Kişisel Verileri Koruma Uzmanlığı Yönetmeliği:
Kişisel Verileri Koruma Uzmanlığı Yönetmeliği 9 Şubat 2018 tarihli ve 30327 sayılı Resmi Gazete’de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir.
Yönetmelik, kişisel verileri koruma uzman yardımcılarının mesleğe alınmalarına, yetiştirilmelerine, kişisel verileri koruma uzmanlığına atanmalarına ilişkin usul ve esaslar ile kişisel verileri koruma uzman ve uzman yardımcılarının görev, yetki ve sorumluluklarını
düzenlemektedir. Uzman
yardımcılığı giriş sınavı yazılı veya sözlü olarak iki aşamalı veya sözlü olarak tek aşamalı yapılacaktır.
Sınavın kaç aşamalı olacağına karar vermeye Kişisel Verileri Koruma Kurulu (“Kurul”) yetkilidir.
Uzman ve uzman yardımcılarının başlıca görev ve sorumlulukları kişisel verilerin korunması uygulamalarında çalışmalarda bulunmak; yeni stratejiler geliştirmek; kurumun hizmet, kapasite ve kalitesinin artırılmasına yönelik çalışmalar yapmak;
hazırlanmakta olan çalışmalara
korunması konusunda ulusal ve uluslararası çalışmaları takip etmek ve Türkiye’de uygulanabilir
yöntemler üzerinde çalışmalarda bulunmaktır.
Yönetmeliğe linktenulaşılabilir Facebook Gizlilik İlkeleri Genel Veri Koruma Yönetmeliği (“GDPR”) 25 Mayıs 2018 tarihi itibariyle yürürlüğe girecektir. Bu bağlamda birçok şirket GDPR’ın getirdiği yükümlülüklere uyum sağlamak amacıyla çeşitli aksiyonlar almaya başladı.
Facebook da GDPR’a uyum
sağlamak amacıyla gizlilik ilkelerini yayınladı ve kullanıcılar için kişisel verileri üzerinde kontrol
mekanizmalarını anlatabilmek amacıyla eğitim videoları hazırlayacaklarını açıkladı.
Ayrıca, Facebook’un reklam faaliyetleri kapsamında kullanıcıya ait kişisel verilerin kullanıcılar tarafından nasıl yönetilebileceği, kullanıcıların eski gönderilerine ilişkin kişisel verileri nasıl silebileceği ve
Aylık
KVK Bülteni
Mart 2018
GSG Hukuk
Bu sayıda www.gsghukuk.com
1 Güncel Haberler
•
Kişisel Verileri Koruma Uzmanlığı Yönetmeliği
•
Facebook gizlilik ilkeleri
•
İtalya Veri Koruması Otoritesi kararı
2 Makaleler
•
Veri ihlallerine ilişkin bildirimde bulunma zorunluluğu
•
Bulut bilişim ve kişisel verilerin işlenmesi
Güncel Haberler:
GSG Hukuk www.gsghukuk.com
Facebook hesapları silindikten sonra kişisel verilerinin durumu hakkında açıklamalara da yakın bir zamanda yer verileceğini açıkladı.
Özellikle GDPR ile birlikte gelen hesap verilebilirlik ilkesi
doğrultusunda Facebook gibi şirketlerin kullanıcılarına kendi kişisel verileri üzerinde kontrol mekanizmalarını geliştirici yönde faaliyetlerde bulunması bu ilkenin getirdiği bir sonuçtur.
Kişisel verilerin işlenmesinde ilgili kişilere ve topluma karşı şeffaflığın sağlanması açısından Facebook gibi diğer büyük teknoloji şirketlerinin
de yakın zamanda yukarıda belirtilenlere benzer aksiyonlar alması beklenmektedir.
İtalya Veri Koruma Otoritesi kararı
İtalya Veri Koruma Kurulu 7 Şubat 2018 tarihinde Telecom Italia S.p.A’ya iki milyona yakın
müşterisine açık rızalarını almadan telefon aracılığıyla doğrudan pazarlama faaliyetlerinde
bulunduğu için 840.000 Euro para cezası verdi.
İtalya Veri Koruma Kurulu bu kararı, Telecom Italia S.p.A’nın söz konusu hukuka aykırı davranışının
farkında olduğu, uymak zorunda olduğu bu yükümlülüğün bilincinde olması ve ilgili veri tabanının boyutu göz önüne alınarak verdiğini açıklamıştır.
2
KVK Makaleleri:
Bulut Bilişim ve Kişisel Verilerin İşlenmesi
Dijitalleşmenin bir sonucu olarak internet ortamı aracılığıyla birçok ticari faaliyetin yapılması mümkün hale gelmiştir. Günümüzde sanal ortamda faaliyetlerini yürüten veya veri kaydeden şirketler ve
organizasyonların sayısı
artmaktadır. Özellikle bulut bilişim sistemi olarak adlandırılan
çevrimiçi yazılımlar birtakım kolaylıkları düşük maliyet ile sağlasa da bu teknoloji bazı sorumlulukları da beraberinde getirmektedir.
Bulut bilişim (cloud computing), bilgisayarlar da dahil olmak üzere akıllı elektronik aletlerle
kullanıcılar arasında paylaşılan bilgisayar kaynakları ve internet tabanlı bilişim hizmetleri sağlar.
Kurum ve kuruluşların
faaliyetlerini sürdürebilmeleri için yürütmeleri gereken tüm süreçlerin internet ortamında kaydedilmesini ve saklanmasını sağlar.
Halihazırdaki bulut teknolojisi özel (private), grup (community) ve herkese açık (public) bulut bilişim
sistemi olarak üç farklı şekilde karşımıza çıkmaktadır. Bu
türlerden de açıkça anlaşılacağı gibi farklı tipteki bulut bilişim
sistemleri kişisel verilerin korunması hukuku bakımından veri işleyen tüzel kişiliklere farklı sorumluluklar yükleyebilmektedir.
Bulut hizmeti sağlayıcılarını KVKK kapsamında veri işleyen
konumunda kabul etmek doğru olacaktır. Kurul da yayımlamış olduğu Kişisel Verilerin Korunması ve Uygulaması rehberi içerisinde bulut hizmeti sağlayıcılarını veri işleyen olarak kabul ettiğini açıkça belirtmiştir. Bu konumları
sebebiyle, müşterilerinin faaliyetlerini dijital boyutta sürdürmelerini veya verilerini saklama hizmetini dijital ortamda sağlamayı taahhüt eden bulut hizmet sunucuları, bu hizmetleri sunarken kişisel verilerin korunması hukuku
düzenlemelerine uygun davranmak durumundadır.
KVKK her ne kadar bulut bilişim hizmeti sağlayıcılarına yönelik açık bir hüküm öngörmemekle birlikte Kurul’un internet sitesinde yayımlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi” uyarınca, bulut hizmeti sağlayıcılarının kişisel verilerin depolanması ve kullanımı
sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona
erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
Veri İhlallerine İlişkin Bildirimde Bulunma Zorunluluğu
Kişisel verilerin korunması, 6698 numaralı Kişisel Verilerin
Korunması Kanunu (“KVKK”) ile Türkiye’de ilk defa düzenlenmiştir.
KVKK’daki düzenlemeler 95/46/EC numaralı AB Direktifine büyük ölçüde benzemektedir. 7 Nisan 2016 tarihinde yürürlüğe giren KVKK’dan önce Türkiye’de kişisel verilerin koruması hakkında bir mevzuat bulunmadığı için, bu konuda oturmuş bir uygulama bulunmamaktadır. Kurul’un, ilerleyen günlerde Avrupa’daki veri korunma otoriteleri ile benzer bir yaklaşım benimsemesi ve vereceği kararlar ile KVKK uygulamasını açıklığa kavuşturması
beklenmektedir.
KVKK kişisel verilerin uygun teknik ve idari önlemlerle ve gerekli güvenlik seviyesi temin edilerek korunması gerektiğini
düzenlemektedir. Bu güvenliğin kişisel verinin yetkisiz veya yasadışı işlenmesine veya kişisel verinin kaybedilmesi, imha edilmesi veya zarar görmesine de yönelik olması gerektiği belirtilmektedir.
KVKK’da veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Kanun bu tanımlamaya giren veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, ve kişisel verilerin muhafazasını sağlamak gibi yükümlülükler getirmiştir. Bu açıklamalar ışığında kişisel verilere yönelik bir ihlal söz konusu olduğu zaman, bu ihlalden
ilk etapta sorumlu olan veri sorumlusu olacaktır.
Veri sorumlularının kişisel verilerin ihlalini önlemek amacıyla uygun güvenlik seviyesini sağlamak için teknik ve idari önlem alma
yükümlülükleri kapsamında uygun güvenlik seviyesinin nasıl
belirleneceği hususu ise yine Kurul’un benimseyeceği görüş çerçevesinde şekillenecektir. Keza KVKK’nın 22. maddesinin 1.
fıkrasının (f) bendi uyarınca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak Kurul’un yetki ve görevleri arasında yer almaktadır.
Bununla birlikte, yol gösterici olması amacıyla Kurul tarafından resmi internet sitesinde yayınlanan rehber uyarınca, Kurul tarafından belirlenecek asgari kriterler esas alınmakla birlikte, her sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olacaktır.
KVKK’nın 12. maddesinin 5. fıkrası
‘‘İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir’’ hükmünü öngörmektedir. Ancak KVKK belirtilen ihlal durumunda yapılacak bildirimi daha fazla detaylandırmamıştır. Ancak ilgili maddeden anlaşıldığı üzere ihlal bildiriminin veri sorumlusu tarafından yapılması gerekmektedir.
AB mevzuatında, veri
sorumlusunun ilgili kuruma ihlal bildiriminde bulunurken bildirimin içeriğinde minimum olarak şu bilgilere yer vermesi
gerekmektedir. Kişisel veri ihlalinin nasıl gerçekleştiği, ihlalin yaklaşık kaç veri sahibini ilgilendirdiği ve yaklaşık olarak ihlal edilen veri sayısını, tespit edilebiliyorsa verisi ihlal edilen kişinin ismi ve diğer bilgilerini, ihlalin sebep olabileceği sonuçları, veri sorumlusunun veriyi işlerken aldığı ihlale yönelik güvenlik önlemlerini, hatta gerekli olduğunda aldığı güvenlik
önleminin sebep olabileceği diğer zararlı etkiler. Türk mevzuatında veya uygulamasında henüz bu konuda çıkarılmış ikincil bir düzenleme bulunmadığı için ihlal bildirimi yapılmasında AB görüşünün örnek alınabileceği kanaatindeyiz.
Ayrıca KVKK, Veri Sorumluları Sicili’ne kayıt olunması halinde, verisi işlenen her kişinin spesifik verisinin bildirilmesini değil, işlenen verilerin sınıflandırılarak kategorik bazda bildirilmesini öngörmektedir. Dolayısıyla ihlal durumunda, Kurul’a ihlal bildiriminde bulunurken kişisel verileri ihlal edilen veri sahiplerinin kim olduklarının belirtilmesine gerek olmadığı görüşündeyiz.
GSG Hukuk www.gsghukuk.com
KVKK’nın 12. maddesinin birinci fıkrası işlenen kişisel veriler için veri güvenliğine ilişkin birtakım kurallar öngörmüştür. Bu maddeye göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verileri hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin
muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlularının, KVKK’nın öngördüğü veri güvenliğine ilişkin idari ve teknik tedbirleri alabilmesi için öncellikle veri işleme faaliyeti süreçlerine hakim olması gerekir.
Bu konuda kapsamlı bir envanterin hazırlanması veri işleme faaliyeti süreçlerine hakim olunabilmesi için veri sorumlusunun elindeki en önemli araçlardan biridir.
Veri sorumlusu, kişisel veri işlediği her sürecini ilk anından son anına kadar potansiyel kazalardan, ihmallerden, kasıtlı ve kötü niyetli eylemlerden korumalıdır. Ayrıca, kötü niyetli yazılım ve veri sorumlusu tarafından verilecek hizmetin görülmesini engelleyecek
diğer karmaşık teknolojik
tehditlere karşı koruma sağlamak için teknik denetimler de
uygulamalıdır. Bunun yanında ihmalkar çalışanlara karşı iç politikalar oluşturarak veri güvenliğine ilişkin koruma sağlamalıdır.
Belirtilen kontroller, KVKK’nın 12.maddesinde yer alan uygun güvenlik düzeyini temin etmek yönelik her türlü gerekli teknik ve idari tedbirlerine örnek
oluşturmaktadır. Burada üzerinde durmamız gereken nokta, KVKK’da özellikle üzerinde durulan uygun ve gereklilik sözcükleridir. Uygun ve gereklilik sözcüklerinin
kullanılması bize KVKK’nın veri güvenliğine ilişkin herkes için standart bir koruma
gerektirmediğini ifade etmektedir.
Burada uygun ve gerekli güvenlik önlemlerinin nasıl tespit edileceği veri sorumlusu bazında her veri sorumlusunun özellikleri göz önüne alınarak (Örn. büyüklük, işlenen kişisel verinin niteliği vb.) ayrı ayrı belirlenmelidir.
Veri sorumlularından süreçleri için risk değerlendirmesi testi
yapmaları ve bu şekilde neyin uygun ve gerekli olduğunu belirlemeleri beklenmektedir.
Buradaki risk değerlendirmesi testi, işlenen kişisel verileri,
öngörülebilir riskleri ve teknik sistemlerin zayıf noktalarını yansıtmalıdır.
gerektiği anlamına gelecektir.
Muhtemelen, yüksek risk tehditleri, şirketlerin özellikle hassas verileri işlerken daha sıkı ve daha sofistike kontroller almaları gerektiği anlamına gelecektir. Ayrıca risk değerlendirmesinin bir parçası olan
“state of the art” değerlendirmesi ile bilgi güvenliğini ilgilendiren güncel teknolojik ürünlerin şirketlerce takip edilmesini ve kendi faaliyetleri kapsamında veri güvenliği bağlamında bünyelerine dahil edilme süreci sağlanabilir.
Ayrıca risk değerlendirmesinin bir parçası olan “state of the art”
değerlendirmesi ile bilgi güvenliğini ilgilendiren güncel teknolojik ürünlerin şirketlerce takip edilmesini ve kendi faaliyetleri kapsamında veri güvenliği bağlamında bünyelerine dahil edilme süreci sağlanabilir.
4
Kişisel Veri Güvenliği Tedbirleri
Nilgün Serdar Şimşek, LL.M.
Ortak, Avukat
T: +90 (212) 326 63 68 nilgun.simsek@gsghukuk.com
Rıza Eroğlu Kıdemli Müdür T: +90 (212) 326 64 61 riza.eroglu@gsghukuk.com
İpek Okucu Taftalı Kıdemli Avukat
T: +90 (212) 326 60 60/3881 ipek.okucu@gsghukuk.com
GSG Hukuk
Aylık Kişisel Verilerin Korunması Hukuku Bülteni
Şubat 2018
Süleyman Seba Cad.
No :48 BJK Plaza B Blok K:4 Akaretler Beşiktaş - İstanbul
www.gsghukuk.com
KVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin