Kişisel Verileri Koruma Kanunu (KVKK) kapsamında firmalar ve kurumlar her bir aykırılık için bir milyon TL’ye kadar ceza alabiliyor. 2019’da firmalara 14 milyon TL ceza kesildi.
Özbay ve Okumuş Hukuk Bürosu’ndan Enes Okumuş ve Fatih Ermiş “Türkıye’de Kişisel Verilerin Korunması Rejimi” başlıklı bir makale kaleme aldı. Makale de kişisel verilerin korunması konusundaki kanuni düzenlemeden firmaların yapmaları gerekenlere, firmalara kesilen cezalardan düzenlemenin tüm ayrıntılarına kadar birçok konu ele alındı.
Yeni teknolojileri ve özellikle dijital çağın da etkisiyle işleme tabi tutulan, üretilen ve internet trafiğinde yer alan veri boyutu her geçen gün artıyor. Firmalar, gerek karar alım süreçlerinde, gerekse de operasyonel süreçlerinde verilerden faydalanıyor. Hatta şirketler bu süreçleri doğrudan verilerden çıkardığı anlamlı sonuçlar üzerine kurguluyor. Kişiselleştirilmiş reklam ve pazarlama süreçlerinde kişisel verilerinin yorumlanması, biyobankalar ve DNA bankalarının sağlık sektöründe tanı ve tedavi amaçlı kullanılmasını bu süreçlere örnek olarak gösterebilir.
Türkiye’de de Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da Resmi Gazete’de yayınlanarak yürürlüğe girdi. Kanun’un uygulanmasındaki pürüzleri ortadan kaldıran ve gerektiğinde yaptırımlar uygulayan Kişisel Verilerin Korunması Kurumu’nun bağımsız bir idari otorite olarak kurulmasıyla bu trend karşılık buldu. Her yılın 28 Ocak tarihi tüm dünyada olduğu gibi ülkemizde de Veri Koruma Günü olarak kutlanıyor.
Verileri Korumak Nedir Ve Veriler İşlenir?
Kişisel veri, Kanun’da “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde oldukça geniş kapsamlı tanımlandı. Kanunda kişisel veri kabul edilen tanımlamalar şu şekilde sıralanabilir;
- Bir kişinin ad, soyadı gibi kimlik bilgileri
- E-posta, telefon numarası gibi iletişim bilgileri
- Sağlık bilgileri, parmak izi, retina gibi biyometrik verileri
- DNA gibi genetik verileri
- Gelir durumu gibi finansal verileri
- IP adresi
Bu verilerin ilk elde edilmesinden yok edilmesine kadar gerçekleştirilecek tüm işlemler (elde etme, görüntüleme, sınıflandırma, depolama, yedeğe alma..) Kanun kapsamında “veri işleme faaliyeti“ olarak kabul edildi. Verileri işleme tabi tutanlar, Kanun ile ilgili ikincil düzenlemeler ve Kurum kararlarına uyumluluğunu gözden geçirmelidir.
Kişisel Verileri İşlemeden Kimler Sorumlu?
Verilerin işlenme yöntem ve amaçlarındaki karar merci olan “veri sorumluları” Kanun’a uyum süreçlerinde ve yükümlülüklerin yerine getirilmesinden asli sorumlu. Şirket ve kurumlar personellerine ilişkin özlük bilgilerini İş Mevzuatı gereği kaydeder. Ayrıca aynı şekilde fatura ve finansal kayıtlar Ticaret Mevzuatı gereği saklanır. Birçok firma ve kurum, verileri e-posta ve cloud servisleri alarak depoluyor. Dolayısıyla, firma ve kurumlar yasal zorunluluklar gereği ve teknolojik gelişmeler ışığında her halükarda kişisel veri işlediği için Kanun kapsamında “veri sorumlusu” olarak kabul edilecek.
Veri sorumlularının yükümlülükleri Kanun ve regülasyonlarla detaylı bir şekilde ortaya konuldu. Veri sorumlusu firma ve kurumların bu yükümlülükleri dikkate almaması durumunda hapis cezalarından, yüksek miktarda idari para cezalarına maruz kalma riski bulunacak.
Veri Sahiplerinin Bilgilendirilmesi: Kişisel verisi işlenen veri sahiplerinin hangi kişisel verilerinin hangi amaçlarla işlendiği, bu verilerin nasıl elde edildiği, kimlere aktarıldığı, haklarının neler olduğu konularında mutlaka yazılı olarak bilgilendirilmesi gerekir. Kurulan internet sitelerinde gizlilik politikaları yer alır. Bu politikalarda internet sitesi ziyaretçilerinin IP adresi, konum gibi işlenen kişisel verilerine yönelik bilgilendirme metni bulunur.
Veri Sahiplerinin Başvurularına Yanıt Verilmesi: Şirketler, kişisel verileri işlenen bireylerin talep ve şikayetlerini iletebileceği mekanizmaları oluşturur. Örneğin başvuru formu, iletişim hattı gibi alanlar kurulur. Oluşturulan bu mekanizmalar aracılığıyla gelen başvuruları da tatmin edici şekilde cevaplandırılır.
Veri Sorumluları Siciline (“VERBİS”) Kayıt ve Bildirim: Yıllık çalışan sayıları 50’den fazla olan veya yıllık mali bilançoları 25 milyon TL’den fazla olan veri sorumluları Kurum’un resmi internet sitesinde oluşturduğu VERBİS sistemine kayıt edilir. Bu kayıt ile işlenen kişisel verileri, veri sahiplerini, alınan güvenlik tedbirleri işaretlenir. Bu işaretlemeler kategorik olarak bildirmelidir.
Veri Güvenliği Ve Yönetimi Nasıl Sağlanır?
Kişisel veriler dijital ve/veya fiziki ortamlarda saklanabilmekte olup, firmalarca bu verilerin güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirler alınmalıdır. Bu tedbirleri şu şekilde sıralayabiliriz;
- Teknik tedbirler
- Ağ güvenliğinin sağlanması
- Periyodik sızma ve penetrasyon testlerinin uygulanması
- Veri maskeleme
- Yedekleme
- Şirket politikalarının oluşturulması
- Bilgi güvenliği, veri saklama ve imha
- Veri transfer politikalarının hazırlanması
Kişisel Verileri Koruma Kurumu firmalar ve kurumlar hakkında 2017 yılında incelemelere başladı. BU tarihten itibaren uygulanan idari para cezaları incelendiğinde büyük bir çoğunluğunun veri güvenliğine ilişkin yeterli önlemlerin alınmamasından kaynaklandığı gözlemlendi. Örneğin Facebook’un aldığı 1.6 milyon TL’lik cezada Facebook’un farklı özelliklerinin birbiriyle etkileşimi sonucu meydana gelen güvenlik açığı nedeniyle kesildi. Bu açıktan faydalanan siber saldırganlar erişim jetonlarını kullanarak hesap bilgilerini ele geçirmişti.
Kişisel Verileri Koruma Kanunu Uyum Süreçleri
Şirket ve kurumların Kanun’a ve ilgili regülasyonlara uyumlu hale gelmesi gerekiyor. Böylece uyum süreçlerinin yürütülmesi önemli bir hal alıyor. Bu kapsamda şu çalışmalar yapılmalı;
- Kişisel veri haritasının çıkarılmalı
- Veri işleme faaliyetlerinin hukuka uygunluk değerlendirmelerinin yapılmalı
- Veri sahibi başvuru süreçlerinin yönetilmeli
- Veri açığı acil durum planının hazırlanmalı
- İdari ve teknik tedbirlerin hayata geçirilmeli
- Uzmanlaşmış yasal danışmanlar eliyle hayata geçirilecek uyum projeleri yürütülmeli
İlk yorum yapan siz olun