Kişisel verileri korumak artık mümkün mü? Kişisel Verilerin Korunmasına Yönelik Hizmetlerimiz
24 Mart 2016 tarihinde, TBMM Genel Kurulu nda kabul edilerek yasalaşan Kişisel Verilerin Korunması Kanunu (Kanun), başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacını taşımaktadır. Kanun, beraberinde özellikle kişisel veri işleyen, taşıyan veya saklayan firmalar için önemli bir dönüşümü de getirmektedir. Kişisel veri: Temel hak ve özgürlükler kapsamında ele alınan ve özel hayatın gizliliği başta olmak üzere kişinin mahremiyet hakkı ve bilgi güvenliğinin korunmasıyla alakalı bir üst kavram niteliğindedir. Kanun un kabulüne dek, kişisel verilerin korunması konusu genel kanuni düzenlemeler ile gerçekleştirilmeye çalışılmış, ihtiyaca göre özel kanunlarla da düzenlemeler getirilmiştir. Anayasa 5237 sayılı Kanun Temel düzenleme, 2010 yılında yapılan değişiklik ile Anayasanın özel hayatın gizliliğini koruma altına alan 20 nci maddesine eklenen üçüncü fıkra ile hukuk düzenimize girmiştir. TCK nın 135 ile 140 ıncı maddelerinde kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, üçüncü kişilere ifşa edilmesi ve verilerin süresinde yok edilmemesi fiilleri suç olarak düzenlenmiş ve hürriyeti bağlayıcı cezalara bağlanmıştır. Elektronik Ticaretin Düzenlenmesi Hk. Kanun Vergi Usul Kanunu İş Kanunu Bilgi Edinme Kanunu Polis Vazife ve Salahiyet Kanunu Elektronik Haberleşme Kanunu Elektronik İmza Kanunu Ceza Muhakemesi Kanunu Bankacılık Kanunu gibi muhtelif kanunlar Kişisel Verilerin Korunması Kanunu, 24.03.2016 da Türkiye Büyük Millet Meclisi nde (TBMM) kabul edilmiş ve 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete de yayınlanarak yürürlüğe girmiştir. Diğer kanunlar 6698 sayılı Kanun 6 ay içinde: Kişisel verilerin aktarılması İlgili kişinin hakları Veri sorumlusuna başvuru Kurula şikayet Veri sorumluları sicili Suçlar ve kabahatler ile ilgili maddeler yürürlüğe girer. 2 yıl içinde: Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, Kanun hükümlerine uygun hale getirilir. Kişisel veri, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda ad, soyad, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik ve pasaport numaraları, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP ve e-posta adresleri, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. 2 Kişisel verileri korumak artık mümkün mü?
Kişisel verilerin korunmasının etkin ve verimli bir şekilde yürütülmesi, Yönetim Kurulu başta olmak üzere tüm üst yönetimin sorumluluğu, sahipliği ve sponsorluğu ile mümkündür. Buna ek olarak, Kişisel Verilerin Korunması ile ilgili uyum çalışmaları kurum içerisinde bir çok farklı disiplinden katkı gerektirebilmektedir. Hukuk Hukuki tanımlar: Açık rıza, kişisel veri, veri sorumlusu vb. Kişisel verilerin işlenme şartları Kişisel verilerin silinmesi ya da anonimleştirilmesi Kişisel veri sahibinin hakları Veri sorumlusunun yükümlülükleri Kişisel verilerin aktarılması (yurt içi, yurt dışı) Suçlar ve kabahatler TCK uyarınca suçlar 1M TL ye varan idari cezalar Bilgi güvenliği Veri sınıflandırma, etiketleme Kimlik ve erişim yönetimi Veri gizliliği ve bütünlüğü koruma Veri kaçaklarını koruma Tedarikçi güvenliği Güvenlik izleme ve değerlendirme Güvenlik denetimleri Acil durum eylem planları Siber incelemeler Operasyon modeli ve iş süreçleri Kurum operasyon modeli ve iş süreçlerinin Kanuna uygun olarak tasarlanması İlgili politika ve prosedürlerin oluşturulması Müşteriye dokunan süreçler İnsan kaynakları süreçleri Hizmet sağlayıcıların yönetimi Kişisel verilerin yönetilmesi ile ilgili müşteri deneyimi Kişisel verilerin korunmasına yönelik denetim çalışmaları Kişisel Verilerin Korunması Kanunu Kişisel Veri Koruma Sorumlusu atanması (CPO) Veri işleme, saklama ve imha süreçleriyle yeni gelebilecek rol ve sorumluluklar Tedarikçilerin ve hizmet sağlayıcıların rolleri Sürekli eğitim ve farkındalık Organizasyon Veri mimarisi ve modeli Veri yaşam döngüsünün bilgi teknolojileri iz düşümü Veri saklama, yedekleme ve kurtarma prosedürleri Veri imha ya da anonimleştirme teknolojileri Veri keşfi Raporlama yükümlülükleri Veri yönetimi Kişisel verileri korumak artık mümkün mü? 3
Araştırmalar, kişisel verilerin korunması konusunun öncelikli olarak yasal uyum amacıyla ele alındığını göstermektedir. Bununla birlikte, kurum içerisindeki birçok farklı birimin bir arada çalışması ile risklerin bertaraf edilmesi ve aynı zamanda marka ve itibarın korunması konusunun da ön planda olduğu görülmektedir. 1 Bilgi Güvenliği %83 Kişisel verilerin korunması ile ilgili olarak beraber çalışılan bölümler 1 Hukuk %79 Bilgi Teknolojileri %72 Yasal Uyum %64 İnsan Kaynakları %56 Firmaların en çok kaygı duyduğu sorunların başında kişisel verilerin nerede saklandığının ve nasıl işlendiğinin bilinmemesi ve kaynak eksiklikleri gelmektedir. 2 Kurumunuzdaki kişisel verilerin yönetimi ile ilgili hangi konular sizi daha çok kaygılandırıyor? (1 en çok, 5 en az) Kişisel verilerin ana sistemlerimiz ve sunucularımız dışında saklandığı ve işlendiği yerler konusunda elimizde tam bir görüntü yok Kişisel verilerin korunması ile ilgili yeterince çalışan görevlendirilmiş değil Çalışanlarımızın erişebildikleri kişisel verilerle neler yaptığını kontrol edemiyoruz Tedarikçilerin erişiminin olduğu kişisel verilerin nasıl kullanıldığını bilmiyoruz Politikalar ve eğitime fazla güveniliyor, yeterli teknik kontroller mevcut değil Bilinen açıklıkları kapatmak için yeterli kaynağımız yok Üst yönetim desteği yeterli değil Kurumsal programın iş birimi seviyesinde uygulanması ile ilgili eksiklikler var %36 Kişisel verilerin korunması için çalışanlar arasında tek görevi bu olanların yüzdesi 1 1) Kaynak: IAPP-EY Annual Privacy Governance Report 2015 2) Kaynak: EY s Global Information Security Survey 2015 Overall results report 4 Kişisel verileri korumak artık mümkün mü?
Kişisel verilerin korunması için dikkat edilmesi gerekenler, gerek mevzuat uyumu gerekse de kişisel verilerin korunması konusundaki hesap verilebilirlik prensibinin tesisi açısından etkin rol oynayacaktır. Kişisel veri koruma Uyum ve hesap verilebilirlik Yönetişim Üst yönetim sponsorluğu Sağlam bir kişisel veri koruma programı Kişisel veri yaşam döngüsü Tüm organizasyona yaygınlık Kararlılık Güven fakat doğrula prensibi ile hesap verilebilirlik Üçüncü parti güvence unsurları İç denetim ve iç kontrol faaliyetleri Bağımsız denetim Eğitim ve farkındalık Hizmet sağlayıcı yönetimi Kurum iç kontrollerinin hizmet sağlayıcılarına da uzanması Yeni dijital dünyada hizmet sağlayıcıların rolleri Kişisel veri koruma trendleri Uyum ve hesap verilebilirlik için bazı örnek aksiyonlar 1 Kişisel verilerin korunması ile ilgili performans göstergelerinin belirlenmesi 2 Sistem geliştirme yaşam döngüsü ve süreç modelleri içerisinde etki analizi entegrasyonu 3 Olay/ihlal müdahale planlarının hazırlanması 4 İç tehditlere karşı izleme faaliyetlerinin tesis edilmesi ve bir program çerçevesinde yönetilmesi 5 Güvence seçeneklerinin değerlendirilmesi 6 Kimlik ve erişim yönetimi mekanizmalarının tesis edilmesi 7 Kişisel veri temini ve açık rıza konusunda net politikaların belirlenmesi 8 İmha ve anonimleştirme tanımlarının ve işlemlerinin netleştirilmesi Kişisel verileri korumak artık mümkün mü? 5
EY size nasıl destek olabilir? 1 Etki değerlendirmesi İyileştirme ve uygulama 2 Kişisel verilere ilişkin envanter hazırlığı ve bunların süreç ve sistemlerle olan ilişkisinin çıkarılması Teknoloji destekli kişisel veri koruma sistemi Veri yönetimi Veri keşfi Veri yönetişimi Anonimleştirme (dinamik/statik) Kişisel veri koruma programının oluşturulması Yönetişim Politika ve prosedürler Tedarikçi yönetimi Süreç tasarımı ve düzenlemeleri Olay müdahale Performans yönetimi ve raporlama Kanun, diğer mevzuat ve varsa kurum içi kurallara göre etki alanlarının ve iyileştirme fırsatlarının belirlenmesi Hukuk Bilgi güvenliği Operasyon modeli ve iş süreçleri Organizasyon Veri yönetişimi Önceliklerin belirlenmesi ve dönüşüm yol haritasının hazırlanması 3 Düzenli kontroller ve güvence İç denetim desteği sağlanması Dış denetim ya da incelemeler Diğer güvence raporları 6 Kişisel verileri korumak artık mümkün mü?
İletişim Emre Beşli EY Türkiye Şirket Ortağı, Danışmanlık Hizmetleri emre.besli@tr.ey.com +90 212 315 30 00 Mehmet Küçükkaya EY Türkiye Şirket Ortağı, Vergi ve Hukuk Hizmetleri mehmet.kucukkaya@tr.ey.com +90 212 315 30 00 Ümit Yalçın Şen EY Türkiye Direktör, Siber Güvenlik Hizmetleri Lideri Danışmanlık Hizmetleri umit.sen@tr.ey.com +90 212 315 30 00 Can Genç EY Türkiye Kıdemli Müdür, Adli Teknoloji ve Keşif Hizmetleri Lideri Denetim Hizmetleri can.genc@tr.ey.com +90 212 315 30 00 Kişisel verileri korumak artık mümkün mü? 7
EY Assurance Tax Transactions Advisory EY Hakkında EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlık hizmetlerinde bir dünya lideridir. Anlayışımız ve kaliteli hizmetlerimiz dünya ekonomisi ve sermaye piyasalarında güvenin oluşmasına katkıda bulunmaktadır. EY, güçlü yönetim ekibiyle tüm paydaş gruplarına verdiği sözleri yerine getirmekte ve bu şekilde çalışanları, müşterileri ve içinde yer aldığı diğer çevreler için daha iyi bir çalışma hayatı oluşturulmasında önemli bir rol üstlenmektedir. EY adı küresel organizasyonu temsil eder ve Ernst & Young Global Limited in her biri ayrı birer tüzel kişiliğe sahip olan, bir veya daha çok, üye firmasını temsil edebilir. Sınırlı sorumlu bir Birleşik Krallık şirketi olan Ernst & Young Global Limited müşteri hizmeti sunmamaktadır. Daha fazla bilgi için lütfen ey.com adresini ziyaret ediniz. 2016 EY Türkiye. Tüm Hakları Saklıdır. Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe, vergi veya diğer profesyonel hizmetler alanında geçerli bir kaynak olarak kullanılması amacıyla hazırlanmamıştır. Belirli bir konuya ilişkin olarak ilgili danışmana başvurulmalıdır. ey.com/tr vergidegundem.com facebook.com/ernstyoungturkiye instagram.com/eyturkiye twitter.com/ey_turkiye