6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDİR ?

07.04.2016 tarihinde yürürlüğe giren ve 07.04.2018 tarihinde küçük büyük ölçek farketmeksizin tüm şirketleri kapsamına alan 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslara göre fazladan bilgi, belge alınmaması ve kişisel verilerin korunması zorunluluk haline gelmiş ve şirketler bünyesindeki tüm departmanların bu kanun hakkında bilgi sahibi olması ehemmiyet arz etmektedir.
 

Şirketlerin bu kanun kapsamında uyumlaştırma yapıp yapmadığı hususunda Re’sen denetleme yetkisi olan “Kişisel Veri Koruma Kurulu” kurulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslara uyum sağlamayan şirketler için ise (Tüzel Kişi Sorumlu-İmza Sirkülerinde yer alan Tüm Yönetim) hapis ve para cezaları söz konusudur.Verinin kaydedilmesi, işlenmesi, aktarılması ve yok edilmesi ile ilgili yasaya uymamanın cezası 1-6 yıl arası hapis, kanunda belirtilen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000 TL -1.000.000 TL arası para cezası olabilmektedir. Şirketlerin bir an önce kanuna uyum ile ilgili çalışmalarını tamamlamaları ve kurumsal farkındalık yaratmaları için eğitim almaları gerekmektedir.

Kızıl Denetim , Danışmanlık olarak alanında uzman bilgi teknojileri uzmanları, hukukçuları ve süreç analistleri ile sizlere kanuna uyum kapsamında destek olmaktayız. 

KIZIL DENETİM OLARAK BU SÜREÇTE NELER YAPIYORUZ ?

1- Kanun kapsamında şirket bünyesindeki tüm departmanların süreç analizi yapılarak, veri envanteri çıkarılmakta.

2- Kişisel Verilerin Sınıflandırılması

3- Veri İşleme Süreçlerinin Uyumlandırılması

4-Veri Aktarım Süreçlerinin Uyumlandırılması

5- Sözleşmelerin Güncellenmesi

6-Başvuru ,şikayet , itiraz süreçlerinin oluşturulması /uyumlandırılması

7- Açık Rıza ve Aydınlatma metinlerinin oluşturulması 

8- Kurum KVKK Politikası ve Bilgi Güvenliği Politikisanın oluşturulması 

9-Veri imhasının kanunun öngördüğü şekliyle gerçekleştirilmesi

10- Kurum içi KVKK farkındalık eğitimlerinin düzenlenmesi 

GDPR (GENERAL DATA PROTECTION REGULATION) NEDİR ?

AB Genel Veri Koruma Regülasyonu (GDPR), tüm Avrupa genelinde AB vatandaşlarını korumaya yönelik uyumlu bir dizi veri gizliliği yasası hazırlamak için geliştirildi. Bu regülasyon, 95/46/EC sayılı Veri Koruma Direktifi’nin yerini alır ve bu direktif ile arasında aşağıdakiler gibi ciddi farklar vardır:

Daha geniş yetki alanı. Genel Veri Koruma Regülasyonu, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacaktır.

Cezalar. GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir.

Onay  net ve kolayca anlaşılır bir şekilde istenmeli ve diğer konulardan ayırt edilebilmelidir. Buna ek olarak, onayın geri alınması da verilmesi kadar kolay olmalıdır.

İhlal Bildirimleri: İhlal bildirimleri zorunlu olacaktır ve kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde tamamlanması gerekecektir.

Gizlilik. GDPR, veri koruma işlevinin sistemler tasarlanırken baştan dahil edilmesini, sonradan ekleme yoluyla uygulanmamasını şart kılar.

Verilerin işlenmesi ve korunmasına dair net ve kesin uygulanan bir politikanın varlığını ister.

Tüm kişisel veri işleme faaliyetlerinin mutlaka onaylar prosedür veya talimatlar ile kısıtlanması ve farkındalığın tüm veri işleyen ve veri erişimi olan kişilerce sağlanmış olmasını ve kanıtlanabilir olmasını şart kılar.

Tüm veri platformları ve bunlara ilişkin koruma planlarının oluşturulması, verinin aktarım kuralları, koruma kuralları ve teknik altyapının buna uygunluğunun dökümante edilmesi ve politika doğrultusunda çalıştırılmasını ister.

GDPR’ın amacı, bugünün veri odaklı dünyasında tüm AB vatandaşlarını mahremiyet ve veri ihlallerinden korumaktır. Her ne kadar veri gizliliğinin temel ilkeleri önceki yönergeye uymaya devam etse de, düzenleyici politikalarda birçok değişiklik önerilmiştir; Veriyi korumanın kilit noktaları ve iş üzerindeki etkileri ile ilgili bilgileri aşağıda bulabilirsiniz.

Bölgesel Kapsam (dünya dışı uygulanabilirlik)

GDPR veri gizliliğinin mimarisindeki en temel husus olarak şirketin konumuna bakılmaksızın veri işleyen tüm şirketler için açık ve net kurallar koymuştur. Kabul edilen kanun ile birlikte GDPR çok geniş alanlarda çok geniş yetkilere ve yaptırım gücüne sahip olmuştur. İmzalanan protokol anlaşmaları gereği kasamdaki neredeyse dünyadaki tüm ülkelerde yaptırım gücü bulunmaktadır.

GDPR uygulanabilirliğini çok net bir şekilde ortaya koymaktadır - işlemlerin AB'de gerçekleşip gerçekleşmediğine bakılmaksızın, AB'deki kontrolörler ve işletmeler tarafından kişisel verilerin işlenmesi kanun kapsamına dâhil olmak için yeterlidir. GDPR, AB’deki veri konularının kişisel verilerinin, faaliyetlerin aşağıdakilerle ilgili olduğu AB’de kurulmamış bir şirket olsa bile AB vatandaşlarına mal veya hizmet sunması da GDPR kapsamına girmesi için yeterlidir.

GDPR kurallarına aykırı tüm işletmeler ve gerçek kişiler, yıllık küresel cironun% 4'üne veya 20 Milyon Euro'ya (hangisi daha büyükse) kadar para cezasına çarptırılabilir. Bu, verileri işlemek veya Gizlilik kavramının Tasarım kavramlarıyla gizliliğini ihlal etmek için yeterli müşteri onayını haiz olmayan en ciddi ihlaller için uygulanabilecek en yüksek para cezasıdır. Para cezalarına ilişkin kademeli bir yaklaşım söz konusudur, örneğin, bir şirket GDPR siciline kedisini ve korumakla yükümlü olduğu kişisel verileri kaydetmediği için% 2 para cezasına çarptırılabilir (madde 28), Bu kuralların hem denetleyiciler hem de işletmeler için geçerli olduğuna dikkat etmek önemlidir – Bulut bilişim sistemlerinde veri barındırmak GDPR yaptırımından muaf değildir.

GDPR İle KVKK arasındaki Farklılıklar

1 – KVKK Türkiye Cumhuriyeti devletinin AB uyumu süresince GDPR’dan alınan maddeler ülkemiz standartlarına uyarlanarak yayınlanış olup GDPR daha kapsamlı bir çalışmadır.

2 – KVKK Türkiye Cumhuriyetinde faaliyet gösteren tüzel ve gerçek kişilerin verilerin korunması ve yurt dışına aktarılması ile ilgili konuları kapsamaktadır. GDPR verilerin Tüm AB ülkeleri ve diğer ülkelerde faaliyet gösteren tüm firmaları ve veri işleyen şahısları kapsamaktadır.

3 – KVKK ceza yükümlülükleri 1.000.000 TL üst limit olarak belirlenmiş GDPR şirket cirosunun %4 veya 20.000.000 Euro ( hangisi büyükse ) cezai yaptırım olarak belirlemiştir.

4 – KVKK kuralları ülkemiz kuralları gereği yaptırımlara maruz kalırken GDPR kuralları ülke bölge bağımsız kendilerine verilen yetki doğrultusunda müdahale etme ve ceza verme yetkisine sahiptir.