6698 sayılı KVKK Kanunu (Kişisel Verileri Koruma Kanunu) 7 Nisan 2016 tarih ve 29677 sayılı karar ile yürürlüğe girmiştir. Bu kanun doğrultusunda kişisel verilerin toplanması ve işlenmesi, sınırları çizilmiş biçimde ve uluslararası standartlara uygun olacak şekilde düzenlenmiştir. Kişisel verilerin korunması ise Anayasa Mahkemesi’nin “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı … Kararında belirtildiği gibi kişilerin en temel olan hakkı olduğu nitelendirilerek uyulması zorunlu hale getirilmiştir.
KVKK NEDİR?
Kişisel verilerin korunmasının, işlenmesinin ve zamanı dolduğunda imha edilmesinin kişinin hak ve özgürlüğünü korumak adı altında uyulması gereken bir kanundur. Kişisel verilerin korunması, verilerin değil, bu verilerin sahibi olan kişilerin korunmasını amaçlamaktadır. Bu nedenle verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin idari, teknik ve hukuki önlemleri ifade eder. Bu yüzden kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin kullanılabilirliğini kendisinin belirlemekte olduğunu ifade eder
KİŞİSEL VERİ NEDİR?
Kişisel veri, elde edildiği takdirde belirli veya belirlenebilir bir kişiyle ilgili tüm bilgilerdir. Bunun ile beraber ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de içinde barındırır. Bu sayede son derece geniş kapsamlı olup, gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini açığa çıkaran bilgiler değil; telefon numarası, anne kızlık soyadı, sosyal güvenlik numarası, özgeçmiş, fotoğraf, kamera kaydı ve ses kayıtları, parmak izleri, e-posta adresi, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Veri erişim ve aktarım hızının teknoloji ile en üst seviyelere çıkması ve her alanda verilerin kullanılmasından doğan koruma ihtiyacı da bu kanunun çıkmasının en temel sebebidir. KVKK, kişisel verilerin amaç dışı işlenmesinin ya da kötüye kullanımının engellenmesini, kişisel hakların ihlal edilmesinin önüne geçilmesini, verinin güvenliğinin sağlanmasını hedeflemiştir. KVKK, bu yüzden tüm bu gereksinimlerin neticesinde ortaya çıkan yasal düzenleme ihtiyacına yanıt vermektedir. Kanun, kişisel verilerin korunmasında aşağıda yer alan temel ilkeleri baz almıştır.
- Hukuka ve dürüstlük kurallarına uygun olmak.
- Doğru ve güncel olmak.
- Belirli, açık ve meşru amaçlar için işlenmek.
- Toplandıkları ve işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmak.
- İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.
- Hangi teknolojik gereksinimlerden faydalanılmalıdır?
KVKK kanunu kapsamında, kurumların kanuna uygunluğu ve yükümlülüklerini sağlaması, verilerinin korunduğu ortamların fiziksel güvenliğini oluşturması, personel bilgilendirilmesi ve danışmanlık hizmetlerinin yanında teknolojik çözümlerden de yararlanılması gerekmektedir. Verilerin alınmasının amaç dışı kullanımının önüne geçmek adına KVKK kanunun uyumluluk çözümleri geliştirilmiştir. Bunun için verinin şifrelenmesi, verinin sınıflandırılması, verinin maskelemesi ve veri kaybının engellenmesi gibi çözümler üretilmelidir.
Verinin Şifrelenmesi
Kötü amaçlı kişilerce kullanılmak istenen veriye, yetkisiz erişimlerde ele geçirilmemesini sağlamanın en temel yöntemidir. Şifreleme sadece erişimi yetkilendirmekle kalmayıp verinin ve kaynağının doğruluğunu ve bütünlüğünü de korumayı sağlar. Bu açıdan kişilerin ya da kurumların, hassas veri olarak nitelendirdiği verilerini şifreli olarak sunucularında saklamaları gerekir.
KVKK İle ilgili daha fazla bilgi için arayın!
Verinin Yedeklenmesi
Hasar, kayıp, doğal afet gibi veri bütünlüğüne zarar verebilecek olumsuz durumdan minimum seviyede etkilenmek amacıyla yapılan bir yedekleme işlemidir. İş sürekliliğini sağlamak için riski en aza indirerek verileri geri döndürebilir hale getirmektir. Veri kaybı olması durumunda önlem niteliği taşır. Bu işleme örnek olarak sanal yedekleme, doküman yedekleme, veritabanı yedekleme, mail sunucu yedekleme, bulut yedekleme olarak gerçekleştirilebilir. Bulut(Cloud) teknolojilerinden, RAID(RedundantArray of Independent Disks) yapılarından, NAS(Network-Attached Storage) sistemleri, SAN (Storage Area Network) yapısı, DAS(Direct-Attached Storage) gibi depolama seçenekleri olabilir.
Veri Sızıntısını Engelleme
Kurumun hassas verilerinin sistem dışına çıkışı koruma altına alınmalıdır. Bunun için de DLP(Data Leak/Loss Prevention) çözümlerinin kullanılması gerekir. Bu çözümler verinin sistemden çıkışının engellemekle beraber verinin kurum içinde kullanım durumlarını kontrol edebilmek adına da faydalı olur. DLP sistemleri sistem içerisindeki yazılımsal ve donanımsal kaynaklar tarafından verinin kullanım durumunu kontrol altına alır. Amaç dışı kullanımı, paylaşımı, veri aktarımını engeller
Sızma Testleri (Penetration Tests)
Güvenlik açıkları nedeniyle oluşabilecek veri kayıplarını engellemek için yapılan testlerdir. Sistemin hatalarının ve zafiyetlerinin kötü niyetli kişiler tarafından istismar edilmesinin önüne geçmek ve sistemi daha güvenilir bir hale getirmek amacıyla yapılır. Bu testlerin düzenli ve sürekli olarak yapılması ardından test raporları baz alınarak gereken güvenlik önlemlerinin zaman kaybetmeden alınması gerekmektedir. Tehdit ve riskler en aza indirilerek ve siber güvenlik sağlanmalıdır.
KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri nelerdir?
İlgili kişinin verisinden sorumlu olan ve veri sorumlusunun kararlarıyla bu veriyi işleyen kişilerin KVKK kanunu kapsamında bazı yükümlülükleri vardır. Veri sorumlusu kanunda “Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak adlandırılmıştır.
Aydınlatma Yükümlülüğü
Veri sorumlusunun en temel yükümlülüğü aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişiyi bilgilendirmelidir. Bunlar;
– Veri sorumlusunun ve varsa temsilcisinin kimliği,
– Kişisel verilerin hangi amaçla işleneceği,
– Verilerin kimlere hangi amaçla akatarılabileceği,
– Kişisel veri toplamanın yöntemi ve hukuki sebebi,
– 11. maddede sayılan diğer hakları
olarak belirtilmektedir. İlgili kişi verisinin işlendiği her durumdan bilgisi olmalı ve buna izin vermelidir.
Veri Güvenliğine İlişkin Yükümlülükler
Kanuna göre veri sorumlusu veri güvenliği konusunda aşağıdaki maddelerden sorumludur:
– Kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak.
Veri sorumlusu bu yükümlülüklerini sürdürebilmek için tüm tedbirleri almalı ve gerekli denetimleri yapmak zorundadır. Kişisel veri, veri sorumlusu adına başka herhangi bir kişi tarafından işlenmişse güvenlik konusunda iki kişi de sorumlu durumdadır. Hem veri sorumlusu hem de veriyi işleyen kişi görevi sona erdikten sonra da veriyi paylaşamaz veya işleme amacı dışında kullanamaz. Eğer veri 3. kişiler tarafından ele geçirilmişse bu durum gerekli kişilere iletilmelidir.
Verbis (Veri Sorumluları Siciline Kayıt)
Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması kanunu hakkının sürdürülebilmesi amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırma zorunluluğu vardır. Bu sistemde veri işleme faaliyetleri ile ilgili bilgiler kayıtlı olarak saklanmaktadır.
KVKK Kapsamında Suçlar ve Kabahatler
Kişisel Verilerin Korunması Kanununda, kanuna uymayanlar için cezai yaptırımlar da mevcuttur. Bunlar suçlar ve kabahatler olarak ikiye ayrılmıştır.
Suçlar
Kişisel verilere ilişkin suçlara Türk Ceza Kanununun 135 ila 140’ncı madde hükümleri uygulanır. Türk Ceza Kanununda;
– Hukuka aykırı olarak kişisel verileri kaydeden kişiye bir yıldan üç yıla kadar,
– Kişisel verileri, hukuka aykırı olarak bir şekilde başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar,
– Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde hapis cezası verilir.
Kabahatler
Kişisel Verilerin Korunması Kanununda;
– Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 10.000 Türk lirasına kadar,
– Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
– Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
– Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Kurum sayfasını incelemek için buraya, KVKK Uyum Danışmanlığı teklifi almak için buraya tıklayınız.
