Kişisel veri güvenliği ile ilgili mevzuat gelişiyor. Veri güvenliği ve bilgi güvenliği yönetim sistemlerinin kullanımı artıyor. VMİ danışmanlık olarak iş görüşmelerinde kişisel verinin ne olduğunun tam anlaşılamadığını görüyoruz.
Bir kurumdaki kişisel veri derken kanun hangi kişisel verileri kastetmektedir?
1- Çalışanlara ait kişisel veriler: Çalışanlar, stajyerler, sözleşme ile çalışanlar vb. kişilerin özlük hakları dosyaları içinde yer alan sürücü belgesi, nüfus cüzdanı fotokopileri, evlilik cüzdanları, çocukların kimlikleri (AGİ nedeniyle), ustalık begeleri, CV’ler, Akciğer radyografisi, EKG’ler, göz muayeneleri...vb
2- Müşterilere ait kişisel veriler: Ürün satmak veya hizmet vermek amacıyla alınan müşterilerin kişisel verileri. Eskiden portföyümü alıp giderim derdiniz artık bu mümkün değil, aldığınız kartları başka bir şirkete taşıyamayacaksınız.
3- Tedarikçi, paydaş ve ziyaretçilere ait kişisel veriler: Tedarikçi, paydaş ve ziyaretçilere ait kimlik bilgileri. Siz bir plazaya gidiyorsunuz ve orada güvenlik sizden giriş için kimlik istiyor bunu alan firma güvenlik firması olsa da kanun veri sorumlusu olarak ziyaret edilen şirketi sorumlu tutuyor. GDPR’da ise her iki kurum da sorumludur.
4- Çalışan adaylarına ait kişisel veriler: Çalışan adaylarının CV’leri bu kapsam içindedir. Eskiden şirketler şu kadar CV havuzum var diye övünürdü artık bu mümkün değil. KVKK’ya göre makul süre içindeki çalışan adayı CV’leri uyun görülen bir yöntemle silinmelidir.
KVKK ve GDPR danışmanlık süreçlerinde yaşanan temel tartışma ne kadar gerekli?
Kişisel Verilerin Korunması Kanunu uyum süreçleri ile ilgili çalışmalar devam ederken sahada bazı sorunların yaşandığını gördük. Bu sorunlardan biri de Kişisel Verilerin Korunması Kanunu’nun bir kanun olduğu ve bunun bir avukatlık hizmeti olduğu tartışması. Evet bu bir kanun fakat bu bir veri güvenliği işi. Veri güvenliği ile ilgili temel ilkeleri, teknolojileri, yazılımları, yönetim sistemlerini bilmeden bu işleri yapmak mümkün değil. Aslında sadece Kişisel Verileri Koruma Kanunu’na bakarak da bir sistem kurmak mümkün değil. Bizim kanunumuz 33 madde ilk 19 maddesi doğrudan kurumları ilgilendirirken geri kalan maddeler Kişisel Verileri Koruma Kurumu yapısı ve işleyişi ile ilgili. Şimdi biri derse ki ben 19 maddeyi okuyarak KVKK ile ilgili danışmanlık yaparım, KVKK ile ilgili hizmet veririm bu inandırıcı olmaz.
Kişisel Verilerin Korunması Kanunu’nun temelleri ve Avrupa Veri Koruma Direktifi
6698 sayılı Kişisel Verilerin Korunması bir kanun. Ama biz veri güvenliği ile ilgilenenler biliyoruz ki bu kanun oluşturulurken ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, ITIL, COBIT framework’ü, BDDK güvenlik uygulamaları ve 1995 yılından 2016 yılına kadar geçerli olan Avrupa Birliği Bilgi Koruma Direktifi dediğimiz Data Protection Directive baz alınmıştır. Şimdi tüm bunlara hakim olmadan KVKK danışmanlık hizmeti vermek, GDPR danışmanlığı yapmak sıkıntılı bir durum olur.
KVKK danışmanlığı avukatların çalışma alanı mıdır?
Avukatlar KVKK ile ilgili bir yönetim sistemi kuramaz mı? Elbette kurabilir! Bilişim sistemleri konusunda adli bilirkişidir, bilişim sistemleri alanında 5 yılı aşan bir uzmanlığa sahip olursa bu sistemleri rahatlıkla kurabilir! KVKK Yönetim Sistemi kurmak için avukat olmak gerekir mi? Hayır gerekmez! Veri güvenliği konularında çalışanlar erişim yetki matrisi nedir bilir, risk analizi nedir yapabilir! Dolayısı ile kişisel veri güvenliği ile ilgili olarak kurduğu sistemi, oluşturduğu kişisel veri güvenliğine ait protokolleri kurum avukatları ile işbirliği yaparak hazırlayabilir ya da yazdığı metinlerin kontrolünü bir avukata gösterirse daha faydalı olur.
KVKK ve GDPR ile ilgili bir yönetim sistemi kurmak
GDPR ve KVKK uyumu süreçlerinde yaşanan temel tartışmanın çok gereksiz olduğuna inanıyorum. 6331 sayılı İş sağlığı ve Güvenliği Kanunu da bir kanun ama görüyoruz ki bu kanunla ilgili sistem kuranlar a sınıfı, b sınıfı, c sınıfı iş güvenliği uzmanları veya OSGB dediğimiz Ortak Sağlık Güvenlik Biri firmaları bu alanda uzmanlaşmıştır. Siz hiç avukatların OHSAS 18001 veya ISO 45001 kurduğunu gördünüz mü? KVKK süreçlerine avukatların müdahil olması son derece olağan yadırganmaması gerekir! KVKK danışmanlığı yetkinlik gerektiren bir iştir. Bu alanda kendini yetiştiren hukukçular veya veri güvenliği alanında yaşanan kişiler veya kurumlar danışmanlık hizmeti verebilirler.
Kağıt üstünde KVKK danışmanlığı yapmanın kaçınılmaz sonu
KVKK ve GDPR süreçleri veri güvenliği, bilgi güvenliği konularında yetkinlik istiyor. Çoğu zaman kağıt üstünde yapılan işler kurumları kör ediyor. Kağıt üstünde kurulan KVKK ve GDPR danışmanlığını sahte emniyet kemerlerine benzetebiliriz. Eğer siz sahte bir emniyet kemerine sahipseniz o kemer size kaza anında lazımdır. Sırf görüntü olsun diye bir kemer var ise o kaza sizin için ölümcül sonuçlar üretir. Kağıt üstünde birkaç metin hazırlayarak bir sistem kurduğunuzuz farz ederseniz bu yanılsama size telafisi çok mümkün olmayan sonuçlar üretebilir. KVKK ile ilgili bir danışmanlık hizmeti alırken sadece yasal altyapının oluşturulmasına değil teknik yeterliliğe de çok önem vermeniz gerekir. Çünkü kağıtların sizi koruması mümkün değil, sizi koruyacak olan alacağınız teknolojik önlemler, yazılım önlemleri, bilgi güvenliği yönetim sistemi önlemleri, altyapı önlemleri çok önem arz etmektedir.
Kişisel veri güvenliği ve KVKK ve GDPR’da temel altyapı unsurlarının önemi
Firewall’u, sandbox’ı, UTM’i hatta antivirüs programı olmayan bir kuruma kağıt üstünde sistem kurmak, her kapısı açık eve benzer. Çalışılan kurumlara yapılacak, teknoloji önlemleri ve öneri verilecek durumda olunması gerekir. Veri güvenliği sistem önlemleri, penetrasyon testleri yapmak yaptırmak önem arz etmektedir. Hatta altyapısı olmayan yani UPS’i, jeneratör’ü, Paratoner’i, topraklaması olmayan kurumların bilgi güvenliğinden söz edilemeyeceği gibi kişisel veri güvenliğinden de söz edilemez. Biz VMİ danışmanlık olarak KVKK danışmanlık hizmetleri ve GDPR danışmanlığı konusunda önemli saha tecrübelerine sahibiz. Bu blog sayfamızdan sık sık veri güvenliği, bilgi güvenliği, siber güvenlik konularındaki blog yazılarımızla meslektaşlarımızı ve müşterilerimizi hatta toplumumuzu bilgilendirmeye çalışıyoruz. Bilginin yayılımının önemine inanıyoruz.
Türkiye Cumhuriyeti kurumları GDPR’a tabi midir?
Kurumlarımızın şuna da çok dikkat etmesi gerekir. Biz Türkiye kurumları, şirketleri, vakıfları, dernekleri, meslek odaları, üniversiteleri olarak Avrupa Birliği kişisel veri güvenliği kanunu olan Genel Veri Koruma Kanunu (GVKK) yani General Data Protection Regulation (GDPR) bizim için hayati önem taşımaktadır. Bizim kanunumuz KVKK’nın kökenleri de GDPR’dadır. Avrupa birliği kişisel veri güvenliği kanununa göre dünyanın neresinde olursa olsun bir kurum bir AB vatandaşının kişisel verisini ifşa eder, yetkisiz erişime uğratırsa o kurum GDPR’a tabidir. Genel Veri Koruma Kanunu GVKK’nın 3. Maddesinde GDPR’a tabi olduğumuzu açık net bir şekilde görüyoruz. Bölgesel Kapsam, Üçüncü Maddenin 1 fıkrasında bu kapsam şöyle ifade edilir: “Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.” Yine GDPR’ın 3. Maddesinin 4. Fıkrasında şöyle yazar: “Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.” Bu kontrolör ülkemizde Kişisel Verileri Koruma Kurumu olan KVKK’dır.
KVKK ve GDPR idari cezları ve İnterpol
Bizde KVKK ile ilgili sistem kurmamanın üst cezası 1.400.000 TL iken bir AB vatandaşının kişisel verisini amacı dışında kullanır, yetkisiz erişime uğratır veya hackletirseniz GDPR cezalarına tabisiniz. Kurumunuzun yönetim kurulu üyeleri Europol veya İnterpol aracılığı ile sınır kapılarına bildirilebilecek ve siz o cezaları ödemeden o AB ülkesinden çıkamaz duruma geleceksiniz. GDPR’daki idari para cezaları çok yüksektir. Veri ihlali gerçekleştiğinde 10.000.000 Euro ile cironuzun %2’si veya küresel cironun %4’ü veya 20.000.000 Euro gibi cezaları ödemek mümkün olmayabilir.
Dikkat ediniz: ‘kişisel veri ihlali’ iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir ve bu nedenle GDPR kapsamına girebilirsiniz. Türkiye’de gerekli gereksiz her kurum parmak izi alıyor, yüz tanıma teknolojisi kullanıyor, avuç içi ve retina taraması yapıyor. GDPR bu konuda hassas: ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir. Kafanıza göre parmak izi okuyucu, retina taraması, avuç içi okuyucu kullanmamanızı tavsiye ediyoruz.
Kişisel verileri kazara veya kasıtlı olarak silerseniz başınıza büyük iş açarsınız
GDPR’da II. Bölüm, 5. Madde, Kişisel verilerin işlenmesine ilişkin ilkeler başlığının “f” bendinde buna ilişkin şunları yazar: Yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir. Bilgi güvenliği ile ilgili bütünlük, gizlilik, erişilebilirlik ilkelerini hatırlamak gerekir.
KVKK cezalarından ilgili kişilere para ödeniyor mu?
Hayır, KVKK cezaları kurumlara, organizasyonlara, şirketlere veriliyor. Kişilerin kurum çatısı dışında, bir şirketteni kurumdan, organizasyondan bağımsız olarak kişisel veri ihlali gerçekleştirmesi durumunda KVKK kapsamı dışındadır. KVKK için kesilen cezalardan verisi ihlal edilene hiç bir ödeme yapılamıyor. Bunun için ilgili kişinin mahkemelere maddi ve manevi tazmiman davası açması gerekiyor. KVKK ile ilgili kişisel veri ihlali durumunda ayrıca adli para cezası dışında hapis cezası da bulunmaktadır.
Özetlemek gerekirse KVKK danışmanlığı kapsamında bir kurumda yapılması gerekenler nelerdir?
6698 sayılı Kişisel verilerin koruması Kanunu ile ilgili olarak şunlar yapılmalıdır: organizasyon yapısı kurulmalıdır; idari ve teknik tedbirler alınmalıdır; sistem ile ilgili prosedür, talimat ve formlar hazırlanmalıdır; varlık yönetimi; risk analizi yapılmalı; erişim yönetimi; olay yönetimi örgüsü oluşturulmalı; kurulan sistem üçüncü göz tarafından denetlenmeli ve bir yıllık rapor hazırlanmalıdır; çalışanlar eğitilmelidir; KVKK ile ilgili kurulan sistem izlenebilir halde sürekli güncel tutulmalıdır. KVKK süreçleri yalnızca bir avukatın hazırlayacağı aydınlatma metni ve sözleşmelerden ibaret değildir. Çoğunluklu bilişim sistemleri kontrolleri ile ilgilidir. KVKK yönetim sistemi kurarken yetkinliğe dikkat edilmelidir. KVKK danışmanlığı fiyatı çalıştığınız kurumla ilgilidir. VMİ Danışmanlık ile çalışırsanız hem işiniz hem de içiniz rahat eder. Biz kişisel veri güvenliği ile ilgili çalışmalarımıza 2014 yılında buyana devam ediyoruz. KVKK ve GDPR konusunda önemli saha tecrübelerine sahibiz.
Kişisel veri güvenliği ile ilgili işleme faaliyetinin hukuka uygunluğu
Kişisel veri güvenliği ile ilgili GDPR’ın çok önemli olduğunu belirtmiştik. İşleme faaliyetinin hukuka uygunluğu 6698 sayılı kanunda da çok önemli olsa da GDPR’da bunun için çok detay verilmiştir. Özellikle 6.madde işleme faaliyetinin hukuka uygunluğu bölümünde 1 fıkrada hukuka uygunlukla ilgili detaylar verilmiştir buna özen gösterilmesi gerekir. Bu durum GDPR'da şöyle ifade edilir:
İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:
veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;
veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması;
kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile işleme faaliyetinin gerekli olması;
veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması;
kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması;
özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.
Ücretsiz KVKK eğitimleri, ücretsiz KVKK danışmanlığı
İmkanlarımız ölçüsünde ülkemize katkı sağlamak amacıyla bazı sivil toplum örgütlerinden KVKK ve GDPR danışmanlığı için ücret almıyoruz. Örnek KVKK sistemi veya Örnek GDPR yönetim sistemi konusunda bizi arayarak bilgi alabilirsiniz. KVKK süreçleri, GDPR süreçleri konusundaki deneyimlerimizi sizinle paylaşmaktan gurur duyarız. Bilgi paylaşımına önem veriyoruz. Kişisel veri güvenliği konularında okullara, üniversitelere ücretsiz kvkk eğitimleri veriyoruz. KVKK danışmanlığı ücretleri konusunda da ketum değiliz, sizi uğraştırmadan telefonda da size KVKK danışmanlığı fiyatı verebilmekteyiz.