Kişisel verilerin işlenmesi kapsamında özellikle 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile ülkemizde önemli adımlar atılmıştır. Söz konusu Kanun ve ilgili mevzuat değişiklikleri ile hem kişisel verileri işlenen bireylerde (ilgili kişi) hem de firmalarda (veri sorumluları ve veri işleyenler) önemli ölçüde farkındalık oluşturulmuştur.
Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel verileri işlenen bireyin korunması dışında, KVKK yürürlüğe girmesi ve ilgili mevzuat değişiklikleri ile hedeflenen amaçlardan birisi de Avrupa Birliği (AB) mevzuatı ile uyumluluğu sağlamak ve özellikle uluslararası ticarette ortak paydalarda buluşabilmektir. Bu nedenlerden dolayı mevzuata uygunluğun sağlanması dışında bir alternatif bulunmamaktadır. Mevzuata aykırı hareketler de bu kapsamda hem 6698 sayılı KVKK ile hem de 5237 sayılı Türk Ceza Kanunu (TCK) ile hapis ve para cezalarını içeren ağır yaptırımlara bağlanmıştır.
Kişisel Verileri Korunması Kurumu, kendisine ait örün sitesinden mevzuatın daha iyi anlaşılması için oldukça zengin bir yardımcı kaynak e-kütüphaneyi hizmete sunmaktadır. Buna rağmen hala veri sorumlusu olan şirket/firmalarda mevzuat kapsamı ile ilgili yaygın bir yanlış anlayış hakim bulunmaktadır. Bu yanlışlıkların içerisinde en önemlisi, veri sorumlusu konumunda bulunan firma veya şirketlerin, KVKK uyumluluğunun yalnızca Veri Sorumluları Sicili’ne (VERBİS) kayıtla sağlanabileceğine ilişkin düşünceleridir.
Kişisel Verilerin Korunması Kanunu - İdari ve Teknik Tedbirler
KVKK kapsamında veri sorumlularının alması gereken tedbirler iki ana başlık altında toplanmaktadır. Bunlar idari ve teknik tedbirlerdir. İdari kapsamda veri sorumluları tarafından;
- Bilgi güvenlik politikası ve prosedürleri oluşturulmalı,
- Verbis kaydını tamamlanmalı,
- Bilgi sistem personeli başta olmak üzere çalışanlarında bilgi güvenliği farkındalığı yaratılmalı
- Kişisel veri envanterini çıkararak düzenli olarak kurum içi/dışı denetlemelerle uyumluluk sürecini tekrar değerlendirilmelidir.
İdari anlamda alınacak tedbirler genel olarak herkesçe anlaşılmaktadır. Fakat en az idari tedbirler kadar önemli olan husus, KVKK teknik tedbirlerdir. Teknik tedbirler kısaca kişisel verileri koruyacağını taahhüt eden veri sorumlularının, bunu teknik anlamda nasıl gerçekleştirecekleri sorusunun cevabıdır. İdari tedbirlerle orantılı olarak, teknik anlamda veri sorumluları veri tabanı, dosya ve mail sunucuları gibi doğrudan kişisel verilerin saklandığı bilgi sistem cihazlarının güvenliğini nasıl sağlayacaklardır? Aydınlatma metinlerinde kişisel verilerin miadı belirtilerek, bu sürenin sonunda bu verilerin silinmesi/yok edilmesi/anonim hale getirilmesi de taahhüt edilen hususlardan birisidir.
Veri sorumluları, bu verilerin başka bir kişi/kurumun eline geçmemesi için geri döndürülemez şekilde silinmesi/yok edilmesini nasıl sağlayacaktır? İşte bütün bu soruların cevabı KVKK kapsamında alınması gereken teknik tedbirler içerisinde bulunmaktadır.
Teknik anlamda gerekli önlemleri almadan, sadece belgeler üzerinden bir KVKK uyumluluğu sağlanamaz. Bu nedenle, veri sorumlularının idari-teknik tedbirler ayrımını daha iyi anlayarak gerekli adımları atmaları gerekmektedir.
Unutmamalıdır siber bir saldırı yada bilgi sızıntısı durumunda saldırıları belgeler değil alınacak aktif-teknik tedbirler önler.
KVKK sadece idari tedbirlerden ibaret değildir. KVKK teknik ve idari tedbirlerden oluşan bir bütündür.