Kişisel ve hassas verilerin veri mahremiyetinin korunması
Kişisel Verilerin Korunması Kanunu uzun yıllar rafta bekletilmesinin ardından 24.03.2016 yılında Resmî Gazete’de yayımlanarak yürürlüğe girdi. 6698 sayılı Kişisel Verilerin Korunması Kanunu aslında bilgi güvenliği yönetim sistemlerinin dar kapsamı içinde yer almaktadır. Kanunu anlayabilmek için öncelikle kişisel verinin ne olduğunu bilmek gerekir. Kişisel veri nedir? Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Günümüzde kişisel ve hassas verilerin koruması çok önemli bir sorun haline gelmiştir. Peki hassas veri nedir?
Özel nitelikli kişisel veri yeni hassas veri nedir? Kişinin, dini inançları, siyasal düşüncesi, etnik kökeni, sosyolojik durumu gibi bilgileri ifade eder. Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir. Bu veriler kanunda sınırlı sayıda belirlenmiş olduğundan bunların genişletilmesi mümkün değildir.
İnternet sitesine KVKK ile ilgili aydınlatma yükümlüğü yazısı koyduk yeterli değil mi?
Kişisel verilerin korunması ile ilgili çalışmalar sadece Bilgi İşlem, IT veya BT birimlerinin yapacağı faaliyetlerden ibaret değildir. Kişisel veri güvenliği disiplinler arası bir yaklaşımı içerir. KVKK danışmanlığı esnasında bilgi güvenliği, siber güvenlik, bilişim, hukuk, İK, halkla ilişkiler, işletme yönetimi gibi farklı birimlerden bir organizayon kurmadan böyle bir yapının çalışmasının zor olduğuna şahit olduk. Bu yapıda hukukçular yasal uyum için çalışırken, BT bölümü teknolojik önlemleri alır, PR departmanı ve kurumsal iletişim departmanı olası durumların kamuoyuna nasıl açıklanacağını belirlerken, İK kişisel ve hassas verilerin neler olduğunu belirlemek, KVKK ile ilgili eğitimler için çaba sarf eder. Bilgi Güvenliği Yönetim Sistemi temsilcisi, bilgi güvenliği konularından, Veri koruma sorumlusu ile tüm sistemin sağlıklı yürütülmesinden sorumludur. Kurumda kalite yönetimi ile ilgili bir birim varsa kişisel verilerin korunması ile ilgili dokümantasyonun nasıl sisteme alınacağını belirler. Bilgi güvenliği bugün ulusal çapta oluşturulan bilgi güvenliği stratejilerinin bir parçası olmuştur.
KVKK danışmanlığı hukuk insanlarının çalışma alanı mıdır?
VMİ danışmanlık olarak sahada KVKK danışmanlık hizmetleri esnasında gördüğümüz durum şudur. 6698 Kişisel Verilerin Korunması Kanunu bir mevzuattır öyle ise bu bir hukuk insanının işi olmalıdır. Bu yaklaşım doğru değildir. Kişisel verilerin korunması ile ilgili yasanın uygulanması sadece hukukçuların işi olmadığı gibi sadece teknik bilgi sahibi olan insanlarında tek başına yapabilecekleri bir iş değildir. Kişisel verilerin koruması ile ilgili çalışmalarda hukuki analiz, teknik yeterlilik, teknolojik yeterlilik, süreç yönetimi de göz önünde bulundurulması gerekenler arasındadır. Henüz kurumsal bilgi varlığını listeleyememiş, tanımlayamamış olanların kişisel verilerini de tasnif edip koruyacağına inanmak zordur.
Herkesin KVKK organizasyonu farklı mıdır?
Bir sisteminde kişisel veri niteliğindeki verilerin toplanması, işlenmesi, elde tutulması, silinmesi, yok edilmesi, imhası veya aktarımı süreç yönetimi gerektirir. İşte bu nedenle Kişisel verilerin Korunması Kanunu ile ilgili bir süreç yaklaşımı içinde olunması gerekir. VMİ danışmanlık olarak KVKK danışmanlığı hizmetlerimizin içinde kurumunuza özel sistem tasarlıyor, var olan sistemlere KVKK yapınızı entegre ederek bütünleşik ve işleyen bir KVKK yapısına sahip olmanızı sağlıyoruz. Kurumunuzun yapısal analizinin ardından tabi olduğunuz mevzuatları inceliyor ve hukukçulardan oluşan bir ekiple kurumunuzun hukuki analizini gerçekleştiriyoruz. Bilgi güvenliği ile ilgili yaklaşımlarınızı kontrol ediyor, KVKK ile ilgili politika, prosedür, form ve talimatlarınızı hazırlıyor, vaka çalışmalarıyla kurduğunuz organizasyonu geliştiriyoruz.
Kişisel veriler amacı dışında kullanılırsa ne olur?
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, sınıflandırılması bir metot gerektirir. Kişisel verilerin amacı dışında kullanımı, kötüye kullanımı, yetkisiz işlenmesi, aktarılması, değiştirilmesi, silinmesi veya imhası, kişisel verilerin tutulduğu bilgi sistemine yetkisiz erişim olabilecek en büyük tehlikelerden biridir. İşte bu nedenle erişim yetki sorunlarının ortadan kaldırılması için bir matris hazırlanması gerekmektedir. Bilgi güvenliğini ihlal ederek içeriden veya dışarıdan kişisel verilere ulaşarak bu verilerle ilgili işlem yapmak bilgi güvenliği zafiyeti, siber saldırganlık olarak tanımlanmalıdır. KVKK danışmanlığı hizmetlerimiz arasında kanunla sizi korkutmak yoktur fakat yine de kötü ihtimalleri düşünerek KVKK’da 1.000.000 TL ve GDRP’de 20.000.000 Euro’ya varan cezaları hatırlatmak bizim görevimizdir.
Avrupa Veri Koruma Direktifi'nden KVKK ve GDPR'ye uzanan süreç
Uzun yıllardır kişisel verilerin korunması ile ulusal ve uluslararası mevzuatı takip ediyoruz. Özellikle kişisel verilerle ilgili Amerika’da ciddi olarak çalışılmaktaydı. ABD veri koruma sisteminde çeşitli düzenlemeler yapılmıştı. COBIT bile veri koruma ile ilgili bir çerçeve çiziyordu. Avrupa Birliği Veri Koruma Direktifi’nin çerçevesinde kişisel verilerin kazara kaybı, yetkisiz kişilerin erişimi, yetkisiz değiştirme, silme ve imha edilmesini önlemek amacıyla veri koruma kontrolörlerinin uygun teknik ve kurumsal önlemler almasını sağlamakla ilgili çalışmalar yapılmaktaydı. Nihayet, General Data Protection Regulation ile yani GDPR ile bu yasa uygulamaya alınmıştır. Biz KVKK danışmanlık hizmeti ile hem AB mevzuatını hem de ülkemizdeki mevzuatları takip ederek sizi zamanında bilgilendiriyoruz. İş süreçlerinizi inceleyerek kişisel verilerin ihlali sayılabilecek tehlikeler konusunda sizi sistem, metot önererek sizi geleceğe hazırlıyoruz.
Kişisel verileri koruyacak organizasyonlar Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu
Kişisel veriler üzerindeki güvenliğinin sağlanmasına ilişkin tedbirlerin bugün teknik ve idari anlamda oldukça arttığını görüyoruz. Türkiye KVKK’yı GDPR’den önce hayata geçirerek çok önemli bir mesafe almıştır. Kişisel Verileri Koruma Kurumu kurulmuş, Kişisel Verileri Koruma Kurulu oluşturulmuştur. Kişisel Verileri Koruma Uzmanları sınav düzenlenerek sistemi denetlemek üzere yetiştirilmeye başlanmıştır. Devletimiz yetişmiş insan gücüyle kısa zamanda KVKK ile ilgili önemli mesafeler kat etmiştir. KVKK danışmanlık hizmetleri vererek biz de ülkemiz için çalışıyoruz. Bizim dışımızda da birçok ülkede bilgi güvenliğine ilişkin yasal düzenlemeler ile kişisel verilerin korunması ile ilgili yasalar ve uluslararası standartlar mevcuttur. Aslına bakacak olursanız kişisel veri koruma kanunlarında bilgi güvenliği, kanunun temel ilkeleri arasında sayılmaktadır.
Bilgi güvenliği yönetim sistemi ve KVKK uyumu
Bugün birçok ülke siber ordularını kurmuş veya kurmaktadır. Veri işlenmesi en kolay madendir. Veri tabanı madenciliği çalışmaları bu nedenle çok kıymetlidir. Bugün veriyi işlemek kolay olsa da veri güvenliği bir ulusal güvenlik sorunu haline gelmiştir. Ulusal güvenliğe giden yolda bilgi güvenliği en önemli temel taşlardan birisidir. Birçok kurum ISO 27001, ITIL, COBIT, PCI DSS gibi standart ve çerçeveleri kullanarak bilgi güvenliğini sağlamak için çalışmaktadır. Biz VMİ Danışmanlık olarak Bilgi Güvenliği Yönetim Sistemleri tecrübemize dayanarak BGYS’ye sahip olan kurumların KVKK’ya daha kolay uyum sağlayabileceğini düşünüyoruz.
Bilişim suçlarının sınır aşan yapısı ülkeleri tehdit ediyor
Bilgi güvenliği bilişim ve iletişim teknolojilerinin yaygınlaşmasıyla birlikte uluslararası bir sorun olmuş ve uluslararası işbirliği gerektirmiştir. Bugün bilişim suçlarının sınır aşan özelliğini herkes görebiliyor. KVKK danışmanlık hizmeti veren bir kurum olarak şunu belirtmek isteriz ki KVKK ile ilgili bir organizasyon, süreç yönetimi, eğitim faaliyeti, dış denetim olmadan bu sistemlerin işlevsel olarak çalışması zordur. VMİ danışmanlık KVKK danışmanlığı hizmetleri kapsamında üçüncü taraf denetimleri yaparak kurmuş olduğunuz KVKK sisteminizin daha sağlıklı işlemesi için çalışmalar yürütüyoruz.
VMİ Danışmanlık Hakkında
VMİ Danışmanlık: Kişisel verilerin korunması konusuyla ilgili olarak KVKK danışmanlığı hizmetleri vermektedir. KVKK danışmanlık hizmetleri arasında hukuki analizler, KVKK dokümantasyonu hazırlama, olay yönetimi, teknolojik ve yazılım önerileri, kişisel verilerin korunması ile ilgili politikaların belirlenmesi, kurumsal risk analizlerinin yapılması, bilgi sınıflandırması, KVKK formların hazırlanmasının yanında metodolojik, teknik ve teknolojik önlemlerin alınması ve kurumun ve kurulan sistemin sürdürülebilirliğinin sağlanmasına yönelik faaliyetler gerçekleştirilmektedir. KVKK danışmanlığı hizmetleri, KVKK danışmanlık ücretleri hakkında bilgi almak için bizimle iletişime geçebilirsiniz.