ISO 27001 nedir?

Günümüzde bilgisayar korsanları veya siber saldırılar gibi nedenlerden dolayı birçok bilgi sızdırılabiliyor veya kaybedilebiliyor. Hem kurumun sahip olduğu gizli bilgiler hem de müşterilerin bilgileri güvenli bir şekilde muhafaza edilmelidir. Bu sebeple ISO 27001 standardını kabul eden ve uygulayan kurumlar bu güvenliği elde etmiş ve birçok tehlikeden kendini muhafaza etmiş olur.

sayfaya git

BİOMETRİK VERİ ALMA İLKELERİ

Veri sorumlusu, Kanunun 4 üncü maddesinde yer alan genel ilkelere ve 6 ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir. Temel hak ve özgürlüklerin özüne dokunmaması: Kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası’nda (Anayasa) düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle, biyometrik veri işleme faaliyetlerinin de Anayasa’da öngörülen temel hak ve özgürlükler bakımından temel güvencelere tabi olması gerektiği açıktır ve bu noktada ölçülülük hususu büyük önem arz etmektedir. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Bu ilke ile veri sorumlusunun ulaşmak istediği amaç bakımından başvuracağı yöntemin elverişli olması hususu ifade edilmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında elverişlilik, \’getirilen kuralın ulaşılmak istenen amaç için elverişli olması\' şeklinde tanımlanmıştır. Biyometrik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmekte olup, aracın yardımıyla istenilen neticeye yaklaşılabiliyorsa, o aracın elverişli olduğu kabul edilebilecektir6. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında vurgulandığı üzere; \’(…) \’gereklilik\' getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını (…) ifade eder.\' Gereklilik ilkesi, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir

sayfaya git

Özel Nitelikli Veri

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun \’Özel nitelikli kişisel verilerin işlenme şartları\\’ başlıklı 6 ncı maddesinde \’kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri\\’ özel nitelikli kişisel veriler olarak sayılmıştır. Kanun ile özel nitelikli kişisel veriler arasında sayılan biyometrik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü maddesindeki biyometrik veri tanımının bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu düşünülmektedir. Bu tanıma göre biyometrik veri; \’yüz görüntüleri veya daktiloskopi1 veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik2 veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.\\’ şeklinde tanımlamıştır. GVKT’nin tanımında da yer aldığı üzere, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için;

sayfaya git

Kişisel Verilerin Korunması

Teknolojinin gelişmesiyle beraber elde edilen veri miktarında bir hayli artış olmuştur. Veri analizi ve kullanımının birçok katkısı bulunmaktadır. Bu sebeple birçok kurum ve firma bir hizmetin veya ürünün piyasaya sürülebilmesi için uzun bir süredir kişisel veri niteliğindeki bilgileri toplamakta, satmakta veya paylaşmaktaydılar. Ancak kişisel verilerin kullanımı esnasında veri sahiplerinin temel hak ve özgürlükleri de göz önünde bulundurulmalıdır. Buna ilişkin olarak da TBMM’de yasalaştırılan Kişisel Verilerin Korunması Kanunu kişisel verilere ilişkin düzenlemeler getirmiştir. Bu kanun ile beraber kişisel verilerin kullanılması ve işlenmesinde yasal bir çerçeve oluşturulmuş oldu. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve kanun 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazetede yayınlanarak yürürlüğe girmiştir.

sayfaya git

Penetrasyon / Sızma Testi Nedir

Penetrasyon, diğer adıyla sızma testleri en basit tabiriyle virüslere karşı kullanılan aşılar gibidir. Bir çeşit simülasyon olarak da düşünülebilecek olan penetrasyon testi, siber suçların gerçek zamandaki yansımaları olarak görev yapar. Gelin birlikte penetrasyon testi / sızma testi nedir inceleyelim.

sayfaya git

VERBİS SORULAR VE AMAÇLARI

KVKK süreçlerinde VERBİS paneline giriş ekranına erişim sonrası bizi karşılaya başlıca sorular ve detayları aşağıda yer almaktadır. Her şeyden önce veri envanteri çıkarılarak sonuçlanması gereke VERBİS girişi sıkça sorulan soruların cevapları. KVKK Danışmanlarının doğru bilgi ve güncel tuttuğu panelde alınması gereken Teknik Tedbirler.

sayfaya git

Kişisel Verilerin Korunması Hakkında Ankara

Kişisel verilerin korunması kanunu kapsamında Ankara da bulunan şirketlerin VERBİS mevzuatı kapsamında yapması gereken bir çok süreç vardır bunlar öncelikle neler 1. Aydınlatma 2. Açık Rıza 3. İdari ve Hukuki Tedbirler 4.Teknik Önlemler

sayfaya git

KVKK Danışmanı Nasıl olunur?

Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girdiğinden beri (2016) getirilen yükümlülükler, işletme ve kurumlara da bazı yükümlülükler getirmiş durumda. Bu düzenlemeler neticesinde, gerekli bilgilere doğru ve güvenilir yollarla ulaşmak isteyen kuruluşlar da KVKK danışmanlığına ihtiyaç duymakta.

sayfaya git

KVKK Danışmanınıza Kritik Sorular

KişiSEL Verilerin Korunması Kanun Çerçevesinde bir çok danışmanlık hizmeti verilmektedir.Peki bu danışmanlık hizmetlerinde nelere dikkat etmeliyiz nasıl bir yol izlemeliyiz tüm sorularınız cevabı burada.

sayfaya git

ISO Belgelendirme

ISO Belgesi, büyük veya küçük çaplı tüm işletmelerin alması gereken bir belge haline gelmiştir. Bu belgeyi almak şirketlere, üçüncü taraf denetimleri ile işletmenin kazandığı kaliteyi ortaya koymada yüksek fayda sağlar. ISO Belgelendirme süreçlerin belgelenerek, resmi olarak tanınmasına olanak sağlar.

sayfaya git

Bilgi Güvenliği Danışmanlığı

Bilgi Güvenliği Danışmanlığı; bilginin izinsiz ve yetkisiz bir şekilde kullanımını, erişimini, yok edilmesini, değiştirilmesini, zarar verilmesini, ifşa edilmesini önlemek amacıyla şirketlere sağlanan hizmettir. Bu konuda bilgi güvenliğinin üç temel öğesi vardır. Güvenlik zafiyetlerinin önlenmesi için bu üç temel öğeye zarar gelmemesi önemlidir.

sayfaya git

KVKK Danışmanlığı Nedir?

KVKK Danışmanlığı, gitgide bir ihtiyaç haline gelmektedir. Kişisel Verilerin Korunması Kanunu (KVKK); kişilerin verilerinin işlenmesinde, özel hayatın gizliliğini de kapsayacak şekilde, temel hak ve özgürlüklerinin korunması amacıyla, 6698 sayılı kanun olarak 2016’da yürürlüğe girmiştir. Gerçek ve tüzel kişilerin, kişisel verileri işlerken uymaları gereken kuralları ve yükümlülükleri düzenlemektedir.

sayfaya git

ISO 37001

Yolsuzluk ve rüşvet maalesef ki karşılaştığımız en hoş olmayan sorunlardır. Dünya çapında yolsuzlukla mücadele için yapılan tüm çalışmalara rağmen halen sorun teşkil etmektedir. Bu sebeple ISO yani uluslararası standartlar teşkilatı dünyanın yolsuzlukla mücadele çabasına yardım etmek ve etik bir iş kültürüne sahip olmalarını sağlamak amacıyla ISO 37001 standardını geliştirmiştir. ISO 37001, rüşvetle ve yolsuzlukla mücadele için asgari ihtiyaçları sağlayan bir standarttır.

sayfaya git

Penetrasyon Testi

Penetrasyon yani sızma testi içerden ya da dışardan sisteme zarar vermek için yapılan siber saldırıları önceden görebilmek ve duruma göre tedbirleri alabilmek amacıyla planlanan bir saldırı simülasyonudur. Tıpkı gerçek bir siber suç işleniyormuş gibi saldırganların kullandığı yöntemler kullanılarak bilişim altyapısını ele geçirilmeye, sızılmaya çalışılır. Saldırganların yapabileceği her türlü sızma ya da saldırı senaryosu denenerek bilgisayar sisteminde, web uygulamasında ya da ağda bulunan tüm güvenlik eksikleri ve açıklara önlem alınması sağlanmış olur.

sayfaya git

KVKK

KVKK Nedir? Kişisel verileri koruma kanununun amacı nedir? Kişisel veri nedir? Özel nitelikli kişisel veriler. Açık rıza beyanı nedir?

sayfaya git

ISO 22301 İş Sürekliliği Nedir?

Kurumların etkin bir şekilde yönetmesi gereken süreçlerden bir tanesi de iş sürekliliğidir. İş sürekliliği, bir organizasyonun ürün ve servislerini kesinti olayı sonrasında önceden tanımlanmış kabul edilebilir seviyede sürdürebilme kapasitesidir. Bir başka deyişle, büyük ya da küçük tüm işletmelerin işlerinin aksamasına neden olan kesintilere karşılık vermesini sağlayacak etkinliklerin tümüdür. Eğer beklenmedik iş kesintileri size göre değilse yapacağınız en iyi şey ISO 22301 Toplumsal Güvenlik ve İş Sürekliliği Yönetim Sistemi Standardı\’nı uygulamak olacaktır.

sayfaya git

Kişisel Veri Danışmanlığı Kapsamı Nedir?

ORC Danışmanlık, Ankara başta olmak üzere tüm Türkiye’ye KVKK danışmanlık hizmeti sunmaktadır. 2016 yılında yayımlanan ve yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile gerekli düzenlemeleri yaparak özel ve tüzel kişi ve kuruluşlara KVKK danışmanlığı ile Ankara’da da faaliyet göstermektedir. Bu kanunun gerekliliklerinin tam uygulanması veya uygulanmaması halinde oluşacak durumları, yükümlülükleri inceleyen düzenleyen ve olası para cezası ve hapis cezası yaptırımlarından kaçınmak için hizmet vermektedir.

sayfaya git

KVKK NEDİR

İnsan tarihi boyunca en önemli varlık olan bilgi; insan aklının alabileceği gerçek, olgu ve ilkelerin tümüdür. Hızla gelişen teknoloji ile şirketler, kurum ve kuruluşlar dijitalleşmeye başlamış ve bilgi çağımızın en önemli sermayesi olmuştur. Geçmişten günümüze bilgi, kamu ya da özel kurum ve kuruluşlarda toplanmakta ve muhafaza edilmektedir. Muhafaza edilen bu bilgiler kişisel veri niteliği taşımaktadır. Bu yüzden de güvenli bir ortamda korunmak zorundadır. Aksi takdirde kişilerin temel hak ve hürriyetlerini kısıtlayabilir, özel hayatın ihlaline ve kurumların zarar görmesine yol açabilir. Yetkisiz kişilerin, kişisel veri taşıyan bu bilgilere erişimlerinin önüne geçilebilmesi için Avrupa Konseyi 28 Ocak 1981’de \’Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme\' imzaya açmıştır. Türkiye, bu sözleşmeyi imzalayan ülkeler arasında yer almaktadır. 2010 yılında, \’Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…\' hükmü, genel kanunlar içinde yer alan hükümler ile korunan kişisel veriler için anayasanın 20. maddesine eklenmiştir. Fakat bu hüküm yeterli görülmeyince günümüzdeki Kişisel Verilerin Korunma Kanunu yürürlüğe girmiştir. Avrupa Konseyi’nin sözleşmesi temel alınarak hazırlanan Kişisel Verilerin Korunma Kanunu 18 Ocak 2016’da meclise tasarı olarak sunulmuştur. 24 Mart 2016 tarihinde de kabul edilmiştir. 6689 Sayılı Kişisel Verilerin Korunma Kanunu, 7 Nisan 2016 tarihinde ise 29677 sayılı Resmî Gazete ’de yayınlanarak yürürlüğe girmiştir. KVKK m. 1’de yer alan \’Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişiliklerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek\' ifadesi, yürürlüğe giren kanunun amacıdır. Böylelikle, kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmıştır.

sayfaya git

Kurumsal Bilgi Güvenliğine Yönelik Tehditler

Kurumsal Bilgi Güvenliğine Yönelik Tehditler Yapılan tanımlar doğrultusunda, kurumlarda bilgi varlıklarının gizliliği, bütünlüğü ve erişilebilirliğini olumsuz olarak etkileyen faktörlere kurumsal bilgi güvenliğine yönelik tehditler olarak bakılabilir. Kurumsal bilgi güvenliğine yönelik tehditler; insan kaynaklı tehditler ve doğa kaynaklı tehditler olarak ele alınır İnsan kaynaklı tehditler; bilgi güvenliğini olumsuz etki edecek sonuçlar meydana getiren kasıtlı veya kaza ile bireylerin oluşturduğu tehlike çeşididir. İnsan kaynaklı tehditler, kurum içindeki kişilerden veya kurum dışındakilerden gerçekleşmesi mümkündür.

sayfaya git

KURUMSAL BİLGİ GÜVENLİĞİ

KURUMSAL BİLGİ GÜVENLİĞİ Bilgi güvenliği kavramını ele alındıktan sonra kurumsal bilgi güvenliğini anlamak daha anlamlı olacaktır. Bilgi güvenliği, varlık olarak ele alınan, yanlış kişiler tarafından ele geçilmesi istenilmeyen bilginin, olası tahribatlardan gerekli teknolojik önlemler ve amaçlar doğrultusunda dijital veya fiziksel ortamda korunması olarak tanımlanabilir Kurumsal bilgi güvenliği, kurumların varlık olarak korunmasını istedikleri bilginin ne olduğunun tespit etmesi, olası tehlikelere karşı güvence altına alınmak istenerek güvenlik açıklarının belirlenmesi ve alınan bu tedbirler vasıtasıyla bilgi varlıkların güvenliğine yönelik analizlerin yapılmasıdır.

sayfaya git

KVKK

KVKK Genel Veri Koruma Yönetmenliği (General Data Protection and Regulation) Avrupa ülkelerinde görülürken, bu düzenlemenin ülkemiz için oluşturulmuş olan Kişisel Verileri Koruma Kanunu (KVKK), ülkemizde 7 Nisan 2016 tarihi itibariyle firmalarda uyum sürecinin başladığını ve o tarihten 2018 yılına kadar uyum sürecinin tamamlanmış olduğunu ve böylece kanunun artık yürürlükte olduğu kabul edilmiştir. Fakat gerek alınan yetersiz önlemler gerek bu sürecin yeteri kadar anlaşılamaması sonucu bugün birçok firmada varlık kaybı, yetersiz teknolojik önlemlerden kaynaklı siber saldırılar, vb. gibi sorunların devam ettiği görülerek aslında kurumlarda bilgi güvenliği meselesinin dikkat edilmesi gereken bir nokta olduğu fikri oluşmaya başlamıştır. Kurumsal bilgi güvenliğinin sağlanması için kurumun bilgi varlıklarını iyi tanıması, olası riskleri belirlemesi ve gerekli önlemleri alması için yönetimsel bir sürecinin olması gerekmektedir. Bu aşamaları gerçekleştiren firmaların varlık kaybının, bilgi güvenliğini sağlamak için gerekli aşamaları gerçekleştirmeyen firmalara oranla daha az olduğu tespit edilmiştir. Bu çalışmada, kurumsal bilgi güvenliği için tehditleri ve alınması gereken önlemler, yönetimsel bir süreç olan Bilgi Güvenliği Yönetim Sistemi (BGYS) ana hatları ile açıklanacak, KVKK ve GDPR kapsamında veri işleme ve veri işleme prensiplerinden bahsedilecek ve bilgi varlıkların güvenliği için yapılan sızma testleri aşamaları ve bu zafiyet keşif araçlarından bahsedilecektir. Son olarak anket çalışmasında elde edilen veriler verilerek; analiz edilecektir.

sayfaya git

KVKK İHLALİNDE CEZAİ YAPTIRIMLAR

KVKK İHLALİNDE CEZAİ YAPTIRIMLAR Kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amacıyla 6698 sayılı Kişisel Verilerin Korunma Kanunu yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu ile hem verisi işlenen kişinin ve kurumun hem de veri işleyenin haklarının korunması amaçlanmıştır. Kişisel verilerin düzensiz ve amaç dışı toplanılmasını yayılmasını önlemek amacıyla Kişisel Verilerin Korunma Kanunu’nun 17. ve 18. maddelerinde, suçu işleyenlerin idari ve cezai yaptırımları yer almaktadır. Yaptırımlarda, veri sorumlularının sorumlulukları artırılırken, kişisel verilerin korunmasının kurum ve kuruluşlar için önemli olduğu vurgulanmıştır. KVKK’nın 17.maddesinde kişisel verilere ilişkin suçlar bakımından TCK’nın 5237 sayılı 135 ila 140.madde hükümlerinin uygulanacağı belirtilmiştir: • Verileri hukuka aykırı olarak kaydetmek durumunda bir yıldan üç yıla kadar hapis cezası • Siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek durumunda bir yıldan üç yıla kadar yarı oranında artırılmış hapis cezası • Verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek durumunda iki yıldan dört yıla kadar hapis cezası • Suçlar kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenirse yukarıdaki verilenecek cezalar yarı oranında artırılmakta • Belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi durumunda bir yıldan iki yıla kadar hapis cezası • Konusunun ceza muhakemesi kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması durumunda verilecek ceza bir kat artırılmaktadır. KVKK’nın 18.maddesinde yükümlülüklerine uymayarak veri ihlali yapan, kişisel verileri 7.maddeye aykırı olarak silmeyen veya anonim hale getirmeyen veri sorumlularına verilecek idari para cezaları düzenlenmiştir. Düzenlenen idari para cezaları gerçek veya özel hukuk tüzel kişilerine uygulanmaktadır: • KVKK’nın 10.maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.012- 180.263 Türk lirasına kadar • KVKK’nın 12.maddesinde düzenlenen veri güvenliğine karşı yükümlülüklerini yerine getirmeyenler hakkında 27.037- 1.802,640 Türk lirasına kadar • KVKK’nın 15.maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.062- 1.802,640 Türk lirasına kadar • KVKK’nın 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.050- 1.802,640 Türk lirasına kadar idari para cezası verilir.

sayfaya git

KVKK DANIŞMANLIĞI

KVKK DANIŞMANLIĞI Kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacıyla 6698 sayılı Kişisel Verilerin Korunma Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kurum ve kuruluşların Kanun’a uyumlu bir şekilde süreci yürütmesine destek olması amacıyla birçok KVKK danışmalık şirketleri kurulmuştur. Teknik tedbir amaçlı destek almak ve detaylı bilgiye sahip olmak isteyen kurum ve kuruluşlar, KVKK danışmanlığı kapsamında hizmet veren şirketler ile iletişime geçmektedir. KVKK danışmanlığı, Kişisel Verilerin Korunması Kanunu kapsamında şirketlerin teknik, idari ve teknolojik ihtiyaçlarına yönelik çeşitli hizmetler vermektedir. Bu hizmetler, bilgilendirme, veri yönetimi, farkındalık eğitimleri, çeşitli analiz ve çözüm önerileri olabilmektedir. Danışmanlık hizmetlerinden yararlanmak isteyen şirketlere, kanun açısından şirketin eksiklikleri, analiz raporları, yapması gerekilenler gibi iyileştirmeler yapılmaktadır. Aynı zamanda KVKK danışmanlığı; Kişisel Verilerin Korunması Kapsamında kişisel verilerin yönetilmesi, saklanması, korunması, usulüne uygun bir şekilde silinmesi, KVKK ile ilgili hukuki süreçlerin takip edilmesi, veri güvenliğinin sağlanması ve veri güvenliğinin organizasyonu gibi konularda da kurum ve kuruluşlara danışmanlık hizmeti vermektedir. KVKK danışmanlığı veren şirketler, Kişisel Verilerin Korunması Kanunu kapsamında kanuna uyulmadığı takdirde şirketlerin ödemesi gerektiği ceza yaptırımları konusunda şirketleri bilgilendirerek farkındalık sağlamaktadır. Kanuna uyulmadığında verilen para cezalarına karşı tedbir alınması gerekmektedir ve bu tedbirler de eğitimlerle verilmektedir. Bu bakımdan da KVKK danışmalığı yapmak için gerekli ve yeterli bilgi birikimine sahip olunması gerekmektedir. KVKK gereksinimleri karşılanarak kanunun firmalardan istediği konular eksiksiz bir biçimde tamamlanabilmektedir. Bunlar: • Verilerle ilgili risk analizi yapılması • KVKK uyum eksikliklerinin tespit edilmesi • Hukuki tedbirler kapsamında açık rıza formları ve aydınlatma metinlerinin hazırlanması • Firma çalışanlarının kişisel verilerini tehlikeye düşürmemeleri için gerekli eğitimlerin verilmesi • Kişisel veriyle ilgili firma politikalarının hazırlanması • Veri sorumlusu atanması • VERBİS sistemine kayıt olunması • Kişisel verilerin tutulma süreleri ve imha politikaları hakkında plan hazırlanması • Kişisel veri kabul sözleşmesi hazırlanması • Bilgi sistemlerinin güvenliğinin sağlanması • Kişisel verilerle ilgili fiziksel güvenlik kurallarının belirlenmesi • Bilginin yer aldığı sistemlere uzaktan bağlanacak olan cihazların güvenilir olduğundan emin olunması • Kişisel verilerin bulut ortamında saklanması durumunda bulut ortamını sağlayan sunucunun güvenli olup olmadığının belirlenmesi • Verilerin saklandığı cihazların periyodik olarak bakımlarının yapılması, arıza durumunda tamirlerinin sağlanması ya da yenilerinin temin edilmesidir. KVKK danışmanlığı kurum ve kuruluşlara; yükümlülüklerin yerine getirilmesi, kanunun getirdiği cezai ve idari yaptırımlardan kurtarılması, kanuna ve gündelik kişisel veri işleyişine uyum sağlanılması, rekabet gücü, kurumsal itibar, sürecin en az sorunla ilerlemesi ve kısa sürede tamamlanması gibi önemli faydalar sağlamaktadır.

sayfaya git

AÇIK RIZA

AÇIK RIZA 6698 sayılı Kişisel Verilerin Koruma Kanunu’nun yürürlüğe girmesiyle birlikte yaşamdaki önemli kavramlardan birisi de ‘açık rıza’ olmuştur. Açık rıza, ilgili kişinin verilerinin işlenmesi konusunda belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Kanun kapsamında açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da gelen istek üzerine onay vermesini içermekle beraber, veri işleyen kişinin gerçekleştireceği fiil konusunda da yol göstermektedir. Böylelikle, kişi açık rızasıyla veri sorumlusuna kendi hukuksal değerine ilişkin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini belirlenmesini sağlamaktadır. Bu bakımdan, açık rıza veren kişinin \’olumlu irade beyanı\' önem taşımaktadır. Açık rızanın sadece yazılı biçimde değil, aynı zamanda elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür. Açık rızada ispat yükümlülüğü veri sorumlusuna aittir. Kişisel Verilerin Korunma Kanunu’nun 3.maddesinde yer alan açık rıza kapsamında, belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması açık rızanın üç önemli unsurlarıdır. Belirli bir konuya ilişkin olma unsuru, işlenecek kişisel verinin yalnızca belirlenen husus için işleme alınmasını ifade eder. Birden çok işlenecek konular için ayrı açık rızalar alınması gerekmektedir. Aksi takdirde, özgür iradeden ve bilgilendirmeye dayalı olma unsurlarından bahsedilememektedir. Örneğin \’… Şirketinin bütün verilerimi işlemesini kabul diyorum\' cümlesi, açık uçlu ve belirsiz olduğundan hukuken geçerli değildir. Rızanın bilgilendirmeye dayandırma unsurunda veri sahipleri özgür bir şekilde rıza gösterebilmeleri için veri işleme faaliyetinden önce açık rıza talep edilen konu ve verinin işlenme amacı hakkında açıkça bilgilendirilmelidir. Bilgilendirme, veri sahiplerinin anlayacağı şekilde net, çelişkiye yer verilmeyecek açıklıkta yapılmalıdır. Özgür iradeyle açıklanma unsurunda ise açık rıza, hiçbir şarta bağlı olmadan veri sahibinin yaptığı davranışın bilincinde ve kendi kararı olması durumunda hukuken geçerlidir. Örneğin, veri sahibi açık rızasını istediği zaman geri alabiliyorsa ve veri işleme faaliyeti duruyorsa özgür iradeye dayalı açık rızanın olduğunu söylenebilmektedir. Öte yandan, açık rızanın özgür iradeye dayanması gerektiği için ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da hizmetten yararlandırılmasının ön koşulu olmamalıdır. Kısaca belirtmek gerekilirse, açık rıza herhangi bir hizmet şartına bağlanamaz. Tüm veri işleme faaliyetlerinde açık rızanın alınması gerekli değildir. Kanunun madde 5/2’de ise belirli koşullarda kişinin açık rızası aranmaksızın verilerinin işlenebileceği ifade edilmiştir. Kanunda sayılan veri işleme şartlarından birisinin olması durumunda açık rızaya ihtiyaç yoktur. Kanunun 5/2’deki şartları şunlardır: • Kanunlarda açıkça öngörülmesi • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması • İlgili kişinin kendisi tarafından alenileştirilmiş olması • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması Açık rıza, veri sahibinin kendi tercihine bağlı olduğu için veri sahibi istediği zaman fikrini değiştirebilmekte ve rızasını geri çekebilmektedir. Böylelikle açık rıza ‘verisinin sadece kendi isteği ile işleneceği ve rızayı geri aldığında işlemin duracağı’ güvenini temin etmektedir.

sayfaya git

KVKK AYDINLATMA METNİ

KVKK AYDINLATMA METNİ Kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amacıyla 6698 sayılı Kişisel Verilerin Korunma Kanunu yayımlanmıştır. 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de \’Veri Sorumlusunun Aydınlatma Yükümlülüğü\', KVKK’nın 10.maddesinde yayımlanmıştır. Aydınlatma metni, kişisel verilerin depolanması, paylaşılması, kullanılması ve kişilerin hak ve özgürlüklerini koruma altında tutmak için yürürlüğe geçirilmiştir. Kişisel veri işleme faaliyetlerine başlamadan önce veri sahiplerine verilerinin ne amaçla işleneceğini ne amaçla aktarılacağını, kişisel veri işlemenin yöntemini ve hukuki sebebini içeren bilgilendirme metnidir. Kişilerin açık rızası alınarak aydınlatılması zorunlu hale getirilmiştir. Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri Kişisel Verilerin Korunma Kanunu’nun 10.maddesinde yayımlanan \’Veri Sorumlusunun Aydınlatma Yükümlülüğü\' ne göre aşağıdaki konularda bilgilendirmekle yükümlüdür: • Veri sorumlusunun ve varsa temsilcisinin kimliği • Kişisel verilerin hangi amaçla işleneceği • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği • Kişisel veri toplamanın yöntemi ve hukuki sebebi • İlgili kişinin Kanunun 11.maddesinde sayılan diğer hakları İlgili kişinin, veri sorumlusuna başvurarak kendisiyle ilgili hakları madde 11’de şu şekilde ele alınmıştır: a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kul- lanılmadığını öğrenme, d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzel- tilmesini isteme, f) 7.nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilme- si suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir Aydınlatmanın kişisel verileri elde etme sırasında yapılması gerekir. Eğer veriler başka bir kaynaktan elde edildiyse, aydınlatma kişisel verilerin elde edilmesinden itibaren kısa bir süre içerisinde yapılmalıdır. Eğer kişisel veriler ilgili kişi ile iletişime geçme amaçlı başka bir kaynaktan alındıysa aydınlatma ilgili kişi ile ilk iletişim kurulduğu anda yapılmalıdır. Aydınlatma yapılırken: • Kişisel veri işleme amacı belirli, açık ve meşru olmalı, • İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı, • Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli, • Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı, • Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir. Aydınlatma yükümlülüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür.

sayfaya git

Özel Nİtelikli Veri Güvenliği

Biyometrik veri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ ve kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Bu çerçevede, özel nitelikli kişisel veri niteliğini haiz verilerin işlenmesinde; Kurulun \’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler\'e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınması zorunludur. Bununla birlikte, veri sorumlularına yol göstermek amacıyla Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan rehber dokümanlarda tavsiye edilen tedbirlerden uygun olanların da dikkate alınması gerekir. Bu kapsamda veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir.

sayfaya git

KVKK KAPSAMI VE ZORUNLULUKLARI

Kişisel Verilerin Korunma Kanunu’nun 2.maddesinde \’Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır\' şeklinde düzenlenmiştir. Kişisel Verileri Koruma Kanunu’nun kapsamı son derece geniş ve bir o kadar da nettir. KVKK’nın birinci derecede tarafı gerçek kişilerdir. Daha açık olmak gerekilirse, verileri işlenen gerçek kişilerdir. Kurum ve kuruluş gibi tüzel kişiler ise ikinci derecede verileri işleyen olarak sorumludur. Bu konu ile ilgili gerekli düzenleme madde 4/2’de ‘Genel İlkeler’ başlığı altında ifade edilmiştir ve kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: • Hukuka ve dürüstlük kurallarına uygun olma • Doğru ve gerektiğinde güncel olma • Belirli, açık ve meşru amaçlar için işlenme • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme Kişisel verilerin işlenmesi şartları ile ilgili olarak da madde 5’te \’Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez\' denilmekte, madde 5/2’de ise belirli koşullarda kişinin açık rızası aranmaksızın verilerinin işlenebileceği ifade edilmiştir. Kişisel verilerin aktarılması ile de ilgili olarak madde 8’de \’Kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz\' ve madde 9’da \’Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz\' denilerek gerekli düzenleme yapılmıştır. Tüzel kişi grubundaki kurumlar için özel ya da kamu kuruluşu olma konusunda bir ayrım yapılmamış olup tamamı için aynı usul ve esaslar geçerli kabul edilmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamları dahilindedir. Kanunda \’kişisel verileri işlenen gerçek kişiler\' ifadesi kullanıldığından dolayı kişisel verileri işlenen tüzel kişiler bu kanunun kapsamı dışında tutulmuştur. Aynı zamanda veri kayıt sisteminin parçası olmaksızın veri toplayan ve işleyen gerçek ve tüzel kişisel de kanun kapsamı dışındadır. Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili ’ne kaydolma zorunluluğu getirilmiştir. Ancak bazı durumlarda işlenecek verinin boyutu, niteliği, konusu, amacı gibi kriterler göz önüne alınarak kurul tarafından bazı veri sorumlularına bu sicile kaydolma konusunda muafiyet getirilebilmektedir. Bu muafiyet çoğunlukla verinin bir kanun kapsamında işlenmesinden getirilebilmektedir.

sayfaya git

Kurumsal Bilgi Güvenliğinde En Yaygın Tehditler

Kurumsal Bilgi Güvenliğinde En Yaygın Tehditler 1. Veri İhlalleri ve Bilgi Sızıntısı: bilginin kasıtlı veyahut kasıtsız olarak açığa çıkması veri ihlali olarak adlandırılırken; firmalardaki teknik sistem bilgisinin ortaya çıkmasına bilgi sızıntısı denir. 2. Sosyal Mühendislik: saldırganın e-posta, telefon görüşmeleri, vb. gibi yollarla kurbanları kandırarak kişisel bilgileri elde etmesi ile sonuçlanan tehdit çeşididir. 3. İzinsiz İndirmeler: zararlı kod bulunan bir siteye saldırıya uğrayacak olan kişinin girmesi ile bu kodun kurbanın sistemlerine yerleşmesi ve bu sistemlerde bulunan zafiyetlerin keşfedilip; kullanılmasıyla gerçekleşecek olan tehdit çeşididir. 4. Kötücül Yazılımlar: İstenilen verilerin elde edilmesi amacıyla sistemlere yönelik zafiyetleri bulan tehdit çeşididir. Örneğin; istismar kodları, Truva atları, vb., gibi. 5. Spam: kötücül yazılımların yayılmasını sağlayan ve genelde e-posta üzerinden yayılan tehdit çeşididir. 6. Kod Enjeksiyonu: saldırıya uğrayan kişinin sistemlerinde bulunan güvenlik açığı göz önüne alınarak, saldırganın bu sistemleri ilgili açıklarla sömürmesi sonucu oluşan tehdit çeşididir. Örneğin; SQL Enjeksiyonu, SSL Enjeksiyonu, vb., gibi. 7. Hizmet Aksattırma: Saldırıya uğrayan sistemlerin veri tabanlarının gereksiz sorgularla meşgul edilmesi ile gerçekleşen tehdit şeklidir. 8. Dağıtık Hizmet Aksattırma: Hizmet aksattırma tehdidinden farklı olarak; saldırıya uğrayan firmaların sistemlerindeki veri tabanlarına birden fazla saldırgan tarafından aynı anda yüklenmesi gerçekleşen tehdit şeklidir. 9. Kimlik Hırsızlığı: saldırıya uğrayan kişinin kredi kartı, kimlik bilgileri, vb., gibi kişisel bilgilerinin dolandırıcılık amacıyla kullanılması sonucu oluşan tehdit biçimidir. 10. Gelişmiş Sürekli Tehdit: devletler ve gruplar arasında gerçekleşen ve siber alanda ulaşılmak istenilen bir nokta belirlenerek gerçekleşen tehdit çeşididir. 11. Saldırıya uğrayan kişilerin sistemlerine güvensiz olan ortamlardan yapılan indirmeler sonucunda yüklenen ve bot adı verilen bilgisayarların bir araya gelerek bir ağ oluşturması sonucu oluşan tehdit çeşididir. 12. Fiziksel Zarar Verme ve Hırsızlık: doğal afetler sonucu karşılaşılması mümkün olan ve kurum içindeki cihazların çalınması gibi durumlar sonucu oluşabilecek olan tehditlerdir.

sayfaya git

Veri Taşınabilirliği Hakkı’’ Konulu Çarşamba Semineri Düzenlendi

6698 Sayılı kanun çerçevesindeVeri Taşınabilirliği Hakkı konulu Çarşamba Semineri çevrimiçi olarak gerçekleştirildi. Kurumumuz Uzman Yardımcılarından Beste YILMAZ, konuşmacı olarak katıldığı Seminerde; kişisel verilerin korunması ve rekabet bağlamında veri taşınabilirliği hakkı konusunu anlattı. YILMAZ, Avrupa Birliği Genel Veri Koruma Tüzüğü\’nün (GDPR) 20. maddesi kapsamında ele alınan \’veri taşınabilirliği hakkı\\’nın kişisel verilerin korunması hukuku ve rekabet hukuku arasındaki kesişim kümesini içeren bir hak olduğunu söyledi. Veri taşınabilirliği hakkının amaç ve kapsamından söz eden YILMAZ, veri taşınabilirliği hakkının kullanılması ve rekabet hukuku boyutuyla değerlendirilmesi hususunda da çeşitli bilgiler paylaştı.

sayfaya git

KVKK DANIŞMANLIĞI NEDİR ?

KVKK Danışmanlığı nedir ? KVKK Danışmanlığını kimler yapabilir, yetkili firma var mıdır, firma seçerken nelere dikkat etmeliyiz, destek aldığınız firmalarda sorumluluk var mıdır ? Soruların hepsini cevaplayan makale yakında sizlerle.

sayfaya git

KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI

KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI 1. Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/61 Sayılı İlke Kararı 2. Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı 3. "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı 4. "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı 5. Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin 31/05/2018 tarih ve 2018/63 sayılı ilke kararı 6. "Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında Görüş Talebi" ile ilgili Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/68 Sayılı Kararı 7. "Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması" ile ilgili Kişisel Verileri Koruma Kurulunun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı 8. "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı 9. "Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi " ile ilgili Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı 10. Veri Sorumlusuna Başvuru ve Kurula Şikâyet Sürelerinin Hesaplanmasına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı 11. Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih ve 2019/10 Sayılı Kararına İlişkin Duyuru 12. \’Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form\\’ hakkındaki 02/05/2019 tarihli ve 2019/125 sayılı Kurul Kararı 13. Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı 14. Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik Kişisel Verileri Koruma Kurulunun 18/10/2019 Tarihli ve 2019/308 Sayılı İlke Kararı 15. "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı 16. Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı 11 17. Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararı 18. Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kişisel Verileri Koruma Kurulunun 09/06/2021 Tarihli ve 2021/571 Sayılı Kararı 19. Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında Kişisel Verileri Koruma Kurulunun 23/12/2021 Tarihli ve 2021/1304 Sayılı İlke Kararı

sayfaya git

VERBİS GİRİŞİ NASIL YAPILIR?

VERBİS GİRİŞİ NASIL YAPILIR? KVKK’nın web sitesinden VERBİS girişi gerçekleştirebiliyorsunuz. Ancak giriş yapmadan önce yapmanız gereken bazı prosedürler bulunuyor. Öncelikle kurum olarak veri envanterini belirlemeniz gerekiyor. Verilerin hangi kategoriye ait olduğunun da kuruma bildirilmesi gerekiyor. Son olarak sisteminizde bulunan verileri hangi yazılımlarla ya da sistemlerle koruyacağınızı bildiriyorsunuz. Tüm bu işlemleri tamamladıktan sonra VERBİS sistemine karşı sorumlu olan aşağıdaki kişileri sizden seçmeniz isteniyor: Veri sorumlusu temsilcisi, Veri sorumlusu yöneticisi ve Kamu kurumlarınca belirlenmiş koordinasyon görevlisi Yukarıda anlattıklarımız başvuru işlemlerini ilgilendiriyor. Başvuru işlemini tamamladıktan sonra: Veri sorumlusunun ya da temsilcisinin kimlik ve adres bilgileri, Kişisel verilerin hangi alıcı ya da alıcı gruplarına aktarılacağı, Verilerin güvenliğine ilişkin hangi tedbirlerin alınacağı, Verilerin hangi amaçla işleneceğinin belirtilmesi ve işleme süresi, Verilerin hangi kategorilerde sınıflandırılacağı Yukarıdaki sizden istenenleri de yerine getirmeniz gerekiyor. Böylelikle VERBİS kayıt işlemlerini tamamlamış oluyorsunuz.

sayfaya git

VERİ ENVANTERİ NASIL HAZIRLANIR?

VERİ ENVANTERİ NASIL HAZIRLANIR? Kanunun görev verdiği veri sorumluları, kanunun öngördüğü ve emrettiği şekilde veri envanteri hazırlamakla yükümlüdürler. Veri envanteri hazırlama usul ve esasları, ilgili kanunun ilgili maddelerinde detaylı olarak anlatılmıştır. Burada amaç, işletme faaliyetlerinin veri işleme ve depolama açısından düzenli bir şekilde yerine getirilmesi ve kişilerin ya da kurumların veri güvenliğinin tam olarak sağlanmasıdır. Kişisel Veri İşleme Envanteri Bileşenleri Nelerdir? Aşağıda kişisel veri işleme envanterleri bileşenleri ile ilgili açıklamaları maddeler halinde bulacaksınız: Verileri işleyen departman, Veri işleme süreci ve faaliyetleri, Verilerin kategorilendirilmesi, Veriye konu olan kişiler ya da gruplar, Verilerin ne kadar sürede muhafaza edileceği, Veri alıcı grupları, Yurtdışına aktarılacak olan verilere ilişkin bilgiler ve Verilerle ilgili alınacak idari ve teknik tedbirlerin belirlenmesi. Kimler Veri Envanteri Hazırlamakla Yükümlüdür? Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesinin 1. Fıkrası (ç) bendine göre; \’Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında sicile açıklanacak bilgileri Kişisel veri işleme envanterine dayalı olarak hazırlanır.\' Hükmü yer alır. Ayrıca, aynı kanunun (d) bendinde; \’Kanunun 10. Maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, kanunun 13. Maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak sicile sunulan ve sicilde yayınlanan bilgiler esas alınır.\' Hükmü yer alır.

sayfaya git

KVKK Danışmanlık Hizmetlerimiz Hakkında Merak Ettiğiniz Tüm Detaylara, Bu Yazımızda Ulaşabilirsiniz.

ORC DANIŞMANLIK KAPSAMLI KVKK DANIŞMANLIĞI REHBERİ Türkiye’nin en büyük KVKK danışmanlığı firmasıyız. 20 yıldan bu yana sektörün ihtiyaçlarına yönelik farklı alanlarda danışmanlık hizmeti sağlıyoruz. İnternet teknolojisinin yaygınlaşması ile birlikte, veri güvenliği de önemli hale geldi. ORC Danışmanlık olarak veri güvenliği alanında da uzmanlığımızı müşterilerimizin hizmetine sunmaya karar verdik. Bu alanda da başarılı danışmanlık hizmeti sağladık ve Türkiye’nin dört bir yanında veri güvenliği ile ilgili eğitimler vermeye başladık. Sosyal sorumluluk ilkesi kapsamında, siz değerli okuyucularımıza, veri güvenliği hakkında kapsamlı bilgiler vermeye devam ediyoruz. Bu yazımızda ise KVKK danışmanlığı ve kişisel verilerin korunması hakkında detaylı bilgiler bulacaksınız.

sayfaya git

Açık Rıza Belirli Bir Konuya ilişkin Olması

Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu ve veri işleyenlerce açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Buna göre, genel bir irade açıklaması ile \’kişisel verilerimin işlenmesini kabul ediyorum\' şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında \’açık rıza\' olarak kabul edilemez. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair rıza beyanında bulunulacaksa, rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise, (örneğin yurtdışına veri aktarımı gibi) buna ilişkin ayrıca rıza alması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir.

sayfaya git

KİŞİSEL VERİ, ÖZEL NİTELİKLİ KİŞİSEL VERİ VE İŞLENİLMESİ

‘Kişisel veriler’ terimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirlenen yasal çerçevenin merkezinde yer almaktadır. Kanuna göre, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kişisel veriden bahsedebilmek için verinin gerçek bir kişiye ilişkin olması gerekmektedir. Bir şirkete ait unvan, adres, vergi numarası gibi tüzel kişilere ait bilgiler KVKK kapsamında değildir. Bireye ait adı, soyadı doğum yeri ve tarihi bilgilerin dışında bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, dini, sosyal özellikleri (motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, parmak izleri bilgileri) de kişisel veri niteliği taşımaktadır. Mobil bankacılık sisteminde müşterinin bankaya verdiği ses kaydı, video gözetim sistemi tarafından yakalanan bireylerin tanınabilir olması hali ve orcdanismanlik@örnek.com gibi e-posta adresleri kişisel veriye örnek olarak verilebilir. Başkaları tarafından öğrenildiği takdirde kişilerin mağdur olabileceği, ayrımcılığa maruz kalabileceği ya da şeref ve onurunun zedelenmesine yol açabileceği nitelikli verilere özel (hassas) kişisel veriler denir. Özel (hassas) kişisel veriler, kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir kategori türüdür. Özel nitelikli veriler, Kişisel Verilerin Korunma Kanunu’nun 6.maddesinde sayılmıştır. Kanuna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır. Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açılanması, yeniden düzenlenmesi, devralınması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme kişisel verilerin işlenmesi denilmektedir. Kişisel verilerin bir diskte, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işlenmesi, kişisel verilerin işlenmesine örnek olarak gösterilebilir. Kişisel Verilerin Korunma Kanunu’nun 5.maddesinde kişisel veri işleme şartları yer almaktadır: • Açık rıza • Kanunlarda açıkça öngörülmesi • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması • İlgili kişinin kendisi tarafından alenileştirilmiş olması • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması Özel nitelikli kişisel verilerin ise kıyas yoluyla genişletilmesi mümkün olmamaktadır. Bu nedenle, kanun özel (hassas) nitelikli kişisel veriler arasında da ayrım yapmıştır ve bu verilerin işlenme şartları Kanunun 6.maddesine özel olarak düzenlenmiştir. Kanuna göre, özel nitelikli kişisel verilerin işlenme şartları şu şekildedir: • Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir. • İlgili kişinin açık rızası bulunmadığı bazı durumlarda da özel nitelikli kişisel verilerin işlenmesi mümkündür. Ancak, ilgili kişinin açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur. • Sağlık ve cinsel hayat dışındaki özel nitelikli veriler ancak kanunlarda öngörülen hallerde kişinin açık rızası olmaksızın işlenebilecektir. • Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Bununla birlikte, kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel verilerin işlenmesi bakımından kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. \’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler\', 31.01.2018 tarihinde Kişisel Verileri Koruma Kurulunun kararında açıklanmıştır.

sayfaya git