KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDİR?
2010 yılında Anayasa’ya eklenen «Herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkında sahiptir.» maddesiyle birlikte (Anayasa md.20) kişisel verilerin korunması alanında yasal bir düzenlemeye ihtiyaç duyulmuştur.
Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDEN ÖNEMLİDİR?
Teknolojinin gelişmesi ve yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.
Bir süre önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun ile birlikte verilerin kim tarafından, hangi amaçlara yönelik işleneceği, nasıl kullanılacağını, nasıl ve ne zaman silineceğine ilişkin düzenlemeler getirilmiştir.
Bu kanuna uyulmaması çok yüksek miktarlarda para cezaları ve hapis cezaları ile karşılaşmak demektir.
İlgililer, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilir.
Kanun bu alandaki gelişmelerin henüz başlangıcıdır. Kişisel verinin korunması ve kişilerin kendi verileri üzerindeki hakları artarak devam edecektir.
KİŞİSEL VERİ NEDİR?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan ve onu tanımlanabilir kılan her türlü bilgiyi ifade eder. Kişisel verilere örnek verecek olursak,
Ad, Soyadı
Özgeçmiş
Fatura
SGK Numarası
IP Adresleri
T.C. Kimlik No
vb.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER NELERDİR?
Bu tip kişisel veriler ayrı bir madde halinde özel olarak düzenlenmiştir ve kanunda sayılan verilerle sınırlıdır. Nedeni ise bu tip veriler için kesin işlem yasağı ve diğer verilere kıyasla daha yüksek koruma ön görmesidir. Bu tip kişisel veriler kişinin açık rızası olmadan işlenemez ve paylaşılamaz.
KİŞİSEL VERİLERİN İŞLENMESİ NEDİR?
Kişisel verilerin tamamen veya kısmen
elde edilmesi
depolanması
muhafaza edilmesi,
değiştirilmesi
yeniden düzenlenmesi
açıklanması
aktarılması
devralınması
elde edilebilir hale getirilmesi
sınıflandırılması
kullanılmasının engellenmesi
gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
VERİ İŞLENİRKEN UYULMASI GEREKEN KURALLAR
Hukuka ve dürüstlük kurallarına uygun olma
Belirli, açık ve meşru amaçlar için işlenme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
İşlendikleri amaç için yeterli olan süre kadar muhafaza edilme
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Veri Sorumluları Sicili’ne kayıt olma ve güncel tutma
Kişisel veri envanteri hazırlama ve güncel tutma
İlgili kişileri aydınlatma ve aydınlatma metinlerinde gerekli güncellemeleri yapma
Kişisel verilerin güvenliğine ilişkin idari ve teknik tedbirleri alma
Kişisel veri saklama ve imha politikası hazırlama
Kişisel verileri yasal süreler kadar saklama ve periyodik olarak imha etme
Veri sorumlusuna yöneltilen başvuruları yanıtlama
Açık rıza alma ve açık rıza metinlerinde gerekli güncellemeleri yapma
YÜKÜMLÜLÜKLERE UYMAMA HALİNDE UYGULANAN YAPTIRIMLAR NELERDİR?
GÜNCEL İDARİ PARA CEZALARI
Aydınlatma yükümlülüğüne aykırılık 9.013 TL – 180.264 TL
Veri güvenliğine ilişkin yükümlülüğe aykırılık 27.040 TL – 1.802.641 TL
VERBİS’e kayıt yükümlülüğüne aykırılık 36.053 TL – 1.802.641 TL
Kurul tarafından verilen kararları yerine getirme yükümlülüğüne aykırılık 45.066 TL – 1.802.641 TL
HAPİS CEZALARI
Hapis cezasından şirketi temsil edenler sorumludur.
Anonim şirketlerde Yönetim Kurulu
Limited şirketlerde Şirket Müdürleri
Kişisel verileri hukuka aykırı ve kasıtlı olarak üçüncü kişilere aktaran kişi cezai olarak sorumludur. Ancak veri sorumlusunun sorumluluğu ortadan kalkmaz.
*Suçların nitelikli hallerinde cezalar arttırılmaktadır.
Kişisel verilerin hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar
Kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi 2 yıldan 4 yıla kadar
Kişisel verilerin yok edilmemesi 1 yıldan 2 yıla kadar
KVKK KAPSAMINDA ALINMASI GEREKEN İDARİ VE TEKNİK ÖNLEMLER NELERDİR?
Mevcut Risk ve Tehditlerin Belirlenmesi
⁻ Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
⁻ Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
⁻ Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği
Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Kişisel verilere sadece yetkili kişilerin ulaşabilmesi
Kişisel Verilerin Mümkün Olduğunca Azaltılması
Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
Çalışanlar ile gizlilik anlaşmalarının imzalanması
Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin sürecinin belirlenmesi
Veri İşleyenler ile İlişkilerin Yönetimi
Veri işleyen ile imzalanan sözleşmenin yazılı olması
⁻ Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket etmesi
⁻ Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlüğünün olması
Yetkilendirme matrisi oluşturulmalıdır.
Yetki kontrolü yapılmalıdır.
Güvenlik duvarı ve ağ geçidi kurulmalıdır.
Erişim logları tutulmalıdır.
Kullanıcı hesapları yönetilmelidir.
Ağ ortamının güvenliği sağlanmalıdır.
Uygulamaların güvenliği sağlanmalıdır.
Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
Veriler şifreleme yöntemleri ile şifrelenmelidir.
Yama Yönetimi ve yazılım güncellemelerinde gerekli önlemlerin olup olmadığı denetlenmelidir.
Kişisel verilere erişim kısıtlı olmalıdır. Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır. Güçlü şifre ve parola oluşturulmalıdır.
Kaba kuvvet algoritması (BFA) kullanılmalıdır.
Şifre girişi deneme sayısının sınırlandırılmalıdır.
Düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmalıdır.
Yönetici hesabı ve admin yetkisi sadece ihtiyaç olduğu durumlarda kullanılmalıdır.
Şirket ile ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesap silinmeli ya da girişlerin kapatılmalıdır.
Sızma testleri yapılarak kurum güvenliği test edilmelidir.
Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
Log kayıtları incelenmeli ve yedeklenmelidir.
Veri maskelemeleri yapılmalıdır.
Veri kaybı önlemeye yönelik teknik tedbirler alınmalıdır.
Yedekleme sistemleri kullanılmalıdır.
Güncel anti-virüs sistemleri kullanılmalıdır.
Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.
Şirketiniz için KVKK uyum süreci ve sonrasında biz neler yapabiliriz;
· Şirketinizin Üst Düzey Yöneticilerine Geniş Kapsamlı KVKK Eğitimi Verilmesi
· Kişisel Veriye Temas Eden Yönetici ve Çalışanlarınıza Farkındalık Eğitimlerinin Verilmesi
· Eğitimlerin Belgelendirilmesi
· VERBİS Kaydınızın Yapılması ve Güncel Tutulması
· Kişisel Veri Envanteri Hazırlanması ve Güncel Tutulması
· Kişisel Veri Saklama ve İmha Politikası Hazırlanması
· Aydınlatma Metinlerinin, Açık Rıza Metinlerinin ve İhtiyaç Duyulan Diğer Formların Hazırlanması
· Kişisel Verilerin İşlenmesi ve Korunması Politikası Hazırlanması
· Gerekli Düzenlemelerin Yapılması ve Hukuki Görüş Bildirilmesi
· GAP Analizi Yapılarak Şirketinizin Teknik Anlamda Risk Durumun Belirlenmesi
· Penetrasyon-Sızma Testleri
· Veri Sorumluluğu Görev ve Tanımlarının Oluşturulması
· Şirketinizin Mevcut Doküman ve Sözleşme Formatlarının İncelenmesi ile Gerekli KVKK Maddelerinin Eklenmesi
· Müşteri, Tedarikçi ve Diğer Üçüncü Kişi Sözleşmelerinin KVKK Maddelerinin Düzenlenmesi
· Periyodik Toplantılarınıza Katılım Sağlayarak Hukuki ve Teknik Açıdan Durum Değerlendirmesi Yapılması
· İmha Edilecek Verilerin Tespiti
· Şirketin KVKK Mevzuatı ve Uygulamalarındaki Değişiklikler Hakkında Bilgilendirilmesi ve Gerekli Güncellemelerin Belirlenerek Aksiyon Oluşturulması
· Günlük İşleyiş ve Operasyonlarınızla İlgili Sorularınızın Cevaplandırılması
Deneyimli hukukçu ve teknik kadromuz ile KVKK kapsamında tüm bu yükümlülüklerinizi yerine getirebilmeniz için sizlere yardımcı olmaktan ve şirketinizin KVKK uyum sürecine katkıda bulunmaktan mutluluk duyarız.