KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süredir tasarı halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Bu sayede kişisel verilerin işlenmesinden tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.
Veriyi Hangi Ortamda Olursa Olsun Korumak Zorundayız!
Hem kamu hem de özel kurum ve kuruluşlar, bir hizmetin veya ürünün piyasaya sürülebilmesi için uzun bir süredir kişisel veri niteliğindeki bilgileri toplamakta, satmakta veya paylaşmaktaydılar. Ancak kişilerin temel hak ve özgürlükleri kapsamında veri işleme süresince verinin korunması öncelikli olmalıdır.
Kurumların vermiş oldukları hizmetlerin sürdürülmesi, kamu hizmetlerinin etkin bir şekilde halka arz edilmesi, mal ve hizmetlerin geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz bir hale gelmiştir. Bu veriler toplanırken de kişisel verilerin sınırsız ve gelişigüzel olması sebepleri, yetkisiz kişilerin erişimine açılmasının, ifşasının, amaç dışında ya da kötüye kullanımı sonucunda kişisel hakların ihlal edilmesinin de önüne geçilmesi kişisel hak ve özgürlüklerimiz noktasında zorunlu olmalıdır.
Bu sebeple Avrupa Konseyi tarafından bir süre önce tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da Avrupa Birliği Üyelik Kapsamı dahilinde imzalanmıştır. Bu sözleşme son olarak 17 Mart 2016 tarihinde Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir.
Kişisel Verilerin Korunması Hakkı Nedir?
2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine belirtildiği gibi temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Aynı şekilde kişisel verilerin korunmasına ilişkin hak Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edildi.
KVKK Ne Zaman Yürürlüğe Girdi?
Söz konusu olan KVKK kanun metini 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
Kişisel Verilerin Korunması 6698 Sayılı Kanununun Amacı Nedir?
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.
Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?
KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.
Kişisel Verilerin Korunması
Kişisel verilerin korunması denildiğinde ilk olarak kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması amaçlanmaktadır. Aslında kişisel verilerin korunması demek temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktır.
Kanundaki ifadelere göre; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.
Kişisel Verinin Tanımı Nedir?
Bu ifadelere göre “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Yani saklanan veya işlenen veride kişinin net olarak belirtilmiş olması şartı vardır.
Örneğin, Siber Güvenlik Uzmanı Olcay Sevin – [email protected] Bu örneğe baktığımız zaman ünvan bilgisi, ad, soyad ve e-posta birlikte yer aldığı için tek bir kişiyi işaret ettiğini net olarak söyleyebiliriz. Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamaktadır.
Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir.
Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel verilere örnek vermek gerekirse; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler şeklinde sıralayabiliriz. Bu duruma göre hassas nitelikteki kişisel veriler genel olarak birçok sektörü sorumlu tutmaktadır.
Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Örneğin, kişisel verilerin sadece bir diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Yani kişisel veriyi depolamak da kişisel verilerin işlenmesi anlamına gelmektedir.
Yayınlanan 6698 Sayılı KVKK Kanunu ile ve Aydınlatma Yükümlülüğü Ne Anlama Gelir?
Kişisel verilerin işlenmesinde denetim sağlayan ve kuralları koyan 6698 sayılı KVKK kanunu temel hak ve özgürlüklerin korunmasını amaçlamaktadır. 7 Nisan 2016 tarihli ve 29677 Sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesinde 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesi konusunda Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca işlenen kişisel verilerimizin depolanması, paylaşılması, kullanılması ve benzeri noktalar hakkında tüketicilerin hak ve özgürlüklerini korumak için hayata geçirilmiştir. Tüketicilerin verileri işlenmeden önce aydınlatma yükümlüğü maddesi uyarında bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması zorunlu hale getirilmiştir.
KVKK Kanunu linki:
http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf
Kanunda Yer Alan Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Anlama Gelir?
Kanunda, otomatik işlemenin ne olduğu tanımlanmamıştır. Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyacın asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir.
Başka bir ifade ile, otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetlerinin tümün kapsamaktadır.
Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?
Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade etmektedir. Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar dahi, bir “veri kayıt sistemi” aracılığıyla işlendiklerinde de Kanun hükümlerine tabi olmaktadır.
Kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere ülkemizde bir süre önce özerk bir kurum olarak Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun amacı: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak şeklinde ifade edilmektedir. Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.
Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere, küçük veya büyük işletmelere, organizasyonlara geçtiğimiz yıl Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ardından da KVKK kurumu denetlemelerine ve bildirimleri incelemeye başlamıştır. Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası gibi ciddi cezalar da hayata geçirilmiştir.
KVKK Kurumunun Son 1 Yıllık Açıklanan Raporu
KVKK Kurumunun Son 1 Yılının Özeti Olarak Yayınladığı Bildiriyi İncelediğimizde; Kişisel verilerin ihlaline dair 5 milyon lira para ceza kesildiğini görüyoruz. Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir’in yapmış olduğu basın açıklamasında kişisel verilerin ihlali nedeniyle bu zamana kadar kuruluşlara yaklaşık 5 milyon TL ceza kesildiği öğrenildi.
Prof. Dr. Faruk Bilir, Kişisel Verileri Koruma Kurulu’na bugüne kadar yapılan veri ihlal bildirimlerinin 72 olduğunu açıkladı. Ayrıca KVKK başkanı Bilir, veri sorumlularının veri ihlal bildirimlerini en geç 72 saat içinde yapmaları gerektiğini ifade ederek, bu sayede veri ihlal bildirimlerinin süresi konusunda belirsizliğin ortadan kaldırıldığını ve kararın Avrupa Genel Veri Koruma Tüzüğü ile de uyumlu olduğunu aktardı. Aynı zamanda bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önererek denetimlerin zorunlu olduğunu belirtmiştir.
KVKK Kanununa Nasıl Uyum Sağlarım?
KVKK kanununda açık olarak kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler sıralanmıştır. Bu tedbirler; Firewall kullanımı, ağ geçidi kullanımı, loglama alt yapısının kullanılması, antivirüs yazılımları kullanmak, yama yönetimi, yazılım güncellemeleri ve benzeri şekilde belirtilmektedir.
Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu parolaları oluşturulurken, kolay tahmin edilecek rakam ya da harf dizileri yerine büyük-küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır.
Aynı zamanda KVKK’yla ilgili tüm sorumluluklarınızı eksiksiz yerine getirmek ve süreçle ilgili herhangi bir sıkıntı yaşamamak için şirketinizdeki hukukçulardan ya da Bilgi Güvenliği danışmanlarınızdan destek almanız büyük bir önem arz etmektedir.
KVKK kapsamında alınması gereken 2 tedbir türü vardır:
Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrolü
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme
- Yedekleme
- Güvenlik Duvarları
- Antivirüs Sistemleri
- Silme, Yok etme veya Anonim Hale getirme
- Anahtar Yönetimi
İdari Tedbirler
- Kişisel veri işleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha, vb.)
- Sözleşmeler (Veri Sorumlusu – Veri İşleyen Arasında)
- Gizlilik Taahhütnameleri
- Kurum içi periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmesi, Disiplin Yönetmeliği
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve ilgili Kişileri Bilgilendirme Süreçleri, İtibar Yönetimi, vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bigi Güvenliği ve Kanunlar)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Detaylı Bilgi için:
Kişisel Veri İhlal Bildirimi için: