KVKK Yükümlülüğü Kapınızda

Teknolojinin gelişimi ve internetin hayatımıza girmesi ile birlikte, iletişim kurma biçimimiz ve günlük işlerle başa çıkma şeklimiz büyük ölçüde değişti. Artık çevrimiçi olarak daha fazla e-posta gönderiyor, belge paylaşıyor, fatura ödüyor ve satın alma işlemlerimizde daha çok kişisel bilgi paylaşıyoruz.

Çevrimiçi olarak ne kadar kişisel veri paylaştığınızı veya bu bilgilere ne olduğunu merak ettiniz mi?

Şirketler, bizlere daha iyi bir müşteri deneyimi sunabilmek için bankacılık bilgilerimiz, kontaktlarımız, adreslerimiz, sosyal medya yayınlarımız ve ziyaret ettiğimiz tüm web sitelerini dijital olarak depoladığını söylüyor. Peki verilerimiz gerçekten bunun için mi kullanılıyor?

2012 yılında hazırlanan yasa teklifi ile birlikte 2016 Nisan ayında Avrupa Parlamentosu tarafından kabul edilen GDPR (General Data Protection Regulations) adlı yeni bir Avrupa gizlilik düzenlemesinin yürürlüğe girdiğini biliyor musunuz?  Bu düzenleme ile tüm işletmelerin, müşteri verilerini toplama, saklama ve kullanma şekli değişmiş oldu.

Dell ve Dimension Araştırma şirketinin liderliğinde yürütülen, Avrupa merkezli ​​müşterileri olan şirketlerin, veri gizliliğinden sorumlu olan 800'den fazla bilgi teknolojileri ve işletme uzmanının katıldığı bir araştırmada, işletmelerin %80'inin GDPR ile ilgili çok az bilgisi olduğu veya hiçbir şey bilmediği sonucuna ulaşıldı. The Ponemon Institute tarafından yapılan araştırmada ise teknoloji şirketlerinin     % 60'ının da GDPR’a hazır olmadığını tespit edildi.

GDPR’ın Türkiye’deki yansımasına bakarsak;

Türkiye’nin Avrupa Birliği uyum sürecinde konuşulan maddelerden biri de GDPR oldu. Bu kapsamda hazırlanan taslak 17 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi’nde oy birliği ile kabul edildi ve Resmi Gazetede yayımlanarak iç hukuka dâhil edildi. Bu yasa ile Türkiye’de hizmet veren tüm işletmelerin önüne yeni bir sayfa açılmış oldu. Bununla birlikte firmaların, müşteri verilerini nasıl toplayacakları, saklayacakları ve işleyecekleri hakkındaki süreçlerini yeniden gözden geçirmesi ile ilgili bir gereklilik ortaya çıktı.

Peki neden KVKK’ya İhtiyaç Duyuluyor?

Her yıl dünya genelinde üç milyar kimlik bilgisi çalındığı, bu hırsızlık vakalarının geride bıraktığı maddi hasarın ise €500 milyarı aştığı saptandı. Kamu veya özel kurum ve kuruluşlar bir görevin yerine getirilmesi veya bir hizmetin sunulmasına bağlı olarak kişisel veri niteliğindeki bilgileri uzun süredir topladığı, bu durumun bazen kişilerin rızası alınarak bazen bir sözleşmeye dayanılarak veya işin getirdiği nitelikten dolayı ortaya çıktığı saptandı. Bu nedenle gelişi güzel toplanan verilerin yetkisiz kişilere ifşası, kötüye kullanımı gibi sonuçların önüne geçilmesi için böyle bir korumaya ihtiyaç duyuldu.

KVKK ile hayatımızda neler değişiyor?

Birçoğumuza ilave iş yükü getirdiğini düşündüğümüz KVKK düzenlemelerinin aslında yine bizlerin haklarını koruduğunu söyleyebiliriz. Birçoğumuz hayatımızda özel verilerimizi ilişkide olduğumuz şirketler ile paylaşıyoruz. Bu kanun, kişisel verilerimizin geleceğini, hangi kapsamda kullanılabileceğini belirleme ve bunlar üzerinde tasarruf hakkımızın olmasını sağlıyor.

KVKK ile birlikte kurumlara tüm veri toplama, saklama ve işleme yöntemleri üzerinde bazı çalışmalar yapma mecburiyeti doğdu. Şirketlerin derhal önlem alma, eğitimden geçme, KVKK ve gizlilik politikalarını oluşturma gereklilikleri oluştu. Şirketler ayrıca işyerlerinde mevcut çalışanlarından muvafakatnameler alma, iş yeri için bir veri sorumlusu bir veri işleyen tayin etme, bunların görev ve sorumluluklarının sınırlarını belirleme, işyerinde bir veri kayıt sistemi yaratma ve bunu da veri sorumlularının siciline kaydettirme zorunluluğuna sahip oldu. Yine mevcut kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine yönelik yönetmelik doğrultusunda işyerinde belirlenen veri sorumluları ve veri işleyenler belirleme, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirildi.

KVKK uyumluluğunu 7 temel adımda özetlemek gerekirse;

Veri Toplama / Veri İşleme

Öncelikle tüm kurumların bir veri envanteri oluşturması gerekiyor. Bunu oluşturmak için yapılacak çalışmalar; kişisel verilerin tanımlanması, (Kimlik bilgileri, isim, soy isim, T.C. kimlik numarası, doğum tarihi vb.), verilerin hangi sistemlerde bulunduğunun,  hangi amaçla ve ne kadar süre tutulacağının, aynı zamanda veri erişimi haklarının belirlenmesini içeriyor.

Açık Rıza

Kanun bu noktada çok net: kişisel veri grubunda sayılan hiçbir bilgiyi kişinin rızası olmadan kullanılamayacağının altını çizerek belirtiyor. Burada kurumların yapması gerekenler veri tipleri üzerinden düşünerek, kişilerin kendi rızaları olup olmadığının bilgisinin saklaması, veri saklama süresinin işlediğinden emin olunması, kişilerin açık rızalarının alınması için ortam sağlanması ve verinin güncelliğinden emin olunmasınını içeriyor.

Değerlendirme

Oluşturulan kişisel veri envanteri üzerinden, veri güvenliğinin sağlanması, yetkilerin belirlenmesi, veri tabanlarının belirlenmesi, imha etme süreçlerinin tasarlanması gerekiyor. Bu işlemlerin dönemsel olarak tekrarlanması, ayrıca bir risk değerlendirme sürecinin de hayata geçirilmesi gerekiyor.

Şifreleme

Çok açıkça kanunda belirtilmese de bu bölümde ifade edilen kısım saklanan verilerin korunması gerekliliği. ISO 27001 deki yükümlülükler burada yol gösterici olabiliyor.

Ayrıcalıklı Hakları En Aza İndirgemek

Burada kurumların günlük iş yapış tarzında, veriye ulaşım ihtiyacı olan kişilerin işini yapmak için en minimum bilgi seviyelerinin belirlenerek bunlar üzerinden iş süreçlerini tamamlamaları amaçlanıyor.

Şikayet / Talep Yönetimi

Kurum olarak, kişisel verilerini tuttuğumuz gerçek kişilere hesap verebilir olmalıyız. Tüm kurumların müşteri ile paylaşması gereken KVKK aydınlatma metni hazırlaması gerekiyor. Bu metin ile birlikte kullanıcıya bazı alanlarda bilgi vermesi gerekliliği de doğuyor. Bu bilgiler kurum ile iletişim yönetimi, kişi verilerine nasıl erişebileceğini belirleme, veri sorumlusu hakkında bilgi verme, veri saklama süreçleri hakkında bilgilendirme ve kişilerin verileri üzerindeki haklarını içermelidir.

Kaza / Olay Yönetimi

Tüm önleyici tedbirlerin alınmasına rağmen kontrol dışı bir veri ihlali oluşması durumunda yapılacaklar ile ilgili bir süreç ve plan oluşturulması gerekiyor. Bu plan kapsamında, olay bildirimlerinin yapılacağı yapı, olayların incelenmesi ve cevap verilmesi için süreler, iletişim yöntemi, ilgili kişi ve kurumlar yer almalıdır. KVKK’ya uyumluluk için kurumunuz ihtiyaç duyduğu tüm konularda İnnova’nın profesyonel ekiplerinden yararlanın, kurumunuzu geleceğe güvenle taşıyın. Bugünden planlamak için bize ulaşın.