Son günlerde popülaritesi gittikçe artan bir konu olan ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’ (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı resmî gazetede yayımlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması, temel insan haklarından biri olan özel hayatın gizliliğini korumak için yürürlüğe girmiş bir kanundur. Bu kanun ile kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir. Avrupa birliğine uyum kapsamında hazırlanan bu kanunun detaylarını incelemeye kalktığınızda Avrupa Birliği içerisinde faaliyet gösteren GDPR (General data protection regulation) regülasyonuna çok benzediğini göreceksiniz.

Bu yazı dizimizde veri güvenliğinin sağlanması, yedeklenmesi ve veri sızıntısının önlenmesi gibi BT tarafında alınabilecek teknik tedbirlerden bahsedeceğiz. Fakat öncesinde gelin Kişisel Verileri Koruma Kanunu hakkındaki önemli noktalara kısaca bir göz atalım.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’ nun Amacı Nedir?

Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Bu Kanun uygulamasında, Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır.

KVKK kurulunun web sitesini ziyaret ettiğinizde hemen hemen her gün kurumların veri ihlali gerekçesiyle cezalar yediğini ve akabinde de kurulun kararlarını görebilirsiniz ;

https://kvkk.gov.tr/Icerik/5419/Kurul-Kararlari

KVKK Kanunu Kimleri Kapsamaktadır?

Bu Kanun kapsamında 3 muhatap vardır.

• Gerçek Kişi
• Veri Sorumlusu
• Verileri işleyen gerçek veya tüzel kişiler

Gerçek kişi; kişisel verileri işlenen gerçek kişiler

Veri Sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir.

Görevi:

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
• Kişisel verilerin muhafazasını sağlamak

Veri işleyen; veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.

Kurulca alınan ve 18.08.2018 tarihli Resmî Gazete’ de yayımlanan 2018/88 sayılı kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir:

• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 – 31.12.2021
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 – 31.12.2021
• Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 – 31.12.2021, tarihleri arasında Sicile kayıt olmak zorundadır.

Kişisel Veri Nedir?

Kişisel veri, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.  Telefon numarası, doğum tarihi, kimlik numarası, iş adresi, unvanı, sağlık bilgileri gibi kişiyi direkt olarak ya da dolaylı yoldan belirlenebilir kılan her tür bilgi, kişisel veri kapsamında sayılmaktadır.

KVKK Kapsamında Alınması Gereken Teknik Tedbirler

Peki, Firmalar bu cezai yaptırımlara hazır mı ? Ne gibi önlemler alacaklarını biliyorlar mı ?

KVKK kapsamında, kişisel verilerin hukuka aykırı bir şekilde işlenmesinin ve amaç dışı kullanımının önüne geçilmesi adına kurumların teknolojik çözümlerden de yararlanması gerekmektedir.

Solid Bilişim Teknolojileri olarak BT tarafındaki teknik süreçlerini yakından takip ederken, KVKK’ nın hukuk bacağını görmezden gelmiyoruz ve bu alanı avukatlarınıza mutlaka danışmanızı önemle belirtmek isteriz.

KVKK kurumunun açıkladığı rehberde veri sorumluları tarafından alınabilecek teknik tedbirler listesi paylaşılmış;

Yaklaşık 10 yıldır siber güvenlik alanında ki tecrübelerimiz ile sizlere bir yandan KVKK kapsamınca belirtilen teknik tedbirleri detayları ile anlatmaya çalışırken, aynı zamanda bu tedbirlerin BT tarafındaki süreçleri ile ilgili bilgilerini ve uygulamalarını örneklerle aktarmaya çalışacağız.