Veriler ve kişisel verilerin güvenliğinde kritik önemde; KVKK-GDPR Hizmetleri ve Güvenliği

Dijital dönüşüm fırtınasının yaşandığı ‘Veri Çağı’nda, her ölçekteki işletmenin, kurumların ve kuruluşların sürdürülebilirliği için verilerin ve kişisel verilerin korunması, stratejik bir önem taşıyor. Kişisel verileri korumanın bir insan hakkı olarak kabul edildiği Veri Çağı’nda, işletmeler; verilerini ve müşterilerine, çalışanlarına, tedarikçilerine, iletişimde oldukları kişi ve kurumlara dair verileri ve kişisel verileri; etik, uyumlu, güvenli kullanma ve koruma konusunda hukuken de sorumlu.
Veriler ve kişisel verilerin güvenliğine yönelik gerekli idari ve teknik tedbirleri almak bir zorunluluk. İş gereklililiği ve yasal yaptırımların yanı sıra verileri ve kişisel verileri koruma, işletmelerin sürdürülebilirliği, marka değeri, ticari itibarları ve sermayelerini korumaları açısından da hayati önemde. Bu nedenle ‘KVKK-GDPR Hizmetleri ve Güvenliği’, işletmelerin siber güvenliğini sağlayabilme, itibarını, marka değerini ve operasyonlarını koruyabilmede kritik önem taşıyan adımlardan biri.
Bir gerçek kişiyi belirli veya belirlenebilir hale getiren bilgiler olarak tanımlanan kişisel veriler, kişinin sadece geçmişini ve bugününü değil, geleceğini de etkiliyor. Ulusal ve uluslararası boyutta kişisel verilerin korunması; ‘Özel Hayatın Gizliliği’ ile ‘Temel Hak ve Özgürlüklerin Korunması’ ilkeleriyle temelleniyor. Kişisel verilerin korunması, temel hak ve özgürlüklerin güvence altına alınmasında hem bireylere hem işletmelere, hem de kurumlara ve kuruluşlara en üst düzeyde koruma sağlayan araçlar.
Kişisel verilerin işlenmesi, hayatı kolaylaştırırken aynı zamanda kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasların belirlenmesini zorunlu hale getirdi. Bu konuda Avrupa’da en önemli yasal düzenleme; Avrupa Birliği’ne (AB) üye ülkelerde 25 Mayıs 2018’de yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (General Data Protection Regulation / GDPR) olarak öne çıkıyor.
Türkiye’de ise 2010’daki Anayasa değişikliğiyle kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak tanındı ve Anayasa ile koruma altına alındı. Bu gelişme, uluslararası bağlayıcı niteliğe sahip Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin iç hukuka dahil edilmesi ve 7 Nisan 2016’da 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesi gibi önemli adımların öncüsü oldu. Kanun’un yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Kurumu (KVKK) da kuruldu. Kanuna göre, bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendiriliyor. İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır bilgilendirme yapması gerekiyor. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.
Yapay Zeka ve Metaverse gibi teknolojilerle yeniden şekilleniyor: Kişisel verilerin korunmasının sürdürülebilirliği konusu, Yapay Zeka (Al), Büyük Veri (Big Data) ve Metaverse gibi yeni nesil teknolojilerin gelişmesi ile sürekli yeniden şekilleniyor. Bugün Türkiye’de yasal bir zorunluluk olan KVKK’nın yanı sıra özellikle Avrupa’ya ihracat yapan işletmeler içinse AB GDPR’ye uyum olmazsa olmazlardan.

Cezai yaptırımlara dikkat
Kişisel verileri işleyen gerçek ve tüzel kişiler, şirketler, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) başvurup kaydolmak zorunda. Bu yapılmazsa Kanun’un (KVKK) 18. maddesindeki yaptırımlar devreye girecek. Mevzuat, dijitalleşmedeki yeni gelişmelere göre güncellenmeye devam ediyor. Kanun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek veya tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlıyor.
Kanun, kişisel verileri işlenen gerçek kişilerle bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanıyor. Örneğin; müşterilerin, bayilerinin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi vb. diğer bilgilerini kaydeden ve işleyen şirketler bu kapsamda.
Kişisel verileri koruyamayan veya başkalarıyla paylaşanlara 1 milyon TL’ye kadar para cezası: Müşteri verilerini koruyamayan veya başkalarıyla paylaşan şirketleri, 5 bin TL’den-1 milyon TL’ye kadar değişen idari para cezaları bekliyor. Tam da bu nedenle ‘KVKK-GDPR Hizmetleri ve Güvenliği’ çözümleri işletmeler için stratejik önemde. KVKK Madde 17’e göre; kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. madde hükümleri uygulanır. Bu Kanunun 7. maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138. maddesine göre cezalandırılır. Madde 18’de ise şu ifade ediliyor: “10. maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir. Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.”

KVKK ve GDPR uyum süreci
Veri koruma mevzuatımız AB ile uyum sürecinde şekilleniyor. 2018’de yürürlüğe girmiş Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmelik GDPR (General Data Protection Regulation-Genel Veri Koruma Yönetmeliği), AB’ye üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin belirtilen kurallar çerçevesinde güvenliğini sağlamayı amaçlıyor ve AB sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsıyor. Şirketin konumu AB sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutuluyor. GDPR maddelerine uyum sağlamayan işletmeleri ciddi cezalar ve yaptırımlar bekliyor. Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde AB vatandaşlarının verisini işleyen gerçek ve tüzel kişilerin GDPR’ye ayrıca ve açıkça uyum sağlaması şartı sözkonusu. Dolayısıyla e-ticaret siteleri de bu kurallara uymak zorunda.

İşletmeler nelere dikkat etmeli?
• VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırılmalı: Sicile kayıt ve bildirim yükümlülüğü, VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsıyor.
• Faaliyet ana konusu kişisel veri işlemek olmayan ve istihdamı 50’den az olan  ve yıllık bilançosu toplam 25 milyon TL’den az olan KOBİ’ler kanun kapsamı dışındadır. Ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan yıllık çalışan sayısı 50’den az ve yıllık bilanço toplamı 25 milyon TL’den az olanlar ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyondan çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları VERBİS’e kayıt olmak zorundadır.
• İlginin açık rızası olmaksızın işlenmesi yasak özel veriler işlenmemeli: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
• İşletmeler, bir veri envanteri oluşturmalı, geçmişe dönük ağ sistemlerindeki yapılandırılmış / yapılandırılmamış tüm verileri tespit etmeli, kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmalı. Geçmişe dönük olmak üzere verisi saklanmak istenen tüm müşterilere ulaşmalı, hem çalışanları hem de müşterilerini veri işleme konusunda bilgilendirmeli ve rızalarını almalı. Kullanıcıdan kişisel verileri alınırken rıza gerektiren durumlarda rızaları basit bir sistemle ve kolay anlaşılır şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmelidir.
• Kullanıcılar, hangi verilerinin alındığına, nerelerde nasıl kullanıldığına, ne kadar süreyle tutulacağını bilme hakkına sahiptirler. Kullanıcılar kaydedilen verilerine erişim hakkına, verilerini güncelleme, silme veya unutulma hakkına sahiptir. Verileri üstünde kısıtlama da getirebilirler.
• Şirketler için ihlal bildirimleri zorunlu tutulmaktadır. Yönetmeliğe uyumlu olmayan veri işleyenlere yüksek miktarlarda ceza kesilebilir.
• İşletmeler, kurumlar ve kuruluşlar, KVKK ve veri güvenliği konusunda tüm siber güvenlik önlemlerini almalı. Tüm bilgi varlıklarının gizlilik, bütünlük ve erişebilirlik gibi güvenlik işlevlerini sağlayarak Bilgi Güvenliği Yönetim Sistemi (BGYS) standartlarında çalışmalı.
• Veri işleme sürecinin, AB sınırları içerisinde başlaması ya da yer alması halinde, ilgili hizmetin ifası coğrafi olarak başka bir bölgede olsa bile GDPR’ye uyumluluk şart.
• Veri işlemeyi sürdürülebilir hale getirmek için teknolojiler, politikalar, sistemler kullanmalı ve geliştirilmeli, belli dönemlerde değerlendirme, gözden geçirme ve iç denetim faaliyetleri gerçekleştirmeli. Belli aralıklarla sistemlerin güvenliğini, verilerin ve kişisel verilerin korunmasını sağlamak için iç denetimler, Penetrasyon (Sızma) Testi vb. çalışmalar yaptırmak ve elde edilen sonuçlar doğrultusunda önlemler alarak siber güvenliği sağlamak önemli.

Kişisel Verilerin Korunması Kanunu (KVKK) nedir?
Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016’da TBMM’de kabul edildikten sonra 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Yasa.

Kişisel veriler nelerdir?
Bir bireyin etnik kökeni, politik düşünceleri, dini  inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veriler olarak tanımlanıyor. Yalnızca bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal vs. özelliklerine ilişkin bilgiler de kişisel veri tanımına dahil ediliyor. KVKK’nın yanı sıra GDPR’de ayrıca hassas veri kavramı da bulunmaktadır.

Kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veriler:
• İsim, adres, kimlik, vergi, sosyal güvenlik, pasaport ve telefon numarası, motorlu taşıt plakası,
• Özgeçmiş, fotoğraf, resim, görüntü ve ses kayıtları,
• Konum, Ip adresi, cookie bilgileri v.b. internet verileri
• Fiziksel görünüme ait veriler ve biometrik veriler, parmak izleri, genetik veriler,
• Irk, köken bilgileri
• Siyasi görüş
• Tıbbı veriler gibi veriler.

GDPR nedir?
Avrupa Birliği’ne (AB) üye ülkelerde 25 Mayıs 2018’de yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (General Data Protection Regulation / GDPR), Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmeliktir.
AB’ye üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kurallar çerçevesinde güvenliğini sağlamayı konu edinen GDPR, AB sınırları içerisinde faaliyet gösteren, AB vatandaşlarının kişisel verilerini işleyen bütün işletmeleri bağlayıcıdır. AB üye ülkeleri GDPR’ı temel alarak kendi yerel yasalarında gerektiğinde daha ağır yaptırımlar ya da katı uygulamaları devreye alabilir. Bu yönden GDPR, kişisel verilerin işlenmesiyle ilgili asgari müşterek düzenleme.
Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açıkça onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahip olmaktadır. GDPR geçmişte saklanmış verileri de kapsamaktadır. GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar bekliyor.

‘KVKK-GDPR Hizmetleri ve Güvenliği’nde öne çıkan teknolojiler, hizmetler
Yapay Zeka, Metaverse, Avatarlar, Dijital İkizler, Büyük Veri (Big Data), Nesnelerin İnterneti (IoT); Endüstriyel Nesnelerin İnterneti (IIoT), Giyilebilir Teknolojiler, Siber Güvenlik, İş Analitiği, Cihaz Kurulumu ve Konfigürasyonu, Sensörler, Yetki Matrisi / Yetki Kontrol Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği / Ağ Erişim Kontrolü (NAC), Veri Maskeleme ve Şifreleme / Veri Kaybı Önleme (DLP) Yazılımları / Veri Sızıntısı Önleme (DLP) Testi / Veri Sınıflandırma, Logging ve Monitoring, Masaüstü ve Sunucu Yedekleme / Sunucu Oturumu Kaydı, Uygulama Güvenliği / E-Posta Güvenliği Testi / Güvenlik Duvarları / Güncel Anti-Virüs Sistemleri, Şifreleme / Şifreleme Testi, Penetrasyon (Sızma) Testi, Saldırı Tespit ve Önleme Sistemleri, Web Güvenliği ve ADC Testleri, Log Kayıtları / Log ve SIEM Teknolojileri Testi, Yedekleme, Veri Silme, Yok Etme veya Anonim Hale Getirme / Veri Silme ve Yok Etme Testi / Veri Tabanı Güvenliği Testi, Zaman Damgası Testi, Anahtar Yönetimi, İdari Tedbirler, Kişisel Veri İşleme Envanteri / Kişisel Veri Tespit Testi, Tokenizasyon Testi, KVKK Modülü, KVKK Uyumluluk Testi, Mobil Cihaz Yönetimi (MDM) Ürünleri,  Yetki ve Erişim Denetim Ürünleri, Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.), Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında), Gizlilik Taahhütnameleri, Kurum İçi Periyodik ve / veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi), Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.), Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun), VERBİS’e Bildirim, VERBİS Kayıt Süreci Yönetimi, Zorunlu KVKK Eğitimi, Denetim Hizmetleri, KVKK Danışmanlığı, KVKK Uyum Danışmanlığı, KVKK-GDPR Uyum Danışmanlığı, KVKK-GDPR Hizmetleri, E-Ticaret Çözümleri, Tedarik Zinciri Yönetimi.