KVKK Uyumu ve Kurumlarda Kişisel Verilerin Korunması

Makale

Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. ...

Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. Günümüzde kamu ve özel sektörün verdiği hizmetlerin büyük bölümü elektronik ortamlar üzerinde gerçekleşmektedir. Hizmet alırken veya hizmet verirken toplanan kişisel verilerin yaygın bir şekilde kötüye kullanımı, yasal düzenlemelerin yapılmasını da zorunlu hâle getirmiştir. Kişisel verilerin gizliliğinin ve kontrolünün kaybedilmesi, bireysel, sosyal ve kurumsal açıdan telafisi mümkün olmayan zararlara neden olabilir. Bilginin nimeti kadar külfeti de kurumları, toplumu ve kişileri doğrudan etkilemeye başlamıştır.

Birçok uluslararası belgede kişisel verilerin korunması ile ilgili hükümler yer almasına rağmen kişisel verilerin korunmasına ilişkin ilk hukuki düzenlemeler 1973 ve 1974 yıllarında Avrupa Konseyince hazırlanmıştır. Ülkemizde uzun yıllar Türkiye Büyük Millet Meclisi’nde yasa tasarısı olarak bekleyen Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.(2*)

Kişisel Verilerin Korunması Kanunu’na göre kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği Kişisel Verileri Koruma Tüzüğü de 2016 yılında General Data Protection Regulation (GDPR) yani Genel Veri Koruma Kanunu (GVKK) Türkiye ile aynı tarihlerde yürürlüğe girmiştir. Kişisel verilerin tanımlanması, ifade edilmesi ülkeye göre değişmekle birlikte tanımın içeriğinde büyük farklılıklar yoktur. Örneğin Almanya Verilerin Korunması Kanunu'nda kişisel veri şöyle tanımlanmıştır: Belirli ya da belirlenebilen bir gerçek kişinin kişisel ya da maddi ilişkilerine ait münferit veriler. Kişisel verileri alan ve işleyenler kanunda veri sorumlusu olarak tanımlanmıştır. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir.
Ülkemizde kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere özerk bir kurum olan Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak. KVKK’nın misyonu: Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.

Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere organizasyonlara 2018 Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ne yazık ki kurumlarımızın yasaya uyumlu çalışmaları için verilen süre dolmasına rağmen beklenen uyum süreci henüz sağlanamamıştır. Tüm kamu kurumlarımız, şirketlerimiz, üniversitelerimiz, vakıf ve derneklerimiz vb. KVKK’dan 2018 Haziran ayından bu yana geriye dönük olarak sorumluluk taşımaktadırlar.

Kişisel Verilerin Korunması Kanunu’nun en dikkat çekici yanı şirketlerin, kurumların yönetim kurullarını hedeflemesi olmuştur. Yasaya göre kişisel verilerin korunmasına yönelik bir sistem kurmayan Yönetim Kurulu üyeleri geriye dönük olarak da sorumluluk taşımaktadırlar.

Kanunda kişisel verilerin yanında özel nitelikli kişisel verilerin kullanımı belirli şartlara bağlanmıştır. Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete sebep olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması“ başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Kişisel verilerin korunması ile ilgili kanunlarda özel nitelikli kişisel verileri kategorize edip saymak, veri sınıflandırması yapmak bütün belirsiz­liklerin bertaraf edildiği anlamına da gelmemektedir.

Hassas veri tür­leri bazen kolayca örneklendirilebilir: Bir işverenin çalışanlarının sendika üyeliği kaydı; Bir uçak yolcusunun dini inancına uygun yemek tercihini göste­ren bilgi; Belirli bir kişi için tekerlekli sandalye erişiminin gerekli olduğunu belirten otel rezervasyon bilgisi; Bir çalışanın apandisit ameliyatı için hasta­nede olduğunu gösteren kayıt; Bir müşterinin striptiz kulüplerine gitmeyi sev­diğini açıklayan piyasa bilgisi; Bir kişinin uyuşturucu madde bağımlısı oldu­ğunu gösteren hastane kayıtları; Bir kişinin kara para aklama suçunu işledi­ğini gösteren bilgi.(3*)

Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası tehlikesi beklemektedir.

Kurumlarımızın özellikle Avrupa Birliği kişisel verileri koruma mevzuatı olan GDPR’ye dikkat etmeleri gerekmektedir. Aday ülke olarak bu kanunları takip ediyor ve mevzuatımızı güncelleşiyoruz. Türkiye’deki bir kurumun GDPR kapsamına girmesi son derece kolaydır. Bir AB vatandaşının kişisel verisini ihlal eden, ifşa eden ya da AB vatandaşının kişisel verisini yetkisiz erişime uğratan her kurum GDPR kapsamındaki cezalarla muhatap olacaktır.

GDPR cezaları ülkemize göre çok daha ağırdır, olayın büyüklüğüne göre 10.000.000 Euro ve 20.000.000 Euro veya küresel cironun %2’si ile %4’üne varan yüksek para cezaları bulunmaktadır.

Genel bilgi güvenliği önlemlerini almadan kişisel verileri tam anlamıyla önlemek mümkün değildir. İşte bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önerilmektedir. Veri güvenliği sadece siber güvenlik önlemleri alarak da gerçekleştirilemez, matbu ortamlardaki, kişilerdeki veriler de bu eko sistemin içindedir.

Kurumlarımızdaki en büyük kafa karışıklığı kişisel verilerin ne olduğunun yeterince kavranamamasıdır. Örneğin her kurumda KVKK kapsamına giren kişisel veriler şunlardır: Çalışanlara ait veriler; müşterilere ait kişisel veriler, ziyaretçilere ait kişisel veriler; tedarikçi ve paydaşlara ait kişisel veriler; çalışan adaylarına ait kişisel veriler tüm kurumlarımızı doğrudan ilgilendiren kişisel veri grupları. Kurumlar KVKK ile ilgili bir yönetim sistemi kurmak zorundadır. Her kurum KVKK ile ilgili eğitim vermeli, organizasyon yapısını oluşturmalı, kurumlarda kişisel verilerin korunmasına dair idari ve teknik tedbirleri almalıdırlar. Kişisel verilerin korunmasına yönelik olarak geliştirilen politika, prosedür, talimat ve formlar da KVKK ile ilgili bir dokümantasyonun oluşturulmasını bir doküman yönetimi sistemini de beraberinde getirmektedir. Çünkü birçok karar, tebliğ veya yasa değişikliğinde hazırlanan dokümanların revize edilmesi gerekmektedir.

Birçok kurumda sistemin kanunun ruhuna uygun olarak kurulamadığını görülmektedir. Örneğin KVKK ile ilgili organizasyonları İnsan Kaynakları veya BT Bölümlerine bağlamak bu kanunu yeterince anlamamış olmak demektir. KVKK ile ilgili kurulacak bir organizasyonun doğrudan Yönetim Kurulu’na bağlanması gerekmektedir.

Son olarak şunu belirtmek gerekir ki 50’den çok çalışanı olanlar veya bilançosu 25 milyonun üzerinde olanlar, ya da her iki şarttan birini taşıyan şirketler 2019 yılın Eylül ayına kadar KVKK ile ilgili sistemi kurup, yasaya uyum sağlayarak, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları yasal zorunluluktur. Örneğin KHK ile düzenlenen taşeron yasası sonrasında belediye şirketlerinin çoğu bu kapsama girmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenleri 20.000 Türk lirasından 1.400.000 Türk lirasına kadar idari para cezalar bekliyor. Kimse yasadan muaf değildir. Geçici muafiyet VERBİS kaydına ilişkin süre ile ilgilidir.

**

Kaynak: 2015-2018 Bilgi Toplumu Strateji ve Eylem Planı (1*), kvkk.gov.tr (2*), Doç. Dr. Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi ekseninde hassas (kişisel) veriler ve işlenmesi, dergipak.gov.tr (3*)
Bu içerik Marka Belgesi altında telif hakları ile korunmaktadır. Kaynak gösterilmesi, bağlantı verilmesi ve (varsa) müellifinin/yazarının adı ile unvanının aynı şekilde belirtilmesi şartı ile kısmen alıntı yapılabilir. Bu şartlar yerine getirildiğinde ayrıca izin almaya gerek yoktur. Ancak içeriğin tamamı kullanılacaksa TASAM’dan kesinlikle yazılı izin alınması gerekmektedir.

Alanlar

Kıtalar ( 5 Alan )
Aksiyon
 İçerik ( 2691 ) Etkinlik ( 219 )
Alanlar
Afrika 74 631
Asya 98 1072
Avrupa 22 636
Latin Amerika ve Karayipler 16 67
Kuzey Amerika 9 285
Bölgeler ( 4 Alan )
Aksiyon
 İçerik ( 1369 ) Etkinlik ( 52 )
Alanlar
Balkanlar 24 291
Orta Doğu 22 600
Karadeniz Kafkas 3 296
Akdeniz 3 182
Kimlik Alanları ( 2 Alan )
Aksiyon
 İçerik ( 1291 ) Etkinlik ( 77 )
Alanlar
İslam Dünyası 58 780
Türk Dünyası 19 511
Türkiye ( 1 Alan )
Aksiyon
 İçerik ( 2039 ) Etkinlik ( 81 )
Alanlar
Türkiye 81 2039

İçinde yaşadığımız yüzyılın en önemli özelliği politikadan ekonomiye, toplumsal ilişkilerden kültüre kadar hızlı bir değişim ve dönüşüme sahne olmasıdır. Bilgi ve iletişim teknolojilerindeki gelişmeler sadece ürün ve hizmetleri değil süreç ve iş yapış şekillerini de değiştirmektedir. Bu değişim ve d...;

İletişim alanı temelli kamu diplomasisi, uluslararası ilişkiler disiplini içerisinde her ne kadar yeni bir kavram olarak belirse de, dış politikanın anlamlandırılmasına önemli ölçüde katkı sağlamaktadır. Öncelikle kamu diplomasisi kavramının tarifi, bu doğrultudaki faaliyetlerin değerlendirilmesini ...;

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in hazırladığı “Küresel Rekabet Penceresinden Pasifik Adaları” isimli stratejik raporu yayımladı. ;

Gorbaçov’un kişiliğinin gizemi, insan Gorbaçov ile devlet adamı Gorbaçov arasındaki ayrıma dayanıyor. Çok farklı iki insandı. Ütopyasının özünde saf bir Leninizm’in olduğu bir Sovyetler Birliği ve Lizbon’dan Vladivostok'a barışçıl bir şekilde uzanan bir Avrupa vardı. O, iktidardaki entelektüelin büy...;

İnsanlığın karşı karşıya olduğu son dönemin en önemli tehdidi şüphesiz iklim değişikliğidir. Küresel ölçekte felaket senaryolarının merkezinde yer alması bunun göstergelerindendir. Buna karşın iklim değişikliği sorunu, kriz olgusunun doğası gereği içerisinde tehditlerle birlikte birtakım fırsatları ...;

Devletlerin uluslararası ilişkilerindeki politika ve uygulamalarının iki önemli öğesi bulunmaktadır. Dış politika analizlerine de konu edilen bu öğeler süreklilik ve değişimdir. Bir ülkenin dış politikasında süreklilik öğesi genel olarak iç politikaya nazaran daha fazla hissedilmektedir. Özellikle g...;

ABD-Çin rekabeti küresel belirsizliğin yoğunlaşması ile beraber daha karmaşık ve gri bir alana doğru kayıyor. İki ülke arasında devam eden sürtünme sadece Asya-Pasifik özelinde değil dünyanın farklı kıtalarında farklı dinamiklerle gerçekleşiyor.;

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in hazırladığı “ABD Hegemonyasına Meydan Okuyan Çin’in Zorlu Virajı; Güney Çin Denizi” isimli stratejik raporu yayımladı;

İstanbul Siber-Güvenlik Forumu

Bilgi teknolojilerinin hızlı gelişimi, aynı büyüklükteki güvenlik sorunlarını beraberinde getirmiştir. İnternetin ilk yıllarında bilgi güvenliğinin üç önemli bileşeni olan “erişilebilirlik, gizlilik, bütünlük” kavramlarından “erişilebilirlik” öne çıkmış; önce internetin gelişmesi ve işletilmesi düşünülmüş, “gizlilik ve bütünlük” geri planda kalmıştır.

  • 03 Kas 2022 - 04 Kas 2022
  • DTB Hilton İstanbul Topkapı Otel -
  • İstanbul - Türkiye

6. Türkiye - Körfez Savunma Ve Güvenlik Forumu

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

5. Türkiye - Afrika Savunma Güvenlik Ve Uzay Forumu

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

4. Denizcilik Ve Deniz Güvenliği Forumu 2022

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

8. İstanbul Güvenlik Konferansı (2022)

  • 03 Kas 2022 - 04 Kas 2022
  • Harbiye Askerî Müzesi ve Kültür Sitesi -
  • İstanbul - Türkiye

Dünya Türk Forumu Akil Kişiler Kurulu Toplantısı 5

Dünya Türk Forumu Akil Kişiler Kurulu’nun beşinci toplantısı 25 Mayıs 2023 tarihinde İstanbul’da 6. Dünya Türk Forumu marjında gerçekleştirilecektir.

  • 14 Haz 2023 - 14 Haz 2023
  • İstanbul - Türkiye

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in hazırladığı “ABD Hegemonyasına Meydan Okuyan Çin’in Zorlu Virajı; Güney Çin Denizi” isimli stratejik raporu yayımladı.

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in hazırladığı “Küresel Rekabet Penceresinden Pasifik Adaları” isimli stratejik raporu yayımladı.

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in uzun araştırmalar sonunda hazırladığı “TEKNOLOJİK ÜRETİMDE BAĞIMSIZLIK SORUNU; NTE'LER VE ÇİPLER ÜZERİNDE KÜRESEL REKABET” isimli stratejik raporu yayımladı

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in hazırladığı “Sri Lanka’nın Çöküşüne Küresel Siyaset Çerçevesinden Bir Bakış” isimli stratejik raporu yayımladı.

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in hazırladığı “Çin-Japon Anlaşmazlığında Doğu Çin Denizi Derinlerdeki Travmalar” isimli stratejik raporu yayımladı.

Türk Asya Stratejik Araştırmalar Merkezi TASAM, Dr. Cengiz Topel MERMER’in uzun araştırmalar sonunda hazırladığı “MYANMAR; Büyük Oyunun Doğu Sahnesi” isimli stratejik raporu yayımladı

İngiltere’nin II. Dünya Savaşı sonrasında Hint Altkıtası’ndan çekilmek zorunda kalması sonucunda, 1947 yılında, din temelli ayrışma zemininde kurulan Hindistan ve Pakistan, İngiltere’nin bu coğrafyadaki iki asırlık idaresinin bütün mirasını paylaştığı gibi bıraktığı sorunlu alanları da üstlenmek dur...

Devlet geleneğimizde yüksek emsalleri bulunan Meritokrasi’nin tarifi; toplumda bireylerin bilgi, bilgelik, beceri, çalışkanlık, analitik düşünce gibi yetenekleri ölçüsünde rol almalarıdır. Meritokrasi din, dil, ırk, yaş, cinsiyet gibi özelliklere bakmaksızın herkese fırsat eşitliği sunar ve başarıyı...