Kişisel Verilerin Korunması Kanunu, KVKK nedir, 6698 sayılı Kanun
  • Kişisel Verilerin Korunması Kanunu, KVKK nedir, 6698 sayılı Kanun

KVKK Nedir, 6698 Sayılı Kanun Hakkında

Türkiye Cumhuriyeti Anayasası yirminci maddesine 2010 yılında eklenen bir fıkra ile kişisel verilerin korunması anayasal güvence altına alınarak, kişisel verilerin korunması ile alakalı usul ve esasların kanunla düzenleneceği karara bağlanmıştır. Bu nedenle, 07.04.2016 tarihinde 6698 Sayılı Kanun olan Kişisel Verilerin Korunması Kanunu (KVKK Kanunu) yürürlüğe girmiştir.
 
KVKK Kanunun maksadı; kişisel veriler işlenirken özel yaşamın gizliliği başta olmak üzere, şahısların temel özgürlüklerini ve haklarını korumak ve kişisel veri işleyen tüzel ve gerçek şahısların mükellefiyetleriyle uyacakları esas ve usulleri düzenlemektir.
 
Kişisel Verilerin Korunması Kanunu kapsamı; bahse konu KVKK Kanunu hükümleri, kişisel verisi işlenen gerçek kişilerle söz konusu verileri tamamen ya da kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olması kaydı ile otomatik olmayan yollar ile işleyen tüzel ve gerçek kişiler hakkında uygulanır.
 
6698 sayılı Kanun bazı önemli tanımlar;
  • Anonim yapma: Kişisel verinin, farklı verilerle eşleştirilse dahi hiçbir şekilde kimliği belirlenebilir ya da belirli bir gerçek şahısla ilişkilendirilemeyecek duruma getirilmesidir.
  • İlgili kişi: Kişisel verisi işlenen, gerçek şahısları tanımlar.
  • Kişisel veri: Kimliği belirlenebilir ya da belirli gerçek şahıslara ait her çeşit bilgiyi ifade eder.
  • Veri sorumlusu: Kişisel verileri işleme araçlarını ve amaçlarını belirleyen, veri kayıt sisteminin yönetiminden ve kurulumundan sorumlu tüzel ya da gerçek kişiyi tanımlamaktadır.
 
KVKK Kanunu bazı önemli hususlar;
  • Kişisel ve özel nitelikli kişisel veriler ilgili kişinin açıkça rızası olmadan işlenemez.
  • Kişisel veriler, ilgili kişinin açıkça rızası olmadan yurtdışı da dâhil olmak üzere hiçbir yere aktarılamaz.
  • Kişisel verilerin işlenmesini gerektiren nedenlerin ortadan kalkması durumunda şahsi veriler resen ya da ilgili kişinin talebi doğrultusunda veri sorumlusu kişi tarafından anonim yapılır, silinir veya yok edilir.
  • Herkesin, veri sorumlusuna başvurup kendisiyle alakalı; kişisel verisinin işlenip işlenmediğini öğrenme, şahsi verisi işlenmişse bunlarla alakalı bilgi talep etme, bu verilerin işlenme sebebini ve bunların işlenme amacına uygun bir şekilde kullanılıp kullanılmadığını öğrenme, kişisel verilerde eksiklik veya yanlışlık olması durumunda bunların düzeltilmesini isteme hakları vardır. KVKK Kanunu 7. Maddesinde öngörülen şartlar kapsamında şahsi verilerin yok edilmesini ya da silinmesini isteme, kişisel verilerin kanuna aykırı şekilde işlenmesi durumunda zarara uğrarsa bu zararın giderilmesini talep etme hakları vardır.
  • Veri sorumlusu, kişisel verilerin hukuka aykırı bir şekilde işlenmesini önlemek, bu verilere hukuka aykırı olacak şekilde erişimini önlemek, bahse konu verilerin muhafazasını sağlamak ve amacına uygun güvenlik düzeyini temin etmeye yönelik ihtiyaç duyulan her çeşit idari ve teknik önlemleri almak zorundadır.
KVKK Cezalar ve Suçlar

Kişisel Verilerin İşlenmesi Kanunu yükümlülüklerini yerine getirmeyenler hakkında aşağıdaki cezalar uygulanır.
  • Kişisel verilerle alakalı suçlar bakımından, 5237 sayılı TCK’nin 135 ila 140. madde hükümleri uygulanır.  KVKK Kanunu 7. maddesi hükmüne aykırı olacak şekilde kişisel verileri anonim yapmayan veya silmeyenler hakkında TCK’nin 138. maddesine göre ceza uygulanır.
  • KVKK Kanunu 10. Maddesindeki aydınlatma yükümlülüğünü yerine getirmeyenler 5.000 TL’den 100.000 TL’ye kadar, 12. Maddesindeki veri güvenliği ile ilgili yükümlülüklerini yerine getirmeyenler 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilir. 6698 Sayılı Kanun 15. maddesi kapsamında Kurul tarafından verilen kararları uygulamayanlar hakkında 25.000 TL’den 1.000.000 TL’ye kadar, 16. maddesinde ise Veri Sorumluları Siciline (KVKK Verbis) bildirim ve kayıt yükümlülüğüne aykırı davrananlara 20.000 TL.’den 1.000.000 TL’ye kadar idari para cezası verilir.
 
Kişisel Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler
Veri sorumluları, kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin hukuka aykırı işlenmesini önlemek ve bu verilerin hukuka uygun muhafazasını sağlamak maksadıyla alabilecekleri idari ve teknik önlemleri gösteren maddeler aşağıdadır. İdari ve teknik tedbirler belirlenirken, kişisel verilerin niteliği ve muhafaza edildiği ortam da göz önünde bulundurulmalıdır.

KVKK İdari Tedbirler
  1. Kişisel Veri İşleme Envanterini Hazırlamak
  2. Kurumsal Politikalar Belirlemek (Bilgi Güvenliği, Erişim, Saklama, Kullanım, İmha vb.)
  3. Sözleşmeler (Veri Sorumlusu-Veri İşleyen ve Veri Sorumlusu - Veri Sorumlusu arasında)
  4. Gizlilik Taahhütnameleri
  5. Kurum İçi Rastgele veya Periyodik Denetimler
  6. Risk Analizleri Yapmak
  7. Disiplin Yönetmeliği, İş Sözleşmesi (Kanuna Uygun Hükümler İlave Edilmesi)
  8. Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  9. Farkındalık ve Eğitim Faaliyetleri (Kanun ve Bilgi Güvenliği)
  10. Veri Sorumluları Sicil Bilgi Sistemine (KVKK Verbis) Bildirim

KVKK Teknik Tedbirler
  1. Yetki Matrisi
  2. Yetki Kontrol
  3. Kullanıcı Hesap Yönetimi
  4. Anahtar Yönetimi
  5. Erişim Logları
  6. Log Kayıtları
  7. Sızma Testleri (Pentest)
  8. Uygulama Güvenliği
  9. Ağ Güvenliği
  10. Güvenlik Duvarları (Firewall)
  11. Saldırı Tespit ve Önleme Sistemleri (IDS/IPS)
  12. Güncel Anti Virüs Sistemleri
  13. Veri Kaybı Önleme (DLP) Yazılımları
  14. Veri Maskeleme
  15. Şifreleme
  16. Yedekleme
  17. Anonim Yapma, Yok Etme veya Silme

 

Kaynaklar:
T.C. Anayasası 20.Madde
KVKK Kanunu
KVKK Kişisel Veri Güvenliği Rehberi

Yorum Yap


Lütfen değerli yorumunuzu bizimle paylaşın.