Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.
Bununla beraber, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin KVKK’ya uyum süreci devam ediyor ve son tarih 7 Nisan 2018.
Avrupa Birliği ve Amerika gibi ülkelerde on yıllardır gündemde olan kanun, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak tanımlanıyor devlet tarafından.
LOSTAR BLOG >> Kişisel Verilerin Korunması ve Veri Küçültme (Data Minimisation)
Peki bir yılı aşkın süredir hayatımızda olan, sade vatandaştan şirketlere kadar herkesi ilgilendiren bu kanuna uyum süreci nasıl olmalı?
Kanun ve uyum süreciyle alakalı Siber Bülten’e özel bir röportaj veren Lostar’ın CEO’su Murat Lostar, kanuna uyumun genellikle bu konuda çalışan hukuk firmalarıyla başladığını söylüyor.
İlgili haber>> Sisteminizi Abome’ye emanet edin gözünüz arkada kalmasın
“Türkiye’deki kişisel veri barındıran her bir özel ve tüzel şirketin bu kanuna uyumlu hale gelmesi gerekiyor,” diyen Lostar’a göre kanuna sağlıklı uyum süreci ise hukuk şirketleri ve BT şirketlerinin ortak danışmanlığından geçiyor.
“Hukuk firmaları, kurumları kanunun hukuksal gereksinimleri hakkında bilgilendiriyorlar. Fakat günümüzde verilerin çok büyük bir kısmının elektronik ortamda olduğunu düşünürsek, bu kanuna uyumun sadece hukuk firmasıyla olması mümkün değil. Mutlaka işin bir de BT konusunda hem kanuna hem bilgi teknolojilerine hakim bir kurum tarafından da destekleniyor olması gerekiyor,” diyor Lostar.
Hukuk şirketi/BT işbirliği uyum sürecini kolaylaştırıyor
Türkiye’nin önde gelen hukuk firmalarıyla ortak hareket ettiklerini söyleyen CEO Lostar, şirketin kanun çerçevesinde kurumların yapacağı teknik uyumlulukların anlaşılması ve bunu uygulayacak BT ekiplerine rehberlik hizmeti verdiğinin altını çiziyor.
İlgili haber >> Sektörün yetişmiş eleman ihtiyacını karşılayacak yeni bir eğitim programı
Yürürlüğe giren kanunun getirdiği birtakım yeni gereksinimleri hakkında bilgi veren Murat Lostar şirketin, kurumlara danışmanlığın yanı sıra kişisel verilerin kurumun içinde nerelerde olduğunun envanterinin çıkartılması gibi birtakım hizmetler de sağladığını söylüyor.
LOSTAR BLOG>> Flash Tabanlı Katı Hal Sürücülerinden Güvenli Veri Silme
“Biz de bu konuda yapmış olduğumuz birtakım Ar-Ge’lerde ‘Veri Avcısı’ dediğimiz bir yazılım sayesinde kurumun içindeki disklerde, dosyalarda e-postalarda, Word ve Excel dosyalarında hangi kişisel veriler bulunduğunu çıkartıp envanter oluşturulması konusunda yardımcı oluyoruz. Bunlar danışmanlığın yanı sıra yapılması gereken bir iş. Bu işlerle alakalı destekler de veriyoruz,” diye belirtiyor CEO Lostar.
Bütün kurumların er ya da geç kanuna uyum sürecinden geçmek zorunda kalacakları bir dönemde, bir kurumun KVK doğrultusunda bir hukuk bir de BT şirketiyle çalışması sürecin kolay, hızlı ve eksiksiz tamamlamasının en kolay yolu olarak gözüküyor. Uluslararası kurumlar uyum çalışmalarına büyük bir hızla devam ederken yerli birçok şirketin henüz adım atmamış olması dikkat çekici.
İlgili haber >> Türkiye’nin en geniş sızma testi ekibi: İşi otomasyona bırakmayız son sözü biz söyleriz
“Kanun gereği herhangi bir şekilde ister çalışan, ister ziyaretçi, ister müşteri olsun kişileri tanımlayabilecek verileri toplayan, işleyen, kaydeden, üzerinde bir çalışma yapan her kurumun bu kanuna uyumlu hale gelmesi gerekiyor.”
Lostar, kendi hukuk departmanları olan büyük ölçekli şirketlerin de kanunun BT ayağında desteğe ihtiyaçları olduğunu belirtiyor ve sürdürüyor:
“Şirketler hukuk konusunu halletseler de BT konusunda bir desteğe ihtiyaçları var. Hukuki uyum çalışmaları birkaç ay sürüyor ama BT çalışmaları çok daha uzun zaman alabiliyor. Bunun farkına baştan varmıyor olabiliyorlar ama sonrasında çok zorlanıyorlar. Başlangıç anından itibaren işin ehli bir BT kurumuyla çalışılması gerekiyor.”
Kanunun getirdikleri
Kanun kişisel verileri ikiye ayırıyor; normal kişisel veriler ve özel nitelikli kişisel veriler.
Normal kişisel veriler bir kişiyi tanımlayan ad, soyad, TC kimlik no, ayakkabı numarası, saç rengi gibi verilere deniliyor.
Bir de kanunun tanımladığı, tek tek saydığı daha hassas korunması gereken özel nitelikli veriler var. Kanun; sağlık verileri, kan grubu, hastalık verileri, dernek, vakıf, sendika ve siyasi parti üyelikleri, dini, mezhebi veya diğer inançları, kılık kıyafeti gibi bilgiler, kişisel ses, parmak izi gibi verilere özel nitelikli kişisel veriler diyor ve bunları daha sıkı koruyor.
Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi kanunca yasak olmakla birlikte bu kurala, sadece kanunda belirtilen sınırlı haller dahilinde istisna getirilmiştir.
Konuyla ilgili kanunun çeşitli ceza maddeleri var. Kanun kapsamında kurum ve yöneticileri 1 ila 4 yıl arasında değişen hapis cezaları ile ihlal başına 1 milyon TL’ye kadar varabilen idari para cezaları gibi yaptırımlarla karşı karşıya kalabilirler.
Cezai yaptırımlar nedeniyle konunun farkında olan çok uluslu ve büyük kurumların kanuna uyumlu hale gelmek için çok çaba sarf ettiklerini söyleyen Lostar, kurumları uyarmayı da ihmal etmiyor:
“Son derece detaylı ve eksiksiz bir kişisel veriler envanteri çıkarmak gerek. Hangi kişisel veri bilgisayar sistemlerinde nerelerde duruyor , nerelere kopyalanıyor, nerelere gidiyor. Hangi kişisel veriler kimlerle paylaşılıyor. Bu bilgilerin çok detaylı bir şekilde envanterinin tutuluyor olması lazım,” diyor Lostar.
Tecrübeli CEO ayrıca bir kişisel verinin yurt içinde ya da yurt dışında bir başkasına gönderilmesi söz konusu ise bu kişisel verinin çok iyi bir şekilde korunarak gönderiliyor olması gerektiğini ya da kriptolanarak aktarılması gerektiğini söylüyor ve uyarıyor:
Verilerin aleni olarak, kamuya açık bir şekilde paylaşılması durumları -mesela korumalı olmayan, herkese açık Twitter, Instagram hesabında paylaşılan bilgiler- bu kanun kapsamının dışına çıkıyor. Bireylerin buna dikkat etmesi gerekiyor.
