Kişisel Verilerin Korunması ve ISO 27001 BGYS

Dijital dönüşümle birlikte kurumların ve işletmelerin gündeminde olan ana konulardan birisi de bilgi güvenliğidir. Bilgi güvenliği, bilginin gizliliği, bütünlüğü ve erişe bilirliğini risk yönetimi prosesini uygulayarak muhafaza edilmesi demektir. Kurumlar siber saldırılara karşı bilgi güvenliğinin sağlanması ve iş sürekliliği için ISO/IEC 27001 Kurumsal Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardını uygulamayı tercih etmektedir. ISO 27001 BGYS kuruluşlarda bilginin güvenliğini sağlamak için uygulanan dokümantasyon sistemidir ve günümüz bilgi yoğun dijital dünyasında önemli konulardan birisidir.

 

Kişisel verilerin korunması ile ilgili kanun, yönetmelikler ve tebliğler incelendiğinde KVKK’yı “kayıt”, “veri güvenliği” ve “silme işlemi” olmak üzere üç ana başlıkta toplamak yanlış olmaz.

“ Kayıt ” başlığı altında Kişisel ve özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurtiçi ve yurtdışında aktarılması ve açık rıza konularını kapsadığını düşünebiliriz.

 

KVKK Kanunun 12. maddesinde ve Kişisel Veri Güvenliği Rehberi’nde “Veri Güvenliği” konusu detaylı olarak ele alınmış olduğu görülmektedir. Söz konusu bu başlık altında kurumların; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamaları kaçınılmazdır.

 

KVKK Kanunda yer alan ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında çıkarılan yönetmelik ve rehberle “Silme” konusu KVKK’nın en kritik başlıklarından birisidir. Silme işlemi; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

 

Diğer taraftan kurumların açık rıza metinleri, aydınlatma yükümlülüğü, politika, prosedür, kişisel veri işleme envanteri, veri sorumluları sicili gibi dokümanları hazırlaması, ilgili kişilerin başvuru ve şikâyet taleplerinin alınması amacıyla şirket içi düzenleme yapmaları gerekmektedir.

Bütün bu bilgilere istinaden KVKK ile BGYS arasındaki ilişki KVKK’nın üç ana süreci dikkate alarak değerlendirilebilir. Üç ana süreçten “kayıt” ve “silme işlemleri” kanunun kendisine özgü süreçleridir ve BGYS’den bağımsızdır. Bu nedenle “kayıt” ve “silme işlemlerinin” BGYS maddeleri ile ilişkisi bulunmamaktadır.

 

Kişisel Verileri Koruma Kurulu’nun yayımladığı Veri Güvenliği Rehberi incelendiğinde KVKK’nın ana başlıklarından birisi olan “veri güvenliğinin” BGYS ile doğrudan ilişkili olduğu anlaşılmaktadır (Burada ISO 27001’in önemi ortaya çıkmaktadır). KVKK’da kişisel veri güvenliğine ilişkin tedbirler; idari ve teknik olmak üzere iki bölümde ele alınmıştır.

KVKK Kurumunun Veri Güvenliği Rehberi’nde görüldüğü üzere kanun kurumlardan; mevcut olan risk ve tehditlerin belirlenmesini, çalışanların eğitilmesini ve farkındalık çalışmalarını, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesini, kişisel verilerin mümkün olduğunca azaltılmasını, veri işleyenler ile ilişkilerin yönetimi için idari tedbir alınmasını gerektiğini açıkça belirtmektedir.

Kurumlardan; siber güvenliğin sağlanmasını, kişisel veri güvenliğinin takibini, kişisel veri içeren ortamların güvenliğinin sağlanmasını, kişisel verilerin bulutta depolanmasını, bilgi teknolojileri sistemlerinin tedariki, geliştirilmesini, bakımı ve kişisel verilerin yedeklenmesini alınması gereken teknik tedbirler olarak beklemektedir.

 

İdari Tedbirler tablosunda yer alan Risk Analizleri konusu BGYS’nin ele aldığı temel konulardan birisi olup  ISO 27001 BGYS bulunan iş riski yaklaşımını esas almaktadır. BGYS, ( ISO 27001 ) bilgi güvenliğinin oluşturulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi amacına yönelik tasarlanmış bir yapıdır. BGYS (ISO 27001)’nin içeriğinde süreçler, bilgi teknolojileri ve personel davranışları bulunmaktadır.  Kurum kültürünün olmaması durumunda kurum kültürünü oluşturabileceği gibi kurum kültürünün var olduğu yerlerde ise onun bir parçası haline gelecek şekilde tüm faaliyetlerde de uygulanabilir.

 

Kişisel Verilerin Korunması Hakkının Dayanağı Nedir?

13.05.2010 tarihinde Türkiye Cumhuriyeti Anayasası’nın “Özel hayatın gizliliği” başlığı altında düzenlenen 20. maddesine eklenen fıkra ile herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiş olup kişisel verilerin korunması anayasal güvence altına alınmıştır.

Bu kapsamda 6698 Sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

İlgili Kişi Kimdir?

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olup 6698 Sayılı Kişisel Verilerin Korunması Kanununun 2. maddesinde kanun hükümlerinin kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı hüküm altına alınmıştır.

Yine Kanunun “Tanımlar” başlıklı 3. maddesinde ilgili kişi, kişisel verisi işlenen gerçek kişi olarak tanımlanmış ve Yasanın ifadesi ile ilgili kişinin yalnızca gerçek kişi olması öngörülmüştür.

Veri Sorumlusu Kimdir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri sorumlusu ifadesi ile kişisel veri işleme faaliyetinden sorumlu olan bir kişiden bahsedilmemektedir. Bu noktada özel sektörde veya kamu sektöründe faaliyet gösteren tüzel kişiliğe sahip kuruluşlarda veri sorumlusu, tüzel kişiliğin bizzat kendisidir.

VERBİS Nedir?

Veri Sorumluları Sicil Bilgi Sistemi, Kişisel Verileri Koruma Kurulunun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulan sicildir. Veri Sorumluları Sicil Bilgi Sistemine kayıt olacak tüzel kişiler açısından bir ayrım yapılmamıştır. Dolayısıyla hüküm, kamu ve özel hukuk tüzel kişileri için geçerlidir.

VERBİS’te yer alan bilgiler; veri sorumlusunun bilgileri, kişisel veri işleme amaçları, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel verilerin işlendikleri amaç için geçerli olan azami süre, veri güvenliğine yönelik idari ve teknik tedbirler kamu ile paylaşılmaktadır.

Kanun Kimleri Kapsar?

6698 Sayılı Kişisel Verilerin Korunması Kanununun 2. maddesi uyarınca bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.