Gegi Bilişim

KVKK Nedir ? Neleri değiştirecektir ? Hukuki, İdari ve Teknik Tedbirler nelerdir ?

KVKK (GDPR) son zamanlarda sıklıkla duyulan bir kalıp ve birçok kişi de konu üzerinde fikir beyanında bulunmakta. Bundan dolayı KVKK nın ne olduğu ya da belki de ne olmadığıyla ilgili çok fazla doğru ve yanlış bilgi mevcut. Bundan dolayı olabildiğince konu ile ilgili kafalardaki soru işaretlerine cevap vermeye çalışacağımız bir seri bilgi ile giriş yapmak istedik. Yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini gözetmek ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme ve denetleme amacını taşımaktadır. Kanun’da belirtilen istisnalar haricinde KVKK, sahibinin izni olmadan kişisel verilerin işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin açık rızası olmadan veriler işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir.

KVKK Nedir?
KVKK Nedir?

Kişisel Verileri Koruma Kurulu, verileri toplayan/işleyen kurumları 6698 sayılı KVK Kanunu ile kayıt altına alıp kamu tarafından görünebilir kılacaktır. Kişisel bilgilerini alıp işleyen/işleten kurumlar ile problem yaşayan veri sahibi gerçek kişiler bu resmi kuruma başvurup şikâyette bulunabilecek. Kurul, yukarıda bir kısmı belirtilen kuralları uygulamayan kurumlara 5.000 ila 1.000.000 TL arasında değişen idari para cezası vermek ve hatta bazı durumlarda kusur, ihmal ve kötü niyet sahibi yetkililere hapis cezasının yolunu açmak gibi yaptırımları uygulama yetkisine sahiptir. Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara verilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir değişimi de beraberinde getirmektedir. Kurumları ilgilendiren temel bakış açısı ise: “Toplanan kişisel verilerle ilgili hesap verebilir olup teknik altyapıya uyum için neler yapmalıyız ?” olmalıdır. Bu sorunun cevabını istenilen şekilde verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır. Kişisel Veri işleyen bir kurumun KVKK mevzuatına uyum sürecinde alınması gereken tedbirler üç temel başlıkta gerçekleştirilmektedir. Bunlar; Hukuki, İdari ve Teknik tedbirlerdir.

Bu tedbirler kısaca şu şekildedir:

  • Teknik Tedbirler

  • - Yetki Matrisi

  • - Yetki Kontrol

  • - Erişim Logları

  • - Kullanıcı Hesap Yönetimi

  • - Ağ Güvenliği

  • - Uygulama Güvenliği

  • - Şifreleme

  • - Sızma Testi

  • - Saldırı Tespit ve Önleme Sistemleri

  • - Log Kayıtları

  • - Veri Maskeleme

  • - Veri Kaybı Önleme Yazılımları

  • - Yedekleme

  • - Güvenlik Duvarları

  • - Güncel Anti-Virüs Sistemleri

  • - Silme, Yok Etme veya Anonim Hale Getirme

  • - Anahtar Yönetimi

  • - Uyumluluk Testi

  • Hukuki ve İdari Tedbirler

  • - Kişisel Veri İşleme Envanteri Hazırlanması

  • - Kurumsal Politikalar (Aydınlatma Metni, Başvuru Formu, Kullanım, Saklama ve İmha vb.)

  • - Sözleşmelerin KVKK’ya Uyumlu Hale Getirilmesi, Mevcut Sözleşmelerin Revizyonu

  • - Gizlilik Taahhütnameleri

  • - Kurum İçi Periyodik ve/veya Rastgele Denetimler

  • - Risk Analizleri

  • - İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

  • - Kurumsal İletişim (Kriz Yönetimi, Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

  • - Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

  • - Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Yukarıda sayılan KVKK uygulamaları kurumlar için yerine getirilmesi gereken ciddi bir iş yükü oluşturmaktadır.
Gegi Bilişim ile kurumların KVKK sürecine uyum sağlaması konusunda hukuki, idari ve teknik anlamda bir bütün olarak hizmet sunmaktayız.