6698 sayılı Kişisel Verilerin Korunması Kanunu ve kişisel verilerin yurtdışına aktarılması konusunu açıklamak, biraz özetlemek ve dahası konunun bizi, sizi ve müşterilerinizi ilgilendiren kısımlarını belirli açılardan (veri merkezi, sunucu, web barındırma servisleri, e-postalar vb.) incelemek ve paylaşmak istedim.
Okuma Süresi: 12dk.
Kişisel Verilerin Korunması Kanunu 101
Öncelikle çeşitli mevzuatlar ile içeriği sürekli değişen 6698 sayılı Kişisel Verilerin Korunması Kanununa kısaca bakalım.
Hikâye 1981 Yılında Avrupa Konseyi tarafından hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme’nin” Türkiye Cumhuriyeti tarafından imzalanmasıyla başlıyor (KVKK, 2020). Sonra uzun bir sessizliğin ardından sözleşmenin 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukuka dâhil edilmesi ve akabinde Anayasa Mahkemesi kararı ile kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiş. En nihayetinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yasalaşıyor ve Kişisel Verileri Koruma Kurulu (KVKK) kurularak işleyiş, farkındalık, mevzuatlar ile kanunun uygulanabilirliği ve denetimi sağlanıyor.
Yorum
Kanun, Anayasamızın 20. Maddesinde geçen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” haklarımızı güvence altına almak adına oldukça faydalı ve gerekli gözüküyor.
“Kişisel Verilerin İşlenmesi” Ne Demektir?
KVKK’nın yardımcı dokümanlardan alıntılıyorum; “Kişisel verilerin sunucuda depolanması bir veri işleme faaliyetidir.”
Yorum
Buradan alıyoruz ki, bizim adımıza çalışan sunucu barındırma servislerimiz, web sayfalarımız veya web & mobil uygulamalarımıza ait verileri saklayan veri tabanı sunucularımız, dolayısıyla fiziksel sunucularımız kanuna göre “kişisel verileri işliyor”. Bu durumda biz “Veri Sorumlusu” oluyoruz ve kanuna uyum sağlayacak düzenlemelere de tabiyiz.
Peki sunucu hizmeti alan tüm şahıslar, firmalar veya kurumlar veri işliyor mu? Buna cevap vermek için kişisel verileri işlediğine emin olduğumuz birkaç örnek verelim;
- E-ticaret altyapısına sahip web sayfaları.
- Kişisel verileri talep eden ve veri tabanına kayıt eden e-bülten, iletişim ve İnsan Kaynakları Başvuru formları.
- Kişisel verileri işleyen (konum, işletim sistemi, yaş, cinsiyet vs.) analitik yazılımlar. (Google Analytics ve benzeri)
- Kişisel verileri işleyen mobil veya web uygulamaları (B2B yazılımlar, CRM, Proje Takip Sistemleri, Chat Araçları, Sosyal Medya Hesabı ile giriş yapmaya izin veren API tabanlı uygulamalar vb.)
Kişisel verileri işlemediğine emin olduğumuz birkaç örnek verirsek;
- Statik web sayfaları. (Şahıs, firma veya ürün tanıtım amaçlı ve yukarıda listelediğimiz örneklere benzer herhangi bir veri işlemeyen)
- Kayıt, giriş vb. fonksiyonları olmayan, ücretsiz web uygulamaları.
Triceps ve Sunucuları Kanunlara Uyumlu mudur?
Kanun, “gerekli tedbirlerin alınması” gibi bir ibare üzerinden; veri merkezi, sunucu altyapısı, işletim sistemi, güvenlik duvarı vb. konular açısından işlenen verilerin güvenliğini sorguluyor. Öyleyse Triceps olarak 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olarak çalıştığımızı söyleyebiliriz.
Triceps çatısı altında ve “Merll Hosting” markası ile hizmet veren fiziksel ve adanmış web barındırma sunucularımız (dedicated) IBM Veri Merkezinde bizim bildiğimiz en modern ve gelişmiş teknolojiler ile barındırılıyor. Sunucu özelinde ise gerekli tüm tedbirlerin (güncel işletim sistemi ve servisler, güvenlik duvarı, e-posta tarayıcı ve filtreleri, hesap izolasyonu, sızma testleri vs.) varsayılan olarak (kanuna uyumlu) alındığını söyleyebiliriz. Daha detaylı bilgi için lütfen bu maile cevap vererek bana ulaşın veya web sayfamızdaki Merll Hosting kısmını inceleyin.
Öneri
Sunucular ve işletim sistemleri (+servisler) bir cep telefonu kadar hızlı olmasa da sürekli gelişiyor ve dönüşüyor. Bu sebeple bir sunucu veya veri merkezi bugün kanunlara uyumlu olabilir ama bu sonsuza kadar böyle kalacağı anlamına gelmiyor. Biz bu sebeple her sene Ocak ayında bu konuda ne durumdayız diye bir çalışma yürütüyoruz. Siz de yılda en az bir kez olmak üzere planlanmış benzer bir çalışmayı kendi bünyenizde yürütebilirsiniz. Bu çalışmalarınıza katkı sunmaktan mutluluk duyarız.
Kanun ayrıca, kişilerin hangi verilerini, ne şekilde işlediğimizi ve veri sahibi dilediğinde bizden bu verileri almak ve sildirmek için talepte bulunup bulunamayacağını sorguluyor. Kanuna uyumlu olmak için bunun mümkün olması gerekiyor. Biz de gerek web sayfamızda gerek sözleşmelerimizde bunun mümkün olduğunu belirterek, gerekse de altyapımızda buna uyumlu çalışarak kanuna uyum sağlıyoruz.
Sizin Sayfa & Uygulamalarını Kanuna Uyumlu mu?
Bana göre, kanunun dikkat çekici yönlerini anlatmak ve sizi & bizi ilgilendiren taraflarını özetlemek için ilgili senaryoları ve soruları yazmak çok pratik bir yöntem:
- Web sayfamızda, kanuna uygun bir şekilde veri işlediğimize ve bunun da ziyaretçi ve müşterilerimiz tarafından bilindiği ve kabul edildiği (Açık Rızası Olduğu) Şartlar ve Kurallar, Gizlilik Sözleşmesi veya Kişisel Verilerin Korunması Hakkında gibi bir içerik var mı?
- Cevap evet ise; bu içeriklere müşterilerin veya ziyaretçilerin kolayca erişebileceği bir link var mı?
- Cevap hayır/emin değilim ise; kvkk@triceps.com.tr mail adresine “Bu desteği müşterileriniz için ücretsiz veriyormuşsunuz…” diye başlayan bir mail atmanız yeterlidir.
- Kişiler sizden onun hangi verilerini, hangi şekilde işlediğinizi sorabiliyor ve bu verileri ona iade edip sunucudan da silmenizi (kişisel verilerin yok edilmesi) talep edebiliyor mu?
- Cevap evet ise; bu talep yöntemine kişiler kolayca ulaşabiliyor mu?
- Cevap evet ise; bu talebi geçekleştirmek için 30 gün süreye sahip olduğunuzu ve bunu da yazılı veya elektronik ortamda bildirmeniz gerektiğini biliyor muydunuz?
- Cevap evet ise; Gerekçesini açıklayarak talebi reddetme hakkınız olduğunu biliyor muydunuz?
- Cevap hayır/emin değilim ise; kvkk@triceps.com.tr mail adresine “boş durmayın, biraz çalışın…” ile başlayan bir mail atmanız yeterlidir.
Kişisel Verilerin Yurtdışına Aktarılması Hakkında
Bizim sunucularımız IBM veri merkezinde barındırıldığı için bizi en fazla bu başlık ilgilendiriyor. Kanunun “Kişisel Verilerin Yurtdışına Aktarılması” rehberinden konuyla ilgili alıntı yapalım:
“Kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkan tanındığı belirtilmektedir.”
Burada açıkça belirtildiği gibi sunucular (belirli şartları yerine getirdiği sürece) yurtdışında barındırılabilir.
Yorum
Bunun aksi zaten düşünülemez. Bugün AWS (Amazon Web Services) veya CloudFlare benzeri servis kullanmayan bir üniversite, siyasi parti, bakanlık, oda veya birlik sayfası (veri sorumlusu) bulmak çok zor. Bunun temel sebebi ise İnternet ortamındaki güvenlik performansı veya salt veri güvenliği başlıklarının yerele indirgenmesinin mümkün olamayacağıdır. İnternet global bir yapıdır ve bir verinin fiziki konumundan öte ona erişim ve onun güvenliğine odaklanılmalıdır. Örneğin bir veri merkezindeki veri için baş tehdit doğal afet olabilirken bir diğerinde siyasi baskılar, diğerinde ise savaş ihtimali ilk tehdit olabilir.
Bir diğer açıdan; aynı tip veri merkezi ve sunucu yapısına sahip, İzmir’de konumlanmış sunucuda depolanan veriye erişmek ve onun güvenliğini tehdit etmek ile New York City’deki bir sunucuya erişmek ve onun güvenliğini tehdit etmek aynı olasılığa sahiptir. Daha önce belirttiğim gibi burada önemli olan veri merkezi ve sunucu yapısıdır.
Son olarak, uluslararası anlaşmalar ile güvence alınan ticari ve kişisel hakları yok sayarak verilerin yalnızca yerelde güvence altında olacağına inanmak bütün dünyanın bu konuda yanıldığını varsaymaktır.
Bu sebeple veri güvenliğinde konumdan öte verilerin depolandığı veri merkezinin network yapısı, enerji verimliliği ve çevre duyarlılığı, güvenlik yaklaşımı ve tedbirleri ile sunucu üzerindeki donanımsal ve yazılım bazında alınacak önlemlere dikkat etmek gerekir.
KVKK, veri merkezleri (altyapısı) ve sunucu (donanım ve yazılım) konularında belirli standartlar aramalıdır. Bu net bir şekilde belirtilene kadar veri güvenliğine ilişkin yükümlülükleri anladığımız kadarı ile yürütmemizde ve olabildiğince detaycı olmamızda fayda var.
Veri Sorumlusunun (Sizin ve bizim) Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?
Bu soruyu kanunu açıklayan rehberden birkaç madde alıntı yaparak cevaplamak istiyorum.
- Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
- Veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır.
- Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar.
Bonus: VERBIS Nedir? Kayıt Olmalı mıyız?
VERBIS’in ne olduğuna ilgili rehberden alıntı yaparak bakalım:
“6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt olması gerekmektedir.”
Kayıt Olmasına Gerek Olmayanlar:
- Yıllık çalışan sayısı 50’den az ve yıllık bilançosu 25 milyon TL’den az olanlar. (Triceps: Burda!)
- Muhasebeciler
- Avukatlar ve Arabulucular
- Dernekler, Odalar ve Vakıflar, Siyasi Partiler
Kayıt Olmasına Gerek Olanlar:
Açıkçası VERBIS’e kayıt gerekliliği yoruma açık. Eğer konuyu beraber incelemek isterseniz lütfen kvkk@triceps.com.tr mail adresine “bugünün işini yarına bırakmayalım…” diye başlayan bir mail atmanız yeterlidir.
Kayıt Son Tarihi:
VERBIS rehberinde 30 Haziran 2020 tarihine kadar kayıt olunması gerektiği belirtilmiş.
Sonuçlar ve Çıkarımlar
Sonuç olarak Triceps ve onun web hosting hizmetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununa uyumlu olduğunu ve dolayısıyla da sizin ve işletmenizin de güvende olduğunu söyleyebiliriz.
Elbette sayfanızda veya uygulamalarınızda kimi eksiklikler olabilir, bu konuda 7/24 hizmetinizdeyiz.
Bence 6698 sayılı Kişisel Verilerin Korunması Kanununu yorumlarken gerekmiyor (https://www.kvkk.gov.tr/ sayfasında yeterince açık ve detaylı içerik var. Özellikle rehberleri okuyunca zaten konu netleşiyor) ama yine de işin ehline, bir avukata danışmak hiç fena olmaz.
Uyarı
Bu yazı hukuki bir tavsiye değeri taşımıyor olmakla birlikte sizi konuyla ilgili bilgilendirmek ve tedbir almaya davet etmek amacıyla hazırlanmıştır.
Kaynakça
- Kişisel Verileri Koruma Kurumu (KVKK) Resmî Web Sayfası- https://www.kvkk.gov.tr/
- 100 Soruda Kişisel Verilerin Korunması Kanunu, KVKK Rehberleri – https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf
- Kişisel Verilerin Yurtdışına Aktarılması, KVKK Rehberleri- https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/ca163cb6-39ad-4024-870a-8a9508c92387.pdf
- VERBİS-Veri Sorumluları Sicil Bilgi Sistemi- https://verbis.kvkk.gov.tr/
- Sorularla Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)- https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERB%C4%B0S.pdf
- Words to Time Conversion- https://www.voices.com/tools/words_to_time_conversion
- IBM Cloud – https://www.ibm.com/cloud/data-centers/
- Triceps Bilgi Teknolojileri ve The Web Tailor, Inc.- https://triceps.com.tr/tr/merll-hosting/
- Triceps Müşteri Hizmetleri- https://triceps.com.tr/tr/musteri-hizmetleri/
Leave a Reply