KVKK Yükümlülüğü Kapınızda
3.12.2019
Sosyal Medya

KVKK Yükümlülüğü Kapınızda

Teknolojinin gelişimi ve internetin hayatımıza girmesi ile birlikte, iletişim kurma biçimimiz ve günlük işlerle başa çıkma şeklimiz büyük ölçüde değişti. Artık çevrimiçi olarak daha fazla e-posta gönderiyor, belge paylaşıyor, fatura ödüyor ve satın alma işlemlerimizde daha çok kişisel bilgi paylaşıyoruz.

Çevrimiçi olarak ne kadar kişisel veri paylaştığınızı veya bu bilgilere ne olduğunu merak ettiniz mi?

Şirketler, bizlere daha iyi bir müşteri deneyimi sunabilmek için bankacılık bilgilerimiz, kontaktlarımız, adreslerimiz, sosyal medya yayınlarımız ve ziyaret ettiğimiz tüm web sitelerini dijital olarak depoladığını söylüyor. Peki verilerimiz gerçekten bunun için mi kullanılıyor?

2012 yılında hazırlanan yasa teklifi ile birlikte 2016 Nisan ayında Avrupa Parlamentosu tarafından kabul edilen GDPR (General Data Protection Regulations) adlı yeni bir Avrupa gizlilik düzenlemesinin yürürlüğe girdiğini biliyor musunuz?  Bu düzenleme ile tüm işletmelerin, müşteri verilerini toplama, saklama ve kullanma şekli değişmiş oldu.

Dell ve Dimension Araştırma şirketinin liderliğinde yürütülen, Avrupa merkezli ​​müşterileri olan şirketlerin, veri gizliliğinden sorumlu olan 800'den fazla bilgi teknolojileri ve işletme uzmanının katıldığı bir araştırmada, işletmelerin %80'inin GDPR ile ilgili çok az bilgisi olduğu veya hiçbir şey bilmediği sonucuna ulaşıldı. The Ponemon Institute tarafından yapılan araştırmada ise teknoloji şirketlerinin     % 60'ının da GDPR’a hazır olmadığını tespit edildi.

 

GDPR’ın Türkiye’deki yansımasına bakarsak;

Türkiye’nin Avrupa Birliği uyum sürecinde konuşulan maddelerden biri de GDPR oldu. Bu kapsamda hazırlanan taslak 17 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi’nde oy birliği ile kabul edildi ve Resmi Gazetede yayımlanarak iç hukuka dâhil edildi. Bu yasa ile Türkiye’de hizmet veren tüm işletmelerin önüne yeni bir sayfa açılmış oldu. Bununla birlikte firmaların, müşteri verilerini nasıl toplayacakları, saklayacakları ve işleyecekleri hakkındaki süreçlerini yeniden gözden geçirmesi ile ilgili bir gereklilik ortaya çıktı.

 

Peki neden KVKK’ya İhtiyaç Duyuluyor?

Her yıl dünya genelinde üç milyar kimlik bilgisi çalındığı, bu hırsızlık vakalarının geride bıraktığı maddi hasarın ise €500 milyarı aştığı saptandı. Kamu veya özel kurum ve kuruluşlar bir görevin yerine getirilmesi veya bir hizmetin sunulmasına bağlı olarak kişisel veri niteliğindeki bilgileri uzun süredir topladığı, bu durumun bazen kişilerin rızası alınarak bazen bir sözleşmeye dayanılarak veya işin getirdiği nitelikten dolayı ortaya çıktığı saptandı. Bu nedenle gelişi güzel toplanan verilerin yetkisiz kişilere ifşası, kötüye kullanımı gibi sonuçların önüne geçilmesi için böyle bir korumaya ihtiyaç duyuldu.

 

KVKK ile hayatımızda neler değişiyor?

Birçoğumuza ilave iş yükü getirdiğini düşündüğümüz KVKK düzenlemelerinin aslında yine bizlerin haklarını koruduğunu söyleyebiliriz. Birçoğumuz hayatımızda özel verilerimizi ilişkide olduğumuz şirketler ile paylaşıyoruz. Bu kanun, kişisel verilerimizin geleceğini, hangi kapsamda kullanılabileceğini belirleme ve bunlar üzerinde tasarruf hakkımızın olmasını sağlıyor.

KVKK ile birlikte kurumlara tüm veri toplama, saklama ve işleme yöntemleri üzerinde bazı çalışmalar yapma mecburiyeti doğdu. Şirketlerin derhal önlem alma, eğitimden geçme, KVKK ve gizlilik politikalarını oluşturma gereklilikleri oluştu. Şirketler ayrıca işyerlerinde mevcut çalışanlarından muvafakatnameler alma, iş yeri için bir veri sorumlusu bir veri işleyen tayin etme, bunların görev ve sorumluluklarının sınırlarını belirleme, işyerinde bir veri kayıt sistemi yaratma ve bunu da veri sorumlularının siciline kaydettirme zorunluluğuna sahip oldu. Yine mevcut kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine yönelik yönetmelik doğrultusunda işyerinde belirlenen veri sorumluları ve veri işleyenler belirleme, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirildi.

KVKK uyumluluğunu 7 temel adımda özetlemek gerekirse;

 

Veri Toplama / Veri İşleme

Öncelikle tüm kurumların bir veri envanteri oluşturması gerekiyor. Bunu oluşturmak için yapılacak çalışmalar; kişisel verilerin tanımlanması, (Kimlik bilgileri, isim, soy isim, T.C. kimlik numarası, doğum tarihi vb.), verilerin hangi sistemlerde bulunduğunun,  hangi amaçla ve ne kadar süre tutulacağının, aynı zamanda veri erişimi haklarının belirlenmesini içeriyor.

 

Açık Rıza

Kanun bu noktada çok net: kişisel veri grubunda sayılan hiçbir bilgiyi kişinin rızası olmadan kullanılamayacağının altını çizerek belirtiyor. Burada kurumların yapması gerekenler veri tipleri üzerinden düşünerek, kişilerin kendi rızaları olup olmadığının bilgisinin saklaması, veri saklama süresinin işlediğinden emin olunması, kişilerin açık rızalarının alınması için ortam sağlanması ve verinin güncelliğinden emin olunmasınını içeriyor.

 

Değerlendirme

Oluşturulan kişisel veri envanteri üzerinden, veri güvenliğinin sağlanması, yetkilerin belirlenmesi, veri tabanlarının belirlenmesi, imha etme süreçlerinin tasarlanması gerekiyor. Bu işlemlerin dönemsel olarak tekrarlanması, ayrıca bir risk değerlendirme sürecinin de hayata geçirilmesi gerekiyor.

 

Şifreleme

Çok açıkça kanunda belirtilmese de bu bölümde ifade edilen kısım saklanan verilerin korunması gerekliliği. ISO 27001 deki yükümlülükler burada yol gösterici olabiliyor.

 

Ayrıcalıklı Hakları En Aza İndirgemek

Burada kurumların günlük iş yapış tarzında, veriye ulaşım ihtiyacı olan kişilerin işini yapmak için en minimum bilgi seviyelerinin belirlenerek bunlar üzerinden iş süreçlerini tamamlamaları amaçlanıyor.

 

Şikayet / Talep Yönetimi

Kurum olarak, kişisel verilerini tuttuğumuz gerçek kişilere hesap verebilir olmalıyız. Tüm kurumların müşteri ile paylaşması gereken KVKK aydınlatma metni hazırlaması gerekiyor. Bu metin ile birlikte kullanıcıya bazı alanlarda bilgi vermesi gerekliliği de doğuyor. Bu bilgiler kurum ile iletişim yönetimi, kişi verilerine nasıl erişebileceğini belirleme, veri sorumlusu hakkında bilgi verme, veri saklama süreçleri hakkında bilgilendirme ve kişilerin verileri üzerindeki haklarını içermelidir.

 

Kaza / Olay Yönetimi

Tüm önleyici tedbirlerin alınmasına rağmen kontrol dışı bir veri ihlali oluşması durumunda yapılacaklar ile ilgili bir süreç ve plan oluşturulması gerekiyor. Bu plan kapsamında, olay bildirimlerinin yapılacağı yapı, olayların incelenmesi ve cevap verilmesi için süreler, iletişim yöntemi, ilgili kişi ve kurumlar yer almalıdır.

KVKK’ya uyumluluk için kurumunuz ihtiyaç duyduğu tüm konularda İnnova’nın profesyonel ekiplerinden yararlanın, kurumunuzu geleceğe güvenle taşıyın. Bugünden planlamak için bize ulaşın.

 

Öne Çıkan Yazılar
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO27001 2013 revizyonu ile neler değişti? Belgelendirme ve belge yenilemesi sürecinde şirketleri neler bekliyor?
11.11.2013
Güvenlik
KVKK Hakkında Bilinmesi Gerekenler  
KVKK Hakkında Bilinmesi Gerekenler
Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların...
20.08.2020
Güvenlik
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı ve Güvenliği Yasası (Kanun No.6331), TBMM tarafından kabulünden sonra, 30 Haziran 2012 tarih ve 28339 sayılı Resmi...
8.08.2016
Güvenlik
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital dönüşümde, sürecin ilerleyen adımlarına bırakılan siber güvenlik, planlama aşamasında ele alınarak dijitalleşmeye...
18.09.2020
Güvenlik
ISO 27000:2014 güncellemesinin getirdiği yenilikler
ISO 27000:2014 güncellemesinin getirdiği yenilikler
ISO/IEC 27000 serisi hakkında genel bilgi edinmek ve güncellenen ISO 27000:2014 revizyonu ile standartta yapılan değişikliklerden...
9.06.2014
Güvenlik
ISO 27001 ve ISO 27002 Standartları Değişiyor
ISO 27001 ve ISO 27002 Standartları Değişiyor
Bilgi Güvenliği Yönetim Sistemi standartları ISO 27001 ve ISO 27002'nin yeni versiyon taslakları yayımlandı.
11.04.2017
Güvenlik