KVKK Nedir? Nelere dikkat etmeliyiz?

Posted by

Bu makalemde son dönemde bütün şirketlerin gündeminde olan KVKK’dan bahsetmeye çalışacağım. KVKK Nedir ? sorusuna cevap bulmaya çalışırken KVKK’dan bahsederken beni bir avukat olarak değil, bir Bilgi Teknolojileri Yöneticisi olarak düşünürseniz makale sizin için daha anlamlı olabilir. Aslında makaleden ziyade yazı dizisi demek çok daha doğru olacak. Zira, KVKK Nedir? KVKK’ya karşı nasıl önlemler almalıyız? Hangi ürünler neyi karşılar gibi farklı makaleler de yazacağım.

Bu yazıdaki konu başlıklarına göz atalım isterseniz;

KVKK Nedir?


# KVKK Nedir? ( Kişisel Verilerin Korunması Kanunu )

Kişisel Verilerin Korunması Kanunu, yani kısaca KVKK olarak geçiyor. KVKK, kişilerin gizliliğini korumak için yürürlüğe girmiş bir kanundur. Gizliliğini korumak için diyoruz ama neden kişisel veri olarak geçiyor derseniz cevabı ise her kişisel verinin kişiyi tanımlayabilecek bir etken olduğunu unutmamanız gerekiyor. O zaman aslında şu soruyu cevaplayalım ki durum biraz daha pekişsin. Kişisel veri nedir?


# Kişisel Veri Nedir?

Kişisel veri kanunda şu şekilde geçiyor. Kişinin kimliğini belirleyebilecek her türlü bilgi bir kişisel veridir. Yani bu açık uçlu bir cümle olduğu için kişi ile bağlantı kurabileceğiniz, aklınıza gelen herşey olabilir.

Sıkıcı olacak biraz ama kanun hakkında birkaç ufak detay daha paylaşıp bırakacağım söz. 🙂


# Özel Nitelikli Kişisel Veri (Hassas Veri) Nedir?

Okuduğunuzda “Kişisel veriden bahsettik zaten, birde bunun özeli mi var?” diye sorabiliriz, bende sordum. Sorguladıktan sonra ise mantıklı bir sebebi olduğunu fark ettim. Kişisel veri ile aynı mantıkta fakat kişisel verinin dışında ayrımcılığa sebep olacak verileri barındırıyorsanız bu özel yapıyor. Teknik tabiri ile kanunda şu şekilde geçiyor “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “.

Yani diyor ki, bu insan senin yüzünden ayrımcılığa ugrarsa yakarım diyor. 🙂

Eee peki biz bu bilgileri alamazsak işlerimiz yürümez!” Düşüncesine sahipseniz bir sonraki başlık sizin için;


# Açık Rıza Nedir?

Bir kullanıcının kişisel verisini barındırıyorsanız bunun onayını kullanıcıdan almanız gerekiyor. Bu çok önemli, fakat daha da önemlisi bunun için özgür iradesiyle bu kararı vermiş olması gerekiyor. Dikkat edin! Formun altına yazdığınız ufak yazılarla “Ben senin numaranı aldım daha sonra arıycam” gibi ufak kaçamaklar yapmayın. Bu onayı alıyorsanız, kullanıcının bunu çok açık şekilde anlamış olması gerekiyor.

Ya da “Kardeşim benim sayfama üye olmak istiyorsan kişisel verini vermekle yükümlüsün! Yoksa benim sayfama üye olamazsın!

Aman ha! Yakmayın durduk yere kendinizi, ufak bir şikayete bakar. Cezası kabahatlar kanunundan geliyor. 🙂 Ufak tefek rakamlar değil… Zaten siz yükümlülüklerinizi yerine getirdikten sonra sistem tıkır tıkır işler.

Ee peki nasıl olacak bu açık rıza işlemi?

Devlet bununla ilgili 3 tane şeye dikkat edin diyor. Başlıklarını koyuyorum, okuması araştırması size kalsın uzun konu.

  • Belirli bir konuya ilişkin olma:
  • Bilgilendirmeye dayanma
  • Özgür iradeyle açıklanmış olma

Zaten yeterince açıklayıcı başlıkları bile.. Bir de ışık tutmakta fayda var! Size kaçak göçek yol gösteriyor gibi olmasın ama, kişisel verilerin işlenmesi için tek şart açık rıza değil. Bunun dışında kanunda yerinin olması, olmaması durumunda işlerin yürümeyecek olması ve bunun ispatlanabilir durumda olması gibi sebepler de var. Örneğin, bir bahis sitesine üye olurken kimlik numarası yazmak zorundayız çünkü devlet bunu zorunlu kılıyor. Bunun gibi farklı örnekler de çıkar karşınıza.


# KVKK’nın Amacı Hakkında Değerlendirme!

Biraz KVKK özelinde değerlendirme yapmak istedim. Aslında yukarıda yazanların dışında da farklı şeyler yazmayacağım. Genel özet gibi düşünebilirsiniz;

Öncelikle KVKK’yı şahsen çok başarılı buldum. Sadece denetim noktası biraz muallakta kalmış gibi. Ama şikayet bazında ilerlediğinizde, Kişisel Verilerin Korunması Kurumu adlı bir kurum da olduğundan dolayı çok farklı boyutlara çıkabilir gibi görünüyor. Ben başarılı buluyorum fakat KVKK versiyon 2 bulunuyor aslında.

KVKK, avrupa birliği uyum yasaları kapsamında çıktı denebilir. Evet bu bir ihtiyaçtı ama bir yandan da zorunlu kılındı. Biz KVKK’yı ilk olarak 2010 yılında tek cümlelik bir madde ile belirlemiştik Türkiye olarak. 18 Ocak 2016 tarihinde ise kanun olarak karşımıza çıktı. Bunu bir de Avrupa tarafını incelediğimizde ilk olarak 1995 yılında Data Protection Directive (Veri Koruma Direktifi) adıyla çıktığını, üzerine ekleyerek bugünlere GDPR ( General Data Protection Regulation – Genel Veri Koruma Yönetmeliği ) olarak geldiğini görüyoruz. Uzun yıllardır devam eden bir süreç olduğu için KVKK V2 olarak görüyorum.

Ee tabi! Avukat değilim, yıllardır üzerinde çalışmıyor o nedenle size aralarındaki bütün farklılıkları sayamam. Bu nedenle de beni Avukat olarak değil, Bilgi Teknolojileri Yöneticisi olarak görün demiştim.

Bu kadar konunuz üzerine asıl noktaya geldik sanırım. Aslında hala bilinmesi gereken birçok nokta var ama 100’lerce sayfa yazarak anlatılan bir kanunu ben bir sayfada anlatmama tabi. Ben bu nedenle konunun özüne inmeye çalıştım meslektaşlarım için.

Konu teknoloji özeline indiğinde yine alt başlıklara ayırmak lazım ama ben onu bir sonraki yazıda yapmayı düşünüyorum. Genel yorumlarımla bitireyim bu konuyu.

Kişisel verilerin işlenmesi birçok alt konuyu içinde barındırıyor. Herhangi bir depolamak diye düşündüğünüzdee bile, CD ile depolamak, SQL’de tutmak, programda tutmak vb.. Ohoo! dallanıp budaklanıyor. Bu barındırdığınız daha ile yaptığınız en ufak bir işlem (açık bakmak dahil) kişisel verilerin işlenmesi anlamına geliyor. Bu nedenle çok şeyden sorumluyuz. Zaten devlet bu konuyu da ikiye ayırmış kendi içinde Veri Sorumlusu ve Veri İşleyen olarak iki farklı kişi tanımlamış.

Veri Sorumlusu; Gerçek veya Tüzel bir kişi olabilir. Yasada sanki açık şekilde belirtilmemiş ama benim gördüğüm kadarıyla veri sorumlusu sıfatı bilgi teknolojileri departmanı ve şirket.

Veri İşleyen ise; Yine gerçek veya tüzel bir kişi olabilir. Sorumluda olduğu gibi açık şekilde belirtilmemiş. Bu kişi ise, son kullanıcı ve şirket.

Veri sorumlusu, bu dataları yönetmekle yükümlü ve yönetiminden sorumlu. Erişim vb..

Veri işleyen ise, dataların kullanımından sorumlu.

Yine yasalara göre anladığım kadarıyla söylüyorum kiii, bir problem yaşandığında kanun karşısında veri sorumlusu hesap verir. 🙂


# KVKK Karşısında Bilgi Teknoloji Departmanları Olarak Neler Yapabiliriz?

Şimdi buradan, Bilgi Teknolojileri Yöneticisi, Bilgi İşlem, Sistem Yöneticisi vb ünvanlara sahip arkadaşlara sesleniyorum. Sorumluluğumuzda olan birçok şey var. Açıklanan rehberde aşağıdaki gibi Teknik Tedbirler listesi paylaşılmış. Listeye buradan ulaşabilirsiniz!
KVKK Teknik Tedbirler

Tek tek inceleyince biraz anlamsız duruyorlar. Anahtar yönetimi gibi ama hepsinin bir açıklaması var tabi 🙂

Ben bu kadar konuyu daha sadece şekilde 4 başlıkta inceleyeceğim ve hepsinin üzerinden geçeceğiz. Ben özetle şu şekilde ilerleyeceğim.

Keşfet: Verilerin nerelerde olduğu ne şartlar altında saklandığını, tespitin önemini belirteceğim.

Yönet: Bulduğumuz verilerin nasıl erişilebileceğini ve kullanılacağını ve yönetileceğini anlatacağım.

Koru: Güvenlik açıklarını ve saldırıları nasıl tespit edip önlem alabileceğini göstereceğim.

Raporla: Gerektiğinde bu dosyaları nasıl raporlayacağınızı bilmeliyiz.

Yukarıdaki saydığım 4 başlık dikkatli baktığınızda 17 başlığı kapsıyor. Böyle incelemek çok daha anlaşılır olacaktır diye düşünüyorum.

Bunun dışında faydalarından da bahsetmek gerekirse, bu yükümlülüklerin yerine getirilmesi yaptırımlardan kaçmanıza olanak sağlayacak. Yaptırımlardan kaçtığınızda, itibarınız artacak. İtibarı artan bir firmanın rekabet gücü de artar. Rekabet gücü yüksek bir firmanın müşteri memnuniyeti de beraberinde gelir. Bu nedenle, yöneticilerinize de bu mottoyla ilerlerseniz güzel sonuçlar alırsınız diye düşünüyorum. 🙂 Bu söylediklerimin de doğru olduğuna çok inanıyorum.

Bu yazımda anlatacaklarım bu kadar. Kafanızı çok fazla karıştırmaması için farklı makalelere bölüp detaylı, anlaşılır ve teknik anlatmaya çalışacağım. Umarım ilk yazı umarım anlaşılır olmuştur.

Keyifli çalışmalar dilerim.

Yazı dizisinin diğerleri:

One comment

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir