3.1. Veri Koruma Artık Sadece Hukukun Değil, BT’nin de Gündemidir

Veri güvenliği sadece hukukun değil, teknik altyapının da omurgasıdır. BT yöneticileri KVKK ve GDPR ile birebir çalışmalıdır.

3.2. KVKK ve GDPR: Temel Kavramlar

3.2.1. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir.

(Örnek: Ad-soyad, T.C. kimlik numarası, telefon numarası, e-posta adresi, IP adresi)

3.2.2. Özel Nitelikli Veri: Kişinin ayrımcılığa uğramasına neden olabilecek hassas nitelikteki kişisel veriler.

(Örnek: Sağlık bilgileri, dinî inanç, ırk, cinsel yönelim, siyasi görüş, ceza mahkûmiyeti, parmak izi, biyometrik veriler)

3.2.3. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır.

(Örnek: “Kampanya ve tanıtım e-postaları almak istiyorum.” kutucuğunun kullanıcı tarafından işaretlenmesi)

3.2.4. Veri Sorumlusu / Veri İşleyen:

• Veri Sorumlusu: Veri işleme amacını ve vasıtalarını belirleyen kişi veya kurumdur.

• Veri İşleyen: Veri sorumlusunun talimatlarıyla veriyi işleyen kişi veya kurumdur.

  (Örnek: Bir e-ticaret şirketi (veri sorumlusu), bulut sunucuda veri barındıran firma (veri işleyen))

  
  

3.2.5. KVKK – GDPR Karşılaştırması:

3.3. BT Departmanı Neden Doğrudan Sorumludur?

3.3.1. KVKK Madde 12: Veri güvenliğini sağlamakla yükümlü kılar. Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, verileri korumak için teknik ve idari tedbirleri almakla yükümlüdür.

👉 BT altyapısının log, erişim kontrolü, yedekleme gibi unsurlar bu kapsamda BT'nin sorumluluğundadır.

3.3.2. GDPR: Privacy by Design / Default: Veri koruması, sistemin en başından itibaren tasarıma entegre edilmelidir.

Yani bir sistem tasarlanırken güvenlik ve gizlilik ilkeleri mimariye gömülmelidir.

Örnek: Gereksiz kişisel veri toplanmamalı, minimum erişim ilkesi uygulanmalıdır.

3.3.3. Veri İhlali Bildirim Zorunluluğu: İhlal durumunda belirli süre içinde otoriteye bildirim yapılmalıdır.

• KVKK: En kısa sürede Kurul’a bildirim zorunludur.

• GDPR: 72 saat içinde denetim otoritesine bildirim yapılması şarttır.

  Bu bildirim için gerekli teknik verileri sağlayacak birim doğrudan BT’dir.

3.4. KVKK/GDPR Uyumlu BT Yönetimi İçin Teknik Zorunluluklar

3.4.1. Erişim Yetkilendirme: Verilere kimlerin, ne zaman ve hangi kapsamda erişeceği sınırlandırılmalıdır.

👉 Kullanıcılar yalnızca görev tanımlarına uygun verilere erişebilmeli; erişim seviyeleri rol bazlı tanımlanmalıdır.

3.4.2. Log Yönetimi: Tüm erişim, işlem ve değişiklik kayıtları yasalara uygun şekilde tutulmalıdır.

👉 Loglar zaman damgalı, değiştirilemez ve gizliliği koruyacak şekilde saklanmalı, denetimlerde delil olarak kullanılabilir olmalıdır.

3.4.3. Yedekleme ve Saklama Süreleri: Kritik veriler düzenli olarak yedeklenmeli, yasal saklama süreleri dikkate alınmalıdır.

👉 Gereğinden fazla veri saklanmamalı, süre dolduğunda güvenli biçimde silinmeli ya da anonimleştirilmelidir.

3.4.4. Şifreleme ve DLP Önlemleri: Veri iletimi ve saklaması sırasında güçlü şifreleme uygulanmalı, veri sızıntısı önlenmeli.

👉 E-posta, taşınabilir cihazlar ve veri transferleri için DLP (Data Loss Prevention) sistemleri kullanılmalıdır.

3.5. Yurtdışına Veri Aktarımı ve Bulut Sistemleri

3.5.1. KVKK’da Yurt Dışı Aktarım Şartları: Veri yurt dışına aktarılmadan önce açık rıza alınmalı veya Kurul’un belirlediği yeterli korumaya sahip ülkelerden birine aktarım yapılmalıdır.

👉 Alternatif olarak veri sorumluları arasında taahhütname imzalanmalı ve imzalanan standart sözleşmeler imza tarihinden sonraki 3 gün içerisinde kurula bildirilmelidir.

3.5.2. GDPR’da SCC ve Taahhütnameler: AB dışına veri aktarımında “Standard Contractual Clauses (SCC)” veya “Binding Corporate Rules (BCR)” gibi hukuki mekanizmalar kullanılmalıdır.

👉 SCC’ler, taraflar arasında veri güvenliği standartlarını sağlayan ve denetimlere açık hükümler içerir.

3.5.3. Bulut Hizmetlerinde Uyum Sorunları: Verilerin hangi ülkede tutulduğu, hangi hizmet sağlayıcılarca işlendiği ve sözleşme detayları net olarak belirlenmelidir.

👉 Veri merkezlerinin yeri, veri sahipliği, şifreleme düzeyi ve silme politikaları mutlaka kontrol edilmelidir.

3.6. Uygulamada BT Yöneticisinin Sorumlulukları

3.6.1. Teknik Mimarinin Uyumlu Kurulması: Sistem altyapıları, veri güvenliği ve mevzuata uyum ilkeleri gözetilerek tasarlanmalıdır.

3.6.2. Aydınlatma Süreçlerine Destek: Kullanıcılara yönelik aydınlatma metinlerinin teknik olarak gösterimi ve kayıt altına alınması BT tarafından sağlanmalıdır.

3.6.3. Tedarikçi Değerlendirme ve Sözleşmeleri: Kişisel veri işleyen dış hizmet sağlayıcıların sözleşmeleri, veri güvenliği ve sorumluluk açısından incelenmelidir.

3.6.4. BT Yöneticisinin Dikkat Etmesi Gereken Kritik Konular: Erişim yönetimi, veri paylaşımı, açık rıza süreçleri gibi alanlarda hem operasyonel hem hukuki hassasiyet gösterilmelidir.

3.7. Örnek Senaryolar: Teknik Uygulamanın Hukuki Sonuçları

3.7.1. Yetkisiz Erişim: Görevi olmayan bir çalışanın hassas verilere erişmesi, veri ihlali sayılır ve kuruma ceza doğurabilir.

3.7.2. Eksik Log Kaydı: Sistem hareketleri düzgün loglanmadığında, veri ihlali sonrası sorumluluk ve delil ortaya konulamaz.

3.7.3. Açık Rıza Olmadan Veri Aktarımı: Kişisel verilerin rıza alınmadan üçüncü taraflara veya yurtdışına aktarılması ciddi mevzuat ihlallerine neden olur.

3.8. BT Departmanı için KVKK/GDPR Uyum Checklist’i

3.8.1. Veri Envanteri: Kurum içindeki tüm kişisel veri türleri, konumları ve işleme amaçları dokümante edilmelidir.

3.8.2. Rol Bazlı Erişim Yönetimi: Çalışanlara yalnızca görevleri kapsamında gerekli verilere erişim yetkisi tanımlanmalıdır.

3.8.3. Loglama ve İzleme: Tüm veri erişim ve işlem aktiviteleri kayıt altına alınmalı ve düzenli olarak izlenmelidir.

3.8.4. İhlal Müdahale Planları: Veri ihlali durumunda izlenecek adımlar, sorumlular ve iletişim süreçleri önceden belirlenmiş olmalıdır.

3.9. Sonuç: Hukuki Uyum, BT’nin Yeni Normalidir

KVKK ve GDPR artık sadece uyum değil, kurumun sürdürülebilirliği için zorunluluktur. BT bu sürecin teknik lideridir.