1990 yılından bu yana bilişim ve internet teknolojilerindeki gelişim insanlık tarihinde toplumsal, kültürel ve ekonomik alanlarda büyük bir değişim yaratmıştır. Bir ağ toplumunun ortaya çıktığı bu döneme “bilişim çağı” adı verilmiştir. Bu çağda hayatın akışı gerçek bir kişiye ilişkin her türlü bilgi olarak kabul edilen kişisel verinin işlenmesi ile sağlanmaktadır demek yanlış olmayacaktır. Yeni çağın petrolü kabul edilen veri, değerini bir kişiye ilişkin olmasında bulur.
Verilerin belirli düzenlemelere tabi tutulmadan işlenmesi bu verileri ihlale açık bir durumda bırakmaktaydı. İşte bu ihtiyaçla 6698 sayılı Kişisel Verilerin Korunması Kanunu 7/4/2016 yılında yürürlüğe girmiş ve kişisel verilerin işlenmesini ve korunmasını belirli usul ve esaslara bağlamıştır.
1990 yılından bu yana bilişim ve internet teknolojilerindeki gelişim insanlık tarihinde toplumsal, kültürel ve ekonomik alanlarda büyük bir değişim yaratmıştır. Bir ağ toplumunun ortaya çıktığı bu döneme “bilişim çağı” adı verilmiştir. Bu çağda hayatın akışı gerçek bir kişiye ilişkin her türlü bilgi olarak kabul edilen kişisel verinin işlenmesi ile sağlanmaktadır demek yanlış olmayacaktır. Yeni çağın petrolü kabul edilen veri, değerini bir kişiye ilişkin olmasında bulur.
Verilerin belirli düzenlemelere tabi tutulmadan işlenmesi bu verileri ihlale açık bir durumda bırakmaktaydı. İşte bu ihtiyaçla 6698 sayılı Kişisel Verilerin Korunması Kanunu 7/4/2016 yılında yürürlüğe girmiş ve kişisel verilerin işlenmesini ve korunmasını belirli usul ve esaslara bağlamıştır.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bu Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel verilerin korunması hakkı anayasal bir haktır. Faaliyetlerini insan haklarına saygılı ve mevzuata uygun şekilde gerçekleştirmek isteyen veri sorumlularının kanuna uyum sağlaması gerekmektedir. Ayrıca Kanun, getirdiği düzenlemelere uymayan veri sorumluları hakkında yaptırımlar öngörmüştür.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. İşleme faaliyetinin neden ve nasıl yapılacağını veri sorumlusu belirler.
Yetki matrisi, yetki kontrol, erişim loğları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, silme yok etme ve anonim hale getirme, anahtar yönetimi vs.
Kişisel veri işleme envanteri hazırlanması, kurumsal politikalar, sözleşmeler, gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi/ disiplin yönetmeliği gibi dokümanların mevzuata uygun şekilde revize edilmesi, eğitim ve farkındalık faaliyetleri, VERBİS’e bildirim vs.
· Aydınlatma yükümlülüğünün ihlali halinde 9.834-196.686 TL
· Veri güvenliliğine ilişkin yükümlülüklerin ihlali halinde 29.503-1.966.862 TL
· Kurul kararlarının yerine getirilmesi yükümlülüğünün ihlali halinde 49.172-1.966.862 TL
· VERBİS’e kayıt ve bildirim yükümlülüğünün ihlali halinde 39.337-1.966.862 TL
· Kişisel verilerin hukuka aykırı olarak işlenmesi halinde gerçek kişiler hakkında 1-3 yıl, özel nitelikli kişisel verilerin işlenmesi halinde ceza yarı oranında artırılarak 1,5-4,5 yıl hapis cezası; tüzel kişiler hakkında güvenlik tedbirleri uygulanır.
· Verileri hukuka aykırı olarak verme veya ele geçirme halinde gerçek kişiler hakkında 2-4 yıl hapis cezası, tüzel kişiler hakkında güvenlik tedbirleri uygulanır.
· Kişisel verileri kanunlarda belirlenen süreler içinde silmeme halinde gerçek kişiler hakkında 1-2 yıl hapis cezası, tüzel kişiler hakkında güvenlik tedbirleri uygulanır.
Kişisel Verilerin Korunması Kanunu’na uyum süreci hukuk ve bilişim teknolojileri disiplinlerinin işbirliği içinde bulunmasını gerektirir. Keynes Danışmanlık olarak bünyemizde bulunan konusunda uzman avukat ve bilişim teknolojileri uzmanları ile uyum sürecini gerçekleştiriyoruz; uyum sürecinde gerekli tüm insan kaynağını bünyemizde bulundurduğumuzdan fark yaratıyoruz ve üçüncü parti bir desteğe gerek kalmadan uçtan uca bir danışmanlık hizmeti sağlıyoruz. Uyum kapsamında izlenen genel yol haritamızı, her bir danışan bakımından özelleştiriyor ve ilgili danışanın tüm ihtiyaçlarını eksiksiz olarak tespit edip ona özel bir uyum gerçekleştiriyoruz.
· Kişisel Verilerin Korunması Kanunu’na Uyum Danışmanlığı
· Kişisel Verilerin Korunması Kanunu’na Uyum Denetimi
· Kişisel Verilerin Korunması Kanunu Hakkında Farkındalık Ve Bilinçlendirme Eğitimleri
· Veri koruma grubunun oluşturulması
Danışanın uyum sürecinde görev alacak kişiler belirlenerek “veri koruma grubu” oluşturulur. Bu grup her departmandan seçilecek en az bir kişiden (kurumun büyüklüğüne veya işlenen verilere göre bu sayı değişiklik gösterir) teşekkül eder.
· Veri koruma grubunun kişisel verilerin korunması hukuku alanında eğitim çalışmalarının gerçekleştirilmesi
Yasal düzenlemeler kapsamında kişisel verilerin korunması hukuku, uyum için gerçekleştirilmesi gereken süreç ve bu süreçte yapılması gerekenler anlatılır.
· Kişisel Veri İşleme Envanterinin oluşturulması
Yerinde uygulama yöntemiyle her bir departman bazında veri giriş çıkışları soru cevap yöntemiyle belirlenerek kişisel veri işleme envanteri oluşturulur.
· Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolunması
Veri sorumlusu yönetici olarak tanımlanır, irtibat kişisi belirlenir, irtibat kişisi ile koordineli olarak VERBİS kayıt işlemleri tamamlanır.
· Politika ve prosedürlerin hazırlanması
Mevzuatta zorunlu olarak öngörülen ve bunların dışında firmanın ihtiyaç duyduğu politika ve prosedürler envantere uygun olarak hazırlanır.
· Aydınlatma ve açık rıza metinlerinin hazırlanması
Aydınlatma yapılacak ve açık rızaya ihtiyaç duyulan alanlar tespit edilip bunlar için ayrı ayrı aydınlatma metinleri ve açık rıza metinleri hazırlanır.
· Taahhüt ve gizlilik sözleşmelerinin hazırlanması
Veri sorumlusunun çalışanları ve kişisel veri alışverişinde bulunduğu üçüncü kişilerle ile olan ilişkileri düzenlemek ve sorumlulukları belirlemek amacıyla taahhüt ve gizlilik sözleşmeleri hazırlanır.
· Var olan dokümanların gözden geçirilerek mevzuata uyumlu hale getirilmesi ve internet sitesinin mevzuata uyumunun sağlanması
Sözleşme örnekleri, iş başvuru formları gibi dokümanlar incelenir, KVKK mevzuatı bunlara derç edilir; gerekli ise bunlara ekler oluşturulur. İnternet sitesi mevzuata uyumlu hale getirilir.
· Çalışanlara kişisel verilerin korunması alanında eğitim verilmesi
Uyum projemiz arkasında devam eden bir süreç bırakacağından firmadaki tüm çalışanlar kişisel verilerin korunması alanında bilinçlendirilir ve verinin korunması firmanın kültürü haline getirilir.
Veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinden biri de rastgele ve/veya periyodik kurum içi denetimler yaptırmaktır. Bu kapsamda danışanın mevzuata uyumunu hukuk ve bilişim teknolojileri çerçevesinde yerinde uygulama yöntemiyle uçtan uca denetliyoruz ve eksiklikler ve hatalar bakımından uyum raporu çıkarıyoruz, eksikliklerin tamamlanması ve hataların düzeltilmesi için yapılması gerekenleri açıklıyoruz.
Veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinden biri de çalışanların veri koruma hukuku alanında eğitilmesi ve farkındalıklarının artırılmasıdır. Bu kapsamda danışanın çalışanlarına veri koruma hukukunu tüm detayıyla açıklıyor ve işleyişte neler yapılması gerektiğini çalışanın departmanı bazında somutlaştırarak açıklıyoruz