması gereken özellikler, nasıl hazırlanması gerektiğine dair de önemli konuları belirtmektedir.

Kişisel Veri İşleme Envanteri Hazırlanması

Envanter hazırlık sürecinde yapılması gerekenleri şu şekilde özetleyebiliriz:

Kişisel verilerin tespit edilmesi

Bu verilen hangi özelliklere sahip olduğunun belirlenmesi; örneğin, kimlik bilgileri, sağlık bilgileri, üye olunan kuruluşlar, iletişim bilgileri, özlük bilgileri vs.

Bu verilerin neden işlendiğine dair hukuki bir dayanağın belirlenmesi

Veri işleme amacının ortaya konması

Verilerin hangi kişi gurubunu kapsadığının belirlenmesi; örneğin, öğrenciler, çalışanlar, dernek üyeleri, müşteriler, tedarikçiler gibi grupların ortaya çıkarılması

Kişisel verilen saklama süresinin tespit edilmesi

Kişisel veriler başka bir gerçek ya da tüzel kişilere aktarılıyorsa, buna dair bilgiler ve hukuki sebeplerin belirtilmesi

Yabancı ülkelere aktarılarn bilgiler varsa bu sürece dair bilgilerin belirtilmesi

Kişisel verilerin gizliliğini korumak amacıyla alınan bütün güvenlik önemleri ve bu önlemlerin etkinliğinin açıklanması

Veri Güvenliği

Veri güvenliği konusunun kapsamı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda, kişisel verilen hukuka aykırı olarak erişilmesini ve işlenmesini önlemek ve bu verilerin güvenli bir şekilde saklanmasını sağlamak olarak belirtilmiştir. Bu durumda veri sorumluları bilgi güvenliği düzeyini sağlamak amacıyla her türlü idari ve teknik önlemi almak zorundadır. 6698 sayılı Kanun (KVKK)’da da belirtildiği üzere alınacak tedbirleri idari ve teknik olarak ikiye ayırabiliriz.

Veri Güvenliği için Alınacak İdari Tedbirler

Bu tedbirler, veri sorumlusunun faaliyet alanı, bilgiyi saklama ve işleme amacı, verinin türü ve kapsamı gibi konulara göre farklılık gösterebilir. Fakat bilgi güvenliği anlamında şu tedbirlerin mutlaka alınması gerektiğini belirtebiliriz:

Kişisel verilerin çalınması, izinsiz olarak başka bir yere aktarılması veya kişisel veri işleme envanterinde yazan kuralların dışında işlenmesine yönelik risk ve tehditlerin belirlenmesi

Veri sorumlusu bir tüzel kişiyse (şirket, dernek, vakıf, belediye, kamu ve özel sektör kuruluşu vb) çalışanlara veri güvenliği konusunda eğitimlerin verilmesi

Bilgi güvenliği ile ilgili somut prosedürler ve politikalar belirlenmesi

Gereksiz veri saklamaktan kaçınılması; muhafaza edilen ve işlenen verilerin az tutulmaya çalışılması

Veri güvenliği için dışarıdan bir hizmet alımı söz konusu ise bu kişi ya da kurumlarla kurulan ilişkilerin güvenli ve yasal bir zeminde sürdürülmesi.

Bilgi Güvenliği için Alınabilecek Teknik Tedbirler

 Bu tedbirlerden en önemli olanları şunlardır:

Siber saldırılara karşı caydırıcı ve etkili önlemler almak

Kişisel verilerin yer aldığı bütün platformların ve yazılımların sürekli olarak takip edilmesi

Bu ortamların güvenliğinin azami düzeyde sağlanması

Kişisel verilerin düzenli olarak yedeklenmesi

Bilgi teknolojileri anlamında en güncel sistemlerin, cihazların, ekipmanların ve yazılımların kullanılması; bütün bunların düzenli olarak bakım işleminden geçirilmesi

Veri sorumlusu olarak görev yapan gerçek ya da tüzel kişilerin, bilgi güvenliği konusunda yaşanacak bir problemde sadece ilgili kişilere değil, yasalara karşı da sorumlulukları olduğu unutulmamalıdır. Bu nedenle, veri güvenliği konusuna azami özen gösterilmelidir.

Kişisel Verilerin Korunması

Alanında yetkin Kayseri avukat kadrosu ve 15 yılı aşkın deneyimi ile Zülküf Arslan Hukuk Büromuz; hukuk davalarında ve ceza yargılamalarında savunma hakkını ve hak arama özgürlüğünü temin ederek taraflara avukatlık ve hukuki danışmanlık hizmeti vermektedir.

Kişisel verilerinizin korunması, işlenmesi, aktarılması, silinmesi veya yok edilmesi ile ilgili gerekli başvuru veya itirazların zamanında ve usulüne uygun yapılması açısından alanında uzman avukatlardan hukuki yardım alınması faydalı olacaktır. Herhangi bir mağduriyete ve hak kaybına uğramamak için güncel mevzuat ve yargı kararlarının takip edilmesi önem arz etmektedir. 

Alanında yetkin Kayseri Avukat kadrosu ve 15 yılı aşkın deneyimi ile Zülküf Arslan Hukuk Büromuz, savunma hakkını ve hak arama özgürlüğünü temin ederek Anayasa Mahkemesi (AYM), Avrupa İnsan Hakları Mahkemesi (AİHM) ve Tazminat Komisyonuna başvuru sürecinde de taraflara avukatlık ve hukuki danışmanlık desteği sunmaktadır. Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi (AİHM) başvuru sürecinde herhangi bir mağduriyete veya hak kaybına uğramamak için gerekli başvuruların zamanında ve usulüne uygun yapılması büyük önem arz etmektedir. Bu süreçte, alanında uzman bir avukattan hukuki yardım alınması faydalı olacaktır. Zülküf Arslan Hukuk Bürosu olarak; Yalçınkaya Kararı başta olmak üzere AİHM kararlarının Türkçe çevirilerini yapan Eski AİHM Hukukçusu Dr. Orhan Arslan koordinatörlüğünde müvekkillerimize Anayasa Mahkemesi ve AİHM başvurusunun yanı sıra emsal AYM ve AİHM Kararları çerçevesinde yeniden yargılama başvurusu hususunda da hukuki destek vermekteyiz.

Kişisel verilerinizin, korunması işlenmesi, aktarılması, silinmesi veya yok edilmesi ile ilgili bilgi almak için deneyimli bir avukat arıyorsanız 15 yılı aşkın deneyimi ile avukat kadromuzdan dava süreci, hukuki statünüz, haklarınız ile başvuru ücret ve masrafları konusunda ön bilgi alabilir; detaylı bilgi ve tüm sorularınız için bizimle iletişime geçebilir veya yüz yüze görüşmek için Zülküf Arslan Hukuk Büromuzu ziyaret edebilirsiniz.