KVKK Kapsamında Şirketinizin Yükümlülükleri Nelerdir? KVKK Prosedürü, Cezalar ve Tüm Detaylar
İçindekiler
KVKK kapsamında şirketlerin yerine getirmesi gereken yükümlülükleri vardır. Bu yükümlülükler yerine getirilmediği durumda ceza kesilmesi muhtemeldir.
AB’nin çığır açan The General Data Protection Regulation (GDPR) – Genel Veri Koruma Yönetmeliği’nin onaylamasından birkaç hafta önce, 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ülkemizde kişisel verilerin korunmasına ilişkin ilk doğrudan mevzuattır. Türk Ceza Kanunu (TCK) ve Ceza Muhakemesi Kanunu (CMK) gibi kanunlar kişisel verilerin korunmasına ilişkin kısmi hükümler içermektedir. Ancak bu düzenlemeler olası bir zararın ortaya çıkmasından sonra uygulanabilir. 6698 sayılı Kanun ise zarar veya ziyan oluşmasına gerek olmadan yaptırım uygulayabildiği için önleyici ve koruyucu bir mevzuat olarak değerlendirilmektedir. KVKK Nedir? KVKK , kişisel verilerin korunmasını düzenleyen ve kişisel verilerle ilgilenen kurum ve kişilerin uyması gereken yükümlülükleri ana hatlarıyla belirleyen Türkiye’deki ilk yasadır. KVKK’nın yürürlüğe girmesinden önce Türkiye’de kişisel verilerin korunması ve mahremiyetini düzenleyen özel bir yasa yoktu. Birkaç uzmanlık alanı dışındaki verilerin korunması, Türk Anayasası’nda tek bir hüküm ve Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmişti. Kişisel Veriler Neden Önemlidir? Gizli tutulması gereken veriler yanlış ellere geçtiğinde kişileri veya kurumları zor durumda bırakabilir. Örneğin, bir devlet kurumundaki bir veri ihlali, düşman bir devletin eline çok gizli bilgiler verebilir. Bir şirketteki bir ihlal, özel verileri bir rakibe, bir okuldaki bir ihlal, öğrencilerin kişisel bilgilerini kimlik hırsızlığı gerçekleştirebilecek suçluların eline, hastane veya doktor muayenehanesindeki bir ihlal, korumalı sağlık bilgilerini kötüye kullanabilecek kişilerin eline geçmesine neden olabilir. Tüm bu sebeplerden dolayı kurumlar, sahip oldukları (dijital veya fiziksel) her bir kişisel verinin gizlilik hakkı ilkesi ile korunması için gerekli teknik ve idari altyapıları hazırlamakla yükümlüdür. Ayrıca kişisel veriler üçüncü şahıslar tarafından elde edildiğinde alınacak aksiyonlar açısından gerekli tüm yasal düzenlemeleri gerçekleştirmeleri gerekmektedir. KVKK (6698 Sayılı Kanun) ve Prosedürü KVKK, vatandaşların dijital ve veri hakları için yüksek düzeyde koruma sağlayan bir yasa olup kişisel verilerin korunması ile ilgili prosedürleri kapsar. Veri koruma ilkelerinin, haklarının ve yükümlülüklerinin her birini açıklar. Vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlaması için tasarlanmıştır. Hem vatandaşların hem de işletmelerin dijital ekonomiden tam olarak yararlanabilmesi için düzenleyici ortamı basitleştirmeyi amaçlamaktadır. Bilmeniz gereken temel noktaları özetler ve uyum sağlamanıza yardımcı olacak pratik kontrol listeleri içerir.KVKK Kapsamında Alınması Gereken İdari ve Teknik Tedbirler
KVKK kapsamında alınması gereken 2 tip tedbir türü vardır:1. İdari Tedbirler
● Mevcut Risk ve Tehditlerin Belirlenmesi Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. ● Çalışanların Eğitilmesi ve Farkındalık Çalışmaları Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. ● Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır. ● Kişisel Verilerin Mümkün Olduğunca Azaltılması Kanun’un 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. ● Veri İşleyenler ile İlişkilerin Yönetimi Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanun’un 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur. İdari Tedbir Süreçleri: · Kişisel Veri İşleme Envanterinin Hazırlanması · Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.) · Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu arasında, Veri Sorumlusu – Veri İşleyen arasında)- Gizlilik Taahhütnameleri
- Risk Analizleri
2. Teknik Tedbirler
● Siber Güvenliğin Sağlanması Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, İnternet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır. Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. ● Kişisel Veri Güvenliğinin Takibi Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir. Bu durumun önüne geçebilmek için; a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, d) Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekmektedir. ● Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir. ● Kişisel Verilerin Bulutta Depolanması Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir. ● Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. ● Kişisel Verilerin Yedeklenmesi Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Teknik Tedbir Süreçleri:- Yetki Matrisi
- Yetki Kontrolü
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği (Berqnet Firewall cihazlarıyla sağlanabilir.)
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri (Berqnet Firewall cihazlarıyla sağlanabilir.)
- Log Kayıtları (Berqnet Firewall cihazlarıyla sağlanabilir.)
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları (Berqnet Firewall cihazlarıyla sağlanabilir.)
- Güncel Antivirüs Yazılımları
- Anahtar Yönetimi