6698 Sayılı KVKK’nın Temel İlkeleri ve Teknolojik Gereksinimler
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun; kişisel verilerin korunmasını, sadece teknik bir güvenlik standardı değil, Anayasa Mahkemesi’nin de vurguladığı üzere “insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilme hakkının özel bir biçimi” olarak ele almaktadır.
Günümüzde veri; pazarlamadan insan kaynaklarına, sağlık hizmetlerinden finans sektörüne kadar her alanda hızla dolaşmakta, işlenmekte ve karar mekanizmalarının merkezine yerleşmektedir. Bu dinamik yapı, kişisel verilerin işlenmesi sırasında doğabilecek hak ihlallerine karşı KVKK’yı zorunlu bir koruma kalkanı hâline getirmiştir.
Odak: KVKK’nın yürürlüğe girişi, kişisel verilerin korunması hakkının
anayasal temeli, veri işleme kavramı ve teknikte gerekli çözümler.
Teknoloji: Şifreleme, yedekleme, DLP, UEBA ve sızma testleriyle KVKK uyumu.
Hedef kitle: Veri sorumluları, veri işleyenler, KVKK uyum sürecine başlayan kurumlar ve danışmanlık arayan işletmeler.
1. KVKK’ya Giriş ve Kişisel Verilerin Korunması Hakkının Anlamı
6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girerek Türkiye’de kişisel verilerin korunmasına ilişkin temel yasal çerçeveyi oluşturmuştur. Kanunun ortaya çıkışında hem artan teknolojik gelişmeler hem de bireylerin mahremiyet beklentilerinin güçlenmesi etkili olmuştur.
Anayasa Mahkemesi, kişisel verilerin korunması hakkını:
“Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlar.”
şeklinde tanımlayarak bu hakkın temel hak ve özgürlükler arasında yer aldığını açıkça vurgulamıştır. Dolayısıyla KVKK, yalnızca teknik bir mevzuat değil, insan onuruna doğrudan temas eden bir hak temelli düzenlemedir.
2. Kişisel Verilerin İşlenmesi Ne Demektir?
KVKK kapsamında kişisel verilerin işlenmesi, verinin yalnızca elde edilmesini değil, veri üzerinde gerçekleştirilen her türlü işlemi kapsayan geniş bir kavramdır. Buna göre kişisel verilerin işlenmesi; verinin:
- Elde edilmesi, toplanması,
- Saklanması, depolanması veya muhafaza edilmesi,
- Üzerinde değişiklik yapılması, güncellenmesi veya düzeltilmesi,
- Sınıflandırılması ve profilleme amaçlı analiz edilmesi,
- Başka kişilere veya sistemlere aktarılması,
- Başka kişiler tarafından erişilebilir hâle getirilmesi,
- Kullanılması ya da ait olduğu kişi tarafından kullanımının engellenmesi
gibi tüm süreçleri ifade eder. Dolayısıyla bir verinin sadece sistemde tutulması bile KVKK anlamında bir “işleme faaliyeti”dir ve kanuni şartlara uygun yürütülmesi gerekir.
3. KVKK’nın Benimsediği Temel İlkeler
KVKK, kişisel verilerin korunmasında bazı temel ilkelere dayanır. Bu ilkeler hem veri sorumluları için yol gösterici hem de hukuki denetim için ölçüt niteliğindedir:
| İlke | Açıklama |
|---|---|
| a) Hukuka ve dürüstlük kurallarına uygunluk | Kişisel veriler; yalnızca kanunla öngörülen hallerde veya açık rızaya dayanarak, dürüstlük kuralına uygun biçimde işlenmelidir. Gizli, hileli ve yanıltıcı işlemler bu ilke ile bağdaşmaz. |
| b) Doğru ve güncel olma | İşlenen veriler, gerçeği yansıtmalı ve ihtiyaç oldukça güncellenmelidir. Yanlış veya eski verilerin tutulması, ilgili kişinin haklarını zedeleyebilir. |
| c) Açık ve meşru amaçlar için işlenme | Veri işleme amaçları; belirli, açık ve meşru olmalıdır. Belirsiz, muğlak veya hukuka aykırı amaçlarla veri toplanamaz. |
| ç) Bağlantılı, sınırlı ve ölçülü olma | Veriler; yalnızca işlendikleri amaçla ilgili olmalı, bu amacın gerekli kıldığı kadar işlenmeli ve amaçla bağdaşmayan fazlalıkta veri toplanmamalıdır. |
| d) Gerekli süre kadar muhafaza edilme | Kişisel veriler, işlendikleri amaç için gerekli olan süre kadar saklanmalı, bu süre dolduğunda silinmeli, yok edilmeli veya anonim hâle getirilmelidir. |
Bu ilkeler, KVKK’ya uyum sağlamak isteyen kurumların hazırlayacağı veri envanteri, saklama-imha politikası ve teknik/idari tedbirlerin de temel referans noktasıdır.
4. KVKK Uyumunda Hangi Teknolojik Gereksinimlerden Yararlanılmalıdır?
KVKK, yalnızca metin olarak uyulacak bir kanun değil; aynı zamanda kurumların teknik altyapısını güçlendirmesini zorunlu kılan bir çerçevedir. Mevzuata uyum, fiziksel güvenlik, personel farkındalığı ve danışmanlık hizmetlerinin yanında; teknolojik çözümlerle desteklenmediği sürece eksik kalır.
Verilerin amaç dışı kullanımını önlemek adına KVKK uyumluluk sürecinde başlıca şu teknoloji ve araçların değerlendirilmesi gerekir:
- Verinin şifrelenmesi (encryption),
- Verinin yedeklenmesi ve felaket kurtarma çözümleri,
- Veri sızıntısını engelleme (DLP) ve UEBA teknolojileri,
- Sızma testleri (Penetration Tests) ve zafiyet yönetimi.
4.1. Verinin Şifrelenmesi
Şifreleme, veri güvenliğinin en temel bileşenlerinden biridir. KVKK kapsamında şifreleme; yalnızca veriye erişimi yetkilendirmekle kalmaz, aynı zamanda:
- Verinin gizliliğini sağlar,
- Verinin ve kaynağının doğruluğunu teyit etmeye yardımcı olur,
- Veri bütünlüğünün korunmasında kritik rol oynar.
Özellikle taşınabilir cihazlar, bulut ortamları, yedekleme üniteleri ve uzak bağlantılar gibi ortamlarda kişisel verilerin kriptografik yöntemlerle şifrelenmesi, olası ihlallerin etkisini önemli ölçüde azaltır.
4.2. Verinin Yedeklenmesi
Verilerin; hasar, kayıp, doğal afet, sistem çökmesi veya fidye yazılımları gibi olaylar karşısında korunması için yedekleme süreçleri vazgeçilmezdir. Yedekleme:
- Olası veri kayıplarında, sistemin en kısa sürede tekrar faaliyete geçmesini sağlar,
- İş sürekliliği ve felaket kurtarma planlarının temelini oluşturur,
- Veri bütünlüğünü korumak için önleyici bir tedbir niteliği taşır.
Bu kapsamda kurumlar; sanal yedekleme, doküman yedekleme, veritabanı yedekleme, e-posta sunucusu yedekleme ve bulut yedekleme gibi farklı çözümleri birlikte değerlendirmelidir. Ayrıca:
- Cloud (Bulut) teknolojileri,
- RAID (Redundant Array of Independent Disks) yapıları,
- NAS (Network-Attached Storage) sistemleri,
- SAN (Storage Area Network) altyapıları,
- DAS (Direct-Attached Storage)
gibi depolama çözümleri ile yedeklerin güvenli, yedekli ve erişilebilir şekilde saklanması sağlanmalıdır.
4.3. Veri Sızıntısını Engelleme: DLP ve UEBA
KVKK kapsamında kurumun hassas verilerinin sistem dışına kontrolsüz biçimde çıkışı ciddi bir risk olarak görülür. Bu nedenle veri sızıntısı engelleme teknolojileri kritik önem taşır:
- DLP (Data Leak/Loss Prevention) çözümleri; kurum içindeki yazılımsal ve donanımsal kaynaklar üzerinden verinin kullanım biçimini denetler, amaç dışı kullanım, paylaşım ve aktarımı tespit ederek engeller.
- UEBA (User and Entity Behavior Analytics) teknolojisi ise; kullanıcı ve varlık davranışlarını analiz ederek olağan dışı hareketleri kaydeder ve içeriden gelebilecek tehditlere karşı ek bir güvenlik katmanı sunar.
4.4. Sızma Testleri (Penetration Tests)
Sızma testleri; sistemdeki zafiyetlerin ve hataların kötü niyetli kişilerce istismar edilmeden önce tespit edilmesini ve giderilmesini amaçlayan kontrollü saldırı simülasyonlarıdır. KVKK uyumunda sızma testlerinin rolü:
- Altyapı, uygulama ve servislerdeki güvenlik açıklarını görünür kılar,
- Risk ve tehditleri somut verilerle ortaya koyar,
- Test raporları üzerinden, zaman kaybetmeden alınması gereken güvenlik önlemlerini işaret eder,
- Siber güvenlik seviyesinin periyodik olarak gözden geçirilmesini sağlar.
Sızma testlerinin düzenli ve sürekli yapılması; yalnızca KVKK uyumunu güçlendirmez, aynı zamanda kurumu siber saldırılara karşı daha dirençli kılar.
5. Kurumlar İçin KVKK Uyum Yol Haritası
KVKK’ya uyum, tek seferlik bir “doküman tamamlama” sürecinden ibaret değildir. Sürekli iyileştirilmesi gereken bir yönetim sistemi gerektirir. Kurumların pratikte izlemesi gereken adımlar özetle şu şekilde sıralanabilir:
- Mevcut durum analizi ve veri envanteri çıkarılması,
- Kişisel veri işleme amaçlarının ve hukuki sebeplerin netleştirilmesi,
- Aydınlatma metinleri, açık rıza metinleri ve sözleşmelerin gözden geçirilmesi,
- Veri saklama ve imha politikasının hazırlanması,
- Teknik ve idari tedbirlerin (şifreleme, yedekleme, DLP, UEBA, sızma testleri vb.) uygulanması,
- Çalışanlara düzenli KVKK farkındalık eğitimleri verilmesi,
- Veri ihlali durumunda devreye girecek olay müdahale ve bildirim süreçlerinin tanımlanması.
Bu adımların her biri, hem hukuki hem de teknik boyut içerdiğinden, çoğu kurum KVKK uyum danışmanlığı ile süreci yönetmeyi tercih etmektedir.
6. KVKK Resmî Sitesi ve Uyum Sürecinizi Başlatın
KVKK hakkında güncel mevzuat, Kurul kararları, rehberler ve VERBİS duyuruları için resmî kurum sayfası temel başvuru noktasıdır. Uyum yolculuğuna yeni başlıyorsanız veya mevcut süreçlerinizi güncellemek istiyorsanız aşağıdaki bağlantıları kullanabilirsiniz:
7. KVKK Hakkında Sık Sorulan Sorular
KVKK yalnızca veri ihlali olduğunda mı devreye girer?
Hayır. KVKK; veri ihlali sonrası uygulanacak yaptırımları düzenlediği gibi, veri işleme süreçlerinin en başından itibaren nasıl yürütülmesi gerektiğini de belirler. Amaç; yalnızca ihlali cezalandırmak değil, ihlal öncesinde gerekli tedbirlerin alınmasını sağlamaktır.
Şifreleme ve yedekleme KVKK’ya uyum için zorunlu mudur?
KVKK’da teknik tedbirler somut ürün adıyla sayılmasa da, veri güvenliğini sağlamak için kurumların uygun teknik ve idari tedbirleri alması zorunludur. Uygulamada; şifreleme, yedekleme, erişim kontrolü, loglama, DLP, UEBA ve sızma testleri gibi uygulamalar KVKK uyumunun temel bileşenleri olarak kabul edilir.
Sızma testleri KVKK kapsamında neden önemlidir?
Sızma testleri; saldırgan gözünden sistemlerinizdeki açıkları ortaya çıkartarak, bu zafiyetleri kötü niyetli kişilerden önce görmenizi sağlar. Böylece hem veri ihlali riskini azaltır, hem de Kurul’un beklediği “uygun teknik tedbirlerin alınması” yükümlülüğünü yerine getirmenize yardımcı olur.
Sadece politika ve sözleşme hazırlamak KVKK uyumu için yeterli midir?
Hayır. Metinlerin hazırlanması önemli bir adımdır ancak tek başına yeterli değildir. KVKK uyumu; politikalar + süreçler + teknik tedbirler + eğitim bileşenlerinin birlikte hayata geçirilmesini gerektirir.
