Eylül 16, 2021 ,

Kişisel Verilerin Korunması Kanunu Kapsamında Şirketlerin Yükümlülükleri ve Alması Gereken Önlemler

Kişisel Verilerin Korunması Kanunu Nedir?
2010 yılında Anayasa’ya eklenen «Herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkında sahiptir.» maddesiyle birlikte (Anayasa md.20) kişisel verilerin korunması alanında yasal bir düzenlemeye ihtiyaç duyulmuştur.
Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Kanunu Neden Önemlidir?
Teknolojinin gelişmesi ve yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.
Bir süre önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun ile birlikte verilerin kim tarafından, hangi amaçlara yönelik işleneceği, nasıl kullanılacağını, nasıl ve ne zaman silineceğine ilişkin düzenlemeler getirilmiştir.
Bu kanuna uyulmaması çok yüksek miktarlarda para cezaları ve hapis cezaları ile karşılaşmak demektir.
İlgililer, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilir.
Kanun bu alandaki gelişmelerin henüz başlangıcıdır. Kişisel verinin korunması ve kişilerin kendi verileri üzerindeki hakları artarak devam edecektir.

Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan ve onu tanımlanabilir kılan her türlü bilgiyi ifade eder.
Kişisel verilere örnek verecek olursak,
• Ad, Soyadı
• Özgeçmiş
• Fatura
• SGK Numarası
• IP Adresleri
• T.C. Kimlik No vb.

Özel Nitelikli Kişisel Veriler Nelerdir?
Bu tip kişisel veriler ayrı bir madde halinde özel olarak düzenlenmiştir ve kanunda sayılan verilerle sınırlıdır. Nedeni ise bu tip veriler için kesin işlem yasağı ve diğer verilere kıyasla daha yüksek koruma ön görmesidir. Bu tip kişisel veriler kişinin açık rızası olmadan işlenemez ve paylaşılamaz.

Kişisel Verilerin İşlenmesi Nedir?
Kişisel verilerin tamamen veya kısmen
• elde edilmesi,
• depolanması ,
• muhafaza edilmesi,
• değiştirilmesi,
• yeniden düzenlenmesi,
• açıklanması,
• aktarılması,
• devralınması,
• elde edilebilir hale getirilmesi,
• sınıflandırılması,
• kullanılmasının engellenmesi,
gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Veri İşlenirken Uyulması Gereken Kurallar
• Hukuka ve dürüstlük kurallarına uygun olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İşlendikleri amaç için yeterli olan süre kadar muhafaza edilme

Kişisel Verilerin Korunması Kanunu Kapsamında Şirketlerin Yükümlülükleri
• Veri Sorumluları Sicili’ne kayıt olma ve güncel tutma
• Kişisel veri envanteri hazırlama ve güncel tutma
• İlgili kişileri aydınlatma ve aydınlatma metinlerinde gerekli güncellemeleri yapma
• Kişisel verilerin güvenliğine ilişkin idari ve teknik tedbirleri alma
• Kişisel veri saklama ve imha politikası hazırlama
• Kişisel verileri yasal süreler kadar saklama ve periyodik olarak imha etme
• Veri sorumlusuna yöneltilen başvuruları yanıtlama
• Açık rıza alma ve açık rıza metinlerinde gerekli güncellemeleri yapma

Yükümlülüklere Uymama Halinde Uygulanan Yaptırımlar Nelerdir?
Güncel İdari Para Cezaları
• Aydınlatma yükümlülüğüne aykırılık 9.834 TL – 196.686 TL
• Veri güvenliğine ilişkin yükümlülüğe aykırılık 29.503 TL – 1.966.862 TL
• VERBİS’e kayıt yükümlülüğüne aykırılık 39.337 TL – 1.966.862 TL
• Kurul tarafından verilen kararları yerine getirme yükümlülüğüne aykırılık 49.172 TL – 1.966.862 TL

Hapis Cezaları
Hapis cezasından şirketi temsil edenler sorumludur.
• Anonim şirketlerde Yönetim Kurulu
• Limited şirketlerde Şirket Müdürleri
Kişisel verileri hukuka aykırı ve kasıtlı olarak üçüncü kişilere aktaran kişi cezai olarak sorumludur. Ancak veri sorumlusunun sorumluluğu ortadan kalkmaz.
*Suçların nitelikli hallerinde cezalar arttırılmaktadır.
• Kişisel verilerin hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar
• Kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi 2 yıldan 4 yıla kadar
• Kişisel verilerin yok edilmemesi 1 yıldan 2 yıla kadar

KVKK Kapsamında Alınması Gereken İdari Ve Teknik Önlemler Nelerdir?
• Mevcut Risk ve Tehditlerin Belirlenmesi
o Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
o Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
o Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve
niceliği
• Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
• Kişisel verilere sadece yetkili kişilerin ulaşabilmesi
• Kişisel Verilerin Mümkün Olduğunca Azaltılması
• Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
• Çalışanlar ile gizlilik anlaşmalarının imzalanması
• Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin sürecinin belirlenmesi
• Veri İşleyenler ile İlişkilerin Yönetimi
• Veri işleyen ile imzalanan sözleşmenin yazılı olması
o Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket etmesi
o Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlüğünün olması
• Yetkilendirme matrisi oluşturulmalıdır.
• Yetki kontrolü yapılmalıdır.
• Güvenlik duvarı ve ağ geçidi kurulmalıdır.
• Erişim logları tutulmalıdır.
• Kullanıcı hesapları yönetilmelidir.
• Ağ ortamının güvenliği sağlanmalıdır.
• Uygulamaların güvenliği sağlanmalıdır.
• Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
• Veriler şifreleme yöntemleri ile şifrelenmelidir.
• Yama Yönetimi ve yazılım güncellemelerinde gerekli önlemlerin olup olmadığı denetlenmelidir.
• Kişisel verilere erişim kısıtlı olmalıdır. Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır. Güçlü şifre ve parola oluşturulmalıdır.
• Kaba kuvvet algoritması (BFA) kullanılmalıdır.
• Şifre girişi deneme sayısının sınırlandırılmalıdır.
• Düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmalıdır.
• Yönetici hesabı ve admin yetkisi sadece ihtiyaç olduğu durumlarda kullanılmalıdır.
• Şirket ile ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesap silinmeli ya da girişlerin kapatılmalıdır.
• Sızma testleri yapılarak kurum güvenliği test edilmelidir.
• Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
• Log kayıtları incelenmeli ve yedeklenmelidir.
• Veri maskelemeleri yapılmalıdır.
• Veri kaybı önlemeye yönelik teknik tedbirler alınmalıdır.
• Yedekleme sistemleri kullanılmalıdır.
• Güncel anti-virüs sistemleri kullanılmalıdır.
• Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.