16
KİŞİSEL VERİLERİN KORUNMASI
BELİRLİ YA DA BELİRLENEBİLİR OLMA
KİŞİSEL VERİ NEDİR?
GERÇEK OLMA
KİŞİSEL VERİ NEDİR?
Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin
her türlü bilgi
İLİŞKİN OLMA
KİŞİSEL VERİ ÖRNEKLERİ
KİŞİSEL VERİ ÖRNEKLERİ
Ad ve Soyadı, adres, TCKN, telefon numarası, vergi numarası, medeni hal, meslek, doğum tarihi, cinsiyet, özgeçmiş
IP adresi, IMEI numarası, MAC adresi, konum bilgisi, fotoğraf, video, ses kaydı
Sağlık raporu, kan grubu, parmak izi, göz rengi, DNA bilgisi, engel durumu
Adli sicil kaydı, dernek üyeliği, maaş, özlük bilgileri, seyahat ve alışveriş bilgileri
ÖZEL NİTELİKLİ
KİŞİSEL VERİ
ÖZEL NİTELİKLİ
KİŞİSEL VERİ
SINIRLI SAYIDA
- ETNİK KÖKEN
- CİNSEL HAYAT
- GENETİK VERİLER
- SAĞLIK
- KILIK KIYAFET
- IRK
- SİYASİ DÜŞÜNCE
- FELSEFİ İNANÇ
- DERNEK/VAKIF/SENDİKA ÜYELİĞİ
- CEZA MAHKUMİYET/SENDİKA ÜYELİĞİ
- BİYOMETRİK VERİLER
- DİN/MEZHEP VE DİĞER İNANÇLAR
SORUMLULUK
Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
SORUMLULUK
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
İlgili Kişi
Kişisel verisi işlenen gerçek kişi (Veri sahibi, veri konusu kişi, veri öznesi gibi kavramlarla da ifade edilmektedir.)
VERİ NASIL İŞLENİR?
VERİ İŞLEME ŞARTLARININ OLMASI
GENEL İLKELERE UYGUN OLMA
AYDINLATMA
Hukuka ve dürüstlük kurallarına uygun olma
Doğru ve gerektiğinde güncel olma
Belirli, açık ve meşru amaçlarla işlenme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Mevzuatta öngörülen ya da işlendikleri amaç için
gerekli olan süre kadar muhafaza edilme
Kişisel verilerin elde edilmesi sırasında veri sorumlusu
veya yetkilendirdiği kişi, ilgili kişilere sıralanan konularda
bilgi vermekle yükümlüdür:
Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin işlenme amacı
Kişisel verilerin kimlere ve hangi amaçla aktarılacağı,
Kişisel veri toplamının yöntemi ve hukuki sebebi
İlgili kişinin KVKK m. 11’de sayılan diğer hakları
VERİ SIZINTISI
- Kullanıcıların gizli bilgileri evden çalışabilmek için kişisel eposta adreslerine göndermesi
- Güvenli olmayan iletişim protokolleri ile yetkili 3. taraflara bilgi paylaşımı yapılması
- Kötü niyetli yetkili kişilerin bilerek ve isteyerek gizli bilgileri kurumsal ağdan çevrimiçi yöntemlerle çıkarması
- Hoşnutsuz veya işine son verilen çalışanların gizli bilgileri taşınabilir cihazlara kopyalaması
- Yanlış fax, basılı çıktı, e-posta
- Erişimin BT tarafından yönetilmediği ortamlarda masum iş kullanıcılarının güvensiz depolama alanlarını tercih etmesi
- Veri tabanı yöneticilerinin gizli bilgileri barındıran bilgileri güvensiz ortamlarda saklaması
VERİ SIZINTISI
- Taşınabilir depolama (CD, Flash memory)
- Hacking
- Web uygulaması / eposta / FTP / kablosuz ağ
- Zararlı Kodlar, virus / worm / key-logger
- Test sistemlerinde gerçek veri üzerinde çalışılması
- Veri yedeklerinin bulunduğu diskler (örn. kayıp kapı kartının yenilenmesi)
- Mobil cihaz= Blackberry, Iphone, tablet
MEVZUAT
MEVZUAT
5237 SAYILI TÜRK CEZA KANUNU
T.C.
ANAYASA
MADDE 20 :
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
MEVZUAT
MEVZUAT LİSTESİ
YÖNETMELİKLER
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
- KİŞİSEL VERİLERİ KORUMA KURULU ÇALIŞMA USUL VE ESASLARINA
DAİR YÖNETMELİK
- KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN
SAĞLANMASI HAKKINDA YÖNETMELİK
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ YA DA ANONİM HALE
GETİRİLMESİ HAKKINDA YÖNETMELİK
- VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK
MADDE 2- KAPSAM
Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Kişisel Verileri Hukuka Uygun Olarak İşleme Yükümlülüğü
Veri Güvenliğini
Sağlama Yükümlülüğü
Veri Sahibini Aydınlatma Yükümlülüğü
İrtibat Kişisi
Atama Yükümlülüğü
Sır Saklama
Yükümlülüğü
Veri Sorumluları Siciline
Kayıt Yükümlülüğü
Veri Sahiplerinin Başvurularını
Değerlendirme
ve Sonuçlandırma Yükümlülüğü
Veri Saklama ve İmha
Politikası Hazırlama ve Politikaya Uyma Yükümlülüğü
YAPTIRIMLAR
İDARİ SORUMLULUK
Aydınlatma Yükümlülüğüne Aykırılık
5.000 – 100.000 TL
Veri Güvenliğine İlişkin Yükümlülüklere Aykırılık
15.000 – 1.000.000 TL
Kurul kararlarına uymama
25.000 – 1.000.000 TL
Sicile kayıt ve bildirim yükümlülüğüne aykırılık
20.000 – 1.000.000 TL
CEZAİ SORUMLULUK
1 yıldan 3 yıla kadar
Kişisel Verilerin Kaydedilmesi
1 yıldan 3 yıla
Özel Nitelikli Verilerin Kaydedilmesi
2 yıldan 4 yıla
Verilerin Hukuka Aykırı Olarak Verme veya Ele Geçirme
1 yıldan 2 yıla
Verileri Yok Etmeme
UYGULAMA ADIMLARI
PROJE FAZLARI
PROJE FAZLARI
UYGULAMA
Raporlama
Denetim & Gözden Geçirme
Uygulama
İrtibat Kişisi Atanması
Tarama
Eğitim
Yönetim Şemasının İncelenmesi
Personel
Yazışmalarının
Analizi
İfa Yardımcılarının Yetkilerinin Analizi
TARAMA
KURUMUN TANINMASI
Yönetim Birimlerinin
ve Departmanların Çalışmalarının Analizi
Yönetim Birimlerinin İncelenmesi
Kurum Web Sitesi ve Mobil Uygulama
Analizi
Kurum Veri İşlem Yapısının Analizi
Çalışma Alanlarına
Göre Birimlerin
Analizi
Verilerin Tespiti
Verilerin Anonimleştirilmesi
VerilerinToplanması
Verilere Ulaşabilen Personelin Tespiti
Verilerin İşlenmesi
VERİLERİN GENEL ANALİZİ
Verilerin Çekilmesi
Verilerin Arşivlenmesi
Verilerin Kullanımı
Verilerin Depolanması ve Transferi
Veri Sahibinin Aydınlatılması
Beya Masa, Çağrı Merkezi, Kiosk vb. Bilgi Toplama Kanalları Analizi
VERİ SAHİBİ İLE TEMAS
Veri Sahinin Taleplerinin İşleme Konulması
Veri Sahibinin Taleplerinin Toplanması
Veri Sahibinin İzinlerinin Alınması
FİZİKİ VERİLERİN İŞLENMESİ
ARŞİV SİSTEMİNİN ANALİZİ
FİZİKİ VERİLERİN ARŞİVLENMESİ
Dijital Arşivin Analizi
Fiziki Evrak Arşivinin Analizi
FİZİKİ
VERİLERİN ANONİMLEŞTİRİLMESİ
İRTİBAT KİŞİNİN ATANMASI
6688 sayılı KVKK ve yönetmelikler gereğince gerek veri sorumlusunun KVK kuruluna karşı gerekse kendi iç işleyişinde KVK mevzuatını uygulamakla görevli/yetkili/sorumlu kişi ataması gerçekleştirilmelidir.
Bu kapsamda irtibat kişisine yardımcı olabilecek birim sorumluları da atanabilir.
UYGULAMA
Yeni Alınacak Kararlarda KVKK kapsamında
Dikkate Alınacak Hususların Belirlenmesi
Önceki Tarihli Kararların Gerekmesi
Halinde KVKK Kapsamında Revizesi
KVKK Kapsamında Kurum İçi Yönergelerin Hazırlanması
Verilerin, Genel Nitelikli, Özel Nitelikli ve İstisnaya
Tabi Kişisel Veriler Olması Özelliklerine Göre KVKK Kapsamında İşlenmesine İlişkin Ayrı Ayrı Usul ve Esasların Belirlenmesi
Yazışmalar
İfa Yardımcılarının Yetkilerinin Belirlenmesi ve Sınırlandırılması
Özlük Dosyaları
Personel Yetkilerinin Belirlenmesi ve Sınırlandırılması
Veri Sahibi ile İlişkilerin KVKK Kapsamında Usul ve Esasların Belirlenmesi
Veri Sorumluları Siciline Kayıt
Kurum Web Sitesinin ve Mobil Uygulamalarının Kapsamında Düzenlenmesi İçin Rapor Hazırlanması
Kurum Veri İşlem Alt Yapısının KVKK Kapsamında Düzenlenmesine İlişkin Rapor Tanzimi
Fiziki Veriler Kayıt ve Belgelerin İşlenmesi, Korunması, Arşivlenmesi Süreçlerinin KVKK Kapsamında Usul ve Esasların Belirlenmesi
Verilerin KVKK Kapsamında Silinmesine Usul ve Esasların Belirlenmesi
Verilerin KVKK Kapsamında Anonimleştirilmesi Süreçlerinin Belirlenmesi ve Yönetimi
Kişisel Veri İşleme Envanterinin Oluşturulması
EĞİTİM
Üst Düzey Yöneticilere Sunum
Kurum İçi Genel Eğitim
Denetim Birimlerinin Eğitimi
Kurum İçi Eğitimcilerin Eğitimi
KVK sürecinin mevzuatımıza yeni giren bir konu olması nedeniyle Kurum içinde eğitimlerin gerçekleştirilmesi ve denetim biriminin oluşturulması gereklidir. Bu adımda eğitimlerle ilgili yapılacak işlemler düzenlenmektedir.
1.Çalışma Kitapçığı/El Kitabı hazırlanması
2.Uygulama talimatlarının hazırlanması
DOKÜMANTASYON
3.Tutulacak Kayıtların Hazırlanması
4.Genel Taahhüt Ve
Rıza, Bilgilendirme,
Gizlilik, Ek Protokol Dokümanlarının Hazırlanması
Kurum çalışanlarının KVK mevzuatına uyumlu bir çalışma gerçekleştirebilmesi ve sürecin işlerlik kazanması amacıyla her zaman başvurulabilecek yazılı uygulama dokümanları bulunması zorunldur. Bu bölümde bu dokümanlara ilişkin bilgiler yer almaktadır.
RAPORLAMA
F. DENETİM & GÖZDEN GEÇİRME
KVK kapsamında Kurum faaliyetlerinin değerlendirilmesi, hata ve eksikliklerin ortaya çıkarılması için denetim mekanizması oluşturulmalıdır. Bu bölümde oluşturulacak denetim mekanizmasına ilişkin bilgiler yer almaktadır.
Yeni Alınacak Kararlarda KVKK kapsamında Dikkate Alınacak Hususların Belirlenmesi
Önceki Tarihli Kararların Gerekmesi Halinde KVKK Kapsamında Revizesi
Verilerin, Genel Nitelikli, Özel Nitelikli ve İstisnaya Kişisel Veriler Olması Özelliklerine Göre KVKK Kapsamında İşlenmesine İlişkin Ayrı Ayrı Usul ve Esasların Belirlenmesi
UYGULAMA
KVKK Kapsamında Kurum İçi Yönergelerin Hazırlanması
İfa Yardımcılarının Yetkilerinin Belirlenmesi ve Sınırlandırılması
Personal data breaches can include:
access by an unauthorised third party;
deliberate or accidental action (or inaction) by a controller or processor;
sending personal data to an incorrect recipient;
computing devices containing personal data being lost or stolen;
alteration of personal data without permission; and
loss of availability of personal data.
Personel Yetkilerinin Belirlenmesi ve Sınırlandırılması
Personal data breaches can include:
access by an unauthorised third party;
deliberate or accidental action (or inaction) by a controller or processor;
sending personal data to an incorrect recipient;
computing devices containing personal data being lost or stolen;
alteration of personal data without permission; and
loss of availability of personal data.
Veri Sahibi ile İlişkilerin KVKK Kapsamında Usul ve Esasların Belirlenmesi
Kurum Web Sitesinin ve Mobil Uygulamalarının Kapsamında Düzenlenmesi İçin Rapor Hazırlanması
Kurum Veri İşlem Alt Yapısının KVKK Kapsamında Düzenlenmesine İlişkin Rapor Tanzimi
Fiziki Veriler Kayıt ve Belgelerin İşlenmesi, Korunması, Arşivlenmesi Kapsamında Usul ve Esasların Belirlenmesi
Verilerin KVKK Kapsamında Anonimleştirilmesi Süreçlerinin Belirlenmesi ve Yönetimi
Verilerin KVKK Kapsamında Silinmesine Usul ve Esasların Belirlenmesi
Kişisel Veri İşleme Envanterinin Oluşturulması
Özlük Dosyaları
Yazışmalar
Veri Sorumluları Siciline Kayıt
DANIŞMANLIK
DANIŞMANLIK
KVK mevzuatının yeni olması ve daha önce kurum uygulamaları içerisinde yer almayan pek çok düzenlemelerin mevcudiyeti karşısında yapmış olduğumuz çalışmaların etkin bir şekilde sürdürülebilmesi amacıyla KVK danışmanlığı hizmetinin sunulması gereklidir. Bu bölümde danışmanlık hizmeti kapsamına ilişkin bilgiler yer almaktadır.
DANIŞMANLIK
SÜRDÜRÜLEBİLİRLİK AMAÇLI HİZMET KAPSAMI
1. Raporlamayı Takip Eden İki Yıl Boyunca İzleme ve Denetleme Danışmanlığı Yapılması
2. Mevzuat Takibi ve Değişen Mevzuata Göre Uyumlu Hale Getirme
3. Danışmanlık İçeriklerinin Üçer Aylık Periyotlar Halinde Raporlanması
4. Kişisel Verileri Koruma Kurulu ile Kurum Arasındaki Yazışmaların, İrtibatın Takibi
5. Raporlamayı Takip Eden İki Yıl Boyunca Olası Şikayetlere İlişkin Cevap, İtiraz Sürecinin Yönetilmesi Ve Yürütülmesi
SÜRE
SÜRE
PROJE SÜRESİ
Verilecek KVK uyum ve bilgi güvenliği hizmetine ilişkin çalışma ve danışmanlık hizmetine ilişkin süre gannt şemasında detaylandırılmaktadır.
SÜRDÜRÜLEBİLİRLİK DANIŞMANLIK HİZMETLERİ SÜRESİ
Kişisel Verilerin Korunması Kanunu bilgi güvenliği ve uyum sürecinin sürdürülebilirliği bakımından tarafımızca öngörülen süre projenin tamamlanmasını takip eden 24 ay olarak belirlenmiştir.
HAKKIMIZDA
EKİBİMİZ
TANITIM ORGANİZASYON ŞEMASI
OUR TEAM
Director
Deputy Director
Assistant Directors
Department Head
Connect<XS
with Clients and Partners
REFERANSLARIMIZ
REFERANSLARIMIZ
PEGASUS HAVAYOLLARI
DOMİNOS PİZZA