KVKK SİSTEM DANIŞMANLIĞI

KİŞİSEL VERİLERİ KORUMA KANUNU

KİŞİSEL VERİLERİ KORUMA KANUNU 6698 SAYILI KİŞİSEL VERİLERİ KORUMA KANUNU (KVKK), 07.04.2016 tarih ve 29677 sayılı Resmi Gazate'de yayımlanarak yürülüğe girdi. KVKK, içerik olarak ülkemizin pek aşina olmadığı konularda gerçek ve tüzel kişilere önemli sorumluluklar yüklüyor. Fazla bilinmeyen bir konu olması nedeniyle kanun ve getirdiği uygulamalar hakkında pek çok soru işareti de ister istemez ortaya çıkmış durumda. Kanunun getirdikleri ve uygulama süreciyle ilgili sıklıkla karşılaştığımız sorular cevaplama ve Apak Akademi'den alabileceğiniz destekleri ortaya koymak, uyum sürecinizdeki belirsizlikleri ortadan kaldırmada yardımcı olacaktır;

 

NEDEN BÖYLE BİR KANUNA İHTİYAÇ DUYULDU?

Özellikle son 20 yılda, iletişim ve bilişimde yaşanan gelişmeler hem genel yaşamı hem de iş yaşantısını kolaylaştırdı ve farklılaştırdı.

Bu gelişimlere paralel olarak ortaya çıkan siber suçlar ise hem gerçek hem de tüzel kişileri son derece olumsuz etkiliyor.

Giderek artan ticari faaliyetler nedeniyle tüzel kişiliklerin elinde bulunan kişisel veriler, kötü amaçlı kişilerin ana hedefi haline geldi.

Gerçek kişileri, olası zararlardan korumak ve işletmelerde kişisel veri kullanımını disiplin altına almak üzere 6698 sayılı Kişisel Verileri Koruma Kanunu 2016 yılında yayımlandı.

 

 

 

 

LAW OF PROTECTION OF PERSONAL DATA

LAW OF PROTECTION OF PERSONAL DATA 6698 NUMBERED LAW OF PROTECTION OF PERSONAL DATA (LPPD) took effect in 07.04.2016 by being published in official gazette no. 29677. LPDD, gives responsibilities to legal and juridical persons on topics which our country is not quite familiar with in the context of content. Because it is not a well known topic, it undoubtedly dawns quite a few questions about the law itself and the exercises it introduces. Answering the questions frequently encountered about the requirements of the law and the process of execution and makingh use of the assistance you can get from APAK Academy will help you eliminate the uncertainties of your process of conformation;

WHY SUCH A LAW WAS NEEDED?

Over the last 20 years, developments made in communication and informatics, made both our everyday life and business life easier and different.

Cyber crimes, which emerged parallelly with these developments, have a very negative effect on both legal and juridical persons.

Because of ever increasing commercial activities, personal data belonging to the juridical persons became the main target of people with malicious intent.

With the purpose of protecting legal people from possible harm and discipline the usage of data in businesses, no. 6698 Law of Protection of Personal Data was published in 2016.

 

 

KANUNUN KİMLERİ KAPSIYOR VE ÇALIŞMALAR İÇİN SON TARİH NEDİR?

Öncelikle kanun, kişisel verileri toplayan ve işleyen tüm gerçek ve tüzel kişiler yanında kamu kurumlarını da kapsıyor. Çalışmaların tamamlanması için de çeşitli kriterler üzerinden farklı son tarihler belirlenmiş durumda.

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları yanında, çalışan sayısı ve yıllık bilanço toplamına bakılmaksızın yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, 30.09.2019 tarihine kadar işlemleri tamamlamak zorunda.

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 31.03.2020 tarihine kadar işlemleri tamamlamak zorunda.

Kamu kurum ve kuruluşu veri sorumluları ise 30.06.2020 tarihine kadar işlemleri tamamlamak durumunda

 

 

WHAT IS THE EXTENT OF THE LAW AND WHAT ARE FINAL DATES FOR PROCESSES?

The law is applicable for everyone who collects and processes personal data, including both legal and juridical persons and public institutes. There are different final dates for processes on different criterias.

Alongside with legal or juridical persons responsible with data, with workers more than 50 or with a sum of annual balance sheet more than 25 million TL, legal or juridical persons who are settled abroad, regardless of worker count or sum of annual balance must complete all processes before the date of 30.09.2019 .

Legal and juridical persons whose activity topic is special quality data processing with the count of workers less than 50 and their sum of annual balance sheet less than 25 million TL must complete all processes before the date of 31.03.2020

Public institutes and institutial data supervisors must complete all processes before 30.06.2020
 

UYUM İÇİN BELİRLENEN SON TARİHLERİN ERTELENMESİ MÜMKÜN MÜ?

Kanun ilk çıktığı haliyle uygulansaydı tüm veri sorumlularının Ekim 2018 - Ocak 2019 tarihleri arasında işlemlerini tamamlaması gerekiyordu. Ancak teknik altyapı henüz tamamlanamadığı için uygulama bir defa ertelendi (üstte belirtilen tarihlere). Şu anda teknik altyapı sorunu giderildiği için, özellikle 30.09.2019 tarihinde işlemleri tamamlaması gereken grup için yeni bir erteleme beklenmiyor.

 

IS ADJOURNMENT OF FINAL DATES FOR CONFORMITY POSSIBLE?

If the law was implemented with its first aspect, all data supervisors would be expected to complete all processes between the dates of 2018 October - 2019 January. But as the technical infrastructure was not completed, the process was adjourned once (at the dates given above). Now, with the infrastructural problems solved, especially for the group who is expected to complete its processes before 30.09.2019, an adjournment is not expected

 

 

 

KANUNUN TEMELİNDE NE VAR?

Yıllardan beri tüzel kişilikler, faaliyetlerini gerçekleştirebilmek için pek çok gerçek kişiye ait kişisel verileri, kontrolsüz bir biçimde topladı, işledi ve başkalarıyla paylaştı...

Elde bulunan kişisel verilerin hatalı kullanımı, izinsiz paylaşımı veya çalınması nedenleriyle gerçek kişiler ciddi bir şekilde zarar görmeye başladı…

Bugüne kadar konuyla ilgili sorumluluklar tarif edilmediği için kimse hesap sormadı ve rahat hareket edildi…

Bu kontrolsüz ortamın artık disiplin altına alınması gerekiyor.

Kanunla beraber, kişisel verilerin toplanmasında, işlenmesinde ve paylaşılmasında "ÖLÇÜLÜ" hareket edilecek ve eldeki kişisel veriler, gerçek anlamda "KORUNACAK".

 

 

 

WHAT IS THIS LAW AT ITS CORE?

Over years, juridical persons collected and shared many personal data belonging to many people in an unregulated way in order to carry out their activities...

Legal people were being harmed with this misuse of personal data, unauthorized sharing, and thievery…

As the responsibilities on the topic were not addressed until now, no one was held to account and everyone acted freely…

This unchecked environment must be discplined.

With the law, everyone will act " RESTRAINED " in collecting and sharing of personal data, and personal data will be properly " PROTECTED ".

 

 

YAPILMASI GEREKEN ÇALIŞMALAR NELERDİR?

Basitçe;

Ölçülülük ve koruma prensiplerine uygun bir KVKK politikasının oluşturulması, Gerekli idari ve teknik tedbirlerin tasarlanması ve uygulanması,

Oluşturulan politika hakkında kamunun aydınlatılması

Kişisel verilerin korunmasına yönelik gelecek talepleri toplayan, değerlendiren ve sonuçlandıran bir mekanizmanın oluşturulması,

Verbis sistemine kayıt yaptırılması

Oluşturulacak veri envanterinin, verileri koruma yöntemleriyle birlikte VERBİS sistemine aktarılması

Tüm ilgili kişilerin KVKK ve şirket politikası konusunda eğitilmesi,

Politika, idari ve teknik tedbirlerin sürekli kontrol edilmesi, gereken durumlarda revize edilmesi.

 

 

WHAT NEEDS TO BE DONE?

Simply;

Creation of a LPPD policy conforming to the principles of moderation and protection,

Contemplation and application of necessary executive and technical precautions,

Edification of people on the conceived policy,

Creation of a mechanism which colects, evaluates, and finalizes personal data protection requests,

Registering to Verbis system,

Alongside with the methods of data protection, transfer of data inventory into Verbis system,

Training all necessary people on LPPD (KVKK) and company policy,

Continuous checking of political, executive, and technical precautions, and revise them if necessary.

 

 

 

KANUNLA İLGİLİ RESMİ MUHATAP KİM?

Kişisel verilerin korunmasına yönelik resmi muhatap KİŞİSEL VERİLERİ KORUMA KURUMU'dur.

Özerk yapıdaki kurum, kanunla ilgili tüm düzenlemeleri takip eden, karara bağlayan, kendisine gelen şikayetleri inceleyip gerekiyorsa cezai yaptırımları belirlemektedir.

Kurumun ana organı ise 9 üyeden oluşan KURUL'dur.

Kurumun , kanun gereği resmen harekete geçme, inceleme yapma yetkisi bulunmaktadır.

 

 

WHO IS THE OFFICIAL ADDRESSEE ABOUT THE LAW?

Official addressee on the protection of personal data is PERSONAL DATA PROTECTION INSTITUTION .

Autonomous institution, follows every regulation about the law, can decide upon it, examine every complaint, and assign penaly sanctions if necessary.

The main body of the institution is ASSEMBLY , which contains 9 members.

Kurul has the right to act and make examination if it deems necessary.
 

 

VERBİS NEDİR?

Veri Sorumluları Sicili olarak da açıklanabilecek, kanun kapsamına giren veri sorumlusu durumundakilerin vergi dairesi ve numarası ile kayıtlarını yapabilecekleri, web tabanlı ve Kişisel Vertileri Koruma Kurumu web sayfası içinde yer alan bir hizmet portalıdır.

Bu sistem aynı zamanda, veri envanteri ve verilerin korunmasına yönelik olarak kuruma yapılacak bildirimin aktarıldığı dijital bir platformdur.

Bu platforma yapılan bildirimler aynı zamanda veri sorumlusunun taahhütü anlamına gelmektedir.

 

 

 

WHAT IS VERBİS?

Shortly, Data Supervisor Registry, utility portal on the website of Kişisel Verileri Koruma Kurumu, which data supervisors in accordance to the law can register with their tax office and tax office number.

At the same time, this system serves the digital platform which the notice about data inventory and protection data can be transferred to the respective institution.

Notices given to this platform also become the obligation of the data supervisor.

 

 

 

KANUNUN GEREKLİLİKLERİ YERİNE GETİRİLMEZSE NE OLUR?

Kanunun gerekliliklerinin yerine getirilmemesi durumunda ciddi yaptırmlarla karşılaşılması kaçınılmaz.

Öreneklendirmek gerekirse;

Aydınlatma yükümlümlüğünün yerine getirilmemesi durumunda 5.000 - 1.000.000 TL arasında para cezası

Veri güvenliği yükümlülüğü ihlali durumunda 15.000 - 1.000.000 TL arası para cezası

VERBİS sistemine kayıt olma yükümlülüğünün ihlali durumunda 20.000 - 1.000.000 TL arası para cezası

Kişisel Verileri Koruma Kurumu tarafından verilen kararların uygulanmaması durumunda 25.000 - 1.000.000 TL arası para cezası uygulanıyor.

Bu arada para cezalarının kesilmeye başlandığını da hatırlatmak isteriz.

Kişisel verilerin korunmaması ve illegal kullanımının Türk Ceza Kanunu gereği suç olduğunu ve bu suçlar için 1 yıldan 4 yıla kadar hapis cezası verilebildiğini de unutmamak gerekir.

Uygulanacak ceza ne olursa olsun, tüm kesilen cezalar kurum web sayfasında isim vererek ilan edildiği için itibar kaybı yaratması da kaçınılmaz.

 

 

 

 

WHAT HAPPENS IF THE REQUIREMENTS OF THE LAW ARE NOT MET?

In the situation of nonconformity against the law, a serious penalty sanction is inescapable.

For example;

In the situation of failing to meet edification requirements, a penalty between 5.000 - 1.000.000 TL,

In the situation of breach of a personal data obligation, 15.000 - 1.000.000 TL,

In the situation of breach against the requirement of VERBİS registration, a penalty of 20.000 - 1.000.000 TL,

In the situation of unability to implement the decisions made by Kişisel Verileri Koruma Kurumu, a penalty 25.000 - 1.000.000 TL.

In the meantime we'd like to remind you that money penalties have begun to be enacted.

It is also important to note that unability to protect personal data and thier illegal usage is a criminal act in accordance to Turkish Penal Code and can cause the perpetrator to face a prison penalty of 1 to 4 years.

Whatever the penalty may be, the fact that all penalties enacted are declared on the institute's website together with names, therefore creating a loss of reputation is also inevitable.

 

 

 

ISO 27001 VE KVKK ARASINDA BAĞLANTI VAR MI?

ISO 27001, dünyada güncel, veri güvenliği yönetim sistemi standartı olarak karşımıza çıkıyor. Bu sistem sadece kişisel değil, tüm verilerilerin korunması konusunda etkili bir yönetim sistemidir. KVKK, ISO 27001 büyük çatısı altındaki sadece bir bölümdür.

ISO 27001'i kuran ve iyi şekilde işleten tüzel kişiliklerin veri korumaya yönelik idari ve teknik tedbirleri belirli bir seviyeyi yakalmış olması nedeniyle, KVKK'nın beklentilerini çok daha fazla karşıladıkları, kanuna uyumlarının kolay olduğu gözlenmektedir.

Daha önce ISO 27001 konusunda faaliyet göstermeyenlerin ise KVKK için yapacakları çalışmalarla önemli bir ISO 27001 altyapısı oluşturabildikleri biliniyor.

 

 

 

ARE TEHRE ANY CONNECTIONS BETWEEN ISO 27001 AND LPPD?

We see ISO 27001 as globally up to date data protection system standard. This system is not only efficient at protecting personal data, but efficient at protecting any kind of data as well. LPPD (KVKK) is just a small part under the great scope of ISO 27001.

As it is observed that juridical persons who establish ISO 27001 and manage it in an optimal way reach a preferable level of executive and technical personal data protection measures, therefore conforming to the requirements of LPPD (KVKK) in an easier method.

It is also known that those who have never made an activity about ISO 27001 can create a proper ISO 27001 infrastructure for LPPD (KVKK).

 

 

 

İŞLEMLER NASIL BİR EKİPLE YÜRÜTÜLMELİ?

KVKK çalışmaları genelde hukuksal yaklaşım gerektiridiği düşünülerek, aynı zamanda şirketin danışmanı olan bir avukatın yardımıyla bitirilebileceği düşünülür.

Oysa KVKK konuları hem hukuksal hem de teknik yaklaşımın uyumlu olduğu bir ekip çalışması ile tamamlanabilir.

Burada genelde şirket IT uzmanı ve şirket avukatı yan yana getirilir. Ancak bu bileşim ne yazık ki yeterli değildir.

İşletme körlüğü ve rutin işlerin yoğunluğu bu aşamada etkisini gösterir, sürecin yavaşlamasına ve önemli pek çok noktanın kaçırılmasına neden olur.

KVKK sürecinde önemli aşamalar olan veri envanteri hazırlama ve idari / teknik tedbirlerin oluşturulması aşamalarındaki en küçük bir hata ve/veya eksiklik, hem veri sahibi hem de resmi kurumlarla çok ciddi sorunlar yaşamanıza neden olabilir.

KVKK konusunda, Apak Akademi gibi, KVKK konusuna odaklanmış, profesyonel bir ekiple yükü paylaşmak ve süreci yürütmek en akılcı çözümdür.

Apak Akademi deneyimli proje koordinatörü, avukat ve IT uzmanından oluşan ekibiyle süreci sorunsuz atlatmanızda en önemli yardımcınız olacaktır.

 

 

 

 

WHAT KIND OF A TEAM IS REQUIRED FOR THE PROCESSES?

It is often thought that as LPPD activities require a legal approach, a lawyer, who is usually the advisor of the company, is seen enough for finalizing an activity.

In fact, LPPD (KVKK) topics require a teamwork that contains both a technical and a legal approach. At this point, usually an IT specialist and a lawyer is brought together, but sadly, this union is not enough.

Operational blindless and the intensity of routine work traffic usually take effect at this point and cause many important notes to be ignored, slowing the process.

Even the smallest mistake or deficiency during the preparation of data inventory and executive/technical precautions, which are very very important stages in the process of preparing a LPPD (KVKK), can cause both the owner of data and official institutions to face critical problems.

On the topic of LPPD (KVKK), it is a wise choice to work with a professional team who focuses on LPPD (KVKK), like APAK Academy.

APAK Academy, with its team comprised of an experienced project co-ordinator, a lawyer and an IT specialist, can play the biggest role in completing the process without any problems.

 

 

 

KVKK UYUM SÜRECİNDE APAK AKADEMİ FARKI

Tecrübeli ekiple, hiçbir detayı atlamadan, kurumsal kimliğinize ve kanuna uygun yapılanma…

Sorunlara eş zamanlı hukuki ve teknik yaklaşım…

Tüzek kişilikle çalışanlar, müşteriler ve tedarikçiler arasındaki sözleşmelerde KVKK açısından açık bırakmayacak çözümlerin üretilmesi…

Doğru ve eksiksiz veri envanteri hazırlama…

Veri koruma konusunda mevcut teknik altyapının değerlendirilmesi, gerekiyorsa iyileştirmelere yönelik uygun çözümlerin önerilmesi…

Şirket kültürünüze, hiyerarşik yapınıza ve KVKK'ya uygun idari tedbirlerin oluşturulması…

Sürecin her aşamasında, ilgili kişilere / gruplara özel "FARKINDALIK" eğitimleri…

KVKK taleplerini ve süreçlerini yönetecek, şirket içi idari mekanizmanın oluşturulması, eğitimi…

Verbis kaydı, irtibat kişisi atama ve veri aktarımı aşamalarında sistemi kullanak kişilere gerekli desteğin verilmesi…

Proje sonrası 4. ay sonunda ücretsiz denetim, sistem iyileştirmeleri…

Süresiz bilgi, yıllık eğitim materyali desteği…

Çok daha fazlası için yanınızdayız…

 

 

 

DIFFERENCE OF APAK ACADEMY IN THE PROCESS OF CONFORMING TO LPPD

Structuring with an experienced team in accordance to the law and your institutional identity without skipping a detail…

A timely, legal and technical approach to problems…

Creating solutions that doesn't leave an opening concerning LPPD (KVKK) in contracts made between groups who work with juridical persons, clients, and suppliers…

Preparing a correct and complete data inventory…

Assessment of the current infrastructure of data protection and if necessary, proposing solutions with the aim of improvement…

Establishing precautions in accordance to the LPPD (KVKK) and your company hierarchy and culture...

"AWARENESS" training to necessary people or groups during every phase of the process...

Establishing an internal executive mechanism to manage LPPD requests and processes, and its training…

Providing necessary help to users by using the system in the processes of VERBİS registration, appointment of a liaison person, and transfer of data…

Free assessment and system improvements at the 4th month after project…

Limitless supply of knowledge and support of training material…

We are with you for a lot more…

 

 

 

REFERANSLARIMIZDAN BAZILARI ( SOME OF OUR REFERENCES )

KALİTE & DANIŞMANLIK

Call Now ButtonHemen Ara