Kısaca KVKK Nedir?


Kısaca KVKK Nedir?

Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlanarak yürürlüğe girdi. Gerçek kişiye ait her türlü veri “kişisel veri” diye tanımlanıyor.
Kişisel veriler, kimlik verileri, iletişim verileri, görüntü vb gibi basit kişisel verileri ve sağlık kayıtları, adli sicil gibi özel nitelikli kişisel verileri kapsıyor.
Özünde özel hayatın korunmasını sağlayan kanun, kişisel verilerin işlenmesini belli bir düzende yapılmasını istiyor. Bu da kişisel verilerin elde edilmesinden ve çeşitli şekiller işlenmesine kadar birçok işlemin yapılmasını kapsıyor. Aktarmak ya da birisin SMS atmak da bir kişisel veri işleme sayılıyor.
Kanun aynı zamanda KVK Kurumu’nu şekillendirmiştir. Kurum bu konudaki düzenlemeleri yapmakla yükümlüdür.
Kişisel verilerin sahibi olan kişiler “ilgili kişi” olarak tanımlanmaktadır. İlgili kişiler günlük işlemleri sürecinde çeşitli şirket, kurum ve kuruluşlara verdikleri “kişisel verilerin” nasıl işlendiklerini öğrenme hakkına sahiptir. Yani biz bankamıza ya da bir resmi daireye verdiğimiz kimlik, iletişim ve diğer kişisel verilerimizin ne amaçla kullanıldığını sorabilir. Özellikle de kime aktarıldığını sorabilir. Kanun bu konuda ilgili kişiye o kuruma (ki bu kurumlar “veri sorumlusu” olarak tanımlanıyor) başvurması hakkını veriyor. Sorusuna yanıt alamayan kişiler KVK Kurumuna başvurabilir.
Diğer yandan bir konu da (KVKK 10. Madde) aydınlatma konusu. Kanun, veri sorumlularının kişisel verileri elde etme sürecinde kişileri aydınlatmaları gerekiyor. Bu aydınlatma işleminde elde edeceği kişisel verileri ne amaçla işleyeceğini açıklamak zorundadır. İşleme süreci şu şartları sağlamalıdır.
  • ·        Kanunlarda açıkça öngörülmesi,
  • ·        Fiili imkansızlık
  • ·        Bir sözleşmenin kurulması
  • ·        Veri sorumlusunun hukuki yükümlülüğü
  • ·        İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • ·        Bir hakkın tesisi,
  • ·        veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu şartları sağlayamıyorsa da “açık rıza” alınması gerekir. Açık rıza ilgili kişinin kişisel verisinin belirlenen amaç için işlenmesine izin vermesidir. Açık rıza belirlenen bir konuya ilişkin olmalıdır. Genel olarak alınacak bir “torba açık rıza” sorunlu olabileceği belirtilmektedir.
Diğer yandan kanun kişisel verileri işleyen şirketlere ve kurumlara (veri sorumlusu) kişisel verilerin korunması için gerekli teknik ve idari önlemleri almasını istiyor.
Bazı Teknik Önlemler
  • ·        Bilgi güvenliğinin sağlanması.
  • ·        Tüm kullanıcıların işlem hareketlerinin kayıtları (loglar) düzenli olarak tutulması
  • ·        Verilerin yedekleri düzenli olarak alınması
  • ·        Kullanıcı erişimleri yetki ve görevlere göre verilen izinler temelinde olmasının sağlanması
  • ·       

Bazı İdari Tedbirler
  • ·        Personele düzenli olarak farkındalık eğitimlerinin verilmesi
  • ·        Kişisel verilerin işlenmesi ve korunması konusunda üst yönetimin desteğinin sağlanması.
  • ·        Çalışanlarla ve üçüncü taraflarla veri işleme ve aktarımı için sözleşmelerin yapılması,,
  • ·       

Son olarak da kişisel verilerin imhası konusu var. Kişisel verilerin işlenmesi süreci bittiğinde ve kanuni saklama süreleri dolduğunda kişisel veriler imha edilmelidir. Kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmesi belirtilmiştir.


KİŞİSEL VERİLERİMİZİ NASIL KORUYACAĞIMIZI BİLMELİYİZ










Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

KVKK İç Denetim Soru Listesi

KANUN Madde BÖLÜM AÇIKLAMA SORULAR BULGULAR DURUM 4 Genel İlkeler Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. KVKK Politikası ve ilgili diğer dokümanlarda usul ve esaslar belirlemiş mi? 5 Kişisel verilerin işlenme şartları Açık rıza almadan verilerin işlenmesi şartları belirlenmiştir. Açık rıza almadan kişisel verilerin işlenmesi şartlarına uyulmakta mıdır? 6 Özel nitelikli kişisel verilerin işlenme şartları Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel verilerin işlenmesinde gerekli önlemler (açık rıza ve diğer önlemler) alınıyor mu? 6 Özel nitelikli kişisel verilerin işlenme şartları Özel nitelikli kişisel ...
Devamı

Kişisel Veri Envanteri Örneği

Kuruma ait kişisel verilerin yer aldığı bu envanterde kişisel veriler, kişisel veri kategorisi (özel), kullanım amaçları, saklama süresi, imha işlemine ilişkin detaylar ve idari ve teknik önlemler yer alır. NUMARA Departman Faaliyet Veri Kategorisi Kisisel Veri İşleme Amacı Veri Konusu Kişi Grubu Hukuki Sebebi Saklama Süresi Alıcı / Alıcı Grupları Yurt Dışına Aktarım 1 İnsan Kaynakları Çalışan Özlük Dosyası Oluşturma Kimlik Ad, Soyad Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar Sözleşme İmzalanması İşten Ayrılmasından İtibaren 10 yıl SGK Ve Diğer Yetkili Kurum ve Kuruluşlar Yurt Dışına Aktarım Yapılmıyor 2 İnsan Kaynakları Çalışan Özlük Dosyası Oluşturma Kimlik TC Kimlik No Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar Sözleşme İmzalanması İşten Ayrılmasından İtiba...
Devamı

KVKK - Kapı Girişinde Açık Rıza Almak

Kurum, fabrika vb bina girişinde KVKK gereği açık rıza almak zorunda mıyız? Kanuni ve meşru menfaatimize uygun olarak yapılan işlemler için açık rıza almak zorunda değiliz. Ancak birçok şirkette yapılan uygulama olarak kapı girişinde kimliği alınmadan önce bir açık rıza metni imzalattırılıyor.  Ayrıca her durumda aydınlatma işlemi yapılmalıdır. Bu da bir pano olarak girişe koymak  ya da uygun yerlere asmak anlamında. 
Devamı