KVKK Nedir?


Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Kişisel verilerimizin temel hak ve özgürlükler kapsamında korunması için öncelikle Kişisel Verileri Koruma Kanunu yürürlüğe girmiştir. Bu kanuna bağlı olarak, kanunu işletebilmek, süreçleri sürdürebilmek ve Şirketlerin bu kanun kapsamında uyumlaştırma yapıp yapmadığı hususunda Re’sen denetlenebilmesi için “Kişisel Veri Koruma Kurulu” da ilgili kanun ile birlikte hayatımıza girmiştir.



07.04.2016 tarihinde yürürlüğe giren ve 07.04.2018 tarihinde tüm şirketleri kapsamına alan 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslara göre kişisel verilerin işlenmesinden özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir. Kişisel verilerin korunması zorunluluk haline gelmiş ve şirketler bünyesindeki tüm çalışanların yetki seviyesi doğrultusunda bu kanun hakkında bilgi sahibi olması gerekliliği getirilmiştir.

Kurum tarafından şikayet üzerine veya re’sen yapılan şirket denetimi halinde Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslara uyum sağlamadığı tespit edilen şirketler için kanun uyarınca hapis ve para cezaları öngörülmektedir. Verinin işlenmesi, muhafazası, muhafaza süresi, verinin yurtiçi-yurtdışı aktarımı ve yok edilmesi ile ilgili yasaya uymamanın cezası Ceza Kanunu uyarınca 1-6 yıl arası hapis, kanunda belirtilen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000-TL-1.000.000 TL arası idari para cezası olabilmektedir. Şirketlerin bu cezalar ile karşı karşıya kalmamaları için kişisel verilerin korunmasına ilişkin uyum projesi çalışmaları yapmaları ehemmiyet arz etmektedir.


KVKK Süreci İş Planımız Nasıl Olmalıdır?

  1. Kişisel Verilerin Sınıflandırılması: Veri sorumlusu şirketin çalışma ve organizasyon yapısının belirlenmesi için departmanlar ile ilk temas
  2. Veri haritasının çıkarılması: Departman çalışanları ile yapılan eğitim sonrası şirket bünyesinde veri işleme sürecinin görülmesi
  3. Veri İşleme Süreçlerinin Uyumlandırılması: Veri işleme faaliyetlerine ilişkin eğitim, şirketin uyumluluğunu değerlendirme, ihmalleri tespit etme, buna uygun raporlama
  4. Veri Aktarım Süreçlerinin Uyumlandırılması: Yurtiçi-yurtdışı-şirketler arası veri aktarımı
  5. Sözleşmelerin Güncellenmesi: Çalışanlar ile yapılan iş sözleşmeleri ve şirketler arası yapılan sözleşmeler
  6. Başvuru, şikayet, itiraz süreçlerinin uyumlandırılması: İhmal ve ihlalden kaynaklı şikayetlere ilişkin önleyici tedbirler alma
  7. Açık Rıza ve Aydınlatma metinlerinin oluşturulması: Veri minimizasyonu ilkesi doğrultusunda işlenen kişisel verinin niteliği doğrultusunda bilgilendirme ve rıza
  8. Kurum KVKK Politikası ve Bilgi Güvenliği Politikasının oluşturulması 
  9. Verilerin kanuna uygun şekilde imhası için İmha Politikası oluşturulması
  10. Kurum içi KVKK farkındalık eğitimlerinin düzenlenmesi


10.maddede KVKK uyum projesi çalışması tamamlanabilmektedir. İşletilen bu sürecin uzunluğu ve mesai süresi şirketin büyük veya küçüklüğü, grift veya basit yapısına bağlı olarak değişkenlik gösterecektir.



GDPR Nedir?

25 Mayıs 2018 tarihinde GDPR yürürlüğe girmiştir. AB Genel Veri Koruma Regülasyonu (GDPR), tüm Avrupa genelinde AB vatandaşlarını korumaya yönelik veri gizliliği ve güvenliği için hazırlanmıştır.

GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini toplayan, işleyen ve saklayan tüm şirketler için her türlü kişisel veri operasyonunu içermektedir. Buradan yola çıkarak GDPR'ın, KVKK'nın farklı olarak, yerindelik ilkesi dışına çıkıp Avrupa Birliği'nde ikamet eden kişilerin verilerini işleyen tüm gerçek ve tüzel kişilere sorumluluk yüklemektedir. Bu bakımdan da bir işletme Avrupa Birliği'nde ikamet eden kişilerin verilerini işliyorsa, (AB vatandaşı olma şartı da aranmamaktadır.) GDPR ile uyumlu hareket etmekle yükümlüdür. Örneğin, Türkiye’deki bir otelde verisi ihlal edilen AB vatandaşı bir birey GDPR kapsamında kendi ülkesindeki Kurula başvuru yaptığında GDPR gereği gerekli önlem ve tedbirleri almayarak ihlale sebep olan otel hakkında para cezası uygulanabilir.

GDPR ve KVKK farklılıklarından bahsetmemiz gerekirse;

  • KVKK Türkiye’de faaliyet gösteren tüzel ve gerçek kişilerin verilerin korunması ve yurt dışına aktarılmasını kapsamaktadır. GDPR, verilerin Tüm AB ülkeleri ve diğer ülkelerde faaliyet gösteren tüm firmaları ve veri işleyen şahısları kapsamaktadır.
  • GDPR, KVKK’ya göre daha kapsamlı bir çalışma olup, Türkiye tarafından yapılan KVKK çalışması GDPR standartları dikkate alınarak hazırlanmıştır.
  • KVKK ceza yükümlülükleri 1.000.000 TL üst limit olarak belirlenmiş olup GDPR şirket cirosunun %4 veya 20.000.000 Euro ( hangisi büyükse ) cezai yaptırım olarak belirlemiştir.
  • Yer bakımından uygulamaya ilişkin KVKK yalnızca Türkiye sınırları içerisinde hüküm ifade ederken, GDPR kuralları AB üyesi olmayan ülkeler için de bağlayıcı niteliktedir.

Geri Bildirim

Bu içeriği faydalı buldunuz mu?
İlişkili İçerikler