698 Kişisel Verilerin Korunması Kanunu KVKK Nedir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu, başta özel hayatin gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri isleyen gerçek ve tüzel kişilerin yükümlükleri ile uyacakları kuralları düzenlemektedir.

– KVKK’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın islenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır.
– KVKK’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir.
– KVKK’ya göre kişisel verileri ihlal edenlere hapis cezası verilebilir.
Kişisel Verilerin Korunması KVKK; kişisel veriler, asil sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi isleyen kurumların verinin asil sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. KVKK, kişisel veriyi isleyen kurumlar “Emanetçi ” durumundadır , bunu için önemli bir dönüşümü de beraberinde getirmektedir. Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verileri korumak için neler yapmalıyız?” Bu sorunun cevabini verebilen kurumlar, Kişisel Verilerin Korunması Kanunu KVKK uyumlu olacaklardır, Ayni zamanda bilgi güvenliği altyapılarını da kurmuş olacaklardır. Yönetim açısından bakıldığında Kurumsal yapı , teknolojik açıdan bakıldığında ise Bilgi Güvenliği yaklaşımı önem kazanmaktadır.

Yönetim bakış açısıyla Verilerin islendiği İş Hizmetleri, Süreçleri, bu süreçlerdeki katılımcıların (kişi, organizasyon birimi veya sistemleri) rol ve sorumlulukları, Teknolojik açıdan katılımcıların kullandıkları uygulama yazılım ve sistemlerin eristiği verileri ve verilerin depolandığı veya islendiği teknoloji bileşenleri doğrudan etki analizi ve değerlendirmeye alınacak şekilde uçtan uca kapsama alanına girmektedir.

Bilgi Güvenliği bakış açısıyla bakılırsa Erişim Güvenliği, Yazılım geliştirme, Cihaz kullanım kuralları, Veri tabanı yetkilendirmeleri ve güvenliği ile Ağ Erişim yetkilendirmeleri gibi bilgi güvenliği Farkındalığı konuları öne çıkmaktadır.

6698 Kişisel Verilerin Korunması Kanunu’na (KVKK) Nasıl uyum sağlanır?

Veri sorumlusu belirlenip VERBIS sistemine kayıt yapılacaktır.
Veri Envanteri hazırlanacak; tüm birimlerle görüşülüp kişisel verilerin islenip islenmediği, hangi alanlarda islendiği, verilerin hangi amaçla islendiği, ne kadar süre islendiği, yabancı ülkelere verilerin aktarılıp aktarılmadığı gibi konular bu envanterle ortaya dökülecek, Hazırlanan Veri envanteri VERBIS’ e yüklenecektir,
Veri Envanterine ve Kurumun yapısına uygun olarak kişisel veri isleme politikası oluşturulacak,
Veri Envanterine ve Kurumun yapısına uygun olarak kişisel veri saklama ve imha politikası hazırlanacak,
Kurumun olaylara uygun bir biçimde aydınlatma yükümlülüklerini yerine getirmesi için aydınlatma metinleri hazırlanacak,
Gerekli görülürse bir komite kurulacak, bu komite için bir iç yönetmelik hazırlanacak, Kişisel verisi islenen gerçek kişilerin veri sorumlusuna başvuru yollarının netleştirilmesi sağlanacak ve konuda yazılı/basili formlar düzenlenerek dokümantasyon oluşturulacak
Sözleşmeler 6698 Kişisel Verilerin Korunması Kanunu KVKK kapsamında revize edilerek hukuki olarak uyumlu hale getirilecek,
Bilgi Güvenliğinde olduğu gibi kişisel veri konusunda tüm çalışanlar bilgilendirilecek, konuya uyumlu, farkındalıkları yüksek bir biçimde çalışmaları sağlanacak, bu hususta periyodik eğitim almaları sağlanacak,
Bilişim ve fiziksel altyapısı gözden geçirilecek, eksiklikler belirlenerek aksiyonlar oluşturulacak
Politikaların, metinlerin, formların hazırlanmış olması mevzuata uyulduğu anlamına gelmeyecek; devamlı kontrollerin yapılması, politikalara, mevzuata uygun davranılması ve bu durumların iç denetimlerle kontrolü sağlanmalıdır,

Kanunun belirlemiş olduğu süre içerisinde uyum süreci tamamlanmış ve sürekliliği sağlanıyor olmalıdır. VERBIS’e kayıttan muaf tutulan veri sorumluları, yine Kanun tarafından kendisine yükletilen diğer yükümlülükleri (Kişisel veri isleme envanterinin tutulması, kişisel veri saklama ve imha politikasının hazırlanması, aydınlatma yükümlülüğünün yerine getirilmesi, vs.) yerine getirmeye devam edeceklerdir.