Reklamsız Kullan
FacebookTwitterLinkedinWhatsappMessengerMail
begenmeler
0
yorumlar
0
kaydet

Diyetisyenler için KVKK-1

Bir diyetisyen olarak KVKK sorumluluklarını yerine getirmemek sizi ne gibi sorunlarla karşılaştırabilir? VERBİS kaydı nedir? Kayıt olmamanın yaptırımları nelerdir? Hepsi ve daha fazlası için okumaya devam edin.

Diyetisyenler için KVKK-1

Değerli Diyetisyenlerimiz,

Diyetkolik ile yaptığımız (ve katılmak istemeniz halinde sizleri de kapsayan) Kişisel Verilerin Korunması Uyum Programımız çerçevesinde farkındalığı artırmak ve çok sık yeni kararların çıktığı bu alanda güncel gelişmeleri birlikte takip edebilmek adına bir yazı serisi hazırlamak ve belli aralıklarla sizlerle buluşmak istedik.

Diyetisyenler için KVKK başlıklı bu yazı serimizin ilk yazısına hoş geldiniz. Diyetkolikle birlikte düzenlediğimiz webinarımıza benzer şekilde bu yazılarda da Kişisel Verilerin Korunması Kanunu’nun sizleri ilgilendiren bölümlerini ve yükümlülüklerinizi ele alacağız.

Öncelikle Kişisel Verilerin Korunması Kanunu’nda (“ KVKK ”) yer alan ve sıklıkla karşımıza çıkan tanımlarla başlayalım.

Kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Boy ve kilo verisi kişisel veri midir? Evet, kimliği belirli veya belirlenebilir gerçek kişiye ait ise kişisel veridir.

Özel nitelikli kişisel veri nedir? Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin önemi nedir? Özel nitelikli kişisel veriler, ayrımcılığa sebebiyet verme ihtimalleri nedeniyle özel olarak tanımlanmıştır ve daha sıkı tedbirler alarak muhafaza edilmeleri gerekmektedir.

Kişisel verilerin işlenmesi ne anlama geliyor? Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Siz kişisel veri işliyor musunuz? Danışanlarınız var ise, danışanlarınızın kişisel verilerini kaydediyor, analiz ediyor, bilgisayarınıza aktarıyor iseniz, kişisel veri işliyorsunuz.

Veri sorumlusu ne demek? Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Siz veri sorumlusu musunuz? Kendi danışanlarınız var ise, hangi kişisel verileri toplayacağınızı, hangi amaçlarla ve araçlarla işleyeceğinizi siz belirliyorsanız, kişisel verileri siz yönetiyorsanız, kişisel verilerin imhasına ilişkin kuralları siz belirliyor iseniz, evet veri sorumlususunuz.

Veri sorumlusu neler yapmalı, yükümlülükleri neler? Veri sorumlusunun KVKK ve ikincil mevzuatlarda düzenlenmiş birçok yükümlülüğü var. Öncelikle muhtemelen duyduğunuz VERBİS kaydı yükümlülüğü ile başlayalım ve sonra kişisel verilerin güvenliğinin sağlanmasına ilişkin yükümlülüklerinizle devam edelim.

1- VERBİS NEDİR? DİYETİSYENLER VERBİS KAYDI YAPTIRMAK ZORUNDA MI? VERBİS KAYDI NASIL YAPILIR? VERBİS KAYDI NE ZAMAN KADAR YERİNE GETİRİLMELİ?

VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’dir. Diyetisyenlerin faaliyet alanı özel nitelikli kişisel veriler (sağlık verileri) olması sebebiyle VERBİS’e kayıt yükümlülüğü vardır, bu kayıt yükümlülüğü çalışan sayısından ve/veya yıllık cirodan bağımsızdır, çalışma alanının hassas olmasından kaynaklanmaktadır. VERBİS kaydı, kişisel veri işleme süreçlerinizi kaydettiğiniz Kişisel Veri Envanterinizin bir özetini VERBİS’e işleyerek yani kamu ile paylaşarak yapılır. VERBİS kullanıcı adı ve şifresi almak, VERBİS kaydının tamamlanması demek değildir. VERBİS kullanıcı adı ve şifresi alındıktan sonra İrtibat Kişisi atanmalı ve sonrasında VERBİS’e girişler yapılmalıdır, son olarak da VERBİS kaydı yayınlanmalıdır. VERBİS sorgulama ekranında ( https://verbis.kvkk.gov.tr/Query/Search ) sorgulama yaptığınızda şirketinize (şahış şirketi veya ticari şirket) ulaşamıyorsanız, bu VERBİS kaydınızın tamamlanmadığı anlamına gelecektir.

VERBİS kaydınızı 31 Aralık 2021 tarihine kadar tamamlamanız gerekiyordu, eğer VERBİS kaydınızı tamamlamadıysanız ivedilikle tamamlamanız gerekmektedir. VERBİS kaydı bir kere yapılınca biten bir süreç midir? Hayır, VERBİS kaydı tıpkı Kişisel Veri Envanteriniz gibi yaşayan bir süreçtir, kişisel veri işleme süreçlerinizdeki tüm güncellemeleri envanterinize ve VERBİS kaydınıza yansıtmaya devam etmeniz gerekir.

VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmemenin cezası nedir? Kişisel Verileri Koruma Kurulu bu yükümlülüğü yerine getirmeyenler hakkında 53.576 TL ile 2.678.866 TL arasında idari para cezası verir.

2-VERİ SORUMLUSU, KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN HANGİ TEDBİRLERİ YERİNE GETİRME YÜKÜMLÜLÜĞÜ ALTINDADIR? ÖZEL NİTELİKLİ KİŞİSEL VERİLER İÇİN ALINMASI GEREKEN İLAVE TEDBİRLER SÖZ KONUSU MU?

Kişisel Verilerin Korunması Kanunu’nun 12. maddesine göre veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Kişisel verilerin güvenliğinin sağlanması için alınması gereken tedbirler Kişisel Verileri Koruma Kurulu’nun Kişisel Veri Güvenliği Rehberi’nde [1]  detaylı şekilde düzenlenmiştir.

  • Özet olarak bu rehberde belirlenen teknik güvenlik tedbirleri şunlardır: yetki matrisi, yetki kontrol, erişim loğları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, silme, yok etme veya anonim hale getirme, anahtar yönetimi.
  • Rehberde belirlenen idari güvenlik tedbirleri ise şunlardır: kişisel veri işleme envanteri hazırlanması, kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.), sözleşmeler (veri sorumlusu - veri sorumlusu, veri sorumlusu - veri işleyen arasında), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.), eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun), Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) bildirim.

Öte yandan, bu rehbere ek olarak Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" başlıklı Kararı’nın [2] diyetisyenler tarafından anlaşılması ve uygulanması büyük önem arz etmektedir.

Bu Kurul Kararı uyarınca özel nitelikli kişisel verilerin güvenliğini sağlamak için alınması gereken özel tedbirler nelerdir?

  • Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürünüz olmalıdır.
  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler vermeli; gizlilik sözleşmeleri yapmalı; verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarını ve sürelerini net olarak tanımlanmalı; periyodik olarak yetki kontrolleri gerçekleştirilmeli; görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmalı ve tahsis edilen veriler iade alınmalıdır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilmeli; kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalı; veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmalı; verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmeli; gerekli güvenlik testleri düzenli olarak yapılmalı/yaptırılmalı, test sonuçları kayıt altına alınmalı; verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmalı, bu yazılımların güvenlik testleri düzenli olarak yapılmalı/yaptırılmalı, test sonuçları kayıt altına alınmalıdır.
  • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi ile erişim sağlanmalıdır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmalı; bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmelidir.
  • Özel nitelikli kişisel veriler aktarılacaksa verilerin e-posta yoluyla aktarılması gerekiyorsa veriler şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı; taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtarın farklı ortamda tutulmalı; farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmelidir.
  • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizlilik dereceli belgeler” formatında gönderilmelidir.

Kişisel verilerin güvenliğinin sağlanması yükümlülüğünü yerine getirmemenin cezası nedir?

  • Kişisel Verilerin Korunması Kanunu’na göre 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 TL ile 1.966.862 TL arasında idari para cezası uygulanır.
  • Türk Ceza Kanunu Madde 136/1’e göre de kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.

Sonuç olarak, ilk yazımızın sonuna gelirken kazanmamız gereken en önemli farkındalık, VERBİS kaydının bu kanun kapsamındaki tek yükümlülüğünüz olmadığı olmalı. Yazı serimizin bir sonraki bölümlerinde görüşmek üzere.Veri Sorumlusu olarak yükümlülüklerine ilişkin daha fazla bilgi için webinarımızın ilgili bölümüne buradan  ulaşabilirsiniz.

Hazırlayan: Av.Nazlı Hilal Kaya

FacebookTwitterLinkedinWhatsappMessengerMail

Yorumlar

User