Embed Size (px)
Citation preview
Kişisel Verilerin Korunması
BİZNET BİLİŞİM
Ateş Sünbül
PCI DSS ve BT Danışmanlık Yöneticisi
DanışmanlıkHizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve BilgiGüvenliği
E-fatura
Denetim Hizmetleri
ÖzgünYenilikçi
Yazılımlar
Sızma Testleri
Kimlik ve Erişim Yönetimi
ISO27001Bilgi Güvenliği
Yönetim Platformu
• Sadece ağ ve bilgi güvenliği üzerineentegrasyon, danışmanlık, test ve denetimhizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelenkurumlarda çok fazla sayıda kimliği yönetenbaşarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıranözgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSAsertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’eçoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerindeçalışanı bulunmaktadır.
2000 yılından bu yana...
Siber Güvenlik alanında yenilikçi ve öncü çözümler üreterek fark yaratan küresel bir marka olmaktır.
En değerli varlık olan bilginin, siber tehditlere karşı güvenliğinin sağlanması için bütünleşik, etkin ve sürdürülebilir çözümler üretmektir.
AĞGÜVENLİĞİ
MOBİLGÜVENLİK
UYGULAMA GÜVENLİĞİ
ERİŞİM YÖNETİMİ
UYUMLULUK HİZMETİ
KİMLİK YÖNETİMİ
VERİ GÜVENLİĞİ
6698 sayılı Kişisel Verilerin Korunması Kanunu, 95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir
• 6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016
tarihinde resmi gazetede yayınlanarak artık yürürlüğe girmiş
bulunmaktadır.
• Kanunun amacı kişisel verilerin işlenmesinde başta özel
hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve
tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemek olarak adreslendi.
• Kapsamına baktığımızda ucundan kıyısından müşteri
bilgilerini ilgilendiren herkes kapsama dahil oldu.
• Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda
tedarikçiyle çalıştığını düşündüğümüzde tedarikçi yönetimi ve
güvenlik konuları tekrar değinilmesi gereken bir konu olarak
görülmektedir.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel bilgi sayılır !
Her Türlü Bilgi• Bilginin niteliğine ilişkin hiçbir sınırlama yok - İsim, kimlik
bilgisi, alışkanlıklar, görüntü, ses, biometrik bilgiler vs.
Kişiye İlişkin• İçerik veya amaç veya sonuç bakımından kişi ile ilgili olması
yeterlidir
Kimliği Belli/Belirlenebilir
• Doğrudan veya dolaylı olarak kişinin tanımlanmasında kullanılabilmesi yeterlidir.
Takma Ad Kullanımı (Pseudonymisation)
• Teknik olarak kişinin gerçek kimliği hakkında bilgi edinmek mümkün olduğu için kişisel veri sayılır - Ancak çok etkili bir koruma yöntemi olması dolayısıyla önemlidir.
Verinin anonim hale getirilmesi ile kişinin gerçek kimliği hakkında bilgi edinmek mümkün
olmayacağından bunlar kişisel veri sayılmaz..
Tamamen veya kısmen otomatik olan ya da veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla yapılan işlemlerdir.
Elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi vs.
Veri İşleyen
• Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyendir.
Veri Sorumlusu
• Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumludur.
Veri sorumlularının kurulacak sicile kaydı zorunludur !
Temel İlkeler
İşlenme amacı ile sınırlı olma
(purpose limitation)
Hukuka uygunluk (lawful
processing)
Gereğinden uzun süre saklamama
Doğruluk vegüncellik
(quality of data)
Belirli açık ve meşru amaçlar
için işlenme (proportionality)
Kişisel veri işlenirken daima bu kurallara uyulacak istisnası yok!
Verinin Kimlere
Aktarılabileceği
Kişisel Verileri Toplama
Yöntemi ve Hukuki
Dayanak
İşleme Amacı
Veri Sahibinin Hakları
İşleyenin Kimliği
Kanunda açıkça
öngörülme
Rızanın imkansızlığı
ve hayati durum
Sözleşmenin kurulması ya
da ifası
Hukuki yükümlülük
Veri sahibinin alenileştirmesi
Hakkın kurulması için
zorunluluk
Veri sorumlusunun
meşru menfaati
Genel kural olarak açık ve bilinçli rıza gereklidir !
RIZA OLMAZSA…
Açık ve bilinçli rıza ya da açık kanun hükmü olmadan işlenemez
Sağlık ve cinsel hayata ilişkin verilerde özel
düzenleme
Bu verilerin işlenmesi bakımından Kurul ilave
güvenlik önlemleri alacak
Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer
inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
Bu iki şartın içinin nasıl doldurulacağı kritik !
Açık ve bilinçli rızaVeri sorumlusunun meşru
menfaatiVeri sahibinin…
• Herhangi baskı altında olmadan
• İşleme amacı ve sonuçlar
hakkında detaylı olarak
bilgilendirilerek
• Kapsamı açıkça anlaşılabilecek
biçimde
işlemeye razı olması gerekir
• Türkiye’de kural açık rıza
• Bazı durumlarda açık rıza alınması
çok zor
• AB’de veri sahibine opt-out imkanı
verilmesi yoluyla veri işlenebiliyor
• Ancak bu uygulamada açık rıza söz
konusu değil
• Veri sorumlusunun meşru menfaatlerinin
kapsamı çok geniş…
• Hakkın kullanılması (ör: basın
özgürlüğü)
• Satış ve pazarlama için reklam
yapılması
• Çalışanların takip edilmesi
• Kamu menfaati
• Veri güvenliğinin sağlanması
• Araştırma ya da istatistik oluşturma
amacı
• Meşru menfaatin varlığı yeterli değil,
önemli olan menfaatler dengesinin
sağlanması
Koşulsuz olarak kolayca kullanılabilecek opt-out hakkı
Veri sahibi için kanunen gerekli olandan daha fazla şeffaflık (işlemeye ilişkin)
Kanunen gerekli olandan daha sıkı veri güvenliği tedbirleri
Verinin toptanlaştırılması (aggregation) anonimleştirilmesi ya da takma ad kullanımı
Elde edilen verinin farklı departmanlarca kullanılmasını engelleyecek fonksiyonel ayrım
Veri taşıma imkanı ve veri sahibini güçlendirecek diğer tedbirler
Veri sorumlusunun işlemeye
başlamadan önce bir test
gerçekleştirmesi ve bunu
ileride yetkili kurumlara
sunması öneriliyor
Hukuka Aykırı
Güvenli
Birlikte Sorumlu
• İşlemeyi Engelleyecek
• Erişimi Engelleyecek
• Muhafazayı Sağlayacak
• Veri İşleyicisi
• Veri Sorumlusu
Güvenliğe ilişkin kurallar Kurul tarafından belirlenecek
Kanun’da kişisel verilerin yurt dışına aktarılmasına ilişkin özel
düzenlemeler var
Kural olarak açık rıza varsa aktarım mümkün
Açık rıza olmazsa aktarılacak ülkede de koruma olması lazım
Aktarılacak ülkenin hukuku
yeterli korumayı
sağlayacak
Aktarılacak kişi yeterli
koruma sağlayacağını
taahhüt edecek
Hangi ülkelerde yeterli koruma olduğuna Kurul
karar verecek
Korumanın yeterli olmadığı ülkelerde verilecek
taahhütlere dair örnekler hazırlanabilir
Veri işlenip işlenmediğini
öğrenme
Verinin nasıl işlendiği
hakkında bilgi talep etme
İşlenme amacını ve
amaca uygun kullanım
olup olmadığını öğrenme
Kime aktarıldığını
öğrenme
Yanlış bilginin
düzeltilmesini istemeSilinmeyi talep etme
Otomatik sistemlerle
işleme sonucu oluşan
aleyhe sonuca itiraz etme
Zararın tazminini isteme
Önce veri sorumlusuna
başvuru zorunlu
30 gün içinde cevap verilmesi
zorunlu
Cevaptan 30 gün ya da başvurudan
60 gün sonra Kurul’a şikayet
• Aydınlatma yükümlülüğüne aykırılık - 5.000 / 100.000 TL
• Güvenlik yükümlülüğüne aykırılık - 15.000 / 1.000.000 TL
• Kurul kararını yerine getirmeme - 25.000 / 1.000.000 TL
• Sicile kaydolmama - 20.000 / 1.000.000 TL
• Her ihlal için ayrı bir ceza
• İhlalin etkisi ve ihlal sayısı arttıkça ceza miktarı artar
• TCK madde 135 – 140 arası hükümlerine aykırılıklar sonucunda
hapis cezaları.
Veri sınıflandırması ve haritalandırmasını yaparak kişisel bilgilerinizi belirleyin.
Tokenization sistem ve yöntemlerinin veri sınıflandırmayı desteklediğini ve güvenliğinizi arttırdığını unutmayın.
Erişim yönetimi kontrollerini tekrar gözden geçirerek gerekli güvenlik önlemlerini uygulayın.
Bilgi paylaşımında bulunduğunuz dış kaynak tedarikçilerinize ve güvenlik kontrollerine dikkat edin, unutmayın güvenlik sorumluluğu öncelikle veri sorumlusundadır.
Şirketinizden ayrılan veri sorumlularına dikkat, hala yükümlülükleri devam ediyor. İşten ayrılış süreçlerinizdeki güvenlik adımlarına dikkat edin.
Veri güvenliği için denetim ve güvenlik testleri yaptırın.
Veri sızmalarına karşı veri sınıflandırmasıyla uyumlu olarak ek güvenlik kontrollerini değerlendirin.
Veri Çıkış Kanalları
Veri Paylaşılan Tedarikçiler
Süreç Tasarım Yeterlilik
Güvenlik Önlemleri
BT Sistemleri
Veri Sınıfları ve Lokasyonları
Müşteri Bilgileri Sözleşmeler
Hukuksal Yaklaşımlar
Aşama 1
Farklılık Analiz ve Ön Hazırlıklar
Aşama 2
İyileştirme Aktiviteleri veDüzenli Kontrol
Aşama 3Devamlılık Kontrolleri veFarkındalık
Veri sınıflandırma teknik kontrollerinin sistemlereuygulanması
Denetim ve kontrol adımlarının belirlenmesiVeri sınıflandırması ve kontrolleri
Ağ ayrımlarının gerçekleştirilmesiYasal uyum süreçlerini destekleyen yapılarınoluşturulması
Müşteri verisinin sisteme hangi noktalardan girdiği venerelerde sistem dışına çıkarıldığı
Sunucu ve veri tabanlarına erişim standartlarınındeğiştirilmesi
Farkındalık EğitimiGirdi & Çıktı kanallarından emin olmak ve bu kanallarılistelemek
Görevler Ayrılığı (SOD) Matrisinin KVK özelindegeliştirilmesi
Süreç farklılıklarının ve gelişim noktalarının tespitedilmesi
Düzenli gözden geçirme ve denetim uygulanarakgelişim durumunun raporlanması
Veri iletim güvenliği kontrol süreçlerinin tanımlanmasıve istisnaların belirlenmesi
Gelişim Yol Haritasının oluşturulması
Akt
ivit
ele
r
HUKUK
GÜÇLÜ İŞ ORTAKLARI
DİNAMİK YAPI
DENEYİM
BİLGİ GÜVENLİĞİODAKLI YAKLAŞIM
EKİPÜRÜN ve HİZMETPORTFÖYÜ
ÖZGÜN ÜRÜNLER
