Kişisel Verilerin Korunması Kanunu (KVKK): 07.04.2017 tarihinde 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince KVKK (The General Data Protection Regulation), kişilerin dini inançları, etnik kökenleri, dili, mezhebi, sağlığı, cinsel hayatı, dernek vakıf veya sendika üyeliği, kılık kıyafeti, cezai durumlar ve güvenlik tedbirleriyle ilgili verileri olmakla birlikte biyometrik ve genetik verileri özel nitelikli kişisel veriler denir.
Bu kişisel verilerin işlemesi tamamının veya bir kısmının otomatik olarak (herhangi bir veri kayıt sisteminin parçası olmak kaydıyla), otomatik olmayan yollarla elde edilerek muhafaza edilmesi, yeniden düzenlenmesi veya başka bir yere aktarılması, anonim hale getirilmesi, kullanımının engellenmesi gibi verilerin üzerinde yapılan bütün işlem şekillerine kişisel verilerin işlenmesi denir.
KVKK DANIŞMANLIĞI
KVKK danışmanlığı, kişisel verilerin korunması amacıyla kişisel verilerimizin gizliliği, muhafaza edilmesi sağlayarak kurum veya kuruluşlar KVKK güvenliğini arttırmak amacıyla yapılan danışmanlıktır. Elektronik veya telefon aracılığıyla kişisel verilerimizi açık rıza göstererek kabul ediyoruz veya rızayı red ediyoruz. Bu kişisel verilerimiz koruma kanunu ile koruma altına alınmaktadır.
KVKK Danışmanlığı: Şirketlerin, kurum ve kuruluşların, gerçek veya tüzel kişilerin iş sürekliliğini devam ettirebilmesi gereken verilerin devamlı olarak korunması, muhafaza edilmesi için ihtiyaç duyulan hizmete KVKK danışmanlığı denir. Şirketler tarafından günlük olarak işlenen veriler, birbirinden farklılık gösteren süreçlerden geçmektedir. Bu süreçlerden geçtiği esnada herhangi bir data sorunu ile karşılaşmamak için idari tedbirler, KVKK çözümleri ile alınarak; bireylerin kişisel verileri veri sorumluları tarafından koruma altına alınmaktadır.
KVKK Uyum süreci dahilinde sunduğumuz hizmetimiz;
· Şirketinizin mevcut durum ve risk analizinin yapılmasını,
· Şirket politikalarının oluşturulmasını,
· Şirket içi yetki matrisi ve veri aktarım şemalarının belirlenmesini,
· Personel bilgilendirme eğitimlerinin hazırlanmasını ve eğitimlerin sunulmasını,
· Kişisel veri envanterinin hazırlanmasını ve VERBİS kayıt süreçlerinin anlaşılmasını,
· İlgili sözleşme ve aydınlatma metinlerinin hazırlanmasını,
· Veri silme, anonimleştirme ve şirket imha politikalarının oluşturulmasını,
· Kanun ve uyum süreci kapsamındaki şirkete özel Risk Raporu’nun oluşturulmasını,
· Şirkete sunulmak üzere değerlendirme raporunun oluşturulmasını, kapsamaktadır.
Kişisel verilerin korunması, KVKK danışmanlığı gerektirdiğinden uyum süreçleri en ince ayrıntılarına kadar düşünülerek yapılmaktadır. KVKK danışmanlığı 3 farklı şekilde danışmanlık gösterebilmektedir:
- KVKK İdari Tedbir Danışmanlığı
- KVKK Süreç Danışmanlığı
- KVKK Teknik Danışmanlığı
KVKK İDARİ TEDBİRLER DANIŞMANLIĞI
Danışmanlık hizmetine başvuran kurumun 29677 sayılı Resmi Gazete’de yayımlanan kanunlara uygun olarak, şirketlerin idari tedbirler almasına ve bütün hukuki işlemlerini yerine getirebilmesini sağlayan KVKK danışmanlık hizmetidir. KVKK İdari danışmanları, veri(data) sorumlusu ile birlikte gerekli politikaları oluşturmaktadır.
Veri sorumluları, kişisel verilerin işleme amaçlarını ve veri kayıt sistemine ne şekilde işleneceğini belirleyen kişi olduğundan, bulunduğu şirket veya firmanın en kıdemli yönetim kişilerinden olmalıdır. KVKK danışmanlığı, idari tedbirleri aşağıdaki hususlar içermelidir;
- Kişisel veri sisteminin hazırlanması, VERBİS sistemine kayıt olarak verilerin girişinin sağlanması
- Kurum, kuruluş veya şirketin kurumsal politikasının kanuna uygun olarak düzenlenmesi, erişim izninin olması, bilgi güvenliğinin sağlanması, kişisel verilerin kullanım süreleri, kişisel verileri koruma altına alma veya silme, imha etme işlemlerinin belirlenmesi,
- Veri sorumlusu ile veri işleyen arasında işlerin hukuki sözleşmeler nezdinde koruma altına alınması,
- Kişisel veriler, gizlilik taahhütnameleri ile açık rızayı belirleterek korunma kanunu uyumluluğun arttırılması,
- KVKK idari danışmanlığı kapsamında kurum içi periyodik veya ani denetimlerin sağlanması,
- KVKK danışmanlığı hizmetleri ile risk analizlerinin yapılması,
- Kanuna uygun hükümler ilave edilmesi ile iş sözleşmesi ve disiplin yönetmeliği hazırlanması
- Kurumsal iletişim bünyesinde bulunan kriz yönetimi, gerçek veya tüzel kişileri bilgilendirme süreçleri, itibar yönetimi ile ilgili tanımlamaların yapılması ve süreçlerin belirlenmesi,
- KVKK danışmanlığı ile eğitim ve farkındalık faaliyetlerine destek sağlanması
- Kurumun gerekli bilgilerini veri sorumluları sicil bilgi sistemine bildirim işlemlerinin yapılması
KVKK SÜREÇ DANIŞMANLIĞI
Kişisel verilerin korunması danışmanlığı ile oluşturulan politikalar doğrultusunda kurumdaki iç süreçlerin düzenlemesi ve dizayn edilmesini kapsar. Teknik olarak gerekli olan bütün envanterler bu süreçte tespit edilerek çalışmalara devam edilir.
Kişisel verilerin korunması kanunu danışmanlığı ile veri envanterler ayrıntılarının oluşturulması ve detaylandırılan raporun sınıflandırılmaya hazır hale getirilmesiyle (kuruluşun yayına alması gereken kişisel verilerin korunmasıyla ilgili saklama, silme, hukuki anlaşmalarını formların dokümantasyon sürecinden geçerek KVKK’ya uyumlu hale getirilmesi, açık rıza metni ve aydınlatma metinlerinin oluşturması) son halini alarak hazır hale getirilir.
KVKK TEKNİK TEDBİRLER DANIŞMANLIĞI
KVKK danışmanlığı hizmeti, idari ve süreç danışmanlığının ardından prosedür, yönetmelikler ve politikalar ile kullanıcı hatalarından arındırılan verilerin tamamen teknik bilgiler ışığında gerçekleşen danışmanlık sürecidir.
Şirket içerisinde oluşturulan doküman ve politikalar her daim sızıntılara veya açık problemlere yol açabildiğinden, kurumların en dinamik ve en etkin tedbirleri teknik tedbirlerle oluşturmaktadır. Danışmanlık ile teknik tedbirlerle, yetki matrisi ve yetki kontrolü, erişim logları, kullanıcı hesap yönetimi, ağ ve uygulama güvenliği ile duvar oluşturma, şifreleme tekniği, sızma testi ile kontrol, saldırı tespitinde bulunma ve önleme sistemleri, log kayıt işlemleri, veri maskeleme ve veri kaybı önleyecek yazılım oluşturma, yedekleme sistemleri, güncel antivirüs sistemleri, verileri silme, yok etmek veya anonim hale getirme, anahtar yönetimi teknik tedbirler altında bulunmaktadır.
Danışmanlık sürecinin adımlarından biri olan teknik danışmanlık olduğunu 6698 sayılı K.V.K.K.’da madde 12’de şu şekilde açıklamaktadır:
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.