By Büşra Kaplan

GDPR ve KVKK: Kurumunuz Bu Uyuma Hazır mı?

Her yıl Dünya genelinde 3 milyar kimlik bilgisi çalınıyor. Bu hırsızlık vakalarının geride bıraktığı maddi hasar ise €500 milyarı aşıyor.

İşin daha vahim yanı ise… Bu sayılar yalnızca raporlanabilmiş güvenlik olaylarına ait.

Akıllı telefonlarımız, tüm Dünya’yı bir tık ile yanı başımıza getiren teknolojik cihazlarımız dört bir yanımızı sararken; ardımızda bıraktığımız her ayak izi, bizi daha yakından takip edilebilir kılıyor. Cihazlar akıllandıkça daha çok bağımlı hale geliyoruz. Peki bağımlılık dediğimiz şey, aslında insanı günden güne kör eden değil midir?

İşte tam da bu noktada, farkında olmadan sürüklendiğimiz bu çıkmazdan doğabilecek hasarları önlemek için yürütülen uzun soluklu bir çalışma var: GDPR (General Data Protection Regulations)

Avrupa Birliği vatandaşlarının gizlilik haklarını korumak amacıyla, 1995’te 95/46/AT sayılı AB Veri Koruma Direktifinin yürürlüğe girmesi ile başlar yolculuk. Veri Koruma Direktifinde benimsenen ilkelerin modernize edilmesi ve gelecekte vatandaşların mahremiyet hakkının garanti altına alınması amacıyla kapsamlı bir reforma gidilme ihtiyacı ise bizi bugüne getirir ve “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanır.

Ülkemizde ise Avrupa Birliği uyum süreci ile hayatımıza giren yeni bir kanun var: KVKK (6698 Kişisel Verilerin Korunması Kanunu)

Not Edilmesi Gereken Tarih: 25 Mayıs 2018

KVKK, 7 Nisan 2016 tarihi itibariyle resmi olarak yürürlüğe girdi. 7 Ekim tarihi itibariyle ise de Kanun’un ihlali nedeniyle ilk idari para cezası kesildi. Bununla birlikte, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin KVK Kanunu’na uyum süreci devam etmekte ve geçiş sürecinin tamamlanması için son tarih 7 Nisan 2018.

Ülke olarak hala uyum sürecindeyiz. Bu sebeple hukuk otoritelerinin de kafasını oldukça karıştıran, ortak paydada buluşmalarını önleyen ifadeler mevcut. GDPR ise bu yolda bize sunulan önemli bir kılavuz.

GDPR, 25 Mayıs 2018 tarihi itibariyle Avrupa Birliği üyesi tüm ülkelerde resmi olarak yürürlüğe girecek. “Ama Türkiye henüz AB üyesi değil. Bizi neden ilgilendirsin ki bu konu?” diye düşündüğümüzde ise karşımıza çok önemli bir ifade çıkıyor bu kanunda:

Bir kurum, tuttuğu bilgiler arasında herhangi bir AB vatandaşına veya AB kurumuna ait kişisel veriye yer veriyorsa GDPR ile getirilen yaptırımları dikkate almak zorunda kalacak.

GDPR bu bölümde net bir ifade ile şunu söylemektedir: Herhangi bir veri ihlali tespit edilmesi durumunda; ihlale sebep olan kurumun, duruma açıklama getirmesi için azami 72 saat süresi bulunmaktadır.

Ardından da herhangi bir uygunsuzluğa sebep verilmesi durumunda €20 milyon veya kuruma ait yıllık cironun %4’üne kadar cezai yaptırım uygulanmasına hükmedebileceğine ilişkin ifade yer almaktadır.

8 Temel Uygulama Adımı

GDPR uyumluluğunu 8 temel adımda özetlemek, sürecin ne kadar gerisinde veya ilerisinde olunduğunu anlamaya yardımcı olacak gibi görünüyor.

Öncelikle KVKK ile ortak paydada kesişen adımlardan gidecek olursak:

  1. Veri Toplama / Veri İşleme

Bu bölümde Kurumların kendilerine sorması gereken sorular özetle şunlardır:

  • KVKK’da da örnekleri sıralanan kişisel verileri barındırıyor muyum? (Kimlik bilgileri, isim, soy isim, T.C. kimlik numarası, doğum tarihi vb.) Kişisel verileri nerede muhafaza ediyorum? Hangi amaçla tutuyorum? Ne kadar süre ile tutacağım? Sorumluları kimler?
  • Bu verilere ulaşan ilgili kişiler kim? Ataması yapıldı mı? Rol ve sorumluluklar belirlendi mi?

Tüm bu soruların cevabına ulaşacağımız yer ise Veri Envanterimiz olacak.

  1. Açık Rıza

Kanun bu noktada çok net: kişisel veri grubunda sayılan hiçbir bilgiyi kişinin rızası olmadan kullanılamayacağının altını çizerek belirtiyor. Kurumların kendisine sorması gereken sorular ise şunlar:

  • Verisine eriştiğin kişinin bundan haberi var mı?
  • Tuttuğum bilgiler güncel mi? Söz verdiğim süre çerçevesinde mi tutuyorum?
  • Kişi, kendisine ait bilgiler hakkında benden bilgi almak istediğinde ne yapması gerektiğini biliyor mu? Bu konuda onu yönlendirici eylemlerde bulundum mu?
  1. Değerlendirme

Kişisel verileri tutuyorum. Nerede ve kime ait olduğuna dair detaylı envanterini de çıkardım. Peki aşağıdaki adımları sistematik bir şekilde ilerletebileceğim düzenli bir yapı kurdum mu?

  • Sakladığım verilerin güvenliğini nasıl sağlıyorum? Kontrol adımlarım neler?
  • Erişim yetkisine sahip kişiler belirledim mi? Bir erişim yetki matrisim var mı?
  • Veriyi sakladığım alanlar neresi?
  • İmha sürecimi nasıl işleteceğim? Periyodik dönemlerimi belirledim mi? Hangi veriyi saklayıp hangisini imha edeceğime nasıl karar veriyorum?

KVKK uygulama adımları için çıkarılan yayınları incelediğimizde şöyle bir bölüm ile karşılaşıyoruz:

“Kurumların veri envanterini hazırladıkları sırada yaptıkları sınıflandırma / önceliklendirmeye ek bir de Risk Değerlendirilmesi yapması bekleniyor.”

  1. Şifreleme

Bu bölümde ifade edilen kısım muhafaza ettiğiniz verilerin korunması gerekliliği. Yani net bir ifade ile belirlenen şifreleme kuralları bulunmamaktadır. Erişim yetkileri kontrolü burada da önem arz ediyor.

Kişisel Veri Güvenliği Rehberi şifreleme konusunda da yol gösterici doküman olacaktır.

  1. Ayrıcalıklı Hakları En Aza İndirgemek

Yönetici yetkisi kısıtlamaları, denetim izleri yönetimi, erişim yetkisi olan kullanıcının yaptığı işlemlerin takip edilebilmesi konuları bu başlık altında incelenecek noktalar.

Aşağıdaki görsel konuyu özetleme adına güzel bir not olarak karşımıza çıkıyor:

  1. Şikayet / Talep Yönetimi

Kurum olarak, kişisel verilerini tuttuğumuz gerçek kişilere hesap verebilir olmalıyız. Bu sebeple hazırlanması gereken bir dokümanımız var: “Aydınlatma Metni”

Metnin içeriği genel olarak şu sorulara cevap verir nitelikte olmalı:

  • Kişi, talep etmesi durumunda kurum ile nasıl iletişime geçmeli?
  • Kişi, verilerine nereden, hangi yolla erişebiliyor?
  • Kişinin iletişime geçeceği Veri Sorumlusu kim?
  • Kişinin verileri ne amaçla, nerede muhafaza ediliyor?
  • Kişinin verilerini teslim ettiği kurum üzerinde hakları neler?
  1. Kaza / Olay Yönetimi

Kişilerden rızasını aldık, envanterimizi oluşturduk, yetkili kişilerimizi atadık. Kurum olarak kontrolümüz dışında sistemimizden bir sızma yaşanması durumunda ne yapmalıyız? Sorumluluklarımız ve uygulanabilecek yaptırımlar nelerdir? Bu noktada da aşağıdaki soruları sorarak kendimize bir olay yönetim planı belirlemeliyiz:

  • Bir kriz durumunda (veri kayboldu, veriye ulaşamıyorum) olayı yönetmek için uygulama adımları neler olmalı?
  • Olay bildirimleri nereden, hangi yöntem ile alınacak?
  • Olay bildirimlerine cevap verme süresi ne kadar olmalı?
  • İletişime geçilecek / raporlama yapılacak kişi ve kurumlar kimlerdir?

Henüz KVKK’da Yer Almayan Bir İfade:

  1. Data Protection Officer (Veri Koruma Görevlisi)

Bu bölüm KVKK’da yer verilen bir ifade olmamakla beraber GDPR’da tanımı şu şekilde geçmektedir:

  • Veri Sorumlusuna bağlı çalışan bir pozisyon
  • Mevzuat uyarınca yükümlülüklerini yerine getiren veri sorumlusuna, veri işleyene ve çalışanlarına bilgi veren ve tavsiyede bulunan kişi.
  • Kurumun büyük miktarda veri işlemesi durumunda zorunlu olan bir pozisyon
  • Bu görevlinin sorumlulukları için Kurumunda dışarıdan hizmet alması mümkün.
  • Veri sorumlusu ve veri işleyen, görevliyi kişisel verilerin korunması ile ilgili her sürece zamanında ve uygun bir şekilde dahil etmek zorunda.

Özetle…

Yukarıdaki 8 adım, kurumların kendilerine “Biz bu işin neresindeyiz?” sorusunu sormaları için güzel bir başlangıç olarak görünüyor. GDPR ve KVKK uyumunun hala devam etmekte olan bir süreç olduğunu unutmamak gerek. Bu sebeple, kanun ve yönetmeliklerin aktif takip edilmesi, kurumların kanuna uyumluluk çalışmaları sırasında önemli bir yol gösterici olacaktır. Bilginin bir tık ötemizde olduğu çağımızda, kişilerin artık haklarını nasıl savunmaları gerektiğine dair daha çok bilgiye sahip olduğu bilinen bir gerçek. Bu süreçte kurumların, “Emanet olarak sakladığımız kişisel verilerin hesap verilebilirliği için neler yapmamız gerekir?” sorusuna verdiği cevaplar, kanuna uyumlulukları için doğru aksiyonları aldıracaktır.