KVKK – Bilgi Güvenliği

KVKK Nedir?

Kamu ya da özel kurum ve kuruluşlar, dijital ya da matbu olarak yıllardır kullanıcıların bilgilerini toplamakta ve önemli bir kısmını muhafaza etmektedir. Kişisel veri niteliği taşıyan bu bilgiler, doğru bir şekilde işlenmediği takdirde kişilerin temel hak ve hürriyetlerini kısıtlayabilir, özel hayatın ihlaline yol açabilir.

Sosyal ve ekonomik hayatın gerektirdiği ürün ve hizmetlerin sunulması için toplanması kaçınılmaz olan bu veriler gelişigüzel değil, belirli bir mantık çerçevesinde toplanmalıdır ve yetkisiz kişilerin erişimine açılmasının önüne geçilmelidir. KVKK şeklinde pek çok yerde karşımıza çıkan olgu, işte bu konuları temel alan bir uygulamanın hayata geçirilmesi ile hayatımıza giren bir yasa oldu. Peki KVKK nedir?

KVKK Nedir? KVKK Açılımı Nedir?
KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eden kısaltılmış bir terimdir. Bu kanun, bireyler tarafından kanuni zorunluluk ya da kişisel tercih doğrultusunda paylaşılan bilgilerin güvenliği ile ilgilidir.

Kişisel verilerin korunması, verilerden ziyade kişileri korumak için gereklidir. Söz konusu verilerin güvenliğinin sağlanamaması, sonuç itibariyle kişiler için zararlı olacağından, KVKK ile aslında teknik veriler değil, veri sahibi bireyler koruma altına alınmıştır.

KVKK Kanunu Ne Zaman Yürürlüğe Girdi?
KVKK tabiri ve bu tabirin belirttiği kanun hayatımıza yeni girmiş olsa da aslında çok uzun süredir kişisel veriler, bazı sözleşmeler ve kanun maddeleri ile koruma altındaydı. Fakat kapsamı yeterince geniş değildi ve kullanıcılar ilgili hakları konusunda yeterli bilgiye sahip değildi.

Kişisel veriler ile ilgili ilk kapsamlı çalışma, Avrupa Konseyi tarafından yapıldı. 28 Ocak 1981’de, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme” imzaya açıldı ve bu sözleşmeyi imzalayan ülkeler arasında Türkiye de vardı.

2010 yılına kadar genel kanunlar içinde yer alan hükümler ile korunan kişisel veriler için 2010 yılında, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü, anayasanın 20. maddesine eklendi. Bu hüküm yeterli görülmeyince, günümüzdeki KVKK yürürlüğe girdi.

Avrupa Konseyi’nin sözleşmesi temel alınarak hazırlanan Kişisel Verileri Koruma Kanunu, 18 Ocak 2016’da tasarı olarak meclise girdi ve 24 Mart 2016 tarihinde kabul edildi. 7 Nisan 2016 tarihinde ise 6698 sayılı kanun olarak 29677 sayılı Resmî Gazete’de yayımlandı ve yürürlüğe girdi.

Kişisel Verilerin Korunması Kanunu’nun Amacı Nedir?
6698 sayılı KVKK uluslararası ölçütler, hukuk uygulamaları ve ülke gereklilikleri göz önüne alınarak hazırlanmış bir kanundur. Bu kanunun amacı kısaca; kişisel verileri çağdaş standartlarda toplamak, işlemek ve koruma altına almaktır.

Bireysel mahremiyetin korunması ve veri güvenliğinin sağlanmasını da kapsayan kanun ile kişisel verilerin işlenmesinde, bireylerin hak ve özgürlüklerini korumak ve yine bireylerin söz konusu veriler üzerindeki haklarını düzenlemek amaçlanmaktadır. Aynı şekilde bahsi geçen verilerin işlenme şartları ve verileri işleyen kişi ve kurumların hakları, yükümlülükleri ve uymaları gereken kurallar da bu kanunun amaçları kapsamındadır.

KVKK; kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin kolay ve sınırsız bir şekilde toplanması sonucu yetkisiz kişilerin eline geçme, ifşa edilme, amaç dışı ve kötü niyetli kullanılma gibi riskleri ve bireysel hakların ihlalini önlemek adına yürürlüğe konmuştur.

KVKK Kapsamı Nedir? Hangi Zorunlulukları İçerir?
Kişisel Verileri Koruma Kanunu’nun kapsamı son derece geniş ve bir o kadar da nettir. Bu kanun; kişisel verileri kısmen veya tamamen, otomatik olan ya da olmayan, veri kayıt sisteminin parçası olmak kaydıyla işleyen tüm gerçek ve tüzel kişiler ile birlikte kişisel verileri işlenen gerçek kişileri kapsar.

Tüzel kişi grubundaki kurumlar için özel ya da kamu kuruluşu olma konusunda bir ayrım yapılmamış olup tamamı için aynı usul ve esaslar geçerli kabul edilmiştir. Verisi işlenen tarafı gerçek kişiler oluşturduğu için hak ehliyetine sahip olan herkes kanun kapsamları dahilindedir.

Kanun “kişisel” verileri korumak üzerine temellendirildiği ve kanun hükümlerinde “kişisel verileri işlenen gerçek kişiler” tabiri kullanıldığı için tüzel kişilerin verileri bu kanunun dışında tutulmuştur. Ayrıca veri kayıt sisteminin parçası olmaksızın veri toplayan ve işleyen gerçek ve tüzel kişiler de kanun kapsamı dışındadır.

Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili’ne kayıt olma zorunluluğu getirilmiştir. Fakat bazı durumlarda, işlenecek verinin boyutu, niteliği, konusu, amacı gibi kriterler göz önüne alınarak, kurul tarafından bazı veri sorumlularına, bu sicile kayıt olma konusunda muafiyet getirilebilir. Bu muafiyet genellikle verinin bir kanun kapsamında işlenmesi durumundan doğar.

KVKK Aydınlatma Metni Nedir?
KVKK aydınlatma metni; veri sorumlusu ya da yetkilendirdiği kişi tarafından, veri sahibini temsilci kimliği, veri toplama yöntemi, veri işleme amacı ve hukuki sebebi, işlenen verilerin hangi sebeple kimlere aktarılabileceği gibi konular hakkında bilgilendirmek amacıyla hazırlanan metindir. Veri sorumlusu ya da yetkilendirdiği kişi, kanun kapsamında bu metni hazırlamakla yükümlüdür.

KVKK Aydınlatma Metni Nasıl Olmalıdır?
KVKK aydınlatma metni, kanunun 10. ve 11. maddesi kapsamında belirtilen tüm detayları içerecek ve veri sahibi tarafından anlaşılabilecek şekilde olmalıdır. Ayrıca verileri işleyen tarafın Veri Sorumluları Sicili’ne kaydı varsa, aydınlatma metnindeki bilgiler ile sicile bildirilen bilgiler birbiri ile uyumlu olmalıdır, yanıltıcı ve çelişkili bilgiler içermemelidir.

Bunların yanında kanun kurulu tarafından hazırlanan ve 10.03.2018 tarihinde Resmî Gazete’de yayımlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ’de belirtilen usul ve esaslara da uyulmalıdır.

KVKK Hassas Veri Nedir? Hangi Veriler Hassas Veri Olarak Sınıflandırılır?
Herhangi bir kişi veya kurum tarafından öğrenilmesi, sahibinin mağdur olmasına ve ayrımcılığa maruz kalmasına sebebiyet verebilecek veriler, “özel nitelikli kişisel veri” ya da “hassas veri” olarak kabul edilir. Kanunda hassas olarak belirtilenlerin dışındaki veriler hassas olarak kabul edilemez ve bu grupta değerlendirilemez.

KVKK kapsamında kişinin;
ırkı,
dini,
mezhebi ve diğer inançları,
etnik kökeni,
felsefi inancı,
siyasi düşüncesi,
cinsel hayatı,
sağlık durumu,
dernek, vakıf ve sendika üyeliği,
kılık ve kıyafeti,
güvenlik tedbirleriyle ilgili bilgileri,
ceza mahkûmiyeti,
genetik ve biyometrik veriler hassas veri olarak sınıflandırılır. Hassas veriler, kişisel verilerin daha fazla korunan küçük bir grubunu kapsar.

KVKK İrtibat Kişisi Nedir?
Veri sorumlusu ve veri sahibi kişi ya da Kişisel Verileri Koruma Kurumu arasındaki iletişimi sağlayan kişiye “irtibat kişisi” denir. İrtibat kişisinin görevi ilgili kişi ve veri sorumlusu arasındaki talepleri iletmek ve cevaplandırılmalarını sağlamaktır. İrtibat kişisi veri sorumlusunun ya da veri sahibi kişinin kanun karşısındaki yükümlülüklerinden sorumlu değildir ve bu tarafları temsil etmez. Tarafların kanun karşısındaki yükümlülükleri, arada irtibat kişisi olduğu süreçte de devam eder.

Bu yükümlülüklerin dışında, bir de kişisel verileri yeniden kullanma konusunda bir yönetmelik mevcuttur. İleti Yönetim Sistemi (İYS) adı verilen bu uygulama, kullanıcıların iletişim bilgilerini izinsiz kullanmayı engelleyen bir uygulamadır.

İYS kapsamında, veri sorumlusu konumundaki e-ticaret siteleri, iletişim verilerinin sahiplerinin izni ve onayı olmadan, kişilere ticari iletiler gönderemez. Bu sınırlama SMS, arama ve e-posta gibi tüm iletişim yöntemlerini kapsamaktadır.

KVKK Kapsamında Alınması Gereken Teknik Tedbirler Nelerdir?
E-ticaret sitelerinin KVKK kapsamında alması gereken bazı teknik tedbirler de vardır. Teknik altyapı iyileştirmelerini içeren bu tedbirler, kullanıcı verilerinin güvenliğini sağlar. Ayrıca kullanıcılara verilerin nasıl kullanılacağına dair bilgi vermek ve veri işleme izni almak için kullanılır.

Sertifikalar
E-ticaret sitelerinin taklit edilmesi ve bu taklit siteler aracılığıyla kullanıcı verilerinin ele geçirilmesi, zaman zaman karşılaşılabilen bir durumdur. Sayısal sertifikalar ile e-ticaret sitelerinin taklit edilmesi önlenir ve verilerin kötüye kullanılma riski ortadan kaldırılır.

SSL Güvenlik Katmanı
Kişisel verilerin sunucu ve istemci arasında güvenli bir şekilde iletilebilmesi için SSL güvenlik katmanı gereklidir. Bu sistem, kişisel verilerin sadece güvenli alanlarda paylaşılmasını sağlar. Bilgi aktarımı konusunda güvenli olan sitelerin bağlantı adresleri “https” ile başlar.

Güvenlik Duvarı
E-ticaret sitelerinin virüslere maruz kalması da kişisel verilerin kaybolmasına ya da ele geçirilmesine neden olabilir. Güvenlik duvarı, siteyi virüslerden ve kötü amaçlı yazılımlardan korumaya yarar.

Çerez Politikası
E-ticaret siteleri, reklam ve pazarlama çalışmaları için kullanıcı verilerini kullanırlar. Fakat bu kullanım, yine veri sahibi kullanıcıların izni ile mümkündür. Bu noktada e-ticaret sitesinde bir çerez politikası çubuğu olmalıdır. Söz konusu çubukta e-ticaret sitesinin çerez politikası yer almalıdır. Bu politika ile kullanıcının hangi verilerinin ne amaçla kullanacağı bildirilip kullanıcıdan izin istenmelidir.