Kişisel Verilerin Korunmasına Dair Bilmeniz Gereken Her Şey
İçinde bulunulan bilgi çağında, birçok veri muhafaza edilmektedir. Bu veriler iyi niyetli ya da kötü niyetli birçok şekilde kullanılabilir. 2016 yılında çağın gerekliliğine uyarak kişisel verilerin korunması kanunu yürürlüğe girmiştir. (1) Böylece işlenen kişisel verilerin güvenliğinin sağlanması amaçlanmıştır. Kişisel verilerin korunması kanunu ( KVKK) ile uluslararası ve yerel tüm mecralarda bilgi güvenliği sağlanmıştır.
Kişisel Verilerin Korunması Nedir?
Bilginin önemi ve doğru kullanımı, bulunduğumuzda dönemde başlıca dikkat edilmesi gereken konulardan biridir. Dijitalleşme ile birlikte bilginin kötü amaçlı kişi ya da kurumların eline geçmesi kolaylaşmıştır. Bu sebeple bilgi güvenliğini sağlamak ve yasalarla hakların güvence altına alınması zorunluluk haline gelmiştir.
Kişisel veri, bireyin sahip olduğu ad, soyad, cinsiyet, iletişim bilgileri ve kişisel tercihleri gibi birçok bilgiyi kapsamaktadır. Bu bilgiler, temas edilen kurumlarca işlenip kullanılabilir. Kurumların sahip olduğu bu bilgileri kaydederken, işlerken, saklarken ve kullanırken bilgi sahiplerine karşı yükümlülükleri bulunmaktadır. Kişisel verilerin korunması kanunu ile oluşturulan bu yükümlülükler bilgi güvenliğini artırır. Kurumlar, veri havuzlarındaki bilgilere yeterli önemli vermezse, veri hırsızlığına maruz kalabilir. Bu durum da hem kurumun saygınlığına zarar verir hem de kişisel verilerin korunması kanunu gereğince cezai işleme tabi tutulur.
Özel Nitelikli/Hassas Kişisel Veri Nedir?
Bu veriler, öğrenildiğinde kişiyi mağdur duruma düşürebilecek ya da ayrımcılığa sebep olabilecek verilerdir. Bu veriler kişinin açık rızası olmadan işlenemez.
Kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli/hassas kişisel veri statüsündedir. (1)
Kişisel Verileri Koruma Kanunu Gerekçeleri
Kişisel verileri koruma kanunu ile verilerin kaydedilmesi, arşivlenmesi ve işlenmesi kontrol altına alınmıştır. Böyle bir bilgi güvenliği kanununa ihtiyaç duyulmasının başlıca nedenleri şu şekildedir: (2)
• Kişisel veri alanında mevzuat eksikliğinin uluslararası anlaşmalarda, hukuki yardımlaşmalarda ve suçla mücadele alanlarında sorun yaratmaktadır.
- • Kişisel verilerin korunması hakkı, anayasal hak olarak kabul edilmiştir.
- • Uluslararası alanda tüm ülkeler bilgi güvenliği alanında çalışmalar yapmıştır.
- • AB’ye uyum çalışmalarına katkı sağlamak istenmektedir.
Kişisel Veriler Nasıl Toplanmalıdır?
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması (KVKK) ile bilgilerin toplanması hususunda kurumlara yönergeler sunulmuştur. Kanuna uygun olarak kişisel verinin toplanması için bireye açıkça hangi verilerin, hangi amaçla ve ne kadar süreyle kullanılacağının bilgilendirilmesi yapılmak zorundadır.
Kişisel Verilerin Korunması Kanunu kapsamında başlıca ilkelere madde 4.2’de yer verilmiştir.(1) Buna uygun şekilde veriler toplanmalı ve saklanmalıdır. İlgili madde aşağıdaki gibidir:
a) Hukuka ve dürüstlük kurallarına uygun olma
b) Doğru ve gerektiğinde güncel olma
c) Belirli, açık ve meşru amaçlar için işlenme
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme
Açık Rıza Metni ve Aydınlatma Metni Nedir?
Bilgilerin toplanma aşamasında kullanılan açık rıza metni ve aydınlatma metni de bu sebeplerle bireylerle paylaşılır. Aydınlatma metninde, verinin kullanım alanları, saklanma koşulları, sorumluları sade bir dille açıklanır.
Açık Rıza Metni ise kişinin edindiği bilgiler ışığında kendi özgür iradesiyle verilerinin işlenmesine onay verdiği metindir.
Yasadan Önce Toplanmış Veriler için Yapılması Gerekenler Nelerdir?
Kurumlar tarafından 2016 yılında yasanın yürürlüğe girmesinden önce toplanmış birçok veri bulunmaktadır. Bilgi güvenliğinin sağlanması amacıyla 2 yıl içerisinde bu verilerin de kanuna uygun hale getirilmesi zorunlu kılınmıştır. (3) Yasaya uygun hale getirilmeyen veriler için kurumlar, bilgilerin anonim hale getirilmesi veya silinmesi konusunda yükümlü kılınmıştır.
Kişisel Verileri Koruma Kanunu Uyumluluk Çalışmaları İçin Neler Yapılmalıdır?
- • Mevcut müşteri bilgileri kanuna uygun hale getirilmelidir.
- • Halihazırdaki tedarikçiler, çalışanlar, taşeronlar ve kurumla bağlantılı tüm kişilerden gerekli izinler alınmalıdır.
- • Kurumların mevcut iş planları ve iş akışları KVKK kapsamına uygun şekilde revize edilmelidir.
- • Kurum içinde ve kurum dışında kullanılan belgelerin KVKK uygunluğu uzman kişilerce kontrol edilmeli ve yasaya uygun hale getirilmelidir.
- • Veri sorumluları belirlenmeli ve gerekli kurumlara bildirilmelidir.
- • Bilgi güvenliği için gerekli teknik hazırlıklar yapılmalı, önlemler alınmalıdır.
- • Gerekli durumlarda şirket çalışanlarına bilgilendirme toplantıları yapılmalı, tüm kurumda hassasiyet oluşturulmalıdır.
Siber Saldırılara Karşı Dikkat Edilmesi Gerekenler
Kurumlar, tüm verilerini ve iş süreçlerini Kişisel Verilerin Korunması Kanununa uygun hale getirmek için maliyet ve zaman harcamaktadır. Buna rağmen yapılan siber saldırılar yine veriler kötü amaçlı ele geçirilip kullanılabilmektedir. Bu kurumu karşı karşıya kalmak istemeyeceği siber saldırıları önlemek için kurum için eğitimler düzenlemeli, teknolojik altyapıları en üst düzeyde tutmalısınız. Bir kurumun siber saldırıya uğraması para, güvenilirlik ve saygınlık kaybına yol açar. Kanunlarla korunan veriler için para ve hapis cezalarının yanı sıra paydaşlara karşı sorumlulukların yerine getirilmemesi itibarı zedeler.
Bu saldırılardan korunmak için başlıca dikkat edilmesi gereken konular şu şekildedir:
Bilgi İletim araçları
Kurum içi ve kurum dışı bilgi paylaşımında kullanılan araçlar doğru kullanılmazsa kötü amaçlı kişilerin eline geçebilir. Sıkça kullanılan USB bellekler, CD gibi araçların yanı sıra basılı belgeler de tehdit oluşturabilir. İnternet tabanlı yazıcılar veya basılı belgenin güvenliksiz alanlarda bulunması tehlikelidir.
VPN Kullanımı
Uzaktan çalışmanın hızla arttığı bu dönemde VPN kullanımı da aynı şekilde artış göstermektedir. Kurumların dosya erişimlerinde güvenlik sağlama amacıyla kurduğu VPN sistemlerine dikkat edilmelidir. Çalışanlar özellikle bilgilendirilmelidir. Kullanıcı adı ve şifre kişiye özel olmalı ve kimse ile paylaşılmamalıdır. Uzaktan çalışanların bulunduğu ortamda sağlanan kablolu ya kablosuz ağların güvenilir olması gerekmektedir. Güvenilir olmayan kaynaklardan bağlanılan VPN, siber saldırılara karşı kurumu hedef haline getirebilir.
Ekipmanların Temini ve Kullanımı
İşleyiş için gerekli bilgisayar, telefon, yazıcı ve diğer bilgi işlem malzemeleri kurumun kontrolünden geçmelidir. Mümkünse kuruma ait ekipmanlar harici bir araç kullanılmamalıdır. Kişisel ekipmanlar, güvenlik açığı oluşturabilir. Bu ekipmanların belli aralıklarla kurumun bilgi işlem departmanı tarafından kontrolü, güncelliği ve takibi yapılmalıdır. Ekipmanda gözlenen farklı durum ya da bildirimler ivedilikle ilgili departmana bildirilmelidir. Virüs programlarının süre aşımları, yazılım güncellemeleri, farklı bir program yüklenmesi, tanımlı ekipmanlar ve birçok konu üzerinden siber saldırılara açık konuma gelebilir.
İletişim Araçları
Kurum içi ve kurum dışı iletişim sağlanması adına kullanılan mesajlaşma ve e-posta uygulamaları hacker’ların en çok kullandığı alanlardır. Oltalama yöntemi ile kurumdaki herhangi biri üzerinden sistemlere kolayca sızabilir ve verileri çalabilirler. Bu nedenle bilinmeyen kaynaklardan gelen mesaj ve e-postaları açarken daha dikkatli olmalı, linklere tıklanmamalıdır. Kaynağı güvenilirliğini kontrol etmek için bilgi işlem departmanı ile iletişime geçilmelidir. Kontrolün ardında işlem yapılmalıdır.
Bilginin en büyük sermaye olduğu günümüzde veri güvenliğinin sağlanması oldukça önemlidir. Kurumların güvenlik için maliyetleri sağlaması ve gerekli önlemleri alması gerekir. Mutlaka KVKK alanında uzman ekiplerle çalışılmalı, gelişmeleri takip etmeli ve güncel şekilde süreçlerini yönetmelidir. Bunun yanı sıra kişilerin de haklarını bilmesi ve buna uygun hareket etmesi gerekir. Veri paylaşımında ilgili kurum ve kuruluşları detaylı araştırmalı, aydınlatma metnini mutlaka edinmelidir.
Kaynakça
- https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
- https://www2.tbmm.gov.tr/d26/1/1-0541.pdf
- https://www.kvkk.gov.tr/Icerik/4199/Kamuoyuna-Duyuru