17. Çözüm Ortaklığı Platformu
Kişisel Verilerin Korunması Güncel Gelişmeler
İpek Okucu - Hukuk
Onur Korucu – Siber
Güvenlik
İçindekiler
Kişisel verilerin korunması mezuatı ile ilgili Güncel Konular
Teknoloji ve Bilgi Güvenliği bakış açısı ile değerlendirmeler
Kanun’un Amacı
6698 Sayılı Kişisel Verilerin Korunması Kanunu («Kanun»), 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun, herhangi bir sektör ayrımı gözetmeksizin, kişisel veri ile temasta bulunan tüm alanları düzenlemektedir.
Ülkemizde bir ilk teşkil eden Kanun, özellikle kişisel veriler üzerinden gelir elde eden iş modelleri bakımından hayati bir önem taşımaktadır.
Kanun, kişisel verilerin işlenmesini yasaklamayı değil, çeşitli kurallara bağlanmasını amaçlamaktadır.
Şirketlerin kişisel veriler ile elde edebilecekleri güç, rekabet dengelerini de doğrudan değiştirebileceği için kişisel verilerin korunması aynı zamanda rekabet mevzuatı ışığında da etki doğurabilmektedir.
Kişisel Veri Nedir ?
Kimliği Belirli veya Belirlenebilir Gerçek Kişiye İlişkin Her Türlü Bilgi
« Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi »
Hem GDPR hem de KVKK, (i) temel hak ve özgürlüklerin korunmasını ve (ii) kişisel verileri işleyen gerçek ya da tüzel kişilerin uyacakları usul ve esasların düzenlenmesini amaçlamaktadır.
Özel nitelikli kişisel verilerin kapsamında bu iki düzenleme arasında farklar
mevcuttur.
• Çalışan,
• Müşteri
• İş
Ortakları
Belirli veya Belirlenebilir Gerçek Kişi
Her Türlü Veri
•Ad, Soyadı, Taşıt Plakası, SGK Numarası, T.C. Kimlik No.,
•Diploma, Transkript, Öğrenci Belgesi
•Kredi Kartı, İndirim Kartı, Kişisel Toplu Taşıma Kartı vs.
•Bordro, Şahsi Vergi Beyanı, IBAN No., Fatura, Konşimento vb.
•Özgeçmiş
•IP Adresleri, Çerez Bilgileri (Cookie), Konum Bilgisi
•Kişiye bağlı her türlü eşsiz/tekil kod veya numara (telefon numarası vs.)
•Parmak İzleri, Genetik Bilgileri, Kan Grubu, Retina Taraması
•Dernek veya Parti Üyeliği, Dini veya Felsefi İnanç
•Irk, Etnik Köken
Kişisel Veri Örnekleri
Kişisel Verilerin İşlenmesi
Kişisel Verilerin İşlenmesine İlişkin Örnekler
Kişisel veriler üzerinde
gerçekleştirilen her faaliyet «işleme»
olarak kabul edilmektedir.
4
5
6 1
2
3
Veri aktarımı da bir işleme türüdür.
Aktarma
Fiziksel olarak dağıtmak veya
paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.
Yayma/Erişebilir Kılma
Verilerin silinmesi de bir işleme faaliyeti olarak kabul edilmektedir.
Engelleme/Silme
Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme
fiili başlamaktadır.
Toplama ve/veya Kaydetme
Dijital ya da fiziksel ortamda, kişisel verilerin saklanması,
barındırılması ya da depolanması işleme kapsamında kabul edilir.
Organize Etme/
Depolama
Kişisel verilerin, görüntülenmesi de dahil olmak üzere, her türlü
kullanımı işleme sayılır.
Kullanma/
Değiştirme
Her Türlü Faaliyet
Mevzuatla Kişisel Verilerin Koruması Özetle Ne Şekilde Sağlanacaktır?
Aydınlatma Açık Rıza veya İstisna
İlkelere Uygunluk Amaç ve
Süre ile Sınırlı
Silinir
Yok Edilir
Anonim Hale Getirilir
Yürürlüğe giren yeni mevzuat ile beraber kurumlar kişisel verileri ancak yukarıdaki 4 şartın aynı anda sağlanmasıyla işleyebileceklerdir. Aksi taktirde kişisel veriler silinmeli, yok edilmeli ya da anonim hale getirilmelidir.
VERBİS kaydına ilişkin notlar
1. Veri Sorumlusu Yöneticisi
• Şirket kurumsal hafızasına sahip bir yönetici 2. İrtibat Kişisi ve sicile kayıt
• Her tüzel kişi için ayrı irtibat kişisi belirlenmeli, özellikle grup şirketleri için önemli
• E-devlet ile giriş
• Veri kategorisi, amaçlar, saklama süreleri, aktarılan taraflar 3. Sicil Sorgulama
• Kamuya açık
• Şu anda yaklaşık 1.000 şirket VERBİS kaydı yaptırmış durumda
* Hazırlanan envanterlerin VERBİS sistemi ışığında gözden geçirilmesi gerekir.
Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması
İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi
sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında
paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme
neticesinde;
6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası
uygulanmıştır.
K01
İş Başvuru Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması
İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e- posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe
dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;
Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
Bir şirketler topluluğu bünyesinde yer alan birden çok veri
sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında
gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,
İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci
maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
K02
Kişisel Veri Güvenliği İhlalinin Geç Bildirimi
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;
Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırımuygulanmasına karar verilmiştir.
K03
Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması
Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;
Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası
çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi
uyarınca idari yaptırım uygulanmasına karar verilmiştir.
Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.
K04
Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması
Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri
sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
K06
Kurul’un vermiş olduğu diğer bazı kararlar
• Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin karar
• Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları ile ilgili karar
• Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili karar
• Rehberlik Hizmeti Veren İnternet
Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik karar
• Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik karar
K07
Türkiye’de KVKK öncesinde yaşanan problemler
o Bulutta kişisel verilerin hiçbir kurala tabi olmaksızın aktarılması.
o Kişisel verilerin işlenmesinin sınırsızlığı.
o Mahremiyet anlayışının ülke kültür ve iş yapış modellerindeki yoksunluğu o Veri Yönetişimi modellerinde teknoloji çözümlerinin yetersizliği.
o EUROPOL ile güvenlik birimlerimiz arasında elektronik veri paylaşımı,
o Yabancı yatırımcının Türkiye’ye gelmesi ve yatırımını global olarak yönetmesi,
Dünya’daki Veri Koruması Yaklaşımları
Kapsamlı Model (Avrupa Birliği)
Sektörel Düzenleme Modeli (ABD, Japonya) Birlikte
Düzenleme- Öz Düzenleme Modeli
(Avustralya) Düzenlemesi Olmayan Ülkeler (Çin)
Dünya’daki Veri Koruması Yaklaşımları
AB ve ABD Yaklaşımları
• Dünyadaki en ağır kişisel veri koruması kuralları,
• Gittikçe genişleyen kapsam,
• Gittikçe ağırlaşan yaptırımlar,
• AB sınırları dışını da kapsayan düzenlemeler,
• Uluslararası veri transferinin çok ağır kurallara bağlanması
• İfade Özgürlüğünün Mahremiyet hakkına karşı üstünlüğü,
• «Business-friendly» yaklaşımlar,
• Genel düzenlemeler yerine sektörel düzenlemelere ağırlık verilmesi.
GDPR’ın Dünyadaki Statüsü
95/46 Sayılı Direktif
AB’ye üye devletlerin kendi iç hukuklarına implamantasyonu gerekir.
GDPR
Hiçbir implamantasyona
gerek duyulmaksızın
direk uygulanabilirliği
olması.
Dünyada her dakika 1.7 milyon Gigabayt veri üretilmektedir*.
(360.000 DVD’yi dolduracak miktarda veri)
*Avrupa Komisyonu’nun «Büyük Veri» başlıklı ve 13/965 sayılı bilgilendirme notundan
Uzmanlar 2020 yılı itibari ile %4300 oranında bir veri üretimi artışı yaşanacağını belirtmektedirler.
Kullanıcılar 2018 yılında verilerin 1.4 EB’ını depoladılar.
2020 yılında, üretilen verilerin 1/3’ü Bulut Bilişim üzerinden kullanılacağı veya üretileceği belirtilmektedir.
Bilinen Markaların Kişisel Veri Sızıntıları
2013 2014 2015 2016 2017
Yahoo 1.000.000.000 JP
Morgan
76.000.000
UPS
4.000.000
Ebay
145.000.000
Dailymotion 85.200.000
Instagram 6.000.000
Snapchat 1.700.000
River City Media 1.370.000.000 Uber
50.000
HSBC Türkiye
2.700.000
Gmail
200.000.000
Veri Temelli Ekonomi
Veri Temelli Ekonominin Dayanağı: Veri Koruması
Bugüne kadar görülmemiş hacimdeki verinin elde edilmesi
karşısında, kişilere ait verilerin korunması büyük önem kazanmıştır.
Büyük Veri
Günlük olarak kullandığımız nesneler, bizler hakkındaki en
detaylı ve hassas verileri devamlı olarak kaydetmektedir.
Nesnelerin İnterneti
Büyük hacme sahip verilerin işlenmesi için çok büyük işlem gücüne ihtiyaç duyulmakta, bu da bulut bilişim sayesinde mümkün olmaktadır.
Bulut bilişim çoğu durumda uluslarası veri
trasnferlerini gerektirmekte bu da uyumuluk sorununu ortaya çıkarmaktadır.
Bulut Bilişim
Verilerin korunması konusundaki hukuki
sorumluluğun kime ait olduğu konusunda uluslararası
konumlandırma sağlar.
Veri Merkezleri
Büyük Veri «Big Data» & «Privacy by Design»
Nesnelerin İnterneti «IoT»
Bulut Bilişimi «Cloud Computing»
Kişisel Veriler için Bilgi Güvenliği
Veri Sızıntısı
E-ticaret ve ödeme sistemine etki eden zararlı yazılım kaynaklı veri sızıntısı
Veri işleyen ve Veri sorumlusu arasında sözleşmesel teknik yaptırımlar
Yazılım versiyon kontrolü
Kimlik doğrulama
Güvenlik olay izleme
Düzenli yedekleme
Veri yönetişimiVeri Yönetişimi «Data Governance»
Kişisel Veri Haritası
02
03 01
Kişisel Veriyi Tespit Et
Kişisel Veriyi Doğru Yöntemlerle İşle
Kişisel Veriyi Yönet