1. KVKK UYUM SÜRECİ  (Özet)

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında;

“MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Buna göre Kişisel Veri İşleyen (Verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Bu işlemler toplama, kaydetme, paylaşma, depolama, okuma, değiştirme, açıklama, imha etme ) tüm işverenlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na Uyumlu hale gelmesi gerekmektedir.

İşletmelerde Veri Sorumlusu (İşveren) başkanlığında oluşturulan Kvkk Çalışma Grubu ile Uyum çalışması birinci (Aktif) dönemi 3 ay ve ikinci (Test ) dönemi 3 ay olmak üzere toplamda 6 ayda tamamlanmaktadır.

Önceden planlanan çalışma ve eğitim programı ile önce Kvkk çalışma grubu eğitilir sonra ise tüm çalışanlara eğitim verilerek kanun hakkında farkındalık oluşturulur.

İşletmenizin bilişim, bilgisayar ve dijital altyapınız analiz edilerek, başta internet ve ağ bağlantısı, sunucu ve yedekleme,  e-posta güvenliği, web sayfası, mobil cihaz güvenliği, bilgisayar ve donanım güvenliği konularında gerekli güvenlik (teknik ve idari) tedbirleri almanız sağlanır.

İşletmeniz içinde ilişkide olan firma ortaklarının, çalışanlarınızın, müşterilerin, tedarikçilerin, ziyaretçilerin ve üçüncü kişilerin kişisel verileri ve özel nitelikli (hassas) verilerini saklanması, korunması, aktarılması ve imha edilmesi gibi konularda politikalar hazırlanır.

İş sözleşmelerini gizlilik  protokolleri hazırlanarak, verilerin sorumlularından başkalarının erişmemesi görevlendirme ve taahhütnameler ile işletme disiplin prosedürü oluşturulur.

Veri Sorumlusu, kişisel verileri işlenen kişilere hangi kişisel verileri hangi amaçlarla, hangi kişi veya kurumlara aktarılacağını, verilerin hangi güvenlik tedbirleri ile korunacağına ve ne zaman imha edileceğine dair Aydınlatma yapılarak, gerekli konularda Açık Rızalarını alınır.

Birinci dönemin ortalama 3. ayın ilk haftasında tüm çalışmalar raporlanarak şirketin Verbis Bildirimi zorunlu olan grupta yer alıyorsa Verbis Bildirimi yapılır. Bildirim zorunluluğu yoksa Kvkk sürekliliğinin sağlanması aşamalarında yapılması gereken  eğitimler verilir.

Tüm evrak ve belgeler şirket sonuç raporu ile Veri sorumlusuna elden teslim edilerek birinci dönem tamamlanır.

İkinci (test) döneminde ise yapılan çalışmalar belirli aralıkla denetlenerek sürecin yasal olarak devam edip edemeyeceği, aksayan yönler raporlanır ve düzeltici önleyici faaliyetler yapılarak gerekli çalışmalar yapılır. 6. ayın sonunda sonuç kesin raporu ile Kvkk Uyum süreç tamamlanır.

Şirketin Uyum sürecinden sonra aylık danışmanlık dönemi devreye girer ve Kvkk Süreci tarafımızdan Profesyonel bir şekilde takip edilir.

2. ŞİRKET KVKK KOMİTESİ KURULUMU

Şirketin üst düzey yöneticilerinden / yönetim kadrosundan oluşan ve KVKK sürecinin başlaması, tamamlanması ve sürekliliği sürecinde görev alacak kişilerin belirlenmesi ve komite kurulması gerekmektedir.

Bu amaç, kapsam, hedef ve çalışma ilkelerinin anlatılacağı Kvkk komitesi eğitimi yapılacaktır.

 

 

 

 

 

 

 

3. VERİ ENVANTERİ HAZIRLAMA

Şirketin Kvkk  komitesi  ile Veri Envanteri Oluşturma ve Veri toplama prosedürleri ile şirketin ilişkide olduğu veri sahipleri ve ilenecek veriler tespi edilir.

İşlenecek veriler hangi amaçlarla kimlerden alınacağı, kimlerle paylaşılacağı, hangi tedbirlerle korunacağı, ne kadar süre ile saklanacağı ve imha edileceği belirlenerek Veri Envanteri çıkarılır.

4. BİLİŞİM ve BİLGİ GÜVENLİĞİ

İşletmenizdeki internet ve ağ güvenliği, sunucu ve yedekleme, mobil cihaz ve bilgisayar güvenliği, web sayfası ve e-posta güvenliği vb konularında teknik ve idari tedbirlerin alınması zorunludur. 

Bu tür çalışmaları firmanızın IT / Bilgisayar ve bilişim teknoloji biriminizle ortaklaşa yapmaktayız.

 

5. AYDINLATMA METNİ HAZIRLAMA

Çalışan adayı, çalışan, müşteri, tedarikçi, ziyaretçi   3. kişilere, web sayfası ziyaretçilerine, güvenlik kameraları yanına, telefon santralına, konularına uygun olarak Aydınlatma metni hazırlanacaktır ve ilgililerine sunulur.

6. AÇIK RIZALARIN ALINMASI

Aydınlatma yapılan konularda ilgili kişilerden kanunen alınması gereken Açık Rızalar İmza karşılığı alınır. Kvkk kapsamında  yüzyüze veya uzaktan (Matbu formlarla, E-Mail, SMS veya Call Center ile Onay ) alınması mümkündür. Bu tür durumlarda Onay alınan yöntem ve onay dataları ve dokümanları saklanmalıdır.

7. FARKINDALIK EĞİTİMLERİ

Kvkk kapsamında tüm personele Kvkk farkındalık eğitimleri verilmektedir. Verilen eğitim ve bilgilendirmeler için personellerden imza alınmakta ve sınav yapılmaktadır. 

8. ÖZLÜK DOSYASI / DİSİPLİN YÖNETMELİĞİ

Kişisel verilerin güvende kalması adına çalışanlarla  iş sözleşmesine Ek- Kvkk gizlilik sözleşmesi, Disiplin prosedürü vb. veri güvenliği  ile dolaylı veya doğrudan ilgili kişilerle taahhütnameler alınmaktadır.

9. KİŞİLERİN TALEPLERİNE CEVAP VERİLMESİ

Kvkk kapsamında kişisel verisini ile ilgili yazılı müracaatlara 30 gün içerisinde yazılı cevap verilmektedir.

10. KURUMA CEVAP VERİLMESİ

Kvkk kapsamında kuruma şikayet edilmesi halinde, kurumun istediği bilgi ve dokümanları  15 gün  içerisinde cevap verilmelidir.

11. VERBİS KAYDININ YAPILMASI

Türkiye'de Veri İşleyen, Yurt içi veya Yurt dışına Veri Aktaran/ Paylaşan tüm işletmelerde KVKK UYUM Çalışması yapılması zorunludur.

Bu çalışamaların sonucu ise VERBİS'dir.

Bazı şirketler VERBİS BİLDİRİMİNDEN İSTİSNA TUTULMUŞLARDIR.

Bunun dışında tüm işletmeler aşağıdaki kriterlere göre VERBİS BİLDİRİMİ yapacaklardır.

2020 yılında 50 çalışan ve üstü olan işletmeler, 25 milyon bilanço toplamı olan ve asıl işi kişisel veri işleme olan firmalar için VERBİS BİLDİRİM yükümlülüğü 31.12.2021 tarihinde başlayacaktır.

Ancak bu işletmelerin halen Uyum çalışmasını yapmış olması veya şuanda yapıyor olması gerekir.

Şirketlerde Kvkk Uyum çalışması yapılmadığında;

*Kişisel Verileri Koruma Kurumu’nun şirketinizi mali bilanço veya çalışan sayısından dolayı res’en incelenmesi mümkündür.

* Yine aynı şekilde Kişisel Verileri Koruma Kurumunun İnternet sayfanızı incelenmesi ve inceleme başlatması,

* Herhangi bir veri sahibinin şikayeti,

* Şirketinizde Veri İhlali olması durumunda,

aşağıdaki ( 12. Madde ) cezaları almanız kaçınılmazdır. !

 

12. KVKK CEZALARI

A. İDARİ PARA CEZALARI (2021)

*Aydınlatma yükümlülüğüne aykırılık cezası: 9.834 TL ile  196.686 TL arasında,

*Veri güvenliğine ilişkin yükümlülüğe aykırılık cezası: 29.503 TL ile  1.966.862 TL arasında,

*VERBİS’e kayıt yükümlülüğüne aykırılık cezası: 39.337 TL ile 1.966.862 TL arasında,

*Kurul kararları yerine getirme yükümlülüğüne aykırılık cezası: 49.172 TL ile 1.966.862 TL arasında,

B. HAPİS CEZALARI

* Hukuka aykırı olarak kişisel verileri kaydedilmesi durumunda bir yıldan üç yıla kadar hapis cezası verilebilir (TCK Madde 135/1)

* Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine,  cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek  ceza yarı oranında artırılır. (TCK Madde 135/2)

* Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar  hapis cezası ile cezalandırılır. (TCK 136/1)

* Yukarıdaki maddelerde tanımlanan suçların kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak  suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı  oranında artırılır. (TCK 137/1)

* Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara  görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (TCK 138/1)

* Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması  hâlinde verilecek ceza bir kat artırılır. (TCK 138/2)

13. SÜREKLİLİĞİNİN SAĞLANMASI / DANIŞMANLIK

Uyum çalışmasından sonra şirketinizdeki sürekliliği sağlanması önemlidir.

Yeni verisi işlenecek yeni kişilerle yapılacak sözleşmeler, gizlilik protokolleri, evrak ve prosedürlerin tamamlanarak Kvkk eğitimi verilmesi, 

İşten ayrılan kişinin üzerinde / zimmetinde bulunan verilerin teslimi, 

Verilerin arşivlenmesi, sürelerinin tespiti ve her yıl Haziran ve Aralık ayında imha işlemlerinin yapılması,

Belirli aralıklarla mevcut durumun denetlenmesi ve raporlanması,

Veri ihlali durumunda Kvk Kurumuna 72 saat içinde bildirim yapılması gibi konularda,

aylık danışmanlık hizmeti ile şirketinizin süreklilik çalışmasını tamamlamaktayız.

14. BİLGİ GÜVENLİĞİ VE KALİTE YÖNETİMİ

Kvkk Uyum süreci öncesi veya sonrasında İso 27001 Bilgi Güvenliği Yönetim Sistemleri konusunda belgelendirme, İso 9001:2015 standartlarına göre ürün ve hizmet üretme gibi Kalite danışmanlık hizmetlerini de Kalite Mühendisi, Başdenetçi ve tetkikçilerimiz ile iletişime geçebilirsiniz.

Yine E-Posta Güvenliği, Web Güvenliği, Zararlı yazılımlardan korunma, Parola güvenliği, Sunucu ve yedekleme güvenliği, Ağ ve İnternet güvenliği , Mobil cihaz güvenliği konularnda porfesyonel eğitim alabilir ve şirketinizin risklerini yok edebilirsiniz...

Sağlıklı ve Güvenli Yaşam Dileriz.

Elver  Bilişim Eğitim ve Danışm. Hiz. Ltd.şti

+90 212 853 30 34          + 90 555 886 94 60

 
 
 

Paylaş