2. • 2010 yılında, Anayasanın 20. maddesine eklenen “Herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına
sahiptir…”hükmü ile kişisel verilerin korunması ilk kez anayasal
bir hak statüsüne kavuşmuştur.
• 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin
Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi
Gazetede yayımlanarak yürürlüğe girmiştir
3. Kanunun Kapsamı Nedir?
‘‘Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler
ile bu verileri tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler
hakkında uygulanır’’ (KVKK-Mad.2)
KVK Kanunu uyarınca, belirli bir kişi (çalışan, müşteri, bayi,
rakip, iş ortağı, vs.) ile ilişkilendirilebilen her türlü veri kişisel
veridir. Veri ile ilgili yapılabilecek her türlü işlem “kişisel
verilerin işlenmesi” olarak tanımlanmıştır.
4. Siz?
• Kişisel verilerini tuttuğunuz aşağıdaki paydaşlara sahip
misiniz?
✓ Tüketiciler
✓ Aboneler
✓ Müşteriler
✓ Tedarikçiler veya
✓ Çalışanlar
• Bu verileri;
✓ Otomatik işlemeye tabi tutuyor musunuz? Ya da
✓ Herhangi bir “veri kayıt sistemi” aracılığıyla işliyor
musunuz?
5. ✓ Şirket İçi Adımlar
• Veri sorumluları siciline kayıt (VERBİS)
• Veri işleme envanteri
• Veri kayıt sistemi (verilerin kayıt edildiği ve işlendiği sistem)
• Veri saklama ve imha politikası
✓ Eski Verilerin Kanuna Uygun Hale Getirilmesi
• Açık rıza
• Silme, yok etme, anonim hale getirme
✓ Yeni Verilerde İzlenecek Adımlar
• Verilerin şirkete girişi
• Aydınlatma yükümlülüğü
• Açık rıza
• Verilerin İşlenmesi
Bu Durumda Neler Yapmalısınız?
6. Yaptırımlar-Kabahatler
KABAHATLER
(KVK Kanunu md.18)
İDARİ PARA CEZALARI
ASGARİ AZAMİ
Aydınlatma Yükümlülüğün İhlali 5.000 TL 100.000 TL
Veri Güvenliği Yükümlülüğün İhlali 15.000 TL 1.000.000 TL
Kurul tarafından Verilen Kararların Yerine
Getirilmemesi
25.000 TL 1.000.000 TL
Veri Sorumluları Siciline Kaydolma
Yükümlülüğünün İhlali
20.000 TL 1.000.000 TL
7. Yaptırımlar-Suçlar
SUÇLAR
HAPİS CEZALARI
ASGARİ AZAMİ
(TCK md.135)
Hukuka aykırı olarak kişisel verileri
kaydetme
1 yıl 3 yıl Kişisel verinin, kişilerin siyasi, felsefi veya dini
görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki
eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya
sendikal bağlantılarına ilişkin olması durumunda ceza
yarı oranda arttırılır
(TCK md.136)
Kişisel verileri, hukuka aykırı olarak
bir başkasına verme, yayma veya ele
geçirme
2 yıl 4 yıl Kamu görevlisi tarafından ve görevinin verdiği yetki
kötüye kullanılmak suretiyle veya belli bir meslek ve
sanatın sağladığı kolaylıktan yararlanmak suretiyle
işlenmesi halinde ceza yarı oranda arttırılır
(TCK md.138)
Kanunların belirlediği sürelerin
geçmiş olmasına karşın verileri sistem
içinde yok etmeme
1 yıl 2 yıl Suçun konusunun Ceza Muhakemesi Kanunu
hükümlerine göre ortadan kaldırılması veya yok
edilmesi gereken veri olması hâlinde verilecek ceza bir
kat artırılır.
(KVK Kanunu md.17)
KVK Kanunu md. 7 hükmüne aykırı
olarak kişisel verileri silmeme veya
anonim hale getirmeme
1 yıl 2 yıl Kanunun 7. maddesi hükmüne aykırı olarak; kişisel
verileri silmeyen veya anonim hâle getirmeyenler 5237
sayılı Kanunun 138. Maddesine göre cezalandırılır.
8. GPDR Nedir?
Avrupa Birliği Genel Veri Koruma Düzenlemesi (GDPR),
tüm Avrupa pazarlarındaki kişisel verinin kullanımı
düzenleyen yeni bir yasal çerçevedir ve mevcut ulusal veri
koruma kanunlarının yerine geçerek, 25 Mayıs 2018
tarihinden itibaren yürürlüğe girecektir.
Eğer bir şirket Avrupa Birliği’nde yaşayan bir bireyle ilgili
kişisel veriyi işlerse (kişinin AB vatandaşı olması gerekmez),
yasa işletmenin nerede kurulu olduğuna bakılmaksızın
geçerli olacaktır.
GDPR uyumlu sisteme sahip olmayan kuruluşlar için - yıllık
küresel cironun %4’üne varan- yüklü para cezaları söz
konusu olabilecektir.
9. Siz?
✓ AB ülkeleri içinde bulunun bulunmayın AB üyesi
vatandaşlarının kişisel bilgilerini depoluyor veya işliyor
musunuz? Örneğin;
• İş için başvuranların CV'lerine sahip misiniz?
• Ab ülkelerinden sitenize giren insanların verilerini
tutmuyor musunuz?
✓ Söz konusu kişisel veri kayıtlarını tutan ve işleyen siz
olmasanız bile bu faaliyetlerin tümünü veya bir bölümünü
gerçekleştiren herhangi bir dış kaynak firması ile çalışıyor
musunuz?
10. GDPR ve KVKK ile BS 10012 ve ISO
27001 arasındaki İlişki?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi KVKK Süreçlerini de
kapsayan bir standarttır. KVKK incelendiğinde ISO 27001 BGYS
nin EK-A dediğimiz 114 Kontrol noktasındaki bazı maddelere atıfta
bulunduğu görülmektedir.
KVKK’nın maddeleri içerisinde yer alan Veri Sınıflaması,
Maskeleme, veri sızıntısını önleme, Güvenli veri transferi, Erişim
Kontrollerine ilişkin hükümlerin Bilgi Güvenliği Politikaları ile
Prosedürlere ek olarak ayrıca düzenlenmesi gerektiği ortaya
çıkmaktadır.
Bu kapsamda AB Ülkeleri içerisinde GDPR düzenlemelerine ilişkin
düzenlenen BS 10012 Kişisel Veri Güvenliği Sistemine Uyumluluk
çalışmalarının kuruluş bünyesinde mutlaka uygulanması
farkındalığın arttırılması, Kurumun İdari Para ve Hapis cezalarından
etkilenmemesi açısından önemlidir
11. Neden CIcert?
2018 yılı itibarı ile Türkiye’de faaliyet gösteren çoğu kuruluş, ağır yaptırımlara
uğramamak için KVKK ve GDPR’ye göre verileri korumaya yönelik bir sistem kurmalı
ve uygulamalarını hazır hale getirmelidir.
KVKK ve GDPR gereksinimlerini karşılamanız için
CIcert olarak uzman ve yetkin kadromuz ile aşağıdaki hizmetleri
sunmaktayız
EĞİTİMLER
BOŞLUK (GAP) ANALİZİ
KVKK’YA UYUM DENETİMİ
Süreç Denetimi
Veri Güvenliği Denetimi
Organizasyonel Uyum Denetimi
KVKK Bilgilendirme
KVKK Operasyonel Uyum
BELGELENDİRME
BS 10012
ISO/IEC 27001
12. Detaylı bilgi için lütfen bizimle irtibata
geçin!
BİZE ULAŞIN
CICERT BELGELENDİRME HİZMETLERİ LTD. ŞTİ.
Adres : Atatürk Mahallesi, Kamilbey Sokak, No: 3
Tyana İş Merkezi D: 3 Ataşehir Istanbul /Türkiye
Telefon : +90 216 546 05 26
Fax : +90 216 546 03 77
Email : cicert@cicert.com.tr