Yeni kisisel verilerin korunmasi kanun ve kararnamelerin bilisim uzerindeki etkileri

Transkript

1 Yeni kisisel verilerin korunmasi kanun ve kararnamelerin bilisim Kemal Özmen, 14 Haziran 2015, Istanbul Bilindigi uzere 1 Mayis 2015 tarihinde yeni e-ticaret Kanunu (no. 6563) yururluge girdi. Halk arasinda artik iznim olmadan kullanici bilgilerim paylasilmayacak, mesaj kutum gereksiz SMS lerle ve lerle dolmayacak seklinde algilanan kanunun kapsami aslinda asagida aciklanacagi uzere cok daha genistir ve elektronik veri toplayan ve isleyen tum kurum ve kuruluslari etkilemektedir yilinin ikinci ve 2015 yilinin birinci yarisinda yururluge giren diger kanunlarla birlikte elektronik ticaretin Turkiye deki boyutu degismistir. Yeni kanunlarla kisisel verilerin amacina uygun olarak kullanilmasi, korunmasi, veri sahibi olan musterinin mutabakati olmadan kullanilmamasi ve ucuncu sahislara transfer edilememesi, ve boylece topluma ve tuketicilere kisisel verilerinin korunacagina ve yetkisiz olarak aciklanmayacagina dair guvence sunulmasi amaclanmaktadir. Kimler kapsam dahilinde? Hangi kurum ve kuruluslarin elektronik ticaret kapsamina dahil oldugunu ve dolayisiyla elektronik ticaretin duzenlenmesi hakkinda cikartilmis kanun ve kararnamelere tabi oldugunu Kanun no (kabul tarihi 23 Ekim 2014, Resmi Gazete yayin tarihi 5 Kasim 2014, no , yururluge giris tarihi 1 Mayis 2015) madde 2 deki tanimlamalara gore aciklayabiliyoruz: Elektronik ticaret: Fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyeti, Ticari iletişim: Alan adları ve elektronik posta adresi dışında, mesleki veya ticari faaliyet kapsamında kazanç sağlamaya yönelik olarak elektronik ticarete ilişkin her türlü iletişimi, Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri, Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişileri, Aracı hizmet sağlayıcı: Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişileri. Sonuc olarak buradan ticari ve iktisadi amacli kazanc saglamak icin veri toplayan ve isleyen tum ticari kurum ve kuruluslarin, ve ayrica elektronik ortam ve altyapi saglayicilarinin, kanunlarda belirtilen elektronik ticaret kapsamina dahil oldugunu ve elektronik ticaretin duzenlenmesi hakkinda cikartilmis tum kanun ve kararnamelere tabi oldugunu gormekteyiz. Yeni yukumlulukler nedir? Kanun no. 6563, madde 10 (kisisel verilerin korunmasi) hukumlerine gore hizmet saglayici ve araci (elektronik ortam ve altyapi saglayicisi): ENCODE Her hakki saklidir. Sayfa 1

2 Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur. Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Buradan da anlasilacagi gibi elektronik ticaret yapan kurum ve kuruluslar topladigi ve isledigi kisisel verilerin guvenliginden ve yetkisiz erisimlere kapali olarak saklanmasindan sorumludur. Ayrica, kanuna gore ilgili veri sahibi musterinin onayi/mutabakati olmadan kisisel veriler ucuncu kisilere iletilemez ve baska amaclarla kullanilamaz. Burada baska amaclar derken veri sahibine beyan edilmis kullanim amaclarindan bahsedilmektedir, zira veri sahibi kuruma kisisel verisinin kullanilmasi icin onay ve mutabakatini verirken kendisine beyan edilen kullanim amacini baz almistir. Yukumlulukler ne anlam ifade etmektedir? Kanun no (kabul tarihi 27 Mart 2015, Resmi Gazete yayin tarihi 5 Nisan 2015, no ) madde 32: 5809 sayılı Kanunun Anayasa Mahkemesince iptal edilen 51 inci maddesi (kişisel verilerin işlenmesi ve gizliliğin korunması) aşağıdaki şekilde yeniden düzenlenmiştir: (1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması ENCODE Her hakki saklidir. Sayfa 2

3 amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak; a. Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar, b. Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl, c. Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince, saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) İşletmeciler, tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine yönelik fatura tutarı ve ödeme bilgilerini diğer işletmecilerle paylaşabilir veya işleyebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir. Buradaki yukumluluklerden yola cikarak aslinda ilk once 2008 de daha sonra 2013 te TBMM gundemine kanun tasarisi olarak alinan Kisisel Verilerin Korunmasi Kanunu nun temellerinin atildigini soyleyebiliriz. Zira verinin toplanmasi, islenmesi, kullanimi, ucuncu sahislara (Turkiye ici ve disinda olmak uzere) transferi, veri sahibinin haklari ve kendisiyle yapilmasi gereken mutabakat, ve verinin yok edilmesiyle ilgili tum hukumler ilgili kanun tasarisinda da bulunmaktadir. Ayrica benzer hukumler OECD mevzuatinda ve 28 AB ulkelerinde uygulanan yerel yasalarin baz aldigi AB Veri Koruma Kanunu (EU Data Protection Act) dahilinde de vardir. Asagidaki tabloda da goruldugu uzere: OECD mevzuati, AB mevzuati ve 28 AB uyesi ulkede yururluge girmis ve AB mevzuatini baz alan yerel kanunlar, Turkiye deki mevcut kanunlar (no. 5809, no ve no. 6639), ve T.C. Kisisel Verilerin Korunma Kanunu tasarilari (2008 ve 2013) arasinda prensipler perspektifinden bakildigi zaman tam bir uyum soz konusudur. ENCODE Her hakki saklidir. Sayfa 3

4 Nasil uyumlu hale gelebiliriz? Turkiye de ticari ve/veya iktisadi kazanc amacli elektronik ticaret faaliyetleri yuruten kurum ve kuruluslar yukarida bahsedilen prensip ve yukumluluklere uymak durumundadirlar. Kisaca: Verilerin toplanma asamasinda verinin kullanim amaci ve kullanilabilecegi tum alanlar / senaryolar veri sahibi musteriye beyan edilmelidir. Veri toplanirken beyan edilmis amac ve kullanim alanlari veri sahibinden alinacak onay/mutabakat metnine dahil edilmelidir. Ayni zamanda veri kullanim suresi de veri sahibinden alinacak onay/mutabakat metnine dahil edilmelidir. Veri isleme ve kullanim faaliyetleri kesinlikle veri sahibinden alinan onay dahilinde belirtilmis olan sinirlarin disina cikmamalidir; Eger ek kullanim alanlari ortaya cikmissa veri sahibinden ek onay alinmalidir. Veri kullanim sureleri kesinlikle veri sahibinin onay verdigi veri kullanim suresini asmamalidir; Kullanim suresi gecen veriler yokedilmelidir; Eger ek veri kullanim surecine ihtiyac duyuluyorsa veri sahibinden ek onay alinmalidir. Verinin ucuncu sahislara transfer edilebilmesi ve/veya Turkiye disina cikartilabilmesi icin mutlak surette veri sahibinin onay vermis olmasi gerekmektedir; Onay olmadan bu tip veri transferleri yapilmamalidir; Ihtiyac halinde bu tip veri transferlerinin yapilabilmesi icin veri sahiplerinden ek onay alinmalidir. Butun bu hususlara ek olarak kisisel verilerin guvenligi ve gizliligi mutlak surette tum veri omur dongusu boyunca korunmalidir. Buradaki en buyuk riskler: Veri kaybi, Veri calinmasi, Siber saldirilar, Calisanlarin verilere yetkisiz erisim saglamasi, Calisanlarin veya saldirganlarin verileri yetkisiz sekilde ucuncu sahislara transfer etmesi, ve Cloud bazli hizmet alimlarinda, ozellikle hizmet saglayicisi ve/veya hizmetin sunuldugu elektronik altyapi Turkiye disindaysa, Turkiye de uyulmak zorunda olan yukumluluklere uyulmamasidir. Kurum bu risklere gore uygun risk azaltici tedbirler belirlemeli ve uygulamaya koymalidir. ENCODE Her hakki saklidir. Sayfa 4

5 Yukaridaki risklerin kurumun yapisina gore analiz edilerek uygun risklerin belirlenmesi ve onceliklendirilmesi yapilmalidir. Mevcut surec, kontrol, teknoloji ve IK altyapisinin incelenerek bir farklilik analizi yapilmali ve akabinde kurum icin iyilestirme yol haritasi cikartilmalidir. Verilerin kullanildigi is sureclerinde gerekli uygulama ve surec kontrollerinin olusturulmasi tamamlanmalidir. Ayni zamanda is sureclerine destek veren teknoloji altyapisindaki gerekli kontroller de olusturulmalidir. Veri korumasiyla ilgili yonetim sistemi olusturulmalidir (boyle bir sistem ISO27001 yonetim sistemi veya COBIT yonetisim surecleri kapsaminda da olusturulabilir). Veri korumasiyla ilgili surecler, politikalar, ve prosedurler gelistirtilerek bunlarin calisanlar tarafindan anlasilmasi saglanmalidir. Burada onemli olan risk bazli hareket etmek ve verinin omur dongusu sirasinda diger tum katmanlarla (sistemler, altyapi, IK, is surecleri, vs) etkilesimlerini iyi anlayarak her noktadaki riski en aza indirmeye yonelik calismalar yapabilmektir. Bu sekilde kurumun genel kisisel verilerin korunmasi kanun ve yukumlulukleriyle uyum riskinin kabul edilebilir seviyelere indirilmesi planlanmaktadir. Kemal Özmen Projelerden Sorumlu Ortak, ENCODE Kemal Özmen seneleri arasinda toplam 16 yil once Big 5 daha sonra Big 4 adi verilen uluslararasi denetim ve danismanlik firmalarindan dordunde (Andersen, Ernst & Young, PricewaterhouseCoopers, KPMG) gorev yapti ve BT guvenlik ve risk yonetimi basta olmak uzere bircok is ve mali danismanlik alaninda Balkanlar dan sorumlu Direktor seviyesine kadar yukseldi. Kemal, sistem implementasyonu, BT risk yonetimi ve denetimi, suistimal arastimaciligi ve computer forensics, surec ve kontrol iyilestirmeleri, yonetisim ve risk yonetimi, ve surec performans iyilestirmeleri konularinda Turkiye, Romanya, Yunanistan, Balkanlar, ve Orta Dogu bolgelerinde bircok proje yonetti. Kemal in uluslararasi sertifikalari arasinda ACCA (UK Chartered Accountant ve Romanya Mali Musavir ve Bagimsiz Denetciler Odasi uyesi), CIA, CFE ve CISA bulunmaktadir, ayrica Avrupa Birligi sinirlari icinde Yeminli Mali Musavir statusune sahiptir. Kemal, 1994 te Robert Kolej i bitirdikten sonra 1998 yilinda Macalester College (ABD) den ekonomi dalinda lisans diplomasi (B.A.) almistir. Dogustan T.C. vatandasi olan Kemal, 2009 yilinda Romanya vatandasi olmaya da hak kazanmistir ve halihazirda cifte vatandastir. Kemal, 2006 yilinda AB Veri Koruma Mevzuati nin Romanya da yururluge girebilmesi icin Iletisim ve BT Bakanligi nin (MCTI) actigi calistayda yer almistir ve Romanya nin yerel yasasinin yazilma surecine katkida bulunmustur. ENCODE Her hakki saklidir. Sayfa 5