KİŞİSEL VERİLERİN GÜVENLİĞİNE YÖNELİK ALINMASI GEREKEN TEDBİRLER
Kişisel veriler, ülkemizde Kişisel Verilerin Korunması Kanunu (“KVKK”) ile 2016 senesinde yasal bir zeminde koruma altına alınmıştır. KVKK ile kişisel verilerin işlenmesinin, kayıt altına alınmasının disipline oturtulması ve Anayasa ile öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması hedeflenmiştir. Özel hayatın gizliliğinin korunması ile kişilerin mahremiyetinin korunması amaçlandığından kişisel verilerin korunması kavramı ile mahremiyet kavramının sıkı bir bağ içinde olduğu söylenebilecektir. Bu nedenle kişisel verilerinin güvenliğinin sağlanması için gerekli tedbirlerin alınması çok önemlidir. Bu tedbirler kişilerin kişisel verilerini dolayısıyla mahremiyetini koruma altına almış olacaktır.
I. KİŞİSEL VERİ NEDİR?
Kişisel veri, KVKK uyarınca “kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi” olarak tanımlanmaktadır. Örnek vermek gerekirse, bir kişinin adı ve soyadı, telefon numarası, yaşı, kilosu ve boyu, hastalıkları, dini inancı gibi kişiyi fiziken ve manen yansıtan her türlü bilgi kişisel veri kapsamına sokulabilecektir.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak tanımlanmaktadır. Kişisel verilerin işlenmesi elbette ki belli şartların varlığına bağlanmıştır. Bu şartlar KVKK’nın 5. maddesi ile düzenlenmiş olup aşağıdaki gibidir:
- İlgili kişinin açık rızasının bulunması.
- Kanunlarda açıkça öngörülmesi.
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Veriler
KVKK, kişisel veri kavrama bir de özel nitelikli kişisel veri kavramını eklemiştir. Özel nitelikli kişisel veriler KVKK’nın 6. maddesi ile sayılmış olup sınırlı sayıdadır. KVKK madde 6 uyarınca özel nitelikli olarak belirlenen kişisel veriler aşağıda sayılmıştır:
- Kişilerin ırkı,
- Kişilerin etnik kökeni ,
- Kişilerin siyasi düşüncesi,
- Kişilerin felsefi inancı,
- Kişilerin dini, mezhebi veya diğer inançları,
- Kişilerin kılık ve kıyafeti,
- Kişilerin dernek, vakıf ya da sendika üyeliği,
- Kişilerin sağlığı,
- Kişilerin cinsel hayatı,
- Kişilerin ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,
- Kişilerin biyometrik ve genetik verileri,
Sayılan verilerin özel nitelikli kişisel veriler olarak belirlenmesi sebebiyle bu verilerin işlenmesi daha sıkı koşullara tabi tutulmuştur. Bu koşullar ise yine KVKK 6.maddede düzenlenmiştir:
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
II. VERİ SORUMLUSU VE VERİ İŞLEYEN KİMDİR?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Örneğin bir mobil uygulama üzerinden üye olurken, satın alım yaparken ve benzeri süreçlerde kişisel veri toplanması halinde veri sorumlusu uygulama geliştiricisidir. Ya da bir estetik kliniğinde işlem öncesinde sağlık bilgilerine ilişkin doldurulması talep edilen formda yer alan kişisel veriler dolayısıyla estetik kliniği veri sorumlusu olacaktır. Bu noktada önemle belirtmek gerekir ki, kişisel veriler sadece gerçek kişilere ait veriler olabilecekken, veri sorumlusu hem gerçek hem de tüzel kişi olabilecektir.
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin bir şirketin işe alım süreçlerini anlaşmalı olarak şirket dışı bir işe alım danışmanı ile yürütmesi halinde danışman veri işleyen olacaktır.
Veri sorumlusunun KVKK uyarınca bazı yükümlülükleri bulunmaktadır. Bu yükümlülüklere aykırı davranılması halinde idari para cezası söz konusu olacaktır. Son yasa değişikliği sonrasında, veri işleyen de veri sorumlusu gibi KVKK’nın ihlali dolayısıyla idari yaptırıma tabi tutulmuştur.
III. VERİ SORUMLUSUNUN VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLERİ NELERDİR?
Veri sorumlusunun veri güvenliğine ilişki yükümlülükleri KVKK’nın 12.maddesi ile düzenlenmiştir. Buna göre veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kanun, veri sorumlusunun bu tedbirlerin uygulamasına dair gerekli denetimleri de yapmasını da diğer bir yükümlülük olarak sayılmıştır.
Veri sorumlusunun yukarıda belirtilen tedbirlerin alınması hususunda, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi diğer bir deyişle veri işleyen bulunması hâlinde, veri işleyenlerle birlikte müştereken sorumlu olduğu hususu da maddenin devamında hüküm altına alınmıştır.
Veri sorumluları ile veri işleyen kişiler, görevden ayrılsalar dahi öğrendikleri kişisel verileri KVKK’ya aykırı olarak üçüncü kişilere açıklayamaz ve verileri işleme amacı dışında kullanamazlar. Görülmektedir ki bu yükümlülük aynı zamanda KVKK’nın genel ilkelerinden olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de vurgu yapmaktadır.
Veri sorumlusunun son yükümlülüğü ise işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verilerin Korunması Kurumu’na bildirmektir. Kuruma yapılacak bu bildirim kurumun internet sayfası üzerinden yapılabilecektir.
Sayılan yükümlülüklerin yerine getirilmesi için veri sorumlusunun alması gereken teknik ve idari tedbirler bulunmaktadır. Veri sorumlusu bu tedbirleri almaz ve gerekli denetimleri yapmaz ise idari yaptırıma tabi olacaktır.
IV. VERİ SORUMLUSUNUN, VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLERİNİ YERİNE GETİRİRKEN ALMASI GEREKEN TEDBİRLER NELERDİR?
Veri sorumlusunun işlediği verilerin güvenliğini sağlarken alması gereken tedbirler idari ve teknik tedbirler olarak iki sınıfa ayrılmaktadır.
İdari Tedbirler
İdari tedbirler, kişisel verilerin güvenliğini sağlamak için insan davranışlarını düzenlemeye yönelik önlemleri ön planda tutan yönetimsel tedbirlerdir:
- Veri sorumlusu tarafından işlenen kişisel verilere ilişkin risk analizi yapılmalıdır.
- Kişisel verilerin korunması, işlenmesi, üçüncü kişilerle paylaşılması, saklanması, imhası ve benzeri hususlara ilişkin politikalar, taahhütnameler, tutanaklar, aydınlama ve açık rıza metinleri hazırlanmalı ve ilgili kişinin ulaşımına açık tutulmalıdır.
- Kişisel veriler veri minimizasyonu ilkesi doğrultusunda belirli, açık ve meşru amaçlarla işlenmeli, doğru ve güncel tutulmalı ve gereken süre boyunca saklanmalıdır.
- İşlenen verilere ulaşımı olan tüm kişilere veri güvenliğine ilişkin farkındalık eğitimleri verilmeli ve eğitimler sonucu veri güvenliğine uygun aksiyon alınıp alınmadığının denetimlerle kontrol edilmesi gereklidir.
Teknik Tedbirler
Teknik tedbirler ise verileri korumak için teknolojik çözümlerin de kullanıldığı tedbirlerdir:
- Kişisel verilerin işlenmesi, saklanması ve depolanması sırasında bilgi teknolojileri sistemi kullanılması halinde güvenlik duvarı ve ağ geçidi bulundurulmalıdır.
- Bilgi Teknolojileri sistemlerine kimlerin ne amaçlarla erişim sağlayabileceği yetki matrisi ile belirlenmelidir.
- Veri sorumlularının bilişim ağlarını güvence altına almak için düzenli kontrol, izleme, kayıt tutma ve hızlı raporlama süreçleri oluşturması gerekmektedir.
- Kişisel verilerin güvenliği için saklandığı ortamın güvenliği sağlanmalıdır. Verilerin fiziki ortamlarda saklanması halinde saklandığı yere ulaşımın kısıtlanması, şifreli veya kilitli bir şekilde muhafaza edilmesi ve dış risklere karşı korunması gereklidir. Verilerin elektronik ortamlarda saklanması halinde de benzer şekilde şifreleme yöntemi, erişim sınırlaması gibi tedbirler alınmalıdır.
- Kişisel verilerin bulutta depolanması halinde bulutta depolanan kişisel verilerin güvenliği için bulut hizmet sağlayıcısının güvenlik önlemlerinin değerlendirilmesi ve ek olarak yedekleme, senkronizasyon ve iki kademeli kimlik doğrulama gibi ek güvenlik adımlarının uygulanması gerekmektedir.
- Yeni sistemlerin tedariği, geliştirilmesi ve bakım süreçlerinde güvenlik gereksinimleri göz önünde bulundurularak, veri bütünlüğünü koruyacak kontrol mekanizmaları oluşturmalı ve kişisel verilerin dışarıya sızmasını önlemek için gerekli tedbirler alınmalıdır.
- Kişisel verilerin kaybolması, çalınması veya kötü amaçlı yazılımlar nedeniyle erişilememesi durumlarına karşı hızlı bir şekilde faaliyete geçilebilmesi için etkili yedekleme stratejileri oluşturulmalıdır.
V. VERİ GÜVENLİĞİNİN SAĞLANMAMASI HALİNDE YAPTIRIM NEDİR?
Veri sorumlularının veri güvenliğinin sağlanması amacıyla gerekli tedbirleri almaması KVKK madde 18 ile idari yaptırıma bağlanmıştır. Bu idari yaptırımlar, veri sorumlularına ve veri işleyenlere, Kişisel Verileri Koruma Kurumu tarafından uygulanmaktadır.
Buna göre KVKK’nın 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 141.934 Türk lirasından 9.463.213 Türk lirasına kadar idari para cezası ile cezalandırılacaklardır. Bu miktarlar 2024 yılı için açıklanan miktarlar olup her sene belli bir yüzde oranında artmaktadır. Anılan idari para cezalarına karşı önceden idari dava yoluna gidilemiyorken son yasa değişikliği sonrası idari dava yoluna gidilebileceğini de belirtmek gerekir.
Söz konusu idari para cezalarına maruz kalınmaması için KVKK kapsamında gerekli mevzuat uyumunun sağlanması, veri sorumluları açısından önem arz etmektedir.
Av. Defne Koru
Koru Hukuk & Danışmanlık