Veriler ve kişisel verilerin korunması için gerekli yazılım ve teknolojiler; KVKK-GDPR Hizmetleri ve Güvenliği

Günümüzde kişisel verilerin güvenliği yasalarla sağlanıyor. Veri Çağı’nda, şirketler, verilerini ve müşterilerine, çalışanlarına, tedarikçilerine, iletişimde oldukları kişi ve kurumlara dair verileri ve kişisel verileri; etik, uyumlu, güvenli kullanma ve koruma konusunda hukuken de sorumlu. Veriler ve kişisel verilerin güvenliğine yönelik gerekli idari ve teknik tedbirleri almak bir zorunluluk. İş gereklililiği ve yasal yaptırımların yanı sıra verileri ve kişisel verileri koruma, işletmelerin marka değeri, ticari itibarları, sermayelerini korumaları ve sürdürülebilirliği açısından da olmazsa olmazlar arasında. Türkiye’de şirketler, kişisel verileri KVKK (Kişisel Verilerin Korunması Kanunu), Avrupa’da ise GDPR’ye (General Data Protection Regulation- Genel Veri Koruma Yönetmeliği) uyumlu teknolojilerle korumakla yükümlü. Şirketlerin ve kişilerin ticari itibarlarını, marka değerlerini, operasyonlarını ve sermayelerini koruyan, siber güvenliğini sağlayan yazılım ve teknolojileri içeren ‘KVKK-GDPR Hizmetleri ve Güvenliği’ onları sürdürülebilir geleceğe taşıyor. Kanuna uygun hareket etmeyenleri, kişisel verileri koruyamayan veya başkalarıyla paylaşanları, 20 bin TL’den-1 milyon TL’ye kadar değişen idari para cezaları bekliyor. Tam da bu nedenle ‘KVKK-GDPR Hizmetleri ve Güvenliği’ çözümleri işletmeler için stratejik önemde.
Bir gerçek kişiyi belirli veya belirlenebilir hale getiren bilgiler olarak tanımlanan kişisel veriler, kişinin sadece geçmişini ve bugününü değil, geleceğini de etkiliyor. Ulusal ve uluslararası boyutta kişisel verilerin korunması; ‘Özel Hayatın Gizliliği’ ile ‘Temel Hak ve Özgürlüklerin Korunması’ ilkeleriyle temelleniyor. Kişisel verilerin korunmasının sürdürülebilirliği konusu, Yapay Zeka (Al) teknolojilerinin gelişmesiyle sürekli yeniden şekilleniyor. Türkiye’deki büyük ölçekli şirketlerden KOBİ’lere her ölçekteki şirket, kurum, kuruluş, işletme ve organizasyon ve bireyler için kişisel verileri koruma noktasında KVKK yasal zorunluluklar getirirken; Avrupa Birliği’ne (AB) üye ülkelere ihracat yapan veya ihracat yapmayı hedefleyenler için GDPR’ye uyum şart.

KVKK’da yeni süreç başlıyor
“Şirketler KVKK’daki yeni süreci bir an önce içselleştirmeli”: Son dönemde KVKK’da önemli değişikliklere imza atıldı ve AB’de yürürlükte olan GDPR ile uyumlu olan bir sisteme geçildi. Yeni düzenlemeyle global firmaların, Türkiye içerisinde bir veri merkezi açması ve kullanıcı verilerini Türkiye’de depolaması zorunluluğu ortadan kalkmış oldu. Belirli yeterliliklerin karşılandığı ve kullanıcı rızası alındığı sürece, global şirketler, verileri kendi ülkesinde de barındırabilecek. Özetle; yeni KVKK düzenlemesiyle küresel şirketler verileri Türkiye dışında da işleyebilecek. Ayrıca sağlık ve özel hayat gibi kişisel veriler dışında da açık rıza aranmayacak.
Timus Türkiye Ülke Müdürü Artuğ Tikiç, şirketlerin bu esaslı değişiklikleri bir an önce içselleştirerek, gereken adımları hızla atmaları gerektiğinin altını çizdi. Tikiç, KVKK uyumluluğu sağlamak isteyen firmaların tek kutuda tam çözüm sağlayan firewall cihazları kullanmasının önemine de değindi.
Açık rıza aranmayacak: Yeni düzenlemedeki önemli bir değişiklikle birlikte; sağlık ve cinsel sağlık dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecek. Sağlık ve cinsel sağlığa ilişkin kişisel verilerse ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecek. Yeni düzenlemeyle birlikte şirketler açısından kişisel verilerin korunması adına siber güvenlik tedbirleri de büyük önem arz ediyor.
“Açık rıza güncellemesini bir an önce yapmalılar”: Tikiç, yeni KVKK’ya uyum sağlanması için öncelikli olarak verilerden sorumlu kişi/kurumların ve veri işleyenlerin, değişiklikleri bir an önce içselleştirmesi, metinlerin ve aksiyonların yeni düzenlemelere göre tekrar kurgulanması gerektiğini söyledi. Tikiç, “Özellikle açık rıza ile ilgili yeni kurgular benimsendiği için tüm süreçler bu bakış açısıyla gözden geçirilmeli. Gereken değişiklikler de vakit kaybedilmeden hızlıca yapılmalı’’ dedi.

KVKK nedir?
Türkiye’de 2016’da yürürlüğe giren 6698 Sayılı KVKK (Kişisel Verilerin Korunması Kanunu), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlıyor. Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanıyor. Örneğin; müşterilerinin, bayilerinin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi vb. diğer bilgilerini kaydeden ve işleyen şirketler bu kapsamda.

Cezai yaptırımlara dikkat!
Kişisel verileri işleyen gerçek ve tüzel kişiler, şirketler, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) başvurup kaydolmak zorunda. Bu yapılmazsa KVKK’daki yaptırımlar devreye giriyor. Mevzuat, yeni gelişmelere göre güncellenmeye devam ediyor. KVKK’ya göre; öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanıyor.
KVKK’nın;
• 10. maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
• 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

GDPR nedir?
GDPR (General Data Protection Regulation-Genel Veri Koruma Yönetmeliği), Avrupa Birliği’nde ikamet eden kişilerin kişisel verilerinin korunmasını sağlamak için 2018’de yürürlüğe giren bir yönetmeliktir. Bir tanıma göre; “GDPR, kuruluşları kişisel veri kullanma biçimlerine ilişkin sorumlu tutarak, bireyin gizlilik hakkını yükseltiyor ve müşterinin güvenini tazeliyor.” Bir diğer tanımsa şöyle: “Avrupa Birliği Genel Veri Koruma Tüzüğü, Avrupa Birliği (AB) hukukunda, tüm AB ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir tüzüktür.”
Kişisel verilerin işlenmesiyle ilgili asgari müşterek bir düzenleme olan GDPR, Avrupa Birliği (AB) sınırları içerisinde faaliyet gösteren, AB vatandaşlarının kişisel verilerini işleyen bütün işletmeleri bağlayıcıyıdır. AB üye ülkeleri GDPR’ı temel alarak kendi yerel yasalarında gerektiğinde daha ağır yaptırımlar ya da katı uygulamaları devreye alabiliyor. GDPR’ye göre; hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açıkça onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahiptir. GDPR geçmişte saklanmış verileri de kapsıyor. GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar bekliyor.

GDPR’de dikkat edilmesi gerekenler
• Veri işleme sürecinin, AB sınırları içerisinde başlaması ya da yer alması halinde, ilgili hizmetin ifası coğrafi olarak başka bir bölgede olsa bile GDPR’ye uyumluluk gerekiyor.
• Yönetmeliğe uyumlu olmayan veri işleyenlere yüksek miktarlarda ceza kesilebiliyor.
• Kullanıcıdan kişisel verileri alınırken rıza gerektiren durumlarda rızaları basit bir sistemle ve kolay anlaşılır şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmeli.
• Şirketler için ihlal bildirimleri zorunlu tutuluyor.
• Kullanıcılar; hangi verilerinin alındığını, nerelerde nasıl kullanıldığını, ne kadar süreyle tutulacağını bilme hakkına, kaydedilen verilere erişim hakkına, verilerini güncelleme hakkına veya silme & unutulma hakkına sahip. Verileri üstünde kısıtlama da getirebiliyorlar.

‘KVKK-GDPR Hizmetleri ve Güvenliği’nde öne çıkan teknolojiler, hizmetler
Yapay Zeka ve Teknolojileri, Makine Öğrenimi (ML), Büyük Veri (Big Data), Nesnelerin İnterneti (IoT); Endüstriyel Nesnelerin İnterneti (IIoT), Giyilebilir Teknolojiler, KVKK Modülü, KVKK Uyumluluk Testi, VERBİS’e Bildirim, VERBİS Kayıt Süreci Yönetimi, Zorunlu KVKK Eğitimi, Denetim Hizmetleri, KVKK Danışmanlığı, KVKK Uyum Danışmanlığı, KVKK-GDPR Uyum Danışmanlığı, KVKK-GDPR Hizmetleri, Siber Güvenlik, Metaverse, Avatarlar, Dijital İkizler, Cihaz Kurulumu ve Konfigürasyonu, Sensörler, Yetki Matrisi / Yetki Kontrol Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği / Ağ Erişim Kontrolü (NAC), Veri Maskeleme ve Şifreleme / Veri Kaybı Önleme (DLP) Yazılımları / Veri Sızıntısı Önleme (DLP) Testi / Veri Sınıflandırma, Logging ve Monitoring, Masaüstü ve Sunucu Yedekleme / Sunucu Oturumu Kaydı, Uygulama Güvenliği / E-Posta Güvenliği Testi / Güvenlik Duvarları / Güncel Anti-Virüs Sistemleri, Şifreleme / Şifreleme Testi, Penetrasyon (Sızma) Testi, Saldırı Tespit ve Önleme Sistemleri, Web Güvenliği ve ADC Testleri, Log Kayıtları / Log ve SIEM Teknolojileri Testi, Yedekleme, Veri Silme, Yok Etme veya Anonim Hale Getirme / Veri Silme ve Yok Etme Testi / Veri Tabanı Güvenliği Testi, Zaman Damgası Testi, Anahtar Yönetimi, İdari Tedbirler, Kişisel Veri İşleme Envanteri / Kişisel Veri Tespit Testi, Tokenizasyon Testi, Mobil Cihaz Yönetimi (MDM) Ürünleri,  Yetki ve Erişim Denetim Ürünleri, İş Analitiği, Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.), Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında), Gizlilik Taahhütnameleri, Kurum İçi Periyodik ve / veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi), Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.), Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun), E-Ticaret Çözümleri, Tedarik Zinciri Yönetimi.

Kişisel veriler nelerdir?
Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veriler olarak tanımlanıyor. Yalnızca bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal vs. özelliklerine ilişkin bilgiler de kişisel veri tanımına dahil ediliyor. KVKK’nın yanı sıra GDPR’de ayrıca hassas veri kavramı da bulunuyor.

Kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veriler:
• İsim, adres, kimlik, vergi, sosyal güvenlik, pasaport ve telefon numarası, motorlu taşıt plakası,
• Özgeçmiş, fotoğraf, resim, görüntü ve ses kayıtları,
• Konum, Ip adresi, cookie bilgileri v.b. internet verileri
• Fiziksel görünüme ait veriler ve biometrik veriler, parmak izleri, genetik veriler,
• Irk, köken bilgileri
• Siyasi görüş
• Tıbbı veriler gibi veriler.

KVKK-GDPR Hizmetleri ve Güvenliği’nde yükselen trendler
Yapay Zeka (AI) ve Makine Öğrenimi (ML). Biyometrik Tanıma Teknolojileri. Veri Anonimleştirme ve Pseudonymization (Sahte Adlandırma). Blockchain Teknolojisi. Veri Şeffaflığı Araçları. Veri Güvenliği Çözümleri. Veri Sahiplerine Daha Fazla Kontrol Sağlayan Araçlar. Veri Koruma Otomasyonu. Veri Konumlama ve Bulut Güvenliği. Veri Silme ve İhlal Bildirimi Araçları. Veri Minimalizasyonu ve İşlemekten Kaçınma. Kişisel Veri İhlali Uyarı Sistemleri. Kişisel Veri Yönetimi Platformları. Açık Kaynaklı Güvenlik Araçları. Gizlilik Odaklı Tasarım (Privacy by Design). Gizlilik İçin Veri Analitiği (Privacy-Preserving Data Analytics). IoT (Nesnelerin İnterneti) Güvenliği. Kuantum Güvenliği. Federasyonel Öğrenme (Federated Learning). Dijital Kimlik Yönetimi. Uç Nokta Güvenliği Çözümleri. Uygulama Güvenliği ve Denetimleri. Mobil Cihaz Güvenliği. Güvenlik Eğitimi ve Farkındalık Programları.