Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
17. Çözüm OrtaklığıPlatformu
Kişisel Verilerin Korunması Güncel Gelişmeler
İpek Okucu - HukukOnur Korucu – SiberGüvenlik
İçindekiler
Kişisel verilerin korunması mezuatı ile ilgili Güncel Konular
Teknoloji ve Bilgi Güvenliği bakış açısı ile değerlendirmeler
Kanun’un Amacı
6698 Sayılı Kişisel Verilerin Korunması Kanunu(«Kanun»), 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarakyürürlüğe girdi. Kanun, herhangi bir sektör ayrımıgözetmeksizin, kişisel veri ile temasta bulunan tüm alanlarıdüzenlemektedir.
Ülkemizde bir ilk teşkil eden Kanun, özellikle kişisel verilerüzerinden gelir elde eden iş modelleri bakımından hayati birönem taşımaktadır.
Kanun, kişisel verilerin işlenmesini yasaklamayı değil,çeşitli kurallara bağlanmasını amaçlamaktadır.
Şirketlerin kişisel veriler ile elde edebilecekleri güç,rekabet dengelerini de doğrudan değiştirebileceği içinkişisel verilerin korunması aynı zamanda rekabetmevzuatı ışığında da etki doğurabilmektedir.
Kişisel Veri Nedir ?
Kimliği Belirli veya Belirlenebilir Gerçek Kişiye İlişkin Her Türlü Bilgi
«Kimliği belirli veya belirlenebilir gerçekkişiye ilişkin her
türlü bilgi»
Hem GDPR hem de KVKK, (i) temelhak ve özgürlüklerin korunmasını ve (ii) kişisel verileri işleyen gerçek ya da tüzel kişilerin uyacakları usul ve esasların düzenlenmesini amaçlamaktadır.
Özel nitelikli kişisel verilerin kapsamında bu iki düzenleme arasında farklar mevcuttur.
• Çalışan,• Müşteri• İş
Ortakları
Belirli veyaBelirlenebilirGerçek Kişi
HerTürlü Veri
• Ad, Soyadı, Taşıt Plakası, SGK Numarası, T.C. Kimlik No.,
• Diploma, Transkript, Öğrenci Belgesi
• Kredi Kartı, İndirim Kartı, Kişisel Toplu Taşıma Kartı vs.
• Bordro, Şahsi Vergi Beyanı, IBAN No., Fatura, Konşimento vb.
• Özgeçmiş • IP Adresleri, Çerez Bilgileri
(Cookie), Konum Bilgisi• Kişiye bağlı her türlü eşsiz/tekil
kod veya numara (telefonnumarası vs.)
• Parmak İzleri, Genetik Bilgileri, Kan Grubu, Retina Taraması
• Dernek veya Parti Üyeliği, Dini veya Felsefi İnanç
• Irk, Etnik Köken
Kişisel Veri Örnekleri
Kişisel Verilerin İşlenmesi
Kişisel Verilerin İşlenmesine İlişkin Örnekler
Kişisel veriler üzerinde gerçekleştirilen her faaliyet «işleme»
olarak kabul edilmektedir.
4
5
6
1
2
3
Veri aktarımı da bir işleme türüdür.
Aktarma
Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.
Yayma/Erişebilir Kılma
Verilerin silinmesi de bir işleme faaliyeti olarak kabul edilmektedir.
Engelleme/Silme
Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme
fiili başlamaktadır.
Toplama ve/veyaKaydetme
Dijital ya da fiziksel ortamda,kişisel verilerin saklanması,
barındırılması ya da depolanması işleme kapsamında
kabul edilir.
Organize Etme/Depolama
Kişisel verilerin, görüntülenmesi de dahil olmak üzere, her türlü
kullanımı işleme sayılır.
Kullanma/Değiştirme
Her Türlü Faaliyet
Mevzuatla Kişisel Verilerin KorumasıÖzetle Ne Şekilde Sağlanacaktır?
AydınlatmaAçık Rıza
veya İstisna İlkelere
Uygunluk
Amaç veSüre ileSınırlı
Silinir
Yok Edilir
AnonimHale
GetirilirYürürlüğe giren yeni mevzuat ile beraber kurumlar kişisel verileri ancakyukarıdaki 4 şartın aynı anda sağlanmasıyla işleyebileceklerdir. Aksitaktirde kişisel veriler silinmeli, yok edilmeli ya da anonim halegetirilmelidir.
VERBİS kaydına ilişkin notlar
1. Veri Sorumlusu Yöneticisi• Şirket kurumsal hafızasına sahip bir yönetici
2. İrtibat Kişisi ve sicile kayıt• Her tüzel kişi için ayrı irtibat kişisi belirlenmeli, özellikle grup şirketleri için önemli• E-devlet ile giriş• Veri kategorisi, amaçlar, saklama süreleri, aktarılan taraflar
3. Sicil Sorgulama• Kamuya açık• Şu anda yaklaşık 1.000 şirket VERBİS kaydı yaptırmış durumda
* Hazırlanan envanterlerin VERBİS sistemi ışığında gözden geçirilmesi gerekir.
Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekildeİnternet ve Sosyal Medya Mecralarında Paylaşılması
İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusunaait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;
6698 sayılı Kişisel Verilerin Korunması Kanununun 12 ncimaddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
K01
İş Başvuru Sürecinde İşlenen Kişisel Verilerin HukukaAykırı Şekilde Paylaşılması
İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 ncimaddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 ncimaddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
K02
Kişisel Veri Güvenliği İhlalinin Geç Bildirimi
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;
Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yiaşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
K03
Kişisel Veri Güvenliğinin Sağlanması Amacıyla UygunGüvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdarive Teknik Tedbirlerin Alınmaması
Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;
Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerialmayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idariişlem tesis edilmesine karar verilmiştir.
K04
Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması
Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde verisorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 incimaddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetimindensorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
K06
Kurul’un vermiş olduğu diğer bazı kararlar
• Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin karar
• Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları ile ilgili karar
• Özel Nitelikli Kişisel Verilerin İşlenmesinde VeriSorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili karar
• Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik karar
• Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik karar
K07
Türkiye’de KVKK öncesinde yaşanan problemler
o Bulutta kişisel verilerin hiçbir kurala tabi olmaksızın aktarılması.
o Kişisel verilerin işlenmesinin sınırsızlığı.
o Mahremiyet anlayışının ülke kültür ve iş yapış modellerindeki yoksunluğu
o Veri Yönetişimi modellerinde teknoloji çözümlerinin yetersizliği.
o EUROPOL ile güvenlik birimlerimiz arasında elektronik veri paylaşımı,
o Yabancı yatırımcının Türkiye’ye gelmesi ve yatırımını global olarak yönetmesi,
Dünya’daki Veri Koruması Yaklaşımları
KapsamlıModel(AvrupaBirliği)
SektörelDüzenlemeModeli (ABD,Japonya)
BirlikteDüzenleme-Öz DüzenlemeModeli(Avustralya)
DüzenlemesiOlmayanÜlkeler (Çin)
Dünya’daki Veri Koruması YaklaşımlarıAB ve ABD Yaklaşımları
• Dünyadaki en ağır kişisel veri koruması kuralları,
• Gittikçe genişleyen kapsam,• Gittikçe ağırlaşan yaptırımlar,• AB sınırları dışını da kapsayan düzenlemeler,• Uluslararası veri transferinin çok ağır kurallara
bağlanması
• İfade Özgürlüğünün Mahremiyet hakkına karşı üstünlüğü,
• «Business-friendly» yaklaşımlar,• Genel düzenlemeler yerine sektörel
düzenlemelere ağırlık verilmesi.
GDPR’ın Dünyadaki Statüsü
95/46 Sayılı Direktif AB’ye üye devletlerin
kendi iç hukuklarına implamantasyonugerekir.
GDPRHiçbir implamantasyona
gerek duyulmaksızın direk uygulanabilirliği olması.
Dünyada her dakika 1.7 milyon Gigabayt veri üretilmektedir*.(360.000 DVD’yi dolduracak miktarda veri)
*Avrupa Komisyonu’nun «Büyük Veri» başlıklı ve 13/965 sayılı bilgilendirme notundan
Uzmanlar 2020 yılı itibari ile %4300 oranında bir veri üretimi artışı yaşanacağını belirtmektedirler.
Kullanıcılar 2018 yılında verilerin 1.4 EB’ınıdepoladılar.
2020 yılında, üretilen verilerin 1/3’ü Bulut Bilişim üzerinden kullanılacağı veya üretileceği belirtilmektedir.
Bilinen Markaların Kişisel Veri Sızıntıları
2013
2014
2015
2016
2017
Yahoo1.000.000.000
JPMorgan76.000.000
UPS4.000.000Ebay
145.000.000
Dailymotion85.200.000
Instagram6.000.000
Snapchat1.700.000
River City Media1.370.000.000
Uber50.000
HSBCTürkiye2.700.000
Gmail200.000.000
Veri Temelli EkonomiVeri Temelli Ekonominin Dayanağı: Veri Koruması
Bugüne kadar görülmemiş hacimdeki verinin elde edilmesi
karşısında, kişilere ait verilerin korunması büyük
önem kazanmıştır.
Büyük Veri
Günlük olarak kullandığımız nesneler, bizler hakkındaki en
detaylı ve hassas verileridevamlı olarak kaydetmektedir.
Nesnelerin İnterneti
Büyük hacme sahip verilerinişlenmesi için çok büyük işlem gücüne ihtiyaç duyulmakta, buda bulut bilişim sayesinde mümkün olmaktadır. Bulut bilişim çoğu durumda uluslarası veri trasnferlerini gerektirmektebu da uyumuluk sorununuortaya çıkarmaktadır.
Bulut Bilişim
Verilerin korunması konusundaki hukukisorumluluğun kime ait olduğu konusunda uluslararası konumlandırma sağlar.
Veri Merkezleri
Büyük Veri «Big Data» & «Privacy by Design»
Nesnelerin İnterneti «IoT»
Bulut Bilişimi «Cloud Computing»
Kişisel Veriler için Bilgi GüvenliğiVeri Sızıntısı
E-ticaret ve ödeme sistemine etki eden
zararlı yazılım kaynaklı veri sızıntısı
Veri işleyen ve Veri sorumlusu arasında
sözleşmesel teknik yaptırımlar
Yazılım versiyon kontrolü
Kimlik doğrulama
Güvenlik olay izleme
Düzenli yedekleme
Veri yönetişimi
Veri Yönetişimi «Data Governance» Kişisel Veri Haritası
02
03
01Kişisel Veriyi Tespit Et
Kişisel Veriyi Doğru Yöntemlerle İşle
Kişisel Veriyi Yönet
Teşekkürler