KVKK Uyumu ve Kurumlarda Kişisel Verilerin Korunması

Makale

Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. ...

Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. Günümüzde kamu ve özel sektörün verdiği hizmetlerin büyük bölümü elektronik ortamlar üzerinde gerçekleşmektedir. Hizmet alırken veya hizmet verirken toplanan kişisel verilerin yaygın bir şekilde kötüye kullanımı, yasal düzenlemelerin yapılmasını da zorunlu hâle getirmiştir. Kişisel verilerin gizliliğinin ve kontrolünün kaybedilmesi, bireysel, sosyal ve kurumsal açıdan telafisi mümkün olmayan zararlara neden olabilir. Bilginin nimeti kadar külfeti de kurumları, toplumu ve kişileri doğrudan etkilemeye başlamıştır.

Birçok uluslararası belgede kişisel verilerin korunması ile ilgili hükümler yer almasına rağmen kişisel verilerin korunmasına ilişkin ilk hukuki düzenlemeler 1973 ve 1974 yıllarında Avrupa Konseyince hazırlanmıştır. Ülkemizde uzun yıllar Türkiye Büyük Millet Meclisi’nde yasa tasarısı olarak bekleyen Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.(2*)

Kişisel Verilerin Korunması Kanunu’na göre kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği Kişisel Verileri Koruma Tüzüğü de 2016 yılında General Data Protection Regulation (GDPR) yani Genel Veri Koruma Kanunu (GVKK) Türkiye ile aynı tarihlerde yürürlüğe girmiştir. Kişisel verilerin tanımlanması, ifade edilmesi ülkeye göre değişmekle birlikte tanımın içeriğinde büyük farklılıklar yoktur. Örneğin Almanya Verilerin Korunması Kanunu'nda kişisel veri şöyle tanımlanmıştır: Belirli ya da belirlenebilen bir gerçek kişinin kişisel ya da maddi ilişkilerine ait münferit veriler. Kişisel verileri alan ve işleyenler kanunda veri sorumlusu olarak tanımlanmıştır. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir.
Ülkemizde kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere özerk bir kurum olan Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak. KVKK’nın misyonu: Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.

Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere organizasyonlara 2018 Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ne yazık ki kurumlarımızın yasaya uyumlu çalışmaları için verilen süre dolmasına rağmen beklenen uyum süreci henüz sağlanamamıştır. Tüm kamu kurumlarımız, şirketlerimiz, üniversitelerimiz, vakıf ve derneklerimiz vb. KVKK’dan 2018 Haziran ayından bu yana geriye dönük olarak sorumluluk taşımaktadırlar.

Kişisel Verilerin Korunması Kanunu’nun en dikkat çekici yanı şirketlerin, kurumların yönetim kurullarını hedeflemesi olmuştur. Yasaya göre kişisel verilerin korunmasına yönelik bir sistem kurmayan Yönetim Kurulu üyeleri geriye dönük olarak da sorumluluk taşımaktadırlar.

Kanunda kişisel verilerin yanında özel nitelikli kişisel verilerin kullanımı belirli şartlara bağlanmıştır. Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete sebep olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması“ başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Kişisel verilerin korunması ile ilgili kanunlarda özel nitelikli kişisel verileri kategorize edip saymak, veri sınıflandırması yapmak bütün belirsiz­liklerin bertaraf edildiği anlamına da gelmemektedir.

Hassas veri tür­leri bazen kolayca örneklendirilebilir: Bir işverenin çalışanlarının sendika üyeliği kaydı; Bir uçak yolcusunun dini inancına uygun yemek tercihini göste­ren bilgi; Belirli bir kişi için tekerlekli sandalye erişiminin gerekli olduğunu belirten otel rezervasyon bilgisi; Bir çalışanın apandisit ameliyatı için hasta­nede olduğunu gösteren kayıt; Bir müşterinin striptiz kulüplerine gitmeyi sev­diğini açıklayan piyasa bilgisi; Bir kişinin uyuşturucu madde bağımlısı oldu­ğunu gösteren hastane kayıtları; Bir kişinin kara para aklama suçunu işledi­ğini gösteren bilgi.(3*)

Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası tehlikesi beklemektedir.

Kurumlarımızın özellikle Avrupa Birliği kişisel verileri koruma mevzuatı olan GDPR’ye dikkat etmeleri gerekmektedir. Aday ülke olarak bu kanunları takip ediyor ve mevzuatımızı güncelleşiyoruz. Türkiye’deki bir kurumun GDPR kapsamına girmesi son derece kolaydır. Bir AB vatandaşının kişisel verisini ihlal eden, ifşa eden ya da AB vatandaşının kişisel verisini yetkisiz erişime uğratan her kurum GDPR kapsamındaki cezalarla muhatap olacaktır.

GDPR cezaları ülkemize göre çok daha ağırdır, olayın büyüklüğüne göre 10.000.000 Euro ve 20.000.000 Euro veya küresel cironun %2’si ile %4’üne varan yüksek para cezaları bulunmaktadır.

Genel bilgi güvenliği önlemlerini almadan kişisel verileri tam anlamıyla önlemek mümkün değildir. İşte bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önerilmektedir. Veri güvenliği sadece siber güvenlik önlemleri alarak da gerçekleştirilemez, matbu ortamlardaki, kişilerdeki veriler de bu eko sistemin içindedir.

Kurumlarımızdaki en büyük kafa karışıklığı kişisel verilerin ne olduğunun yeterince kavranamamasıdır. Örneğin her kurumda KVKK kapsamına giren kişisel veriler şunlardır: Çalışanlara ait veriler; müşterilere ait kişisel veriler, ziyaretçilere ait kişisel veriler; tedarikçi ve paydaşlara ait kişisel veriler; çalışan adaylarına ait kişisel veriler tüm kurumlarımızı doğrudan ilgilendiren kişisel veri grupları. Kurumlar KVKK ile ilgili bir yönetim sistemi kurmak zorundadır. Her kurum KVKK ile ilgili eğitim vermeli, organizasyon yapısını oluşturmalı, kurumlarda kişisel verilerin korunmasına dair idari ve teknik tedbirleri almalıdırlar. Kişisel verilerin korunmasına yönelik olarak geliştirilen politika, prosedür, talimat ve formlar da KVKK ile ilgili bir dokümantasyonun oluşturulmasını bir doküman yönetimi sistemini de beraberinde getirmektedir. Çünkü birçok karar, tebliğ veya yasa değişikliğinde hazırlanan dokümanların revize edilmesi gerekmektedir.

Birçok kurumda sistemin kanunun ruhuna uygun olarak kurulamadığını görülmektedir. Örneğin KVKK ile ilgili organizasyonları İnsan Kaynakları veya BT Bölümlerine bağlamak bu kanunu yeterince anlamamış olmak demektir. KVKK ile ilgili kurulacak bir organizasyonun doğrudan Yönetim Kurulu’na bağlanması gerekmektedir.

Son olarak şunu belirtmek gerekir ki 50’den çok çalışanı olanlar veya bilançosu 25 milyonun üzerinde olanlar, ya da her iki şarttan birini taşıyan şirketler 2019 yılın Eylül ayına kadar KVKK ile ilgili sistemi kurup, yasaya uyum sağlayarak, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları yasal zorunluluktur. Örneğin KHK ile düzenlenen taşeron yasası sonrasında belediye şirketlerinin çoğu bu kapsama girmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenleri 20.000 Türk lirasından 1.400.000 Türk lirasına kadar idari para cezalar bekliyor. Kimse yasadan muaf değildir. Geçici muafiyet VERBİS kaydına ilişkin süre ile ilgilidir.

**

Kaynak: 2015-2018 Bilgi Toplumu Strateji ve Eylem Planı (1*), kvkk.gov.tr (2*), Doç. Dr. Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi ekseninde hassas (kişisel) veriler ve işlenmesi, dergipak.gov.tr (3*)
Bu içerik Marka Belgesi altında telif hakları ile korunmaktadır. Kaynak gösterilmesi, bağlantı verilmesi ve (varsa) müellifinin/yazarının adı ile unvanının aynı şekilde belirtilmesi şartı ile kısmen alıntı yapılabilir. Bu şartlar yerine getirildiğinde ayrıca izin almaya gerek yoktur. Ancak içeriğin tamamı kullanılacaksa TASAM’dan kesinlikle yazılı izin alınması gerekmektedir.

Alanlar

Kıtalar ( 5 Alan )
Aksiyon
 İçerik ( 2680 ) Etkinlik ( 219 )
Alanlar
Afrika 74 630
Asya 98 1060
Avrupa 22 636
Latin Amerika ve Karayipler 16 68
Kuzey Amerika 9 286
Bölgeler ( 4 Alan )
Aksiyon
 İçerik ( 1369 ) Etkinlik ( 52 )
Alanlar
Balkanlar 24 290
Orta Doğu 22 600
Karadeniz Kafkas 3 297
Akdeniz 3 182
Kimlik Alanları ( 2 Alan )
Aksiyon
 İçerik ( 1292 ) Etkinlik ( 77 )
Alanlar
İslam Dünyası 58 781
Türk Dünyası 19 511
Türkiye ( 1 Alan )
Aksiyon
 İçerik ( 2033 ) Etkinlik ( 80 )
Alanlar
Türkiye 80 2033

“Şayet Türkler olmasaydı Rus tarihi en azından 1000 yıldır boşluk içinde kalırdı!” demek yanlış sayılamaz. Zira Türk-Rus ilişkilerinin tarihi, yüzyıllardır birbiriyle komşuluk yanında aynı bölgeyi ve hatta aynı devleti paylaşan, bugün dahi paylaşmaya devam eden eşine az rastlanır bir ilişkiler yumağ...;

Dünya İslâm Forumu ve İslâm Ülkeleri Düşünce Kuruluşları Platformu (ISTTP) tarafından, dördüncü defa verilecek olan İslâm Dünyası İstanbul Ödülleri açıklandı.;

II. Dünya Savaşı sonrasında ABD ve Birleşik Krallık tarafından temeli atılan Beş Göz ittifakı, Birleşik Krallık, ABD, Kanada, Avustralya ve Yeni Zelanda arasındaki teknik istihbarat iş birliği mekanizmasıdır. Sorumluluk sahaları açıkça beyan edilmese de üye ülkelerin dünyanın belirli bölgelerine yön...;

Soğuk Savaş Dönemi ertesinde dünyada oluşan tek kutuplu düzenin ortadan kalkmaya başladığı ve güvenlik ortamında yeni dengelerin oluştuğunun emareleri görülmeye başlamıştır. Değişimde, ABD’nin Ortadoğu bölgesinde son 20 yılda kaybettiği enerji ve kendi iç sorunlarının ortaya çıkışı mutlaka göz önünd...;

03-05 Nisan 2013 tarihinde İstanbul’da düzenlenen 2. Dünya Türk Forumu sonuç bildirgesinde; Forum bünyesinde bir “Türk Dünyası Ödülü“ ihdas edilmesi benimsenmişti. Türk Dünyası’nın vizyon ve derinliğini güçlendiren başarılı kişiler ile kurumları onurlandırmak ve teşvik etmek amacı ile farklı kategor...;

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in uzun araştırmalar sonunda hazırladığı “TEKNOLOJİK ÜRETİMDE BAĞIMSIZLIK SORUNU; NTE'LER VE ÇİPLER ÜZERİNDE KÜRESEL REKABET” isimli stratejik raporu yayımladı.;

Afrika 54 ülke barındıran bir kıtadır. 30 milyon km2 alana sahip olan bu kıta Akdeniz, Kızıldeniz ve Atlantik Okyanusu tarafından çevrilmektedir. Afrika, Cebelitarık Boğazı ile Avrupa Kıtası’na bağlıdır. Sömürgecilik döneminden itibaren Avrupa kıtasının etkisi altında kalmıştır. ;

ABD-Çin rekabeti özellikle son dönemde yaşanan hızlı gelişmeler eşliğinde derinleşiyor. ABD Başkanı Biden’ın Asya ziyareti ve Tayvan ile ilgili sonradan tevil edilen sözleri ilişkileri gererken Çin’e yönelik stratejinin Dışişleri Bakanı Blinken tarafından ana hatları ile açıklanması rekabeti yeni bi...;

İstanbul Siber-Güvenlik Forumu

Bilgi teknolojilerinin hızlı gelişimi, aynı büyüklükteki güvenlik sorunlarını beraberinde getirmiştir. İnternetin ilk yıllarında bilgi güvenliğinin üç önemli bileşeni olan “erişilebilirlik, gizlilik, bütünlük” kavramlarından “erişilebilirlik” öne çıkmış; önce internetin gelişmesi ve işletilmesi düşünülmüş, “gizlilik ve bütünlük” geri planda kalmıştır.

  • 03 Kas 2022 - 04 Kas 2022
  • DTB Hilton İstanbul Topkapı Otel -
  • İstanbul - Türkiye

6. Türkiye - Körfez Savunma Ve Güvenlik Forumu

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

5. Türkiye - Afrika Savunma Güvenlik Ve Uzay Forumu

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

4. Denizcilik Ve Deniz Güvenliği Forumu 2022

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

8. İstanbul Güvenlik Konferansı (2022)

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

Dünya Türk Forumu Akil Kişiler Kurulu Toplantısı 5

Dünya Türk Forumu Akil Kişiler Kurulu’nun beşinci toplantısı 25 Mayıs 2023 tarihinde İstanbul’da 6. Dünya Türk Forumu marjında gerçekleştirilecektir.

  • 14 Haz 2023 - 14 Haz 2023
  • İstanbul - Türkiye

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in uzun araştırmalar sonunda hazırladığı “TEKNOLOJİK ÜRETİMDE BAĞIMSIZLIK SORUNU; NTE'LER VE ÇİPLER ÜZERİNDE KÜRESEL REKABET” isimli stratejik raporu yayımladı

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in uzun araştırmalar sonunda hazırladığı “MYANMAR; Büyük Oyunun Doğu Sahnesi” isimli stratejik raporu yayımladı

İngiltere’nin II. Dünya Savaşı sonrasında Hint Altkıtası’ndan çekilmek zorunda kalması sonucunda, 1947 yılında, din temelli ayrışma zemininde kurulan Hindistan ve Pakistan, İngiltere’nin bu coğrafyadaki iki asırlık idaresinin bütün mirasını paylaştığı gibi bıraktığı sorunlu alanları da üstlenmek dur...

Devlet geleneğimizde yüksek emsalleri bulunan Meritokrasi’nin tarifi; toplumda bireylerin bilgi, bilgelik, beceri, çalışkanlık, analitik düşünce gibi yetenekleri ölçüsünde rol almalarıdır. Meritokrasi din, dil, ırk, yaş, cinsiyet gibi özelliklere bakmaksızın herkese fırsat eşitliği sunar ve başarıyı...

Gündem 2063, Afrika'yı geleceğin küresel güç merkezine dönüştürecek yol haritası ve eylem planıdır. Kıtanın elli yıllık süreci kapsayan hedeflerine ulaşma niyetinin somut göstergesidir.

Geçmişte büyük imparatorluklar kuran Çin ve Hindistan, 20. asırda boyunduruktan kurtularak bağımsızlıklarına kavuşmuş ve ulus inşa sorunlarını aştıkça geçmişteki altın çağ imgelerinin cazibesine kapılmıştır.

Meritokrasi Devlet geleneğimizde yüksek emsalleri bulunan Meritokrasi’nin tarifi; toplumda bireylerin bilgi, bilgelik, beceri, çalışkanlık, analitik düşünce gibi yetenekleri ölçüsünde rol almalarıdır. Meritokrasi din, dil, ırk, yaş, cinsiyet gibi özelliklere bakmaksızın herkese fırsat eşitliği sunar...

Türkiye ile Avrupa Birliği (AB) ilişkilerinin bugünü ve geleceğinin ele alındığı Avrupa Birliği Sempozyumu, Türk Asya Stratejik Araştırmalar Merkezi (TASAM) ile Türk Avrupa Bilimsel ve Eğitimsel Araştırmalar Vakfı (TAVAK) işbirliğinde 02 Şubat 2018’de İstanbul Taksim Hill Otel’de gerçekleştirildi.