Kişisel Verilerin Korunması Kanunu (KVKK)MGC Legal
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.
Kişisel Verilerin Korunması Kanunu (KVKK)MGC Legal
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.
ETİD Kişisel Verilerin Korunması Kanunu Workshop SunumuETİD
16 Ocak'ta ETİD tarafından Kişisel Verileri Koruma Kanunu hakkında düzenlenen workshop'ta Okan Üniversitesi’nden Yrd. Doç. Dr. Cansu Topal’ın kapsamlı sunumu
Sunum İçeriği
Mevzuat
II. Genel Bilgi ve Temel
Kavramlar
III. Açık Rıza
IV. Uygun Adım Testi
V. Haklar ve Yükümlülükler
VI. Uyum Proje Planı
Kişisel verilerin toplanmasına hangi bilişim sistemlerinin kullanılacağı,
Kişisel verilerin nasıl saklanacağı,
Veri güvenliğinin sağlanmasının detayları,
Kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem,
Veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem,
Kişisel verilerin silinmesinde kullanılacak yöntem.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
6698 sayılı Kişisel Verilen Korunması Kanunu’na uyum kapsamında şirketlerin yapması gerekenlerin iş hukuku ile sözleşmeler hukuku yönünden değerlendirilmesine ilişkin bilgi notu.
Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlandı. 7 Ekim 2016 tarihinden itibaren tüm maddeleri ile yürürlüğe girecek olan kanun hem gerçek hem tüzel kişileri yakından ilgilendiren hükümlere yer veriyor.
Kişisel Verilerin Korunması Kanunu hakkında merak edilen, tartışılan konuları yalın ve net bir dille açıklayan bir SSS (Sıkça Sorulan Sorular) dokümanı.
Veri kaybını önleme (DLP), hassas verilerin kaybolmamasını, kötüye kullanılmamasını veya yetkisiz kullanıcılar tarafından erişilmemesini sağlamak için kullanılan bir dizi araç ve süreçtir. DLP yazılımı, düzenlenmiş, gizli ve iş açısından kritik verileri sınıflandırır ve genellikle HIPAA, PCI-DSS veya GDPR gibi yasal uyumluluk tarafından yönlendirilen, kuruluşlar tarafından veya önceden tanımlanmış bir ilke paketi içinde tanımlanan ilkelerin ihlallerini tanımlar. Bu ihlaller belirlendikten sonra, DLP, son kullanıcıların kurumu riske atabilecek verileri yanlışlıkla veya kötü niyetle paylaşmasını önlemek için uyarılar, şifreleme ve diğer koruyucu eylemlerle düzeltmeyi zorunlu kılar. Veri kaybını önleme yazılımı ve araçları, uç nokta etkinliklerini izler ve kontrol eder, kurumsal ağlardaki veri akışlarını filtreler ve verileri korumak için buluttaki verileri izler. DLP aynı zamanda uyumluluk ve denetim gereksinimlerini karşılamak ve adli tıp ve olay müdahalesi için zayıflık ve anormallik alanlarını belirlemek için raporlama sağlar.
ETİD Kişisel Verilerin Korunması Kanunu Workshop SunumuETİD
16 Ocak'ta ETİD tarafından Kişisel Verileri Koruma Kanunu hakkında düzenlenen workshop'ta Okan Üniversitesi’nden Yrd. Doç. Dr. Cansu Topal’ın kapsamlı sunumu
Sunum İçeriği
Mevzuat
II. Genel Bilgi ve Temel
Kavramlar
III. Açık Rıza
IV. Uygun Adım Testi
V. Haklar ve Yükümlülükler
VI. Uyum Proje Planı
Kişisel verilerin toplanmasına hangi bilişim sistemlerinin kullanılacağı,
Kişisel verilerin nasıl saklanacağı,
Veri güvenliğinin sağlanmasının detayları,
Kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem,
Veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem,
Kişisel verilerin silinmesinde kullanılacak yöntem.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
6698 sayılı Kişisel Verilen Korunması Kanunu’na uyum kapsamında şirketlerin yapması gerekenlerin iş hukuku ile sözleşmeler hukuku yönünden değerlendirilmesine ilişkin bilgi notu.
Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlandı. 7 Ekim 2016 tarihinden itibaren tüm maddeleri ile yürürlüğe girecek olan kanun hem gerçek hem tüzel kişileri yakından ilgilendiren hükümlere yer veriyor.
Kişisel Verilerin Korunması Kanunu hakkında merak edilen, tartışılan konuları yalın ve net bir dille açıklayan bir SSS (Sıkça Sorulan Sorular) dokümanı.
Veri kaybını önleme (DLP), hassas verilerin kaybolmamasını, kötüye kullanılmamasını veya yetkisiz kullanıcılar tarafından erişilmemesini sağlamak için kullanılan bir dizi araç ve süreçtir. DLP yazılımı, düzenlenmiş, gizli ve iş açısından kritik verileri sınıflandırır ve genellikle HIPAA, PCI-DSS veya GDPR gibi yasal uyumluluk tarafından yönlendirilen, kuruluşlar tarafından veya önceden tanımlanmış bir ilke paketi içinde tanımlanan ilkelerin ihlallerini tanımlar. Bu ihlaller belirlendikten sonra, DLP, son kullanıcıların kurumu riske atabilecek verileri yanlışlıkla veya kötü niyetle paylaşmasını önlemek için uyarılar, şifreleme ve diğer koruyucu eylemlerle düzeltmeyi zorunlu kılar. Veri kaybını önleme yazılımı ve araçları, uç nokta etkinliklerini izler ve kontrol eder, kurumsal ağlardaki veri akışlarını filtreler ve verileri korumak için buluttaki verileri izler. DLP aynı zamanda uyumluluk ve denetim gereksinimlerini karşılamak ve adli tıp ve olay müdahalesi için zayıflık ve anormallik alanlarını belirlemek için raporlama sağlar.
6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına İlişkin Kanun ile birtakım değişikliklere uğradı.
Detayları dokümanımızda bulabilirsiniz.
Giriş
İlgili Mevzuat
Ödeme Sistemlerinde Veri Korumanın Önemi
Önemli Tanımlar
Hassas Ödeme Verisi ile Kişisel Bilgi Ayrımı
Ödeme Sistemlerinde Veri Neden Korunmalıdır?
6493 Sayılı Kanunda Veri Koruma Hükümleri
Yönetmeliklerde Veri Koruma Standartları
Tebliğ’de Veri Koruma ve Dış Hizmet Alımı
Sonuç
Kaynakça
Çevrimiçi Mahremiyet ve Çerezler Konulu Kişisel Verilerin Korunması Kanunu Bü...Jurcom GRC Services
15.02.2024'te KVKK tarafından yayımlanan Çevrimiçi Mahremiyet ve Çerezler Konulu Kişisel Verilerin Korunması Kanunu Bülteni'ne yönelik uzman görüşlerimizi paylaşıyoruz.
Big data kavramı hakkında en temel bilgiler ve örnek big data senaryolarının yer aldığı bir sunumdur. Büyük verinin hangi sektörlerde ve nasıl kullanılabileceğine dair ipuçları da yer alan sunumda 4 adet dikkat çekici video da yer almaktadır.
Yazılarıma göz atmak için: velibahceci.com 'u ziyaret edebilirsiniz.
2. • 2010 yılında, Anayasanın 20. maddesine eklenen “Herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına
sahiptir…”hükmü ile kişisel verilerin korunması ilk kez anayasal
bir hak statüsüne kavuşmuştur.
• 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin
Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi
Gazetede yayımlanarak yürürlüğe girmiştir
3. Kanunun Kapsamı Nedir?
‘‘Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler
ile bu verileri tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler
hakkında uygulanır’’ (KVKK-Mad.2)
KVK Kanunu uyarınca, belirli bir kişi (çalışan, müşteri, bayi,
rakip, iş ortağı, vs.) ile ilişkilendirilebilen her türlü veri kişisel
veridir. Veri ile ilgili yapılabilecek her türlü işlem “kişisel
verilerin işlenmesi” olarak tanımlanmıştır.
4. Siz?
• Kişisel verilerini tuttuğunuz aşağıdaki paydaşlara sahip
misiniz?
✓ Tüketiciler
✓ Aboneler
✓ Müşteriler
✓ Tedarikçiler veya
✓ Çalışanlar
• Bu verileri;
✓ Otomatik işlemeye tabi tutuyor musunuz? Ya da
✓ Herhangi bir “veri kayıt sistemi” aracılığıyla işliyor
musunuz?
5. ✓ Şirket İçi Adımlar
• Veri sorumluları siciline kayıt (VERBİS)
• Veri işleme envanteri
• Veri kayıt sistemi (verilerin kayıt edildiği ve işlendiği sistem)
• Veri saklama ve imha politikası
✓ Eski Verilerin Kanuna Uygun Hale Getirilmesi
• Açık rıza
• Silme, yok etme, anonim hale getirme
✓ Yeni Verilerde İzlenecek Adımlar
• Verilerin şirkete girişi
• Aydınlatma yükümlülüğü
• Açık rıza
• Verilerin İşlenmesi
Bu Durumda Neler Yapmalısınız?
6. Yaptırımlar-Kabahatler
KABAHATLER
(KVK Kanunu md.18)
İDARİ PARA CEZALARI
ASGARİ AZAMİ
Aydınlatma Yükümlülüğün İhlali 5.000 TL 100.000 TL
Veri Güvenliği Yükümlülüğün İhlali 15.000 TL 1.000.000 TL
Kurul tarafından Verilen Kararların Yerine
Getirilmemesi
25.000 TL 1.000.000 TL
Veri Sorumluları Siciline Kaydolma
Yükümlülüğünün İhlali
20.000 TL 1.000.000 TL
7. Yaptırımlar-Suçlar
SUÇLAR
HAPİS CEZALARI
ASGARİ AZAMİ
(TCK md.135)
Hukuka aykırı olarak kişisel verileri
kaydetme
1 yıl 3 yıl Kişisel verinin, kişilerin siyasi, felsefi veya dini
görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki
eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya
sendikal bağlantılarına ilişkin olması durumunda ceza
yarı oranda arttırılır
(TCK md.136)
Kişisel verileri, hukuka aykırı olarak
bir başkasına verme, yayma veya ele
geçirme
2 yıl 4 yıl Kamu görevlisi tarafından ve görevinin verdiği yetki
kötüye kullanılmak suretiyle veya belli bir meslek ve
sanatın sağladığı kolaylıktan yararlanmak suretiyle
işlenmesi halinde ceza yarı oranda arttırılır
(TCK md.138)
Kanunların belirlediği sürelerin
geçmiş olmasına karşın verileri sistem
içinde yok etmeme
1 yıl 2 yıl Suçun konusunun Ceza Muhakemesi Kanunu
hükümlerine göre ortadan kaldırılması veya yok
edilmesi gereken veri olması hâlinde verilecek ceza bir
kat artırılır.
(KVK Kanunu md.17)
KVK Kanunu md. 7 hükmüne aykırı
olarak kişisel verileri silmeme veya
anonim hale getirmeme
1 yıl 2 yıl Kanunun 7. maddesi hükmüne aykırı olarak; kişisel
verileri silmeyen veya anonim hâle getirmeyenler 5237
sayılı Kanunun 138. Maddesine göre cezalandırılır.
8. GPDR Nedir?
Avrupa Birliği Genel Veri Koruma Düzenlemesi (GDPR),
tüm Avrupa pazarlarındaki kişisel verinin kullanımı
düzenleyen yeni bir yasal çerçevedir ve mevcut ulusal veri
koruma kanunlarının yerine geçerek, 25 Mayıs 2018
tarihinden itibaren yürürlüğe girecektir.
Eğer bir şirket Avrupa Birliği’nde yaşayan bir bireyle ilgili
kişisel veriyi işlerse (kişinin AB vatandaşı olması gerekmez),
yasa işletmenin nerede kurulu olduğuna bakılmaksızın
geçerli olacaktır.
GDPR uyumlu sisteme sahip olmayan kuruluşlar için - yıllık
küresel cironun %4’üne varan- yüklü para cezaları söz
konusu olabilecektir.
9. Siz?
✓ AB ülkeleri içinde bulunun bulunmayın AB üyesi
vatandaşlarının kişisel bilgilerini depoluyor veya işliyor
musunuz? Örneğin;
• İş için başvuranların CV'lerine sahip misiniz?
• Ab ülkelerinden sitenize giren insanların verilerini
tutmuyor musunuz?
✓ Söz konusu kişisel veri kayıtlarını tutan ve işleyen siz
olmasanız bile bu faaliyetlerin tümünü veya bir bölümünü
gerçekleştiren herhangi bir dış kaynak firması ile çalışıyor
musunuz?
10. GDPR ve KVKK ile BS 10012 ve ISO
27001 arasındaki İlişki?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi KVKK Süreçlerini de
kapsayan bir standarttır. KVKK incelendiğinde ISO 27001 BGYS
nin EK-A dediğimiz 114 Kontrol noktasındaki bazı maddelere atıfta
bulunduğu görülmektedir.
KVKK’nın maddeleri içerisinde yer alan Veri Sınıflaması,
Maskeleme, veri sızıntısını önleme, Güvenli veri transferi, Erişim
Kontrollerine ilişkin hükümlerin Bilgi Güvenliği Politikaları ile
Prosedürlere ek olarak ayrıca düzenlenmesi gerektiği ortaya
çıkmaktadır.
Bu kapsamda AB Ülkeleri içerisinde GDPR düzenlemelerine ilişkin
düzenlenen BS 10012 Kişisel Veri Güvenliği Sistemine Uyumluluk
çalışmalarının kuruluş bünyesinde mutlaka uygulanması
farkındalığın arttırılması, Kurumun İdari Para ve Hapis cezalarından
etkilenmemesi açısından önemlidir
11. Neden CIcert?
2018 yılı itibarı ile Türkiye’de faaliyet gösteren çoğu kuruluş, ağır yaptırımlara
uğramamak için KVKK ve GDPR’ye göre verileri korumaya yönelik bir sistem kurmalı
ve uygulamalarını hazır hale getirmelidir.
KVKK ve GDPR gereksinimlerini karşılamanız için
CIcert olarak uzman ve yetkin kadromuz ile aşağıdaki hizmetleri
sunmaktayız
EĞİTİMLER
BOŞLUK (GAP) ANALİZİ
KVKK’YA UYUM DENETİMİ
Süreç Denetimi
Veri Güvenliği Denetimi
Organizasyonel Uyum Denetimi
KVKK Bilgilendirme
KVKK Operasyonel Uyum
BELGELENDİRME
BS 10012
ISO/IEC 27001
12. Detaylı bilgi için lütfen bizimle irtibata
geçin!
BİZE ULAŞIN
CICERT BELGELENDİRME HİZMETLERİ LTD. ŞTİ.
Adres : Atatürk Mahallesi, Kamilbey Sokak, No: 3
Tyana İş Merkezi D: 3 Ataşehir Istanbul /Türkiye
Telefon : +90 216 546 05 26
Fax : +90 216 546 03 77
Email : cicert@cicert.com.tr