R.Osman Circi (Osman.circi@idebd.com.tr)

Kişisel verileri koruma kanunu, bir süredir üzerinde çok konuşulan ve tüm kişileri ilgilendiren ama, bir çok kurum ve kişilerin nasıl etkileneceklerini bilemedikleri bir konu oldu. Biraz karmaşık ve ayrıntılı olduğu için, tarafların ne tür sorumlulukları olduğunu özetlemeye çalıştık.  

Kişisel verilerin işlenmesinde özel hayatın gizliliği ile birlikte kişilerin temel hak ve özgürlüklerinin korunması öne çıkmaktadır. Firmalar ( veri sorumlusu ), kayıt altına aldıkları bilgi ve belgelerin envanterini kaydetmek ve kişisel verilerini işlediği kişilere talep ettikleri durumda bu bilgileri hangi amaçlarla, hangi hukuki gerekçelerle işledikleri ve hangi amaçlarla başka yerlere aktardıkları vb. konularında bilgi vermekle yükümlüdür. 

Kişisel veri, kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ait her türlü bilgidir. Koruma altına alınan kişisel veriler, sadece gerçek kişilere ait olan kişisel veriler olup tüzel kişilere ait olanlar bu kapsamda değildir.  Veri sorumlusu,  kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu durumda kişisel verileri işleyen tüm kurum ve kuruluşlar kamu-özel ayrımı yapılmadan kanunun uygulanması bakımından yükümlüdürler. Kanunun kabahatler bölümünde, bu kanuna uyulmaması durumunda uygulanacak para cezaları ayrıntılı olarak tanımlanmıştır.  Bu cezalar, 5.000 TL’den başlayıp, 1.000.000 TL’ye kadar devam etmektedir. Ayrıca, Türk Ceza Kanununda 1 - 4,5 yıl arasında değişen hapis cezaları öngörülmektedir.  

Firmaların sicil sistemine giriş zorunluluğu birkaç kez ertelenmiştir. En son çıkan karar ile belli büyüklükteki firmalar için Veri Sorumluları Siciline ( VERBİS ) kayıt yükümlülüğünü yerine getirmeleri için belirlenen son gün 31.12.2019 olmuştur. Bireyler olarak şunu iyi bilmeliyiz ki, verileri tutulan kişiler, kanun kapsamındaki verilerini bu bilgileri tutan kurumlardan bugün bile isteme hakkına sahiptirler. Son dönemde, bu tür başvurularda bulunup da verisinin kanuna aykırı olarak tutulduğunu ispat ettiren ve/veya kanunu ihlal ettiğini tespit ettiren kişi tarafında açılan davalarla birçok kuruma ceza uygulanmıştır.  

Kişisel verilere örnek olacak bilgiler :

-İnsan kaynaklarına ait bilgiler ( bordro, CV ( iş başvuru formları) , PDKS bilgileri, parmak izi kayıtları vb.),

-Sağlık bilgileri ( tahlil sonuçları, görüntüleme bilgileri vb. )

-Banka bilgileri,

-Geri bildirim e-postaları,

-İş merkezi ya da firmanın güvenliğinde alınan bilgiler,

-İnternet ve şirket içi bilgisayar ağı kayıtları,

-Çağrı merkezi bilgileri,

-Müşterilerdeki personel bilgileri ( kimlik, telefon, adres, e-posta vb. ),

-Tedarikçilerdeki personel bilgileri ( kimlik, telefon, adres, e-posta vb. ),

-Sözleşme eklerindeki kimlik bilgileri,

-Sipariş, yükleme, konşimento bilgilerindeki kişi bilgileri ( yetkili vb. ), 

-Araç takip bilgileri ( Sürücü, plaka vb. ), 

-Uçuş kayıtlarındaki kişisel bilgiler.

KVKK’ya uyum nasıl sağlanabilir ?

Aşağıdaki iki yöntemden biri seçilebilir:

1-Ekibinde bilgi teknolojileri uzmanı, bilgi güvenliği uzmanı, hukuk danışmanı ile kapsamlı hizmet veren bir danışman firma ile süreç ilerletilir.

2-Kurumun Hukuk Danışmanı, Bilgi Teknolojileri Sorumlusu, İnsan Kaynakları  Sorumlusu ve Kalite Sorumlusunun oluşturacağı bir ekibin yetkin bir firmadan eğitim almak suretiyle süreci kendisinin yürütmesidir. 

Yol Haritası :

1-Teklif öncesi kapsam belirlemek için firmaya bir soru seti gönderilir ( çalışan/kullanıcı sayısı, firmadaki bölümleri, sunucu sayısı, hangi paydaşlardan veri toplandığı, yedekleme sistemleri vb. ) 

2-Gelen yanıtlara göre kapsam belirlenerek teklif hazırlanır ve anlaşma sonrası çalışma başlar.   

3-İki aşamalı çalışma planının ( gerekirse gün sayıları ve ekip detayları belirtilir ) uygulanması tavsiye edilir :

a-Aşama-1 ( 31.12.2019 a kadar ) :

-Kişisel veri işleme envanteri oluşturulması,

-Yasal yükümlülüklerin tamamlanması,

-Zorunlu dokümantasyonların hazırlanması,

-VERBİS’e giriş yapılması.

b-Aşama-2 ( 31.12.2019 sonrası ) :

-Risk analiz çalışması,

-Önerilerin uygulamaya alınması ve ilgililerle uyarlama için görüşmeler yapılması,

-Sözleşmelerin gözden geçirilmesi,

-Veri aktarılan şirketlerle sözleşme yapılması,

-KVKK ile ilgili diğer dokümanların hazırlanması,

-KVKK ve bilgi güvenliği farkındalık eğitimlerinin verilmesi,

-Uygulanabilirlik bildirgesinin hazırlanması,

-İç tetkik ve sürekli iyileştirme çalışması,

-Kapanış toplantısı.

4-İsteğe bağlı olarak sunucuların güvenliği için sızma ve zafiyet testi ayrı bir hizmet olarak alınır.

5-İsteğe bağlı olarak DLP ( data loss prevention ) yazılımı ayrı ürün olarak alınır.  

https://www.kvkk.gov.tr linkinden tüm kurumsal bilgilere, kararlara ulaşılabilir. https://www.kvkk.gov.tr/Icerik/2030/Rehberler  linkinden de kişisel veri işleme envanteri hazırlama rehberi, KVKK uygulama rehberi, kişisel veri güvenliği rehberi (İdari tedbirler, teknik tedbirler) gibi detaylı rehberlere ulaşılabilir.

Bu süreçteki çalışmalar, öncelikle kişisel veri güvenliği rehberindeki idari ve teknik tedbirler kapsamında yapılmaktadır. Buradaki tablolar, bir kontrol listesi olarak kullanılarak üzerinde çalışılması sistematik çalışmayı kolaylaştıracaktır.   

Kurumda ISO 9001 kalite yönetim sistemi olması ya da belge alım sürecinde ilerleniyor olması KVKK çalışmasını kolaylaştırır.  ISO 27001 bilgi güvenliği yönetim sisteminin olması durumunda ise, KVKK çalışmasının çok önemli bir kısmı tamamlanmış olacak ve süreç kısalmış olacaktır. Aynı şekilde, ISO 27001 yoksa ve alınması düşünülüyorsa, KVKK çalışması sonrası ISO 27001 çalışmasının bir kısmı da tamamlanmış olacaktır.