Kişisel Verilerin Korunmasında Güncel Yöntemler

Akıllı telefonların yaygınlaşması, mobil uygulamalar ve çeşitli sosyal medya platformlarının kullanımının artması ile kişisel verilerin gizliliğini korumak giderek zorlaşıyor. Artık kişilerin internette geçirdikleri vakitlerin, kişisel tercihlerinin ve yaptıkları eylemlerin saniyeler içinde analiz edilmesi mümkün. Bu durum bir güvenlik açığı oluşturarak kişisel verilerin kötüye kullanımına sebep oluyor ve kullanıcıları kişisel verilerinin gizliliği hakkında endişeye sevk ediyor. Peki kişisel verilerin korunması nedir, bu doğrultuda kullanılabilecek güncel yöntemler nelerdir? Gelin bu soruların cevaplarına birlikte göz atalım.

KVVK Nedir?

6698 sayılı Kişisel Verilerin Koruması Kanunu (KVKK), Türkiye’de kişisel verilerin korunmasına, saklanmasına, işlenmesine, değiştirilmesine veya silinmesine ilişkin konuları içeren, Türkiye Büyük Millet Meclisi tarafından yasalaştırılmış ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanmış bir düzenlemedir. KVKK, sorumluların kanunla belirlenmiş kuralların dışına çıkmaları durumunda yaptırımlarla karşılaşabilecekleri hukuki bir düzenlemedir. Kişisel Verileri Koruma Kurumu, kişilerin temel hak ve özgürlüklerini korumak için kişisel verilerin işlenmesinde uygulanacak usulleri belirlemekle görevlidir. Kişisel veriler, 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) hükümlerine uygun olarak işlenmelidir. İşlenen kişisel veriler ise yasal zorunluluklar hariç olmak üzere kişilerin talepleri doğrultusunda veya saklanma amacı ortadan kalktığında kişisel verileri işleyen sorumlular tarafından silinmelidir.

İlgili kişiler, veri sorumlularına başvurarak kişisel verilerinin işlenip işlenmediğini öğrenebilir, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilir ve kişisel verilerinin yurt içi/ yurt dışında aktarıldığı üçüncü şahısları öğrenebilir. Bununla birlikte ilgili kişi, kişisel verilerinin eksik ve yanlış işlendiğini düşünüyorsa bunun düzeltilmesini veri sorumlusundan talep edebilir veya KVKK’nın 7. maddesinde belirtilen şartlar çerçevesinde tamamen silinmesini isteyebilir. Kişisel verilerin hukuka aykırı olarak işlenmesi sebebiyle zarar gören ilgili kişiler, uğradığı zararın giderilmesini talep edebilirler. Tüm bu hususlar da Kişisel Verileri Koruma Kanunu’nun 11. maddesi kapsamında ilgili kişinin hakları başlığı altında düzenlenmiştir.

Kişisel Veriler Nasıl İşlenir?

Kişisel verilerin işlenmesi, kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilginin (ad-soyad, yaş, cinsiyet, doğum yeri vb.) tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Veri kayıt sisteminin yönetilmesinden sorumlu gerçek veya tüzel kişiye ise veri sorumlusu denir Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirler, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumludur.

Kişisel verilerin işlenmesinde şu ilkelere uyulması zorunludur:

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlarla işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanma.

KVKK kapsamında kişisel verilerin işlenmesi bazı şartlara tabi tutulmuştur. Şöyle ki; Kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkansızlık sebebiyle kendi rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. ,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarının kişisel bilgilerini paylaşmaları gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun menfaatleri için verilerin işlenmesi zorunlu olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

Özel Nitelikli Kişisel Veriler Nelerdir?

Özel nitelikli kişisel verilerin işlenmesi kişisel verilerin işlenmesinden ayrı tutularak KVKK’nın 6. maddesinde özel olarak düzenlenmiştir. Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. KVKK’da özel nitelikli kişisel veriler sınırlı sayma yoluyla belirlenmiştir ve bunların genişletilmesi mümkün değildir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kişisel Verilerin Korunmasında Dikkat Edilmesi Gerekenler

Günümüzde internet dolandırıcılıklarının artması, kişisel verilerin korunması konusunda bireylerin daha hassas davranmalarına neden olmuştur. Kullanıcılar, gizlilik ihlallerinden kaçınmak için ve verilerinin kötü niyetli kişilerce kullanılmasının önüne geçmek için birtakım tedbirler alma yoluna gider. Bu noktada kurumların yanı sıra kullanıcılara da büyük rol düşer. Çünkü kullanıcıların yaptıkları hatalar güvenlik açıkları oluşturabilir ve hesaplarını savunmasız duruma getirebilir. Bu sebeple dijital dünyada güvenliği sağlamanın yolları alınacak basit önlemlerden geçmektedir. Bu konuda yapabilecekler ise şu şekilde sıralanabilir:

• Veri Güvenliği ve Şifrelerin Korunması: Yapmanız gereken ilk şey elbette kişisel bilgilerinizi ve kullanıcıya özel şifrelerinizi üçüncü şahıslarla paylaşmamanızdır. Ayrıca uçtan uca şifreleme metodu kullanımı ve uygun virüs yazılımlarıyla oluşabilecek güvenlik açıklarının önüne geçebilirsiniz. Örneğin SSL şifreleme kullanan web sitelerini tercih etmek kişisel verilerinize ulaşılmasını engelleyecek adımlardan biridir.
• Belirli Periyotlarda Şifrelerin Değiştirilmesi: Düzenli aralıklarla banka/sosyal medya/e-mail gibi kişisel verileri içeren hesapların kullanıcı giriş şifrelerini değiştirmek önemli noktalardan biridir. Ayrıca basit şifreler yerine uzun ve güçlü şifreler belirleyerek verilerinizi daha iyi koruyabilirsiniz. Ek olarak kredi kartı ve banka (debit) kartı ile yapılan işlemlerde dolandırıcılıkların önüne geçmek için şifrelerinizi düzenli olarak değiştirmeniz önemlidir.
• Veri Paylaşımı: Yetkisiz kişi/kurumlarla kişisel veri (ad, soyad, adres, cep telefon numarası, doğum yeri, doğum tarihi vb.) paylaşımı yapılmamalıdır. Kullandığınız sosyal medya hesaplarında gizlilik ayarlarını kontrol etmeli, hangi bilginin ne derecede paylaşıldığını gözden geçirmelisiniz. Paylaşılan veriler üçüncü şahıslar tarafından elde edilebileceğinden bahsi geçen kontroller dolandırıcılık önleme noktasında faydalı olacaktır.
• Kamuya Açık İnternet Ağları: Dışarıdayken mobil internet yerine bir Wi-Fi ağını kullanmak tercih edilen bir seçenektir. Ancak bu durumda herkese açık olan Wi-Fi ağlarını kullanırken dikkat etmelisiniz. Çünkü siber saldırı gerçekleştirme niyetinde olan kişilerin ücretsiz ve sahte Wi-Fi ağları oluşturdukları bilinen bir durumdur.
• Kimlik Doğrulama ve Erişim: Kimlik doğrulama amaçlı SMS içerikleri veya mobil onaylar dikkatle incelenerek gerçek web adresleri veya uygulamalardan paylaşılmalıdır/verilmelidir. Diğer yandan https içeren web siteleri üzerinden işlem yaptığınızdan emin olmalı, işlem sonrası ise oturumlarınızı kapatmalısınız. Mobil bankacılık uygulamalarında güvenlik önlemleri gereği bu adımı atlamamalısınız.
• Cihaz ve IP Adresi: Özellikle banka bilgileri ile giriş yapılacaksa genel kullanıma açık bilgisayarların tercih edilmemesi gerekir. İçerisinde zararlı yazılımlar bulunabileceğinden bilgilerinizin çalınma ihtimali yüksektir. Bir diğer önemli konu ise IP adresidir. IP adresini gizlemek kişisel verileri korumak adına yapılabilecek uygulamalar arasında yer alır.
• Depolama Alanları: Sosyal platformların yanı sıra birçok depolama alanı kişisel verilerin izlerini taşıyan yerler olabilir. Örneğin herkese açık paylaşımların yapılabildiği Google Docs gibi uygulamalarda kişisel verilerle alakalı bilgi ve belgelerin bulundurulmadığına emin olmak çok önemlidir. Aksi takdirde kişisel bilgiler kötü niyetli şahısların eline kolayca geçebilir.
• Çerezler ve İzinler: Mobil uygulamaları veya tarayıcıları kullanırken hangi izinlerin istendiği kontrol edilmelidir. Birçok uygulama telefona yüklendiğinde özel izinler gerektirir. Bunların hangileri olduğu ve ne amaçla kullanıldıkları gözden geçirilmelidir. Yalnızca gerektiği takdirde onaylanmalıdır. Ek olarak internet sayfaları arasında dolaşırken birtakım “çerez” adı verilen tanımlama dosyaları bilgisayar veya telefonlara bulaşmış olur. Kişileri takip etmeye yarayan bu çerezleri düzenli olarak temizlemeniz gizlilik ihlallerini en aza indirir.
• Bildirim: Yetkisiz kişi/kurumlarla veri paylaşımı yapıldığı düşünülüyorsa etkileneceği düşünülen kurumlara bilgi verilmelidir. Günümüzde kurum adları kullanılarak yapılan dolandırıcılık işlemleri artmıştır. Böyle bir durumla karşılaştığınızda yetkili kişilere haber vermeniz dolandırıcıların tespiti için önemlidir.

Yukarıda sıralanan tüm önlemler, kişisel verilerin korunmasında bireylere düşen sorumluluklardan bazılarıdır. Kurumların bu yönde alacakları tedbirler büyük önem arz ederken, bireysel kullanıcıların atacakları basit ve küçük adımlar da birçok zararlı etkiyi ortadan kaldırabilir. Siz de bu detaylara dikkat ederek kişisel verilerinizi korumak için önlem alabilirsiniz.