Menü Kapat
  • Anasayfa
  • KVKK Hakkında Bilinmesi Gereken Her Şey: Amaç, Kapsam, Uygulama ve Gereken Adımlar
    •

KVKK Hakkında Bilinmesi Gereken Her Şey: Amaç, Kapsam, Uygulama ve Gereken Adımlar

Murat 0 yorum

Kişisel veriler, dijital çağın en değerli kaynaklarından biri hâline gelmiştir. Bir kişinin adı, soyadı, T.C. kimlik numarası, IP adresi, sağlık bilgileri, konum verisi gibi birçok bilgi bu kategoriye girer. Bu verilerin doğru bir şekilde korunması, yalnızca bireylerin özel hayatına saygının bir gereği değil, aynı zamanda yasal bir zorunluluktur. Türkiye’de bu sorumluluğu düzenleyen temel yasa, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur.

Bu yazıda KVKK ile ilgili bilinmesi gereken tüm yönleri, pratik uygulamalarla birlikte detaylı şekilde ele alacağız. Yazının sonunda, hem bireyler hem de kurumlar için bu kanunun neden önemli olduğu ve nasıl doğru bir şekilde uyum sağlanabileceği konusunda net bir fikir sahibi olacaksınız.

KVKK Nedir?

KVKK, 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi tarafından kabul edilmiş ve 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Bu kanunun amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumaktır.

Kanunun temel amacı şunlardır:

  • Kişisel verilerin işlenme şartlarını belirlemek,
  • Bu verilerin güvenliğini sağlamak,
  • İhlallerin önüne geçmek,
  • Veri sahibine (ilgili kişiye) belirli haklar tanımak.

KVKK, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) esas alınarak hazırlanmış olsa da Türkiye’ye özgü düzenlemeleri de içinde barındırır.

Kişisel Veri Nedir?

KVKK kapsamında kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır.

Bu veriler ikiye ayrılır:

  1. Genel Nitelikli Kişisel Veriler:
    • Ad, soyad
    • T.C. kimlik numarası
    • E-posta adresi
    • Telefon numarası
    • IP adresi
  2. Özel Nitelikli Kişisel Veriler:
    • Irk, etnik köken
    • Siyasi düşünce
    • Dini inanç
    • Biyometrik veriler
    • Sağlık bilgileri
    • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler

Özel nitelikli verilerin korunması, çok daha yüksek güvenlik önlemleri gerektirir.

KVKK Kapsamında Yer Alan Temel Kavramlar

  • Veri Sorumlusu: Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
  • İlgili Kişi (Veri Sahibi): Kişisel verisi işlenen gerçek kişi.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi veya kurum.

KVKK’nın Getirdiği Haklar

KVKK, bireylere veri işleme süreciyle ilgili önemli haklar tanır. Bunlar:

  1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
  2. İşlenmişse buna ilişkin bilgi talep etme,
  3. Verilerin ne amaçla işlendiğini öğrenme,
  4. Verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
  5. Verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
  6. KVKK’ya aykırı bir işleme nedeniyle zarar görülmesi hâlinde zararın giderilmesini talep etme.

KVKK Nasıl Uygulanır?

KVKK uyumu sağlamak için hem hukuki hem teknik hem de idari tedbirlerin alınması gerekir. Bu süreç birkaç temel adımdan oluşur:

1. Mevcut Durum Analizi

İlk olarak, kurum veya işletmenin kişisel veri işleme faaliyetleri detaylı şekilde analiz edilmelidir:

  • Hangi veriler toplanıyor?
  • Hangi amaçla işleniyor?
  • Nerede, ne kadar süreyle saklanıyor?

2. Veri Envanteri Oluşturulması

Kurumların tüm veri işleme süreçlerini içeren bir Veri Envanteri hazırlaması zorunludur. Bu, hangi verilerin ne amaçla, hangi hukuki gerekçeyle, kimlerle paylaşıldığını ortaya koyar.

3. Aydınlatma Yükümlülüğü

KVKK’nın 10. maddesine göre, veri sorumluları, veri işleme sürecine başlamadan önce veri sahiplerini bilgilendirmek zorundadır. Bu bilgiye Aydınlatma Metni denir.

4. Açık Rıza Alınması

Veri işleme faaliyetlerinin bir kısmı için ilgili kişinin açık rızası alınması gerekir. Bu rıza, belirli, açık, bilgilendirilmiş ve özgür iradeye dayanmalıdır.

5. Veri Güvenliğinin Sağlanması

Hem teknik hem de idari tedbirler alınmalıdır:

  • Antivirüs yazılımları
  • Şifreleme
  • Güvenlik duvarları (firewall)
  • Erişim kontrolleri
  • Güvenlik kamerası kayıtlarının korunması

6. Politika ve Prosedürlerin Belirlenmesi

KVKK’ya uygun bir şekilde veri işleme için yazılı politika ve prosedürlerin oluşturulması gereklidir:

  • Kişisel veri saklama ve imha politikası
  • Veri ihlali yönetim prosedürü
  • Açık rıza yönetimi

7. Veri Sorumluları Sicili’ne (VERBİS) Kayıt

KVKK uyarınca bazı kurum ve kuruluşlar için VERBİS adlı sisteme kayıt olma zorunluluğu vardır. VERBİS, Kişisel Verileri Koruma Kurumu tarafından oluşturulan kamuya açık bir sicil sistemidir.

Uyum Sürecinde Kullanılabilecek Yazılımlar

KVKK’ya uyum sürecinde hem güvenliği sağlamak hem de süreci kolaylaştırmak için çeşitli yazılımlardan faydalanılır. İşte bazı kategoriler:

1. DLP (Data Loss Prevention) Yazılımları

  • Verilerin dışarı sızmasını önler.
  • Hassas bilgilerin yanlışlıkla e-posta veya USB ile dışarı çıkmasını engeller.
    örnek:Symantec Data Loss Prevention (Broadcom), Forcepoint DLP, McAfee Total Protection for DLP, Microsoft Purview Data Loss Prevention

2. SIEM Sistemleri

  • Güvenlik olaylarını izler, raporlar ve analiz eder.
  • Siber saldırılara karşı erken uyarı sağlar.
    örnek:Splunk Enterprise Security, IBM QRadar, LogRhythm SIEM, Microsoft Sentinel (Azure SIEM)

3. Erişim Kontrol Yazılımları

  • Kimlerin hangi verilere erişebileceğini sınırlar.
  • Rol tabanlı erişim denetimi sağlar.
    örnek:Okta Identity & Access Management, Microsoft Entra ID (eski adıyla Azure Active Directory), CyberArk Privileged Access Management (PAM)

4. Şifreleme Araçları

  • Verilerin yetkisiz kişilerce okunmasını engeller.
  • Disk, dosya ve iletişim bazlı şifreleme çözümleri içerir.
    örnek:BitLocker (Microsoft), VeraCrypt, Symantec Endpoint Encryption,

5. KVKK Uyum Yazılımları

  • Aydınlatma metinleri, açık rıza formları, veri envanteri gibi belgelerin dijital takibini yapar.
  • Süreç yönetimi ve dokümantasyon sağlar.

KVKK Uyumu İçin Yapılması Gerekenler

KVKK’ya uyum için aşağıdaki adımlar sistematik bir şekilde izlenmelidir:

  1. Farkındalık Eğitimi: Çalışanlar KVKK hakkında eğitilmelidir.
  2. İç Denetim: Periyodik olarak denetimler yapılmalıdır.
  3. Politikalar: Veri işleme politikaları oluşturulmalıdır.
  4. Sözleşmelerin Güncellenmesi: Çalışan, tedarikçi ve hizmet sağlayıcı sözleşmeleri KVKK’ya uygun hâle getirilmelidir.
  5. Acil Durum Planı: Veri ihlali durumunda izlenecek adımlar önceden belirlenmelidir.
  6. VERBİS Kaydı: Zorunluluk kapsamındaki tüm şirketlerin kaydı yapılmalıdır.

Kurumlar İçin Riskler ve Cezalar

KVKK’ya uymayan kurumları ciddi yaptırımlar beklemektedir. Kurul tarafından uygulanan idari para cezaları şu şekildedir (2025 yılı için):

  • Aydınlatma yükümlülüğüne aykırılık: 53.000 TL – 2.000.000 TL
  • Veri güvenliğine aykırı hareket: 80.000 TL – 3.000.000 TL
  • VERBİS’e kayıt yükümlülüğüne uymamak: 120.000 TL – 5.000.000 TL
  • Kişisel verilerin hukuka aykırı olarak üçüncü kişilere aktarılması: Hapis cezasına kadar varan cezai yaptırımlar da söz konusudur.

KVKK ve GDPR Arasındaki Farklar

  • KVKK, Türkiye sınırları içinde geçerlidir. GDPR, AB vatandaşlarının verilerini kapsar.
  • KVKK, daha sınırlı bir kapsamdayken GDPR çok daha detaylı haklar sunar.
  • GDPR’da veri taşınabilirliği hakkı yer alırken KVKK’da henüz yoktur.

Ancak iki düzenleme de temel hak ve özgürlükleri korumaya odaklıdır.

KVKK’ya Uyumlu Olmanın Faydaları

KVKK uyumu sadece yasal bir zorunluluk değildir. Aynı zamanda:

  • Kurumsal itibarı artırır.
  • Müşteri güvenini pekiştirir.
  • Veri ihlalleri nedeniyle oluşacak zararlardan korunmayı sağlar.
  • Uluslararası iş ortaklıklarında tercih edilir hâle getirir.

Sonuç

KVKK, bireylerin temel haklarını koruyan ve veri güvenliğini odağına alan çok önemli bir yasadır. Özellikle dijitalleşmenin hızlandığı günümüzde, hem bireyler hem de kurumlar bu konuda bilinçli olmalı ve gerekli adımları atmalıdır. Sadece kanuni yaptırımlardan kaçınmak için değil, aynı zamanda dijital etik değerleri benimsemek ve veri güvenliğini bir kültür hâline getirmek için KVKK’ya uyum sağlamak hayati öneme sahiptir.

Bu yazıda KVKK hakkında bilinmesi gereken her şeyi, uygulamaya yönelik bilgilerle birlikte detaylı şekilde sundum. Şirketler ve bireyler için kapsamlı bir rehber niteliği taşıyan bu yazının, uyum sürecinizde yol gösterici olmasını umuyorum.

Tagged , , , ,

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir