17. Çözüm Ortaklığı Platformu Kişisel Verilerin Korunması Güncel Gelişmeler İpek Okucu - Hukuk Onur Korucu Siber Güvenlik
İçindekiler Kişisel verilerin korunması mezuatı ile ilgili Güncel Konular Teknoloji ve Bilgi Güvenliği bakış açısı ile değerlendirmeler
Kanun un Amacı 6698 Sayılı Kişisel Verilerin Korunması Kanunu («Kanun»), 7 Nisan 2016 tarihli Resmi Gazete de yayımlanarak yürürlüğe girdi. Kanun, herhangi bir sektör ayrımı gözetmeksizin, kişisel veri ile temasta bulunan tüm alanları düzenlemektedir. Ülkemizde bir ilk teşkil eden Kanun, özellikle kişisel veriler üzerinden gelir elde eden iş modelleri bakımından hayati bir önem taşımaktadır. Kanun, kişisel verilerin işlenmesini yasaklamayı değil, çeşitli kurallara bağlanmasını amaçlamaktadır. Şirketlerin kişisel veriler ile elde edebilecekleri güç, rekabet dengelerini de doğrudan değiştirebileceği için kişisel verilerin korunması aynı zamanda rekabet mevzuatı ışığında da etki doğurabilmektedir.
Kişisel Veri Nedir? Kimliği Belirli veya Belirlenebilir Gerçek Kişiye İlişkin Her Türlü Bilgi «Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi» Hem GDPR hem de KVKK, (i) temel hak ve özgürlüklerin korunmasını ve (ii) kişisel verileri işleyen gerçek ya da tüzel kişilerin uyacakları usul ve esasların düzenlenmesini amaçlamaktadır. Özel nitelikli kişisel verilerin kapsamında bu iki düzenleme arasında farklar mevcuttur. Kişisel Veri Örnekleri Ad, Soyadı, Taşıt Plakası, SGK Numarası, T.C. Kimlik No., Diploma, Transkript, Öğrenci Belgesi Kredi Kartı, İndirim Kartı, Kişisel Toplu Taşıma Kartı vs. Bordro, Şahsi Vergi Beyanı, IBAN No., Fatura, Konşimento vb. Özgeçmiş IP Adresleri, Çerez Bilgileri (Cookie), Konum Bilgisi Kişiye bağlı her türlü eşsiz/tekil kod veya numara (telefon numarası vs.) Parmak İzleri, Genetik Bilgileri, Kan Grubu, Retina Taraması Dernek veya Parti Üyeliği, Dini veya Felsefi İnanç Irk, Etnik Köken Çalışan, Müşteri İş Ortakları Belirli veya Belirlenebilir Gerçek Kişi Her Türlü Veri
Kişisel Verilerin İşlenmesi Kişisel Verilerin İşlenmesine İlişkin Örnekler Her Türlü Faaliyet Toplama ve/veya Kaydetme Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır. Organize Etme/ Depolama Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir. 2 Kişisel veriler üzerinde gerçekleştirilen her faaliyet «işleme» olarak kabul edilmektedir. 1 4 5 Aktarma Veri aktarımı da bir işleme türüdür. Yayma/Erişebilir Kılma Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür. Engelleme/Silme Kullanma/ Değiştirme 3 6 Verilerin silinmesi de bir işleme faaliyeti olarak kabul edilmektedir. Kişisel verilerin, görüntülenmesi de dahil olmak üzere, her türlü kullanımı işleme sayılır.
Mevzuatla Kişisel Verilerin Koruması Özetle Ne Şekilde Sağlanacaktır? Silinir Aydınlatma Açık Rıza veya İstisna Amaç ve Süre ile Sınırlı İlkelere Uygunluk Yok Edilir Yürürlüğe giren yeni mevzuat ile beraber kurumlar kişisel verileri ancak yukarıdaki 4 şartın aynı anda sağlanmasıyla işleyebileceklerdir. Aksi taktirde kişisel veriler silinmeli, yok edilmeli ya da anonim hale getirilmelidir. Anonim Hale Getirilir
VERBİS kaydına ilişkin notlar 1. Veri Sorumlusu Yöneticisi Şirket kurumsal hafızasına sahip bir yönetici 2. İrtibat Kişisi ve sicile kayıt Her tüzel kişi için ayrı irtibat kişisi belirlenmeli, özellikle grup şirketleri için önemli E-devlet ile giriş Veri kategorisi, amaçlar, saklama süreleri, aktarılan taraflar 3. Sicil Sorgulama Kamuya açık Şu anda yaklaşık 1.000 şirket VERBİS kaydı yaptırmış durumda * Hazırlanan envanterlerin VERBİS sistemi ışığında gözden geçirilmesi gerekir.
Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması K01 İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
İş Başvuru Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması K02 İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e- posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden; Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır. Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında, İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
Kişisel Veri Güvenliği İhlalinin Geç Bildirimi K03 İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının; Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen en kısa süre yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması K04 Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin; Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir. Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.
Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması K06 Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle, Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
Kurul un vermiş olduğu diğer bazı kararlar K07 Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin karar Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları ile ilgili karar Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili karar Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik karar Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik karar
Türkiye de KVKK öncesinde yaşanan problemler o Bulutta kişisel verilerin hiçbir kurala tabi olmaksızın aktarılması. o Kişisel verilerin işlenmesinin sınırsızlığı. o Mahremiyet anlayışının ülke kültür ve iş yapış modellerindeki yoksunluğu o Veri Yönetişimi modellerinde teknoloji çözümlerinin yetersizliği. o EUROPOL ile güvenlik birimlerimiz arasında elektronik veri paylaşımı, o Yabancı yatırımcının Türkiye ye gelmesi ve yatırımını global olarak yönetmesi,
Dünya daki Veri Koruması Yaklaşımları Düzenlemesi Olmayan Ülkeler (Çin) Kapsamlı Model (Avrupa Birliği) Birlikte Düzenleme- Öz Düzenleme Modeli (Avustralya) Sektörel Düzenleme Modeli (ABD, Japonya)
Dünya daki Veri Koruması Yaklaşımları AB ve ABD Yaklaşımları İfade Özgürlüğünün Mahremiyet hakkına karşı üstünlüğü, «Business-friendly» yaklaşımlar, Genel düzenlemeler yerine sektörel düzenlemelere ağırlık verilmesi. Dünyadaki en ağır kişisel veri koruması kuralları, Gittikçe genişleyen kapsam, Gittikçe ağırlaşan yaptırımlar, AB sınırları dışını da kapsayan düzenlemeler, Uluslararası veri transferinin çok ağır kurallara bağlanması
GDPR ın Dünyadaki Statüsü 95/46 Sayılı Direktif AB ye üye devletlerin kendi iç hukuklarına implamantasyonu gerekir. GDPR Hiçbir implamantasyona gerek duyulmaksızın direk uygulanabilirliği olması.
Dünyada her dakika 1.7 milyon Gigabayt veri üretilmektedir*. (360.000 DVD yi dolduracak miktarda veri) *Avrupa Komisyonu nun «Büyük Veri» başlıklı ve 13/965 sayılı bilgilendirme notundan Uzmanlar 2020 yılı itibari ile %4300 oranında bir veri üretimi artışı yaşanacağını belirtmektedirler. 2020 yılında, üretilen verilerin 1/3 ü Bulut Bilişim üzerinden kullanılacağı veya üretileceği belirtilmektedir. Kullanıcılar 2018 yılında verilerin 1.4 EB ını depoladılar.
Bilinen Markaların Kişisel Veri Sızıntıları 2017 Dailymotion 85.200.000 Instagram 6.000.000 Snapchat 1.700.000 2016 2015 Gmail 200.000.000 Uber 50.000 River City Media 1.370.000.000 2014 2013 Ebay 145.000.000 JP Morgan 76.000.000 UPS 4.000.000 Yahoo 1.000.000.000 HSBC Türkiye 2.700.000
Veri Temelli Ekonomi Veri Temelli Ekonominin Dayanağı: Veri Koruması Büyük Veri Bugüne kadar görülmemiş hacimdeki verinin elde edilmesi karşısında, kişilere ait verilerin korunması büyük önem kazanmıştır. Bulut Bilişim Büyük hacme sahip verilerin işlenmesi için çok büyük işlem gücüne ihtiyaç duyulmakta, bu da bulut bilişim sayesinde mümkün olmaktadır. Bulut bilişim çoğu durumda uluslarası veri trasnferlerini gerektirmekte bu da uyumuluk sorununu ortaya çıkarmaktadır. Nesnelerin İnterneti Günlük olarak kullandığımız nesneler, bizler hakkındaki en detaylı ve hassas verileri devamlı olarak kaydetmektedir. Veri Merkezleri Verilerin korunması konusundaki hukuki sorumluluğun kime ait olduğu konusunda uluslararası konumlandırma sağlar.
Büyük Veri «Big Data» & «Privacy by Design»
Nesnelerin İnterneti «IoT»
Bulut Bilişimi «Cloud Computing»
Kişisel Veriler için Bilgi Güvenliği Veri Sızıntısı E-ticaret ve ödeme sistemine etki eden zararlı yazılım kaynaklı veri sızıntısı Veri işleyen ve Veri sorumlusu arasında sözleşmesel teknik yaptırımlar Yazılım versiyon kontrolü Kimlik doğrulama Güvenlik olay izleme Düzenli yedekleme Veri yönetişimi
Veri Yönetişimi «Data Governance» Kişisel Veri Haritası 03 Kişisel Veriyi Yönet Kişisel Veriyi Tespit Et 01 02 Kişisel Veriyi Doğru Yöntemlerle İşle
Teşekkürler