Kişisel Verilerin Korunması Kanunu tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiştir. KVKK, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. 7 Nisan 2018 yılında Kanun geçiş süresi tamamlanıp aktif hale gelmiştir. Bu tarihten itibaren KVKK, işletmelere bir takım uyulması gereken sorumluluklar vermiştir.
Kanun ‘un yayınlanma amacı “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.” olarak tanımlanmıştır.
Bu amaçla işletmeler işledikleri tüm kişisel veriler için Kanun ‘un belirtmiş olduğu şekilde aksiyonlar almalı, ilgili kişileri aydınlatmalı, belli kriterlerde ise beyan vermeli, gerekli durumlarda açık rıza almalı, dokümante çalışmalar yapmalı, idari önlemler almalı ve teknik altyapısını düzenlemeli, periyodik olarak saklama süresi dolan kişisel verilerini imha etmeli, gelen kişisel veri taleplerine zamanında dönüş yapmalı ve aksiyon almalıdır.
Sektörde en çok doğru sanılan ama aslında yanlış olan algılar;
• Biz kamu kurumuyuz. Kamu kurumlarına ceza kesilmez.
• Veri Bilgilendirme Sistemi kapsamına girmediğim için Kanun şartları beni kapsamıyor.
• Kendi envanterimi kendim çıkarırım. Destek almaksızın bu süreçleri yürütebilirim
• Daha çok vaktimiz var. Zamanı gelince yaparız.
• Şikâyet olmadığı sürece KVK Kurumu bana dokunmaz
Vs. yanlış algılar ile karşılaşılmaktadır.
Kanun ‘a uyum süreçlerinde İdari, Teknik ve Hukuki süreçlerin olduğu dikkate alınmalıdır. Tek taraflı düşünülerek yapılan uyum çalışmalarının hatalı yapıldığı görünmektedir.
Veri Bilgilendirme Sistemi (VERBİS)
Türkiye ‘de Kanun yeni hayata geçtiği için kurumlar kişisel veriler nedir, hangi amaçla işlenmekte, nasıl saklanmakta, ne kadar zaman saklanmakta, kimlerle paylaşılmakta, yurtdışına aktarım var mı? Vs. kriterlerin analizini işletmeler analiz ederken sapmalar oluyordu. KVK Kurumu Veri Bilgilendirme Sistemini (Verbis) hayata geçirerek İşletmelerin analizlerini eksiksiz yapmasını ve bu beyan doğrultusunda kişiler verileri işlemesi ve koruması gerektiğini belirtti. Bazı sektörler Verbis‘ten muaf sayıldı. Örneğin; Dernek, Vakıf, Avukat, Mali Müşavirler, Noterler vs.
Verbis’ten muaf olamayan kurumlar için ise;
• Yıllık Bilanço bilgisi 25 Milyon TL ‘den fazla olanlar
• Çalışan sayısı 50 ‘den fazla olanlar
• Ana faaliyeti ya da işlediği kişisel verilerin çoğunluğu özel nitelikli kişisel veri olanlar
Olarak belirlendi. Bu işletmelerin Kanun ‘nun belirttiği süreler bitene kadar beyanlarını vermeleri gerekmektedir.
Verbis Süreleri;
Veri Sorumluları |
Kayıt Yükümlülüğü Başlangıç Tarihi |
Kayıt Yükümlülüğü Son Tarihi |
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları |
01.10.2018 |
30.06.2020 |
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları |
01.10.2018 |
30.06.2020 |
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları |
01.01.2019 |
30.09.2020 |
Kamu kurum ve kuruluşu veri sorumluları |
01.04.2019 |
31.12.2020 |
İdari ve Teknik Tedbirler;
Kanun, İşletmelerin kişisel veri güvenliğine ilişkin aşağıda belirtilen idari ve teknik tedbirleri almasını istemektedir. Bir ihlal anında idari ve teknik tedbirlerin eksikliği konusunda işletmeleri büyük cezalar beklemektedir.
İdari Tedbirler;
• Kişisel Veri İşleme Envanteri Hazırlanması
• Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
• Sözleşmeler
• Gizlilik Taahhütnameleri
• Kurum İçi Periyodik ve/veya Rastgele Denetimler
• Risk Analizleri
• İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
• Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
• Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
• Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Teknik Tedbirler;
• Yetki Matrisi
• Yetki Kontrol
• Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği
• Uygulama Güvenliği
• Şifreleme
• Sızma Testi
• Saldırı Tespit ve Önleme Sistemleri
• Log Kayıtları
• Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme
• Güvenlik Duvarları
• Güncel Anti-Virüs Sistemleri
• Silme, Yok Etme veya Anonim Hale Getirme
• Anahtar Yönetimi
Dokümante Çalışmalar:
İşletmeler, KVKK ‘ya uyumluluk çalışmalarında en çok Kanun yayınlanan kılavuz, rehber ve yönetmeliklerinde belirtilen ve adı geçen dokümanları hazırlama metodunu kullanıyor. Bu aslında doğru görünse de eksik olan bir çalışmadır. Kurumun yapısına, sahip olduğu standartlara, süreçlerine, işledikleri kişisel verilerin bulunduğu ortamlara vs. bakılarak kurumun yaşatabileceği ek dokümanların hazırlanması önem arz etmektedir.
Kanun kapsamında yapılası istenilen temel dokümanlar;
• Kişisel Veri Aydınlatmaları
• Açık Rızalar
• Kişisel Veri Koruma Politikaları
• Kişisel Veri Saklama ve İmha Politikaları
• Kişisel Veri Talep Yöntemleri
• Kişisel Veri Envanteri
Yukarıda adı geçen dokümanlar ile sınırlı kalmaması önemlidir. Dokümanların içeriklerinin uyumluluğunun hukuki açıdan değerlendirilmesi önemlidir. Yanlış ya da eksik olarak yayınlanan dokümanların sonucunda yasal yaptırımlar olabilir.
KVKK Projesi için Hizmet Adımları
Cyberforce, sektörel tecrübesi olan uzman çalışanları ve birimleri sayesinde KVKK uyum süreçlerini her yönüyle inceleyerek işletmelerin Kanun ‘a uyum süreçlerinin sorunsuz işletilmesini sağlamaktadır. Kanun ‘un uyum için gereksinim duyduğu teknik, idari ve hukuki süreçleri konusunda uzman personeller tarafından incelenerek, yapılan çalışmalar bir bütün haline işletmelere sunulmaktadır.
İşletmelerde aşağıdaki adımlar izlenmektedir;
• Roller ve sorumlulukların belirlenmesi
• İşletme stratejilerinin ve amaçlarının belirlenmesi
• Kişisel veri envanterinin hazırlanması. Envanter hazırlama sürecinde;
o İş süreçlerinin belirlenmesi
o İlgili kişilerin tespiti
o Alınan verilerin tespiti
o Kişisel verilerin alınma amaçlarının tespiti
o Kişisel veriler elde edilme yöntemlerinin tespiti
o Kişisel verilerin paylaşıldığı tarafların belirlenmesi
o Kişisel verileri paylaşım yöntemlerinin belirlenmesi
o Kişisel verilerin saklanma sürelerinin belirlenmesi
o Kişisel verilerin yurtdışı paylaşımının belirlenmesi
o Kişisel verilerin kurum için paylaşım ortamlarının belirlenmesi
o Kişisel verilerin hukuki referansları
• Verbis‘e kayıt sürecinin yürütülmesi
• Veri güvenliğine ilişkin politikaların hazırlanması
• Aydınlatma yükümlülüklerinin yerine getirilmesi ve dağıtım yöntemlerinin belirlenmesi
• İlgili kişi iletişim yöntemlerinin belirlenmesi
• Açık rızaların belirlenmesi
• Mevcut dokümanların incelenmesi ve iyileştirme tavsiyeleri
• Kişisel veri erişim yetki matrisinin oluşturulması
• Mevcut yetkilerin incelenmesi ve bilgilendirmeler
• Kişisel veri risk analizlerinin yapılması
• İdari tedbirlerin incelenmesi
• Teknik tedbirlerin incelenmesi
• Eğitimleri verilmesi
• İç denetimlerin gerçekleştirilmesi, raporlanması ve bulguların düzeltilmesi
• Hukuki açıdan sözleşmelerin incelenmesi
• Kişisel veri kullanımına ilişkin imha, yönetim vb. prosedürlerin oluşturulması
• İzleme ölçme analiz ve değerlendirme kriterlerinin tespiti