Kişisel Veri Güvenliği Rehberi ve VERBİS'e Kayıt Süresinin Uzatılması
Hazırlayan: Dilara Nihal Tunç
Hazırlayan: Dilara Nihal Tunç
Kişisel Verileri Koruma Kurulu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi 6698 sayılı Kişisel Verilerin Korunması Kanunu (''Kanun'') uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak maksadıyla veri sorumlularının alması gereken teknik ve idari tedbirlere ilişkin esas yöntemleri açıklamaktadır.
Rehber, dayanağı olan Kanun'un 12'nci maddesi doğrultusunda oluşabilecek muhtemel risklere karşı alınması gereken teknik ve idari tedbirler hususunda uygulamanın anlaşılması ve bireylerin temel hak ve özgürlüklerinin korunmasının temini için veri sorumlularına yol göstermek adına Kişisel Verileri Koruma Kurulu (''Kurul'') tarafından hazırlanmıştır.
I. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler
i. Mevcut Risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusunun işlenen tüm kişisel verilerin ne olduğunu bilmesi, bunların korunmasına ilişkin ortaya çıkabilecek muhtemel risklerin gerçekleşme ihtimalini ve gerçekleşmesi halinde ortaya çıkabilecek kayıpları doğru bir şekilde saptayabilmesi gerekli olup buna ilişkin tedbirleri alması lazımdır.
Riskler belirlenirken;
ii. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Kişisel veri güvenliğini ihlale yönelik saldırıların yanı sıra kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bunlar kullanıcıların dikkatsizliği yahut tecrübesizliği sonucu kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde vücut bulabilir.
Veri sorumlusu nezdinde çalışan herkesin kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmelidir. Bu noktada çalışanların muhtemel durumlara yönelik eğitim almaları ve farkındalık çalışmalarına katılmaları ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması güvenliğin sağlanması açısından önem arz eder. Aynı zamanda çalışanlar işe alınırken gizlilik anlaşması imzalamaları istenebilir. Güvenlik politika ve prosedürlerine uymamaları halinde uygulanacak disiplin süreci de ayrıca oluşturulmalıdır.
Rehber, son olarak kişisel veri içeren ortamlara erişim hakkı verilirken veya bununla ilgili bir kurum kültürü oluşturulurken ''Yasaklanmadıkça Her Şey Serbesttir'' prensibi yerine ''İzin Verilmedikçe Her Şey Yasaktır'' prensibini benimsemiştir.
iii. Veri İşleyenler ile İlişkilerin Yönetimi
Veri sorumluları bazen bilgi teknoloji ihtiyaçlarını karşılamak için veri işleyenlerden1 hizmet alabilmektedirler. Bu hizmeti alırken veri sorumlularının veri işleyenlerinin kişisel veriler konusunda sağladığı güvenlik seviyesinden emin olmaları gerekmektedir. Zira Kanunun 12'nci maddesi gereği veri işleyenler ile kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusu müşterek sorumludur.
Veri sorumlusunun veri işleyenle imzaladığı sözleşmenin; yazılı olması, veri işleyenin veri sorumlusunun talimatları ışığında ilgili sözleşme hükümlerine ve mevzuata uygun hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekmektedir. Ayrıca sözleşmede veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmiş olması veri işleyenin veri güvenliğini sağlama yükümlülüğü açısından yarar sağlayacaktır.
Rehber aynı zamanda veri sorumlusu ile veri işleyenin süresiz sır saklama yükümlülüğü ile bildirme yükümlülüğünün sözleşmede belirtilmesi gerektiğini vurgulamıştır. Buna bağlı olarak veri yükümlüleri ve veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi hâlinde ise veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle sorumludur.
Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumlusu, Veri Sorumluları Sicil Bilgi Sistemi'ne ('VERBİS') kaydolma yükümlülüğü bulunmaktadır. Bu hususu dikkate almayan veri sorumlularına Kurul tarafından yaptırım uygulanmaktadır.
II. Veri Sorumluları Sicil Bilgi Sistemi'ne Kayıt Süresinin Uzatılması Hakkında Karar
Türkiye Odalar ve Borsalar Birliği (TOBB) ve muhtelif sektör temsilcileri tarafından Kurul'a intikal ettirilen Veri Sorumluları Siciline kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03.09.2019 tarihli ve 2019/265 sayılı Kararı ile;
Veri Sorumluları
Bilindiği üzere, Kanunun 16 ncı maddesinde istisna kapsamında olmayan veri sorumluları için getirilmiş olan yükümlülük, kayıt ve bildirim yükümlülüğünün yerine getirilmesidir. Bu kapsamda veri sorumlularının, önce VERBİS'e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen "kullanıcı adı" ve "parola" ile VERBİS'e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir.
Öte yandan veri sorumlularınca, Kurul kararında öngörülen sürede kayıt ve bildirim yükümlülüğünü yerine getirmek amacıyla son günlerde yoğun bir şekilde başvuru ve VERBİS üzerinden bildirim iletildiği gözlemlenmektedir.
Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;
Kanun'un getirdiği yenilikler neticesinde; veri güvenliğine ilişkin tedbirler alınırken, veri sorumlularının VERBİS'e kayıt yükümlülüğünün bulunduğunun altını çizerek, kayıt sürelerinin uzatıldığı Kurul tarafından duyurulmuştur. Veri sorumluları tarafından kayıt yükümlülüğünün yerine getirilmemesi halinde, Kurulca uygulanacak ağır yaptırımların olduğunu ilgili sorumlulara bildiririz. Detaylı bilgi ve uyumluluk çalışması danışmanlık hizmeti için aşağıdaki bilgiler vasıtasıyla bizimle iletişime geçebilirsiniz.
[1] 6698 Sayılı Kanun m.3 /f.1 (ğ)
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Rehber, dayanağı olan Kanun'un 12'nci maddesi doğrultusunda oluşabilecek muhtemel risklere karşı alınması gereken teknik ve idari tedbirler hususunda uygulamanın anlaşılması ve bireylerin temel hak ve özgürlüklerinin korunmasının temini için veri sorumlularına yol göstermek adına Kişisel Verileri Koruma Kurulu (''Kurul'') tarafından hazırlanmıştır.
I. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler
i. Mevcut Risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusunun işlenen tüm kişisel verilerin ne olduğunu bilmesi, bunların korunmasına ilişkin ortaya çıkabilecek muhtemel risklerin gerçekleşme ihtimalini ve gerçekleşmesi halinde ortaya çıkabilecek kayıpları doğru bir şekilde saptayabilmesi gerekli olup buna ilişkin tedbirleri alması lazımdır.
Riskler belirlenirken;
- Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınır.
ii. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Kişisel veri güvenliğini ihlale yönelik saldırıların yanı sıra kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bunlar kullanıcıların dikkatsizliği yahut tecrübesizliği sonucu kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde vücut bulabilir.
Veri sorumlusu nezdinde çalışan herkesin kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmelidir. Bu noktada çalışanların muhtemel durumlara yönelik eğitim almaları ve farkındalık çalışmalarına katılmaları ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması güvenliğin sağlanması açısından önem arz eder. Aynı zamanda çalışanlar işe alınırken gizlilik anlaşması imzalamaları istenebilir. Güvenlik politika ve prosedürlerine uymamaları halinde uygulanacak disiplin süreci de ayrıca oluşturulmalıdır.
Rehber, son olarak kişisel veri içeren ortamlara erişim hakkı verilirken veya bununla ilgili bir kurum kültürü oluşturulurken ''Yasaklanmadıkça Her Şey Serbesttir'' prensibi yerine ''İzin Verilmedikçe Her Şey Yasaktır'' prensibini benimsemiştir.
iii. Veri İşleyenler ile İlişkilerin Yönetimi
Veri sorumluları bazen bilgi teknoloji ihtiyaçlarını karşılamak için veri işleyenlerden1 hizmet alabilmektedirler. Bu hizmeti alırken veri sorumlularının veri işleyenlerinin kişisel veriler konusunda sağladığı güvenlik seviyesinden emin olmaları gerekmektedir. Zira Kanunun 12'nci maddesi gereği veri işleyenler ile kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusu müşterek sorumludur.
Veri sorumlusunun veri işleyenle imzaladığı sözleşmenin; yazılı olması, veri işleyenin veri sorumlusunun talimatları ışığında ilgili sözleşme hükümlerine ve mevzuata uygun hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekmektedir. Ayrıca sözleşmede veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmiş olması veri işleyenin veri güvenliğini sağlama yükümlülüğü açısından yarar sağlayacaktır.
Rehber aynı zamanda veri sorumlusu ile veri işleyenin süresiz sır saklama yükümlülüğü ile bildirme yükümlülüğünün sözleşmede belirtilmesi gerektiğini vurgulamıştır. Buna bağlı olarak veri yükümlüleri ve veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi hâlinde ise veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle sorumludur.
Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumlusu, Veri Sorumluları Sicil Bilgi Sistemi'ne ('VERBİS') kaydolma yükümlülüğü bulunmaktadır. Bu hususu dikkate almayan veri sorumlularına Kurul tarafından yaptırım uygulanmaktadır.
II. Veri Sorumluları Sicil Bilgi Sistemi'ne Kayıt Süresinin Uzatılması Hakkında Karar
Türkiye Odalar ve Borsalar Birliği (TOBB) ve muhtelif sektör temsilcileri tarafından Kurul'a intikal ettirilen Veri Sorumluları Siciline kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03.09.2019 tarihli ve 2019/265 sayılı Kararı ile;
- Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları,
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının,
Veri Sorumluları
- Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları için kayıt yükümlülüğü başlangıç tarihi 01.10.2018 olup, son tarihi 30.06.2020'dir.
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için başlangıç tarihi 01.10.2018 olup, son tarihi 30.06.2020'dir.
- Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için başlangıç tarihi 01.01.2019 olup, son tarihi 30.09.2020'dir.
- Kamu kurum ve kuruluşu veri sorumluları için ise başlangıç tarihi 01.04.2019 olup, son tarihi 31.12.2020'dir.
Bilindiği üzere, Kanunun 16 ncı maddesinde istisna kapsamında olmayan veri sorumluları için getirilmiş olan yükümlülük, kayıt ve bildirim yükümlülüğünün yerine getirilmesidir. Bu kapsamda veri sorumlularının, önce VERBİS'e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen "kullanıcı adı" ve "parola" ile VERBİS'e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir.
Öte yandan veri sorumlularınca, Kurul kararında öngörülen sürede kayıt ve bildirim yükümlülüğünü yerine getirmek amacıyla son günlerde yoğun bir şekilde başvuru ve VERBİS üzerinden bildirim iletildiği gözlemlenmektedir.
Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;
- Kişisel verilerin işlenmesinde şeffaflığın,
- Kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek bu alanda veri sorumlularının kişisel veri işlemesi faaliyetlerinin disiplin altına alınmasının,
- Kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesinin, Veri sorumlularının Kanuna uyumunun,
- İstisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının sağlanmasıdır.
Kanun'un getirdiği yenilikler neticesinde; veri güvenliğine ilişkin tedbirler alınırken, veri sorumlularının VERBİS'e kayıt yükümlülüğünün bulunduğunun altını çizerek, kayıt sürelerinin uzatıldığı Kurul tarafından duyurulmuştur. Veri sorumluları tarafından kayıt yükümlülüğünün yerine getirilmemesi halinde, Kurulca uygulanacak ağır yaptırımların olduğunu ilgili sorumlulara bildiririz. Detaylı bilgi ve uyumluluk çalışması danışmanlık hizmeti için aşağıdaki bilgiler vasıtasıyla bizimle iletişime geçebilirsiniz.
[1] 6698 Sayılı Kanun m.3 /f.1 (ğ)
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.