SASE Portal Girişi
Firewall Portal Girişi
İş ortağı Ol
> Blog > Siber Güvenlik > KVKK Kapsamında Şirketinizin Yükümlülükleri Nelerdir? KVKK Prosedürü, Cezalar ve Tüm Detaylar

KVKK Kapsamında Şirketinizin Yükümlülükleri Nelerdir? KVKK Prosedürü, Cezalar ve Tüm Detaylar

KVKK kapsamında şirketlerin yerine getirmesi gereken yükümlülükleri vardır. Bu yükümlülükler yerine getirilmediği durumda ceza kesilmesi muhtemeldir.

AB’nin çığır açan The General Data Protection Regulation (GDPR) – Genel Veri Koruma Yönetmeliği’nin onaylamasından birkaç hafta önce, 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ülkemizde kişisel verilerin korunmasına ilişkin ilk doğrudan mevzuattır.

Türk Ceza Kanunu (TCK) ve Ceza Muhakemesi Kanunu (CMK) gibi kanunlar kişisel verilerin korunmasına ilişkin kısmi hükümler içermektedir. Ancak bu düzenlemeler olası bir zararın ortaya çıkmasından sonra uygulanabilir. 6698 sayılı Kanun ise zarar veya ziyan oluşmasına gerek olmadan yaptırım uygulayabildiği için önleyici ve koruyucu bir mevzuat olarak değerlendirilmektedir.

KVKK Nedir?

KVKK , kişisel verilerin korunmasını düzenleyen ve kişisel verilerle ilgilenen kurum ve kişilerin uyması gereken yükümlülükleri ana hatlarıyla belirleyen Türkiye’deki ilk yasadır. KVKK’nın yürürlüğe girmesinden önce Türkiye’de kişisel verilerin korunması ve mahremiyetini düzenleyen özel bir yasa yoktu. Birkaç uzmanlık alanı dışındaki verilerin korunması, Türk Anayasası’nda tek bir hüküm ve Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmişti.

Sase Sase

Kişisel Veriler Neden Önemlidir?

Gizli tutulması gereken veriler yanlış ellere geçtiğinde kişileri veya kurumları zor durumda bırakabilir. Örneğin, bir devlet kurumundaki bir veri ihlali, düşman bir devletin eline çok gizli bilgiler verebilir. Bir şirketteki bir ihlal, özel verileri bir rakibe, bir okuldaki bir ihlal, öğrencilerin kişisel bilgilerini kimlik hırsızlığı gerçekleştirebilecek suçluların eline, hastane veya doktor muayenehanesindeki bir ihlal, korumalı sağlık bilgilerini kötüye kullanabilecek kişilerin eline geçmesine neden olabilir.

Tüm bu sebeplerden dolayı kurumlar, sahip oldukları (dijital veya fiziksel) her bir kişisel verinin gizlilik hakkı ilkesi ile korunması için gerekli teknik ve idari altyapıları hazırlamakla yükümlüdür. Ayrıca kişisel veriler üçüncü şahıslar tarafından elde edildiğinde alınacak aksiyonlar açısından gerekli tüm yasal düzenlemeleri gerçekleştirmeleri gerekmektedir.

KVKK (6698 Sayılı Kanun) ve Prosedürü

KVKK, vatandaşların dijital ve veri hakları için yüksek düzeyde koruma sağlayan bir yasa olup kişisel verilerin korunması ile ilgili prosedürleri kapsar. Veri koruma ilkelerinin, haklarının ve yükümlülüklerinin her birini açıklar. Vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlaması için tasarlanmıştır. Hem vatandaşların hem de işletmelerin dijital ekonomiden tam olarak yararlanabilmesi için düzenleyici ortamı basitleştirmeyi amaçlamaktadır. Bilmeniz gereken temel noktaları özetler ve uyum sağlamanıza yardımcı olacak pratik kontrol listeleri içerir.

KVKK Kapsamında Alınması Gereken İdari ve Teknik Tedbirler

KVKK kapsamında alınması gereken 2 tip tedbir türü vardır:

1. İdari Tedbirler

  • Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

  • Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.

  • Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.

  • Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanun’un 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

  • Veri İşleyenler ile İlişkilerin Yönetimi

Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanun’un 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

İdari Tedbir Süreçleri:

  • Kişisel Veri İşleme Envanterinin Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu arasında, Veri Sorumlusu – Veri İşleyen arasında)
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmenliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgiyi Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

2. Teknik Tedbirler

  • Siber Güvenliğin Sağlanması

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, İnternet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır.

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir.

  • Kişisel Veri Güvenliğinin Takibi

Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.

Bu durumun önüne geçebilmek için;

  1. a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
  2. b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
  3. c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

  1. d) Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekmektedir.
  • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir.

  • Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.

  • Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır.

  • Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.

Teknik Tedbir Süreçleri:

  • Yetki Matrisi
  • Yetki Kontrolü
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği (Berqnet Firewall cihazlarıyla sağlanabilir.)
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri (Berqnet Firewall cihazlarıyla sağlanabilir.)
  • Log Kayıtları (Berqnet Firewall cihazlarıyla sağlanabilir.)
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları (Berqnet Firewall cihazlarıyla sağlanabilir.)
  • Güncel Antivirüs Yazılımları
  • Silme, Yok Etme veya Anonim Hala Getirme
  • Anahtar Yönetimi

Berqnet Firewall cihazlarıyla KVKK teknik tedbir süreçlerinde yer alan sorumluluklarınızın büyük bir bölümünü tek bir ürün ile çözebilirsiniz.

Kişisel Verilerin Korunması Kanunu Kapsamında Şirketlerin Yapması Gerekenler

KVKK , vatandaşlarının kişisel verilerinin ve mahremiyetlerinin korunmasını sağlamak amacıyla düzenlenmiştir. Bu yüzden kişiler hakkında veri toplayan şirketlerin, müşteri verilerini korumayla ilgili yeni kurallara uyması gerekir.

Kanunda belirtilen yeni kuralların dışına çıkan şirketler için ağır hukuki ve cezai sorumluluklar vardır. Bu yüzden şirketlerin KVKK ile ilgili yapması gerekenleri tekrar gözden geçirmesinde fayda var.

İşte kişisel verilerin korunması kanunu kapsamında şirketlerin yapması gerekenler :

  • Kişisel veri işlenmesi alanında bir envanter çıkarmak (verilerin ne zaman ve kimlerden toplandığı, verinin ne şekilde kullanıldığı, depolandığı, devredildiği ve imha edildiği)
  • Bireylerin (müşteri, çalışan, tedarikçi) verilerinin edinilmesi ve işlenmesi için beyan metinleri ve bilgilendirme formlarıyla açıkça onay almak.
  • Uygun güvenlik düzeyini sağlamaya yönelik her türlü teknik ve idari tedbirleri almak.
  • Veri sorumlusu sıfatına haiz kişilerin VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırması.
  • Çalışanlara gerekli şirket içi eğitimler vermek.

7545 Sayılı Siber Güvenlik Kanunu ile Gelen Yeni Yükümlülükler

2025 yılında yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, KVKK’nın tamamlayıcısı niteliğinde düzenlemeler getirmiştir:

1. Siber Güvenlik Kanunu’na Uyum

Şirketler sadece kişisel verileri değil, aynı zamanda tüm dijital altyapılarını korumakla yükümlüdür. Bu kapsamda:

  • Siber saldırılara karşı koruma sistemleri kurmak,
  • Risk analizi yapmak,
  • Güvenlik açıklarını düzenli olarak değerlendirmek zorundadır.

2. Siber Güvenlik Başkanlığı ve Kurulu

Yeni kanunla birlikte kurulan Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu, şirketlerin denetlenmesi ve yönlendirilmesinde önemli rol oynamaktadır. Şirketler, Başkanlık ve Kurul tarafından belirlenen standartlara uyum sağlamak zorundadır.

3. Kritik Altyapı ve Sertifikasyon Zorunluluğu

Özellikle şu sektörlerde faaliyet gösteren şirketlere ek yükümlülükler getirilmiştir:

  • Enerji
  • Finans
  • Sağlık
  • Haberleşme
  • Ulaşım

Bu sektörlerde hizmet veren kuruluşların:

  • Siber güvenlik ürün ve hizmetleri için Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ve sertifikalandırılmış ürünleri kullanmaları,
  • Belirli periyotlarla zorunlu denetimlere tabi tutulmaları gerekmektedir.

4. Siber Olayların Bildirim Yükümlülüğü

Şirketler, siber saldırı veya güvenlik açığı tespit ettiklerinde derhal Siber Güvenlik Başkanlığı’na bildirmek zorundadır. Bu yükümlülüğün yerine getirilmemesi ciddi yaptırımlara sebep olmaktadır.

5. Eğitim ve Farkındalık Programları

Yeni kanunla birlikte, çalışanlara yönelik siber güvenlik farkındalık eğitimleri düzenlenmesi zorunlu hale gelmiştir. Bu kapsamda:

  • Yılda en az bir defa eğitim verilmesi,
  • Eğitimlerin belgelendirilmesi gerekmektedir.

6. Güncel Yaptırımlar ve Cezalar

7545 sayılı Kanun ile belirlenen yaptırımlar oldukça ağırdır:

  • İdari Para Cezaları: 1 milyon TL ile 100 milyon TL arasında değişmektedir.
  • Hapis Cezaları: 3 yıldan 15 yıla kadar değişen hapis cezaları öngörülmektedir.

Sıkça Sorulan Sorular ve Cevapları

  • Siber Güvenlik Kanunu Mevzuatına nereden ulaşabilirim?

Siber Güvenlik Kanununun tam metnine, Türkiye Cumhuriyeti Resmî Gazete’sinin resmi web sitesi olan resmigazete.gov.tr üzerinden ulaşabilirsiniz. Kanunun yürürlüğe girdiği tarih olan 19 Mart 2025’e ait sayıyı aratarak ilgili mevzuata erişebilirsiniz.​

  • Siber Güvenlik Kanunu Maddelerine nereden Ulaşabilirim?

Kanunun tüm maddeleri, yukarıda belirtilen Resmî Gazete sayısında yer almaktadır. Ayrıca, Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) resmi web sitesi olan btk.gov.tr üzerinden de kanunla ilgili bilgilere ve maddelere ulaşabilirsiniz.

  • Siber Güvenlik Kanunu Neleri Kapsıyor?

7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin siber güvenliğini sağlamak amacıyla çeşitli düzenlemeler içermektedir. Kanunun kapsamı şu başlıkları içermektedir:​

  • Siber güvenlik politikalarını belirlemek ve uygulamakla görevli bir başkanlık kurulmuştur.​
  • Enerji, finans, sağlık, haberleşme ve ulaşım gibi kritik altyapıların siber tehditlere karşı korunması için özel düzenlemeler getirilmiştir.​
  • Kamu ve özel sektör kuruluşlarının siber olayları belirli bir süre içinde bildirme yükümlülüğü bulunmaktadır.​
  • Siber güvenlik ürün ve hizmetlerinin belirli standartlara uygunluğu için sertifikasyon ve düzenli denetimler öngörülmüştür.​
  • Kamu ve özel sektörde çalışanlara yönelik siber güvenlik eğitimleri ve farkındalık programları düzenlenmesi teşvik edilmektedir.​
  • Kanuna aykırı hareket edenler için idari para cezaları ve hapis cezaları gibi yaptırımlar öngörülmüştür.
  • Siber Güvenlik Kanunu Kaç Madde?

7545 sayılı Siber Güvenlik Kanunu, toplamda 25 maddeden oluşmaktadır. Bu maddeler, kanunun amacı, kapsamı, ilgili kurum ve kuruluşların görevleri, yükümlülükler, denetim ve yaptırımlar gibi konuları düzenlemektedir.

Kaynak:

https://www.resmigazete.gov.tr/eskiler/2025/03/20250319-1.htm

Teklif Al Şimdi Ara

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
Demo Talebi