Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.

Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir. Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir. İdari para cezaları ise yerine getirilmeyen madde(lere) göre değişmek üzere 5,000 TL’den 1,000,000 TL’ye kadar artabilmektedir.

Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir dönüşümü de beraberinde getirmektedir. Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır. Kişisel Verilerin Korunması Kanununun karşılanmasına metadolojik açıdan bakıldığında Kurumsal Mimari, teknolojik açıdan bakıldığında ise Bilgi Güvenliği perspektifi oldukça önem kazanmaktadır.

Kurumsal Mimari bakış açısıyla Verilerin işlendiği İş Hizmetleri, Süreçleri, bu süreçlerdeki katılımcıların (kişi, organizasyon birimi veya sistemleri) rol ve sorumlulukları, katılımcıların kullandıkları uygulama yazılım ve sistemlerin eriştiği verileri ve verilerin depolandığı veya işlendiği teknoloji bileşenleri doğrudan etki analizi ve değerlendirmeye alınacak şekilde uçtan uca Kurumsal Mimarinin alanına girmektedir.

Bilgi Güvenliği bakış açısıyla bakılırsa Erişim Güvenliği ve Yönetimi, Yazılım yetkilendirmeleri ve Uygulama Kontrolü, Aygıt Kontrolü, Veri tabanı yetkilendirmeleri ve güvenliği ile Ağ Erişim yekilendirmeleri ve Yönetimi gibi bilgi güvenliği konuları öne çıkmaktadır.

Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır.

Kurum ve kuruluşların yukarıda belirtilen temel soruya cevap verebilmeleri:

Kişisel verilerin korunması ile ilgili kapsam ve hedefleri belirlemek

Kişisel veri politikası oluşturmak

Kişisel verilerin korunması ile ilgili sorumluluk ve hesap verebilirlik ilkelerini belirlemek

Kişisel veri koruma temsilcileri belirlemek

Kişisel verilerin kanuna uygun şekilde işlenmesini sağlayacak yapı için üst yönetim desteği ve kaynak sağlamak

Kişisel veri envanteri oluşturmak

Kişisel verilerle ilgili riskleri yönetmek

Kişisel veri toplama, işleme ve paylaşma yöntemlerini belirlemek

Kişisel verilerin güvenliğini sağlamak

Kişisel verilerle ilgili şikâyetlerin ele alınma yöntemlerini belirlemek olarak özetleyebileceğimiz Veri Yönetimi çalışmalarının uygulanmasına bağlıdır.

Teknolojik Yaklaşımlar

6698 sayılı kişisel verilerin korunması kanunu , şirketlerin altyapılarında sakladıkları müşteri verilerinin bulunduğu sistemler ve altyapılarda gereken güvenlik önlemlerinin alınmasını amaçlamaktadır.

Bu bağlamda şirket ve kurumların saklamakta oldukları kişisel verilere erişim ihlali yapılmasını engellemekle yükümlüdür. Oluşabilecek bir ihlal durumunda bu erişim adli araştırmalar gerektireceğinden bu adli çalışmaların yapılabilmesi için gerekli altyapı ile kişisel veriler korunmalıdır.

Verilerin sınıflandırılması, etiketlenmesi ve hassasiyetine göre erişimlerin en kısıtlı haklarla, takip altına alınarak ve daha sonra raporlanabilir bir şekilde saklanması sağlanmalıdır. Veri kaçaklarının önlenmesi, kişisel verilerin korunduğu alanlara erişimlerin titizlikle kayıt altına alınması ve sürekli raporlanabilir olması önemlidir.

Kimlik yönetimi ve erişim yönetimi ile verilerin bulunduğu kaynaklara erişim yönetici hakları olmaksızın, belirli onay mekanizmalarından geçerek sağlanmalıdır. Ayrıca bu kaynaklardaki bilgi güvenliği testleri titizlikle yapılmalı, gerekli zaafiyet analizleri de ilgili araçlarla yapılarak, iç denetim ve uyum kurallarına uygun olarak raporlanmalı ve belirli periyodlarla bu analizler gerçekleştirilmelidir.

Bilgi güvenliği alanında dikkat edilmesi gereken bazı başlıklar :

Hesap, Şifre ve Erişim Denetimi

Veri koruma ve veri kaçaklarını engelleme

Veri sınıflandırma ve tasnifleme

Veri gizliliğinin sağlanması

Zafiyet denetimi ve güvenlik seviyesinin takibi

Gerekli güvenlik prosedürlerinin işletilmesi

İç denetim ve uyum kurallarına uygun raporlama

Hukuki Yaklaşımlar

Kurum/İşletme içerisinde hukuki olarak kanunun işaret ettiği maddelerin Bilişim departmanları ile koordinasyonunu sağlanması amacıyla ortak bir komisyon kurulması, yönetişim yapısının oluşturulması tavsiye edilir. Hukuk bakış açısıyla atılması gereken adımların isterleri hazırlanmalı, ardından tutarlı, sürdürülebilir bir uygulama politikası oluşturmak gerekir.

Hukuki anlamda öncelikle yapılması gereken hususlar şunlardır:

Hukuki tanımların yapılması

Kişisel verilerin işlenme şartlarının açık ve net olarak tanımlanması

Kişisel verilerin silinmesi, anonimleştirilmesi veya aktarılması süreçlerinin tanımlanması

Kişisel veri sahibinin haklarının tanımlanması

Veri sorumlusu ve işleticilerinin yükümlülüklerinin tanımlanması

Suçlar ve kabahatlerin neler olduğunun tanımlanması

Yukarıda belirtilen tanımlamalar yapıldıktan sonra, Hukuki olarak kanun maddeleri ile ilişkileri anlaşılabilir ve takip edilebilir şekilde adreslenmelidir.

Paydaş analizi ve iletişim stratejisi çalışması yapılmalı ve bu konuların paydaşlar tarafından doğru anlaşıldığı, eylem planlarında görev sorumluluklarının tanımlandığı ve karşılıklı mutabık kalındığı, her türlü eylem planının paydaşlar ve uygulayıcılar tarafından ölçülebilir şekilde metriklerini oluşturulması ve takibinin aşamaları belirlendiği garanti altına alınmalıdır.

Hukuki olarak ölçüm kriterlerine uygun olarak eylem planlarının periyodik değerlendirme sonuçları üst yönetime sunulmalıdır.

Cezai Durumlar

Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir.

6698 sayılı kişisel verilerin korunması kanunu gereği;

10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.