KVKK - BUTA GRUP

KVKK Uyum Süreci Hizmetlerimiz

VERİLERİN
ANALİZİ

AYDINLATMA YÜKÜMLÜLÜĞÜ

VERİ ENVANTERİ HAZIRLAMA

VERBİS KAYIT

KİŞİSEL VERİLERİN İŞLENMESİ

İDARİ VE TEKNİK TEDBİRLER

VERİLERİN ANALİZİ

Uyum sürecinin ilk adımı mevcut durum analizi ve stratejik planlama ile başlamaktadır. Fiziksel veya elektronik ortamlarda işlenmekte olan tüm kişisel verilerin analizi yapılmaktadır. Bu analiz kapsamında, öncelikle işlenen kişisel verilerin niteliğinin (kişisel veri, özel nitelikli kişisel veri) tespit edilmesi, akabinde de kişisel verilerin elde edilmesi, kaydedilmesi, kullanımının engellenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, güncellenmesi, saklanması, depolanması, değiştirilmesi, açıklanması, devralınması, sınıflandırılması gibi kişisel veri işlemeye ilişkin tüm aşamaların tespit edilmesi ve bu doğrultuda kişisel veri iş akış şemalarının belirlenmesi gerekmektedir.

Veri Analiz Süreci


• Süreç veya Faaliyet Bazında Kişisel Verilerin Tespiti
• Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi
• İşlenen Kişisel Verilerin Hukuki Sebeplerinin Tespiti
• Kişisel Veri İşleme Amaçlarının Tespiti
• Veri Konusu Kişi Gruplarının Belirlenmesi
• İşlenen Kişisel Verilerin Saklama Süresinin Belirlenmesi
• İşlenen Kişisel Verilerin Aktarıldığı Alıcı Gruplarının Belirlenmesi
• Yabancı Ülkelere Aktarılan Kişisel Verilerin Belirlenmesi
• İşlenen Kişisel Veriler İçin Alınan Teknik ve İdari Tedbirlerin Belirlenmesi

AYDINLATMA YÜKÜMLÜLÜĞÜ

Kişisel veri işleme faaliyetleri doğrultusunda ilgili kişiler bilgilendirilmeli ve aydınlatma metinleri oluşturulmalıdır.

Veri Sorumlusunun Aydınlatma Yükümlülüğü


Madde 10
(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci Maddede sayılan diğer hakları,
konularında bilgi vermekle yükümlüdür denilmektedir.

Yaptırımlar


Kanunun Kabahatler Bölümünde 18. Maddede ise Aydınlatma Yükümlülüğünü yerine getirmeyenler için öngörülen cezalara yer verilmiştir.
Madde 18
(1) Bu Kanunun;
a) 10 uncu Maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, Aynı kanunun istisnaların yer aldığı 28. Maddesinin 2. bendinde ise, Aydınlatma yükümlülüğünden kaynaklanan zararın tazminine ver verilmiştir.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10., zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11., ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. Maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

VERİ ENVANTERİ HAZIRLAMA

Tüm iş süreçleri ve faaliyetleri incelenerek işlenen bütün kişisel verilerin belirlenmesi gerekmektedir.
Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi, bu süreçler kapsamındaki bütün faaliyetlerin irdelenmesi, kişi gruplarına ait işlenen verilerin incelenmesi, işlenen kişisel verilerin her birinin hangi amaçlar ve hukuki sebeplerle işlendiğinin belirlenmesi, verilerin yurtdışına aktarılması ve üçüncü kişilerle paylaşılması hususu, verilerin saklama süresi, veri güvenliği için hangi teknik veya idari tedbirlerin alındığına dair bilgilerin detaylı analizinin yer aldığı sistematik bir veri envanteri oluşturulmalıdır.

Envanter Hazırlamakla Yükümlü Olanlar


Veri Sorumluları Sicili hakkındaki yönetmeliğin 5. Maddesi 1. fıkrası (ç) bendine göre: “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür.” Sicil başvurularında beyan edilecek bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

Envanter İçeriği


Veri Sorumluları Sicili hakkındaki yönetmeliğe göre veri envanterinde yer alması gereken başlıklar asgari olarak şu şekilde sıralanabilir:

• Veri kategorisi

• Kişisel veri işleme amaçları ve hukuki sebebi

• Aktarılan alıcı / alıcı grupları

• Veri konusu kişi grupları

• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi

• Yabancı ülkelere aktarımı öngörülen kişisel veriler

• Veri güvenliğine ilişkin alınan teknik ve idari tedbirler

VERBİS KAYIT

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce “Veri Sorumluları Sicili’ne kaydolmak zorundadır. Türkiye'de yerleşik olan veri sorumluları doğrudan, Türkiye'de yerleşik olmayan veri sorumluları ise yetkilendirecekleri temsilcisi vasıtasıyla sicile kayıt olurlar. Sicile kayıt ile; veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılabilmesi amaçlanmaktadır.

Kurulca alınan ve 18.08.2018 tarihli Resmi Gazete’de yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri belirlenmiş olup bu kapsamda veri sorumlularının ilgili sisteme beyanlarını bildirmeleri gerekmektedir.

Güncel durumdaki Sicil’e son kayıt tarihleri aşağıda belirtilmiştir:
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 - 30.09.2020,
• Yurtdışında yerleşik veri sorumluları 01.1.2018 - 30.09.2020,
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumluları 01.01.2019 31.03.2021,
• Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.03.2021 tarihleri arasında Sicile kayıt olmak zorundadır.

KİŞİSEL VERİLERİN İŞLENMESİ

KVKK kapsamında çalışanlar, çalışan adayları, ziyaretçiler ve diğer ilgili kişilere ait kişisel veriler Kanuna uygun olarak işlenmeli, saklanmalı, paylaşılmalı ve imha edilmelidir. Bu çerçevede işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmelidir.
Kişisel veriler işlenirken Kanunda yer alan aşağıdaki ilkelerle uyum sağlanması gerekmektedir:
• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel Verilerin İşlenme Şartları


KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmelidir:
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Veri sahipleri açısından korunmasının daha kritik önemi olan özel nitelikli kişisel verilerin işlenmesinde, özel hassasiyet gösterilmesi ve veri işleme sürecinde Kurul tarafından belirlenen önlemlerin alınması gerekmektedir.

KVKK İDARİ VE TEKNİK TEDBİRLER

İdari Tedbirler
1) Mevcut Risk ve Tehditlerin Belirlenmesi


• Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
• Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
• Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.

2) Çalışanların Eğitilmesi ve Farkındalık Çalışmaları


• Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.

3) Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi


• Veri sorumlularının, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğunu ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğini temin etmesi gerekmektedir.

4) Politika ve Prosedürlerin KVKK ile Uyumlu Hale Getirilmesi


• Şirket politika, prosedür ve sözleşmelerinin KVKK ile uyumlu hale getirilmesi ve kurum kültürüne kişisel verilerin işlenmesi süreci için bilincinin yerleştirilmesi gerekmektedir.

5) Kişisel Verilerin Mümkün Olduğunca Azaltılması


• Kanunun 4. Maddesinin 2. fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

6) Veri İşleyenler ile İlişkilerin Yönetimi


• Bazı veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet almaktadırlar. Kanun gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

Teknik Tedbirler


Kişisel veriler işlenirken KVKK’ya uyumlu olarak bütünlük, gizlilik ve erişilebilirlik ilkeleri çerçevesinde teknik tedbirlerin alınması gerekmektedir.
       • Siber Güvenliğin Sağlanması
       • Sızma Testlerinin Yapılması
       • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
       • Kişisel Verilerin Bulutta Depolanması
       • Kişisel Verilerin Yedeklenmesi
       • Veri Maskeleme Önlemlerinin Alınması
       • Log Kayıtlarının Tutulması
       • Yetki Matrisinin Oluşturulması
       • Şifreleme Sistemlerinin Kullanılması
       • Güvenlik Sorunlarının Raporlanması