Bu makalemizde Kişisel Verileri Koruma Kurumu’nu (KVKK) ve görevlerini, verilerimizin neden korunması gerektiğini, verilerimizin çalınması halinde yapmamız gerekenleri ve verilerimizin güvenliği için neler yapmamız gerektiğinden bahsedeceğiz.
Ayrıca kurumların da kişisel verilerin çalınmasını önlemek için neler yapması gerektiği ve olası veri ihlalleri sonucunda ortaya çıkabilecek cezalardan bahsedeceğiz.
KVKK Nedir ?
KVKK, Türkiye’deki kişisel verilerin korunmasını sağlamak ve gözetmek için kurulmuş olan, düzenleme ve denetleme görevlerini üstlenen bir kurumdur. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayınlandıktan sonra bu kurum verilerimizi korumak için hayatımıza girdi.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun Amacı;
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bu düzenlemenin sağlıklı bir şekilde yapılabilmesi için Adalet Bakanlığı’na bağlı Kişisel Verileri Koruma Kurumu oluşturuldu.
Kişisel Verileri Koruma Kurumu’nun (KVKK) Görevleri Nelerdir ?
Görev alanı itibarıyla, KVKK’nın görevleri uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmaktan oluşuyor. Biraz daha detay vermek gerekirse;
- İhtiyaç duyulması halinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak.
- Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak.
- Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak.
- Kanunlarla verilen diğer görevleri yerine getirmek.
Verilerimizi Neden Korumalıyız ?
Kişisel verilerimizi, özellikle dijitalleşmeye evrilen dünyamızda birçok kurum ve kuruluşla paylaşıyoruz. Burada birkaç örnek vermek gerekirse Bankalar, web siteleri, mağazalar, kargo şirketleri gibi birçok firmadan bahsedebiliriz. Bu kurum ve kuruluşlarda bulunan bilgilerimiz bizler için dijital dünyada kritik öneme sahip. Diğer taraftan, özel hayatın gizliliği ilkesinden yola çıkarsak; örneğin bir Bankanın kişisel verilerimizi sızdırması, bizim T.C. Kimlik numaramızdan tutun da kredi kartı bilgilerimize kadar çalınmasına sebebiyet verebilir ve kimlik bilgilerimize ulaşan kötü amaçlı kişiler bizim adımıza işlem yapabilir. Bu da maddi ve manevi anlamda bize büyük zarar verebilir.
Yine başka bir örnek vermek gerekirse, bir web sitesine verilen telefon numaramızın sızdırılması sonucunda bizi sürekli rahatsız eden reklam mesajlarına maruz kalabiliriz. Ya da kötü amaçlı kişiler tarafından dolandırıcılık amaçlı telefon numaralarımızdan sürekli taciz edilebiliriz.
Açıklanan nedenler dolayısıyla verilerimizin korunması bizim için büyük bir önem arz ediyor.
İşte tam burada KVKK’nın uyguladığı yasal denetimler ve yaptırımlar devreye giriyor. KVKK, kurumlar üzerinde yaptığı denetim ve regülasyonlarla, kişisel bilgilerimizi güvende tutmak için bazı değişiklikler isteyebiliyor. Ancak burada bizim de kişisel bazı önlemler almamız gerektiğini unutmayalım.
Verilerimizin Korunması İçin Neler Yapmalıyız ?
Evet KVKK hayatımızda ancak verilerimizin güvende olmasını sağlamak için bazı önemli konularda da bilinçli olmamız gerekiyor. Bunları birkaç madde halinde sıralarsak;
- Web sitelerinde kullandığımız şifrelerin herkes tarafından bilinmeyen (doğum tarihi, futbol takımlarının kuruluş yılı, adınız vb.), harf rakam ve noktalama işaretlerinden oluşan şifreler belirlemek, bizi güvenlik konusunda bir adım ileri götürebilir.
- Yine çok yapılan hatalardan biri olan web sitesine üye olurken kullandığımız mail adresi şifrenizle web sitesinde oluşturduğunuz şifrenin aynı olması. Bu konuda ülkemizde maalesef çok mağdur var. Eğer siz de bu mağdurlardan olmak istemiyorsanız her sitede farklı şifreler oluşturmaya özen gösterin.
- Kullandığınız şifreleri düzenli aralıklarla değiştirmeniz gerekir. Bu durum kişisel verilerinizi korumada sizi güvende hissettirmekle kalmaz aynı zamanda kötü amaçlı kişilerin de işlerini epey zorlaştırır.
- Halka açık alanlarda Kimlik kartımız, ehliyetimiz gibi kişisel bilgilerimizi içeren evrakların görünmemesine özen göstermeliyiz.
- Bankacılık işlemlerinde sanal kart kullanmak, alışveriş sitelerine sanal kart kaydetmek kişisel verilerimizin çalınması durumunda maddi olarak bize minimum zararı verecektir.
Kişisel Verilerim Çalındı Şimdi Ne Yapmalıyım ?
Kişisel verilerinizi koruma altına aldınız ancak verileriniz yine çalındı. Bu durumda yapmamız gereken işlemler, herhangi bir zarara uğramamanıza veya minimum zararla bu durumu atlatmanızı sağlar.
Öncelikle verilerinizin çalındığı kurumda kart bilgileriniz varsa Bankanızı arayarak kartınızı iptal ettirin. Eğer kartınızı iptal ettirmezseniz kötü amaçlı kişiler tarafından maddi zarara uğrayabilirsiniz.
Cep telefon numaranızı dolandırıcılık amaçlı arayan özellikle son zamanlarda kendini Polis, Savcı, Hakim diye tanıtan insanlara kesinlikle itibar etmeyin. Bu kişiler genel olarak sizi korkutarak, dolandırabilir. Ne yazık ki ülkemizde bunun birçok örneği mevcut.
Eğer varolan parolanız ve mail adresinizi farklı sitelerde kullanıyorsanız, bu şifreleri de değiştirin. Böylelikle korunmanızı maksimum düzeyde sağlayacaksınız.
Yine kredi kartınız veya Bankacılık işlemlerinde herhangi bir şüpheli işlem görüyorsanız Bankaların iletişim merkezini arayarak bu işlemlerin size ait olmadığını Bankanıza bildirin. Bu durumda bankalar alınan tutarları iade edebiliyor. Bankaların yaptığı değerlendirme sonucunda itirazınızı haklı bulursa ilgili tutarlar tarafınıza iade ediliyor.
KURUMLARIN KİŞİSEL VERİLERİ KORUMASI İÇİN ALMASI GEREKEN TEDBİRLER NELERDİR ?
Kurumlar, KVKK’nın yönlendirmesiyle belirli standartlara tabi tutuluyor. Burada kurum İdari ve Teknik tedbirler olarak iki alt başlık altında tedbirlere yer vermiş. Makalemizin bu kısmında kurumlarda çalışan teknik ve idari personellerin yapması gerekenlere yer verdik.
1. İdari Tedbirler
a) Mevcut Risk ve Tehditlerin Belirlenmesi
Kurum tarafından yapılan bildirimlerde, kişisel veri güvenliğinin sağlanması için işlenen kişisel verilerin neler olduğu, ve bir sızıntı halinde gerçekleşebilecek kayıpların doğru şekilde belirlenmesi gerekiyor.
Bu riskler belirlenirken;
- Verilerin özel nitelikli kişisel veri olup olmadığı,
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği konuları dikkate alınmalıdır.
Riskler belirlendikten sonra, risklerin azaltılması ya da ortadan kaldırılması için çözümler üretilmesi ve gerekli tedbirlerin alınarak uygulanmaya koyulması gerekiyor.
b) Çalışanların Eğitilmesi
Çalışanlar, kişisel veri güvenliğini zedeleyecek saldırılar ve siber güvenliğe ilişkin bazı bilgilerle donatılmalıdır. Burada herhangi bir sızıntı durumunda ilk müdahaleyi çalışanların yapması sızıntıyı minimum hasarla atlatmanızı sağlar.
Diğer taraftan çalışanların, kişisel verileri hukuka aykırı bir şekilde sızdırması veya paylaşması, sıkça karşılaşılan güvenlik ihlallerinden. Bunun önüne geçebilmek için çalışanların eğitilmesi ve bu konuyla ilgili farkındalık yaratılması çok önemlidir.
Öte yandan bu konuyla ilgili çalışanların işe alım sürecünde gizlilik anlaşması imzalamasını da isteyebilirsiniz. Eğer herhangi bir ihlal durumunda gerekli disiplin işlemlerinin de olması gerekiyor.
c) Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.
Eğer bu politika ve prosedürler zamanında belirlenmezse kişisel veri güvenlik seviyesi yeterince sağlanmayabilir. Bu bağlamda alınacak tedbirlerin önceden belirlendiği bir olay yönetimi, çalışanlar üzerinde ortaya çıkacak baskıyı da azaltacaktır.
d) Kişisel Verilerin Azaltılması
Burada kanun maddelerine dayanarak kişisel verilerin doğru ve güncel olması gerekiyor ve verilerin işlendiği amaçlar için gerekli süre kadar muhafaza edilmesi gerekiyor.
Fakat, özellikle uzun süredir faaliyetlerde bulunan veri sorumluları, çok fazla miktarda kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. Bunun önüne geçebilmek için, veri sorumlularınca işleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir.
Bunun yanı sıra, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmekte ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.
e) Veri İşleyenler ile İlişkilerin Yönetimi
Veri sorumluları, bilgi teknolojileri ihtiyaçlarını karşılanması amacıyla veri işleyenlerden hizmet alabiliyor. Eğer böyle bir hizmet alıyorsanız, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmanız gerekiyor.
Ayrıca, veri işleyenlerle yapılan sözleşmelerin yazılı olması ve bu sözleşme içerisinde kişisel verilere ilişkin süresiz sır saklama yükümlülüğü olması büyük önem arz ediyor.
Yine söz konusu sözleşmede herhangi bir ihlal durumunda derhal veri işleyenlerin veri sorumlularına derhal bildirmekle yükümlü olması gerektiğine dair bir madde bulunması da önem arz eden konulardan. Veri sorumluların böyle bir sızıntı olması durumunda derhal KVKK’ya bildirim yapması gerektiğini de söyleyelim.
2. Teknik Tedbirler
a) Siber Güvenliği Sağlamak
Burada yapılan en büyük hatalardan biri tek bir siber güvenlik yazılımı kullanmak. Tehditler için gelişen yeni yöntemler her geçen gün artarak büyüyor. Bunun önüne tek siber güvenlik yazılımı ile geçmek her zaman güvenli olmuyor.
Yapılması gerekenler ise internet üzerinden gelen izinsiz erişim tehditlerine karşı güvenlik duvarı ve ağ geçidi kullanmak. Eğer iyi bir güvenlik duvarına sahipseniz, tehditler kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların kişisel veri güvenliğini ihlal edebilecek sitelere erişimini engelleyebilir.
Diğer taraftan kullanılan yazılımların ve işletim sisteminin güncel tutulması büyük önem taşıyor. Eğer teknoloji ile ilgili biriyseniz hemen her gün bazı yazılımların ve işletim sistemlerinin hacklendiğine dair haberleri görüyorsunuzdur. Yazılım firmaları bunların önüne geçmek için yazılımlarını güncelliyor. Kullanılmayan yazılımların ise silinmesi yine ekstra koruyucu özelliğe sahip.
Bir diğer konu ise çalışanlara yetkileri doğrultusunda gerekli erişimlerin verilmesi ve yetkisi olmayan konularda erişimin kısıtlanması da önemli. Kullandıkları bilgisayar ve programlara kullanıcı adı ve parolayla giriş yapması güvenlik düzeyinizi yükselten bir diğer araç.
Son olarak kötü amaçlı yazılımları önlemek amacıyla antivirüs, antispam gibi programlarla sistemlerin sürekli taranması ve bu sistemlerin de güncel tutulduğundan emin olunması gerekiyor.
b) Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri çoğu zaman saldırı altında olabiliyor. Bu durumda uzun zaman boyunca fark edilmeyebilir. Bu da müdahale etme zamanını geciktirir. Aşağıda belirtilen işlemleri yapmak bu durumun önüne geçebilir.
- Hangi yazılım ve servislerin ağlarda çalıştığının kontrol edilmesi
- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi
- Log kayıtları gibi tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması
- Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması
- Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması
Diğer taraftan kurmuş olduğunuz güvenlik sistemlerine de düzenli aralıklarla zaafiyet taraması yapılması gelecek saldırılara karşı sizi güvende tutar.
c) Kişisel Veri Ortamlarının Güvenliğinin Sağlanması
Kişisel verilerin barındırıldığı ortamlar veri sorumlularının yerleşkesinde ise bu yerlerin fiziksel güvenlik önlemlerinin alınması gerekiyor. Aynı şekilde bu binaların yangın, sel gibi afetlere karşı da korumalı olması gerekir.
Eğer verileriniz elektronik ortamda ise olası ihlalleri önlemek amacıyla bir dizi önlemler alınabilir. Örneğin ağ erişimlerine karşı sınırlandırma ve kişisel verilerin bulunduğu ortamı mevcut ağdan ayırarak, sadece yetkili kişilerin erişmesine izin verebilir, böylelikle yetkisi olmayan kişilerin kişisel verilere erişmesini imkansız kılabilirsiniz.
d) Kişisel Verilerin Bulutta Depolanması
Bu kısımda en güvenilir metotlardan biri de bulutta depolama çözümü. Ancak burada da birkaç konuya dikkat etmek gerekiyor.
Eğer kişisel verilerin bulutta depolanmasına karar verdiyseniz, mutlaka hizmet sağlayıcının güvenlik önlemlerini kontrol etmeniz gerekir. Karar aşamasından sonra ise gerekli senkronizasyonun sağlanarak kişisel verilere erişen kişilerin iki kademeli kimlik doğrulama sistemi kullanılması öneriliyor.
Ayrıca kişisel verileri bulutta depolarken kriptografik şifreler kullanılması da tavsiye ediliyor.
e) Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekiyor.
Örneğin bir fidye yazılımı ile verilerinizin kilitlenmesi durumunda kişisel verilere erişmeniz imkansız hale gelebilir. Burada bir yedekleme sisteminin önemi daha iyi anlaşılıyor.
Diğer taraftan yedeklenen verilere de sadece sistem yöneticisinin erişebilmesi de olası veri ihlallerinin önüne geçebilir.
Veri İhlali Cezaları Nelerdir ?
Kişisel verilerin ihlali durumunda KVKK tarafından hapis cezasının yanı sıra idari para cezaları da işletme ve işletme sahiplerine gelebilir. Bu cezaların ana dayanağı 6698 sayılı KVKK ile hayatımıza girmiştir.
Hapis Cezaları
Veri ihlali durumundaki hapis cezaları türlerine göre değişiklik gösteriyor. Madde halinde bu durumları sıralamak gerekirse;
- Kişisel verilerin hukuka aykırı bir şekilde kaydedilmesi 1-3 yıl
- Verilerin hukuka aykırı olarak yayma veya ele geçirme 2-4 yıl
- Süresi geçen kişisel verilerin yok edilmemesi 1-2 yıl
- İlgili kişi talebiyle verilerin silinmemesi 1-2 yıl
şeklinde belirtiyor. Diğer taraftan özel nitelikli verilerin ihlali halinde cezalar 1.5 kat daha fazla artabiliyor.
İdari Para Cezaları
Veri ihlali durumunda kurumunuzu bekleyen para cezaları enflasyona göre güncellenmekte olup 2020 yılı için;
- Aydınlatma yükümlülüğünü yerine getirmeme 9.013 TL-180.264 TL
- Veri güvenliği yükümlülüklerini yerine getirmeme 27.040 TL-1.802.636 TL
- Kurul kararlarını yerine getirmeme 45.066 TL-1.802.636 TL
- VERBİS kayıt ve Bildirim Yükümlülüğüne aykırılık 36.053 TL-1.802.636 TL
olarak belirlenmiştir.
VERBİS nedir dediğinizi duyar gibiyim. Verbis; Veri Sorumluları Sicil Bilgi Sistemi anlamına geliyor. KVKK ile hayatımıza giren bu sistem gerçek ve tüzel kişilerin veri işleme faaliyetleri ile ilgili bilgileri kategorik bazda VERBİS sistemine beyan etmek zorunda. Bu zorunluluk 6698 sayılı kanun maddesinde geçmektedir.
VERBİS sistemine kayıt olmak için www.kvkk.gov.tr adresinden ekrana gelen sayfada VERBİS butonuna tıklanarak ilgili alanlar doldurulur ve sisteme kayıt gerçekleştirilir.
SIK SORULAN SORULAR
KVKK veri sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen kişiyi de denir. Ayrıca veri sorumlusu veri kayıt sisteminin kurulması ve yönetilmesi görevini de üstlenir.
KVKK Rıza metni nedir?
Kurum ve kuruluşlara verdiğiniz kişisel bilgilerin işlenip işlenemeyeceğine dair formlara KVKK rıza metni diyebiliriz. Kurumlar sizin rızanız olmadan herhangi bir kişisel verinizi işleyemez. Diğer taraftan sıklıkla karşılaşılan reklam SMS’leri, e-postalar veya kampanya bildirimleri gibi bildirimler rızanız olmaması durumunda size gönderilemez.
Kişisel verilerinizin rızanız olmaması durumunda işlenilmesi Türk Ceza Kanunu’na göre suç teşkil ediyor.
Kişisel veriler nelerdir?
Kişisel veriler kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veriyi ifade eder. Örnek vermek gerekirse ehliyetiniz, kimlik kartınız, telefon numaranız, araç plakanız size özeldir ve sizin kişisel verilerinizdir.
KVKK kapsamına kimler giriyor?
Verilerinizi işleyen gerçek kişiler KVKK kapsamına girmektedir. Verileri işlenen tüzel kişiler ise bu kanunun kapsamı dışındadır.
KVKK zorunluluğu nedir?
Veri işleyen gerçek ve tüzel kişilerin verilerin güvenliği ve gizliliği açısından herhangi bir ihlalin önüne geçme amacını taşır. Bu amaçlar kanun kapsamına alınmıştır ve uyması zorunludur.
Kaynaklar: wikipedia, kvkk.gov.tr