Danışmanlıklar

Kişisel Verilerin Korunması Kanunu ( KVKK ) kişisel verilerin korunmasına ilişkin olarak ülkemizde yürürlükte bulunan mevzuattır. 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiş ve uygulanmaya başlamıştır. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması amaç edinilmiştir ve bu amaç doğrultusunda kişisel verileri işleyen büyük şirketler ile en küçük işletmeler bazı yükümlülüklere tabi tutulmuştur. Kişisel veriler hassas bilgiler olup hem gerçek kişiler için hem de tüzel kişiler için önem atfetmektedir. KVKK ile bu hassas bilgilerin korunmasına ilişkin ülkemizde önemli bir adım atılmıştır. Averd Teknoloji olarak danışan kuruluşlarımızın KVKK ve GDPR alanında tam uyumluluğunun sağlanması noktasında teknik ve hukuki yükümlülükleri bütüncül bir yaklaşımla ele alıyoruz. Ayrıca mevzuatta yaşanan güncel gelişmeleri takip ederek uyumluluğun devam ettirilmesini sağlıyoruz. Tüm süreçleri, alanında uzman hukukçu ve siber güvenlik uzmanlarından oluşan ekibimizle yürütüyoruz.

Siz de yasal yükümlülüklerinizi yerine getirmek ve uyum sürecinizi profesyonel bir ekiple gerçekleştirmek istiyorsanız bizimle iletişime geçin. Şirketimiz kişisel veri güvenliği alanında tam uyumluluğu taahhüt etmektedir. Eksik uyumluluk süreçleri neticesinde yaşayabileceğiniz olumsuzluklar işinizi etkilemesin. Siz işinize odaklanırken profesyonel ekibimiz sizin için en iyi çözümleri sunsun. Hedefimiz, danışan kuruluşlarımızı mevzuata tam uyumlu hale getirerek cezai yaptırımlardan kurtarmak ve bilişim suç/suçlularından korumaktır.

 KVKK, veri sorumlusu kuruluşlara ihlal durumlarında 2023 yılı itibariyle güncel haliyle: VERBİS’ e kayıt ve bildirim yükümlülüğüne aykırılık halinde en alt sınır 119,428 TL, en üst sınır ise 5.971,989 TL dir.

 Aydınlatma yükümlülüğüne aykırılık halinde en alt sınır 29,852 TL, en üst sınır ise 597.191 TL dir.

Veri güvenliğine ilişkin yükümlülüğe aykırılık halinde en alt sınır 89,571 TL, en üst sınır ise 5.971,989 TL dir.

Kurul kararlarını yerine getirmeme durumunda ise en alt sınır 149.285 TL, en üst sınır ise 5.971,989 TL dir.

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Aydınlatma Yükümlülüğü, kişisel verileri işleyen veri sorumlusu ya da yetkilendirdiği kişiler tarafından, kişisel verilerin elde edileceği esnada ilgili kişilerin bu konu hakkında bilgilendirilmesine ilişkin bir yükümlülüktür. Veri sorumluları için aydınlatma yükümlülük iken ilgili kişiler için talep edilen bir haktır. Kişisel verisi işlenmeden önce kişi bu işleme ilişkin bilgilendirme talep edebilir.

Aydınlatma yükümlülüğü yerine getirilirken asgari şu hususlarda bilgilendirme yapılması gerekmektedir:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla paylaşılacağı,
  • Kişisel veri toplamanın  hukuki amaç ve yöntemi,
  • Kanunda sayılan ilgili kişilerin haklarının neler olduğu,

Aydınlatma yükümlülüğü herhangi bir şekil şartına bağlı olmadan yerine getirilebilir. Önemli olan açık, anlaşılır ve sade bir şekilde yerine getirilmesidir. Aydınlatma yükümlülüğünün hukuka uygun yerine getirildiğinin ispatı veri sorumlusundadır. Açık rıza alınacak hallerde, açık rızanın alınması ile aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekir.

Veri sorumluları öncelikle işledikleri kişisel verilerinin ne kadar önemli olduğunu ve kötü kişilerin eline geçmesi halinde ilgililerine ne boyutta zarar vereceğinin farkında olmaları gerekmektedir. Bu farkındalık ile veri sorumlularının kişisel verilerin korunmasına ilişkin gerekli teknik ve idari yükümlülükleri daha dikkat ve özenle yerine getirmelerini sağlayacaktır. Her veri sorumlusunun kişisel veri güvenliğine ilişkin bir politikası ve prosedürü bulunmalıdır. Kullanım süresi biten ya da işlenme amacı sona eren kişisel veriler hemen ilk periyotta imha edilmelidir ki bunları korumak adına ekstra bir yükümlülük altına girilmemiş olunacaktır. İmha işleminin güvenli yapılması riski azaltır. Siber saldırılara, fidye yazılımlara karşı güvenlik duvarı gibi ağ güvenlik cihazları kullanmak faydalı olacaktır. Ayrıca tehdit içerikli internet sitelerine erişimin engellenmesi de risk ortamını daraltacaktır. Düzenli lisanslı antivirüs programları kullanmak ve bunlarla sık aralıklarla virüs taraması yapmak ve bu programları güncel halleriyle tutmak önem arz edecektir. Sisteme sadece yetkili kişilerin girmesine izin verilmesi, güçlü parola sisteminin kullanılması ve çift doğrulama sisteminin kullanılması faydalı olacaktır. Sızma testi yaptırmak riski azaltacaktır. Ayrıca Kurul’un web sitesinde yayınladığı Kamuoyu Duyurusu’nda şu tavsiyelere yer verilmiştir: Çift kademeli doğrulama sistemi kullanılması, başka bir cihaz ile bağlanılması durumunda bunun bilgisinin verilmesi, uygulamaların en üst seviyede güvenlik ayarları ile korunması, başarısız girişlerin olması halinde sistemde bunların görüntülenebilmesi, güçlü parolanın oluşturulması ve sık aralıklarla parolanın değiştirilmesi, üçüncü parti yazılım/servis kullanılması halinde bunların denetlenerek güncel tutulması konusunda tavsiyelerde bulunmuştur. 

Veri ihlali gerçekleşmesi durumunda veri sorumlusu bunu en kısa sürede Kurul’a bildirmek zorundadır. Ayrıca bu sürenin 72 saati geçmesi durumunda en kısa sürede bildirimde bulunulmadığı için veri sorumlusu yaptırımla karşı karşıya kalır.

Bunun hesaplanmasında da bir yıl dolmuş olması gerekmektedir. 1 yılda veri sorumlusunca yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyannamesi ekinde yer alan mali tablolardaki mali bilanço VERBİS kayıt ve ibrazı içinde geçerli olacaktır. Kurul’un belirttiği üzere bu hesaplamada ciro ya da net satış/brüt satış hâsılatının dikkate alınmayacaktır.

Hakkımızda

Averd Teknoloji olarak, tüm enerjimizi bilgi teknolojileri alanındaki değişimlere odakladık. Siber güvenlik ve kişisel veri güvenliği konularında risk almak istemeyen, modern bakış açısıyla iş akışlarını profesyonel olarak tasarlamak isteyen müşterilerimize güvenilir ve kaliteli danışmanlık hizmetleri sunuyoruz.

Ready to Start?

Curabitur vulputate posuere tortor luctus vulputate laoreet pretium blandit.