KİŞİSEL VERİLERİ KORUMA KANUNU

 

TEKNİK TEDBİRLER

 

 

Bu makale, KVKK (Kişisel Verileri Koruma Kanunu) teknik tedbirler konusunu ele almaktadır. Bu konu kanuna bağlı olması sebebiyle, ilgili kurum ve kişileri doğrudansorumluluk altına almakta olup, KVK Kurumu tarafından yayınlanan yönergelere bağlı kalınarak bu hassasiyet ile  hazırlanmıştır. İlgili Kanun teknik tedbirler açısından değerlendirilirken, her ne kadar gri alanlar olsada, bu konular Ağ, Sistem ve Siber Güvenlik başlıkları altında inceleniyor olacaktır. Ayrıca bu makalede genel konular değerlendirilecektir, her ana başlık teker teker ele alınıp, başka makalelerde detaylandırılacaktır.

 

KİŞİSEL VERİ NEDİR?

 

- Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri denir.

 

Anayasa Mahkemesi

 

2013/122 E. 2014/74 K.

 

Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.

 

KİŞİSEL VERİLERİ KORUMA KANUNU NEDİR?

 

Kişisel Verileri Koruma Kanunu, 7.4.2016 tarihinde, 6698 numaralı kanun olarak resmi gazete de yayınlanmıştır. Bu da, aslında KVKK ‘nn hayatımıza 2016 yılında giriş yaptığını göstermektedir.

 

Kısa bir özet şeklinde KVKK üzerinde düşünüldüğü zaman, herkesin kişisel verisi kendine özeldir. Kendi izni olmadan kayıt altına alınamaz, başka kişi, kurum veya kuruluşlar ile paylaşılamaz. Bu konu kanunlar ile istisnai hallere sahip olsada kanunun genel amacı kişisel veriler işlenemez ve paylaşılamaz prensibi üzerinden yola çıkılmıştır.

 

Her ne kadar, ilk bakışta“Ben kişisel veri işlemiyorum” yanılgısı oluşsa da ufak bir yaklaşım yaparak herkesin ne kadar kişisel veri işleyebileceğini ele alacağız. Örneğin, dijitalleşen toplumlarda iş hayatında veya özel hayatta herkes bir mail adresine sahip ve bu mail adresini bir şekilde kullanmak zorunda kalmaktadır. Aslında atılan her mail size ya da başkarına ait kişisel verileri barındırmaktadır.

 

Peki bu kanun hayatımıza girdiğinden beri ne değişti, ne değiştirdi, biz ne değiştirdik?

 

NE DEĞİŞTİ?

 

İşin temeline indiğimiz zaman, KVKK hayatımıza yeni bir çalışma kültürü gibi geldi ve böyle de kalmaya devam edecektir. Bu topyekün hareket, IT sektörü gözüyle incelendiği zaman, eskiden “bu cihazı almamız lazım, bu programı almamız lazım, bu sunucuyu kurmamız lazım” diyen IT ekibi genel olarak istediklerini alamadan yönetim katından ayrılırdı. Artık IT eksiklikleri ya da açıklıkları sebebiylekesilen cezalar göz önünde bulundurulduğu zaman, bu sefer yönetimin IT ekibine “ne almamız lazım, ne yapmamız lazım?” diye geldiği gözlemlenebilmektedir. Ayrıca yapılan veri kayıplarının sorumlusunun alınan güvenlik tedbirleri ile sınırlı kalınmayacağını, insan faktörününde bu kültürle yoğrulması gerektiğini, yaptığı her hareketin, attığı her adımın bir yaptırımı olduğunu, olabileceğini bizlere göstermektedir. Bu sebeple personellere yönelik yapılacak KVKK Farkındalıkeğitimlerinin önemi çok fazla olmaktadır..

 

 

NEDİR BU KVKK, NE YAPACAĞIM BEN?

 

 

KVK Kurumu tarafından Ocak 2018 ‘de Kişisel Veri Güvenliği Rehberi yayınlanmıştır. İlgili rehberde hem idari tedbirler hem de teknik tedbirler ana başlıklar halinde anlatılmaya çalışılmıştır. Üçüncü bölüm, Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler ile ilgili bilgilerden oluşmaktadır. Bunları başlıklar halinde inceleyecek olursak;

 

3.1. Siber Güvenliğin Sağlanması

 

3.2. Kişisel Veri Güvenliğinin Takibi

 

3.3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

 

3.4.Kişisel Verilerin Bulutta Depolanması

 

3.5.Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

 

3.6.Kişisel Verilerin Yedeklenmesi

 

toplamda altı adet maddeden oluşmaktadır. İlgili her madde tek tek incelendiği zaman, kesinlikle şu ürün kullanılacak bu ürün kullanılmayacak gibi kesin ifadelerin olmadığı, yapılması gereken işlemlerin, alınması gereken önlemlerin genel tabirler ile ifade edildiği gözlemlenmiştir.

 

Her firmanın kendi özelinde alması gereken tedbirleri olduğu gibi, çalışanlarının da alması gereken tedbirler bulunmaktadır. Şöyle basit bir örnek üzerinde konuşmak gerekirse bir banka çok önemli güvenlik tedbirleri alır, IT bütçesine milyon dolarlar ayırır, işi ve tuttuğu kişisel verinin kritikliği açısından ayırmak da zorundadır. Alınan bu güvenlik tedbirleri ilgili bankayı dünyanın en güvenilir sistemi haline getirebilse de arka planda çalışan insan faktörü yani son kullanıcılar her zaman önemli bir değişken olmaya devam edecektir.. Son kullanıcı tarafından yapılan en ufak hata veya kasıtlı yapılan istirmarlar, alınan bütün güvenlik tedbirlerini bir anda çöpe atmaktadır. Hal böyle olunca yapılan geliştirmeler sadece sistem tarafında kalmamalı insana da yatırım yapılıp,düzenli eğitimler verilemeli, prosedürler düzenlenmelidir.

 

Dolayısıyla; artık KVKK bir veri koruma kültürü olarak hepimizin hayatında önemli bir yere sahip olmalı.

 

İlgili teknik tedbirlerin madde madde incelenmesini bir sonraki makalelerimizde ele alacağız. KVKK hakkında tüm bilgiler için web sitemizi takip etmeye devam edin.