KVKK Danışmanlığı

6699 Sayılı Kişisel Verilerin Korunması Kanunu

6699 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde kanunlaşmış, 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.  KVKK’nın amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. 

Kanun’un 1.maddesine göre KVKK’nın amacı:

  • Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,
  • Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak),
  • Mahremiyet hakkının korunması,
  • Bilgi güvenliği hakkının korunmasıdır.

KVKK ile hedeflenen, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçmektedir.

 

KVKK Kapsamı

KVKK’nın 2.maddesine göre kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Kanun kapsamında koruma altına alınan kişisel veriler sadece gerçek kişilere ait olan kişisel veriler olup, tüzel kişilere ait olanlar hukuken koruma altında bulunmamaktadır. Ancak tüzel kişilere ait olan verilerden gerçek kişilerin belirlenebilmesi mümkün oluyor ise, bu verilerin de Kanun kapsamında değerlendirilmesi söz konusu olacaktır.

 

KVKK’da kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla (manuel) işlenmesi bakımından da herhangi bir fark öngörülmemiştir. Bu doğrultuda kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış her türlü sistem KVKK kapsamında değerlendirilecektir. Dolayısıyla KVKK otomatik olmayan yollarla işlenen verileri tamamen kapsam dışında bırakmamaktadır. Burada önemli olan otomatik olmayan yollarla işlenen verilerin veri kayıt sisteminin parçası olup olmadığıdır. Veri kayıt sistemi, KVKK’nın 3.maddesinde “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” şeklinde tanımlanmıştır. Dolayısıyla elle işlenen verilerin herhangi bir kritere göre yapılandırılan bir kayıt sistemine dahil edilmesi durumunda, bu tür verilerle ilgili olarak da 6698 sayılı Kanun uygulanacaktır.

 

Otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası da değilse KVKK kapsamında değerlendirilmeyecektir. Ancak bu durum ilgili verilerin kişisel veri niteliğini etkilemeyeceği için, bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmeye devam edecektir.  

Sonuç olarak, KVKK’da yalnızca gerçek kişilere ait kişisel verilerin kanunun koruma kapsamı içerisine dahil olacağı belirtilmiştir. İlke olarak, tüzel kişilere ait kişisel verilerin korunması KVKK’nın kapsamı dahilinde değildir. Fakat tüzel kişiye ait bir verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden olması halinde, bu tür verilerin de Kanun’un korumasından yararlanması mümkün olur. 

 

Kişisel Veri

KVKK’da kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Buna göre kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ait her türlü bilgidir. Kişisel bir veriden söz edebilmek için, verinin bir kişiye ait olması ve kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğerlerinden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları, kılık kıyafeti, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, vergi numarası, sigorta numarası,  ceza mahkumiyeti, güvenlik tedbirleri, biyometrik ve genetik verileri gibi, somut olarak veya başka bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm verileri kapsamaktadır. 

  

KVKK’nın Zaman Bakımından Uygulanması

KVKK’nın geçici 1.maddesinde, halihazırda işlenmiş kişisel verilerin durumu düzenlenmiştir. Buna göre, KVKK’nın yayımı tarihinden önce işlenmiş olan kişisel veriler, KVKK’nın yayımı tarihinden itibaren 2 yıl içinde KVKK hükümlerine uygun hale getirilir. Bu süre içerisinde KVKK hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir. Ancak KVKK’nın yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, 1 yıl içinde aksine bir irade beyanında bulunulmaması halinde, KVKK’ya uygun kabul edilir. 

 

KVKK Danışmanlık Hizmeti

KVKK danışmanlık hizmeti 6698 sayılı Kişisel Verilerin Korunması hakkındaki Kanun ile ilgili Kurum bünyesinde yapılacak uyum sürecine ilişkin çalışmaları kapsamaktadır.

 

KVKK danışmanlık hizmeti ile KVKK Uyum Projesi kapsamında Kurum bünyesinde işlenen verilerin, KVKK kapsamında bu verilere ilişkin proje kesin kabulüne kadar uygulanan süreçlerin, faaliyetlerin, Kurum tarafından hazırlanan ve/veya uygulamakla yükümlü olduğu yazılı ve bilgi teknolojileri unsurlarının ve işlemlerin değerlendirilmesi, gerektiği ölçüde revize edilmesi için yönlendirilmesi, risklerinin tespit edilip raporlanması, Kişisel Verilerin Korunması Kanunu’na uyumlu hale getirilmesi amaçlanmaktadır.

 

Kurumsal Uyumluluk Değerlendirmesi

KVKK Uyum Projesi mevcut durumun analiz edilmesi ve kişisel verilerin genel çerçevesinin belirlenebilmesi amacıyla uyumluluk değerlendirmesi yapılarak başlatılır. Bu aşamada Kurum bilgi güvenliği ve kişisel verilerin korunması bakış açısıyla süreçler incelenir ve sistemler değerlendirilir, veri güvenliğine ilişkin dokümanların yeterlilik analizi yapılır, sözleşmeler incelenir ve uyumluluk için çalışma adımları belirlenir. Mevcut durum değerlendirmesi sırasında edinilen bilgiler ışığında Kurum amaç ve stratejilerine uygun olarak kişisel verilerin korunmasına yönelik yol haritası belirlenir.

 

Veri Analizi ve Değerlendirme

KVKK uyumluluğu çerçevesinde Kurum’da bulunan varlıklar ve süreçlerdeki kişisel veriler belirlenir. Bu çalışma gerçekleştirilirken iş ve bilgi teknolojileri birimlerinden uzmanlarla toplantı ve çalıştaylar düzenlenerek gerekli nitelik ve nicelikte bilgi toplanır ve kişisel veri işleme envanteri oluşturulur.  

 

Mevcut Güvenlik Kontrollerinin Analizi ve Değerlendirmesi

Bu aşamada Kurum bünyesinde uygulanan manuel ve bilgi teknolojileri tabanlı alınmış önlemler belirlenir ve değerlendirilir. Bu fazın sonunda kişisel verileri oluşturan, işleyen, ileten, saklayan ve imha eden iş ve teknik süreçlere dair eksiklikler ve bu eksiklikleri giderme aksiyonları raporlanır.

 

Güvenlik İyileştirmeleri ve Kişisel Veri Yönetimi

Kişisel veri güvenliğinin ve alınan önlemlerin sürdürebilirliğinin sağlanması için kişisel veri güvenliği konusundaki çalışmalar bir yönetim sistemi şeklinde gerçekleştirilmelidir. Bu maksatla Kurum’un tabi olduğu mevzuat ve KVKK gereksinimleri doğrultusunda iyileştirme ve düzenlemeler gerçekleştirilir.

Bu aşamada yapılan çalışmalarda bir önceki çalışmadan elde edilen eksikliklerin giderilmesi ve Kurum ihtiyaçlarının karşılanması sağlanır. Hak sahiplerinin öngörülen haklarını kullanmasının sağlanması, kişisel veri işleme envanterinin yönetilmesi, veri paylaşım süreçlerinin oluşturulması, KVK Kurumu ile iletişimin düzenlenmesi, KVKK kapsamında gerekli dokümantasyonun yapılmasının sağlanması, farkındalık programlarının oluşturulması, kişisel veri yönetimine ilişkin politika ve süreçlerin oluşturulması, vb. kişisel veri koruma kontrollerinin süreklilik arz etmesini sağlayacak çalışmalar gerçekleştirilir.  

 

Teknoloji Danışmanlığı

KVKK Uyum Projesi kapsamında bilgi teknolojileri altyapısında gerçekleştirilmesi gereken faaliyetler de bulunmaktadır. KVKK’ya uyum için Kurum teknik altyapısında yapılması gereken değişikliklerle ilgili teknoloji danışmanlığı hizmeti sağlanır. Örneğin, güvenlik önlemlerinin alınması için gerekli teknik güvenlik ihtiyaçlarının belirlenmesi ve uygulanması konusunda danışmanlık hizmeti, veri silme, yok etme ve anonimleştirme yükümlülüklerinin yerine getirilmesi için gerekli altyapının tasarlanması ve sahada uygulanması konusunda danışmanlık hizmeti, vb.

 

KVKK Uyumluluk Denetimi

6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlularının düzenli olarak denetim yapması veya yaptırması gerekmektedir. KVKK denetimi çalışmasında Kurum bünyesinde KVK Kanunu’na yönelik uyumluluk kapsamında eksiklikler ve iyileştirme alanlarının tespit edilmesi sağlanır. KVKK Uyum Projesi iş adımlarının tamamlanması sonrasında gerçekleştirilen denetim çalışması için bir denetim ekibi görevlendirilir. Denetim kapsamına asgari olarak aşağıdaki konular alınır:

  • Kişisel Verilerin Korunması mevzuatı doğrultusunda dokümantasyon (yeterlilik) denetimi
  • Kişisel verilerin işlenmesi ilkeleri (6698 sayılı kanun-Madde 4)
  • Kişisel verilerin işlenme, aktarma, silme, yok etme şartları (6698 sayılı kanun-Madde 5, 6, 7, 8, 9)
  • İlgili kişinin haklarına yönelik süreçler (6698 sayılı kanun-Madde 10, 11)
  • Kişisel verilerin güvenliğine yönelik veri sorumlusunun yükümlülükleri
  • İdari ve teknik güvenlik tedbirleri
  • Veri siciline kayıt (VERBİS) ve kişisel veri envanteri
  • İlgili kişiler ve otoritelerle iletişim süreçleri (talep, başvuru, şikayet, itiraz vb.)
  • Kişisel verileri kapsayan ihlal olayı yönetim süreci (olay ve kritiklik seviyelerine göre detaylandırılmış)