Kişisel Verilerin Korunması Kanunu (KVKK – 6698)

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyması gereken usul ve esasları düzenlemektir.

KVKK, yalnızca bulut ortamlarında veya yazılımlarda saklanan verileri değil; aynı zamanda bir kurum ya da kuruluşa aktarılmış, paylaşılmış veya iletilmiş tüm kişisel verileri de kapsamaktadır.

KVKK Kapsamında Temel Yükümlülükler

Kişisel Verilerin Korunması Kanunu’nda yer alan başlıca yükümlülükler şunlardır:

• Veri sahibine, kişisel verilerin hangi amaçla işleneceği

• Verilerin ne kadar süre saklanacağı

• Hangi ortamda ve hangi koşullarda muhafaza edileceği

• Ne zaman ve nasıl silineceği

• Verilerin başka bir amaçla kullanılmayacağına dair taahhüt

açık ve anlaşılır şekilde bildirilmelidir. Bu taahhüt yalnızca verilmekle kalmamalı, fiilen yerine getirilmelidir.

Kişisel Verilerin Yurt Dışına Aktarımı

KVKK’ya göre;

• Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

• Açık rıza bulunmadığı durumlarda, Kanun’da belirtilen istisnai hallerin ve Kurul kararlarının esas alınması gerekir.

Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu, KVKK kapsamında aşağıdaki yükümlülükleri yerine getirmek zorundadır:

• Kişisel verilerin hukuka aykırı işlenmesini önlemek

• Kişisel verilere hukuka aykırı erişimi engellemek

• Kişisel verilerin güvenli şekilde muhafazasını sağlamak

• Bu amaçlarla gerekli teknik ve idari tedbirleri almak

KVKK’ya Aykırılık Durumunda Uygulanacak Cezalar

KVKK hükümlerine uyulmaması halinde ciddi idari ve cezai yaptırımlar uygulanmaktadır:

• Kişisel verilerin hukuka aykırı olarak işlenmesi: 1 – 3 yıl hapis

• Verilerin hukuka aykırı yollarla elde edilmesi: 2 – 4 yıl hapis

• Yükümlülüklerin yerine getirilmemesi durumunda:
  5.000 TL – 1.000.000 TL arasında idari para cezası

KVKK’nın Etkin Uygulanması İçin Gerekli Yapılar

Kişisel Verilerin Korunması Kanunu’nun tam ve sürdürülebilir şekilde uygulanabilmesi için aşağıdaki yapıların birlikte ilerletilmesi gerekmektedir:

• Kurumsal Mimari

• Teknolojik Yaklaşımlar

• Hukuki Yaklaşımlar

Kurumsal Mimari Nedir?

Kurumsal mimari, kurumun hedeflerini, organizasyon yapısını, işleyiş düzenini ve kullanılan bilgi sistemlerini tanımlayan bütüncül bir yönetim disiplinidir.

Kurumsal mimari sayesinde:

• Karar alma süreçleri hızlanır

• Standartlara uygun yapı oluşturulur

• Rekabet avantajı sağlanır

• Kurum, kendi ihtiyaçlarına göre yeniden yapılandırılabilir

Başlıca Kurumsal Mimari Framework’leri

• TOGAF (The Open Group Architecture Framework)

• Zachman Framework

• FEAF (Federal Enterprise Architecture Framework – ABD Federal Mimari Modeli)

Teknolojik Yaklaşımlar

KVKK kapsamında, şirketlerin müşterilerine ait verilerin güvenliğini sağlamak amacıyla aşağıdaki teknolojik çözümler uygulanır:

• Hesap ve şifre güvenliği denetimleri

• Güvenlik seviyesi izleme ve raporlama

• Veri sınıflandırma ve tasnifleme

• Veri koruma sistemleri

• Veri sızıntısı ve kaçaklarını önleme çözümleri

• Erişim yetkilendirme ve loglama

Hukuki Yaklaşımlar

KVKK’ya uyum sürecinde;

• Hukuki tanımlamaların yapılması

• Veri sorumlularının yükümlülüklerinin belirlenmesi

• Kişisel veri sahiplerinin haklarının tanımlanması

amacıyla uzun vadeli ve sürdürülebilir bir uyum metni hazırlanır. Bu metin, kurumun tüm iş süreçlerini kapsayacak şekilde uygulanır ve güncel tutulur.