3. Terimler
Kimler
Sorumludur
Sorumluluğun
Kapsamı
Kanuni
Düzenlemeler
Yaptırımlar
Hizmetlerimiz
6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanmış ve
verilen 6 aylık sürenin dolmasıyla 7 Ekim 2016 tarihi itibariyle tüm hükümleri ile yürürlüğe
girmiştir.
Kişisel Veri
• Kimliği belirli ya da belirlenebilir
nitelikteki bir kişiye ilişkin her tür bilgiyi
ifade etmektedir.
• Örneğin, ad-soyad, TC Kimlik
numarası, adres, e-mail vb.
Özel Nitelikli Kişisel Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti
ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
• Örneğin, kan grubu, sağlık verileri vb.
Veri sorumlusunun verdiği yetkiye dayanarak
onun adına kişisel verileri işleyen gerçek veya
tüzel kişi
Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek
veya tüzel kişi
Veri Sorumlusu Veri İşleyen
Kişisel Veri Özel Nitelikli Kişisel Veri
4. Gerçek kişilere ait kişisel verileri işleyen herkes bu kanun kapsamında sorumludur.
Kimler Sorumludur
Terimler
Sorumluluğun
Kapsamı
Kanuni
Düzenlemeler
Yaptırımlar
Hizmetlerimiz
Kişisel verinin,
• Tamamen veya kısmen otomatik olan
ya da otomatik olmayan yollarla elde
edilmesi
• Gerek yurt içi gerekse yurtdışı veri
tabanlarında kaydedilmesi
• Depolanması
• Muhafaza edilmesi
• Değiştirilmesi
• Yeniden düzenlenmesi
• Devralınması
• Elde edilebilir hale getirilmesi
• Sınıflandırılması
• Paylaşılması
• Hastaneler
• Bankalar
• Üniversiteler
• Dernekler, Vakıflar
• Üyelik sistemi ile çalışmakta olan tüm
web siteleri
• Sigorta Şirketleri
• Konum servisi bilgisi kullanan tüm
kişi ve şirketler
• Loyalty hizmeti sunan tüm
perakende satış şirketleri
Veri İşleme Örnek
5. Sorumluluğun
Kapsamı
Terimler
Kimler
Sorumludur
Kanuni
Düzenlemeler
Yaptırımlar
Hizmetlerimiz
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kişisel
Verilerin Korunması Kanunu kapsamında kurulmuş olan Kişisel Verilerin Korunması
Kurulu tarafından oluşturulacak olan “Veri Sorumluları Sicili”ne kaydolmak
zorundadır.
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket
edenler hakkında 20.000 - 1.000.000 TL idari para cezası.
Veri Sorumluları Siciline Kayıt
8. Terimler
Kimler
Sorumludur
Yaptırımlar
Hizmetlerimiz
Sorumluluğun
Kapsamı
Kanuni
Düzenlemeler
Uluslararası
• OECD Rehber İlkeleri
• BM Rehber İlkeleri/1948 tarihli İnsan Hakları
Evrensel Bildirgesi
Avrupa Konseyi
• 1950 tarihli Avrupa İnsan Hakları Sözleşmesi
• 108 sayılı Avrupa Konseyi Sözleşmesi
• 2001 tarihli Kişisel Verilerin Korunması Ek
Protokolü
• Safe Harbor
Avrupa Birliği
• 95/46/EC sayılı Kişisel Verilerin Korunması
Direktifi
• The EU General Data Protection Regulation
(GDPR)
• 2016/679 sayılı Genel Veri Koruma Tüzüğü
Asya-Pasifik Ekonomi Birliği (APEC)
6698 sayılı Kişisel Verilerin Korunması Kanunu
İnternet Ortamında Yapılan Yayınların
Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen
Suçlarla Mücadele Edilmesi Kanunu
İş Kanunu
Ceza Kanunu
Ceza Muhakemesi Kanunu
Diğer Kanunlar
Elektronik İmza Kanunu
Vergi Usul Kanunu
Nüfus Hizmetleri Kanunu
Basın Kanunu, Türkiye Radyo ve Televizyon Kanunu
Adli Sicil Kanunu
Bankacılık Kanunu, Noterlik Kanunu
Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve
Görevleri Hakkında KHK
Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
Elektronik Haberleşme Kanunu
Anayasa ve Kanunlar Uluslararası Düzenlemeler
Anayasa
9. Terimler
Kimler
Sorumludur
Yaptırımlar
Hizmetlerimiz
Sorumluluğun
Kapsamı
Kanuni
Düzenlemeler
Kanun’un Yayınlanma Tarihi
7 Nisan 2016 tarihi sonrası elde
edilen verilerin Kanun’a uyumlu hale
getirilmesi ve kişisel verinin işlenme
usullerinin yürürlük tarihi
Mevcut Datanın Uyumluluğu
7 Nisan 2016 öncesinde mevcut
dataların Kanun’a uyumlu hale
getirilmesi aksi takdirde silinmesi, yok
edilmesi veya anonimleştirilmesi
Kurul ve Sicil Kuruluşu
• Veri Sorumluları Sicili’ne kayıt,
• Datanın 3. kişilerle paylaşılması,
• Kişisel veri sahibi “İlgili”lerin firmaya
başvuru ve Kurul’a şikayet hakkı
• Hapis ve idari para cezası yaptırımları
Hükümlerinin yürürlük tarihi
İkincil Düzenlemeler
Yönetmelik vb. mevzuatın oluşturulması
7 Nisan
2016
7 Ekim
2016
7 Nisan
2017
7 Nisan
2018
Uyum Süreci
1 Ocak
2018
Kişisel Veri Saklama ve İmha Politikası
oluşturulması ve işletilmesi
1 Haziran
2018
10. Hukuka aykırı olarak kişisel verileri kaydeden kimseye
bir yıldan üç yıla kadar hapis cezası verilir.
Kişisel verinin, kişilerin siyasi, felsefi veya dini
görüşlerine, ırki kökenlerine;
hukuka aykırı olarak ahlaki eğilimlerine, cinsel
yaşamlarına, sağlık durumlarına veya sendikal
bağlantılarına ilişkin olması durumunda birinci
fıkra uyarınca verilecek ceza yarı oranında
artırılır.
Kişisel verileri, hukuka aykırı olarak bir başkasına
veren, yayan veya ele geçiren kişi, iki yıldan dört yıla
kadar hapis cezası ile cezalandırılır.
Kanunların belirlediği sürelerin geçmiş olmasına karşın
verileri sistem içinde yok etmekle yükümlü
olanlara görevlerini yerine getirmediklerinde bir
yıldan iki yıla kadar hapis cezası verilir.
Suçların işlenmesi dolayısıyla tüzel kişiler hakkında
bunlara özgü güvenlik tedbirlerine hükmolunur.”
Aydınlatma yükümlülüğü
5.000 - 100.000 TL
Veri güvenliği
15.000 - 1.000.000 TL
Kurul tarafından verilen kararları yerine getirmemek
25.000 - 1.000.000 TL
Veri Sorumluları Siciline kayıt ve bildirim
yükümlülüğüne aykırı hareket edenler
20.000 - 1.000.000 TL
idari para cezasına hükmolunur.
Terimler
Kimler
Sorumludur
Kanuni
Düzenlemeler
Hizmetlerimiz
Sorumluluğun
Kapsamı
Yaptırımlar
Hapis Cezaları İdari Para Cezaları
11. Terimler
Kimler
Sorumludur
Yaptırımlar
Kanuni
Düzenlemeler
Sorumluluğun
Kapsamı
Hizmetlerimiz
Şirketin departman bazında ele alınarak hızlı çözüme ulaşabilmek adına komite kurulması akabinde Şirket
yöneticilerinin ve proje ekibinin katılacağı bir toplantı düzenlenerek Proje'nin tanıtımının yapılması.
Holding grup şirketleri yöneticilerinin katılacağı bir toplantı düzenlenerek Proje'nin tanıtımının yapılması.
Proje Ekibinin Oluşturulması
Şirket bünyesindeki departmanlara kişisel verilerle ilgili olarak soru listelerinin gönderilmesi ve
sonuçların analiz edilmesi
Şirket’in işleyişi ve departman bazında tutulmakta olan kişisel verilerin, Şirket içi-dışı veri paylaşımı yapılıp
yapılmadığının tespiti ve Proje kapsamının değerlendirilmesi, gerekmesi halinde departman bazında somut
aksiyon planları hazırlanması
Proje kapsamında departmanlarla toplantılar yapılması
Sistemde tutulan verilerin Kanun’a uygunluk kapsamında değerlendirilebilmek adına taranması.
Regülatif düzenlemeler kapsamında korunması gereken verilerin tespit edilmesi.
Veri Sorumluları Sicili Hakkında Yönetmelik ile öngörülen Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve
veri konusu kişi grubuyla ilişkilendirerek ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi,
yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırılacak şekilde Kişisel Veri İşleme Envanterinin oluşturulması.
Kişisel Veri İşleme Envanterinin oluşturulması
12. Terimler
Kimler
Sorumludur
Yaptırımlar
Kanuni
Düzenlemeler
Sorumluluğun
Kapsamı
Hizmetlerimiz
Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında Veri Sorumluları Siciline kayıt başvurusunun
hazırlanması.
Veri Sorumluları Sicili’ne kayıt
Hem hukuk hem bilgi güvenliği farkındalık eğitimi
Şirket çalışanlarına Kişisel Verilerin Korunması farkındalık eğitimi
Veri işleme aktivitelerini ve kişisel verilere erişimi denetleme, inceleme ve uyum politikalarını
içeren genel bir gizlilik politikası hazırlanması
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında
kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve
anonim hale getirme işlemi için gerekli dayanak politikanın oluşturulması.
Kişisel Veri Saklama ve İmha Politikasının hazırlanması
Bilgi güvenliği ve gizlilik ihlali durumlarında yapılacak işlemlere ve takip edilecek kurallara ilişkin
olarak politika/prosedür hazırlanması
13. Terimler
Kimler
Sorumludur
Yaptırımlar
Kanuni
Düzenlemeler
Sorumluluğun
Kapsamı
Hizmetlerimiz
Kişisel verileri işleyen ve toplayan ilgili iş süreçlerinin incelenmesi ve söz konusu süreçlerin mevzuata
uyumlu hale getirilmesi amacıyla görüş ve önerilerin sunulması ve bu kapsamda gerekli dokümanların
hazırlanması
Kişisel verilerin işlenmesi süreçlerini kapsayan veya kapsaması muhtemel olan sözleşmelerin mevzuat
açısından incelenmesi ve revize edilmesi ve kişisel verilerin korunması bakımından taslak sözleşme
maddelerinin hazırlanması
Kişisel verilerin işlenmesi süreçlerini kapsayan veya kapsaması muhtemel olan yeni projelerin gizlilik ihlali
risklerini belirlemek ve değerlendirmek için kullanılabilecek bir form taslağının hazırlanması
Kişisel veri aktarılan veya veri aktaran üçüncü kişilere yönelik olarak taslak sözleşme
maddelerinin/taahhütnamelerin hazırlanması
Taslak aydınlatma metni ve açık rıza metinlerinin hazırlanması
Veri işleme ve koruma süreçlerinin farklı aşamalarında kullanılmak üzere taslak bildirim metinlerinin
hazırlanması,
İlgili kişi talep formlarının, cevap diyagramlarının ve taslak cevapların hazırlanması,
İş Süreçlerinin Kişisel Verilerin Korunması Mevzuatı kapsamında incelenmesi ve dokümantasyon
14. Terimler
Kimler
Sorumludur
Yaptırımlar
Kanuni
Düzenlemeler
Sorumluluğun
Kapsamı
Hizmetlerimiz
Veri Sınıflandırma: Korunması gereken verilerin kritiklik durumunun sınıflandırılması
Erişim Raporu Hazırlanması: Kurumsal verilere kimlerin, hangi yetkiler ile eriştiğinin tespiti
Veri sızmasının engellenmesi ve tespit edilmesi: Verilerin kuruluş dışına sızdırılmasını engelleyecek
teknik tedbirlerin sunulması, makul seviyede bilgi güvenliği tedbirlerinin raporlanması ve sunulması
Ayrıcalıklı hesap yönetimi
Kimlik denetiminin sağlanması
Veri şifrelenmesi
Dolaşımdaki verinin güvenliği
Verilerin silinmesi, yok edilmesi ve/veya anonim hale getirilmesi
Bilgi İşlem sistemlerinin Kişisel Verilerin Korunması mevzuatına uyum açısından incelenmesi ve
uyum kapsamında bu sistemlerde yapılması gereken değişiklik veya eklemelerin raporlanması.
Gerek hukuki gerekse bilgi güvenliği çerçevesinde yıllık denetimlerin yapılması
Yıllık denetimler
Kurum ve/veya kuruluşlar tarafından gelen resmi yazılara cevapların verilmesi ve Kişisel Verilerin
Korunması Kanunu ve bağlı mevzuat kapsamında danışmanlık verilmesi
Bilişim hukuku alanında uzman hukuk büromuz aracılığıyla resmi yazılara cevap hazırlanması ve
yıllık bilişim hukuku danışmanlığı
Raporlama