AMAÇ
KVKK için Gereklilikler ve Çözümlerin amacı kişisel verilerin işlenirken kişilerin temel hak ve özgürlüklerini korumak amaçlanır kanunun amacı, kişisel verilerin işlenirken başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
KAPSAM
Bu kanunun hükümleri, kişisel verileri işlenen kişiler ile -tamamen veya kısman otomatik olan ya da herhangi bir veri- işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kanunun Tarihçesi
- 28 Ocak 1981 Strasbourg / Avrupa Konseyi 108 nolu sözleşme
- 17 Şubat 2016 Uygun Bulunma Kanunu / Kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması sözleşmesi.
- 24 Mart 2016 6698 KVKK / 108 nolu sözleşme Resmî Gazetede yayınlandı.
- 7 Nisan 2016 6698 KVKK / Kanun TBMM’de kabul edildi.
- Kanun Resmî gazetede yayınlanarak yürürlüğe girdi.
TERİMLER
Kişisel Veri:
- Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.
- Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
- Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
- Özel Nitelikli Kişisel veri: Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.
- Özel Nitelikli Kişisel Veriye örnek veriler: Kişilerin ırkı, Etnik kökeni, Siyasi düşüncesi, Felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, Sağlığı, Cinsel hayatı, Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri Biyometrik ve genetik veriler.
- İlgili kişi: Kanuna göre kişisel verisi işlenen gerçek kişidir.
- Veri sorumlusu: Kanuna göre kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
- Veri işleyen: Kanuna göre veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
- Açık rıza: Kanuna göre ilgili kişinin kişisel verisini veya özel nitelikli kişisel verisini işlemek için ilgili kişiden alınan onaydır.
- Aydınlatma Metni: Kanuna göre ilgili kişiye kişisel verisini veya özel nitelikli kişisel verisini nasıl, neden ve nelerle işleyeceğini açıkladığı metindir.
- Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
- VERBİS: Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri kamuoyuna sunduğu bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur.
KVKK UYGULAMA DIŞI ALANLAR
- Kişisel verilerin kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
VERBİS İSTİSNALAR
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca manuel yollarla kişisel veri işleyenler.
- 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden,
20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
VERBİS İSTİSNALAR
- • 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
- • 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar.
- • 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
KVKK Maddeler
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
Madde 7– (1) Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Veri Güvenliğine İlişkin Yükümlülükler
Madde 12– (1) Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Şirketler için KVKK süreçleri
- Kişisel veri işleme envanterinin hazırlanması
- Kişisel Veri Saklama ve İmha Politikası’nın hazırlanması
- Veri Sorumluları Sicili’ne (VERBİS) kayıt
- Aydınlatma yükümlülüğünün yerine getirilmesi
- Açık rızaların alınması
- Kişisel verilerin toplanması
- Kişisel verilerin güvenliğinin sağlanması
- İşlenme şartları ortadan kalkan kişisel verilerin silinmesi
- Üçüncü kişilerle kişisel verilerin paylaşılması
- İlgili kişilerin şikayetlerinin değerlendirilmesi
VERBİS’e Kayıt
• Yıllık çalışan sayısı 50’den veya yıllık mali bilançosu 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek veya tüzel kişi veri sorumluları için kayıt zorunluluğu için uyumluluk süreçleri bitmiştir.
• Yıllık çalışan sayısı 50’den ve yıllık mali bilançosu 25 milyon TL’den az olan ancak ana faaliyet konusu özel nitelikli veri işleme olan gerçek ve tüzel kişi veri sorumluları için uyumluluk süreci son tarihi 31.03.2020 olarak belirlendi.
Başlama Toplantısı
- KVKK Uyum Ekibinin oluşturulması
- Kanun hakkında bilgilendirme
- Çalışma takviminin gözden geçirilmesi
- KVKK Uyum Çalışması Duyurusunun hazırlanması
- Envanterin dağıtımı ve envanter eğitimi
Envanter
Neler Uyumlu? (Uyumsuz)
KVKK Politikası
- Politika Kapsamı ve amacı
- Tanımlar
- Görev ve Sorumluluklar
- Risk Değerlendirme
- Veri Koruma İlkeleri
- Veri Sahiplerinin Hakları
- Açık Rıza Alınması
- Veri Güvenliği
- Veri Paylaşımı
- Kayıtların yönetimi
- Denetim
- Politikanın Güncel Tutulması
Taahhütname ve Sözleşmeler
- Çalışan KVKK taahhütnameleri
- Tedarikçi ve müşteri taahhütnameleri
- Veri işleyen taahhütnameleri
Prosedürler
- Olay (ihlal) yönetim prosedürü
- Kayıt yönetim prosedürü
- Veri aktarım politikası
- Talep yönetim prosedürü
- Disiplin prosedürü
İçerik Üretici
Zeynep GÜLBAY
Nesil Bilişim Teknolojileri Tic. A.Ş.
