YAYINLARIMIZ

Kişisel Verilerin Korunması Kanunu Kapsamında Şirketlerde Yapılması Gereken Özel Çalışmalar Ve Bu Çalışmanın Önemi

 

Kişisel verilerin Korunması Kanunu Kapsamında yapılması gerekenler

 

KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDİR ?

07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu günlük yaşantımıza bütün detaylarıyla girmiş bulunmaktadır. Yasa ile verilen 2 yıllık uyum süreci sona ermiş ve 2018 Nisan ayı itibari ile yasa tüm hükümleri ile uygulanır hale gelmiştir.

Bu tarih itibari ile küçük, orta veya büyük ölçekli tüm şirketlerin ciddi şekilde önlem alması, aksi taktirde aşağıda izah edileceği üzere büyük boyutlu cezalarla karşılaşma ihtimalleri mevcuttur.

Hepimizin malumu olduğu üzere, artık kişisel veriler günümüzde ekonomilerin önemli bir unsuru haline gelmiştir. Bu süreçte kişisel veriler internet üzerinden yapılan ticari işlemler sebebi ile para ile alınıp satılır hale gelmiş olup, uluslararası jargonla “Big Data” denilen kişisel veriler artık büyük önem kazanmıştır. Avrupa Birliği direktifleri baz alınarak yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu bu çerçevede uygulamaya girmiştir.

NEDEN KVKK İLE İLGİLİ BİR ÇALIŞMAYA İHTİYAÇ VAR ?

Kanunun yayınlanmasından sonra aradan geçen yaklaşık 2 yıllık süre içerisinde KVK Kanunu yanında, konu ile ilgili 3 ayrı yönetmelik yayımlanmış Kişisel Verileri Koruma Kurulu oluşturulmuş ve bu Kurul çalışmaya başlamıştır.

Bunun gereği olarak şirketlere kişisel verilerin korunması yönünde çalışma yapma mecburiyeti doğmuştur. Bu sebeple şirketlerin derhal önlem alma, eğitimden geçme, kişisel verilerin korunması ve gizlilik politikası oluşturma, işyerlerinde mevcut çalışanlarından muvafakatnameler alma, işyerinde bir veri sorumlusu, bir veri işleyen tayin etme, bunların görev ve sorumluluklarını sınırlarını belirleme, işyerinde bir veri kayıt sistemi yaratma ve bunu veri sorumluları siciline kaydettirme zorunluluğu mevcuttur. 

Yine mevcut kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine yönelik yönetmelik doğrultusunda işyerinde belirlenen veri sorumluları ve veri işleyenler belirleme, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiştir. Şirketlerin bu yönde belirleme ve çalışma yapması gereklidir.

Şirketin mevcutta tedarikçileri, birlikte iş yaptığı tüm firmalar ve şahıslar, üçüncü kişiler ile akdedilecek tüm sözleşmelere kişisel verilerin korunması kanunu çerçevesinde özel madde eklenmesi gerekmektedir.

İşyerinde mevcut her türlü bilginin kişisel veri olup olmadığı tanımlanmalı ve bu kişisel verilerin işlenmesi bir esasa bağlanmak mecburiyetindedir.

31.12.2017 tarihli resmî gazetede yayımlanan “Veri Sorumluları Hakkında Yönetmelik” hükümlerine göre, yürürlüğe girecek olan VERBİS sistemine uygun şekilde çalışmaların planlaması gerekmekte, VERBİS sistemine kayıt için veri haritasının çıkartılması ve bu konuda Kurum’a kaydettirme zorunluluğu da vardır.

KVK MEVZUATINA AYKIRI DAVRANMA HALİNDE CEZA MADDELERİ:

6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun gereği yapılması gereken bu çalışmaların yapılmaması, yasanın 17. ve 18. maddelerinde ciddi hapis cezalarının ve para cezalarının ödenmesini gerektirir şekilde belirtilmiştir.

Yasanın 17. Maddesinde kişisel verilerin silinmemesi ve anonim hale getirilmemesi Türk Ceza Kanunu (TCK) madde 138 gereği 1 yıldan 2 yıla kadar hapis cezasını gerektirmektedir.

Yine KVK Kanunu ile atıf yapılan TCK madde 135 gereği kişisel verileri hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılacağı ve ayrıca TCK madde 140 gereği tüzel kişiler hakkında güvenlik tedbiri uygulaması yapılacağı hükümlerine atıf yapılmıştır.

Şirketler için uygulanacak güvenlik tedbirleri de ciddi sorun teşkil eder niteliktedir, çünkü Türk Ceza Kanunu madde 60’ da belirtildiği üzere bu tedbirler faaliyet izni iptali ve şirkete ait birtakım değerlerin ve suça konu bilgisayar ve sair ekipmanların müsaderesidir ( yani bunlara el konmasıdır)  

Öte yandan aynı Kanun’un 18. Maddesi gereği, Kanun’da belirtilen aydınlatma yükümlülüğünün ihlali 100.000 TL’ye kadar para cezası, veri güvenliği yükümlülüğünün ihlali, Kişisel Verileri Koruma Kurulu kararlarına muhalefet ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık ise 1.000.000,00 TL’ye kadar para cezası yaptırımına bağlanmıştır.

Şirketler için söz konusu cezalardan;

  1. Yönetim Kurulu Başkanı ve Yönetim Kurulu üyeleri ile
  2. Genel Müdür veya Şirket Müdürü
  3. Ve İmza sirküleri ile yetkilendirilmiş birim Müdürleri gibi şirketi doğrudan veya dolaylı temsil yetkisine sahip kişiler

Türk Ceza Kanunu gereği sorumludurlar.

KVK MEVZUATINA KARŞISINDA NELER YAPMAK GEREKİR?  KVK KONUSUNDA TECRÜBELİ BİR HUKUK BÜROSU VE K&P LEGAL OLARAK NELER YAPMAYI VAADEDİYORUZ:

Yasa gereği oluşturulan Kişisel Verileri Koruma Kurulu zaman zaman ticaret hayatımızı ilgilendiren kararlar almakta bu kararların bir kısmı yayınlanmaktadır. Oluşturulan Veri Koruma Kurulu, uzman ve uzman yardımcılığı adı altında yeni kadrolar oluşturularak, şikâyet üzerine veya re ’sen denetimlere başlayacaktır.  

Görüldüğü üzere, 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun kapsamında yapılması gereken ciddi bir çalışma söz konusudur. Bunun için gerekli çalışmanın mutlaka alanında uzman Şirketler Hukuku’nu bilen şirket kültürü ile çalışmayı alışkanlık haline getirmiş bir hukuk bürosu olması ve detaylı bir çalışma yapılması bir zorunluluk olarak ortaya çıkmaktadır.

K&P Legal Hukuk Bürosu 28 yıla varan tecrübesi, güçlü ekibi, İzmir ve İstanbul’da bulunan ofisleri ile Şirketler Hukuku, İş Hukuku, Ticaret Hukuku alanlarında edindiği tecrübe ile kişisel verileri korunma Kanunu kapsamında firmanıza en doğru, en efektif, en pratik şekilde hizmet vermeye hazırdır.

Bu çalışma ile;

  • Başta şirket üst yönetimi ile konunun öneminin ve yapılacak çalışmaların aktarıldığı bir ön bilgilendirme toplantısı yapılması ve yönetici özeti şeklinde bilgi aktarılması,
  • Şirket içinde bir proje hazırlık ekibi oluşturularak belirlenerek bu kişilerin detaylı eğitimine alınması,
  • Şirket profilinin çıkarılarak yapısına uygun çalışma planı oluşturulması,
  • Şirket içinde KVKK kapsamında toplanan tüm bilgilerin kaynağının belirlenmesi, analiz edilmesi, bunların tasnifi ile ilgili belirleme çalışması yapılması,
  • Konu ile ilgili çalışanlara eğitim verilmesi,
  • Kanun ile ilgili eğitim dokümanı hazırlanması ve bunun şirket içinde yayınlanması,
  • KVKK ile ilgili çalışma alanı olan farklı departmanların ayrı ayrı eğitime alınması,
  • İşyerinde mevcut tüm iş sözleşmelerinin gözden geçirilmesi, çalışan iş sözleşmelerinin ileriye dönük olarak revize edilmesi,
  • Kişisel verilerle ilgili çalışan / personel muvafakatnamelerinin alınması,
  • Kişisel verilerle ilgili şirket tedarikçileri ve 3. Kişilerle yapılan sözleşmelerin gözden geçirilmesi
  • Bu şirket ve tedarikçilerden ayrıca muvafakatnameler alınması,
  • Şirket içinde veri sorumlusu ve veri işleyen ekiplerin oluşturulması ve bu ekiplerin özel eğitimi,
  • Veri işleyen taahhütnamesi ve veri sorumlusu taahhütnamelerinin alınması,
  • Kişisel verilerin korunması ile ilgili bilgilendirme metinlerinin hazırlanması,
  • Şirket süreçlerinin ele alınarak Kanun ile uyumlu hale getirilmesi,
  • Kişisel verilerin korunması ve veri güvenliği ve gizlilik politikası oluşturulması,
  • Sık veri alışverişi yapılan tedarikçiler ve firmalarla özel veri aktarım sözleşmeleri yapılması,
  • Kişisel verilerin korunması ile ilgili gereken idari ve teknik alt yapının kurulması,
  • Şirket içinde gizlilik, siber güvenlik ve çerez politikalarının oluşturulması için IT departmanı ile ortak çalışma yapılması,
  • Ağ güvenliği, bilgisayar güvenliği ve kullanıcı güvenliği ile bilgi güvenliği konusunda gerekli alt yapının yasaya uygun şekilde oluşturulması konusunda IT departmanı ile birlikte çalışmalar yapılması,
  • Şirkete ait Web sitesi, Facebook, Twitter gibi sosyal paylaşım sitelerinin yasaya uygun şekilde güncellenmesi konusunda danışmanlık yapılması,
  • Kişisel Verilerin Korunması Kanunu kapsamında oluşturulacak veri sorumluları siciline gerekli kayıtların yapılması hususunda danışmanlık verilmesi,
  • VERBİS sistemine kayıt için veri haritasının çıkartılması
  • Kamuoyunu aydınlatma metni hazırlanması,

şeklinde uzun süreli ve her bir sürecin detaylı şekilde analiz edildiği bir çalışma yapılmasını gerektirmektedir.

BİLİŞİM YÖNÜNDE YAPILACAKLAR : 

Tüm bu çalışmalar şirketinizde KVK sisteminin yerleşmesini sağlarken, ister istemez şirketlerde zamanla pek çok veri birikecek ve bu verilerin güvenliğinin de sağlanması gerekecektir.  KVK Yasası gereği, kişisel verinin firmanızda nasıl oluştuğu, nerede depolandığı, nasıl saklandığı, ne zaman yok edileceği ve bu aşamaların bir planlamaya tabi tutularak, veri güvenliği ve gizlilik politikalarının oluşturulması önemli olduğu kadar, bu verilerin üçüncü şahıslar veya kötü niyetli saldırılar karşısında da korunması da gerekmektedir.

Bu da bilişim alt yapısı güçlü bir şirketle çalışmanızı gerektiriyor.  K&P Legal bu noktada KVK çözüm ortağımız olan alt yapısı güçlü bilişim firmamız ile şirketinizde ;

  • Siber Güvenliğin Sağlanması
  • Kişisel Veri Güvenliğinin Bilişim yönünden Takibi
  • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
  • Kişisel Verilerin doğru şekilde Bulutta Depolanması
  • Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
  • Ve Kişisel Verilerin Yedeklenmesi

gibi konularda da şirketinizde gerekli analizlerin yapılmasını sağlamaktadır.

Bu noktada uzmanlarımız şirketinizde ; İT departmanınız gözetiminde gerekli incelemeyi yaparak, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testleri, saldırı tespit ve önleme sistemleri, veri kaybı önleme yazılımları, veri sınırlandırma çözümleri, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, e-mail güvenlik çözümleri ve sunucu güvenliği ve yama yönetimi çözümleri gibi inceleme ve derin teknik analizler yaparak firmanız için en doğru ve en efektif koruma ve saklama çözümleri neyse onu belirlemiş olur ve size raporlarlar. Bu aşamadan sonra firmanız mevcudunda, en çok neye ihtiyaç olduğunu görerek ve bilerek, hareket etmeniz çok ciddi bir fayda sağlayacaktır.   

Netice olarak, KVKK ve bağlı mevzuatı nedenleri ve sonuçları ile tüm şirket ve kurumlar için çok ciddiye alınması gereken ve işin uzmanlarından oluşan bir ekiple çalışarak, üzerinde durulması gereken son derece önemli bir kurallar bütünüdür. 

Diğer Makaleler