GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5

Transkript

1 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Aylık KVK Bülteni Mart 2018 Güncel Haberler: Kişisel Verileri Koruma Uzmanlığı Yönetmeliği: Kişisel Verileri Koruma Uzmanlığı Yönetmeliği 9 Şubat 2018 tarihli ve sayılı Resmi Gazete de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir. Yönetmelik, kişisel verileri koruma uzman yardımcılarının mesleğe alınmalarına, yetiştirilmelerine, kişisel verileri koruma uzmanlığına atanmalarına ilişkin usul ve esaslar ile kişisel verileri koruma uzman ve uzman yardımcılarının görev, yetki ve sorumluluklarını düzenlemektedir. Uzman yardımcılığı giriş sınavı yazılı veya sözlü olarak iki aşamalı veya sözlü olarak tek aşamalı yapılacaktır. Sınavın kaç aşamalı olacağına karar vermeye Kişisel Verileri Koruma Kurulu ( Kurul ) yetkilidir. Uzman ve uzman yardımcılarının başlıca görev ve sorumlulukları kişisel verilerin korunması uygulamalarında çalışmalarda bulunmak; yeni stratejiler geliştirmek; kurumun hizmet, kapasite ve kalitesinin artırılmasına yönelik çalışmalar yapmak; hazırlanmakta olan çalışmalara katılmak; kişisel verilerin korunması konusunda ulusal ve uluslararası çalışmaları takip etmek ve Türkiye de uygulanabilir yöntemler üzerinde çalışmalarda bulunmaktır. Yönetmeliğe linkten ulaşılabilir Facebook Gizlilik İlkeleri Genel Veri Koruma Yönetmeliği ( GDPR ) 25 Mayıs 2018 tarihi itibariyle yürürlüğe girecektir. Bu bağlamda birçok şirket GDPR ın getirdiği yükümlülüklere uyum sağlamak amacıyla çeşitli aksiyonlar almaya başladı. Facebook da GDPR a uyum sağlamak amacıyla gizlilik ilkelerini yayınladı ve kullanıcılar için kişisel verileri üzerinde kontrol mekanizmalarını anlatabilmek amacıyla eğitim videoları hazırlayacaklarını açıkladı. Ayrıca, Facebook un reklam faaliyetleri kapsamında kullanıcıya ait kişisel verilerin kullanıcılar tarafından nasıl yönetilebileceği, kullanıcıların eski gönderilerine ilişkin kişisel verileri nasıl silebileceği ve Bu sayıda 1 Güncel Haberler Kişisel Verileri Koruma Uzmanlığı Yönetmeliği Facebook gizlilik ilkeleri İtalya Veri Koruması Otoritesi kararı 2 Makaleler Veri ihlallerine ilişkin bildirimde bulunma zorunluluğu Bulut bilişim ve kişisel verilerin işlenmesi 1

2 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Facebook hesapları silindikten sonra kişisel verilerinin durumu hakkında açıklamalara da yakın bir zamanda yer verileceğini açıkladı. Özellikle GDPR ile birlikte gelen hesap verilebilirlik ilkesi doğrultusunda Facebook gibi şirketlerin kullanıcılarına kendi kişisel verileri üzerinde kontrol mekanizmalarını geliştirici yönde faaliyetlerde bulunması bu ilkenin getirdiği bir sonuçtur. Kişisel verilerin işlenmesinde ilgili kişilere ve topluma karşı şeffaflığın sağlanması açısından Facebook gibi diğer büyük teknoloji şirketlerinin de yakın zamanda yukarıda belirtilenlere benzer aksiyonlar alması beklenmektedir. İtalya Veri Koruma Otoritesi kararı İtalya Veri Koruma Kurulu 7 Şubat 2018 tarihinde Telecom Italia S.p.A ya iki milyona yakın müşterisine açık rızalarını almadan telefon aracılığıyla doğrudan pazarlama faaliyetlerinde bulunduğu için Euro para cezası verdi. İtalya Veri Koruma Kurulu bu kararı, Telecom Italia S.p.A nın söz konusu hukuka aykırı davranışının farkında olduğu, uymak zorunda olduğu bu yükümlülüğün bilincinde olması ve ilgili veri tabanının boyutu göz önüne alınarak verdiğini açıklamıştır. KVK Makaleleri: Bulut Bilişim ve Kişisel Verilerin İşlenmesi Dijitalleşmenin bir sonucu olarak internet ortamı aracılığıyla birçok ticari faaliyetin yapılması mümkün hale gelmiştir. Günümüzde sanal ortamda faaliyetlerini yürüten veya veri kaydeden şirketler ve organizasyonların sayısı artmaktadır. Özellikle bulut bilişim sistemi olarak adlandırılan çevrimiçi yazılımlar birtakım kolaylıkları düşük maliyet ile sağlasa da bu teknoloji bazı sorumlulukları da beraberinde getirmektedir. Bulut bilişim (cloud computing), bilgisayarlar da dahil olmak üzere akıllı elektronik aletlerle kullanıcılar arasında paylaşılan bilgisayar kaynakları ve internet tabanlı bilişim hizmetleri sağlar. Kurum ve kuruluşların faaliyetlerini sürdürebilmeleri için yürütmeleri gereken tüm süreçlerin internet ortamında kaydedilmesini ve saklanmasını sağlar. Halihazırdaki bulut teknolojisi özel (private), grup (community) ve herkese açık (public) bulut bilişim sistemi olarak üç farklı şekilde karşımıza çıkmaktadır. Bu türlerden de açıkça anlaşılacağı gibi farklı tipteki bulut bilişim sistemleri kişisel verilerin korunması hukuku bakımından veri işleyen tüzel kişiliklere farklı sorumluluklar yükleyebilmektedir. Bulut hizmeti sağlayıcılarını KVKK kapsamında veri işleyen konumunda kabul etmek doğru olacaktır. Kurul da yayımlamış olduğu Kişisel Verilerin Korunması ve Uygulaması rehberi içerisinde bulut hizmeti sağlayıcılarını veri işleyen olarak kabul ettiğini açıkça belirtmiştir. Bu konumları sebebiyle, müşterilerinin faaliyetlerini dijital boyutta sürdürmelerini veya verilerini saklama hizmetini dijital ortamda sağlamayı taahhüt eden bulut hizmet sunucuları, bu hizmetleri sunarken kişisel verilerin korunması hukuku düzenlemelerine uygun davranmak durumundadır. KVKK her ne kadar bulut bilişim hizmeti sağlayıcılarına yönelik açık bir hüküm öngörmemekle birlikte Kurul un internet sitesinde yayımlamış olduğu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi uyarınca, bulut hizmeti sağlayıcılarının kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir. 2

3 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Veri İhlallerine İlişkin Bildirimde Bulunma Zorunluluğu Kişisel verilerin korunması, 6698 numaralı Kişisel Verilerin Korunması Kanunu ( KVKK ) ile Türkiye de ilk defa düzenlenmiştir. KVKK daki düzenlemeler 95/46/EC numaralı AB Direktifine büyük ölçüde benzemektedir. 7 Nisan 2016 tarihinde yürürlüğe giren KVKK dan önce Türkiye de kişisel verilerin koruması hakkında bir mevzuat bulunmadığı için, bu konuda oturmuş bir uygulama bulunmamaktadır. Kurul un, ilerleyen günlerde Avrupa daki veri korunma otoriteleri ile benzer bir yaklaşım benimsemesi ve vereceği kararlar ile KVKK uygulamasını açıklığa kavuşturması beklenmektedir. KVKK kişisel verilerin uygun teknik ve idari önlemlerle ve gerekli güvenlik seviyesi temin edilerek korunması gerektiğini düzenlemektedir. Bu güvenliğin kişisel verinin yetkisiz veya yasadışı işlenmesine veya kişisel verinin kaybedilmesi, imha edilmesi veya zarar görmesine de yönelik olması gerektiği belirtilmektedir. KVKK da veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Kanun bu tanımlamaya giren veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, ve kişisel verilerin muhafazasını sağlamak gibi yükümlülükler getirmiştir. Bu açıklamalar ışığında kişisel verilere yönelik bir ihlal söz konusu olduğu zaman, bu ihlalden ilk etapta sorumlu olan veri sorumlusu olacaktır. Veri sorumlularının kişisel verilerin ihlalini önlemek amacıyla uygun güvenlik seviyesini sağlamak için teknik ve idari önlem alma yükümlülükleri kapsamında uygun güvenlik seviyesinin nasıl belirleneceği hususu ise yine Kurul un benimseyeceği görüş çerçevesinde şekillenecektir. Keza KVKK nın 22. maddesinin 1. fıkrasının (f) bendi uyarınca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak Kurul un yetki ve görevleri arasında yer almaktadır. Bununla birlikte, yol gösterici olması amacıyla Kurul tarafından resmi internet sitesinde yayınlanan rehber uyarınca, Kurul tarafından belirlenecek asgari kriterler esas alınmakla birlikte, her sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olacaktır. KVKK nın 12. maddesinin 5. fıkrası İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir hükmünü öngörmektedir. Ancak KVKK belirtilen ihlal durumunda yapılacak bildirimi daha fazla detaylandırmamıştır. Ancak ilgili maddeden anlaşıldığı üzere ihlal bildiriminin veri sorumlusu tarafından yapılması gerekmektedir. AB mevzuatında, veri sorumlusunun ilgili kuruma ihlal bildiriminde bulunurken bildirimin içeriğinde minimum olarak şu bilgilere yer vermesi gerekmektedir. Kişisel veri ihlalinin nasıl gerçekleştiği, ihlalin yaklaşık kaç veri sahibini ilgilendirdiği ve yaklaşık olarak ihlal edilen veri sayısını, tespit edilebiliyorsa verisi ihlal edilen kişinin ismi ve diğer bilgilerini, ihlalin sebep olabileceği sonuçları, veri sorumlusunun veriyi işlerken aldığı ihlale yönelik güvenlik önlemlerini, hatta gerekli olduğunda aldığı güvenlik önleminin sebep olabileceği diğer zararlı etkiler. Türk mevzuatında veya uygulamasında henüz bu konuda çıkarılmış ikincil bir düzenleme bulunmadığı için ihlal bildirimi yapılmasında AB görüşünün örnek alınabileceği kanaatindeyiz. Ayrıca KVKK, Veri Sorumluları Sicili ne kayıt olunması halinde, verisi işlenen her kişinin spesifik verisinin bildirilmesini değil, işlenen verilerin sınıflandırılarak kategorik bazda bildirilmesini öngörmektedir. Dolayısıyla ihlal durumunda, Kurul a ihlal bildiriminde bulunurken kişisel verileri ihlal edilen veri sahiplerinin kim olduklarının belirtilmesine gerek olmadığı görüşündeyiz. 3

4 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Kişisel Veri Güvenliği Tedbirleri KVKK nın 12. maddesinin birinci fıkrası işlenen kişisel veriler için veri güvenliğine ilişkin birtakım kurallar öngörmüştür. Bu maddeye göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verileri hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlularının, KVKK nın öngördüğü veri güvenliğine ilişkin idari ve teknik tedbirleri alabilmesi için öncellikle veri işleme faaliyeti süreçlerine hakim olması gerekir. Bu konuda kapsamlı bir envanterin hazırlanması veri işleme faaliyeti süreçlerine hakim olunabilmesi için veri sorumlusunun elindeki en önemli araçlardan biridir. Veri sorumlusu, kişisel veri işlediği her sürecini ilk anından son anına kadar potansiyel kazalardan, ihmallerden, kasıtlı ve kötü niyetli eylemlerden korumalıdır. Ayrıca, kötü niyetli yazılım ve veri sorumlusu tarafından verilecek hizmetin görülmesini engelleyecek diğer karmaşık teknolojik tehditlere karşı koruma sağlamak için teknik denetimler de uygulamalıdır. Bunun yanında ihmalkar çalışanlara karşı iç politikalar oluşturarak veri güvenliğine ilişkin koruma sağlamalıdır. Belirtilen kontroller, KVKK nın 12.maddesinde yer alan uygun güvenlik düzeyini temin etmek yönelik her türlü gerekli teknik ve idari tedbirlerine örnek oluşturmaktadır. Burada üzerinde durmamız gereken nokta, KVKK da özellikle üzerinde durulan uygun ve gereklilik sözcükleridir. Uygun ve gereklilik sözcüklerinin kullanılması bize KVKK nın veri güvenliğine ilişkin herkes için standart bir koruma gerektirmediğini ifade etmektedir. Burada uygun ve gerekli güvenlik önlemlerinin nasıl tespit edileceği veri sorumlusu bazında her veri sorumlusunun özellikleri göz önüne alınarak (Örn. büyüklük, işlenen kişisel verinin niteliği vb.) ayrı ayrı belirlenmelidir. Veri sorumlularından süreçleri için risk değerlendirmesi testi yapmaları ve bu şekilde neyin uygun ve gerekli olduğunu belirlemeleri beklenmektedir. Buradaki risk değerlendirmesi testi, işlenen kişisel verileri, öngörülebilir riskleri ve teknik sistemlerin zayıf noktalarını yansıtmalıdır. gerektiği anlamına gelecektir. Muhtemelen, yüksek risk tehditleri, şirketlerin özellikle hassas verileri işlerken daha sıkı ve daha sofistike kontroller almaları gerektiği anlamına gelecektir. Ayrıca risk değerlendirmesinin bir parçası olan state of the art değerlendirmesi ile bilgi güvenliğini ilgilendiren güncel teknolojik ürünlerin şirketlerce takip edilmesini ve kendi faaliyetleri kapsamında veri güvenliği bağlamında bünyelerine dahil edilme süreci sağlanabilir. Ayrıca risk değerlendirmesinin bir parçası olan state of the art değerlendirmesi ile bilgi güvenliğini ilgilendiren güncel teknolojik ürünlerin şirketlerce takip edilmesini ve kendi faaliyetleri kapsamında veri güvenliği bağlamında bünyelerine dahil edilme süreci sağlanabilir. 4

5 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Şubat 2018 KVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin Süleyman Seba Cad. No :48 BJK Plaza B Blok K:4 Akaretler Beşiktaş - İstanbul info@gsghukuk.com Nilgün Serdar Şimşek, LL.M. Ortak, Avukat T: +90 (212) nilgun.simsek@gsghukuk.com Rıza Eroğlu Kıdemli Müdür T: +90 (212) riza.eroglu@gsghukuk.com İpek Okucu Taftalı Kıdemli Avukat T: +90 (212) /3881 ipek.okucu@gsghukuk.com 2018 Gündüz Şimşek Gago Avukatlık Ortaklığı. Tüm hakları saklıdır. Bu dokümanda GSG Avukatlık Ortaklığı veya ibaresi, Gündüz Şimşek Gago Avukatlık Ortaklığı nı ifade etmektedir.