1. Ana Sayfa
  2. Regülasyonlar
  3. KVKK Nedir? – KVKK Yazı Dizisi Bölüm 1

KVKK Nedir? – KVKK Yazı Dizisi Bölüm 1

kvkk-logo

Son günlerde oldukça sık karşımıza çıkan ( Nedir) aslında Avrupa Birliği uyum çalışmaları kapsamında hazırlanan tasarı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına iletilmiştir ve 7 Nisan 2016 tarihinde yayınlanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu adından da çıkarım yapabileceğimiz üzere kişileri ilgilendirmektedir. Bu Kanun kişilerin başta özel hayatlarının gizliliği olmak üzere temel hak ve özgürlüklerini korumak amacıyla çıkartılmıştır. Kişisel veri işleyen kişilerin kanunca ikiye ayrıldığı gerçek ve tüzel kişilerin yükümlülükleri de kanun kapsamında belirlenmiştir.

Kanunun Amacı Nedir?

Bu Kanun’a göre kişisel veri işleyen kişiler, verisi işlenen kişinin açık rızası olmadan işlenmeyecek ve üçüncü kişilere aktarılmayacaktır. Veri sorumlusunun meşru menfaati kapsamında aktarım yapılmasının zorunlu olduğu durumlarda ise Kişisel Verileri Koruma Kurumu’nun hazırlamış olduğu tablosunda aktarım kişi veya kişi grupları ile yurt dışına aktarım detayı belirtilmelidir. Kişisel verilerin ihlal edilmesi durumunda cezaların hapis cezası ve idari para cezası şeklinde oldukça yüksek miktarlarda olduğunu da belirtmekte fayda var.

Birçok yasa gibi ülkemize Avrupa Birliği uyum süreçleriyle kazandırılan bu yasa ile kişisel verilerin günümüz standartlarında modern bir şekilde işlenmesi amaçlanmaktadır. Bu kanun veri işleyen kişi veya kişilerce insanların kişisel bilgilerinin gelişigüzel alınmasının önüne geçecek ve kötüye kullanımı ile kişilik haklarının ihlal edilmesi gibi olumsuz sonuçları ortadan kaldıracaktır.

Özetle KVKK; kişisel verisi işlenen kişilerin verilerinin izinsiz paylaşılmaması üzerine bir dizi kurallar bütünüdür diyebiliriz. Tabi ki bu süreçte uyulması gereken dokümantasyonlar ve yapılması gereken teknik tedbirler bulunmaktadır.

Kanun Kimleri Kapsamaktadır?

Kişisel verisi işlenen herkes kanun kapsamına girmektedir ancak veriyi işleyen kişiler tarafından değerlendirdiğimizde yıllık en az 50 personeli bulunan veya yıllık mali bilanço toplamı en az 25 milyon TL olan KVKK gerçek ve tüzel kişi veri sorumluları KVKK çalışmalarını yapmak zorundadırlar. Kanuna göre ilk etapta bu kritere uyan özel veya kamu kuruluşlarının kanun kapsamına girdiği daha sonra ise tüm işletmelerin kanun kapsamına gireceği söyleniyor.

VERBİS Kaydı Son Tarihleri?

Özel işletmeler için belirlenen Kaydı son tarihi 30.06.2020 iken Kamu Kurumları için bu tarih 31.12.2020’ye kadar uzatılmıştır. Bu tarihler işletmelerin Verbis kayıtlarını yapabilecekleri son tarihlerdir.

VERBİS Nedir?

Kişisel Verilerin Korunması Kanununun 16. Maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir. Bu kapsamda KVKK başkanlığınca VERBİS sistemi hazırlanmıştır. Veri sorumlusu olarak belirlenen sorumlu Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmalıdır.

Verbis sisteminden veri sorumlusu olarak atanan kişi kurumuna ait kayıt işlemlerini gerçekleştirir ve oluşturulan veri envanterini sisteme tek tek girer. Verbis kaydında hata olması durumunda “Verbis kaydımı sil” isimli butona tıklanarak silme talebinde bulunulur ve kaydın neden silindiğine dair kuruma dilekçe yazılması istenir. KVKK neden Verbis kaydını sildiğinize dair dilekçenizi aldıktan sonra üyeliğinizi tamamen siler ve yeniden veri sorumlusu olarak Verbis üyeliği yapılabilir.

VERBİS’e Üye Olmakla Verbis Kaydını Tamamlamak Aynı Şeyler mi?

Verbis sistemine yapılan üyelik yalnızca kurum/işletmede belirlenen veri sorumlusunun veri envanteri tablosunu gireceği ve çeşitli işlemleri yönetebileceği web sayfasıdır. Verbis Kaydı ise bu işlemden farklı olup ilk başta yapılması gereken bir işlemdir. Verbis kaydı bir kurum veya işletmenin atama yazısı ile belirlediği Veri Sorumlusu adına koordinasyon sağlayacak olan kişinin ve irtibat kişisinin belirlenmesi adımı ile başlar. Öncelikle işletme veya kurumdaki en yetkili kişi koordinasyon sağlayacak kişi olarak belirlenir ve atama yazısı yazılır. Daha sonra irtibat kişisi olarak bir personel belirlenir ve onun da atama yazısı yazılır. Verbis sistemindeki sicile kayıt menülerinden Veri Sorumlusu olarak da kurumun kendisi tanımlandıktan sonra bu evraklarla birlikte kayıt işlemi gerçekleştirilir.

Evet burada dikkat edeceğimiz üzere Veri Sorumlusuna koordinasyon sağlayacak kişi şirket/kurumda bulunan en yetkili kişi, irtibat kişisi Verbis’i yönetecek olan veri envanteri vb. sisteme girecek olan personel ve Veri Sorumlusu kurumunun kendisi olacaktır. Üzerinde durulması gereken bir husus olduğu için özetlemek gerekirse Veri Sorumlusu bir insan değil kurumun bizzat kendisi olacaktır. Örneğin bir üniversite için veri sorumlusu rektör veya başka bir personel olmayacak doğrudan veriyi işleyen yapı üniversite olduğu için veri sorumlusu da üniversite olarak tanımlanacaktır. Ancak veri sorumlusu adına koordinasyon sağlayacak kişi olarak rektör belirlenebilir ve kuruma iletilmek üzere atama yazısı hazırlanmalıdır. Verbis sistemindeki işlemleri yürütecek irtibat kişi ise rektörden farklı bir kişi olmalıdır. Örneğin kurum müdürü, genel sekreter, hukuk müşaviri gibi.

Verbis Kaydı Nasıl Yapılır?

Yukarıda bahsedilen Verbis kayıt işlemleri Kişisel Verileri Koruma Kurumunun internet sitesinden yapılmaktadır. Verbis web sitesi.

Verbis kaydı yapılırken işletme/kurumunuza göre üç farklı seçenek ile üye olmanız gerekmektedir. Yanlış türde yapılan üyelikler geçersiz kabul edildiğinden üyelik işleminiz askıya alınabilir. Üyelik türleri Tüzel Kişi (yurtiçi), Tüzel Kişi (yurtdışı) ve Kamu Kurum ve Kuruluşları şeklindedir. Verbis ekranından size uygun olan üyelik türü ile işlem yapmalısınız. Yanlış yapılan işlemlerde dilekçe ile başvurmanız gerektiğini yukarıda bahsetmiştik bu işlem sebebiyle vakit kaybetmemek için doğru üye türü ve doğru üye bilgileriyle giriş yapılması önem arz etmektedir.

Veri Envanteri Nedir?

Veri Sorumlularının veri işleme süreçlerinde yaptıkları işlemleri yazdıkları, yazılan işlemlerin ise yapılmasının amaçlandığı kişisel veri işleme faaliyetlerinin amaçlarını, hukuki sebeplerini, verinin kategorisini ve aşağıda verilecek olan tüm başlıklardaki detaylandırılmış tabloya veri envanteri denilmektedir. Veri envanteri, faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi ve bu süreçteki tüm faaliyetlerin irdelenmesi her bir faaliyette işlenen verinin tek tek belirlenmesi ile veri sorumlusunun kendi kendini denetlemesi amaçlanmıştır.

Veri Envanteri Hazırlarken Kullanılması Gereken Başlıklar

Veri envanteri hazırlanırken kişisel veri başlıkları yalnızca aşağıdaki 26 maddeye göre oluşturulmalıdır. Envanter tablosu bu maddelere uygun hazırlanmaz ise Verbis sistemine girişte problemler yaşanabilir.

  1. Kimlik (ad soyad, anne baba adı, anne kızlık soyadı, doğum tarihi, doğum tarihi, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi)
  2. İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
  3. Lokasyon (bulunduğu yerin konum bilgileri)
  4. Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
  5. Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
  6. Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
  7. Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)

8.İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)

  1. Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
  2. Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
  3. Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
  4. Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
  5. Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
  6. Irk ve Etnik Köken (ırk ve etnik kökeni bilgileri gibi)
  7. Siyasi Düşünce Bilgileri (siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi)
  8. Felsefi İnanç, Din, Mezhep ve Diğer İnançlar (dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi)
  9. Kılık ve Kıyafet (kılık ve kıyafete ilişkin bilgiler)
  10. Dernek Üyeliği (dernek üyeliği bilgileri gibi)
  11. Vakıf Üyeliği (vakıf üyeliği bilgileri gibi)
  12. Sendika Üyeliği (sendika üyeliği bilgileri gibi)
  13. Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
  14. Cinsel Hayat (cinsel hayata ilişkin bilgiler gibi)
  15. Ceza Mahkûmiyeti ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
  16. Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
  17. Genetik Veri (genetik veriler gibi)
  18. Diğer Bilgiler (kullanıcı tarafından belirlenecek veri türleri gibi

Kişisel Veri İşleme Amaçları

Veri envanteri tablosu hazırlanırken ilgili kolonda veri işleme amacı yazılırken yine aşağıdaki 53 maddeye uygun şekilde hazırlanmalıdır. Hiçbir veri sorumlusu bu maddeler dışında bir amaç yazmamalıdır. Bu maddelerin karşılamadığı bir durum olması halinde ise 53. maddede yer alan “Diğer” seçeneği seçilebilir.

  1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
  3. Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  5. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  6. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  7. Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  8. Denetim / Etik Faaliyetlerinin Yürütülmesi
  9. Eğitim Faaliyetlerinin Yürütülmesi
  10. Erişim Yetkilerinin Yürütülmesi
  11. Faaliyetlerin Mevzuata Uygun Yürütülmesi
  12. Finans ve Muhasebe İşlerinin Yürütülmesi
  13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
  14. Fiziksel Mekan Güvenliğinin Temini
  15. Görevlendirme Süreçlerinin Yürütülmesi
  16. Hukuk İşlerinin Takibi ve Yürütülmesi
  17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  18. İletişim Faaliyetlerinin Yürütülmesi
  19. İnsan Kaynakları Süreçlerinin Planlanması
  20. İş Faaliyetlerinin Yürütülmesi / Denetimi
  21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
  23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  24. Lojistik Faaliyetlerinin Yürütülmesi
  25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  28. Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  31. Organizasyon ve Etkinlik Yönetimi
  32. Pazarlama Analiz Çalışmalarının Yürütülmesi
  33. Performans Değerlendirme Süreçlerinin Yürütülmesi
  34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
  35. Risk Yönetimi Süreçlerinin Yürütülmesi
  36. Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  37. Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
  38. Sözleşme Süreçlerinin Yürütülmesi
  39. Sponsorluk Faaliyetlerinin Yürütülmesi
  40. Stratejik Planlama Faaliyetlerinin Yürütülmesi
  41. Talep / Şikayetlerin Takibi
  42. Taşınır Mal ve Kaynakların Güvenliğinin Temini
  43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  44. Ücret Politikasının Yürütülmesi
  45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  47. Yabancı Personel Çalışma ve Oturma İzni İşlemleri
  48. Yatırım Süreçlerinin Yürütülmesi
  49. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  50. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  51. Yönetim Faaliyetlerinin Yürütülmesi
  52. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  53. Diğer

 

Veri Aktarım Alıcı Grupları

Yine veri envanteri oluştururken kullanılması gereken bir başka alan veri aktarım/alıcı gruplarıdır. Bu alana da aşağıdaki 9 maddeden farklı bir grup tanımı yapılmamalıdır.

  1. Gerçek kişiler veya özel hukuk tüzel kişileri
  2. Herkese açık
  3. Hissedarlar
  4. İş Ortakları
  5. İştirakler ve bağlı ortaklıklar
  6. Tedarikçiler
  7. Topluluk Şirketleri
  8. Yetkili Kamu Kurum ve Kuruluşları
  9. Diğer

 

Veri Konusu Kişi Grupları

Veri envanter tablosundaki  kolonlardan bir diğeri de verisi işlenen kişi gruplarıdır. Bunları da aşağıda bulunan 14 maddedeki gibi kullanmamız gerekmektedir.

  1. Çalışan Adayı
  2. Çalışan
  3. Denek
  4. Habere konu kişi
  5. Hissedar/Ortak
  6. Potansiyel Ürün veya Hizmet Alıcısı
  7. Sınav adayı
  8. Stajyer
  9. Tedarikçi Çalışanı
  10. Tedarikçi Yetkilisi
  11. Ürün veya Hizmet Alan Kişi
  12. Veli / Vasi / Temsilci
  13. Ziyaretçi
  14. Diğer

Örnek Veri Envanteri Tablosu

Resim-1

Yukarıdaki veri envanteri tablosu sadece bir departman için hazırlanmıştır. Buna benzer olarak işletme ya da kurumlardaki tüm departmanlar için veri envanter tablosu hazırlanmalıdır. Veri envanter tablosu hazırlanırken uyulması gereken başlıkların her biri Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan başlıklardır. Tabloda yer alan idari tedbirlerin ve teknik tedbirlerin her işletme/kurumda farklılık göstermesi durumundan dolayı Kişisel Verileri Koruma Kurumunca örnek olarak hazırlanmış olan haliyle aşağıda paylaşıyorum.

Örnek İdari Tedbirler: “Kişisel veri işlenmeye başlamadan önce kurum tarafından, ilgili kişilere aydınlatma yükümlülüğü yerine getirilmekte, çalışanlara gizlilik sözleşmeleri imzalatılmakta, güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.”

Örnek Teknik Tedbirler: “Sızma (penetrasyon) testleri ile kurumumuz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklar ortaya çıkartılarak gerekli önlemler alınmakta, kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmakta, erişim yetki ve rol dağılımları için prosedürleri oluşturulmakta ve uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altına alınmakta, saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta, kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.”

 

 

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

www.kvkk.gov.tr

TAGs: KVKK, kişisel verilerin korunması kanunu, verbis, veri envanteri,

Yorum Yap

Yazar Hakkında

Bilgisayar Mühendisliği Doktora programında öğrenciliğim devam etmektedir. Bir Vakıf üniversitesinde 2016 yılı itibariyle Bilgisayar Mühendisi 2020 yılı itibariyle ise Ofis Yöneticisi mühendis olarak çalışmaktayım.  Başlıca uzmanlık alanlarım arasında Asp.Net Web Forms, Asp.Net MVC, .Net Core, C# ve SQL Server gelmektedir. Bunların yanı sıra iş hayatımda sistem ve siber güvenlik konularında da çalışmalarım devam etmektedir. Çeşitli AB destek projelerinde yazılım sorumlusu olarak görev yapıyor ve çalışmalarımı Secure Design Pattern, Yazılım Güvenliği, Siber Güvenlik, Bilgi Güvenliği konularında sürdürüyorum. Asp.net ile Proje Geliştirme ve Bilgisayar Mühendisliğine Giriş isimli kitapların yazarıyım.

Yorum Yap