KVKK Uyumu ve Kurumlarda Kişisel Verilerin Korunması

Makale

Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. ...

Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. Günümüzde kamu ve özel sektörün verdiği hizmetlerin büyük bölümü elektronik ortamlar üzerinde gerçekleşmektedir. Hizmet alırken veya hizmet verirken toplanan kişisel verilerin yaygın bir şekilde kötüye kullanımı, yasal düzenlemelerin yapılmasını da zorunlu hâle getirmiştir. Kişisel verilerin gizliliğinin ve kontrolünün kaybedilmesi, bireysel, sosyal ve kurumsal açıdan telafisi mümkün olmayan zararlara neden olabilir. Bilginin nimeti kadar külfeti de kurumları, toplumu ve kişileri doğrudan etkilemeye başlamıştır.

Birçok uluslararası belgede kişisel verilerin korunması ile ilgili hükümler yer almasına rağmen kişisel verilerin korunmasına ilişkin ilk hukuki düzenlemeler 1973 ve 1974 yıllarında Avrupa Konseyince hazırlanmıştır. Ülkemizde uzun yıllar Türkiye Büyük Millet Meclisi’nde yasa tasarısı olarak bekleyen Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.(2*)

Kişisel Verilerin Korunması Kanunu’na göre kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği Kişisel Verileri Koruma Tüzüğü de 2016 yılında General Data Protection Regulation (GDPR) yani Genel Veri Koruma Kanunu (GVKK) Türkiye ile aynı tarihlerde yürürlüğe girmiştir. Kişisel verilerin tanımlanması, ifade edilmesi ülkeye göre değişmekle birlikte tanımın içeriğinde büyük farklılıklar yoktur. Örneğin Almanya Verilerin Korunması Kanunu'nda kişisel veri şöyle tanımlanmıştır: Belirli ya da belirlenebilen bir gerçek kişinin kişisel ya da maddi ilişkilerine ait münferit veriler. Kişisel verileri alan ve işleyenler kanunda veri sorumlusu olarak tanımlanmıştır. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir.
Ülkemizde kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere özerk bir kurum olan Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak. KVKK’nın misyonu: Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.

Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere organizasyonlara 2018 Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ne yazık ki kurumlarımızın yasaya uyumlu çalışmaları için verilen süre dolmasına rağmen beklenen uyum süreci henüz sağlanamamıştır. Tüm kamu kurumlarımız, şirketlerimiz, üniversitelerimiz, vakıf ve derneklerimiz vb. KVKK’dan 2018 Haziran ayından bu yana geriye dönük olarak sorumluluk taşımaktadırlar.

Kişisel Verilerin Korunması Kanunu’nun en dikkat çekici yanı şirketlerin, kurumların yönetim kurullarını hedeflemesi olmuştur. Yasaya göre kişisel verilerin korunmasına yönelik bir sistem kurmayan Yönetim Kurulu üyeleri geriye dönük olarak da sorumluluk taşımaktadırlar.

Kanunda kişisel verilerin yanında özel nitelikli kişisel verilerin kullanımı belirli şartlara bağlanmıştır. Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete sebep olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması“ başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Kişisel verilerin korunması ile ilgili kanunlarda özel nitelikli kişisel verileri kategorize edip saymak, veri sınıflandırması yapmak bütün belirsiz­liklerin bertaraf edildiği anlamına da gelmemektedir.

Hassas veri tür­leri bazen kolayca örneklendirilebilir: Bir işverenin çalışanlarının sendika üyeliği kaydı; Bir uçak yolcusunun dini inancına uygun yemek tercihini göste­ren bilgi; Belirli bir kişi için tekerlekli sandalye erişiminin gerekli olduğunu belirten otel rezervasyon bilgisi; Bir çalışanın apandisit ameliyatı için hasta­nede olduğunu gösteren kayıt; Bir müşterinin striptiz kulüplerine gitmeyi sev­diğini açıklayan piyasa bilgisi; Bir kişinin uyuşturucu madde bağımlısı oldu­ğunu gösteren hastane kayıtları; Bir kişinin kara para aklama suçunu işledi­ğini gösteren bilgi.(3*)

Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası tehlikesi beklemektedir.

Kurumlarımızın özellikle Avrupa Birliği kişisel verileri koruma mevzuatı olan GDPR’ye dikkat etmeleri gerekmektedir. Aday ülke olarak bu kanunları takip ediyor ve mevzuatımızı güncelleşiyoruz. Türkiye’deki bir kurumun GDPR kapsamına girmesi son derece kolaydır. Bir AB vatandaşının kişisel verisini ihlal eden, ifşa eden ya da AB vatandaşının kişisel verisini yetkisiz erişime uğratan her kurum GDPR kapsamındaki cezalarla muhatap olacaktır.

GDPR cezaları ülkemize göre çok daha ağırdır, olayın büyüklüğüne göre 10.000.000 Euro ve 20.000.000 Euro veya küresel cironun %2’si ile %4’üne varan yüksek para cezaları bulunmaktadır.

Genel bilgi güvenliği önlemlerini almadan kişisel verileri tam anlamıyla önlemek mümkün değildir. İşte bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önerilmektedir. Veri güvenliği sadece siber güvenlik önlemleri alarak da gerçekleştirilemez, matbu ortamlardaki, kişilerdeki veriler de bu eko sistemin içindedir.

Kurumlarımızdaki en büyük kafa karışıklığı kişisel verilerin ne olduğunun yeterince kavranamamasıdır. Örneğin her kurumda KVKK kapsamına giren kişisel veriler şunlardır: Çalışanlara ait veriler; müşterilere ait kişisel veriler, ziyaretçilere ait kişisel veriler; tedarikçi ve paydaşlara ait kişisel veriler; çalışan adaylarına ait kişisel veriler tüm kurumlarımızı doğrudan ilgilendiren kişisel veri grupları. Kurumlar KVKK ile ilgili bir yönetim sistemi kurmak zorundadır. Her kurum KVKK ile ilgili eğitim vermeli, organizasyon yapısını oluşturmalı, kurumlarda kişisel verilerin korunmasına dair idari ve teknik tedbirleri almalıdırlar. Kişisel verilerin korunmasına yönelik olarak geliştirilen politika, prosedür, talimat ve formlar da KVKK ile ilgili bir dokümantasyonun oluşturulmasını bir doküman yönetimi sistemini de beraberinde getirmektedir. Çünkü birçok karar, tebliğ veya yasa değişikliğinde hazırlanan dokümanların revize edilmesi gerekmektedir.

Birçok kurumda sistemin kanunun ruhuna uygun olarak kurulamadığını görülmektedir. Örneğin KVKK ile ilgili organizasyonları İnsan Kaynakları veya BT Bölümlerine bağlamak bu kanunu yeterince anlamamış olmak demektir. KVKK ile ilgili kurulacak bir organizasyonun doğrudan Yönetim Kurulu’na bağlanması gerekmektedir.

Son olarak şunu belirtmek gerekir ki 50’den çok çalışanı olanlar veya bilançosu 25 milyonun üzerinde olanlar, ya da her iki şarttan birini taşıyan şirketler 2019 yılın Eylül ayına kadar KVKK ile ilgili sistemi kurup, yasaya uyum sağlayarak, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları yasal zorunluluktur. Örneğin KHK ile düzenlenen taşeron yasası sonrasında belediye şirketlerinin çoğu bu kapsama girmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenleri 20.000 Türk lirasından 1.400.000 Türk lirasına kadar idari para cezalar bekliyor. Kimse yasadan muaf değildir. Geçici muafiyet VERBİS kaydına ilişkin süre ile ilgilidir.

**

Kaynak: 2015-2018 Bilgi Toplumu Strateji ve Eylem Planı (1*), kvkk.gov.tr (2*), Doç. Dr. Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi ekseninde hassas (kişisel) veriler ve işlenmesi, dergipak.gov.tr (3*)
Bu içerik Marka Belgesi altında telif hakları ile korunmaktadır. Kaynak gösterilmesi, bağlantı verilmesi ve (varsa) müellifinin/yazarının adı ile unvanının aynı şekilde belirtilmesi şartı ile kısmen alıntı yapılabilir. Bu şartlar yerine getirildiğinde ayrıca izin almaya gerek yoktur. Ancak içeriğin tamamı kullanılacaksa TASAM’dan kesinlikle yazılı izin alınması gerekmektedir.

Alanlar

Kıtalar ( 5 Alan )
Aksiyon
 İçerik ( 2609 ) Etkinlik ( 196 )
Alanlar
Afrika 70 618
Asya 88 1013
Avrupa 18 628
Latin Amerika ve Karayipler 13 65
Kuzey Amerika 7 285
Bölgeler ( 4 Alan )
Aksiyon
 İçerik ( 1343 ) Etkinlik ( 51 )
Alanlar
Balkanlar 24 280
Orta Doğu 21 594
Karadeniz Kafkas 3 294
Akdeniz 3 175
Kimlik Alanları ( 2 Alan )
Aksiyon
 İçerik ( 1286 ) Etkinlik ( 74 )
Alanlar
İslam Dünyası 56 778
Türk Dünyası 18 508
Türkiye ( 1 Alan )
Aksiyon
 İçerik ( 1990 ) Etkinlik ( 77 )
Alanlar
Türkiye 77 1990

“Güneş Kuşağı” olarak adlandırılan, kolay yaşanabilen, ılımlı iklim kuşağı içinde yer alan bölgelerde, tarihin ilk dönemlerinden itibaren, daha fazla çıkar elde edebilmek amacıyla, güce dayalı üstünlük kurma mücadelesi hiç eksik olmamıştır.;

Türkiye - Hindistan Stratejik Diyaloğu; karşılıklı potansiyellerin ve mevcut iş birliğinin nasıl stratejik bir işbirliğine dönüştürülebileceğini ortaya çıkarmayı ve stratejik zemin kapasite inşasına katkıda bulunmayı hedeflemektedir.;

Uluslararası mecrada bir “Türkiye Markası” hâline gelen Türk Asya Stratejik Araştırmalar Merkezi, TASAM 2004-2021 Faaliyet Raporu’nu güncelleyerek yayımladı.;

Fransa’da yaşayan ve Goncourt Akademisi Edebiyat Ödülü sahibi olan meşhur Lübnanlı yazar Amin Maalouf, 07 Mayıs 2021 Cuma saat 21.00’de Galatasaray Üniversitesi Siyaset Bilimi Kulübü ve King’s College Turkish Society tarafından gerçekleştirilen çevrim-içi söyleşinin konuğu oldu.;

Türkiye - Güneydoğu Asya Stratejik Diyaloğu; karşılıklı potansiyellerin ve mevcut işbirliklerinin nasıl stratejik bir işbirliğine dönüştürülebileceğini ortaya çıkarmayı hedeflemekte ve stratejik zeminin kapasite inşasına katkıda bulunmayı amaçlamaktadır.;

Mısır ile kopan ilişkilerimiz yeniden düzelme sürecine girerken geçmişten güne bakarak geleceği düşünmek faydalı olabilir. Mısır ile müzakerelerde hangi kalemler üzerinden konuşacağımız devletlerin kendi maslahat algıları çerçevesinde gelişecektir. ;

Çok boyutlu şekillenen dünya güç sistematiği içerisinde Türkiye - Hollanda ilişkilerinin ideal bir noktaya taşınabilmesi için, yalnızca siyasi ve stratejik temelli değil, her parametrede daha fazla karşılıklı derinlik oluşturacak bir yapıya doğru yönelinmesi gerekir. Bu bağlamda sektör temsilcilerin...;

1990’ların başlarında Soğuk Savaş’ın sona ermesi ve Sovyetler Birliği ve Yugoslavya gibi devletlerin dağılmasıyla birlikte, toprak kazanımı, güç mücadelesi ya da etnik hâkimiyet kaygılarının tetiklediği iç savaşlar yaygınlaşmaya başlamıştır. Bu süreçte BM bu duruma bigâne kalmayarak, Irak, Somali, H...;

Türkiye - Güneydoğu Asya Stratejik Diyaloğu

Türkiye - Güneydoğu Asya Stratejik Diyaloğu; karşılıklı potansiyellerin ve mevcut işbirliklerinin nasıl stratejik bir işbirliğine dönüştürülebileceğini ortaya çıkarmayı hedeflemekte ve stratejik zeminin kapasite inşasına katkıda bulunmayı amaçlamaktadır.

  • 2021
  • Türkiye - Güneydoğu Asya

İngiltere’nin II. Dünya Savaşı sonrasında Hint Altkıtası’ndan çekilmek zorunda kalması sonucunda, 1947 yılında, din temelli ayrışma zemininde kurulan Hindistan ve Pakistan, İngiltere’nin bu coğrafyadaki iki asırlık idaresinin bütün mirasını paylaştığı gibi bıraktığı sorunlu alanları da üstlenmek dur...

Devlet geleneğimizde yüksek emsalleri bulunan Meritokrasi’nin tarifi; toplumda bireylerin bilgi, bilgelik, beceri, çalışkanlık, analitik düşünce gibi yetenekleri ölçüsünde rol almalarıdır. Meritokrasi din, dil, ırk, yaş, cinsiyet gibi özelliklere bakmaksızın herkese fırsat eşitliği sunar ve başarıyı...

Gündem 2063, Afrika'yı geleceğin küresel güç merkezine dönüştürecek yol haritası ve eylem planıdır. Kıtanın elli yıllık süreci kapsayan hedeflerine ulaşma niyetinin somut göstergesidir.

Geçmişte büyük imparatorluklar kuran Çin ve Hindistan, 20. asırda boyunduruktan kurtularak bağımsızlıklarına kavuşmuş ve ulus inşa sorunlarını aştıkça geçmişteki altın çağ imgelerinin cazibesine kapılmıştır.

Meritokrasi Devlet geleneğimizde yüksek emsalleri bulunan Meritokrasi’nin tarifi; toplumda bireylerin bilgi, bilgelik, beceri, çalışkanlık, analitik düşünce gibi yetenekleri ölçüsünde rol almalarıdır. Meritokrasi din, dil, ırk, yaş, cinsiyet gibi özelliklere bakmaksızın herkese fırsat eşitliği sunar...

Türkiye ile Avrupa Birliği (AB) ilişkilerinin bugünü ve geleceğinin ele alındığı Avrupa Birliği Sempozyumu, Türk Asya Stratejik Araştırmalar Merkezi (TASAM) ile Türk Avrupa Bilimsel ve Eğitimsel Araştırmalar Vakfı (TAVAK) işbirliğinde 02 Şubat 2018’de İstanbul Taksim Hill Otel’de gerçekleştirildi.

1982 Anayasası'nın defalarca değişikliğe uğramasına rağmen iskeletinin değiştirilememesi nedeniyle Türkiye'nin yeni bir anayasaya gereksinimi olduğu konusunda kamuoyunda genel bir konsensüs bulunmaktadır.

Bu rapor, Türk savunma sanayiinin gelişme sürecinin sürdürülebilirliginin ve ihracat potansiyelinin arttırılmasında, şekillendirilecek geleceğe uygun; insan sermayesi, yapı, süreç ve stratejilerin tasarlanmasına ışık tutmak, bu kapsamda alınabilecek tedbirleri saptamak maksadıyla hazırlanmıştır.