KVKK uyumu için hangi önlemleri almalıyız?

Kişisel veri ve kişisel verilerin korunması, iki yıldır farklı şekillerde karşımıza çıkıyor. Tüketici olarak, pazarlama ve bilgilendirme faaliyetleri için firmalar bizi sürekli aradı, mesaj attı, ePosta gönderdi. Bize ulaşmak için izin istediler. Oysa o güne kadar bulabildikeri her kanaldan ulaşıyorlardı. Neden bu denli izin alma ihtiyacı duydular? Artık her sözleşmede, her firma ile irtibat kurduğumuz yerde soruyorlar; “Size mesaj atabilir miyiz?”, “Pazarlama faaliyetleri için sizle iletişime geçebilir miyiz?”, “Bilgilerinizi grup şirketlerimizle paylaşabilir miyiz?”.

Üretici / hizmet sağlayıcı şirketler açısından da bir çok değişikliği beraberinde getiriyor “kişisel veri”. Bu verileri güvenilir biçimde saklamak, izin dahilinde kullanmak, verinin durumu ve kullanımı ile ilgili hesap vermek…

KVKK (Kişisel Verinin Korunumu Kanunu), kişisel verinin korunması için alınması gereken önlemleri tarifleyen bir Kanun. Kurum ve Kanun’la ilgili en güncel bilgilere kvkk.gov.tr‘den ulaşabilirsiniz.

kvkkuyumu.com, alınması gereken önlemleri, Kanun ve yönetmelikler yerine, Kurum’un 2 yılı aşkın süredir yayımladığı 90’dan fazla Karar ve Karar Özetinden çıkaran bir site. “KVKK ile ilgili hangi konular gelmiş?”, “Kurum, gelen konulara nasıl yaklaşmış?”, “Ne cezalar kesilmiş ve Neden?”. Bu yaklaşımın nedeni ise çok basit:

Bugüne kadar başkalarının düştüğü hatalara düşmez, Kurum’un Mayıs 2018’den beri kestiği cezalar için önlemlerimi alırsam, KVKK Uyumunu sağlamış olurum.

kvkkuyumu.com

Aşağıda listelenen önlemler, tamamiyle Kurum’un yaptığı incelemelerden (Karar ve Karar Özetleri) oluşmaktadır. Bunun temel nedeni, şirketlerde KVKK Uyumu için alınması gereken önlemlerde aşırıya gidilmesini veya kısa kalınmasını önlemektir.

KVKK Uyumu İçİn Alınması Gereken Önlemler

GüvenliInternet2-KVKKuyumu
  1. Kişisel veriler web sitesi, sosyal paylaşım sitesi, vb. platformlarda, ancak kimlik doğrulama yapıldıktan sonra ve sadece ilgili kişi tarafından görülebilmeli veya maskelenerek yada anonim hale getirilerek paylaşılmalı (İlgili Makale: Web’de Kişisel Veri Nasıl Paylaşılır?),
  2. Kişisel veri içeren bilgiler web sitesi, vb. platformlarda izin verilen süre kadar tutulmalı (İlgili Makale: Kişisel Veriler Web’de ne kadar süre tutulmalı?),
  3. Kişisel veri içeren bilgiler web sitesi, vb. platformlarda işlenirken veya paylaşılırken ilgili kişinin açık rızası (izni) alınmalı (İlgili Makale: Kişisel Veri Paylaşımında Açık Rıza),
  4. e-posta, drive, mesajlaşma, vb. platformlar ile yapılan kişisel veri ihlali(Şirket dışına), engellenecek şekilde kontrol edilmeli (İlgili Makale: Kişisel Veri İhlalini Önlemek),
  5. Sızıntı sonucu çıkan veri kullanılarak dahi ilgili kişinin sistemdeki diğer verilerine ulaşılamamalı ve web ortamında işlem yapılamamalı (İlgili Makale: Veri İhlali Olsa Dahi Risk Önlenebilir),
İzinVerilenSüreKadar2-KVKKUyumu
  1. Veri ihlali müdahale planı hazırlanmalı. Veri ihlali müdahale planı, veri ihlalinin(sızıntısı) 72 saat içinde tespiti ve KVKK’ya, etkilenenlere bildirimini de kapsamalı.
  2. Kişisel veri içeren bilgiler bilgilendirme-reklam, vb. amaçlı (alınma amacı dışında), ancak izin(Açık Rıza) alınarak kullanılabilir (Örn: reklam amaçlı SMS, vb.)
  3. Kişisel verisi işlenen kişinin bilgi alma talebi[1] zamanında incelenmeli(30 gün) ve açıklayıcı nitelikte yazılı veya elektronik geri dönüş ve işlemler yapılmalı
  4. Alenileştirilen (web, sosyal medya, vb. ortamlarda paylaşılan), Hukuka Aykırı Olarak Elde Edilen (Bulunmasını sağlayan yazılım/program/uygulamalar ile) Kimlik, iletişim bilgileri, vb. kişisel bilgiler kullanılmamalıdır.
  5. Başvurularda yapılan kimlik teyidinde alınacak veri ve evraklar ile başvuru yolu netleştirilmeli. İlgili kişiye külfet getirilmemeli (İlgili Makale: KVKK Başvuru Yöntemleri ve Kimlik Teyidi),
AcikRizaOnay2-KVKKUyumu
  1. Bilgi güncelleme talebi söz konusu olduğunda, ilgili kişi; kimlik bilgileri, eMail, Telefon numarası, vb. ile teyid edilmeli.
  2. Gerekli hukuki işleme şartı dışında olan kişisel veriler ve Arkalı önlü kimlik fotokopisi alırken açık rıza alınmalı
  3. Kayıt altına alınan kimlik fotokopisi, vb. kişisel veriler, ilgili kişi sorgulayınca bildirilmeli
  4. İşlemin gerektirmediği kişisel veri içeren belge istenilmemeli, kimlik doğrulama amacıyla alınan veri silinmeli
  5. Çapraz Satış, borç takibi, vb. için kullanılabilecek verilerin eğitimi verilmeli
KisiselVeriSizintisiniOnlemek2-KVKKUyumu
  1. Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişim engellenmeli
  2. Güvenlik duvarları güncel tutulmalı ve güncelliği periyodik olarak kontrol edilmeli
  3. Veri ihlali farkındalık ve ihlal sonrası alınacak aksiyonların eğitimi verilmeli
  4. Uzaktan erişim ile sunucuya yazılım kurulması engellenmeli
  5. Sızma / Veri İhlali Alarmı kurulmalı (Büyük veri sorgusu, vb. durumlarda)
VeriSizsaDahiKritikIslemlerOnlenebilir2-KVKKUyumu
  1. Kişisel veri içeren dosya, sorgu, liste, rapor, vb. bilgilere erişim ve kopyalamalar izlenmeli(loglanmalı) ve kontrol edilmeli
  2. Access Token (erişim jetonları) kullanılarak yapılan sızma/ataklar önlenmeli
  3. Access Token (erişim jetonları) kullanılarak yapılan sızma/ataklar izlenmeli (loglanmalı) ve kontrol edilmeli
  4. KVKK tarafından iletilen bilgi belge talebi veya düzeltme talebi Kanunda belirtilen yasal süre içinde yanıtlanmalıdır.
  5. Kayıtlı tutulan Özel nitelikli kişisel veriler(Örn: biyometrik veri) için açık rıza alınmalı veya bu veriler silinmeli
BurasıGuvenlimi2-KVKKuyumu
  1. Hizmetten faydalanmak için üyelerden gerekli değilse biyometrik veri istenmemeli açık rıza verseler veya vermeme seçenekleri olsa bile.
  2. Verilen hizmetler ve imzalanan sözleşmeler “Açık Rıza” şartına bağlanmamalı
  3. “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirler alınmalı
  4. Kullanılabilecek açık rıza istisna avantajları(BDDK, EPDK, Kanun, vb. regülatör kurum mevzuatı) belirlenmeli ve belirlenen durumlar için açık rıza alınmadığı kontrol edilmeli
  5. İşlenen kişisel verilerle ilgili aydınlatma yükümlülüğü (Örn: kişisel veri işleme amaçları açıkça belirtilen aydınlatma metni ile) yerine getirilmeli ve yerine getirildiği kayıt altına alınmalıdır.