KVKK Konusunda Doğru Bilinenen Yanlışlar
22/11/20197 Nisan 2018 tarihinde öngörülen 2 yıllık geçiş sürecinin tamamlanmasına ve dahası 31 Aralık 2019 Tarihine kadar uzatılmasına rağmen 6698 sayılı KVKK ile ilgili uygulamada gördüğüm bazı doğru bilinen yanlışları belirtmeyi termin tarihine az bir zaman kala kamuoyu ile paylaşmayı bir görev biliyorum.
6698 Sayılı KVK Kanununun yürürlüğe girdiği 7.Nisan.2016 tarihinden itibaren bu süreci ilk başlatan Sektörler yürüttükleri hizmet ve içerdikleri Yasal Süreçler nedeniyle Bankacılık ve Sigortacılık Kurumları olmuştur. Bugün, incelendiğinde KVKK ya en hazır Kurumların bu sektörler olması süreci ilk başlatan olmaları nedeniyle önemli ancak, henüz tamamında tam anlamıyla farkındalık sağlanmasa da uygulamaya 2016 sonları itibariyle başlanılmıştır.
KVKK ve GDPR uyum Danışmanlığı sürecimiz içerisinde sıklıkla karşılaştığımız sorulara cevap olması açısından bazı noktalara açıklık getirilmesi gereği duyulmuş olup Kurumların ve Yöneticilerinin bu bilgiler ışığında süreci yönetmeleri ileride zor durumda kalmamaları açısından son derece önem taşımaktadır.
KVKK Konusunda Doğru bilinen yanlışlar ile ilgili aşağıdaki başlıkların konu ile ilgili yanlış adımların atılmaması konusunda sizlere rehberlik etmesini öngörmekteyim:
1. Nasıl olsa son gün gelince ertelenir
KVKK Kanunu 7 Nisan 2016 tarihinde Resmi Gazete de yayımlanarak yürürlüğe girdi ve 2 yıllık geçiş süreci de 7 Nisan 2018 tarihinde doldu. 31 Aralık 2019 Tarihine kadar da uzatıldı. O sürede yaklaşıyor. AB Vize Serbestisi görüşmelerinde yer alan başlıklardan birisi olması ve AB Müktesabatına uyum konusundaki Fasılların maddelerinden birisi olması nedeniyle Bu Kanunun şu anki Konjonktürde ertelenmesi veya yürürlükten kaldırılması pek öngörülmüyor. Çok az bir ihtimal ile belki geçiş süreci bir kaç ay ertelenir ancak bu süreçten dönüş olmayacağı için Kurumların bu beklentiye girmemelerini önermekteyim.
2. Bu iş Sadece Kurumsal Büyük Firmaları ilgilendiriyor biz Küçükler kapsam dışıyız.
KVKK Kanunu Kamu ve Özel Kesim ayrımı yapılmaksızın herhangi bir Sektöre bağlı olmayacak şekilde Tüm Tüzel kişilikleri bağlamaktadır. Küçük büyük ayrımı olmadan tüm kurumlar bu sürece dahil olacaklardır.
Kanun kapsamında getirilen İdari Para ve Hapis Cezalarının içeriği incelendiğinde 15.000 TL den 1.000.000 TL (Enflasyona göre güncellendiğinde 1.470.000 TL) ye ve 1 yıldan 3 yıla kadar hapis cezasının (Nitelikli Veri ihlallerinde 1,5 kat ceza artırımı, KCK’ya göre işlenen suçlarda ise 2 kat ceza) olması Kurumların bu cezaların dışında en önemli etki alanı olan itibar ve prestijlerinin zedelenmesini de göz önünde bulundurmaları gerekmektedir. Sosyal Medyanın bu kadar etkin olduğu günümüzde alınabilecek küçük bir para cezai bile bir anda kartopu gibi büyüyerek Domino etkisi yapıp Kurumun Tedarikçilerine ve Müşterilerine kadar gidebilecektir.
3. Biz Kurum Olarak Süreci Hukuk Birimimiz ile yürütürüz başka bir Danışmanlığa ihtiyacımız yoktur.
6698 Sayılı KVK Kanunu kapsamında yürütülecek çalışmalar 3 başlık altında yürütülürse Kurumlar için verimli olacaktır. Bunlar Teknoloji, Hukuk ve Danışmanlık Adımlarıdır. Kurumlar sadece kendi Hukuk Birimleri vasıtasıyla bu süreci yönetme yoluna giderlerse Kanun incelendiğinde bir çok maddede öngörülen yükümlülüklerin Bilgi Teknolojilerini içeren Yazılım, Donanım ve Altyapı düzenlemeleri çerçevesinde gereklilikler getirdiği açıkça görülecektir. Hukuk Birimlerinde yer alan çok değerli Avukatlarımızın Bilişim Hukuku yanında Regülasyon Hukuku konusunda da deneyimli olması gerekmekle birlikte mutlaka Deneyimli bir Bilgi Güvenliği Yönetim Sistemi Danışmanları ve Denetçileri barındıran Danışmanlık firmalarından destek alması gerekmektedir. Görüşmeler yaptığımız kurumlarda henüz bu konuda bir bilinç oluşmadığını üzülerek belirtmek gerekiyor. Sadece Hukuki bakış açısıyla bu sürecin yönetilemeyeceği açıkça bilinmelidir.
4. Bu konu kurumda Bilgi Teknolojilerinin işidir, onlar ilgilenmelidir.
6698 Sayılı KVKK Uyum Süreci çalışmaları tek başına bir iş birimine veya kişiye asla bağlı olmayacak şekilde düzenlenmesi gereken bir projedir. Kapıda sizi karşılayan Güvenlik görevlileri ile Danışma personelinden başlayarak ofis görevlisi ve hizmetli olarak görev yapan tüm çalışanların sorumluluk altında olduğu çalışmalar bütünüdür. Dijital verinin artık girmediği herhangi bir iş birimi olmadığına göre Kişisel Veri içeren, işleyen, dağıtan, oluşturan herkes bu konuda sorumluluk altındadır. Kurumlarda bu sürecin sadece IT, Satınalma, Hukuk, Muhasebe veya Kalite Birimlerine değil Kurumsal bir bakış açısıyla her birimin katılımıyla yürütülmesi sağlanmalıdır.
5. Kanun Teknoloji tarafında herhangi bir Yazılım Önermiyor, almamıza gerek yok.
KVKK incelendiğinde maddelerin hiçbirinde herhangi bir yazılıma, donanıma yada ürüne atıfta bulunulmamakla birlikte işleyiş içerisinde maddeler içerisinde yer alan bazı hükümlerin Kurum içerisinde temin edilebilecek yazılımlar vasıtasıyla sağlanacağı açıkça görülmektedir. Kişisel verilerin Sınıflandırılmasına , Maskelenmesine, Transferine ve Kişisel verilerin korunması , Bilgi Sızıntılarının önlenmesine ilişkin süreçlerin bu işlemleri gerçekleştirecek yazılımların teminiyle mümkün olabildiği ve yönetilebildiği açıktır. 6698 Sayılı Kanunun Yasalaştığı tarihten bu yana geçen 3 yıla yakın sürede KVK Kurulunun işleyişte çıkan bazı problemlere ilişkin yayımlamış olduğu yönetmeliklerle bu süreçlere ilişkin açıklıkların yönetilmesi ve alınması gereken tedbirler açıkça belirtilmiştir. Burada Kurumların Vizyon sahibi IT Yöneticilerinin yönlendirmesine ihtiyacı vardır. Bu konuda aşağıdaki başlıklarda çalışmalar yapılması son derece önemlidir:
- Hesap, Şifre ve Erişim Denetimi,
- Veri koruma ve veri kaçaklarını engelleme,
- Veri sınıflandırma ve tasnifleme,
- Veri gizliliğinin sağlanması,
- Zafiyet denetimi ve güvenlik seviyesinin takibi,
- Gerekli güvenlik prosedürlerinin işletilmesi.
Unutulmaması gereken bir noktada, Sadece Yazılım temini ile bu süreç bitmemektedir, Hukuki Regülasyon ve Uyum Danışmanlığı mutlaka birlikte yürütülmelidir.
6. Bizde ISO 27001 var, ekstra bir çalışma yapmaya ihtiyacımız yok.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi 6698 Sayılı KVKK Süreçlerini de kapsayan Çalışmadır. Ancak, KVKK incelendiğinde ISO 27001 BGYS nin EK-A dediğimiz 114 Kontrol noktasındaki bazı maddelere atıfta bulunduğu gözlemlenmektedir. KVKK nın maddeleri içerisinde yer alan Veri Sınıflaması, Maskeleme, veri sızıntısını önleme, Güvenli veri transferleri, Erişim Kontrollerine ilişkin hükümlerin Bilgi Güvenliği Politikaları ile Prosedürlere ek olarak ayrıca düzenlenmesi gerektiği ortaya çıkmaktadır. Bu kapsamda AB Ülkeleri içerisinde 2016 yılında 95/46 sayılı Avrupa Veri Koruma Mevzuatı yerine yasalaşan GDPR düzenlemelerine ilişkin düzenlenen BS 10012 Kişisel Veri Güvenliği Sistemine Uyumluluk çalışmalarının KVKK Uyum Danışmanlığı sonunda Kurum bünyesinde mutlaka uygulanması farkındalığın arttırılması, Kurumun İdari Para ve Hapis cezalarından etkilenmemesi açısından önemlidir.
Burada Önemli noktalardan biriside ,bünyesinde ISO 27001 BGYS olmayan firmaların KVKK uyum çalışmalarına ek olarak Mutlaka ISO 27001 yükümlülüklerine ilişkin bazı önemli kriterleri de yerine getirmeleri gerektiğidir.
Danışmanların bu çerçevede mutlaka Kuruma BGYS Bakış açısıyla birlikte ISO 31000 Kurumsal Risk Yönetimi metodolojilerini içeren bir hizmet sunması son derece önem taşımaktadır.
7. KVKK Uyumunu gerçekleştirdik, artık ilave bir GDPR çalışması yapmaya ihtiyacımız kalmadı.
AB üyesi Ülke Vatandaşı istihdam eden veya AB üyesi ülkelerle Ticari İlişkileri olan firmaların Türkiye Sınırları içerisindeki gerçekleştirecekleri KVKK Çalışmaları GDPR yükümlülüklerini yerine getirdikleri anlamına gelmemektedir.
GDPR içerisinde bulunan, veri işleyen tarafların artırılmış sorumluluğu, unutulma hakkının tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması, veri taşınabilirliği ve etki değerlendirmesi ile başlangıçtan ve tasarımdan itibaren güvenlik yaklaşımlarına karşılık gelen maddeler KVKK’da bulunmamaktadır.
KVKK’da yer almayan bir diğer madde ise Unutulma hakkı olarak adlandırdığımız düzenlemedir. GDPR bazı istisnalar dışında veri sahibine, kendisine ait kişisel verilerinin mümkün olan en kısa sürede silinmesini veri kontrolöründen talep etme hakkı vermiş olup; veri kontrolörü söz konusu kişisel verileri gecikmeksizin silmekle yükümlüdür. KVKK’da karşılığı bulunmayıp veri sahibine tanınan bir diğer yetkiyse Kişisel verisini tutmaya yetkili veri danışmanı ve denetçisinden bir başkasına taşıyabilmesidir.
8. Son Söz
6698 Sayılı KVKK Kurumların şimdiye kadar pek te önemsenmeyen Kişisel Verilerini artık koruma altına almaları gerektiği ile ilgili önemli ve geç kalınmış bir Milattır. Farkındalık bir günde yaratılacak bir süreç olmamakla birlikte kısa süre içerisinde bu Kanun Toplumun tüm kesimlerince önem atfedilecek ve sahiplenilecek bir konuma mutlaka gelecektir.