Son günlerde oldukça sık karşımıza çıkan Kişisel Verilerin Korunması Kanunu (KVKK Nedir) aslında Avrupa Birliği uyum çalışmaları kapsamında hazırlanan tasarı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına iletilmiştir ve 7 Nisan 2016 tarihinde yayınlanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu adından da çıkarım yapabileceğimiz üzere kişileri ilgilendirmektedir. Bu Kanun kişilerin başta özel hayatlarının gizliliği olmak üzere temel hak ve özgürlüklerini korumak amacıyla çıkartılmıştır. Kişisel veri işleyen kişilerin kanunca ikiye ayrıldığı gerçek ve tüzel kişilerin yükümlülükleri de kanun kapsamında belirlenmiştir.
Kanunun Amacı Nedir?
Bu Kanun’a göre kişisel veri işleyen kişiler, verisi işlenen kişinin açık rızası olmadan işlenmeyecek ve üçüncü kişilere aktarılmayacaktır. Veri sorumlusunun meşru menfaati kapsamında aktarım yapılmasının zorunlu olduğu durumlarda ise Kişisel Verileri Koruma Kurumu’nun hazırlamış olduğu Veri Envanteri tablosunda aktarım kişi veya kişi grupları ile yurt dışına aktarım detayı belirtilmelidir. Kişisel verilerin ihlal edilmesi durumunda cezaların hapis cezası ve idari para cezası şeklinde oldukça yüksek miktarlarda olduğunu da belirtmekte fayda var.
Birçok yasa gibi ülkemize Avrupa Birliği uyum süreçleriyle kazandırılan bu yasa ile kişisel verilerin günümüz standartlarında modern bir şekilde işlenmesi amaçlanmaktadır. Bu kanun veri işleyen kişi veya kişilerce insanların kişisel bilgilerinin gelişigüzel alınmasının önüne geçecek ve kötüye kullanımı ile kişilik haklarının ihlal edilmesi gibi olumsuz sonuçları ortadan kaldıracaktır.
Özetle KVKK; kişisel verisi işlenen kişilerin verilerinin izinsiz paylaşılmaması üzerine bir dizi kurallar bütünüdür diyebiliriz. Tabi ki bu süreçte uyulması gereken dokümantasyonlar ve yapılması gereken teknik tedbirler bulunmaktadır.
Kanun Kimleri Kapsamaktadır?
Kişisel verisi işlenen herkes kanun kapsamına girmektedir ancak veriyi işleyen kişiler tarafından değerlendirdiğimizde yıllık en az 50 personeli bulunan veya yıllık mali bilanço toplamı en az 25 milyon TL olan KVKK gerçek ve tüzel kişi veri sorumluları KVKK çalışmalarını yapmak zorundadırlar. Kanuna göre ilk etapta bu kritere uyan özel veya kamu kuruluşlarının kanun kapsamına girdiği daha sonra ise tüm işletmelerin kanun kapsamına gireceği söyleniyor.
VERBİS Kaydı Son Tarihleri?
Özel işletmeler için belirlenen Verbis Kaydı son tarihi 30.06.2020 iken Kamu Kurumları için bu tarih 31.12.2020’ye kadar uzatılmıştır. Bu tarihler işletmelerin Verbis kayıtlarını yapabilecekleri son tarihlerdir.
VERBİS Nedir?
Kişisel Verilerin Korunması Kanununun 16. Maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir. Bu kapsamda KVKK başkanlığınca VERBİS sistemi hazırlanmıştır. Veri sorumlusu olarak belirlenen sorumlu Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmalıdır.
Verbis sisteminden veri sorumlusu olarak atanan kişi kurumuna ait kayıt işlemlerini gerçekleştirir ve oluşturulan veri envanterini sisteme tek tek girer. Verbis kaydında hata olması durumunda “Verbis kaydımı sil” isimli butona tıklanarak silme talebinde bulunulur ve kaydın neden silindiğine dair kuruma dilekçe yazılması istenir. KVKK neden Verbis kaydını sildiğinize dair dilekçenizi aldıktan sonra üyeliğinizi tamamen siler ve yeniden veri sorumlusu olarak Verbis üyeliği yapılabilir.
VERBİS’e Üye Olmakla Verbis Kaydını Tamamlamak Aynı Şeyler mi?
Verbis sistemine yapılan üyelik yalnızca kurum/işletmede belirlenen veri sorumlusunun veri envanteri tablosunu gireceği ve çeşitli işlemleri yönetebileceği web sayfasıdır. Verbis Kaydı ise bu işlemden farklı olup ilk başta yapılması gereken bir işlemdir. Verbis kaydı bir kurum veya işletmenin atama yazısı ile belirlediği Veri Sorumlusu adına koordinasyon sağlayacak olan kişinin ve irtibat kişisinin belirlenmesi adımı ile başlar. Öncelikle işletme veya kurumdaki en yetkili kişi koordinasyon sağlayacak kişi olarak belirlenir ve atama yazısı yazılır. Daha sonra irtibat kişisi olarak bir personel belirlenir ve onun da atama yazısı yazılır. Verbis sistemindeki sicile kayıt menülerinden Veri Sorumlusu olarak da kurumun kendisi tanımlandıktan sonra bu evraklarla birlikte kayıt işlemi gerçekleştirilir.
Evet burada dikkat edeceğimiz üzere Veri Sorumlusuna koordinasyon sağlayacak kişi şirket/kurumda bulunan en yetkili kişi, irtibat kişisi Verbis’i yönetecek olan veri envanteri vb. sisteme girecek olan personel ve Veri Sorumlusu kurumunun kendisi olacaktır. Üzerinde durulması gereken bir husus olduğu için özetlemek gerekirse Veri Sorumlusu bir insan değil kurumun bizzat kendisi olacaktır. Örneğin bir üniversite için veri sorumlusu rektör veya başka bir personel olmayacak doğrudan veriyi işleyen yapı üniversite olduğu için veri sorumlusu da üniversite olarak tanımlanacaktır. Ancak veri sorumlusu adına koordinasyon sağlayacak kişi olarak rektör belirlenebilir ve kuruma iletilmek üzere atama yazısı hazırlanmalıdır. Verbis sistemindeki işlemleri yürütecek irtibat kişi ise rektörden farklı bir kişi olmalıdır. Örneğin kurum müdürü, genel sekreter, hukuk müşaviri gibi.
Verbis Kaydı Nasıl Yapılır?
Yukarıda bahsedilen Verbis kayıt işlemleri Kişisel Verileri Koruma Kurumunun internet sitesinden yapılmaktadır. Verbis web sitesi.
Verbis kaydı yapılırken işletme/kurumunuza göre üç farklı seçenek ile üye olmanız gerekmektedir. Yanlış türde yapılan üyelikler geçersiz kabul edildiğinden üyelik işleminiz askıya alınabilir. Üyelik türleri Tüzel Kişi (yurtiçi), Tüzel Kişi (yurtdışı) ve Kamu Kurum ve Kuruluşları şeklindedir. Verbis ekranından size uygun olan üyelik türü ile işlem yapmalısınız. Yanlış yapılan işlemlerde dilekçe ile başvurmanız gerektiğini yukarıda bahsetmiştik bu işlem sebebiyle vakit kaybetmemek için doğru üye türü ve doğru üye bilgileriyle giriş yapılması önem arz etmektedir.
Veri Envanteri Nedir?
Veri Sorumlularının veri işleme süreçlerinde yaptıkları işlemleri yazdıkları, yazılan işlemlerin ise yapılmasının amaçlandığı kişisel veri işleme faaliyetlerinin amaçlarını, hukuki sebeplerini, verinin kategorisini ve aşağıda verilecek olan tüm başlıklardaki detaylandırılmış tabloya veri envanteri denilmektedir. Veri envanteri, faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi ve bu süreçteki tüm faaliyetlerin irdelenmesi her bir faaliyette işlenen verinin tek tek belirlenmesi ile veri sorumlusunun kendi kendini denetlemesi amaçlanmıştır.
Veri Envanteri Hazırlarken Kullanılması Gereken Başlıklar
Veri envanteri hazırlanırken kişisel veri başlıkları yalnızca aşağıdaki 26 maddeye göre oluşturulmalıdır. Envanter tablosu bu maddelere uygun hazırlanmaz ise Verbis sistemine girişte problemler yaşanabilir.
- Kimlik (ad soyad, anne baba adı, anne kızlık soyadı, doğum tarihi, doğum tarihi, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi)
- İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
- Lokasyon (bulunduğu yerin konum bilgileri)
- Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
- Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
- Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
- Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)
8.İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
- Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
- Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
- Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
- Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
- Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
- Irk ve Etnik Köken (ırk ve etnik kökeni bilgileri gibi)
- Siyasi Düşünce Bilgileri (siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi)
- Felsefi İnanç, Din, Mezhep ve Diğer İnançlar (dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi)
- Kılık ve Kıyafet (kılık ve kıyafete ilişkin bilgiler)
- Dernek Üyeliği (dernek üyeliği bilgileri gibi)
- Vakıf Üyeliği (vakıf üyeliği bilgileri gibi)
- Sendika Üyeliği (sendika üyeliği bilgileri gibi)
- Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
- Cinsel Hayat (cinsel hayata ilişkin bilgiler gibi)
- Ceza Mahkûmiyeti ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
- Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
- Genetik Veri (genetik veriler gibi)
- Diğer Bilgiler (kullanıcı tarafından belirlenecek veri türleri gibi
Kişisel Veri İşleme Amaçları
Veri envanteri tablosu hazırlanırken ilgili kolonda veri işleme amacı yazılırken yine aşağıdaki 53 maddeye uygun şekilde hazırlanmalıdır. Hiçbir veri sorumlusu bu maddeler dışında bir amaç yazmamalıdır. Bu maddelerin karşılamadığı bir durum olması halinde ise 53. maddede yer alan “Diğer” seçeneği seçilebilir.
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- Organizasyon ve Etkinlik Yönetimi
- Pazarlama Analiz Çalışmalarının Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
- Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Sponsorluk Faaliyetlerinin Yürütülmesi
- Stratejik Planlama Faaliyetlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Taşınır Mal ve Kaynakların Güvenliğinin Temini
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Ücret Politikasının Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yabancı Personel Çalışma ve Oturma İzni İşlemleri
- Yatırım Süreçlerinin Yürütülmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
- Diğer
Veri Aktarım Alıcı Grupları
Yine veri envanteri oluştururken kullanılması gereken bir başka alan veri aktarım/alıcı gruplarıdır. Bu alana da aşağıdaki 9 maddeden farklı bir grup tanımı yapılmamalıdır.
- Gerçek kişiler veya özel hukuk tüzel kişileri
- Herkese açık
- Hissedarlar
- İş Ortakları
- İştirakler ve bağlı ortaklıklar
- Tedarikçiler
- Topluluk Şirketleri
- Yetkili Kamu Kurum ve Kuruluşları
- Diğer
Veri Konusu Kişi Grupları
Veri envanter tablosundaki kolonlardan bir diğeri de verisi işlenen kişi gruplarıdır. Bunları da aşağıda bulunan 14 maddedeki gibi kullanmamız gerekmektedir.
- Çalışan Adayı
- Çalışan
- Denek
- Habere konu kişi
- Hissedar/Ortak
- Potansiyel Ürün veya Hizmet Alıcısı
- Sınav adayı
- Stajyer
- Tedarikçi Çalışanı
- Tedarikçi Yetkilisi
- Ürün veya Hizmet Alan Kişi
- Veli / Vasi / Temsilci
- Ziyaretçi
- Diğer
Örnek Veri Envanteri Tablosu
Resim-1
Yukarıdaki veri envanteri tablosu sadece bir departman için hazırlanmıştır. Buna benzer olarak işletme ya da kurumlardaki tüm departmanlar için veri envanter tablosu hazırlanmalıdır. Veri envanter tablosu hazırlanırken uyulması gereken başlıkların her biri Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan başlıklardır. Tabloda yer alan idari tedbirlerin ve teknik tedbirlerin her işletme/kurumda farklılık göstermesi durumundan dolayı Kişisel Verileri Koruma Kurumunca örnek olarak hazırlanmış olan haliyle aşağıda paylaşıyorum.
Örnek İdari Tedbirler: “Kişisel veri işlenmeye başlamadan önce kurum tarafından, ilgili kişilere aydınlatma yükümlülüğü yerine getirilmekte, çalışanlara gizlilik sözleşmeleri imzalatılmakta, güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.”
Örnek Teknik Tedbirler: “Sızma (penetrasyon) testleri ile kurumumuz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklar ortaya çıkartılarak gerekli önlemler alınmakta, kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmakta, erişim yetki ve rol dağılımları için prosedürleri oluşturulmakta ve uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altına alınmakta, saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta, kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.”
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: KVKK, kişisel verilerin korunması kanunu, verbis, veri envanteri, KVKK nedir?