Ana Sayfa Arama Yazarlar
Kategoriler
Servisler
Nöbetçi Eczaneler Sayfası Nöbetçi Eczaneler Hava Durumu Namaz Vakitleri Puan Durumu
WhatsApp
WhatsApp İhbar Hattı
Sosyal Medya
Ana SayfaEkonomiŞirketlere KVKK uyarısı: Son tarih 30 Eylül 2020!

Şirketlere KVKK uyarısı: Son tarih 30 Eylül 2020!

Ekonomi
6698 Sayılı Kişisel VerilerinKorunması
ABONE OL

6698 Sayılı Kişisel VerilerinKorunması Kanunu’nun iş hayatında ne gibi değişiklikler meydana getireceğini ve kanuna uyum için neler yapılması gerektiğini, Kocaeli KVKK Danışmanlık firmasına sorduk. Firma; Avukat, Bilgisayar Mühendisi ve Bilgi Güvenliği Baş Denetçisinden oluşan uzman ekiple farklı sektörlerden onlarca firmaya KVKK ve bilgi güvenliği konularında danışmanlık hizmeti veriyor. Kocaeli KVKK Danışmanlık Şirketi, kurum ve işletmelere Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olma zorunluluğu konusunda uyarılarda bulundu. 30 Haziran 2020 tarihine kadar yapılması gereken sürecin pandemi nedeniyle ertelendiğini ve bu ertelemenin “son erteleme” olmasını beklediklerinin özellikle altını çizdi. KVKK projesinin asgari 6 haftalık uzun soluklu bir çalışma gerektirdiği ve VERBİS’in envantere dayalı olmaksızın ezbere yapılmasının da kurul tarafından cezaya tabi tutulabileceğinin ve hukuk/teknik ve süreç yönetimi içermesi nedeniyle uzman desteği alınmasının altını çizdi.

50 ve üzeri çalışanı olan veya son yıllık bilançosu 25 milyon TL ve üzeri olan şirketlerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydı zorunlu olup, belirtilen çalışan sayısı ve aktif büyüklüğünün altında kalan firmaların da gerek veri sorumlusu gerekse veri işleyen sıfatıyla, idari ve teknik tedbirlerin alınmasından sorumlu olduğu konusunda firmalarımıza uyarılarda bulundu. KVKK’nın, VERBİS’ten ibaret bir düzenlemeymiş gibi yanlış bir algı olduğunu dile getiren KVKK uzmanımız, bu kapsamda kurul kararlarına bakıldığında tek kişilik muayenehane, işletme ya da eczane gibi şahıs şirketlerine yönelik cezaların kesildiği görülmektedir, dedi. Ayrıca, kesilen cezaların büyük oranda veri ihlalleri, şikayet ve siber saldırı kaynaklı olduğunu ve belirtilen kararlara kurulun sitesinden ulaşılabileceğini dile getirdi.

İDARİ PARA CEZASI UYGULANACAK!

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre, pandemi dolayısıyla son kez 30 Eylül’e kadar uzatılmıştı. Bu tarihe kadar kayıt olmayanlara Kişisel Verileri Koruma Kanununda ifade edilen 20 bin TL ile 1 milyon TL arasında değişen idari para cezasının her yıl yeniden değerleme oranında artırıldığı ve bu tutarın 2020 yılı için 1.802.636 TL’ye kadar uygulanabileceği uyarısında bulunuldu. Tüm detayları sizler için sorduk. İşte o cevaplar…

1)Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur?

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

2) Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

3)Danışmanlık Yaptığınız Firmalara Hangi Hizmetleri Vermektesiniz?

* Kişisel veri yönetim modeli, organizasyonu, görev tanımı ve süreç yönetimi oluşturulmaktadır.

*  Yasal uyumluluk, KVKK ve diğer ikincil mevzuatın taleplerinin karşılanması ve iş ihtiyaçları doğrultusunda önerilerinde bulunulmaktadır.

* Şirketin veri envanteri oluşturulmasına yönelik olarak analizler yapılmaktadır.

*  Süreçlerin süreç ve bilgi güvenliği açısından ve veri amaçları bazında, kanun ile olan uyumluluğu (istisnalar, açık rıza gereksinimi, aktarım süreçleri, saklama süreleri vs.) değerlendrilmektedir.

*  BT departmanı ile  birlikte bilgi güvenliği risklerinin analizi ve denetlemesi yapılmaktadır.

*  “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun şekilde Aydınlatma ve Açık Rıza metinleri oluşturulmaktadır. (Çalışan, Çalışan Adayı, Ziyaretçi, Müşteri, Tedarikçi vs. için ayrı ayrı)

*  Bilgi güvenliği gereksinimleri kapsamında sözleşmeler gözden geçirilmekte ve Gizlilik Taahhütnameleri oluşturulmaktadır. (Personel, Tedarikçi, Müşteri vs.)

*  Kişisel Verilerin Koruma Kurumunun yayınlamış olduğu Kişisel Veri Güvenliği Rehberindeki idari tedbirleri karşılayacak şekilde şirket için Kişisel Verilerin İşlenmesi ve Korunması  Politikası, Veri Saklama ve İmha Politikası, Özel Nitelikli Kişisel Verilere İlişkin Önlem Politikaları, Bilgi Güvenliği Politikaları ve prosedürler  oluşturulmaktadır.

*  Acil durum eylem planı oluşturulmaktadır.

* Şirket çalışanlarına KVKK Farkındalık Eğitimi verilmektedir.

*  İdari tedbirler başlığında sayılan Risk Analizi ve Denetim Raporu hazırlanmaktadır. (Tespit edilen hususların iyileştirilmesi amacıyla önceliklendirme ve iyileştirme aksiyon planları  hazırlanmaktadır.)

* Teknik tedbirler kapsamında şirketin yapması gereken çalışmalara ilişkin öneriler paylaşılmakta, 27001 Bilgi Güvenliği örnek dokümanları paylaşılmaktadır.

* Hazırlanan Veri Envanterinin VERBİS’e kaydı yapılmaktadır. (25 milyon aktif ya da 50 çalışan sayısının altında olan firmalar hariç)

Sunmuş olduğumuz hizmetler 6698 Sayılı Kanunun emrettiği tüm başlıkları karşılayacak kapsamdadır.

4) KVKK Kapsamında Nasıl Cezalar Uygulanacaktır?

KABAHATLER

-Aydınlatma yükümlülüklerini yerine getirmezse: 5.000-100.000 TL
-Kişisel verilerin güvenliği yükümlülüğünü yerine getirmezse: 15.000-100.000 TL
-Veri sorumluları sicile kayıt edilmez ve bildirim yapılmazsa: 20.000-1.000.000 TL
-Kurul kararını yerine getirmezse: 25.000-1.000.000 TL

*Belirtilen rakamlar her yıl yeniden değerleme oranında artırılmaktadır.

SUÇLAR

-Kişisel verileri hukuka aykırı kaydetmek:1-3 Yıl
-Nitelikli kişisel verileri hukuk aykırı kaydetmek: 1,5-4,5 Yıl
-Kişisel verileri başkasına vermek, yaymak veya ele geçirmek: 2-4 Yıl
-Kanunla belirlenen süreler geçmiş olmasına rağmen verileri yok ememe:1-2 Yıl
-Ceza muhakemesi Kanunu’na göre silinmesi gerekenleri silinmemesi: 1,5-3 Yıl

5) Kurumları VERBİS’e Başvuru Aşamaları Nasıl Gerçekleşiyor?

Kurum VERBİS kayıt öncesinde aşağıdaki aşamalardan oluşan envarter hazırlaması gerekmektedir.

-Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
-Kişisel verilerin hangi amaçla işleneceği
-Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkında açıklama
-Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
-Yabancı ülkelere aktarımı öngörülen kişisel veriler
-Kişisel veri güvenliğine ilişkin alınan tedbirler
-Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

6) Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

7) Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

8) Açık Rıza Nedir?

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.

9) Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

10)Kişisel veriyi işlerken Amacın Meşru Olması Ne Demektir?

Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

İLETİŞİM İÇİN;

http://www.kocaelikvkkdanismanlik.com

05055634979

Onur Sait SADIK