KVKK ve GDPR Danışmanlık Hizmetlerimiz

Yasal uyumsuzluk sonucunda oluşabilecek risklerinizi tespit ederek, her türlü kişisel verinin hukuka uygun olarak işlenmesi ve muhafaza edilmesi için gerekli teknik ve idari tedbirleri sağlıyoruz.

Hizmet detayı için tıklayınız

KVKK ve GDPR Şirketler Tarafından Nasıl Değerlendirilmeli?

  • KURUMUNUZ

    • AB sınırları içinde yaşayan gerçek kişilere ya da AB sınırları dışında yaşayan AB vatandaşlarına hizmet ya da ürün sunuyorsa,
    • Bu kişilerin davranışlarını gözlemliyorsa,
    • AB şirketleri ile iş yapıyorsa,
    • AB dillerinden birinde hizmet veriyorsa,
    • AB’de yaşayan veri sahiplerinin kişisel verileri üzerinde herhangi bir işlem yapıyorsa;

    GDPR'A TABİDİR.

  • KURUMUNUZ

    • Kişisel verilere dolaylı, direkt, kısmen veya tamamen olarak,
      • Sahipse
      • İşliyorsa
      • Saklı tutuyorsa
      • Siliyorsa

    KVKK'YA TABİDİR.

  • GDPR’a tabi iseniz,

    • İşlediğiniz her kişisel verinin niteliğine göre veri sahibinden yazılı rıza almalı,
    • Kişisel verileri kanuna uygun olarak işlemeli, saklamalı, aktarmalı, anonimleştirmeli ve silme işlemini yapmalı,
    • Kişisel verileri işleme faaliyetlerine ilişkin politika ve prosedür oluşturmalı,
    • Kişisel verilerin GDPR’a uygun işlenmesi ve güvenliği için teknik önlemleri almalı ve altyapınızı tamamlamalı,
    • İşlediğiniz her kişisel verinin meşru bir amacı ve hukuki sebebi olmalı ve bunu belgelendirmeli,
    • Kurumunuz için Data Protection Officer (“DPO”) ataması yapmalısınız.

    KVKK’ya tabi iseniz,

    • Kişisel verileri kanun hükümlerine uygun olarak işlemeli,
    • Kişisel veri işleme envanteri oluşturmalı,
    • Veri işleme faaliyetlerini kanuna uygun olarak sürdürmek ve veri ihlallerini önlemek için teknik altyapınızı tamamlamalı,
    • Kişisel veri saklama ve imha politikası hazırlamalı,
    • Mevzuatta sayılan istisnalar kapsamında değilseniz VERBİS aracılığı ile Veri Sorumluları Siciline beyanda bulunmalısınız.

Şirketinizin GDPR‘a tabi olmadığından emin misiniz?

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve EU General Data Protection Regulation (“GDPR”) ile ilgili hangi düzenlemeye tabi olduğunuzu öğrenmek için bizimle iletişime geçebilirsiniz.

Uyum süreçleri için tıklayınız

Veri Koruma Kanunlarının Uygulanması

KVKK ve GDPR iş süreçlerinizi hem yasal hem de teknik açıdan önemli ölçüde etkileyecektir.

CEZAİ YAPTIRIMLAR

Süreçlerin gerektirdiği sorumlulukları yerine getirmedim, peki şimdi ne olacak?

KVKK ve GDPR; şirketlerin tuttuğu datanın minimize edilmesini ve eldeki datanın işlenme süreçlerini güvenlik ve gizlilik yöntemiyle beraber oldukça şeffaf olmasını amaçlarken, herhangi bir uyumsuzluğun ve yasal yükümlülüklerin yerine getirilmemesinin sonuçları oldukça ağırdır.

Her iki Kanun aynı özü benimsemiş olsa dahi, cezai yaptırımları noktasında birbirinden değişkenlik göstermektedir. Herhangi bir uyumsuzluk ve idari yasal yaptırım ile karşı karşıya kalmamanız adına, hangi yasa için sorumluluğunuz var ise, uyum süreçlerine bağlı yükümlülüklerinizi yerine getirmeniz önem arz etmektedir.

KVKK’ya Uyumsuzluk Cezaları

  • Veri sorumluları sicil bilgi sistemi olan VERBIS’e ilgili tarihler arasında kayıt yapamayan şirketlere; 20,000 TL ile 1,000,000 TL aralığında,
  • Aydınlatma yükümlülüğünü yerine getirmeyen şirketlere; 5,000 TL ile 100,000 TL aralığında,
  • Veri güvenliliği ihlali durumlarında; 15,000 TL ile 1,000,000 TL aralığında,
  • Kurul tarafından verilen kararların yerine getirilmemesi durumunda 25,000 – 1,000,000 TL aralığında,

idari para cezası uygulanabilecektir. Bu tutarlar her takvim yılı başından geçerli olmak üzere o yıl için 4.1.1961 tarihli ve 213 sayılı Vergi Usul Kanununun mükerrer 298 inci maddesi hükümleri uyarınca tespit ve ilân edilen yeniden değerleme oranında artırılarak uygulanır.

Kişisel Verileri Koruma Kanunu’nda belirtilen idari para cezalarının yanı sıra, kişisel veri ihlallerine bağlı olarak Türk Ceza Kanunu uyarınca 1-4 yıl arası hapis cezası öngörülmüştür.

2017 yılı verilerine göre, KVKK kurumuna toplamda 41 tane veri ihlali başvurusu iletilmiş olup karara bağlanan yaptırımlar sonucunda 125,000 TL idari para cezası uygulanmıştır. 2018 yılında veri ihlali başvuru sayısı 395 adedi bulmuş olup bunların 233’ü Kurum tarafından incelemeye alınıp cevaplandırılmıştır. Yine 2018 yılında kesilen idari para cezaları toplamda 1,365,000 TL’yi bulmuştur. Kişisel verilerin korunması müessesesi gün geçtikçe önem kazanmakta olup uyum sürecini tamamlamadığınız her gün aleyhinize işlemektedir.

GDPR’a Uyumsuzluk Cezaları

Olası bir veri ihlali ve/veya regülasyona uyumsuzluk halinde şirketlere uygulanabilecek yaptırımlar KVKK’ya oranla oldukça yüksektir.

Uygulanabilecek idari para cezası, ilgili şirketin bir önceki mali yıla ait global cirosunun %4’ü veya 20,000,000 € olarak belirtilmiştir. Bu tutarlar arasından hangisi daha yüksek ise o tutar, ceza olarak işlenecektir.

Bununla beraber aşağıdakiler de şirketlere cezai işlem olarak uygulanacaklar arasındadır.

  • Yazılı uyarılar ve tebligatlar,
  • Veri işlenmesinin süreli / süresiz olarak askıya alınmasını sağlamak,
  • İşlenen verinin düzenlenmesini, değiştirilmesini ve/veya sınırlanmasını istemek,
  • Herhangi bir üçüncü taraf ülkeye veri aktarımını sınırlamak.

KVKK VE GDPR : TEMEL KAVRAMLAR

Bugün Türkiye’nin bağlı olduğu veri koruma kanunu, 1995 tarihli Avrupa Birliği Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Direktifi’nin (“Direktif”) bir örneği olduğundan, GDPR’ın KVKK’yı da kapsadığını düşünmek yanlış olmayacaktır. Yasaların temelde oldukça benzer olmalarından ötürü, kapsamlı bir analiz yapılarak uyum sürecinde efor harcanması, hem şirketinize hem de ilgili birimlere zaman ve maliyet kazancı sağlayacaktır.

Her iki regülasyonun temel ilkelerini kısaca özetlemek gerekirse:

Kişisel Verilerin Korunması Kanunu

General Data Protection Regulation

  • Hukuk ve dürüstlük kurallarına uygun
  • Verilerin doğru ve gerektiğinde güncel
  • Verilerin belirli, açık ve meşru amaçlar için işlenmesi
  • Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
  • KVKK’da öngörülen veya işlendikleri amaç için gerekli olan süre kadar verilerin muhafaza edilmesi
  • Zorunlu olmamakla beraber, uyum süreci için bir “denetçi”nin atanması
  • Hukuka, dürüstlük kurallarına uygun ve veri öznesine karşı şeffaf olarak verilerin işlenmesi
  • Verilerin doğru ve gerektiğinde güncel olması
  • Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi
  • Veri işleme için gerekli olduğu kadar, ilgili ve ölçülü biçimde işlenmesi
  • Kişisel verinin işleme amacı için gerekli olandan daha uzun süre tutulmaması
  • Veri Kontrolörü’nün sayılan tüm temel prensiplerden sorumlu taraf olması (hesap verilebilirlik prensibi)
  • Zorunlu olarak, DPO (Data Protection Officer) adında uyum denetçisi atanması

Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x