Bilgi toplumunun en önemli sermayesi bilgidir. Özellikle 90'lı yılların ortasından itibaren iletişim ve bilişim teknolojilerin gelişmesi sonucu veri hareketleri yoğunlaştı. Bilgi toplamak önemli iken bugün var olan bilginin güvenliği ve yasalara uygunluğu çok daha önemli hale geldi. Öyle ki yasal olmayan yollardan elde ettiğiniz bilgiler şirketinizin sonunu getirebilir. KVKK danışmanlığı ve GDPR danışmanlığı çalışmalarımız sırasında konunun tam anlaşılamadığını gördük.
KVKK uyum danışmanlığı ve Avrupa Birliği Genel Veri Koruma Tüzüğü GDPR
Geçen yıllarda veri toplamak önemli iken artık Kişisel Verilerin Korunması Kanunu'na ve Genel Veri Koruma Tüzüğü (GDPR) gibi yasalara uygun olmayan veri işlemek kolay değil. Hatta kişisel veri güvenliği KVKK uyum danışmanlığı gibi bir sektörü doğurdu. Bilgi güvenliğinin bir alt kolu olan kişisel veri güvenliği konusunda ülkemizdeki birikim hızla artıyor. Olaylar, uygulamalar, teknolojik gelişime paralel olarak artıyor. Bilgi güvenliği danışmanlığı daha özel bir meslek dahi doğurmak üzeredir. Gene günlerde bir banka personeli alımı için ilan yayımlandığını gördük. KVKK ve GDPR mevzuatı bazı pozisyonları ve meslekleri de doğurmak üzere. İşte bunun en iyi örneği bir kamu bankasının personel ilanı:
Bilgi çağının yeni meslekleri KVKK Yetkilisi, KVKK Yönetmeni, Bilgi Güvenliği Uzmanı, KVKK uyum danışmanlığı, GDPR uyum danışmanlığı
Bankanın açık kadroları: Bilgi Güvenliği Uzmanı, Arge Mühendisi, Kredi Risk Modelleme Uzmanı, Resmi Raporlama Uzmanı, KVKK Yetkilisi, KVKK Yönetmen Yardımcısı, Veri Ambarı Analisti, Süreç Geliştirme Yetkilisi, İnsan Kaynakları Analisti, Organizasyon Geliştirme ve Kalite Yetkilisi, Veri Ambarı Yazılım Uzmanı
İşte yukarıdaki iş ilanı apaçık bize yeni yüzyılın mesleklerinin doğurduğunu göstermektedir. Bu mesleklerin doğmasına neden olan bilgi güvenliği standartları, bilişim ve iletişi güvenliği mevzuatı giderek gelişiyor. Aslında bu mevzuat 2016 yılından buyana geçerli değil tarih daha da eski. "Kişisel Verilerin Korunmasını İsteme Hakkı" Anayasamızın 20. Maddesinde 2010 yılından buyana hayatımıza girmiştir. Özel hayatın gizliliği; Konut dokunulmazlığı; Haberleşme hürriyeti'nin yer aldığı ilk maddeye 2010 yılında şu madde eklenmemiştir:
KVKK ve Anayasa Maddeleri
(Ek fıkra: 12/9/2010-5982/2 md.)
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
KVKK uyumu ve VERBİS kaydı süreleri
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM'de hayata geçmiş olup 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Gücünü Anayasamızdan alan bu kanun, özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi hedeflemektedir. Kurumlar gerçek kişilerden topladığı veriler ile ilgili KVKK ve GDPR mevzuatına uyumu 2018 yılın Haziran ayında tamamlamalıydı ama maalesef bu gerçekleşmedi. Bugün birçok kurum KVKK uyum çalışmalarını, GDPR uyum çalışmaları VERBİS yükümlülüğü olmadığı gerekçesiyle erteliyor. VERBİS yükümlülüğü KVKK içinde minik bir parça. KVKK uyumu, GDPR uyum sağlamamanın büyük idari cezaları var.
KVKK yazılımları
Bugün birçok kurum yazılım satarak KVKK uyumu sağladığını iddia ediyor bu büyük risk! KVKK uyum danışmanlığımız esnasında birçok KVKK ve GDPR yazılımı ile karşılaştık bu yazılımların bazıları sadece bazı KVKK hükümlerini karşılıyor. Kişisel Veri Güvenliği Yönetim Sistemi başlı başına özel bir konudur. Burada amaç sadece veriyi korumak değildir. KVKK uyum danışmanlığı yapanların dikkat etmesi gereken temel husus. Kişisel verilerin korunmasındaki temel amacın sadece kişisel verilerin korunması değil, bu verilerin ilişkili olduğu kişilerin korunmasıdır.