kvkk-Senkron

6698 Sayılı Kişisel Verilerin Korunması Kanunu ile kurumlara yeni bir zorunluluk getirilmiştir.

Kişisel veri toplayan ve işleyen bütün kurum ve kuruluşların tabi olduğu bu kanun hukuki, idari, teknik bir takım çalışmalar gerektirmektedir.  Kurumun iş süreçlerinin belirlenerek iş süreçlerinde elde edilen ve işlenen kişisel verilerin tespit edilmesi, bu bağlamda kişisel veri envanterinin hazırlanması gerekmektedir.

Kurumun uygulamasında olan tüm iş süreçlerinde kullanmış olduğu sözleşmelerin hukuki açıdan değerlendirilmesi ve kanun çerçevesinde kişisel verilerin korunması prensibine uygun halde yeniden yapılandırılması gerekmektedir. KVKK politikası, Aydınlatma metinleri, Saklama süreleri ve imha politikası gibi dokümanlarında hazırlanması gerekmektedir.

Şirketlerin yükümlülükleri

  • Veri sorumluları, kanunun yayımı tarihinden önce işledikleri kişisel verileri, yayımı tarihinden itibaren 2 yıl içinde kanun hükümlerine uygun hale getirmekle yükümlüler.
  • Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmeli.
  • Veri Sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundalar. Kanun sicile kayıt zorunluluğunu net bir tarihe bağlamamış olduğu için geçtiğimiz ay oluşturulmuş olan Kurul’un bu sicili oluşturmasının ardından kayıt için çağrı yapayacağı düşünülüyor.
  • Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte müştereken sorumluluk taşıyor.
  • Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda.
  • Bilgilerin başkaları tarafından elde edilmesi halinde veri sorumlusunun bu durumu en kısa sürede verisi ele geçirilmiş olan kişilere ve Kurul’a bildirmesi gerekiyor. Kurul gerekli görürse bu bilgiyi kendi internet sitesinde ilan edebilecek.

Kişilerin hakları

Kişisel verilerin elde edilmesi sırasında, kişisel veri sahibinin aydınlatılması gerekiyor:

  1. Veri sorumlusu olarak şirketin ve temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  5. Kişisel veri sahibinin sahip olduğu haklar;
    • Kişisel veri işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • KVK Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

GDPR Avrupa Birliğinin, Kişisel Verilerin Korunmasına ilişkin -güncellediği ve tüm birlik ülkelerinin yasalarının üzerinde olan  Genel Veri Koruma Yönetmeliği  25 mayıs 2018 tarihinde yürürlüğe girmiştir. Bu tarihte yönetmeliğe uygun olmayan kuruluşları ağır cezalar beklemektedir.

Veri Koruma Yönetmeliği amacı kişisel verilerin korunmasına ilişkin ulusal mevzuatların uyumlaştırılarak kişisel verilerin tüm AB ülkelerinde aynı düzeyde ve benzer ilkeler çerçevesinde korunması ve bu yolla kişisel verilerin söz konusu ülkelerde herhangi bir güvenlik riski bulunmaksızın serbest dolaşımını sağlamayı amaçlamaktadır.

 

GDPR ve KVKK Uyumluluğu

Kurumsal olarak yürütmüş olduğunuz iş süreçlerinde, kurum içerisinde işlenen kişisel verilerin yurt dışı ile paylaşıldığı durumlarda, Yurt dışında GDPR kapsamındaki ülkelere ait vatandaşlara sunulan hizmetler kapsamında ilgili ülke vatandaşlarına ait verilerin işlenmesi durumunda kurumun GDPR usul ve esaslarına göre de çalışmaları yürütmesi gerekmektedir.

Proje Adımları

  • Proje Kapsamının Belirlenmesi
  • Kişisel Veri Kategorileri ve Veri Tiplerinin Belirlenmesi
  • Kişisel Veri Envanterinin Hazırlanması
  • KVKK Politikası, İmha Politikası, Saklama Süreleri belirlenmesi
  • Hukuki Değerlendirmeler
  • İdari ve Teknik Kontroller
  • Aydınlatma ve Açık Rıza Metinleri
  • İlgili Kişi Başvuru Süreç Tasarımı
  • Verbis'e Kayıt

Hukuki Uyum Süreci

Kurumun iş ve süreçlerinde işlemekte olduğu verilerin hukuksal boyutunun incelenmesi ve uyumluluğunun sağlanması

İdari ve Teknik Uyumluluk

Kurum içerisinde KVKK süreçlerine göre yerine getirilmesi gereken idari ve teknik yapıların incelenmesi ve uyum çalışmalarını içerir

Dokümantasyon ve VERBİS'e Kayıt

Kanunun gerekli gördüğü politika prosedürü aydınlatma metinleri açık rıza metinleri gibi dokümanların hazırlanması ve VERBİS sistemine kayıt