Rightteam

Kanunun Amacı

Kanunun amacı, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.

Kanun ile son yıllarda önem kazanan, kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Kişisel verilerin hangi kurallara tabi olarak, hangi şartlarda işlenebileceği hususunu kontrol altına alma amacını güden Kanun, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları getirerek, bu verilerin hukuka aykırı olarak işlenmesini engellemeyi hedeflemektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.

Bu hususlar gözetildiğinde Kanunun Amaçlarını;

1- Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,

2- Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak),

3- Kişilerin mahremiyetini korumak,

4- Kişisel veri güvenliğini sağlamak (Kişilerin bilgi güvenliği hakkının korunması) olarak sayabiliriz.

Kanunun Kapsamı

Kanunun kapsamı, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Kanunda kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu Kanun hükümleri uygulanacaktır.

Özetle, Kanun Kapsamı;

1- Kişisel verileri işlenen gerçek kişiler,

2- Kişisel verileri tamamen veya kısmen otomatik olan yollarla işleyen gerçek ve tüzel kişiler,

3- Kişisel verileri, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler yer almaktadır.

Kişisel Veri Nedir?

Kanunda “kişisel veri” kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Buna göre, kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Bir kişinin belirli veya belirlenebilir olması, mevcut verilerle yola çıkarak doğrudan veya başka verilerle birleştirerek dolaylı olarak herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir olmasıdır.

Veri Sorumlusu nedir?

Kanunda “veri sorumlusu” kavramı, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.

Veri sorumlusu ifadesiyle, kişisel veri işleme faaliyetlerinden sorumlu olan bir kişi kastedilmemektedir. Yani özel veya kamu sektöründe faaliyet gösteren ve tüzel kişiliğe sahip olan tüm işyeri, işletme, kuruluş ve birimlerde veri sorumlusu, kişisel veri işleme faaliyetlerinden sorumlu olarak görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisidir.

Buna göre veri sorumlusu; şirket çalışanı, yöneticisi, patronu, yönetim kurulu başkanı, yönetim kurulu üyeleri, kurum veya kuruluş yöneticisi, çalışanı, avukatı gibi temsile yetkili kişiler değildir.

Bir tüzel kişiliğe sahip olmaksızın özel sektörde serbest meslek erbabı, şahıs şirketi olarak faaliyet gösteren işyerlerinde ise işyeri sahibi olan gerçek kişilerdir. Kamu kurumunda gerçekleşen kişisel veri işleme faaliyeti için veri sorumlusu da kamu kurumunun bizzat kendisidir.

Veri Sorumlusunun Yükümlülükleri nelerdir?

Kanunda ve ikincil mevzuatta veri sorumluları için getirilmiş olan yükümlülükler aşağıdaki gibidir;

1- Kanunda sayılan temel ilkelere uyum- 6698 Sayılı Kanun Madde 4

2- Kişisel veri işleme şartlarına dayanma (uyum)- 6698 Sayılı Kanun Madde 5-6

3- Aktarım usul ve esaslarına uyum sağlama. (Yurt içi ve Dışı aktarım şartlarına uyum) 6698 Sayılı Kanun Madde 8-9

4- Aydınlatma yükümlülüğünü yerine getirme. 6698 Sayılı Kanun Madde 10-11

5- Veri güvenliğine ilişkin yükümlülükler (teknik ve idari tedbirleri alma) – 6698 Sayılı Kanun Madde 12

6- Silme, yok etme veya anonim hale getirme yükümlülüğü- 6698 Sayılı Kanun Madde 7 / Kişisel Verilerin Silinmesi, yok edilmesi veya Anonim hale getirilmesi hakkında yönetmelik

7- Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü- 6698 Sayılı Kanun Madde 13-15

8- VERBİS‟e (Veri Sorumluları Sicili) kayıt olma. 6698 Sayılı Kanun Madde 16 ve Veri Sorumluları Sicili Hakkında Yönetmelik

9- Kişisel veri işleme envanteri hazırlama. (Veri Sorumluları Sicili Hakkında Yönetmelik)

Veri İşleyen nedir?

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

Veri Sorumlusu & Veri İşleyen Örnekler;

1- Bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise “veri işleyen” olarak kabul edilecektir.

2- Serbest çalışan bir mali müşavirde, Mali müşavirlik firması da, hem “veri sorumlusu”, hem de “veri işleyen” olabilir.

3- Bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.

4- Firma sahibinin eski çalışanıyla ilgili kişisel verileri Avukata teslim etmesiyle, avukat da “veri sorumlusu” statüsüne sahip olur. Bu durumda avukatın firma sahibinin adına işlem yapıyor olması bunu değiştirmez. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma sahibi hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır.

5- Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından “veri sorumlusu”durlar. Zira mali müşavir işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan yasal yükümlülükleri bulunmaktadır. Örneğin, bir şirketin hesaplarıyla ilgili kayıtları tutarken herhangi bir yolsuzluğa rastlamaları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmaktadır. Bildirimi yaparken müşterisinin talimatları doğrultusunda hareket etmiyor olacağı açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsünde bulunacaklardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakmaları mümkün olmayacaktır.

6- Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması durumunda, bulut hizmeti sağlayıcısı “veri işleyen” statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir.

Temel İlkeler Nedir?

Günlük faaliyetleri çerçevesinde kişisel veri işlemekte olan işyerleri, Kanunun 4. maddesinde sayılmış olan ve uluslararası düzenlemelerde de kabul edilen genel ilkelere uygun hareket etmelidir. Diğer bir ifadeyle kişisel veri işlemekte olan işyerleri, bu verileri hangi gerekçe ve şarta dayanarak işlerse işlesin mutlaka bu temel ilkelere uymalıdır.

Kanunda bu ilkeler;

1- Hukuka ve dürüstlük kurallarına uygun olmak,

2- Doğru ve gerektiğinde güncel olmak,

3- Belirli, açık ve meşru amaçlar için kişisel veri işlemek,

4- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak,

5- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza etmek olarak sayılmıştır.

Bakıldığında kanunda Veri Sorumlusu yükümlülükleri ve bunların nasıl yerine getirileceği ile ilgili uyulması gereken usul ve esaslar bulunmaktadır. (Yasal Uyum)

Şirketlerde, kurumlarda kanuna uyum ile ilgili yapılan çalışmalar her ne kadar bu maddelere dayalı olarak gerçekleştirilmeye çalışılsa da konuya yaklaşım uyum çalışmasının başladığı andaki şirketin, kurumun mevcut durumu üzerinden bir uyum çalışması yapılmaya çalışılmaktadır. Bu çalışmaların birçoğu da maalesef çok yüzeysel kalmaktadır. Uyum sürekliliği, sürdürülebilirlik amaçlanmamaktadır. Tabiri caiz ise günü kurtarmak hedefleniyor.

Dışarıdan gözlemlediğimiz şirketlerde, kurumlarda bir envanterin çıkarılması, Aydınlatma Metinlerinin oluşturulması, Açık Rıza metinlerinin oluşturulması, Saklama ve İmha Politikasının oluşturulması, VERBİS kaydının yapılması (Verbis’ e kayıt zorunluluğu bulunuyorsa), Teknik ve İdari tedbirlerin ezbere bir çalışma, kulaktan duyma çalışmalar ile yada nadirde olsa gerçekten özenli bir çalışma ile var olan riskler üzerinden belirlenmesi, Sözleşmelere KVKK ile ilgili cümleler koyulması Uyum ile ilgili çalışmaların tamamlandığı anlamına geliyor.

Bu çalışma yapıldığı andaki sistemin mevcut durumunu yansıtıyordu. (Doğru veya yanlış)

3 ay sonra hala kanun ile ilgili uyumluluğun devam ediyor mu? Nasıl emin olabiliyorsun?

Yıl içerisinde planladığın belirli aralıklarda Uyum denetimi yapıyor musun? Bunu yapabilecek yetkin çalışan personele sahip misin?

İş Süreçlerinin içerisine Kanun ile ilgili entegrasyon yapıldı mı? (Süreçler içine kanun ile ilgili kontroller, hedefler entegre edildi mi? Organizasyon görev ve sorumluklara Kanun ile ilgili hususlar eklendi mi, ilgili kişilere tesis edilerek tebliğ edildi mi? vb.)

Süreç yöneticilerinin kanun ile ilgili sorumlulukları, uyulması gereken kurallar, kontroller hakkında farkındalık seviyeleri yeterli düzeyde sağlandı mı?

Doküman yönetim süreçlerine Kanun ile ilgili kontroller entegre edildi mi? (Doküman onay sürecinin içinde ilgili doküman kişisel veri barındırıyorsa bunun kanuna uygunluğunun kontrolü yapılıyor mu? Yapılmıyor ise; bu doküman kişisel veri işleme envanterine nasıl işlenecek? Temel İlkelere uygunluğundan nasıl emin olunacak? Envantere göre oluşturulan; Aydınlatma Metinleri, Açık Rıza Metinleri, Verbis kaydı süreçlerinde bir değişikliğe sebep olabilecek bir kişisel veri işleme faaliyeti bu doküman ile başladıysa ne olacak?

Bu örnekler ve çok daha fazlası üzerinden gittiğimizde şirketlerde, kurumlarda kurulan KVKK uyum yapısının sürdürülebilir, güncel, denetlenebilir, sürekli iyileştirilebilir bir yapı üzerine inşa edilmesi zorunluluğu açık bir şekilde gözüküyordu.

Tam da bu noktada hayatımıza ISO 27701 Kişisel Veri Yönetim Sistemi girdi.

ISO 27701 Kişisel Veri Yönetim Sistemi Nedir?

Standartta; “kişisel veri işlenmesinden etkilenmesi muhtemel olan gizliliğin korunması hususunu ele alan bilgi güvenliği yönetim sistemi” diye tanımlanmaktadır.

Bir başka deyişle; Şirketlerde, kurumlarda Kişisel Verilerin Korunması ile ilgili mevcut yasal mevzuatlara uyum süreçlerinin etkin bir şekilde yönetilmesi, sürdürülmesi, denetlenmesi ve sürekli iyileştirilmesi amacıyla hazırlanmış bir yönetim sistemidir diyebiliriz.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardını ve ISO 27002 Bilgi Güvenliği Kontrolleri için Uygulama Prensiplerini referans alan ve bunlar üzerinde KVYS (Kişisel Veri Yönetim Sistemi) ile ilgili yapılması gereken ilave gereklilik ve kontrolleri içeriyor. Bununla birlikte ilgili yasal mevzuat gereksinimleri de kurulum esnasında ilgili maddeler de ele alınıp sistem içine entegre edilmesi gerekiyor.

ISO 27701 Kişisel Veri Yönetim Sistemi kurulumu mevcutta bir ISO 27001 yapısının varlığını arıyor. Bu yapı olduğunda kurulumda izlenecek adımlar ve yapılacaklar ile olmadığında izlenecek adımlar ve yapılması gerekenler arasında da farklar oluşacak.

Bununla birlikte artık ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 27701 Kişisel Veri Yönetim Sistemlerinin birlikte, tümleşik bir yapıda kurulum olması gerekliliği de bundan sonraki süreçlerde ortaya çıkmış oluyor. Şirketler ve kurumlar artık konuya bu açıdan bakmalılar. Yeni yapılacak projelerde her iki sisteminde birlikte kurulması hususlarını göz önünde tutulmalıdır.

Kişisel Verilerin Korunması Kanunu Uyum süreçlerinin İş Süreçleri ile etkileşimi

Şirketlerde ve Kurumlarda kanuna uyum süreçleri ile ilgili sürekli şunları duyuyor ve görüyoruz. Bu süreçler daha çok İnsan Kaynakları ile ilgilidir. Ya da daha çok Bilgi Teknolojileri süreçleri ile ilgilidir. Hatta azda olsa duyduğumuz ama sürecin içinde aktif rol oynaması gereken Yönetim Sistemleri Süreçleri ile ilgilidir. Yada çokça duyduğumuz Avukatlarının konuyu takip ettiği ile ilgilidir. Bahsi geçen süreç sahiplerine sorulduğunda da hayır efendim ben sadece şu kadar kısmından sorumluyum diye cevaplar alıyoruz.

Şunların farkına varmalıyız;

1- Bu bir kanun ve şirketin tüm süreçlerini kapsar. Yani tüm süreç sahipleri kendi sorumluluk alanlarında bu kanuna uyum ile ilgili süreçlerden bizzat sorumludur.

2- İnsan Kaynakları süreçleri yapısı itibarıyla şirket içerisinde çoğu zaman en fazla kişisel veri işlenen, barındırılan süreçler olabilmektedir. Buradan çıkarmamız gereken ise artık İnsan Kaynakları alanında kariyerini sürdürecek olan çalışanlar, yöneticiler bu kanunu en iyi bilenlerden ve yönetenlerden olmadırlar. Yönetim kısmında da ISO 27701 tarafında da iyi derece de bilgi sahibi olmalılar. Bu gerçekten kaçarak ya da görmemezlikten gelerek bir yere varılamaz. Bunun yerine sahiplenmek, kendini geliştirmek bu hususlarda yetkinlik ve yeterlilikleri arttırmak ise kariyer anlamında çok farklı kapıları açabileceğini de görmek gerekiyor. Artık tüm kariyerleri boyunca nereye giderlerse gitsinler bu kanunun süreçlerinin içinde ayrılmaz bir parça olacağı gerçeğini de bir an önce görmeleri kişisel farkındalık ve mesleki gelişimlerinde ciddi bir fayda sağlayacaktır.

3- Bilgi Teknolojileri süreçleri yapısı itibarıyla şirket ya da kurumlarda var olan tüm bilginin tutulduğu ortam ve sistemlerin yönetildiği, bunların korunması, sürekliliğinin sağlanması noktasında da birçok teknik tedbirin yönetildiği süreçlerdir. Kişisel Verilerin Korunması Kanunu gibi teknik uyum gerektiren hususları da barındıran süreçleri de içerisinde barındırdığı için artık Bilgi Teknolojileri alanında kariyerlerini sürdürecek çalışan ve yöneticilerinde bu kanunu, ISO 27001 ve ISO 27701 standartlarını iyi biliyor ve uygulayabiliyor olması gerekiyor. Bu gerçekten kaçarak ya da görmemezlikten gelerek bir yere varılamaz. Bunun yerine sahiplenmek, kendini geliştirmek, bu hususlarda yetkinlik ve yeterlilikleri arttırmak ise kariyer anlamında çok farklı kapıları açabileceğini de görmek gerekiyor. Bununla birlikte artık tüm kariyerleri boyunca nereye giderlerse gitsinler bu kanunun süreçlerinin içinde ayrılmaz bir parça olacağı gerçeğini de bir an önce görmeleri kişisel farkındalık ve mesleki gelişimlerinde ciddi bir fayda sağlayacaktır.

4- Yönetim Sistemleri süreçleri yapısı itibarıyla şirketlerde ve kurumlarda var olan yönetim sistemlerinin işletilmesinden, sürdürülmesi ve sürekli iyileştirilmesinden sorumludurlar. Kişisel Verilerin Korunması Kanununa uyum süreçleri içerisinde aktif olarak rol alması gereken ama maalesef kurulan yapı itibarı ile bugüne kadar hiç dahil edilmeyen yada dahil edilmekten uzak duran taraflar oldular. Aslında ISO 27001 projelerinde de hep uzakta kalmayı, minumum seviyede süreçlere dahil olmayı tercih edenler oluyorlardı. Bundan sonraki süreçlerde ISO 27701 Kişisel Veri Yönetim Sistemi içinde bir yönetim sistemi olduğu için artık aktif bir rol alacaklar, almalılar. Kanunu, ISO 27001 BGYS ve ISO 27701 KVYS 'i iyi biliyor ve uygulayabiliyor olmalıdırlar. Bundan sonraki süreçte bu konularda yetkinlik ve yeterliliklerini arttırmalarının ise kariyerleri için bir zorunluluk olduğunu görmeleri gerekiyor. Artık tüm kariyerleri boyunca nereye giderlerse gitsinler ISO 27001, ISO 27701 ve bu kanunun süreçlerinin içinde ayrılmaz bir parça olacağı gerçeğini de bir an önce görmeleri kişisel farkındalık ve mesleki gelişimlerinde ciddi bir fayda sağlayacaktır.

5- Avukatlar, neticede bunun bir kanun olduğu gerçeğinden hareketle 6698 Sayılı Kişisel Verilerin Korunması Kanununa Uyum ile ilgili hususlarda şirket ve kurumlarda en fazla sorumluluk üstlenmek zorunda kalan taraf olmaktadır. Buna sebepte şirketlerin ve kurumların konuya bakış açısı. Avukatlar uyum sürecinin en önemli paydaşlarından bir tanesidir. Sahip oldukları mevzuat bilgisi ve bakış açıları, mesleki tecrübeleri bu süreçte çok önemli. Ama birinci maddede bahsettiğimiz gibi uyum süreci tüm süreçleri kapsamalıdır. Tek bir kişi veya bir kaç kişi üzerinden bir uyum sürekliliği sağlanamaz. Bu onlara da çok büyük haksızlık olur. Bundan sonraki süreçte Avukatlar da bu kanun ile ilgili yaptıkları uyum projelerinde sürdürülebilir bir yapının kurulabilmesi için mevzuat yanında ISO 27701 Kişisel Veri Yönetim Sistemi ni iyi biliyor ve uygulayabiliyor olmaları kişisel farkındalık ve mesleki gelişimlerinde bir fayda sağlayacaktır. ISO 27701 kurulumu ve yönetimi noktasında yeterli seviyede bilgiye sahip olduklarında teknik hususlarda ve ihtiyaç duyabilecekleri diğer hususlarda zaten her zaman destek alabilecekleri uzman paydaşlar çevrelerinde olacaktır.

6698 Sayılı Kişisel Verilerin Korunması Kanununa Uyum süreci Şirketlerde ve kurumlarda kimin sorumluluğundadır? denildiğinde almamız yada vermemiz gereken cevap "Veri Sorumlusunun liderliğinde Uyum süreci tüm paydaşları ile birlikte yürütülmesi gereken bir süreçtir." olmalıdır.

YAZAR

TUNCAY SÖZERİ - ISO 27001 & ISO 27701 Baş Denetçi Eğitmeni

Kişisel Verilerin Korunması Kanunu & ISO 27701 Kişisel Veri Yönetim Sistemi