Skip links

Neirt Bilişim Teknolojileri

KVKK-Richtlinie: Wir sind bereit für neue Projekte!

KVKK
Gesetz zum Schutz personenbezogener Daten

Was ist personenbezogenes Datum?
Ein personenbezogenes Datum wird als eine Information definiert, die zur Identifizierung einer Person beiträgt, wie etwa ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, kommerzielle Beziehungen und Mitgliedschaften, genetische Daten, einschließlich biometrischer Daten, sowie Gesundheitsinformationen. In diesem Zusammenhang zählen nicht nur Informationen, die eine eindeutige Identifizierung einer Person ermöglichen, wie Name, Nachname, Geburtsdatum und Geburtsort, sondern auch Informationen zu den physischen, familiären, wirtschaftlichen, sozialen und anderen Merkmalen einer Person. Die Identifizierbarkeit einer Person bedeutet, dass vorhandene Daten mit einer realen Person in Verbindung gebracht werden können, um diese zu definieren. Dies umfasst alle Fälle, in denen Daten mit einer konkreten Identität, wie etwa einer Steuernummer, einer Sozialversicherungsnummer oder einem Passnummer, verknüpft sind und die Person identifizierbar wird. Daten wie Name, Telefonnummer, Kfz-Kennzeichen, Sozialversicherungsnummer, Reisepassnummer, Lebenslauf, Fotos, Bild- und Tonaufnahmen, Fingerabdrücke, genetische Informationen usw. zählen daher zu personenbezogenen Daten, da sie die Identifizierbarkeit einer Person auch indirekt ermöglichen.

(Gesetzentwurf zum Gesetz über den Schutz personenbezogener Daten (1/541) und Bericht des Justizausschusses)

Ist das KVKK eine lokale Gesetzgebung?
Das türkische Gesetz 6698 ist nicht einzigartig, sondern basiert auf der EU-Datenschutzverordnung (GDPR), die bis zum Frühjahr 2018 den Institutionen eine Frist zur Vorbereitung gesetzt hat. Das Gesetz 6698 hat, zusammen mit der europäischen GDPR, eine erhebliche Bedeutung und wird die Institutionen, die als Verantwortliche für die Daten bezeichnet werden, stark beeinflussen und ihre Arbeitspraktiken erheblich verändern.

Regelungen des KVKK
Das Gesetz zum Schutz personenbezogener Daten (Gesetz 6698) enthält Regelungen, die die Verarbeitung personenbezogener Daten ohne die Zustimmung des Betroffenen verhindern sollen. Nach diesem Gesetz wird die Verarbeitung von Daten ohne die Zustimmung des Individuums als Straftat angesehen.

Wenn eine Institution die Zustimmung des Einzelnen einholen möchte, muss sie klar und verständlich darüber informieren, welche Art von Daten sie erhebt und zu welchem Zweck diese verwendet werden. Diese Information muss auch beinhalten, mit wem die Daten geteilt werden und wie lange sie gespeichert werden.

Die Personalabteilung, die für die Durchführung dieser Regelung verantwortlich ist, wird die Institutionen, die Daten sammeln oder verarbeiten, nach dem Gesetz 6698 registrieren und regulieren. Personen, die Probleme mit den Institutionen haben, die ihre Daten sammeln oder verarbeiten, können sich bei dieser offiziellen Stelle beschweren. Diese Institution hat die Befugnis, den Institutionen, die die oben genannten Regelungen nicht einhalten, hohe Geldstrafen zu verhängen und in einigen Fällen den verantwortlichen Beamten bei grober Fahrlässigkeit oder böser Absicht mit Haftstrafen zu belegen.

Welche Institutionen sind vom KVKK betroffen?
Jede Institution, die personenbezogene Daten erhebt und speichert, die mit einer realen Person in Verbindung gebracht werden können, fällt unter den Geltungsbereich dieses Gesetzes. Daher müssen die Institutionen, die solche Prozesse durchführen, eine Reihe von Maßnahmen ergreifen, um die Einhaltung des Gesetzes sicherzustellen.

Maßnahmen zur Einhaltung des Gesetzes

Die erforderlichen Maßnahmen können wie folgt zusammengefasst werden:

-Alle Informationsressourcen müssen so geschützt werden, dass Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sind, d.h. sie müssen gemäß den Standards des Informationssicherheits-Managementsystems (ISMS) betrieben werden.
-Strategien entwickeln, um die Arten von Daten zu bestimmen, die von Kunden erhoben werden.
-Ein Dateninventar erstellen.
-Alle strukturierten / unstrukturierten Daten in Netzwerken, auch rückwirkend, identifizieren.
-Die personenbezogenen Daten, die erfasst wurden, nach ihren Eigenschaften klassifizieren.
-Alle Kunden, deren Daten aufbewahrt werden sollen, kontaktieren und diese über die Absichten der Institution informieren.
-Die Zustimmung der Mitarbeiter und Kunden auf vernünftige Weise einholen, nachdem sie über die Zwecke der Datenverarbeitung informiert wurden.
-Technologien, Richtlinien und Systeme entwickeln, um die oben genannten Maßnahmen nachhaltig umzusetzen.
-Regelmäßige Bewertungen, Überprüfungen und interne Prüfungen durchführen.
-In regelmäßigen Abständen Sicherheitsprüfungen und Penetrationstests durchführen, um die Sicherheit der Systeme und den Schutz der Daten zu gewährleisten.
-Ergebnisse aus internen Prüfungen, Penetrationstests usw. in das Managementsystem der Institution integrieren, um Nachhaltigkeit zu gewährleisten.