KVKK: İdari Tedbirler← İçindekiler

KVKK: İdari Tedbirler

B

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlar. Kanun, kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar ve uyulmasını zorunlu kılar. Kanun’un 12. maddesi uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişilmesini engellemek ve muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Özlü kural: “Duymadım, bilmiyordum” diye bir savunma yok. Sorumluluk sende; önlem almadıysan, ağır ihmalkarlıkla sorumlu tutulursun.

6698 sayılı KVKK Tam Metni (Mevzuat Bilgi Sistemi) ↗

48.1 Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişiye veri sorumlusu denir. İşleme faaliyetinin “neden” ve “nasıl” yapılacağına o karar verir.

Veri sorumlusunun temel yükümlülüğü (Madde 12):

  • Kişisel verilerin hukuka aykırı işlenmesini önlemek
  • Kişisel verilere hukuka aykırı erişilmesini önlemek
  • Verilerin muhafazasını sağlamak

48.2 Risk Belirleme

Kişisel verilerin güvenliğini sağlamak için önce riskleri belirlemen gerekir. Dikkate alınması gerekenler:

  • Verinin özel nitelikli kişisel veri olup olmadığı (sağlık, biyometrik, ırk, din, siyasi görüş vb.)
  • Gerektirdiği gizlilik seviyesi
  • Güvenlik ihlali halinde ilgili kişiye vereceği zararın niteliği ve niceliği

Özel nitelikli kişisel veriler (sağlık, biyometrik ve genetik, ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep veya diğer inançlar, sendika üyeliği, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri) daha sıkı kurallara tabidir. 7499 sayılı Kanun’la (Mart 2024) bu verilerin işlenme şartları önemli ölçüde değişmiştir. Ayrıca bu verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır (Madde 6/4). Güncel mevzuatı takip et. Riskler belirlendikten sonra; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda teknik ve idari tedbirler planlanır.

48.3 Çalışan Eğitimi ve Farkındalık

Bilgi güvenliği sabit bir proje değil, tüm personelin dahil olduğu yaşayan bir süreçtir. Zincirin sağlamlığı en zayıf halkası kadardır. En zayıf halka genellikle insandır.

Eğitim ve Farkındalık Kontrol Listesi
  • Tüm personele kişisel veri güvenliği eğitimi ver
  • Görev tanımlarında veri güvenliği sorumluluklarını belirt
  • ”İzin verilmedikçe her şey yasaktır” prensibini benimse
  • İşe alımda gizlilik anlaşmaları imzala
  • Güvenlik ihlallerinde disiplin süreci işlet
  • Politika değişikliklerini yeni eğitimlerle duyur

48.4 Politika ve Prosedürler

Kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve prosedürler, çalışma ve işleyişe entegre edilmelidir. Politika hazırlanamadığında veya uygulanamadığında güvenlik seviyesi düşer.

  • Düzenli kontroller yap ve belgelendir
  • Denetim yükümlülüğü (Madde 12/3): Kişisel veri içeren sistemlerde denetim yap veya yaptır, raporları değerlendir
  • Geliştirilmesi gereken noktaları belirle
  • Her veri kategorisi için risk yönetimi tanımla
  • Olay yönetimi planını önceden hazırla

48.5 Veri Minimizasyonu

Kişisel veriler, gerektiğinde doğru ve güncel olmalı, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

48.6 Veri İşleyen Yönetimi

Hizmet aldığın veri işleyen firmalar, en az senin sağladığın güvenlik seviyesini sağlamak zorundadır. Kanun’un 12. maddesi gereği veri işleyenler de veri sorumlusuyla birlikte sorumludur.

Yazılı sözleşmede bulunması gerekenler:

  • Veri işleyenin yalnızca veri sorumlusunun talimatları doğrultusunda hareket etmesi
  • Kişisel verilerin korunması mevzuatına uygun çalışma
  • Süresiz sır saklama yükümlülüğü
  • Herhangi bir ihlalde derhal bildirim zorunluluğu
  • Aktarılan veri kategori ve türlerinin belirtilmesi

48.7 VERBİS Kaydı

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), kişisel veri işleyen kurumların kayıt altına alındığı resmi sistemdir. Kanun’un 16. maddesi gereği veri sorumlusu, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır.

48.8 İdari Para Cezaları

KVKK ihlalleri, 6698 sayılı Kanun’un 18. maddesi kapsamında idari para cezaları ile yaptırımlandırılır. Cezalar her yıl yeniden değerleme oranında güncellenir.

İhlalCeza Aralığı
Aydınlatma yükümlülüğüne uymama (Madde 10)5.000 TL - 100.000 TL
Veri güvenliği tedbirlerini almama (Madde 12)15.000 TL - 1.000.000 TL
Kurul kararlarına uymama (Madde 15)25.000 TL - 1.000.000 TL
VERBİS kaydı yapmama (Madde 16)20.000 TL - 1.000.000 TL
Yurt dışı aktarımda standart sözleşme bildirimine uymama (Madde 9/5)50.000 TL - 1.000.000 TL
Bunu Yap
  • Kişisel veri envanterini çıkar ve düzenli güncelle
  • Personele düzenli veri güvenliği eğitimi ver
  • Hizmet aldığın firmalarla yazılı sözleşme yap
  • Sistemleri düzenli denetimden geçir, raporları değerlendir
Bunu Yapma
  • Gereksiz veriyi saklamaya devam et
  • "İzin verilmedikçe her şey yasak" yerine "yasaklanmadıkça serbest" de
  • VERBİS bildirimini unut

İlgili Bölümler