Bu makale, KVKK (Kişisel Verileri Koruma Kanunu) teknik tedbirler konusunu ele almaktadır. Bu konu kanuna bağlı olması sebebiyle, ilgili kurum ve kişileri doğrudan sorumluluk altına almakta olup, KVK Kurumu tarafından yayınlanan yönergelere bağlı kalınarak bu hassasiyet ile hazırlanmıştır. İlgili Kanun teknik tedbirler açısından değerlendirilirken, her ne kadar gri alanlar olsa da, bu konular Ağ, Sistem ve Siber Güvenlik başlıkları altında inceleniyor olacaktır. Ayrıca bu makalede genel konular değerlendirilecektir, her ana başlık teker teker ele alınıp, başka makalelerde detaylandırılacaktır.
KİŞİSEL VERİ NEDİR?
– Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri denir.
Anayasa Mahkemesi
2013/122 E. 2014/74 K.
Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.
KİŞİSEL VERİLERİ KORUMA KANUNU NEDİR?
Kişisel Verileri Koruma Kanunu, 7.4.2016 tarihinde, 6698 numaralı kanun olarak resmi gazete de yayınlanmıştır. Bu da, aslında KVKK ‘nn hayatımıza 2016 yılında giriş yaptığını göstermektedir.
Kısa bir özet şeklinde KVKK üzerinde düşünüldüğü zaman, herkesin kişisel verisi kendine özeldir. Kendi izni olmadan kayıt altına alınamaz, başka kişi, kurum veya kuruluşlar ile paylaşılamaz. Bu konu kanunlar ile istisnai hallere sahip olsa da kanunun genel amacı kişisel veriler işlenemez ve paylaşılamaz prensibi üzerinden yola çıkılmıştır.
Her ne kadar, ilk bakışta“Ben kişisel veri işlemiyorum” yanılgısı oluşsa da ufak bir yaklaşım yaparak herkesin ne kadar kişisel veri işleyebileceğini ele alacağız. Örneğin, dijitalleşen toplumlarda iş hayatında veya özel hayatta herkes bir mail adresine sahip ve bu mail adresini bir şekilde kullanmak zorunda kalmaktadır. Aslında atılan her mail size ya da başkarına ait kişisel verileri barındırmaktadır.
Peki bu kanun hayatımıza girdiğinden beri ne değişti, ne değiştirdi, biz ne değiştirdik?
NE DEĞİŞTİ?
İşin temeline indiğimiz zaman, KVKK hayatımıza yeni bir çalışma kültürü gibi geldi ve böyle de kalmaya devam edecektir. Bu topyekün hareket, IT sektörü gözüyle incelendiği zaman, eskiden “bu cihazı almamız lazım, bu programı almamız lazım, bu sunucuyu kurmamız lazım” diyen IT ekibi genel olarak istediklerini alamadan yönetim katından ayrılırdı. Artık IT eksiklikleri ya da açıklıkları sebebiyle kesilen cezalar göz önünde bulundurulduğu zaman, bu sefer yönetimin IT ekibine “ne almamız lazım, ne yapmamız lazım?” diye geldiği gözlemlenebilmektedir. Ayrıca yapılan veri kayıplarının sorumlusunun alınan güvenlik tedbirleri ile sınırlı kalınmayacağını, insan faktörününde bu kültürle yoğrulması gerektiğini, yaptığı her hareketin, attığı her adımın bir yaptırımı olduğunu, olabileceğini bizlere göstermektedir. Bu sebeple personellere yönelik yapılacak KVKK farkındalık eğitimlerinin önemi çok fazla olmaktadır..
NEDİR BU KVKK, NE YAPACAĞIM BEN?
KVK Kurumu tarafından Ocak 2018 ‘de Kişisel Veri Güvenliği Rehberi yayınlanmıştır. İlgili rehberde hem idari tedbirler hem de teknik tedbirler ana başlıklar halinde anlatılmaya çalışılmıştır. Üçüncü bölüm, Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler ile ilgili bilgilerden oluşmaktadır. Bunları başlıklar halinde inceleyecek olursak;
Yazının devamını kaynağından okumak için tıklayınız.