Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Merhaba Arkadaşlar,

Bu makalemizde son yıllarda ülkemizde büyük önem arz eden Kişisel Verilerin Korunması Kanunu (KVKK) hakkına genel bilgiler veriyor olacağım.

Aslında bu konuyu KVKK öncesi ve KVKK sonrası olarak ayırmak konunun içeriğinin anlaşılmasında daha iyi olucaktır diye düşünüyorum.Bu uygulamadan öncesine değinir isek Kamu sektöründe ve Özel sektörde kurum ve iştirakler müşterilerine bir hizmet sunar iken yada o iştiraklerin içerisinde çalışan çalışanlara hizmet sunumu ile bağlantılı olarak kişisel verilerinide aynı şekilde toplayabilmekteydiler. Bu durum esasında bazen bazı kanun maddeleri ile desteklenir iken  bazen de kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktaydı.

Burada en önemli ihtiyaç noktası tabiki kişilerin ilgili kurum ve kuruluşlar ile işbirliği içerisine girdiğinde kuruluşunda kullanıcı analizlerini doğru şekilde işleyebilmeside bu noktada önem arz etmektedir.Bunun sebebi ise verilicek hizmetin kamu veya özel sektör farketmeksizin hizmetlerin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması  ihtiyacını doğurmaktadır.Tabi bu noktada hizmet verilen kişilerin özel verilerinin sınırsız ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi zaruriyetini doğurmuştur.

KVKK esasında dünyanın bir çok noktasında uzun yıllardır kanun halinde kişilerin verilerinin korunmasında temel bir standart nokta olmasına rağmen ülkemizde malesef uzun bir süre tasarı olarak bekletilmiş olup Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşıyan maddelerden oluşan tasarı kanunlaşarak yürürlüğe girmiş bulunmaktadır.

KVKK Tanımına Göre Kişisel Veri Ne Demektir ?

Kişisel veri tanımı gerçek kişiye ilişkin elde edilen bütün bilgilere verilen ad olduğunu söylesek sanırım yanlış bir tanım olmaz düşüncesindeyim.Tabi bu noktada gerçek kişi ve tüzel kişi ayrımını iyi yapmamız gerekmektedir.Kişisel verilerden söz edebilmemiz için toplanan datanın gerçek kişi ile ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Bu noktada Kişisel verilerin derlenmesinde standartları şu şekilde özetler isek;

A- Gerçek kişinin verilerinin toparlanmasında kaynak olarak kullanılacak kişisel bilgiler (örn:Kişinin adı,soyadı,telefon numarası,mail adresi vsvs…) gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

B-Kişisel veriler gerçek kişi ile ilişkili olmalıdır.Bunun anlamı toplanan verinin gerçek kişi noktasında belirli ya da belirlenebilir nitelikte olması gerekir.

C-Oluşturulan verilerin kişiyi belirli veya belirlenebilir kılmasıda verilerin değerlendirilmesi noktasında oldukça önem arz etmektedir. Kişisel veri dediğimiz hususun en önemli noktası ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamaktadır.

Kişisel verilerin kategorilendirilmesi hususunda ülkemizdeki KVKK düzenlemelerinde hangi verilerin kişisel veri olarak tanımlanacağı hususu malesef kategorize edilmemiştir.Dolayısı ile bu verileri kullanan kuruluşlar ilgili kanun maddeleri kapsamında gri alanları kullanarak kapsamını oldukça genişletebilmektedirler.Bunu yapar iken genelde kullanılan donelerden biraz bahsetmek gerekirse misal bir gerçek kişinin internet üzerinde kullandığı bir isim eğer farklı kaynaklar ile beraber o kişiyi tanımlıyor ise bunlarıda kişisel veri içerisine almak mümkündür.Misal kendimden bahsetmek istersem Lnxmaster.com sitesini google da arattığınızda ismim çıkıyorsa ve biyografim yazılı ise bunlar kişisel veri olarak değerlendirilebilir.Bunun dışında internet üzerindeki kişiyi tanımlayan her türlü veri ve bilgide kişisel veri tanımlaması kısmına girebilir. Tabi bu kısımda dikkat edilmesi gereken nokta elde edilen verilerin kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak dikkatli bir şekilde analiz edilmesinde fayda olacağı kanısındayımç

Verilerin İşleme Süreçleri Nelerdir ?

Verilerin işleme sürecindeki en kritik nokta kişisel verilerin toplandıktan sonra derlenip işlenebilmesidir.Bunu otomasyon programı vasıtası ile veya manuel derleme yöntemleri ilede yapabilirsiniz.Bu verilerin otomatik olmayan yollar ile elde edilmesinden sonra yapılıcak aşamalar şu şekilde belirtilmiştir.

*Toplanan verilerin kaydedilmesi.

*Kaydedilen verilerin muhafaza edilerek depolanması.

*Muhafaza edilen verilerin anlamlı bir veri bütünlüğü elde edilebilmesi amacı ile değiştirilmesi ve düzenlenmesi.

*Değiştirilen ve güncellenen verilerin sınıflandırılması ve kullanılması.

*Değiştirilen ve kullanılan verilerin depolanması ile beraber bilginin muhafaza edilmesi.

Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Manuel veri işleme süreci dışında KVKK kanununda ilginç gelen bir husus veri işleme sürecinde herhangi bir otomatik işlemenin kapsamı ve alanları ile alakalı sınırlamaların ne olduğu tanımlanmamıştır.Bunun yanında dikkat ettiğim husus KVKK kanunu ile alakalı kapsam yorumuna baktığımız zaman “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.” Yorumunu yaparak aslında bir nevi bilişim tabanlı kişisel verileri derleyen sistemlerin bu noktada kullanıldığı yorumu yapılmıştır.

Bu noktada otomatik veri işleme veya yarı otomatik veri işleme mekanizmasında insan müdahalesinin en düşün seviyede tutularak verilerin kaydı, toplanan veriler üzerinde mantıksal işlemlerin sistematik olarak uygulanması, verilerin kullanım şartlarına göre değiştirilmesi veya güncellenmesi, ihtiyaç duyulmayan veya artık verilerin silinmesi, kritik noktalarda bu verilerin ihtiyaç anında geriye döndürülmesi gibi işlemlerin otomatik veya yarı otomatik mantıksal yöntemlerle gerçekleştirilmesi diyebiliriz.

Veri kayıt sistemi dediğimiz husus ise gerçek kişilerden toplanan bilgilerin kuruluşların belirli standart yönergelerine göre işlenip ayrıştırıldığı kayıt sistemidir.Misal bir sigorta acentesini düşünelim.Bu sistemde müşterilerin bilgileri (TC kimlik No,Ad,Soyadı,Adresi,Şehir,Ülke) gibi bir çok veriyi bünyesinde barındırıyor olsun.Bununla alakalı olarak sigorta primini ödemeyen müşteriler ile alakalı yapılıcak bir gruplamada bu kapsamda değerlendirilmektedir.Tabi bu noktada örnek vermek gerekirse  herhangi bir otomasyon kriterine bağlı olmadan gelişigüzel bir method ile bir şekilde sadece kişilerin sigorta bilgilerinin rasgele bir kağıda yazılması ve tutulması bu Kanun kapsamına girmemekle birlikte  bu noktada o kağıt üstüne belirli sistematik bir algoritma ile kriterler oluşturup ona göre bir kağıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.

KVKK Dışında Tutulucak Olan İstisnai Durumlar Nelerdir ?

KVKK Kanununda yer alan ama istisnai durumların oluşması durumunda bu kapsam dışında tutulucak alanlar aşağıda belirtilmiştir.

*Kurum ve Kuruluşların topladığı kişisel verilerin kapsamı içerisinde üçüncü kişilere verilmemesi ve veri güvenliğine ilişkin yükümlülüklere uyulmak sureti ile gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi

* Kanun kapsamının dışında tutulucak olan Adli durumlar noktasında kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları tarafından işlenmesi durumunun oluşması.

* Kanun kapsamında kişisel verilerin ülke bütünlüğünü tehtit edicek faliyetler kapsamında kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ve değerlendirilmesi durumunun oluşması.

*Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi

* Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi

Bu gibi yukarıdaki durumlarda KVKK işlemleri üzerinde muafiyet ilkesi uygulanmaktadır.

KVKK Sisteminde Verilerin Kanun Sınırları İçerisinde Yönetimi

Kişisel verilerin toplanması kadar bu verilerinde yönetimi düzeni ile alakalı olarak belirli sorumluluklarında alınması ve yönetilme işlemlerine ihtiyaç duyulmaktadır.Bu ihtiyaçları karşılayan kişilere Veri Sorumlusu ünvanı verilmektedir.Veri sorumlusunun en önemli görevlerinden bahsetmek gerekirse kişisel verilerin işleme faliyetinin odak noktası olan veriyi ne şekilde yapılması gerektiği sorularının cevabını verecek kişidir.

Veri Sorumlusunun Alanını tanımlamak gerekir ise;

*Hangi gerçek kişilerin verilerinin işleneceği.

*İşlenen verilerin hangi amaçlar ile kullanılacağı.

*Veriler paylaşıma açılıcak ise ne şekilde nasıl açılacağı.

*Kişisel verilerin ne kadar süre ile saklı tutulacağı.

* Kişisel veriler ile ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı.

Bunun gibi bir çok düzenlemeyi ve genel yapıda eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu direk tüzel kişinin kendisidir. Burada önemli olan nokta ise eğer veri yönetimi noktasında tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler mevcut ise KVKK konusunda kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır.

KVKK Üzerinden Verilerin Güvenliğinin Sağlanması Hususunda Dikkat Edilmesi Gereken Noktalar

Tüzel kişi ve Kuruluşlarda en önemli husus kişisel bilgilerin elde edilmesinden ziyade bunların doğru bir şekilde korunmasının sağlanmasıdır.Bunun için KVKK noktasında aşağıdaki hususlara dikkat edilmesi gerekmektedir.

*Saldırılara Karşı Süber Güvenlik Katmanının Tahsisi

*Kişisel Veri İçeren Depolama Ortamlarının Güvenliğinin Sağlanması

*Kişisel Veri İçeren Depolama Ortamlarının Yedeklilik Sistemlerinin Sağlanması

Saldırılara Karşı Süber Güvenlik Katmanının Tahsisi

KVKK bünyesinde gerçek kişilerin bilgi ve analiz datalarının barındırıldığı sistemlerin korunması oldukça önemli bir husustur.Bu sistemere internet üzerinden erişilmesi ve çeşitli isteklere karşı verdiği tepkilerin analizi oldukça önem arz etmektedir.Kişisel bilgilerin tutulduğu sistemlere geşen tehlikeleri iyi analiz ederek gerçekli önlemleri almak başlı başına bir zaruriyettir. Bu tarz olası sıkıntılara ve saldırılara  karşı alınabilecek en temel savunma önlemlerin başında iyi yapılandırılmış ve Firewall ile dışarı açık olmayan veya kısmi açık olan bir ağ mimarisine sahip olmaktır.Verilerin bulunduğu sistemde bağlantı için sağlanan ama kullanılmayan gereksiz portların kapatılmasından tutun eğer sistem üzerinde yönetimsel bir işletim sistemi varsa bunun Directory güvenliği ve grup politikalarının da erişim seviyelerini ayarlayarak yapılandırılmasıda büyük önem arz etmektedir.Bunun yanında eğer kişisel verileri bir Web sitesi üzerinde yayınlanıyor veya mobil uygulama vasıtası ile erişilebilir durumda ise erişimin SSL hizmeti kullanılarak sağlanması önemlidir.Kötü amaçlı yazılımlardan korunmak için sisteminiz üzerinde belirli periyotlarda tarama yapan ve tehlikeleri tespit eden antivirüs ve antispam yazılımlarının kullanılması gerekmektedir.

Kişisel Veri İçeren Depolama Ortamlarının Güvenliğinin Sağlanması

Verilerin Siber tehlikelerden korunmasının yanı sıra bu verilerin fiziksel olarak durduğu ortamlarında korunması oldukça önem arz eder.Bu fiziksel durumlar yangından tutun sel felaketi,yetkisiz girişler,elektrik arızaları gibi aklınıza gelmeyecek bir çok farklı seneryo üzerinden de meydana gelebilmektedir.Bunlar için özellikle ciddi fiziksel önemler almanız verilerinizin korunmasında ciddi yardımcı olucak hususlardır.Ortamın kameralar ile kontrolü,Yangın sistemlerinin periyodik bakımları ve çalışır durumda olmasının sağlanması,Su baskınına karşı sistemlerin yeterli derecede fiziksel olarak korunması gibi durumları göz önüne alarak bunun için uygun şartları sağlamalıdır.Bu sebeple kurumlar çalışanlarını bu tehlikelere karşı bilgilendirmeli ve gerekli önlemleri almaları için uygun şartları sağlamalıdır.

Kişisel Veri İçeren Depolama Ortamlarının Yedeklilik Sistemlerinin Sağlanması

KVKK kapsamında kişisel bilgilerin tutulduğu sistemlerin yedeklilik mimariside oldukça önem arz etmektedir.Günümüzde yedekleme sistemlerinin önemi ve kritik bilgilerin herhangi bir zarara uğraması durumunda oluşucak risk ve krizleri en aza indirebilmek için verilerin yedekliliğinin aynı şekilde sağlanması oldukça önemlidir.Özellikle son dönemlerde karşımıza çıkan fidye yazılımları ve sistemlere bulaşmaları neticesinde kurum ve firmanın sahip olduğu veriler kilitlenmiş ve erişim engellenmişti. Mağdur olan kişiler, kendi verilerine ulaşabilmek için WannaCry sorumlularına fidye ödemeye zorlanmıştır.Kişisel verilerin herhangi bir sebepten dolayı zarar görmesi, silinmesi, çalınması veya kaybolması gibi durumlarda sorumlu kişilerin, yedekledikleri verileri kullanarak en kısa sürede harekete geçmesi gerekmektedir.

KVKK İhlalinde Uygulanacak Olan Cezalar ve Yaptırımlar

Tüzel ve Gerçek kişilerin KVKK ihlalinde uygulanıcak olan cezai işlemler aşağıda belirtilmiştir.

*Aydınlatma yükümlülüğünü yerine getirmeyen kişilere 5.000 TL ile 100.000 TL’ye kadar,

*Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen kişilere 15.000 TL ile 1.000.000 TL’ye kadar,

*Kurul tarafından verilen kararları yerine getirmeyen kişilere 25.000 TL ile 1.000.000 TL’ye kadar,

*Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket eden kişilere 20.000 TL ile 1.000.000 TL’ye kadar,

*Kişisel verileri hukuka aykırı kaydeden kişilere 1 ile 3 yıla kadar,

*Nitelikli kişisel verileri hukuka aykırı kaydeden kişilere 1,5 ile 4,5 yıla kadar,

*Kişisel verileri başkasına veren, yayan veya ele geçiren kişilere 2 ile 4 yıla kadar,

*Kanunla belirlenen süreler geçmiş olmasına rağmen verileri yok etmeyen kişilere 1 ile 2 yıla kadar,

*Ceza Muhakemesi Kanunu’na göre silinmesi gereken ancak verileri silmeyen kişilere 1,5 ile 3 yıla kadar,hapis cezası uygulanır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!