Veri çağında, şirketler verilerinin ve kişisel verilerin güvenliğinden sorumlu: KVKK ve veri güvenliği

Müşteri verilerini koruyamayan veya başkalarıyla paylaşan şirketleri 1 milyon TL’ye kadar para cezası bekliyor. Dijital dönüşüm, Pandemi ile birlikte hızla ivmeleniyor; uzmanlar 2021’de dijital dönüşümün beklenenden 6 yıl sonrasına ulaşarak sıçrama yaptığını belirtiyor.
Dijital dönüşüm döneminin altını ise ‘veri.’ Fütüristler, yaşadığımız dönemde Veri Çağı’na girdiğimizi, ekonomiyi ise Veri Ekonomisi’nin yönlendireceğini söylüyor.
Bu nedenle bir şirketin veri güvenliği ve kişisel verileri koruması artık hayati önemde. Veri korumanın bir insan hakkı olarak görüldüğü Veri Çağı’nda, işletmelerin verileri etik, uyumlu ve güvenli bir şekilde kullanma konusunda her zamankinden daha fazla sorumluluğu bulunuyor. İş gerekliliklerini yerine getirmenin yanı sıra veri koruma, işletmenin sürdürülebilirliği ve marka değerini, ticari itibarını koruması açısından da çok önemli.

KVKK süreci
Türkiye’de kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Kişisel Verilerin Korunması Kanunu (KVKK) çıkarıldı.
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde TBMM’de (Türkiye Büyük Millet Meclisi) kabul edildi; 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlandı; tanınan uyum süresi de 31.12.2019’da sona erdi; kanundan doğan sorumluluklar ve haklar başladı. Şirketlerin, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) başvurup kayıt olmaları gerekiyor.
Kişisel Verileri Koruma Kurumu (KVKK), Covid-19 Salgını (Pandemi) nedeniyle VERBİS’e kayıt yaptıramayan işletmeler için sürenin uzatıldığını duyurmuştu. Kurum, Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulu’nun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı doğrultusunda VERBİS’e kayıt tarihleri uzatıldığını açıklamıştı. İlgili karar 31166 Sayılı 25/06/2020 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmişti. Ana faaliyet konusu kişisel veri işleme olan KOBİ’lerin VERBİS’e kayıt süresi 31 Mart 2021’e kadar uzatıldı.

Açıklamada;
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
• Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine kadar uzatılmasına, anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına oybirliği ile karar verildiği ifade ediliyor.
*Bilgi için: www.kvkk.gov.tr

KVKK ve veri güvenliğinde işletmele nelere dikkat etmeli?
• VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırılmalı: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorunda.
• Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu (KVKK) gözetiminde Başkanlık tarafından kamuya açık tutuluyor. Bu amaçla oluşturulan ve kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi’ne, kayıt yükümlülüğü kapsamındaki veri sorumlularınca işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapılması gerekiyor.
• Sicile kayıt ve bildirim yükümlülüğü, süresinde VERBİS’e kayıt olunmasının yanısıra VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsıyor.
• Kanunun 18’inci maddesinde öngörülen yaptırımlarla karşılaşmamak için Kurul tarafından belirlenen süre içerisinde kayıt yaptırmak şart.
• Faaliyet ana konusu kişisel veri işlemek olmayan ve istihdamı 50’den az olan KOBİ’ler kanun kapsamı dışındadır.
• İlginin açık rızası olmaksızın işlenmesi yasak özel veriler işlenmemeli: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
• İşletmeler, kurum ve kuruluşlar, KVKK ve veri güvenliği konusunda tüm siber güvenlik önlemlerini almalı.

KVKK uyum sürecini kolaylaştıran hizmetler ve veri güvenliğini sağlayan teknolojiler
• Yapay zeka
• Siber güvenlik
• Büyük Veri (Big Data) ve İş Analitiği
• Sensörler
• Yetki Matrisi
• Yetki Kontrol Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği
• Ağ Erişim Kontrolü (NAC)
• Veri Maskeleme ve Şifreleme
• Veri Kaybı Önleme (DLP) Yazılımları
• Veri Sızıntısı Önleme (DLP) Testi
• Veri Sınıflandırma, Logging ve Monitoring
• Masaüstü ve Sunucu Yedekleme
• Sunucu Oturumu Kaydı
• Uygulama Güvenliği
• Şifreleme
• Şifreleme Testi
• Sızma Testi
• E-Posta Güvenliği Testi
• Saldırı Tespit ve Önleme Sistemleri
• Web Güvenliği ve ADC Testleri
• Log Kayıtları
• Log ve SIEM Teknolojileri Testi
• Yedekleme
• Güvenlik Duvarları
• Güncel Anti-Virüs Sistemleri
• Veri Silme, Yok Etme veya Anonim Hale Getirme
• Veri Silme ve Yok Etme Testi
• Veri Tabanı Güvenliği Testi
• Zaman Damgası Testi
• Anahtar Yönetimi
• İdari Tedbirler
• Kişisel Veri İşleme Envanteri
• Kişisel Veri Tespit Testi
• Tokenizasyon Testi
• KVKK Modülü
• KVKK Uyumluluk Testi
• Mobil Cihaz Yönetimi (MDM) Ürünleri
• Yetki ve Erişim Denetim Ürünleri
• Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
• Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
• Gizlilik Taahhütnameleri
• Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi
• Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
• Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
• Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
• Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) Bildirim
• Zorunlu KVKK Eğitimi
• Denetim Hizmetleri
• KVKK Danışmanlığı
• KVKK Uyum Danışmanlığı
• VERBİS Kayıt Süreci Yönetimi
• Cihaz Kurulumu ve Konfigürasyonu

KVKK sürecine uymayan firmalara uygulanacak yaptırım ve cezalar
Suçlar: Kanun’un ‘Suçlar’ başlıklı 17. Maddesi’ne göre; “Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun (TCK) 135 ila 140’ıncı madde hükümleri uygulanır. Bu Kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138’inci maddesine göre cezalandırılır” deniliyor.
Kabahatler: Kanun’un ‘Kabahatler’ başlıklı 18. Maddesi ise şöyle:
“Bu Kanunun;
a) 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15’inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.”

KVKK ve GDPR uyum süreci
Veri koruma mevzuatımız Avrupa Birliği (AB) ile uyum sürecinde şekilleniyor. Avrupa genelinde Avrupa Birliği (AB) vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmelik izleniyor. 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği’ne üye ülkelerde yürütmeliğe giren GDPR (General Data Protection Regulation-Genel Veri Koruma Yönetmeliği), Avrupa Birliği’ne üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kurallar çerçevesinde güvenliğini sağlamaya ilişkindir. GDPR, AB sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsar. Şirketin konumu Avrupa Birliği sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutulmaktadır.
Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahiptir. Geçmişte saklanmış verileri de kapsayan GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar beklemektedir.
Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde AB vatandaşlarının verisini işleyen gerçek ve tüzel kişilerin GDPR’ye ayrıca ve açıkça uyum sağlaması şartı sözkonusu.
Uluslararası Yatırımcılar Derneği’nin (YASED) online etkinlik serisi YASED INSIGHTS’ta telekonferans yöntemiyle katılan Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof.Dr. Faruk Bilir, kişisel veri işlemenin ve paylaşmanın veri temelli ekonomi çerçevesinde önem kazandığını belirterek, “Kişisel veri koruma mevzuatı, bu konuda belli usul ve esasları düzenledi” dedi.
Özellikle kişisel verilerin yurtdışına aktarımı hususunda Kurum ve YASED’in birlikte çalışmalar yürüttüğünü kaydeden Bilir, ““6698 sayılı Kanun ile Avrupa Genel Veri Koruma Tüzüğü’ne (GDPR) uyum konusunda çalışmalar devam ediyor. Sektör temsilcilerinin kişisel verilerin korunması mevzuatı açısından iletilen soru ve sorunlar noktasında sürekli bir işbirliği içerisinde hareket ederek çözüme ulaşılabilir” diye konuştu. Toplantıda yurtdışına veri aktarımında taahhütnamelerin çerçevesinin önemli olduğuna da dikkat çekildi.
Kurum; yurt dışına veri aktarımı, VERBİS, rehber ve farkındalık çalışmaları başta olmak üzere kişisel verilerin korunması hususunda; biyometrik ve genetik veriler, sektörel bazda iyi uygulama örnekleri, çerezler, davranış kuralları, sertifikasyon, güvenli ülke ve KVKK-GDPR uyum çalışmaları gibi birçok çalışmaya imza atıyor.
Kişisel veriler şunlardır:
• İsim, adres, kimlik numarası
• Konum, Ip adresi, cookie bilgileri vb. internet verileri
• Fiziksel görünüme ait veriler ve biyometrik veriler
• Irk köken bilgileri
• Siyasi görüş
• Tıbbi veriler vb.

Kullanıcı profili oluşturan forum siteleri, ürün satışı yapıp kullanıcı verileri kaydeden e-ticaret siteleri, yorum yapma izni veren wordpress sitesi vb. siteler GDPR’dan etkilenmektedir.
Püf noktaları:
• AB sınırları içerisinde yaşayan bireylerin verilerini işleyen şirketlerin nerde bulunduğu önemli değildir. AB’ye üye ülkelerin vatandaşlarının verilerini işleyen tüm işletmeler konumu ne olursa olsun bu yönetmelikten sorumludur.
• Yönetmeliğe uyumlu olmayan siteler için yüksek miktarlarda ceza kesilebilir.
• Kullanıcıdan kişisel verileri alınırken basit bir sistemle ve kolay anlaşılır bir şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmelidir.
• Şirketler için ihlal bildirimleri zorunlu tutulmaktadır.
• Kullanıcıların hangi verilerinin alındığına, nerelerde nasıl kullanıldığını, ne kadar süreyle tutulacağını bilme hakkına sahiptirler.
• Kullanıcılar kaydedilen verileri erişim hakkına ve verilerini güncelleme hakkına veya silme hakkına sahiptir. Veriler üstünde kısıtlama da getirebilirler.

Unutulma Hakkı
Unutulma hakkı; “Bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep etme hakkı” olarak tanımlanıyor. Bu talepler, yanlış bilgilerin düzeltilmesine ilişkin taleplerden farklı. Kişisel Verileri Koruma Kurulu’nun unutulma hakkına ilişkin değerlendirmesinde; kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testinin yapılmasını ve yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi gerektiği ifade ediliyor. Kurul, unutulma hakkı konusunda kriterler de yayınladı.

Kişisel veri nedir?
Kanuna göre “kişisel veri”nin tanımı şöyle: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.”
Kanunun amacı ve kapsamı Kanunun amacı: Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanunun kapsamı: Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Örneğin; müşterilerin, bayilerinin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini kaydeden ve işleyen şirketler bu kapsamdadır.