KVKK Kapsamında Şirketinizin Yükümlülükleri Nelerdir? KVKK Prosedürü, Cezalar ve Tüm Detaylar

AB’nin çığır açan The General Data Protection Regulation (GDPR) - Genel Veri Koruma Yönetmeliği’nin onaylamasından birkaç hafta önce, 07.04.2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ülkemizde kişisel verilerin korunmasına ilişkin ilk doğrudan mevzuattır.

Türk Ceza Kanunu (TCK) ve Ceza Muhakemesi Kanunu (CMK) gibi kanunlar kişisel verilerin korunmasına ilişkin kısmi hükümler içermektedir. Ancak bu düzenlemeler olası bir zararın ortaya çıkmasından sonra uygulanabilir. 6698 sayılı Kanun ise zarar veya ziyan oluşmasına gerek olmadan yaptırım uygulayabildiği için önleyici ve koruyucu bir mevzuat olarak değerlendirilmektedir.

KVKK Nedir?

KVKK , kişisel verilerin korunmasını düzenleyen ve kişisel verilerle ilgilenen kurum ve kişilerin uyması gereken yükümlülükleri ana hatlarıyla belirleyen Türkiye'deki ilk yasadır. KVKK'nın yürürlüğe girmesinden önce Türkiye'de kişisel verilerin korunması ve mahremiyetini düzenleyen özel bir yasa yoktu. Birkaç uzmanlık alanı dışındaki verilerin korunması, Türk Anayasası'nda tek bir hüküm ve Türk Ceza Kanunu'nun çeşitli hükümleri ile düzenlenmişti.

Kişisel Veriler Neden Önemlidir?

Gizli tutulması gereken veriler yanlış ellere geçtiğinde kişileri veya kurumları zor durumda bırakabilir. Örneğin, bir devlet kurumundaki bir veri ihlali, düşman bir devletin eline çok gizli bilgiler verebilir. Bir şirketteki bir ihlal, özel verileri bir rakibe, bir okuldaki bir ihlal, öğrencilerin kişisel bilgilerini kimlik hırsızlığı gerçekleştirebilecek suçluların eline, hastane veya doktor muayenehanesindeki bir ihlal, korumalı sağlık bilgilerini kötüye kullanabilecek kişilerin eline geçmesine neden olabilir.

Tüm bu sebeplerden dolayı kurumlar, sahip oldukları (dijital veya fiziksel) her bir kişisel verinin gizlilik hakkı ilkesi ile korunması için gerekli teknik ve idari altyapıları hazırlamakla yükümlüdür. Ayrıca kişisel veriler üçüncü şahıslar tarafından elde edildiğinde alınacak aksiyonlar açısından gerekli tüm yasal düzenlemeleri gerçekleştirmeleri gerekmektedir.

KVKK (6698 Sayılı Kanun) ve Prosedürü

KVKK, vatandaşların dijital ve veri hakları için yüksek düzeyde koruma sağlayan bir yasa olup kişisel verilerin korunması ile ilgili prosedürleri kapsar. Veri koruma ilkelerinin, haklarının ve yükümlülüklerinin her birini açıklar. Vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlaması için tasarlanmıştır. Hem vatandaşların hem de işletmelerin dijital ekonomiden tam olarak yararlanabilmesi için düzenleyici ortamı basitleştirmeyi amaçlamaktadır. Bilmeniz gereken temel noktaları özetler ve uyum sağlamanıza yardımcı olacak pratik kontrol listeleri içerir.

KVKK Kapsamında Alınması Gereken İdari ve Teknik Tedbirler

KVKK kapsamında alınması gereken 2 tip tedbir türü vardır:

1. İdari Tedbirler

● Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

● Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.

● Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.

● Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanun’un 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

● Veri İşleyenler ile İlişkilerin Yönetimi

Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanun’un 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

İdari Tedbir Süreçleri:

· Kişisel Veri İşleme Envanterinin Hazırlanması

· Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.)

· Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu arasında, Veri Sorumlusu – Veri İşleyen arasında)

• Gizlilik Taahhütnameleri

· Kurum İçi Periyodik ve/veya Rastgele Denetimler

• Risk Analizleri

· İş Sözleşmesi, Disiplin Yönetmenliği (Kanuna Uygun Hükümler İlave Edilmesi)

· Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgiyi Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

· Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

· Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

2. Teknik Tedbirler

● Siber Güvenliğin Sağlanması

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, İnternet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır.

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir.

● Kişisel Veri Güvenliğinin Takibi

Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.

Bu durumun önüne geçebilmek için;

a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

d) Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekmektedir.

● Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir.

● Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.

● Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır.

● Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.

Teknik Tedbir Süreçleri:

• Yetki Matrisi
• Yetki Kontrolü
• Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği (Berqnet Firewall cihazlarıyla sağlanabilir.)
• Uygulama Güvenliği
• Şifreleme
• Sızma Testi
• Saldırı Tespit ve Önleme Sistemleri (Berqnet Firewall cihazlarıyla sağlanabilir.)
• Log Kayıtları (Berqnet Firewall cihazlarıyla sağlanabilir.)
• Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme
• Güvenlik Duvarları (Berqnet Firewall cihazlarıyla sağlanabilir.)
• Güncel Antivirüs Yazılımları

· Silme, Yok Etme veya Anonim Hala Getirme

• Anahtar Yönetimi

Berqnet Firewall cihazlarıyla KVKK teknik tedbir süreçlerinde yer alan sorumluluklarınızın büyük bir bölümünü tek bir ürün ile çözebilirsiniz.

Kişisel Verilerin Korunması Kanunu Kapsamında Şirketlerin Yapması Gerekenler

KVKK , vatandaşlarının kişisel verilerinin ve mahremiyetlerinin korunmasını sağlamak amacıyla düzenlenmiştir. Bu yüzden kişiler hakkında veri toplayan şirketlerin, müşteri verilerini korumayla ilgili yeni kurallara uyması gerekir.

Kanunda belirtilen yeni kuralların dışına çıkan şirketler için ağır hukuki ve cezai sorumluluklar vardır. Bu yüzden şirketlerin KVKK ile ilgili yapması gerekenleri tekrar gözden geçirmesinde fayda var.

İşte kişisel verilerin korunması kanunu kapsamında şirketlerin yapması gerekenler :

● Kişisel veri işlenmesi alanında bir envanter çıkarmak (verilerin ne zaman ve kimlerden toplandığı, verinin ne şekilde kullanıldığı, depolandığı, devredildiği ve imha edildiği)

● Bireylerin (müşteri, çalışan, tedarikçi) verilerinin edinilmesi ve işlenmesi için beyan metinleri ve bilgilendirme formlarıyla açıkça onay almak.

● Uygun güvenlik düzeyini sağlamaya yönelik her türlü teknik ve idari tedbirleri almak.

● Veri sorumlusu sıfatına haiz kişilerin VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırması.

● Çalışanlara gerekli şirket içi eğitimler vermek.

KVKK Prosedürüne Uyulmadığı Takdirde Karşılaşılan Hukuki Yaptırımlar

Kişisel verilerin korunmasına ilişkin ihmal ve ihlaller, ticari kuruluşlara ağır hukuki ve cezai sorumluluklar yüklemiştir.

KVKK 'nın 18. maddesine göre ihmal ve ihlallerin yükümlülükleri ilgili cezai yaptırım miktarları aşağıdaki gibidir:

a) 10. maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

Ayrıca kişisel verilere ilişkin suçlarda 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. madde hükümlerinin uygulanacağı KVKK’nın 17. maddesinde belirtilmiştir. Kişisel Verilerin Korunması Hakkında Türk Ceza Kanunu'nda öngörülen hapis cezaları aşağıdaki gibidir:

a) Kişisel verilerin hukuka aykırı olarak işlenmesi durumunda 1 yıldan 3 yıla kadar hapis cezası,

b) Yasadışı olarak veri sağlanması veya elde edilmesi durumunda 2 yıldan 4 yıla kadar hapis cezası,

c) Kanunla belirlenen süre içinde kişisel verilerin silinmemesi durumunda 1 yıldan 2 yıla kadar hapis cezası öngörülmektedir.

5 Mart 2021