kişisel verilerin korunması ve gizlilik

KİŞİSEL VERİLERİN KORUNMASI: VERİ GİZLİLİĞİ VE VERİ KORUMANIN ÖNEMİ

Dijital teknolojinin hayatımızda yaygın bir güç haline geldiği günümüz dünyasında, kişisel verilerin korunması ve gizlilik çok önemli bir boyut kazanmıştır. Türkiye, birçok diğer ülke gibi, kişisel verileri korumanın zorluklarıyla mücadele ederken aynı zamanda yenilik ve ekonomik büyümeyi teşvik etme konusunda çaba göstermektedir.

Kişisel verilerin korunması ve gizlilik sürecini düzenleyen Genel Veri Koruma Tüzüğü (GDPR), Mayıs 2018’de Avrupa Birliği’nde (AB) yürürlüğe giren bir düzenlemedir. Tüzük, AB vatandaşlarının kişisel verilerini işleyen ve bulunduğu yere bakılmaksızın tüm şirketler için geçerlidir. GDPR, AB vatandaşlarının gizliliğinin korunmasını sağlamayı ve kişisel verileri üzerinde daha profesyonel bir kontrol sağlamayı amaçlamaktadır.

Türkiye AB üyesi değildir, ancak kendi veri koruma kanunu olan Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016’da yürürlüğe girmiştir. KVKK, GDPR’ye çok benzemekte olup AB’nin Veri Koruma Direktifi’ne dayanmaktadır. KVKK’ya göre, kişisel veriler ancak veri sahibinin açık rızasıyla, sözleşmenin yerine getirilmesi için gerekliyse veya işlemeye meşru bir ilgi varsa işlenebilir. Kanun, Türkiye’de yerleşik olan veya Türkiye’de kişisel verileri işleyen tüm veri denetleyicileri ve işleyicileri için geçerlidir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

KİŞİSEL VERİ NEDİR?

Kişisel veri, günümüzde önemli bir kavram haline gelmiştir ve mahremiyetin korunmasıyla ilgilidir. Kişisel veri, belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek her türlü bilgiyi ifade eder. Bu bilgiler, bireyin kimliğini belirleme veya belirleme olasılığını içerebilir.

Kişisel veri, kimliği belirlenmiş veya belirlenebilir gerçek kişilerle ilgili her türlü bilgiyi içerir. Bir bilginin kişisel veri nedir cevabını verebilmek için üç temel özelliği taşıması gerekmektedir:

  • Gerçek kişiye ilişkin olma: Kişisel veri, bir gerçek kişiye ait olmalıdır. Tüzel kişilere ait bilgiler genellikle kişisel veri kapsamında değildir. Örneğin, bir şirketler hukuku kapsamında ticaret unvanı veya adresi genellikle kişisel veri olarak kabul edilmez.
  • Kişiyi belirli veya belirlenebilir kılma: Kişisel veri, ilgili kişinin kimliğini direkt olarak işaret edebilir veya ilgili kişinin herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin tespit edilmesine yardımcı olabilir. Örneğin, bir kişinin adı, soyadı, doğum tarihi, telefon numarası, e-posta adresi gibi bilgiler kişiyi belirli veya belirlenebilir kılan verilerdir.
  • Her türlü bilgiyi içerebilme: Kişisel veri nedir kavramı sadece kimlik bilgilerini içermekle kalmaz, aynı zamanda kişiyi direkt veya dolaylı olarak belirlenebilir kılan diğer tüm verileri de kapsar. Örneğin, bir kişinin alışveriş alışkanlıkları, coğrafi konumu, çevrimiçi tarama geçmişi gibi veriler de kişisel veri olarak kabul edilebilir.

Mevzuatta, hangi bilgilerin kişisel veri olarak kabul edileceği ve kişisel veri nedir konusunda sınırlı bir liste sunulmamıştır. Bunun yerine, kişisel veri tanımı geniş ve esnek bir şekilde yorumlanmıştır. Bu durum, teknolojik gelişmelerle birlikte ortaya çıkan yeni veri türlerine ve veri kullanım biçimlerine uyum sağlamak için önemlidir.

Sonuç olarak, kişisel veri nedir kavramı, bireylerin gizliliğini ve güvenliğini korumak için temel bir taahhüttür. Bu nedenle, kişisel verilerin nasıl toplandığı, kullanıldığı ve saklandığı konularında dikkatli olmak önemlidir. Ayrıca, kişisel verilerin korunmasıyla ilgili mevzuatın sürekli olarak güncellenmesi ve uygun uygulanması gerekmektedir.

Kişisel veri nedir sorusuna aşağıdaki örnekler verilebilir:

Gerçek bir kişinin kimliğini belirli veya belirlenebilir kılabilen birçok bilgi türü vardır. Bunlar arasında isim, soyadı, doğum tarihi, TC kimlik numarası, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi temel kimlik bilgileri bulunurken, iş hukuku kapsamında özgeçmiş, resim, ses kayıtları, parmak izi, IP adresi, e-posta adresi gibi dijital veriler de yer alır. Ayrıca, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri, raporlar ve belgeler gibi daha karmaşık bilgiler de kişiyi tanımlamada kullanılabilir.

Bu bilgilerin her biri, bir kişinin doğrudan veya dolaylı olarak tanımlanmasını mümkün kılar ve bu nedenle kişisel veri olarak kabul edilir. Kişisel veri nedir sorusuna cevap vermek için, her durumun özelliklerine bağlı olarak değerlendirilmeli ve verinin kişiyi tanımlama kabiliyeti dikkate alınmalıdır.

ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR?

Özel nitelikli kişisel veriler, bireylerin ırkı, etnik kökeni, siyasi görüşleri, felsefi inançları, dini veya diğer inançları, kılık kıyafeti, dernek, vakıf veya sendika üyeliği, sağlık durumu, cinsel hayatı, ceza geçmişi ve güvenlik önlemleriyle ilgili verileri, ayrıca biyometrik ve genetik verileri içerir. Bu tür veriler, bir kişiye ilişkin özel ve hassas bilgileri temsil eder ve öğrenildiğinde bireylerin ayrımcılığa veya haksız muameleye maruz kalma riskini artırır.

Özel nitelikli kişisel veriler, genel kişisel verilere kıyasla daha sıkı korunmaktadır çünkü bu tür verilerin ifşa edilmesi, kişilere potansiyel olarak zarar verebilir veya mahremiyetlerini ihlal edebilir. Yasalar genellikle bu tür verileri “hassas veriler” olarak niteler ve bunların işlenmesi için daha sıkı kurallar getirir.

Özel nitelikli kişisel veriler genellikle kişinin açık rızası olmadan işlenemez. Ancak, yasal bazı istisnalar dışında, bu tür verilerin işlenmesi genellikle sınırlıdır ve kişinin açık rızası olmadan gerçekleşmez. Özellikle sağlık ve cinsel hayatla ilgili veriler, diğer özel nitelikli verilere kıyasla daha sıkı bir korumaya tabidir ve genellikle kişinin açık ve belirgin rızası olmadan işlenemezler. Bu düzenlemeler, bireylerin mahremiyetlerini ve kişisel bilgilerinin gizliliğini korumayı amaçlar ve hassas verilerin kötüye kullanılmasını önler.

Özel nitelikli kişisel veriler,  genellikle ayrımcılığa veya haksız muameleye neden olabilecek veya bireylerin güvenliği veya mahremiyeti için risk oluşturabilecek bilgileri temsil eder. Özel nitelikli kişisel verilere örnek olarak aşağıdakiler verilebilir:

  1. Sağlık Bilgileri: Bireylerin sağlık durumuyla ilgili bilgiler, özel nitelikli kişisel verilerin önemli bir parçasını oluşturur. Hastalık geçmişi, tıbbi teşhisler, tedavi geçmişi, ilaç kullanımı ve sağlık raporları bu kategoriye girer.
  2. Cinsel Hayatla İlgili Bilgiler: Bireylerin cinsel tercihleri, cinsel sağlık durumu ve cinsel hayatlarıyla ilgili diğer bilgiler de özel nitelikli kişisel verilerdir.
  3. Siyasi Görüşler ve Aktiviteler: Bireylerin siyasi görüşleri, parti üyelikleri, siyasi aktiviteleri ve benzeri bilgiler, siyasi baskıya veya ayrımcılığa neden olabileceği için özel nitelikli kişisel veriler arasında kabul edilir.
  4. Dini veya Felsefi İnançlar: Bireylerin dini veya felsefi inançları, ibadet uygulamaları ve dini veya felsefi topluluklara üyelikleri de hassas ve özel bilgilerdir.
  5. Etnik Köken ve Irk Bilgileri: Bireylerin etnik kökeni, ırkı veya milliyetiyle ilgili bilgiler, ayrımcılığa veya ırkçılığa neden olabileceği için özel korumaya tabi tutulur.
  6. Genetik ve Biyometrik Veriler: Bireylerin genetik yapılarına veya biyometrik özelliklerine dayalı veriler, parmak izi, retina taraması, yüz tanıma gibi bilgiler özel nitelikli kişisel veriler arasında sayılabilir.

Bu örnekler, özel nitelikli kişisel verilerin geniş bir yelpazesini temsil etmektedir. Bu tür verilerin korunması ve işlenmesi genellikle daha katı düzenlemelere tabidir ve genel kişisel verilere göre daha sıkı kurallar gerektirir.

KVKK VERBİS KAYIT ZORUNLULUĞU NEDİR?

6698 sayılı Kişisel Verilerin Korunması Kanunu ve Veri Sorumluları Sicili Yönetmeliği çerçevesinde, belirli şartları taşıyan şirketlerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmaları gerekmektedir. Kanunun 16. Maddesi uyarınca, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce KVKK VERBİS kayıt zorunluluğu vardır. Ancak, KVKK VERBİS kayıt zorunluluğuna ilişkin usul ve esaslar Yönetmelik tarafından belirlenmiştir.

Kanun ve Yönetmelik, VERBİS kayıt zorunluluğuna ilişkin usul ve esaslar ile kaydolunması için belirlenen süreleri Kişisel Verileri Koruma Kurulu (Kurul) tarafından ilan eder. Kurul’un 01.03.2021 tarihli ve 2021/238 sayılı kararı ile kayıt yükümlülüğü altında olan veri sorumluları için son tarih 31.12.2021 olarak belirlenmiştir. Bu tarih itibariyle, veri sorumlularının VERBİS’e tüm veri işleme süreçlerini kapsayacak şekilde kaydolmaları gerekmektedir.

kvkk verbis

VERBİS KAYIT ZORUNLULUĞU BULUNANLAR KİMLERDİR?

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt yapmakla yükümlü oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Bu sistem, veri sorumlularının veri işleme faaliyetlerine, amaçlarına, işlenen veri kategorilerine ve diğer ilgili bilgilere erişimini sağlar.

Kanun ve Yönetmelik’e göre KVKK VERBİS bildirimleri şunları içerir:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kurul, veri sorumluları tarafından yürütülen veri işleme faaliyetlerini KVKK VERBİS üzerinden kayıt altına almaktadır. Bu kayıtlar, Kurul’un denetiminde kamuya açık olarak tutulmaktadır.

Veri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır. Kurul, 06.07.2023 tarihli ve 2023/1154 sayılı kararı ile 11.03.2021 tarihli ve 2021/238 sayılı kararında değişiklik yapmıştır. Bu değişikliklerle birlikte:

  • Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 100 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünün son tarihi 31.12.2021’e,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 100 milyon TL’den az olan ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünün son tarihi de 31.12.2021’e,
  • Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünün son tarihi de 31.12.2021’e kadar uzatılmıştır.

Karar içeriğinde belirtilen azami süreler, 2021 tarihinde verilmiş olmalarına rağmen artık geçerliliklerini yitirmiştir. Ancak, bu durum VERBİS kayıt zorunluluğu yükümlülüğünün sona erdiği anlamına gelmez. Kurul, belirtilen sürelerin geçmesine rağmen hala VERBİS’e kaydını yaptırmamış veri sorumlularını, re’sen veya şikâyet üzerine tespit edebilir ve idari para cezası uygulayabilir. Bu nedenle, VERBİS kayıt zorunluluğu olan her veri sorumlusu halen sicile kaydını yapmakla yükümlüdür.

VERBİS KAYIT NASIL YAPILIR?

VERBİS kaydı yapmadan önce, veri kurum veya kuruluşunun veri envanterlerini belirlemesi ve verilerin hangi kategoriye girdiğini, hangi güvenlik önlemlerine sahip olduğunu bilmesi gerekmektedir. VERBİS’e kayıt sadece internet üzerinden yapılır; yazılı olarak kayıt yapılamaz. Tüm sicil işlemleri VERBİS üzerinden gerçekleştirilir.

KVKK VERBİS’e kayıt için “Yurtiçinde Yerleşik Gerçek / Tüzel Kişi, Yurtdışında Yerleşik Gerçek / Tüzel Kişi, Kamu Kurum ve Kuruluşları” olmak üzere üç farklı seçenek bulunmaktadır. Türkiye’de yerleşik olan veri sorumluları doğrudan, Türkiye’de yerleşik olmayan veri sorumluları ise yetkilendirecekleri temsilci aracılığıyla Sicil’e kayıt olur.

VERBİS Kaydı Nasıl Yapılır?

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Sicile kayıt olmak, kurumun kanuna uyumlu olduğunu belirtmez. Kanun kapsamında belirlenmiş diğer yükümlülükler de yerine getirilmelidir. Kurumun alt yapısı kanuna uygun hale getirilmelidir ve kişisel veriler kanuna uygun olarak işlenmelidir.

VERBİS KAYIT YÜKÜMLÜLÜĞÜ İSTİSNALARI

Kişisel Verileri Koruma Kanunu’nun 16. Maddesi, Kişisel Verileri Koruma Kurulu’nun VERBİS kayıt yükümlülüğü istisnalarını belirtmektedir. Kurul Kararları ile VERBİS kayıt yükümlülüğü istisnalarını şu şekilde sıralanmıştır:

  • Herhangi bir veri kayıt sistemine dâhil olmakla birlikte otomatik olmayan yollar ile veri işleyenler,
  • Noterler,
  • Vakıf, sendika ve derneklerden yalnızca ilgili mevzuat ve amaçlarına uygun faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler,
  • Avukatlar,
  • Serbest Muhasebeci ve Mali Müşavirler ile Yeminli Mali Müşavirler,
  • Arabulucular,
  • Gümrük Müşavirleri,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olan, ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları.

Bu istisnalar, belirli sektörlerdeki kurum ve kuruluşları VERBİS kayıt yükümlülüğü istisnalarını oluşturmaktadır.

Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca, VERBİS kayıt zorunluluğuna ilişkin olarak, veri sorumlularının veri işlemeye başlamadan önce VERBİS’e kayıt yükümlülüğünü yerine getirmeleri gerektiği belirtilmiştir. Ayrıca, kayıt yükümlülüğü altında bulunmayan ancak sonradan veri sorumlusu haline gelenlerin de yükümlülük altına girmelerini müteakip 30 günlük süre içerisinde VERBİS’e kaydolmaları gerektiği düzenlenmiştir.

Son olarak belirtmek gerekir ki, veri sorumlusunun VERBİS kayıt yükümlülüğü istisnalarının bulunması, KVKK kapsamındaki diğer yükümlülüklerini ortadan kaldırmamaktadır.

VERİ SORUMLUSU KİMDİR?

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Kanun’un 3. maddesine göre veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.” şeklinde tanımlanmıştır. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında kendileri veri sorumludur.

Kişisel verilerin işlenmesine ait tüm kararlar veri sorumlusuna aittir. Veri sorumlusu kişisel verilerle ilgili sorulara karar verir. Bu sorulara; “Kişisel veriler nerede toplanacak? Hangi kişisel veriler toplanacak? Kişisel veriler hangi amaç ya da amaçlar için işlenecek? Hangi ilgili kişilerin kişisel verileri toplanacak? Kişisel veriler paylaşılacak mı paylaşılacaksa kimlerle paylaşılacak?” gibi örnekler verilebilir. Bu kararlar ancak kişisel verilerin işlenmesi üzerinde tam hakimiyeti olan veri sorumlusu tarafından alınmalıdır.

kvkk danışmanlık

ŞİRKETLERİN VERBİS KAYDI NASIL YAPILIR?

Şirketlerin VERBİS kaydı aşağıdaki adımlarla gerçekleştirilir:

  1. İnternet Üzerinden Kayıt: Şirketlerin VERBİS kaydı sadece internet üzerinden yapılabilmektedir. Yazılı olarak başvuru yapılamaz.
  2. Seçenekler: Şirketlerin VERBİS kaydı için “Yurtiçinde Yerleşik Tüzel Kişi, Yurtdışında Yerleşik Tüzel Kişi, Kamu Kurum ve Kuruluşları” olmak üzere üç farklı seçenek bulunmaktadır. Türkiye’de yerleşik olan veri sorumluları doğrudan, Türkiye’de yerleşik olmayanlar ise yetkilendirecekleri temsilci aracılığıyla Sicil’e kayıt olabilirler.
  3. Kayıt İşlemi: Şirketler, VERBİS’e kaydolmak için gerekli bilgileri sisteme girerler. Bu bilgiler arasında şirketin kimlik ve iletişim bilgileri, faaliyet alanı, veri işleme amaçları, ve benzeri detaylar bulunur.
  4. Temsilci Aracılığıyla Kayıt: Türkiye’de yerleşik olmayan şirketler, Türkiye’deki bir temsilci aracılığıyla Sicil’e kayıt olabilirler. Temsilci, şirket adına kayıt işlemlerini gerçekleştirir.
  5. Giriş Bilgileri Alımı: Şirketlerin veribs kaydı için Veri Sorumlularının Veri Sorumluları Sicili’ne kaydolduktan sonra, Kurum tarafından kendilerine iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yaparak bildirim yapmaları ve gerekmektedir.

Bu adımları takip ederek, şirketlerin VERBİS kaydı işlemleri tamamlanır. Kayıt işlemi tamamlandıktan sonra, şirketler VERBİS’e düzenli olarak giriş yaparak bildirimlerini güncellemeli ve gerekli değişiklikleri yapmalıdırlar.

KİŞİSEL VERİ ENVANTERİ NEDİR?

Veri Sorumluları Sicili Hakkında Yönetmelik ve Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesi Hakkında Yönetmelik veri sorumlularına çeşitli yükümlülükler getirmiştir. Bu yükümlülükler arasında en önemlilerinden biri de kişisel veri işleme envanteri hazırlama zorunluluğudur.

Kişisel Veri İşleme Envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini detaylı bir şekilde belirledikleri bir rapordur. Bu envanterde, kişisel veri işleme amaçları ve hukuki sebepler, veri kategorileri, aktarılan alıcı grupları, veri konusu kişi grupları ve kişisel verilerin işlendikleri amaçlar için gerekli olan saklama süreleri gibi detaylar açıklanır.

Kişisel Veri İşleme Envanteri Nasıl Hazırlanır?

Kişisel Veri İşleme Envanteri hazırlama sürecinde şu adımlar izlenir:

  1. Kişisel Verilerin Tespiti: İlk adım, veri sorumlularının sahip oldukları kişisel verileri tespit etmeleridir.
  2. Verilerin Özelliklerinin Belirlenmesi: Hangi tür kişisel verilerin işlendiği ve bu verilerin özellikleri (örneğin, kimlik bilgileri, sağlık bilgileri, iletişim bilgileri) belirlenir.
  3. Hukuki Dayanağın Belirlenmesi: Veri işleme faaliyetlerinin hukuki dayanağı açıklığa kavuşturulur.
  4. Veri İşleme Amaçlarının Belirlenmesi: Veri işleme faaliyetlerinin hangi amaçlarla gerçekleştirildiği belirlenir.
  5. Veri Konusu Kişi Gruplarının Belirlenmesi: Verilerin hangi kişi gruplarını kapsadığı belirlenir (örneğin, çalışanlar, müşteriler, tedarikçiler).
  6. Saklama Sürelerinin Belirlenmesi: Kişisel verilerin ne kadar süreyle saklanacağı belirlenir.
  7. Verilerin Aktarıldığı Durumların Belirlenmesi: Kişisel verilerin başka bir gerçek veya tüzel kişiye aktarılıp aktarılmadığı ve bu aktarımın hukuki sebepleri belirlenir.
  8. Yabancı Ülkelere Aktarım Durumlarının Belirlenmesi: Kişisel verilerin yabancı ülkelere aktarılıp aktarılmadığı ve bu durumun hukuki sebepleri belirlenir.
  9. Güvenlik Önlemlerinin Belirlenmesi: Kişisel verilerin gizliliğini korumak için alınan güvenlik önlemleri belirlenir ve bu önlemlerin etkinliği açıklanır.

Kişisel Veri İşleme Envanteri, veri sorumlularının KVKK kapsamındaki yükümlülüklerini yerine getirmelerine yardımcı olur ve veri işleme faaliyetlerini şeffaf bir şekilde belgelemelerini sağlar.

ŞİRKETLER İÇİN KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ

Şirketler için kişisel verilerin korunması, işletmelerin ve kurumların büyük bir sorumluluğudur ve bu konuda ciddi adımlar atılması gerekmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Ticaret Hukuku çerçevesinde firmaların uyması gereken bazı önemli adımlar bulunmaktadır:

  1. Veri Politikası ve Veri İmha Politikası Hazırlanması: Şirketler için kişisel verilerin korunması sürecinde kişisel verilerin nasıl işleneceğine dair bir politika belirlemesi ve gerektiğinde bu verilerin nasıl imha edileceğini açıkça belirlemesi önemlidir. Bu politikaların kamuoyuyla paylaşılması gerekir.
  2. Aydınlatma Metni Hazırlanması: Verilerini işleyeceği kişilerin açık rızasını almadan önce, firmaların ilgili kişilere aydınlatma metnini okutarak bilgilendirmesi gerekmektedir.
  3. Başvuru Formu Hazırlanması: Şirketler için kişisel verilerin korunması için ilgili kişilerin haklarını arayabilmeleri için başvuru formu hazırlanmalı ve kolaylıkla erişilebilir olmalıdır.
  4. Gizlilik ve Çerez Politikası: Web siteleri olan firmaların gizlilik ve çerez politikalarını hazırlayarak web sitelerine koymaları şirketler için kişisel verilerin korunması konusunda önemli bir tedbirdir.
  5. Online Açık Rıza Alınması: Web sitelerinden kişisel veri alan firmaların, bu bilgileri almadan önce ilgili kişilerin açık rızalarını online olarak alması önemlidir.
  6. Kişisel Veri Envanteri ve VERBİS Kaydı: Tüm departmanların faaliyetleri sonucu topladığı kişisel veriler için kişisel veri envanteri hazırlanmalı ve bu envanter VERBİS’e bildirilmelidir.
  7. Gizlilik Sözleşmeleri: Mali müşavir, hukuk müşaviri, call center, data center gibi dış alım yapılan firmalarla gizlilik sözleşmeleri düzenlenmelidir.
  8. İdari ve Teknik Tedbirlerin Alınması: Şirketler için kişisel verilerin korunması için işlemek üzere toplanan verilerin korunması adına gerekli tüm idari ve teknik tedbirler alınmalıdır.
  9. Veri İhlali Bildirimi: Tüm tedbirlere rağmen veri ihlali gerçekleşirse, bu ihlal en geç 72 saat içinde verisi işlenen ilgili kişiye ve KVK Kurumuna bildirilmelidir.

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK KONUSUNDA ÇOKULUSLU ŞİRKETLERİN SORUMLULUĞU

Kişisel verilerin güvenliği ve gizlilik konusunda çokuluslu şirketlerin sorumluluğu oldukça önemlidir. Şirketlerin uluslararası bir gruba bağlı olması, bu şirketlerin ve yetkililerinin sorumluluklarını kaldırmaz. Özellikle kişisel verilerin yurtdışına aktarılması konusunda dikkat edilmesi gereken bazı önemli hususlar bulunmaktadır.

Kişisel verilerin yurtdışına aktarılması durumunda, yeterli korumanın sağlanması büyük önem taşır. Bu noktada, kanunlar ve düzenlemeler tarafından belirlenen kriterlerin titizlikle uygulanması gerekmektedir. Kişisel verilerin yurtdışına aktarılması için öncelikle ilgili kişinin açık rızası alınmalı ve verinin aktarılacağı yabancı ülkede yeterli korumanın bulunduğundan emin olunmalıdır.

6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde, Kişisel Verileri Koruma Kurulu yeterli korumanın bulunduğu ülkeleri ilan etmektedir. Eğer kişisel veriler, bu ülkeler dışındaki bir ülkeye aktarılacaksa, belirli kriterler göz önünde bulundurularak karar verilmelidir. Bu kriterler arasında, Türkiye’nin taraf olduğu uluslararası sözleşmeler, veri aktarımının amaç ve süresi, kişisel verinin niteliği ve işlenme amacı gibi faktörler değerlendirilmelidir. Ayrıca, ilgili ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması gerekmektedir.

Dolayısıyla, aynı gruba dahil olunması, kişisel verilerin yurtdışındaki merkeze veya bağlı ortaklığa aktarılmasını tek başına bir sorumluluk nedeni olarak ortadan kaldırmaz. Her durumda, kişisel verilerin yurtdışına aktarılması sürecinde gerekli önlemlerin titizlikle alınması ve yasal düzenlemelere tam uyum sağlanması önemlidir. Bu sayede, kişisel verilerin güvenliği ve gizliliği korunmuş olur ve yasal yükümlülüklere uygun hareket edilmiş olur.

kvkk ihlali cezası

KVKK AYDINLATMA METNİ

KVKK aydınlatma metni, kişisel veri işleme faaliyetine başlamadan önce veri sahiplerine verilerinin nasıl işleneceği, hangi amaçlarla kullanılacağı, nerelere aktarılacağı, kişisel veri işleme faaliyetinin hukuki sebepleri, veri sorumlusunun kimliği, veri toplama yöntemi ve kişisel verisi işlenen kişinin sahip olduğu haklar gibi bilgileri içeren yazılı bir bildirimdir. Aydınlatma yükümlülüğü, Kanun tarafından veri sorumlularına yüklenmiş ve yerine getirilmesi zorunlu bir yükümlülüktür.

Kanun, kişisel verileri işlenen ilgili kişilere, bu verilerin hangi amaçlarla ve hangi hukuki sebeplerle işlenebileceği, kime aktarılabileceği gibi konularda bilgi alma hakkı tanımaktadır. Bu bilgiler, veri sorumlusu tarafından kişisel verilerin elde edilmesi sırasında sağlanmalıdır. Veri sorumlusu, Kanunun 10. maddesi uyarınca, kişisel verilerin işlenmesiyle ilgili olarak aşağıdaki bilgileri ilgili kişilere sağlamakla ve KVKK aydınlatma metni düzenlemekle yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanunun 11. maddesinde belirtilen diğer haklar.

Veri işleme faaliyeti, ilgili kişinin açık rızasına dayanıyorsa veya faaliyet, Kanunda belirtilen diğer şartlara uygunsa, veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır. KVKK Aydınlatma metni, bu bilgilendirmenin yazılı bir belgesidir ve kişisel verilerin adil ve şeffaf bir şekilde işlenmesini sağlamak amacıyla önem taşır.

KİŞİSEL VERİLERİN GİZLİLİĞİNİN İHLALİ

Kişisel verilerin korunması ve gizlilik birçok durumda ihlal edilebilir. Örneğin, bir şirket, veri sahibinin onayını almadan kişisel veri toplarsa veya verileri korumak için uygun güvenlik önlemlerini uygulamazsa KVKK’na aykırı olabilir. Diğer ihlal durumları arasında, kişisel verilerin onay alınmadan üçüncü taraflarla paylaşılması, bir veri sahibinin erişim veya silme talebine yanıt verilmemesi ve kişisel verilerin gereğinden fazla saklanması yer almaktadır.

Kişisel verilerin korunması ve gizlilik, birçok farklı durumda ihlal edilebilir. Bazı örnekler şunlardır:

  • Veri ihlali: Kişisel verilerin yetkisiz erişim, değiştirme veya yok etme gibi yollarla ele geçirilmesi veya ifşa edilmesi.
  • Hileli faaliyetler: Kişisel verilerin aldatıcı veya hileli faaliyetlerle elde edilmesi, örneğin dolandırıcılık veya sahtekarlık gibi.
  • İşlem amaçlarına aykırı kullanım: Kişisel verilerin belirli bir amaç için toplanmasına izin verilmiş olmasına rağmen, bu amaç dışında kullanılması.
  • Veri güvenliği açıkları: Kişisel verilerin işlenmesi ve saklanmasında kullanılan sistemlerin veya yöntemlerin yetersiz olması veya veri güvenliği açıklarının bulunması.
  • Veri kaybı: Kişisel verilerin yanlışlıkla silinmesi, yok edilmesi veya kaybolması.
  • Bilgilendirme ve onay eksikliği: Kişisel verilerin nasıl toplandığı, işlendiği ve kullanıldığı hakkında yeterli bilgi sağlanmadan veya veri sahibinin onayı alınmadan kişisel verilerin işlenmesi.

Bu gibi durumlarda kişisel verilerin korunması ve gizlilik ihlal edilebilir ve bu durumlar kanuni yaptırımlar ile KVKK ihlali cezası gerektirebilir. Bu nedenle, kişisel verilerin işlenmesi ve korunması konusunda dikkatli olunması önemlidir.

KİŞİSEL VERİLERİN RIZA DIŞI PAYLAŞILMASINDA YASAL SÜREÇ

Kişisel veriler, veri sahibinin onayı olmadan paylaşıldığında etkilenen birey Türkiye’deki KVKK Kurumuna şikayette bulunabilir. Kurum, KVKK düzenlemelerine aykırı hareket eden şirketleri araştırmak ve KVKK ihlali cezası düzenlemek için yetkiye sahiptir. İhlalin ciddiyetine bağlı olarak, şirketlere para cezası uygulanabilir, kişisel verilerin işlenmesine son verilmesi emredilebilir veya hatta cezai yaptırımlarla karşı karşıya kalabilirler. Veri sahipleri, KVKK’ya aykırı olan şirketlere karşı tazminat talebiyle dava açarak ihlalin neden olduğu herhangi bir zarar için tazminat talep edebilirler.

Kişisel verilerin rıza dışı paylaşılması durumunda, yasal süreç şu şekilde işler:

  • Şikayet: Veri sahibi, kişisel verilerinin rıza dışı paylaşıldığını fark ederse, öncelikle şikayetçi olmalıdır. Şikayet, veri sorumlusuna yazılı olarak veya KVKK kuruluşuna veya diğer yetkili mercilere yapılabilir.
  • Soruşturma: Veri sorumlusu, şikayet üzerine, söz konusu kişisel verilerin rıza dışı olarak paylaşıldığını kabul ederse, bir soruşturma başlatılır. Soruşturma, KVKK kuruluşları veya diğer yetkili merciler tarafından yürütülür.
  • Yaptırım: Soruşturma sonucunda, rıza dışı paylaşımın gerçekleştiği tespit edilirse, yaptırımlar uygulanabilir. Bu yaptırımlar arasında, para cezaları, veri sorumlusunun faaliyetlerinin geçici veya kalıcı olarak durdurulması, veri sorumlusunun yetkilendirme belgesinin iptal edilmesi ve diğer yasal yaptırımlar yer alabilir.
  • Tazminat: Veri sahibi, kişisel verilerinin rıza dışı paylaşılmasından dolayı zarar görmüşse, tazminat talep edebilir. Bu tazminat, veri sorumlusundan veya mahkeme kararıyla tespit edilen diğer sorumlulardan talep edilebilir.

Sonuç olarak, kişisel verilerin rıza dışı paylaşılması ciddi bir ihlaldir ve yasal süreçlerle ele alınır. Veri sorumluları, KVKK’nın gerektirdiği şekilde verileri işlemeli ve veri sahiplerinin rızasını almadan verileri paylaşmamalıdır. Aksi takdirde, KVKK ihlali cezası ile karşı karşıya kalabilirler.

KVKK İHLALİ CEZASI NE KADARDIR?

KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında belirlenen yükümlülüklerin ihlal edilmesi durumunda KVKK ihlali cezası için idari para cezaları öngörülmektedir. Kişisel verilerin korunmasıyla ilgili olarak, KVKK aydınlatma metni, veri işleme yükümlülüğü, KVKK verbis kayıt yükümlülüğü gibi çeşitli yükümlülükler bulunmaktadır. Bu yükümlülüklerin ihlal edilmesi durumunda, KVKK’nın ilgili maddeleri uyarınca kurumlar veya kişiler hakkında idari para cezaları uygulanabilir. Bu cezalar, ihlalin niteliğine, süresine ve diğer faktörlere bağlı olarak değişebilir. KVKK’ya uymayan kişi veya kurumlar, idari para cezalarıyla karşı karşıya kalabilirler. Bu cezalar, hem kamu kurumları hem de özel sektör kuruluşları için geçerlidir.

KVKK ihlali cezası kapsamında ihlal edilen yükümlülüklere bağlı olarak idari para cezaları, 2024 yılı için aşağıdaki tabloya göre belirlenmiştir:

  • Aydınlatma Yükümlülüğü İhlali: 47.303₺ ile 946.308₺ arasında
  • Veri Yükümlülüğü İhlali: 141.934₺ ile 9.463.213₺ arasında
  • Kurul Kararını Yerine Getirmeme: 263.557₺ ile 9.463.213₺ arasında
  • VERBİS Kayıt ve Bildirim Yükümlülüğü İhlali: 189.245₺ ile 9.463.213₺ arasında

Bu cezaların miktarları, ihlalin niteliğine ve ciddiyetine bağlı olarak belirlenir ve belirli bir alt ve üst sınır aralığında yer alır. Yükümlülüklerin ihlal edilmesi durumunda, Kurul tarafından belirlenen ceza miktarları uygulanır.

Bu cezaların yanı sıra, veri sorumlusu veya veri işleyenlere hapis cezası da verilebilir. Örneğin, hukuka aykırı kişisel veri işleme veya kişisel verileri yetkisiz şekilde ele geçirme suçları için, veri sorumlusu veya veri işleyen, 2 yıldan 5 yıla kadar hapis cezası alabilir.

KVKK DANIŞMANLIK HİZMETİNİN KAPSAMI

KVKK danışmanlık hizmetinin kapsamında kurumların uyum sürecinde üç ana danışmanlık alanı önemlidir: Hukuk Danışmanlığı, Süreç Danışmanlığı ve Teknik Danışmanlık.

  1. Hukuk Danışmanlığı: Bu aşama, kurumun tüm süreçlerinin hukuki analize tabi tutulmasını içerir. Hukuk danışmanları, kurumun kişisel verilerle ilgili politikalarını oluşturur ve veri sorumlusuyla birlikte çalışarak gerekli düzenlemeleri yaparlar. Ayrıca, veri işleme amaçlarını belirleyen ve veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan veri sorumlusunu da desteklerler. Bu süreçte, veri işleme envanteri oluşturulur ve gerekli hukuki uyarlamalar yapılır.
  2. Süreç Danışmanlığı: Hukuk profesyonellerinin oluşturduğu politikalar doğrultusunda iç süreçlerin tasarlanması ve düzenlenmesi bu aşamanın odak noktasıdır. Veri envanter raporu detaylı şekilde oluşturulur ve veriler sınıflandırılarak hazırlanır. Kurumun kişisel verilerin korunması ile ilgili politikaların hazırlanması ve KVKK’ya uyumlu hale getirilmesi sağlanır.
  3. Teknik Danışmanlık: Bu aşama, oluşturulan politika ve süreçlerin ilgili otomasyonlarla desteklenmesini ve kullanıcı hatalarından bağımsız hale getirilmesini içerir. Teknik danışmanlar, verilerin dinamik yapısını göz önünde bulundurarak veri sızıntılarını önlemeye odaklanırlar. Bu aşama, teknik bilgi ve otomasyon gerektirir ve kurumun veri güvenliğini sağlamak için kritik öneme sahiptir.

KVKK’nın gerekliliklerine uyum sağlamak için, kurumların bu üç KVKK danışmanlık alanlarında da doğru adımları atmaları ve gerekli tedbirleri almaları önemlidir.

KVKK TEKNİK TEDBİRLER NELERDİR?

KVKK teknik tedbirlerin birçoğu bilgi güvenliği alanında önemli rol oynamaktadır. KVKK’ya uyum sağlamak için alınabilecek bazı teknik tedbirler:

  1. Yetki Matrisi: Sistemdeki kullanıcıların rolleri ve yetkileri net bir şekilde belirlenmeli ve yetki matrisi oluşturulmalıdır. Bu, kullanıcıların KVKK teknik tedbirleri kapsamında sadece ihtiyaç duydukları verilere erişimlerini sağlar.
  2. Yetki Kontrolü: Kullanıcıların erişim yetkileri düzenli olarak gözden geçirilmeli ve gereksiz yetkiler kaldırılmalıdır.
  3. Erişim Logları: Sistemdeki tüm erişimler kaydedilmeli ve izlenebilir olmalıdır. Erişim logları, herhangi bir yetkisiz erişim veya anormal faaliyetlerin tespit edilmesine yardımcı olur.
  4. Kullanıcı Hesap Yönetimi: Kullanıcı hesapları güçlü parolalarla korunmalı, düzenli olarak güncellenmeli ve gereksiz hesaplar kapatılmalıdır.
  5. Ağ Güvenliği: Ağdaki tüm cihazlar KVKK teknik tedbirler kapsamında güncel güvenlik yamalarıyla korunmalı ve güvenli ağ yapılandırmaları kullanılmalıdır.
  6. Uygulama Güvenliği: Uygulamaların güvenliği düzenli olarak kontrol edilmeli ve güvenlik açıkları kapatılmalıdır.
  7. Şifreleme: Hassas veriler şifrelenmelidir, böylece yetkisiz erişim durumunda veriler korunur.
  8. Sızma Testi: Sistemdeki zayıflıkların ve açıkların belirlenmesi için periyodik sızma testleri yapılmalıdır.
  9. Saldırı Tespit ve Önleme Sistemleri (IDS/IPS): Potansiyel saldırıları tespit etmek ve engellemek için IDS/IPS sistemleri kullanılmalıdır.
  10. Veri Maskeleme: Test ve geliştirme ortamlarında gerçek verilerin kullanımı sırasında veriler maskelemelidir.
  11. Veri Kaybı Önleme: KVKK teknik tedbirler kapsamında Veri kaybını önlemek için veri çıkış denetimi ve izleme sistemleri kullanılmalıdır.
  12. Yedekleme: Tüm önemli veriler düzenli olarak yedeklenmeli ve yedeklerin güvenliği sağlanmalıdır.
  13. Güvenlik Duvarı: Ağ trafiğini izlemek ve kontrol etmek için güvenlik duvarları kullanılmalıdır.
  14. Güncel Anti-Virüs Uygulamaları: Tüm sistemler güncel anti-virüs ve kötü amaçlı yazılım korumasıyla korunmalıdır.
  15. Silme, Yok Etme ve Anonim Hale Getirme: Verilerin gereksiz olduğunda silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

Bu tedbirler, kişisel verilerin korunması ve KVKK uyumunun sağlanması için önemlidir. Kurumlar, KVKK teknik tedbirleri alarak veri güvenliğini sağlayabilir ve yasal gereksinimlere uygunluğu sağlayabilirler.

KVKK DANIŞMANLIK ÜCRETLERİ NE KADARDIR?

KVKK danışmanlık ücretleri bir dizi faktöre bağlı olarak değişebilir ve şirketin özelliklerine, ihtiyaçlarına ve KVKK’ya uyum sürecindeki gereksinimlerine göre şekillenir. KVKK danışmanlık ücretlerini etkileyen bazı ana faktörler:

  1. Şirketin Faaliyet Alanı ve Veri İşleme Faaliyetleri: Hangi sektörde faaliyet gösterdiğiniz ve işletmenizin hangi tür verileri işlediği, KVKK danışmanlık ücretlerinin kapsamını etkileyebilir. Örneğin, sağlık sektöründe faaliyet gösteren bir şirketin KVKK’ya uyum süreci, diğer sektörlerdeki bir şirketten daha karmaşık olabilir.
  2. Şirketin Büyüklüğü ve Karmaşıklığı: Şirketin büyüklüğü, personel sayısı ve faaliyet alanının karmaşıklığı, KVKK danışmanlık ücretlerini etkiler. Daha büyük ve karmaşık organizasyonlar genellikle daha fazla danışmanlık hizmetine ve dolayısıyla daha yüksek maliyetlere ihtiyaç duyabilir.
  3. Danışmanın Deneyimi ve Uzmanlık Alanı: KVKK’ya uyum konusunda uzmanlaşmış ve deneyimli danışmanlar genellikle daha yüksek ücretler talep edebilirler. Danışmanın deneyimi, sunduğu hizmetin kalitesini ve değerini belirleyebilir.
  4. Hizmetin Kapsamı ve Süresi: Danışmanlık hizmetlerinin kapsamı ve süresi, genellikle KVKK danışmanlık ücretleri üzerinde belirleyici bir faktördür. Bazı danışmanlar belirli bir süre boyunca sürekli destek sunabilirken, diğerleri belirli projeler için tek seferlik hizmetler sunabilir.
  5. Diğer Ek Hizmetler ve Destekler: Danışmanlık hizmetleri genellikle raporlama, eğitim, dokümantasyon oluşturma gibi ek hizmetleri içerebilir. Bu ek hizmetlerin varlığı, toplam maliyeti etkileyebilir.

Tüm bu faktörler dikkate alındığında, her şirketin KVKK danışmanlık ücretleri için özel bir teklif alması ve ihtiyaçlarına uygun bir hizmet paketi oluşturması önemlidir.

KVKK UYUM SÜRECİNİN DÜZENLENMESİ

KVKK’ya uyum sağlamak için temel altyapıyı oluşturmayı, uyumu sürdürmeyi ve güncellemeyi amaç edinmek çok önemlidir.  Aşağıda, KVKK uyum sürecinde dikkate alınması gereken bazı önemli noktaları içeren 17 soruya odaklanarak uyum analizi gerçekleştirilebilir:

  1. Aydınlatma yükümlülüğünüzü yerine getirdiniz mi?
  2. İşlediğiniz kişisel veriler için işlenmesi (saklama ve imha) politikası oluşturdunuz mu?
  3. KVKK kapsamında istisna durumları ve rıza gereksinimlerini biliyor musunuz?
  4. Veri işleme durumlarında rıza gerektirmeyen haller hakkında bilgi sahibi misiniz?
  5. Kişisel Veri İşleme Envanteri’ni oluşturdunuz mu?
  6. Verilerinizi yurt dışına aktardınız mı?
  7. Başvuru Formu’nuzu oluşturarak ilgili kişilerin başvurmasını sağladınız mı?
  8. İnternet sitenizde gizlilik politikası oluşturdunuz mu?
  9. Şirket tedarik sözleşmelerine KVKK hükümlerini eklediniz mi?
  10. Personel sözleşmelerine KVKK ile ilgili hükümleri eklediniz mi?
  11. Personelinize zorunlu KVKK eğitimi aldırdınız mı?
  12. Elektronik ortamda VERBİS sistemine kaydoldunuz mu?
  13. Yetki Matrisi oluşturuldu mu?
  14. Yetki Kontrol Listesi bulunmakta mı?
  15. Erişim logları tutulmakta mı?
  16. Kullanıcı hesap yönetimleri nasıl yapılmaktadır?
  17. Ağ güvenliği için IDS ve IPS sistemleri mevcut mu? Eğer yoksa nasıl bir yol izlenmektedir?

Bu sorular, KVKK uyum sürecinde önemli bir değerlendirme aracı olabilir ve uyum sağlama sürecinde hangi alanlara odaklanmak gerektiğini belirlemeye yardımcı olabilir.

Diğer faaliyet alanlarımızı buradan inceleyebilir ve hukuki destek talepleriniz için info@cbhukuk.com üzerinden iletişime geçebilirsiniz.

YASAL UYARI: Web sitemizde yer alan makale ve içeriklerin telif hakkı Av. Orbay Çokgör’e aittir ve tüm makaleler elektronik imzalı zaman damgalı olarak hak sahipliğinin tescil edilmesi amacıyla yayınlanmaktadır. Sitemizdeki makalelerin, kaynak link vermeden kopyalanarak veya özetlenerek başka web sitelerinde yayınlanması durumunda, hukuki ve cezai işlem yapılacaktır.

keyboard_arrow_up