Şirketinizin GDPR‘a tabi olmadığından emin misiniz?

Kişisel Verilerin Korunması Kanunu (KVKK) ve EU General Data Protection Regulation (GDPR) ile ilgili hangi düzenlemeye tabi olduğunuzu öğrenmek için bizimle iletişime geçebilirsiniz.

Uyum süreçleri için tıklayınız

Türkiye'de KVKK ve GDPR Yönetmelikleri Nasıl Değerlendirilmeli?

  • Kurumunuz

    • AB sınırları içinde yaşayan gerçek kişilere ya da AB sınırları dışında yaşayan AB vatandaşlarına hizmet ya da ürün sunuyorsa,
    • Bu kişilerin davranışlarını gözlemliyorsa,
    • AB şirketleri ile iş yapıyorsa,
    • AB dillerinden birinde hizmet veriyorsa,
    • AB'de yaşayan veri sahiplerinin kişisel bilgilerine;
      • Sahipse
      • İşliyorsa
      • Saklı tutuyorsa
      • Siliyorsa

    GDPR'a tabidir.

  • Kurumunuz

    • Kişisel verilere dolaylı, direkt, kısmen veya tamamen olarak,
      • Sahipse
      • İşliyorsa
      • Saklı tutuyorsa
      • Siliyorsa

    KVKK'ya tabidir.

  • GDPR’a tabi olmanız;

    • İşlediğiniz her kişisel bilginin niteliğine göre veri sahibinden yazılı rıza almanız,
    • Kişisel verileri kanuna uygun olarak işlemeniz, saklamanız, transfer etmeniz, anonimleştirmeniz ve silme işlemini yapmanız,
    • İşlediğiniz tüm verilerin nasıl kullanıldığını belirten yönetmelik oluşturmanız,
    • Kişisel verilerin GDPR’a uygun işlenmesi ve güvenliği için teknik önlemleri almanız ve altyapınızı tamamlamanız,
    • İşlediğiniz her kişisel bilginin spesifik bir sebebi olması ve belgelendirmeniz,
    • Kurumunuz için Data Protection Officer ataması yapmanız,

    anlamına gelmektedir.

    KVKK’ya tabi olmanız;

    • Kişisel bilgileri kanun hükümlerine uygun olarak işlemeniz,
    • Kişisel veri işleme envanteri oluşturmanız,
    • Kanun hükümlerine uygun olarak veri işleyişini sürdürmek için teknik altyapınızı tamamlamanız,
    • Kişisel veri saklama ve imha politikası hazırlamanız,
    • Kurumunuz için Veri Sorumlusu ataması yapmanız,
    • VERBİS’ e kayıt olmanız,

    anlamına gelmektedir.

 

KVKK ve GDPR Danışmanlık Hizmetlerimiz

Yasal uyumsuzluk sonucunda oluşabilecek risklerinizi tespit ederek, her türlü kişisel verinin hukuka uygun olarak işlenmesini ve muhafaza edilmesi için gereken teknik ve idari tedbirleri sağlıyoruz.

Hizmet detayı için tıklayınız

KVKK & GDPR’nin Türkiye’deki Şirketlere Etkisi

KVKK ve GDPR iş süreçlerinizi hem yasal hem de teknik açıdan önemli ölçüde etkileyecektir.

KVKK VE GDPR HÜKÜMLERİNCE TEMEL KAVRAMLAR

GDPR’ın KVKK’yı da kapsadığını düşünmek, bugün Türkiye’nin bağlı olduğu veri koruma kanununun 1995 yılındaki AB Kişisel Verilerin işlenmesi ve Serbest Dolaşımı Direktifi’nin bir örneği olması sebebiyle yanlış olmayacaktır. Yasaların temel ilkeleri kapsamında oldukça benzer olmalarından ötürü, herhangi birine harcanacak uyum sürecindeki eforun en doğru kapsamın analizi ile harcanması hem şirketinize hem de ilgili birimlere zaman ve maliyet kazancı sağlayacaktır.

Buna göre, her iki regülasyonun temel ilkelerini kısaca özetlemek gerekirse:

Kişisel Verilerin Korunması Kanunu

General Data Protection Regulation

  • Hukuk ve dürüstlük kurallarına uygun olması.
  • Verilerin doğru ve gerektiğinde güncel olması.
  • Belirli, açık ve meşru amaçlar için verilerin işlenmesi.
  • Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.
  • KVKK’da öngörülen veya işlendikleri amaç için gerekli olan süre kadar verilerin muhafaza edilmesi.
  • GDPR’ın aksine, zorunlu olmamakla beraber, uyum süreci için bir “denetçi”nin atanması önerilmektedir.
  • Hukuka, dürüstlük kurallarına uygun ve veri öznesine karşı şeffaf olarak verilerin işlenmesi.
  • Verilerin doğru ve gerektiğinde güncel olması.
  • Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi.
  • Veri işleme için gerekli olduğu kadar, ilgili ve ölçülü biçimde işlenmesi.
  • Kişisel verinin işleme amacı için gerekli olandan daha uzun süre tutulmaması.
  • Veri kontrolörü  sayılan tüm temel prensiplerden sorumlu taraf olması (hesap verilebilirlik prensibi)
  • DPO isimli (data protection officer) adında uyum sorumlusu bulunması.

CEZAİ YAPTIRIMLAR

Süreçlerin gerektirdiği sorumlulukları yerine getirmedim, peki şimdi ne olacak?

KVKK ve GDPR; şirketlerin tuttuğu datanın minimize edilmesini ve eldeki datanın işlenme süreçlerini güvenlik ve gizlilik yöntemiyle beraber oldukça şeffaf olmasını amaçlarken, herhangi bir uyumsuzluğun ve yasal yükümlülüklerin yerine getirilmemesinin sonuçları oldukça ağırdır.

Her iki Kanun aynı özü benimsemiş olsa dahi, birbirinden cezai yaptırımları noktasında da değişkenlik göstermektedir. Herhangi bir uyumsuzluk ve idari yasal süreçler ile karşı karşıya kalmamanız adına, hangi yasa için sorumluluğunuz var ise, uyum süreçlerine bağlı yükümlülüklerinizi yerine getirmeniz önem arz etmektedir.

KVKK’ya Uyumsuzluk Cezaları

  • Veri sicil sistemi olan VERBIS’e ilgili tarihler arasında kayıt yapamayan şirketlere; 20,000 TL ile 1,000,000 TL aralığında,
  • Aydınlatma yükümlülüğünü yerine getirmeyen şirketlere; 5,000 TL ile 100,000 TL aralığında,
  • Veri güvenliliği ihlali durumlarında; 15,000 TL ile 1,000,000 TL aralığında,
  • KVKK Kurumu’nun yayımladığı yönetmeliğe aykırılık durumlarında 25,000 – 1,000,000 TL aralığında,

idari para cezası uygulanabilecektir. İdari para cezalarına ek olarak, yasal uyumsuzluk ve ihlallerin durumlarına göre 1-4 yıl arasında hapis cezaları uygulanabilmektedir.

2017 yılı verilerine göre, KVKK kurumuna toplamda 41 tane veri ihlali başvurusu iletilmiş olup karara bağlanan yaptırımlar sonucunda 125,000 TL idari para cezası uygulanmıştır.

GDPR’a Uyumsuzluk Cezaları

Olası bir veri ihlali ve/veya regülasyona uyumsuzluk halinde şirketlere uygulanabilecek yaptırımlar KVKK’ya oranla oldukça yüksektir.

Uygulanabilecek idari para cezası, ilgili şirketin bir önceki mali yıla ait global cirosunun %4’ü veya 20,000,000 € olarak belirtilmiştir. Bu tutarlar arasından hangisi daha yüksek ise o tutar, ceza olarak işlenecektir.

Bununla beraber aşağıdakiler de şirketlere cezai işlem olarak uygulanacaklar arasındadır.

  • Yazılı uyarılar ve tebligatlar,
  • Veri işlenmesinin süreli / süresiz olarak askıya alınmasını sağlamak,
  • İşlenen verinin düzenlenmesini, değiştirilmesini ve/veya sınırlanmasını istemek,
  • Herhangi bir üçüncü taraf ülkeye veri aktarımını sınırlamak.

Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x