KİŞİSEL VERİ KORUMASINDA KRİTİK TARİH 30 EYLÜL

Yıllık çalışanı 50’den fazla ya da yıllık mali bilanço toplamı 25 milyon lirayı aşan gerçek ve tüzel kişi veri sorumlularının, 30 Eylül 2019 tarihine kadar Veri Sorumluları Sicili’ne kayıt yaptırmaları gerekiyor.

7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe 6698 sayılı Kişisel Verilerin Korunması Kanunu; şirketleri, sistemlerinde kayıtlı müşteri verilerinin güvenliğini sağlamakla yükümlü kılıyor. Kanunda; istisnalar haricinde, “kişisel verilerin kişinin açık rızası olmaksızın işlenemeyeceği”; “üçüncü kişilere ve yurtdışına aktarılamayacağı” ve “aksi durumda kurumlara idari para cezası verileceğini” belirtiliyor. Bu yüzdendir ki şirketlerin çağrı merkezleriyle iletişime geçildiğinde söze girilirken ilgili kanun gereği “konuşmaların kayıt altına alındığının bilgisi” aktarılıyor. Tabi ki yasal sorumluluk süreci bu bilginin dile getirilmesiyle bitmiyor, daha yeni başlıyor.

KURUL, 19 TEMMUZ 2018’DE KARARA BAĞLAMIŞTI
Şirketlerin, Kişisel Verileri Koruma Kurulu’nun, 19 Temmuz 2018 tarihinde aldığı kararda belirtilen süre zarfında yükümlülüklerini yerine getirmeleri gerekiyor. Kurul, “Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon lirayı aşan gerçek ve tüzel kişi” veri sorumlularının, 1 Ekim 2018 ile 30 Eylül 2019 tarihleri arasında Veri Sorumluları Sicili’ne kayıt yaptırmalarını kararlaştırdı. Yurtdışında ikamet eden gerçek ve tüzel kişiler için de aynı takvim geçerli.

Kurul kararına göre, yıllık çalışan sayısı 50’nin; yıllık mali bilanço toplamı da 25 milyon liranın altında olan ancak ana faaliyeti özel nitelikli kişisel veri işlemeyi kapsayan gerçek ve tüzel kişi veri sorumluların söz konusu sicile kayıt yaptırma süresi 1 Ocak 2019’da başladı ve 31 Mart 2020’de sona erecek. Kamu kurum ve kuruluşu veri sorumlularının kayıt başlangıç tarihi 01 Nisan 2019, bitiş tarihi ise 30 Haziran 2020.

KANUN MADDELERİNDEKİ DÜZENLEMELER ÇOK AÇIK
6698 sayılı Kanun’daki maddelerin neleri düzenlediği çok açık: “Şirket ve kurumlar saklamakta oldukları kişisel verilere erişim ihlalini engellemekle yükümlü.”, “Veriler sınıflandırılmalı, etiketlenmeli ve hassasiyetine göre erişimler en kısıtlı haklarla, takip altına alınmalı ve daha sonra raporlanabilir bir şekilde saklanmalı.”, “Veri kaçakları önlenmeli, kişisel verilerin korunduğu alanlara erişimler titizlikle kayıt altına alınmalı ve sürekli raporlanabilir olmalı.”, “Kimlik yönetimi ve erişim yönetimi ile verilerin bulunduğu kaynaklara erişim yönetici hakları olmaksızın, belirli onay mekanizmalarından geçerek sağlanmalı.”, “Bu kaynaklardaki bilgi güvenliği testleri titizlikle; gerekli zafiyet analizleri de ilgili araçlarla yapılmalı; iç denetim ve uyum kurallarına uygun olarak raporlanmalı ve bu analizler belirli periyotlarla gerçekleştirilmeli.”

Kanun, kişisel verileri “emanet edilen bilgiler” olarak tanımlıyor ve bu bilgileri emanet alan işletmelerden bu konuda “hesap verebilir” bir zemin oluşturmalarını ve belirilen kurallar doğrultusunda dönüşmelerini istiyor.

KANUNDAN ÖNCEKİ KİŞİSEL VERİLERİN DURUMU
Resmi Gazete’de yayımlandığı 7 Nisan 2016 tarihinden önce işlenmiş kişisel verilerin de, iki yıl içinde ilgili hükümlerine uygun gale getirilmesi; maddelere aykırı nitelik taşıyan verilerin derhal silinmesi, yok edilmesi ya da anonimleştirilmesi gerekmekteydi. Yine kanundan evvelki veri sahibi rızaları; yasanın yürürlüğe girmesinden sonraki bir yılda kişi tarafından aksi yönde beyan vuku bulmazsa kanuna uygun kabul edilecekti.

KİŞİSEL VERİLERDE KURUMSAL MİMARİNİN ÖNEMİ
Kişisel verilerin korunması işlevinde ve bu çok mühim sorumluluğun hakkıyla yerine getirilmesinde öne çıkan kavramlardan biri de “kurumsal mimari”. Kısaca özetlemek gerekirse; bir kurumun “stratejiden iş birimlerine, süreçlerden aktivitelere; aktivitelerde kullanılan uygulama ve verilerden, bunların işlerlik kazandığı bilgi teknolojileri altyapı bileşenlerine kadar” tüm ilişkilerinin tanımlanmasını ve her türlü değişim istek ve talebinin etki analiziyle değerlendirilmesini sağlayan iş yapış yöntemi “kurumsal mimarı” diye isimlendiriliyor. Kişisel verilere dair mecburiyetlerin, işletmelerin kurumsallaşmasında itici güç olacağı; metodoloji oluşturamayan şirketlerin bu mecburiyetin gereklerinde sınıfta kalacağı ifade ediliyor.

Bilgi Güvenliği Danışman Osman Bolat:
VERİ GÜVENLİĞİ KURUM KÜLTÜRÜ HALİNE GELMELİ

Şirketlerimiz KVKK ile ilgili mevzuatı kurumların cezalandırılması olarak algılıyor. Hâlbuki ki bu yasa aslında şirketimizin sürdürülebilirliğine ve rekabet edebilirliğine önemli katkılar sağlıyor. Özellikle AB veri koruma yasası olan GDPR’da cezalar çok ağır. Bugün maalesef birçok şirketimiz 10.000.000 euro veya 20.000.000 euro cezayı karşılayabilecek maddi varlığa sahip değil. Kişisel veri güvenliği ile ilgili kâğıt üstünde sistem kurmak şirket internet sitesine bir aydınlatma metni koymak, bir başvuru formu oluşturmak kurumlarımızı cezadan korumaz. Kâğıt üstünde sistem kurmak sahte emniyet kemerine benzer kuracağınız sistem kâğıt üstünde olursa sizi KVKK ile ilgili kazalardan koruyamaz. Oysa emniyet kemerleri kaza anında sizleri korusun diye yapılmıştır. Kurumunuzun sürdürülebilirliği için bir organizasyon kurun, prosedürleri hazırlayın, riskleri hesaplayın, erişimi kontrol edin, teknik tedbirleri alın, idari tedbirleri alın, eğitimleri gerektiği gibi verin, hukuki uyumu kontrol edin, kurduğunuz sistemi işletin, denetleyin, kontrol edin ve iyileştirin. Veri güvenliğini kurum kültürü haline getirin ki başınıza iş geldiğinde uzmanları iyi niyetiniz konusunda ikna edebilesiniz.

KİŞİSEL VERİ GÜVENLİĞİNDEKİ KRİTİK HUSUSLAR
-Hesap, şifre ve erişim denetiminde sıfır tolerans.
-Verilerin korunması ve veri kaçaklarının engellenmesi.
-Verilerin sınıflandırılması ve buna göre arşivlenmesi.
-Mutlak veri gizliliğinin sağlanması.
-Zafiyet denetimi ve güvenlik seviyesinin sürekli izlenmesi.
-Güvenlikle ilgi gerekli prosedürlerinin zamanında hayata geçirilmesi.
-Durumun iç denetim ve uyum kurallarına uygun olarak raporlaması.

HESAP VEREBİLİR OLMANIN YOLLARI

-Her şeyden önce kişisel veri envanteri oluşturmak.
-Kişisel verilerin güvenliğini sağlamak.
-Kişisel verilerin kanuna uygun işlenmesi için üst yönetim desteği ve kaynak sağlamak.
-Kişisel verilerin korunmasına ilişkin kapsam ve hedefleri belirlemek.
-Kişisel veri politikası meydana getirmek ve hayata geçirmek.
-Kişisel verilerin korunması hakkında sorumluluk ve hesap verebilirlik ilkelerini ortaya koymak.
-Kişisel veri koruma temsilcilerini saptamak.
-Kişisel verileri riske eden faktörleri yönetmek.
-Kişisel veri toplama, işleme ve paylaşma yöntemlerini belirlemek