Kişisel Veri ve KVKK Nedir?

Sosyal medya uygulamalarından e-ticaret sitelerine, iş başvurularından basit bir otel rezervasyonuna varana dek tüm dijital platformların kişisel veri toplamaya ve bu verileri farklı amaçlarla kullanmaya başladığını biliyor musunuz? Endişelenmeyin, KVKK ile müşterilerinizin kişisel verileri koruma altında.

Tüm işletme sahiplerini yakından ilgilendiren ve 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu kısaca “KVKK nedir?” başta olmak üzere “Kişisel veri neleri kapsar?” , “İşletmelerin KVKK konusunda neler yapmaları gerekir?” gibi KVKK ile ilgili en çok merak edilen soruların cevaplarını yazımızda bulabilirsiniz.

Kişisel Veri ve KVKK Hakkında Bilmeniz Gerekenler

Kişisel veri, KVKK’da “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanır. Bir veriyi, kişisel veri olarak tanımlayabilmek için aşağıdaki kriterleri karşılaması beklenir:

• Kişisel veri, gerçek kişiye ilişkin olmalıdır. Tüzel kişilere ilişkin veriler, yani bir şirketin unvan, adres gibi bilgileri kişisel veri sayılmaz.
• Kişisel veri, ilişkili olduğu kişinin doğrudan kimliğini belirleyebilecek ya da kişinin belirlenmesini sağlayacak nitelikte olmalıdır.
• Kapsam açısından değerlendirildiğinde kişisel veri ifadesi, son derece geniş bir alanı kapsar. Kişinin adı ve soyadı, doğum yeri ve doğum tarihi gibi kimliğini ortaya koyan tüm bilgilerin yanı sıra telefon numarasından e-posta adresine, sosyal güvenlik numarasından özgeçmişe kişiyi doğrudan ya da direkt olarak belirlenebilir kılan her türlü veri bu kapsamdadır.

KVKK, kişisel verilerin kontrolsüz bir biçimde toplanmasını, açık rıza olmadan farklı amaçlarla kullanılmasını ve bu şekilde özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerinin ihlal edilmesini önlemeyi hedefler. Temelde bu verilerin korunmasındaki amaç, verilerin ilişkili olduğu kişilerin korunmasıdır.

KVKK Kimleri Kapsıyor? KVKK İzni Nedir?

KVKK kapsamı, kişisel verileri işlenen gerçek kişilerden ibaret sanılabilir. Oysa KVKK yönetmeliği, kişisel verileri işlenen gerçek kişilerle birlikte bu verileri işleyen gerçek ve tüzel kişileri de kapsar. Özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları KVKK kapsamı içerisinde yer alır.

Tüzel kişiler, kişisel verileri ancak ilgili kişinin rızası ile toplayabilir, işleyebilir ve aktarabilir. Açık rıza, sözlü veya yazılı olarak alınabileceği gibi elektronik ortamda da alınabilir. Örneğin; tüzel kişi bir e-ticaret sitesiyle bir KVKK formu düzenleyerek kullanıcıların bu form aracılığıyla açık rıza vermesini sağlayabilir.

KVKK’ya Uymak İçin Şirketler Ne Yapmalı? KVKK Mevzuatı Nedir?

KVKK’nın yürürlüğe girmesiyle birlikte tüzel kişilikler, kanuna uyum sağlamaya yönelik uygulamaları hayata geçirmeye başladı. Uygun tedbirleri almak için pek çok işletme, konunun uzmanlarından destek ve danışmanlık aldı. KVKK mevzuat uyarınca şirketlerin izlemesi gereken adımlar kısaca şu şekilde sıralanabilir:

• Veri sorumluları siciline kayıt olmak: Tüm tüzel kişilikler, bir veri sorumlusu belirlemeli ve veri sorumlusunu Veri Sorumluları Sicili’ne (VERBİS) kaydetmeli.
• Açık rıza almak: Tüm tüzel kişilikler ‘Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metin’ hazırlayarak bunu kullanıcılarının onayına sunmalı.
• Veri koruma süreçlerini değerlendirmek: Tüm işletmelerin mevcut veri koruma süreçlerini gözden geçirmeleri, veri işlemesinden kaynaklanan riskleri azaltır. Bu süreçte çeşitli siber güvenlik yazılımları kullanmak gerekir.

Günümüzde veri işleyen tüm gerçek ve tüzel kişilerin KVKK ile belirlenen bu usul ve esaslara uyması gerekir. Yani kanun, her ölçekte işletme için oldukça bağlayıcı özelliğe sahiptir.
KVKK Cezaları Nedir? KVKK Tedbirleri Ne Olmalıdır?
KVKK kapsamında veri işleyen ve bunun sorumluluğunu almış olan şirketler, mevzuata uymamaları durumunda ağır para cezalarına çarptırılabilir. Kamuoyunda sıklıkla gündeme gelen KVKK cezaları, maddi kaybın yanı sıra marka güvenirliğine zarar vererek işletmeler açısından itibar kaybına da neden olabilir. Bu yüzden tüm tüzel kişilerin, KVKK uyum süreci konusunda hassasiyet göstermesi, gerekli tedbirleri titizlikle alması gerekir.

KVKK tedbirleri, idari ve teknik tedbirler olarak ikiye ayrılabilir. İdari tedbirler, veri sorumlusunun KVKK’ya uyumlanma sürecinde alması gereken bir dizi operasyonel önlemi içerir. Teknik tedbirler ise siber güvenliğin sağlanması, kişisel veri güvenliği takibi, kişisel veri i̇çeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri tedariği, gelişimi ve bakımı, kişisel verilerin yedeklenmesi olarak sıralanabilir.

Cezai yaptırımlar veya kurumsal itibar kaybına neden olabilecek veri ihlallerine önlem alarak, veri erişim yönetimi konusunda süreçleri planlayarak KVKK, GDPR gibi regülasyonlara uyumluluk sağlamanız mümkün. Bu anlamda Privileged Access Management (PAM) yani Ayrıcalıklı Erişim Yönetimi, veri güvenliğine dair riski azaltmak ve veri ihlallerinin önüne geçmek için en önemli çözümlerden biridir. KVKK uyumlu ve daha güvenli veri & erişim yönetimi için Kron’un bu konuda dünyanın sayılı Ayrıcalıklı Erişim Yönetimi platformlarından biri olan Single Connect ile kritik verilere erişim konusunda üst düzey güvenlik sağlayabilir, konunun uzmanlarından bilgi alabilirsiniz.