Dijital dünyanın hayatımızın içine girmesinin ardından, buradaki verilerimizin güvenliği, hukuk açısından en önemli problemlerden biri haline geldi.
Bu sebeple Kişisel veriler ve ticari iletişim gibi konularda kanun üretilmesi ve yeni hukukun oluşturulması konusunda çalışmalar yapılması kaçınılmaz olmuştur.
Bu çalışmaların en önemlilerinden biri bizi yakından ilgilendiriyor: “KVKK”
KVKK Uyum Süreci çalışmaları Hukuki ve İdari Hizmetler ve Siber Güvenlik Teknik Hizmetleri olmak üzere iki aşamadan oluşur.
KVKK Uyum Süreci Projeleri, kurum iç işleyişinin tespiti, eksikliklerin belirlenerek çözüm stratejilerinin sunulması ve uyumlu hale gelinmesi için hukuki ve teknik kısımların tamamlanmasını kapsamaktadır.
Başaran, KVKK Uyum Sürecinde IT sektöründeki 20 yıllık tecrübesiyle sunduğu hizmetlerden bazıları:
Network sistemleri yapılandırma
Firewall güncelliği ve alınan önlemler
Sunucu sistemlerinin kontrolü
Kullanıcı politikalarının belirlenmesi
Erişim yetkileri ve gereksiz yetki kullanımlarının tespiti
Felaket senaryolarının oluşturulması
Yedekleme işlemleri tavsiyeler
Bulut bilişim tedbirleri
Zaafiyet (sızma) testleri
KVKK’dan Kurumlar Ne Anlamalı?
KVKK, veri işleyen her kuruluşu ilgilendirir ve bir takım yaptırımları öngörür.
Öngörülen yaptırımlardan kaçınmak adına her şirketin, kişisel verilerin elde edilmesi, işlenmesi, saklanması ve gerekli olduğunda verinin muhafaza ve imha edilmesi adına kanuna uygun bir usül belirleyip bunu hayata geçirmesi gerekir.
Her bir şirket tarafından, şirketin yapısı, işlemleri faaliyetleri dikkate alınarak, kişisel verilerin korunmasına ilişkin, mevzuata uygunluğuna ilişkin detaylı bir çalışmanın yürütülmesi gerekmektedir.
Bu kapsamda, şirketin iş süreçleri incelenmeli, kişisel veri envanteri hazırlanmalı, aydınlatma metinleri ile gerekli bilgilendirmeler yapılmalı ve bunlar duyurulmalı, başvuru formları hazırlanmalı ve gerektiği takdirde KVKK’ya uygun olarak kişisel veri işleme ve imha politikası hazırlanmalıdır.
KVKK’nın Amacı Nedir?
Özel hayatın gizliliği olmak üzere kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemektir.
KVKK’nın Yürürlülüğe Giriş Tarihleri Nelerdir?
Kanun, 7 Nisan 2016 tarihinde Resmî Gazete’de yayınlanarak yürürlüğe girmiş olup 7 Nisan 2018 tarihinde geçiş süreci sona ererek tüm işlenen kişisel verilerin Kanuna tam uygun hale gelmesi gerekmektedir.
KVKK Kimleri Kapsar?
Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel Veri Nedir?
Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan bilgilerdir.
Örnek: Adı, soyadı, doğum tarihi, doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü, ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri v.s.
Özel Nitelikli Kişisel Veri Nedir?
Özel Nitelikli Kişisel Veri, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.
Örnek: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler v.s
Kişisel Verilerin İşlenmesi Ne Demektir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Verilerin Korunması Neden Önemlidir?
2003 yılına kadar kayıt altına alınmış toplam veri miktarı 5 Milyar gigabayt’tır. Bu veri 2012 yılında her iki günde günümüzde ise saniyeleri içerisinde üretilmektedir. Bu nedenle devir “Big Data (büyük veri)” devridir.
Bu durum kişisel verilerin ekonomi, sosyal yaşam, eğitim, savunma gibi birçok alanda iyi ya da kötü niyetle ile her gerçek ve tüzel kişi ve hatta her akıllı nesneler tarafından kullanılmaya açık olduğunu gösterir.
Özetle, günümüzde kişisel verilerin korunması ekstra bir yükümlülük değil, toplum düzeni için olmazsa olmaz bir husus olarak görülmelidir.
Kanunun İstisnaları Nelerdir?
KVKK ve GDPR’ın (Avrupa Birliği Veri Koruma Tüzüğü) asıl amacı, veriyi minimize etme yani işleyişi aksatmayacak kadar veri işlenmesini sağlamaktır.
KVKK, bu anlamda veri işlemenin temel koşulunu ‘açık rıza’ olarak belirleyerek zorlayıcı sınırlamalar koymuştur. Ancak kanun, her faaliyet için açık rıza almak iş akışını durduracağı gerçeğinden dolayı açık rıza olmaksızın veri işlenebilir istisnalarını beraberinde getirmiştir.
Veri işlemenin; kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması bu istisnalardan bazılarıdır.
Açık Rıza Nedir? Zorunlu Mudur?
Açık Rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Örneğin, bir alışveriş mağazasının müşterisine indirim kartı almasını teklif etmesi, kartı alması durumunda yararlanacağı avantajlardan bahsetmesi, mağazanın hangi verilerinizi, hangi amaçlar ile ve hangi süreyle saklayacağını size bildirmesi ve karşılığında veri işleme faaliyetinin gerçekleştirilebilmesi için müşterinin verdiği onay açık rızadır.
Açık Rıza, KVKK ile birlikte kanunun istisnaları hariç zorunludur.
KVKK’ya Göre İlan Edilen Veri Sorumluları Siciline Kayıt Tarihleri Nelerdir?
| Veri Sorumluları | Kayıt Yükümlülüğü Başlangıç Tarihi | Kayıt İçin Verilen Süre | Kayıt İçin Son Tarih |
| Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 21 ay | 30.06.2020 |
| Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için | 01.10.2018 | 21 ay | 30.06.2020 |
| Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 01.10.2019 | 12 ay | 30.09.2020 |
| Kamu kurum ve kuruluşu veri sorumluları | 01.04.2019 | 21 ay | 31.12.2020 |
Veri Sorumluları Siciline Kişisel Veri İşlenecek Midir?
Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmaz.
VERBİS sistemine, ilgili kişilerin kişisel verileri işlenmez. Başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilir.
Bu nedenle, VERBİS kesinlikle kişisel veri içermez ve dolayısıyla kişisel verilerin kamuya ifşa edilmesi söz konusu olmaz.
VERBİS’te, ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanma zorunluluğundan dolayı; veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi yer alır.
KVKK İdari para cezaları ne kadardır?
| Aydınlatma yükümlülüğünü yerine getirmeyenler | 5.000 TL – 100.000 TL |
| Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler | 15.000 TL – 1.000.000 TL |
| Kurul tarafından verilen kararları yerine getirmeyenler | 25.000 TL – 1.000.000 TL |
| Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler | 20.000 TL – 1.000.000 TL |
Not: Her bir ceza tutarı ihlal edilen veri başınadır.
Yaptırımları Uygulama Yetkisi Kimdedir?
Veri ihlallerini, resen veya şikayet üzerine tespit ederek Kanunda yer verilen yaptırımları uygulayacak olan otorite, idari ve mali özerkliğe sahip ve Başbakanlığa bağlı olarak kurulmuş olan Kişisel Verileri Koruma Kurumu’dur.
Kurum, Kişisel Verileri Koruma Kurulu karar organlarıyla birlikte 175 üyeden oluşur.
Kurum aynı zamanda, bünyesinde devletten maaş almayan ve kesilen ceza tutarınca prim usulü çalışan 4.000 denetçi ile hizmet verir.
Bu Kurulun başlıca görevi; şikâyetleri karara bağlamak ve kişisel verilerin Kanun’a uygun olarak işlenip işlenmediğini kontrol ederek gerekirse geçici önlem ve idari yaptırımlara karar vermektir.
KVKK Hayatımızda Doğrudan Neyi Değiştirdi ve Değiştirmeye Devam Edecek?
KVKK ile birlikte; Kişisel veri işleyen gerçek ve tüzel kişilikler ve bunlarla bağlantılı olarak akıllı nesnelerin veri işleme süreçleri baştan sona kontrol edilerek yeniden planlanması kaçınılmaz bir hale gelmiştir.
Özellikle özel sektör tüzel kişiliklerinin bu süreci görmezden gelmeden hızla işleyişlerine dâhil etmeleri ve faaliyetlerini kanuna uygun hale getirmeleri gerekmektedir.
Veri Sorumlusu/Veri İşleyenlerin Alabileceği Önlemler Nelerdir?
Veri sorumluları ve veri işleyenlerin kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazası için alması gereken bazı teknik ve idari tedbirler bulunmaktadır.
Bu tedbirler ile işlenmekte olan verilerin muhtemel siber saldırılara karşı korunması amaçlanmıştır.
İdari tedbirlerden bazıları; çalışanların bilinçlendirilmesi için yapılacak farkındalık eğitimleri, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi ve veri işleyenler ile ilişkilerin düzenlenmesidir.
Bu kapsamda; veri işleyenler ile ilişkilerin düzenlenmesi özellikle önem arz etmektedir.
Veri işleyenler ile veri sorumluları idari ve teknik tedbirlerin alınması konusunda müştereken sorumludurlar.
İdari tedbirler haricinde kişisel veri içeren ortamların güvenliğinin sağlanması, siber güvenliğin sağlanması ve kişisel verilerin dijital ortamda yedeklenmesi de veri sorumluları ile veri işleyenlerin alabileceği güvenlik önlemlerinden bazılarıdır.
