KVKK Sürecini Tanıyalım

7 Nisan 2016 tarihinde Türkiye’ de 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bu Kanun kişisel veri dediği bir kavram getirmiştir. Bu kişisel veri dediği kavramın içine giren bir bilgiyi şirket olarak alıyorsanız bazı önlemler almanızı, şirketinizin sistemlerini buna göre değiştirmenizi istemiştir. Yani özetle eskiden olduğu gibi keyfi olarak insanların bilgilerinin kullanılması engellenmeye çalışılmıştır.

“Kişisel veri” kavramından ne anlamalıyız?

İlk olarak burada bir bilginin kişisel veri olabilmesi için gerçek bir kişi ile alakası olması yani insana ait bir bilgi olması gerekir. Şirket bilgisi ( şirket adı, vergi no, adres vb. gibi) kişisel veri değildir. Kanun’ da ”kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Çok geniş bir ifade olduğu için de aklınıza gelebilecek herşey bu neredeyse bu kapsamda kişisel veridir ve korunması gerekir. Mesela gerçek kişilere ait ad, soyad, adres, TC kimlik numarası, parmak izi, kredi kartı ve banka hesap numaraları, motorlu taşıt plakaları, ses kayıtları, SGK numarası, özgeçmiş, resim, görüntü, e-posta adresi, aile bilgileri, cihaz kimlikleri, IP adresleri, telefon numaraları, adli kayıtlar gibi her türlü bilgi birer kişisel veridir.

“Veri işleme” nedir?

Kişisel verilerin tamamen veya kısmen, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem Kanun kapsamında “veri işleme faaliyeti” olarak kabul edilmiştir. Yani siz şirketinizde insanlara ait bilgileri alıp, saklıyorsanız, bilgisayarınızda ya da dolaplarda arşivliyorsanız, insanların bilgilerini onlara ulaşmak için kullanıyorsanız (mesela reklam yapmak için, pazarlama yapmak için müşterilerin numaralarını bir listeye yazıyorsanız) veri işliyorsunuz demektir. Bu da Kanun sizi de ilgilendiriyor anlamına gelir. Ve kanundaki şartları yerine getirmeniz gerekir. Aksi durumda hakkınızda hapis cezaları ve para cezaları uygulanır. Veri işlemeden söz edilmesi için, verilerle başka veriler türetilmesi ya da verilerin aktarılması ve paylaşılması gibi işlemlerin olması şart değildir. Kanun bu kavramı oldukça geniş bir şekilde düzenleyerek elde etmeyi, kaydetmeyi ya da depolamayı kapsama almıştır. Diğer bir ifadeyle bilgileri sadece elde bulundurmak dahi Kanun’un düzenlediği bazı kurallara uyulması zorunluluğunu beraberinde getirmektedir. Yani siz müşteriyi aramasanız da telefon numarasını saklamaya devam ediyorsanız yine sorumlusunuz. Ya da bir kişi şirketinize iş başvurusu yaptı. CV sini verdi. Siz kişiyi işe almadınız ama CV sini bilgisayara kaydettiniz duruyor. Yine veri sakladığınız anlamına gelir ve sorumlu olursunuz. Yukarıdaki açıklamalar doğrultusunda örneğin bir tabloya müşterilerin veya çalışanların adı, soyadı, adres ve e-posta adreslerinin kaydedilmesini Kanun veri işlemek saymıştır. Bu bilgileri basılı kağıtta tutmakla bilgisayarda tutmakta aynıdır. İki halde de veri işlenmiş olur. Dikkat edilirse Kanun bilgileri almayı yasaklamıyor. Tabi ki çalışandan ya da müşteriden veri alabilirsiniz. Ancak bunu yaparken kurallar getiriyor kanun ve sen şirket olarak uyacaksın diyor. Yani bilgi alabilirsin ama keyfi olarak kullanamazsın, bilgiyi hesap verebilir şekilde alacaksın ve kullanacaksın, şeffaf olacaksın diyor. Bilgiyi kullanırken aşağıdaki temel ilkelere uyulması zorunludur: • Hukuka ve dürüstlük kurallarına uygun olma. Keyfi olarak kullanma. • Doğru ve gerektiğinde güncel olma. Çok eskiden aldığın bilgileri tutma. Tutacaksan da güncelle. • Belirli, açık ve meşru amaçlar için işlenme. Hesap verilebilir şekilde kullan. Ne için alıyorsun, nerde kullanacaksın bunlar belli olsun. • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. Alırken ne için aldıysan onun için kullan, • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. işin bitince sil. İstediğin gibi keyfi olarak kullanma.

Kanun’a uymamanın yaptırımları nelerdir?

Kanun’a göre: • Aydınlatma yükümlülüğü maddesine uymazsan yani bilgisini kullandığın kişiye ben senin bilgini şu şekilde kullanıyorum haberin olsun demezsen 5.000 Türk Lirasından 100.000 Türk Lirasına kadar, • Veri güvenliği ile ilgili yükümlülüklerin ihlali halinde yani veriyi bir dolapta ya da bilgisayarda saklıyorsan ve bu dolabı herkes açabiliyorsa ya da bilgisayarın şifresini herkes biliyorsa 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, • Kanun kapsamında kurulan Kişisel Verileri Koruma Kurulu’nun şikâyet üzerine veya resen vereceği bir karara uyulmaması halinde; kanunu uygulamak için adı kişisel verileri koruma kurumu olan bir kurum kuruldu. Bu kurum senin şirketin hakkında bir karar verdiyse ve sen ona uymadıysan 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, • Veri Sorumluları Sicili’ ne kayıt ve bildirim yükümlülüğün ihlali halinde, 50 den fazla çalışanın varsa ya da ciron 25 milyondan fazlaysa , bu iki şarttan birini sağlıyorsan devletin kurduğu bir sistem var. Adı veri sorumluları sicili(verbis) buna kayıt olmak zorundasın. (son tarih 31 Aralık) Olmazsan 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, idari para cezası verilecektir. Kanunda sadece para cezası yok. Aynı zamanda hapis cezası da var. Bilgileri yukarıda sayılanlara uygun kullanmazsan ceza kanununun 135. Maddesini uygularım diyor. Orda da 6 yıla kadar hapis cezası var.

PARA CEZASI YA DA HAPİS CEZASI İLE KARŞILAŞMAMAK İÇİN NE YAPMANIZ GEREKİYOR?

Şirkete hangi bilgileri alıyorsunuz tespit edin. Çalışan için, müşteri için, tedarikçi için ayrı ayrı sınıflandırma yapın. Ne bilgi aldığınızı tespit ettikten sonra nerde saklıyorsunuz bunları bulun. Bulduğunuz saklama yerlerini koruyun. Dolapsa kilit takın. Bu bilgileri kiminle, niye paylaşıyorsunuz tespit edin. Paylaştığınız adama da bu bilgileri koruyacaksın deyin. Paylaşırken nasıl paylaştığınızı tespit edin. Mail mi atıyorsunuz bilgiyi yoksa postayla mı gönderiyorsunuz? Sonra işiniz bitince silin. 10 yıl bir kişinin CV sini tutmayın. Çalışanlarınıza da eğitim verin. Kanun ne diyoru anlatın. Çünkü çalışan kanuna uymadan o bilgiyi kullanırsa sorumluluk sizin şirketinizde. Bilgisini kullandığınız adama niye, nasıl kullandığınızı, kiminle paylaştığınızı söyleyin.

TWAREON NE İŞE YARIYOR?

TwareOn; yazılımcılar, hukukçular ve iş analistlerinden oluşan bir ekip tarafından hazırlanan bir yazılımdır. Bu ekip 50 den fazla Kişisel Verilerin Korunması Kanunu kapsamında zorunlu olan uyum projesi yapmıştır. Bu projelerde elde ettiği tecrübeyi de yazılıma aktarmıştır. Normal şartlarda kanun ile uyumlu olmak için avukat ve bilgi teknolojisi profesyonellerinden oluşan bir ekipten destek alarak bir proje yapmanız ve kanun da yazanları onların yönlendirmeleri ile yerine getirmeniz gerekiyor. Mevcut yöntemler ile yapılacak bir proje aylar sürebilmektedir. TwareOn yazılımı bunu kısa sürede ve elektronik ortamda yapıyor. Şirketiniz içinde her bir çalışanın görev tanımı altındaki yönettiği süreçler tek tek yazılımın içine giriliyor. Hangi bilgilerin girileceğini yazılım kendisi yönlendiriyor. Bu süreçler girildiğinde de hem siz şirketinizde ki çalışanların yaptıklarını net bir şekilde görüyorsunuz hem de kanunun istediği raporlar size otomatik olarak arka planda yazılımca hazırlanıp veriliyor. Yukarıda ceza ile karşılaşmamak için yerine getirmenizi istediğimiz başlıkları TwareOn sizin yerinize yapıyor. Sorulması gereken soruları size tek tek soruyor. Ve size şirketinizin içindeki süreçlere ilişkin analizleri vererek, şirketiniz içerisindeki verileri korumak için ne yapmanız gerektiğini de söylüyor. Kısacası şirketinizdeki verilerin fotoğrafını çekiyor. İçerisinde eğitim modülü ile de çalışanlarınızı eğitiyor. Kanun’un sizden tespit etmenizi istediği başlıkları sizin için tespit ederek toplu listeler ve grafikler veriyor. Kişisel Verilerin Korunması Kanunu ve Çözümümüz TwareOn‘un demo süreçleri için bize ulaşabilirsiniz.
Saygılarımızla,
Av. Nisan Doğan
Evant Teknoloji KVKK Süreç İş Ortağı
Adana, 2019