← İçindekiler KVKK: İdari Tedbirler
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlar. Kanun, kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar ve uyulmasını zorunlu kılar. Kanun’un 12. maddesi uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişilmesini engellemek ve muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Özlü kural: “Duymadım, bilmiyordum” diye bir savunma yok. Sorumluluk sende; önlem almadıysan, ağır ihmalkarlıkla sorumlu tutulursun.
6698 sayılı KVKK Tam Metni (Mevzuat Bilgi Sistemi) ↗48.1 Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişiye veri sorumlusu denir. İşleme faaliyetinin “neden” ve “nasıl” yapılacağına o karar verir.
Veri sorumlusunun temel yükümlülüğü (Madde 12):
- Kişisel verilerin hukuka aykırı işlenmesini önlemek
- Kişisel verilere hukuka aykırı erişilmesini önlemek
- Verilerin muhafazasını sağlamak
48.2 Risk Belirleme
Kişisel verilerin güvenliğini sağlamak için önce riskleri belirlemen gerekir. Dikkate alınması gerekenler:
- Verinin özel nitelikli kişisel veri olup olmadığı (sağlık, biyometrik, ırk, din, siyasi görüş vb.)
- Gerektirdiği gizlilik seviyesi
- Güvenlik ihlali halinde ilgili kişiye vereceği zararın niteliği ve niceliği
Özel nitelikli kişisel veriler (sağlık, biyometrik ve genetik, ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep veya diğer inançlar, sendika üyeliği, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri) daha sıkı kurallara tabidir. 7499 sayılı Kanun’la (Mart 2024) bu verilerin işlenme şartları önemli ölçüde değişmiştir. Ayrıca bu verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır (Madde 6/4). Güncel mevzuatı takip et. Riskler belirlendikten sonra; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda teknik ve idari tedbirler planlanır.
48.3 Çalışan Eğitimi ve Farkındalık
Bilgi güvenliği sabit bir proje değil, tüm personelin dahil olduğu yaşayan bir süreçtir. Zincirin sağlamlığı en zayıf halkası kadardır. En zayıf halka genellikle insandır.
- Tüm personele kişisel veri güvenliği eğitimi ver
- Görev tanımlarında veri güvenliği sorumluluklarını belirt
- ”İzin verilmedikçe her şey yasaktır” prensibini benimse
- İşe alımda gizlilik anlaşmaları imzala
- Güvenlik ihlallerinde disiplin süreci işlet
- Politika değişikliklerini yeni eğitimlerle duyur
48.4 Politika ve Prosedürler
Kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve prosedürler, çalışma ve işleyişe entegre edilmelidir. Politika hazırlanamadığında veya uygulanamadığında güvenlik seviyesi düşer.
- Düzenli kontroller yap ve belgelendir
- Denetim yükümlülüğü (Madde 12/3): Kişisel veri içeren sistemlerde denetim yap veya yaptır, raporları değerlendir
- Geliştirilmesi gereken noktaları belirle
- Her veri kategorisi için risk yönetimi tanımla
- Olay yönetimi planını önceden hazırla
48.5 Veri Minimizasyonu
Kişisel veriler, gerektiğinde doğru ve güncel olmalı, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
Uzun süredir faaliyet gösteren kurumlar çok fazla veri toplar. Zamanla bu verilerin bir kısmı güncelliğini yitirir ve hiçbir amaca hizmet etmez. Gereksiz veri, gereksiz risktir. İhtiyaç olmayan verileri güvenli şekilde imha et.
48.6 Veri İşleyen Yönetimi
Hizmet aldığın veri işleyen firmalar, en az senin sağladığın güvenlik seviyesini sağlamak zorundadır. Kanun’un 12. maddesi gereği veri işleyenler de veri sorumlusuyla birlikte sorumludur.
Yazılı sözleşmede bulunması gerekenler:
- Veri işleyenin yalnızca veri sorumlusunun talimatları doğrultusunda hareket etmesi
- Kişisel verilerin korunması mevzuatına uygun çalışma
- Süresiz sır saklama yükümlülüğü
- Herhangi bir ihlalde derhal bildirim zorunluluğu
- Aktarılan veri kategori ve türlerinin belirtilmesi
48.7 VERBİS Kaydı
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), kişisel veri işleyen kurumların kayıt altına alındığı resmi sistemdir. Kanun’un 16. maddesi gereği veri sorumlusu, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır.
VERBİS kaydı sonradan düzeltilebilecek bir formalite değildir. Kayıt olmadan veri işlemek, idari para cezasına tabidir. Kurul, belirli kriterlere göre bazı veri sorumlularını kayıt yükümlülüğünden muaf tutabilir, ancak muafiyet kararı otomatik değildir.
48.8 İdari Para Cezaları
KVKK ihlalleri, 6698 sayılı Kanun’un 18. maddesi kapsamında idari para cezaları ile yaptırımlandırılır. Cezalar her yıl yeniden değerleme oranında güncellenir.
Cezaların güncel tutarlarını Kişisel Verileri Koruma Kurumu’nun (KVKK) resmi web sitesinden kontrol et. Aşağıdaki rakamlar kanunun temel çerçevesidir:
| İhlal | Ceza Aralığı |
|---|---|
| Aydınlatma yükümlülüğüne uymama (Madde 10) | 5.000 TL - 100.000 TL |
| Veri güvenliği tedbirlerini almama (Madde 12) | 15.000 TL - 1.000.000 TL |
| Kurul kararlarına uymama (Madde 15) | 25.000 TL - 1.000.000 TL |
| VERBİS kaydı yapmama (Madde 16) | 20.000 TL - 1.000.000 TL |
| Yurt dışı aktarımda standart sözleşme bildirimine uymama (Madde 9/5) | 50.000 TL - 1.000.000 TL |
- Kişisel veri envanterini çıkar ve düzenli güncelle
- Personele düzenli veri güvenliği eğitimi ver
- Hizmet aldığın firmalarla yazılı sözleşme yap
- Sistemleri düzenli denetimden geçir, raporları değerlendir
- Gereksiz veriyi saklamaya devam et
- "İzin verilmedikçe her şey yasak" yerine "yasaklanmadıkça serbest" de
- VERBİS bildirimini unut