NedirYazılar

İlk Bakışta KVKK

Reklam

Son günlerde popülaritesi gittikçe artan bir konu olan ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’ (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı resmî gazetede yayımlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması, temel insan haklarından biri olan özel hayatın gizliliğini korumak için yürürlüğe girmiş bir kanundur. Bu kanun ile kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir. Avrupa Birliği’ne uyum kapsamında hazırlanan bu kanunun detaylarını incelemeye kalktığınızda Avrupa Birliği içerisinde faaliyet gösteren GDPR (General data protection regulation) regülasyonuna çok benzediğini göreceksiniz.

Bu yazı dizimizde veri güvenliğinin sağlanması, yedeklenmesi ve veri sızıntısının önlenmesi gibi IT tarafında alınabilecek teknik tedbirlerden bahsedeceğiz. Fakat öncesinde gelin Kişisel Verileri Koruma Kanunu hakkındaki önemli noktalara kısaca bir göz atalım.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun Amacı Nedir?

Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Bu kanun uygulamasında, kanunda belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır.

KVKK kurulunun web sitesini ziyaret ettiğinizde hemen hemen her gün kurumların veri ihlali gerekçesiyle cezalar yediğini ve akabinde de kurulun kararlarını görebilirsiniz; https://kvkk.gov.tr/Icerik/5419/Kurul-Kararlari

KVKK Kanunu Kimleri Kapsamaktadır?

Kişisel Verilerin Korunması Kanunu kapsamında 3 muhatap vardır.

  • Gerçek Kişi
  • Veri Sorumlusu
  • Verileri işleyen gerçek veya tüzel kişiler

Gerçek kişi; kişisel verileri işlenen gerçek kişiler.

Veri Sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir.

Veri Sorumlusunun Görevi

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek.
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek.
  • Kişisel verilerin muhafazasını sağlamak.

Veri işleyen; veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.

Kurulca alınan ve 18.08.2018 tarihli Resmî Gazete’de yayımlanan 2018/88 sayılı kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 – 30.09.2019 (bu süre 31.12.2019 tarihine kadar uzatılmıştır)
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 – 31.03.2020
  • Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 – 30.06.2020, tarihleri arasında sicile kayıt olmak zorundadır.

KVKK Sicil Kayıt Tarihleri

Kişisel Veri Nedir?

Kişisel veri, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Telefon numarası, doğum tarihi, kimlik numarası, iş adresi, ünvanı, sağlık bilgileri gibi kişiyi direkt olarak ya da dolaylı yoldan belirlenebilir kılan her tür bilgi, kişisel veri kapsamında sayılmaktadır.

KVKK Kapsamında Alınması Gereken Teknik Tedbirler

Peki, firmalar bu cezai yaptırımlara hazır mı? Ne gibi önlemler alacaklarını biliyorlar mı?

KVKK kapsamında, kişisel verilerin hukuka aykırı bir şekilde işlenmesinin ve amaç dışı kullanımının önüne geçilmesi adına kurumların teknolojik çözümlerden de yararlanması gerekmektedir.

Yazacağım yazılar ile sizlere bir yandan KVKK kapsamınca belirtilen teknik tedbirleri detayları ile anlatmaya çalışırken, aynı zamanda bu tedbirlerin IT tarafındaki süreçleri ile ilgili bilgilerini ve uygulamalarını örneklerle aktarmaya çalışacağım.

IT tarafındaki teknik süreçlerini yakından takip ederken, KVKK’nın hukuk bacağını görmezden gelmemenizi ve bu alanı avukatlarınıza mutlaka danışmanızı önemle belirtmek isterim.

KVKK kurumunun açıkladığı rehberde veri sorumluları tarafından alınabilecek teknik tedbirler listesi paylaşılmış;

KVKK Teknik Tedbirler

Bu yazımızda “Yetki Matrisi” konusunu ele alacağız;

KVKK regülasyonu için eğer bir avukat ile çalışıyorsanız avukat, verilerinizi nerede muhafaza ettiğiniz, hangi tür verileri sakladığınız gibi incelemelerle sizin şirketinize özel veri envanterini çıkaracaktır. Buna göre kişisel veri veya özel nitelikli kişisel verinizin nerelerde, ne şekilde tutulduğu ortaya çıkacaktır.

Peki, bu verilerinize şirketinizde kim, nereye erişiyor?

İşte tam da bunun cevabını, KVKK kurulu sizden istiyor. Yetki matrisinizi çıkardınız mı?

Örneğin, insan kaynakları departmanı, ik verilerinin bulunduğu klasöre veya bir excel dosyasına erişebilirken, (ki bu verilerde çokça kişisel veri ve özel nitelikli kişisel veri bulunmaktadır) satış veya teknik çalışanlarda bu klasöre erişebiliyorlar mı?

Bir diğer örnek, Oracle veya SQL Database’iniz var ve bu Database’inizde birçok tablo, bu tablolarda da birçok kişisel veri bulunabilir. Hangi departmanlar hangi tabloları görebiliyor, gerçekten görmesi gerekiyor mu gibi şirketinize ait yetki matrisinizi çıkartmanız gerekmektedir.

Bir sonraki yazımızda “Yetki Kontrol” konusunu ele alarak KVKK hakkında sizleri bilgilendirmeye devam edeceğiz.

Reklam
Etiketler
gdpr kişisel verilerin korunması kanunu kvkk nevzat çelik teknik tedbirler

Nevzat Çelik

Abant İzzet Baysal Üniversitesi Fizik Bölümü'nden mezun olduktan sonra sistem ve ağ çözümleri danışmanı olarak bilişim sektöründe çalışmaya başladı. Yaklaşık 10 yıldır teknik anlamda saha tecrübesine sahip olmakla birlikte bir çok ağ ve veri güvenliği projelerinde görev aldı. Solid Bilişim Teknolojileri'nde ağ çözümleri danışmanı olarak iş hayatını sürdürmeye devam etmektedir.

3
Kim ne demiş?

avatar
2 Yorum Sayısı
1 Cevap Sayısı
0 Takipçiler
 
En çok puan alan
İlgi çeken yorum
  Takibe al  
En Yeniler Eskiler Beğenilenler
Bildir
Kenan
Ziyaretçi
Kenan

Merhabalar. Elinize sağlık. Yalnız konu başlıkları biraz fazla gibi. Hepsinin bitmesini beklemek zul gelecek 😁 En azından 2şerli olarak başlıkları ele alsanız olmaz mi? Teşekkürler.

Nevzat Çelik
Ziyaretçi
Nevzat Çelik

Elbette Kenan Bey. Mümküm olduğunca başlıkları 2 şerli 3 lerli şekilde birleştirip konularla ilgili bilgileri aktarıyor olacağım.

Kenan
Ziyaretçi
Kenan

Çok teşekkür ederim Nevzat Bey. İlginiz ve anlayışınız için. Yazı serinizi merakla bekliyorum. İyi çalışmalar.

Başa dön tuşu
Kapalı