Kişisel Verileri Koruma Kanunu Blog

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Aydınlatma Yükümlülüğü

6698 sayılı Kişisel Verileri Koruma Kanunu’nun 10. Maddesi “Aydınlatma Yükümlülüğü’dür.”

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere aşağıdaki bilgileri sunmak zorundadır.

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) Kanunun 11. maddesinde yer alan; herkes, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Aydınlatma metinlerinin veri sahibi tarafından onayı aranmamakla beraber, bilginin veri sahibine sunulduğunun ispatı yeterli olacaktır. Kanunda aydınlatmanın nasıl yapılacağı ile ilgili kesin bir hüküm olmamakla beraber sözlü (çağrı merkezi vs.), elektronik ortam ya da yazılı olarak yapılabilmektedir. Aydınlatma eğer elektronik ortamda gerçekleştirilmiş ise zaman damgası ile mühürlenmiş kayıt olarak tutulması gerekmektedir.

Kanun kapsamında aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL ila 100.000 TL arasında idari para cezası uygulanabilmektedir.

Kişisel verilerin Korunması Hakkında Bir Değerlendirme

Çeşitli elektronik cihazlar aracılığıyla iletişim kanallarının çeşitlenmesi ve gündelik yaşamda kullanımı sıklığı karşısında en temel insan hakkı olarak sayılan kişilerin kendilerine ait bilgilerinin yani kişisel verilerin korunması uzun yıllardan beri ulusal ve uluslararası düzeyde birtakım ilkeler ve standartlar ışığında gerçekleşmektedir.

Kişisel Verilerin İmha Süreci

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işlemeleri gerekmektedir. Kişisel verinin alınmasının amacı, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek bir envanter oluşturmak gerekmektedir. Kişisel Veriler Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmektedir, bu verilerin Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi bir prosedüre bağlanması gerekmektedir. Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemini gerçekleştirmesi gerekmektedir. Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla otomatik gerçekleştirilecek silme, yok etme veya anonim hale getirilmesi gerekecektir.

Veri Sınıflandırma

Zamanla boyutu hızla artan kurumlara ait verinin denetimi daha da zorlaşmaktadır. Kurumların müşterilerine ve kendilerine ait olan kurumsal verilerini koruma ihtiyaçları da aynı şekilde zamanla artış göstermektedir. Veri Güvenliğinin önemli bir parçası da verinin sınıflandırılması sürecidir. Birçok değişik biçimde ve yerde bulunan kurumsal verinin başta kurum gereksinimlerine bağlı olarak sınıflandırılması ve önemlilik seviyesinin belirlenmesi gerekmektedir. Bu çalışma konusunda bize veri sınıflandırma ürünleri çözüm oluşturabilmektedirler. Bu çözümler ile verinin sınıfını belirlemek ve veri üzerinde kritiklik derecesine göre istenilen çalışmaların yapılması çok daha hızlı ve basit bir şekilde gerçekleştirilebilmektedir. Biz bu konu ile ilgili müşterilerimize aşağıda belitmiş olduğumuz ürünler ile destek oluruz.

- Azure Information Protection(AIP)
- Symantec Information Centric Tagging
- Titus
- Bolden Jomes

Kişisel Veri Şifreleme

Verilerimiz gün geçtikçe artmakta ve değişik platformlarda erişilebilmektedir. İnternetin hızının artması ile verilere erişimi her yerden kolayca sağlanmakta. Erişilen bu verilerin güvenliği her geçen gün önemli hale gelmekte ve bunları korumak daha da zorlaşmaktadır. Verilerin bulunduğu Disk, USB bellek, ya da bulut ortamlarında verilerimizi şifreli olarak barındırabiliriz. Böylelikle iznimiz olmadan ulaşılan verilere erişim sağlanamaz. Sektörde konusunda başarılı ürünler bulunmaktadır;

- Sophos SafeGuard Encryption
- Symantec PGP
- Windows Bitlocker
- Trend Micro Endpoint Encryption