Güvenlik TedbirlerinizKVKK Gerekliliklerini Karşılıyor Mu?

KİŞİSEL VERİLERİN KORUNMASI KANUNU
UYUMLULUK DANIŞMANLIĞI

VeriSistem®’in uçtan uca KVKK uyumluluğu ve veri koruma çözümleri sayesinde, kişisel veriler ile ilgili süreçlerinizi güvenli hâle getirerek daha başarılı bir dijital geleceğe adım atmak elinizde.

Yeni teknolojiler, günlük yaşantımızda önemli değişimlere sebep olmuştur. Bu değişimlerin yansımaları, gizlilik ve güvenlik ile ilgili yeni kurallar ve yasalar olarak karşımıza çıkmaktadır. Günümüzde, gerek resmî kurumlar ve gerekse özel sektördeki kurumlar, her gün binlerce kişiye ait çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerindeki hızlı gelişmelerin de sonucu olarak, kolayca işlenebilmekte ve aktarılabilmektedir.

Bu dönüşüm, şirketlerin gizlilik ve güvenlik alanındaki gereksinimlerini arttırarak, dijitalleşmeyi zorunlu hâle getirmiştir. Bu zorunluluk, çeşitli organizasyonlar tarafından, aynı zamanda bir "teknolojik yeniden yapılanma" fırsatı olarak da görülebilmektedir. 2016 yılında hayatımıza giren Kişisel Verilerin Korunması Kanunu (KVKK) nedeniyle, gizlilik ve güvenlik alanında yeterli altyapı ve birikime sahip olmayan kuruluşlar bu alana odaklanmaya başlamışlardır.

Kişisel Verilerin Korunması, temel insan haklarından biri olan özel hayatın gizliliği ile doğrudan ilişkilidir. Türkiye'de KVKK öncesinde, Kişisel Verilerin Korunması ile ilgili kurallar, Türk Ceza Kanunu, Anayasa ve diğer çevre mevzuat ile belirlenmekteydi. 6698 Sayılı Kişisel Verilerin Korunması Kanunu, bu alandaki en önemli ve yaptırımları en ağır yasal düzenlemedir.

Nedir?

Türkiye için tanımlanmış kişisel veri kuralları

Güvenlik

KVKK

Kişisel Verilerin Korunması Kanunu


Güvenlik

Ne Zaman?

Başlangıç:
07 Nisan 2016

KVKK Başlangıç Tarihi

Kişisel Verilerin Korunması Kanunu Danışmanlığı hizmetlerimiz, yasal uyumsuzluk nedeniyle oluşabilecek risklerinizi tespit ederek, her türlü kişisel verinin hukuka uygun olarak işlenmesi ve muhafazası için gereken teknik ve idari tedbirleri almanızı sağlar.

Yasal sorumluluk ve temel ilkeler

Kişisel verilerin korunması ile ilgili ihmal ve ihlaller, işletmelere ağır hukuki ve cezai sorumluluklar yükler. Örneğin, 2024 yılı itibarıyla aydınlatma yükümlülüğüne aykırılık hâlinde 946.308 TL'ye kadar; veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık hâlinde 9.463.213 TL'ye kadar yaptırım uygulanır. Kişisel verilerin belirlenen süre içinde imha edilmemesi hâlinde 2 yıla kadar; hukuka aykırı işlem hâlinde ise 4 yıla kadar hapis cezasına hükmedilir. Benzer şekilde GDPR ile ilgili uyum sorunlarında, şirketin bir önceki yıla ait küresel cirosunun %4'ü veya 20.000.000 Euro'ya kadar yüksek para cezalarının uygulanması söz konusudur.

Kişisel verilerin işlenmesine ilişkin temel ilkeler, her türlü kişisel veri işleme faaliyetlerinin içinde bulunmalı ve veri işleme faaliyetleri bu ilkelere uygun olarak yürütülmelidir:

Hukuka, dürüstlük kurallarına uygun olma

Hukuka, dürüstlük kurallarına uygun olma

Doğru ve güncel olma

Doğru ve güncel olma

Belirli, açık ve meşru amaçlar için işlenme

Belirli, açık ve meşru amaçlar için işlenme

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Gereken en az miktarda veri saklama

Gereken en az miktarda veri saklama

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verilerin korunması kanunu ile ilgili uyum sürecinde, öncelikle içerisinde gizlilik ve güvenlik ile ilgili farkındalık oluşturulmalı ve veri güvenliği, kurum kültürünün bir parçası hâline getirilmelidir. Şirketler; üretimden, ürün ve hizmet satışına, satın almadan finansal süreçlere kadar birçok alanda kişisel veriler ile ilgili bilgi alışverişinde bulunmaktadır. Örneğin, 2018 yılında İstanbul'un nüfusu 15 milyon üzerindedir. İstanbul'da yaşayan tüm kişilerin çeşitli amaçlarla kişisel verileri ve özel nitelikli kişisel verileri işlenmektedir. Buradan kişisel verinin ve özel nitelikli kişisel verilerin yoğunluğu anlaşılmaktadır.

Dijital dönüşüm ve uyum süreci ile neler elde edebilirsiniz?

Ağır cezai yaptırımlar, siber tehditler, bilgi toplumunun sınırsız ve hızlı bilgi ihtiyaçları dijital dönüşümü zorunlu kılmaktadır. Uyum sürecinde, teknik ve idari süreçleri tamamlayan işletmeler aşağıda görülen ticari avantajlara sahip olacaktır.

Gerekli uyum süreçlerini tamamlamak ve verilerini korumak için gizlilik ve güvenlik süreçlerine ait politika, prosedür ve alt yapı çalışmalarını tamamlayan işletmeler, risklerini önemli ölçüde azaltacaklardır.

Günümüzde, müşteri memnuniyetini sağlamanın önemli bir kısmı dijitalleşmekten geçiyor. Müşterilerin organizasyon ile olan hızlı ve güvenli dijital etkileşimi, bağlılık ve güveni büyük oranda arttırmaktadır.

Doğru bilginin hızlı ve güvenli paylaşımı, örgüt içindeki çevikliği, inanç ve güven ile çalışan bağlılığını yükseltir.

Gizli tutulması gereken verileriniz; çalışanlarınız, onların aileleri, müşterileriniz, tedarikçileriniz ve diğer her türlü üçüncü taraf kurumlar ile aranızdaki bilgi alışverişi ile ortaya çıkar. Dijital dönüşüm, işiniz ile ilgili tüm alanlarda sağladığınız hizmetler ve her türlü operasyonunuz bakımından esaslı değişiklikler gerektirir. Bu yeni kültürel oluşum, şirketinizde idari ve operasyonel anlamda konfor sağlayan statükoları kökten değiştirmeniz ile mümkün olacaktır.

KVKK ihlali durumunda yaptırımlar

Aydınlatma yükümlülüğüne aykırılık hâlinde;

2016 (Kanundaki Tutar) :
5.000 ₺ - 100.000 ₺
2016 (Kanunda)
2024 (Güncel Tutar) :
47.303 ₺ - 946.308 ₺

Veri Güvenliğine ilişkin yükümlülüklere aykırılık hâlinde;

2016 (Kanundaki Tutar) :
15.000 ₺ - 1.000,000 ₺
2024 (Güncel Tutar) :
141.934 ₺ - 9.463.213 ₺

Kurul tarafından verilen kararlara aykırılık hâlinde;

2016 (Kanundaki Tutar) :
25.000 ₺ - 1.000,000 ₺
2024 (Güncel Tutar) :
236.557 ₺ - 9.463.213 ₺

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık hâlinde;

2016 (Kanundaki Tutar) :
20.000 ₺ - 1.000,000 ₺
2024 (Güncel Tutar) :
189.245 ₺ - 9.463.213 ₺

Türk Ceza Kanunu’ndan ötürü ortaya çıkan yaptırımlar

Kişisel verilerin hukuka aykırı olarak işlenmesi hâlinde

1 - 3 yıl hapis cezası, özel nitelikli veriler için ceza yarı oranda arttırılır

Verileri hukuka aykırı olarak verme veya ele geçirme hâlinde

2 - 4 yıl hapis cezası

Kişisel verilerin kanunca belirlenen süre içinde silinmemesi hâlinde

1 - 2 yıl hapis cezası

Kişisel Verilerin Korunması Kanununun merkezinde genel olarak verilerin korunması ile ilgili idari ve teknik tedbirlerden oluşan örgütsel bir disiplin yer alır. Bu disiplinin, organizasyonun her aşamasına eksiksiz olarak yerleştirilmesi için öncelikle dijitalleşme sürecindeki yol haritasının detaylı bir şekilde belirlenmesi gerekir.

Teknik Tedbirler

Kişisel Verileri Koruma Kurumu'nun rehberlerinde alınmasını önerdiği teknik tedbirlerin en özet hâli aşağıdaki gibidir:

Yetki Matrisi

Yetki Kontrol

Erişim Logları

Kullanıcı Hesap Yönetimi

Ağ Güvenliği

Uygulama Güvenliği

Şifreleme

Sızma Testi

Saldırı Tespit ve Önleme Sistemleri

Log Kayıtları

Veri Maskeleme

Veri Kaybı Önleme Yazılımları

Yedekleme

Güvenlik Duvarları

Güncel Anti-Virüs Sistemleri

Silme, Yok Etme veya Anonim Hâle Getirme

Anahtar Yönetimi

İdari Tedbirler

Kişisel Verileri Koruma Kurumu'nun rehberlerinde alınmasını önerdiği idari tedbirlerin en özet hâli aşağıdaki gibidir:

GAP Analizi

Farkındalık Eğitimleri

Süreçlerin Analiz Edilmesi

Politika ve Prosedürlerin Belirlenmesi

Kişisel Veri İşleme Envanterinin Hazırlanması

VERBİS Kaydının Gerçekleştirilmesi

Kanunun Temel İlkelerine Uyum

Veri İşleyenlerle İlişkilerin Yönetimi

KVKK Uyum süreci nasıl ilerliyor?

1

Stratejik planlama, GAP analizleri, soru formları

2

Farkındalık eğitimleri

3

Veri envanteri hazırlanması ve sorumlulukların belirlenmesi

4

Politika ve prosedürlerin gözden geçirilmesi ve geliştirilmesi

5

Uyum raporunun sunulması

6

Yönetişim, izleme, denetim ve güncellemeler

Hazırlık Değerlendirmesi - GAP Analizi

Başarılı bir uyum sürecinin tamamlanması için organizasyonun mevcut durumunu detaylı bir şekilde analiz ederek tüm aşamaları kapsayan bir yol haritası hazırlıyoruz.

Mevcut durumun değerlendirilmesi için puanlanmış değerlendirme ve grafik analiz

Değerlendirme sonucu hazırlanan denetim kontrol listesi

Süreç kontrol listesi (hangi veri, nerede, ne amaçla kullanılıyor)

Yurtdışına aktardığınız verilerin aktarımını ve korumasını sağlayan Bağlayıcı Şirket Kuralları’nızın (BCR) incelenmesi, eksiklerin giderilmesi

Bilgilendirme Metni!

Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?