Kişisel Verilerin Korunması Kanunu Semineri

Kişisel Verilerin Korunması Kanunu Semineri 16 Kasım 2016, Çarşamba Finansal Kurumlar Birliği Konferans Salonu 7 Nisan 2016 da yürürülüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte şirketleri bekleyen çok önemli değişiklikler bulunmakta. Uluslararası benzer standartlar ve Kanunlar ile birlikte değerlendirildiğinde; KVKK ile birlikte kişisel verilerin sınırsız olarak gelişigüzel toplanması, denetimsiz olarak açıklanması veya yetkisiz kişilerin eline geçmesi durumunda kötüye kullanılarak kişilik haklarının ihlal edilmesi gibi sorunların önüne geçilmesi amaçlanıyor. Kanun da yer alan çerçeve ilkeler ve maddeler ile beraber şirketlerin uyması gereken kurallar belirlenmekte ve söz konusu kurallara ihlal olması durumunda karşılaşılacak cezai ve hukuki yaptırımlar yer almakta. Toplantıda şirketlerin alması gereken aksiyonlar ve kanuna uyum konuları değerlendirilecektir. Adres: Esentepe Mah. Büyükdere Cad. Bahar Sok. No:13 River Plaza Kat:18 Ofis No: 48-49 34394 Şişli / İSTANBUL LCV: Yeliz Alçınkaya E: yeliza@m2s.com.tr T: 0216 317 77 30 2016 Akis Bağımsız Denetim ve SMMM A.Ş., KPMG International Cooperative in üyesi bir Türk şirketidir. Tüm hakları saklıdır. Türkiye de basılmıştır. KPMG adı ve KPMG logosu KPMG International Cooperative in tescilli ticari markalarıdır.

Program Birinci Oturum İkinci Oturum Başlangıç Bitiş Başlangıç Bitiş Konu Konuşmacı Açılış Konuşması Mehmet Cantekin FKB 09:00 09:45 14:00 14:45 Kişisel Verilerin Korunması Kanunu: Şirket inizi Bekleyen Değişimler Sinem Cantürk KPMG 09:45 10:30 14:45 15:30 Cezai Yaptırımlar ve Kanun un Getirdiği Yükümlülükler Onur Küçük KPMG 10:30 10:45 15:30 15:45 Ara - İkramlar 10:45 11:30 15:45 16:30 AB ve Uluslararası Standartlar ile Türkiye'deki Uygulamalar Onur Küçük KPMG 11:30 12:00 16:30 12:30 Süreçleriniz ve Sistemleriniz Kanun'a Uyumlu mu? Ehtiram İsmayilov KPMG Sinem Cantürk Şirket Ortağı, Bilgi Sistemleri Risk Yönetimi Başkanı Sinem Cantürk, kariyerine 1996 yılında Yapı Kredi Bankası nda başlamıştır ve 10 yıl boyunca uygulama geliştirme takım lideri, uygulama mimarı, proje yöneticisi gibi çeşitli rollerde görev almıştır. KPMG Türkiye ye 2006 yılında katılan Sinem Cantürk, Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Finansal Servisler Sektör Lideri olarak, KPMG yi son 5 yıldır düzenleyici birimlerde (BDDK, SPK, KGK, BTK) temsil etmektedir. Onur Küçük Şirket Ortağı, Hukuk Bölümü Başkanı Onur Küçük, kariyerine Motorola Türkiye de başlamıştır. 2006-2011 yılları arasında Küçük Hukuk Bürosu adı ile kendi hukuk bürosunu kurmuş ve küçük ve orta ölçekli firmalara Ticaret Hukuku, Sözleşmeler, İş Hukuku, Şirket Birleşme ve Devralmaları ile Ticari Davalar konularında danışmanlık ve avukatlık hizmetleri vermiştir. 2011-2015 yılları arasında Bener Hukuk Bürosunda Partner olarak görevini ifa eden Onur Küçük, 2016 yılında KPMG Hukuk bölümüne Hukuk Bölüm Başkanı olarak katılmıştır. Ehtiram İsmayilov Direktör, Bilgi Sistemleri Risk Yönetimi Ehtiram İsmayilov, 2006 yılından bu yana KPMG Türkiye de, Bilgi Sistemleri Risk Yönetimi Bölümü nde Direktör olarak görev yapmaktadır. KPMG Türkiye deki kariyerinde çeşitli sektörlerde faaliyet gösteren birçok şirketin denetim ile danışmanlık görevlerinde rol alan Ethiram İsmayilov un, sektör tecrübeleri arasında finans sektörü (bankacılık, sigortacılık, faktöring, yatırım, leasing), enerji, havacılık ve otomotiv yer almaktadır.

İletişim Sinem Cantürk Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı, Şirket Ortağı T: +90 216 681 90 37 M: +90 533 294 36 08 E: scanturk@kpmg.com KPMG Türkiye Rüzgarlıbahçe Mah. Kavak Sok.No:29 Kavacık, 34805 Beykoz / İstanbul Onur Küçük Hukuk Bölüm Başkanı, Şirket Ortağı T: +90 216 681 90 21 M: +90 530 497 76 92 E: onurkucuk@kpmg.com KPMG Türkiye Rüzgarlıbahçe Mah. Kavak Sok.No:29 Kavacık, 34805 Beykoz / İstanbul Ehtiram Ismayilov Bilgi Sistemleri Risk Yönetimi Bölümü, Direktör T: +90 216 681 91 61 M: +90 533 294 61 13 E: eismayilov@kpmg.com KPMG Türkiye Rüzgarlıbahçe Mah. Kavak Sok.No:29 Kavacık, 34805 Beykoz / İstanbul

Kişisel Verilerin Korunması ONUR KÜÇÜK Kasım, 2016 kpmgvergi.com kpmg.com.tr

İçerik Kanun un Getirdiği Yükümlülükler ve Cezai Yaptırımlar AB ve Uluslararası Standartlar ile Türkiye'deki Uygulamalar Genel İlkeler Genel Olarak Yükümlülükler ve Yaptırımlar 1- Aydınlatma Yükümlülüğü Açık Rıza Kavramı 2- Veri Güvenliğine İlişkin Yükümlülükler 3- Kişisel Verilerin Yok Edilmesi GDPR ile gelen yeni kavramlar KVKK İkincil Mevzuat Kurulun Kararları Türk Ceza Kanunu ndaki Düzenlemeler Sorular 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 2 Document Classification: KPMG Confidential

Kanun un Getirdiği Yükümlülükler ve Cezai Yaptırımlar

Genel İlkeler Hukuka ve dürüstlük kuralına uygun Güncel olma (Accuracy) Meşru amaçlar için işlenme Orantılılık Amaçla orantılı süre boyunca muhafaza edilme 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 4 Document Classification: KPMG Confidential

Genel Yükümlülükler ve Yaptırımları Aydınlatma Yükümlülüğü Açık Rıza Kavramı Verilerin İmha Edilmesi Kurul Kararları Veri Güvenliğine İlişkin Yükümlülükler 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 5 Document Classification: KPMG Confidential

1- Aydınlatma Yükümlülüğü Yükümlülükler Ne zaman? Hangi Koşullarda? Nasıl? 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 6 Document Classification: KPMG Confidential

Aydınlatma Yükümlülüğü- Örnek Yükümlülükler 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 7 Document Classification: KPMG Confidential

Aydınlatma Yükümlülüğü Yaptırımlar İdari Para Cezası 5.000 Türk lirasından 100.000 Türk lirasına kadar 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 8 Document Classification: KPMG Confidential

Açık Rıza Kavramı Kural: İlgili kişinin açık rızası (Ör: KVKK m.5/i, 6/II, 8/I, 9/I) Yükümlülükler Açık Rıza Nedir? Özgürce Konuyla ilgili yeterli bilgi sahibi olarak => Aydınlatma Yükümlülüğü (m.10) Tereddüde yer bırakmayacak açıklıkta ve Yalnızca o işlemle (amaçla) sınırlı olarak verdiği onay Veri işlenmesine ilişkin amaç değiştiği hallerde yeniden rıza alınması gerekir 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 9 Document Classification: KPMG Confidential

Açık Rızanın Aranmadığı Haller ÖNKV Bakımından İstisnalar Diğer Kişisel Veriler Yönünden İstisnalar Yükümlülükler Sağlık ve cinsel hayata ilişkin ÖNKV Diğer ÖNKV Kanunlarda öngörülen hallerde işlenebilir Bir kere rıza alınması yeterli mi? 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 10 Document Classification: KPMG Confidential

2- Veri Güvenliğine İlişkin Yükümlülükler Teknik tedbirler Yükümlülükler Fiziksel Bina dışı güvenliğinin temini Kapı ve pencerelerin güçlendirilmesi Alarm sistemi Yazılım Şifreleme Loglama Biometrik teşhis sistemleri İdari Tedbirler Talimat, planlama aracılığıyla uygulanan koruma çalışmalarıdır. Ziyaretçi bildirimi İşyeri gizlilik politikaları Denetimler Fiziki Giriş Kontrolü Bina güvenliği Odaların güvenliği Erişim Kontrolü Yetki Kontrolü İletme Kontrolü 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 11 Document Classification: KPMG Confidential

2- Veri Güvenliğine İlişkin Yükümlülükler Elektronik ortamda aktarım esnasında güvenlik Yükümlülükler Taşıma esnasında güvenlik Aktarım esnasında güvenlik Denetlenebilirlik Veri İşleme Kontrolü Sürekli Erişilebilir Olma Ayırma Farklı amaçlara toplanan kişisel verilerin birbirinden ayrı işlenmesini ifade eder. Sistemlerin birbirinden ayrılması Veri tabanında ayrı tablolar Ayrı veri tabanları Tekniğin güncel durumu göz önünde bulundurularak yapılmalıdır. Maliyet vs. Verilerin Arz Ettiği Potansiyel Risk 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 12 Document Classification: KPMG Confidential

Veri Güvenliğine İlişkin Yükümlülükler Yaptırımlar İdari Para Cezası 15.000 Türk lirasından 1.000.000 Türk lirasına kadar 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 13 Document Classification: KPMG Confidential

3- Kişisel Verilerin Yok Edilmesi Kişisel Verilerin Yok Edilmesi (m.7) Yükümlülükler Kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler yok edilmelidir. TTK m.82 ve m.64 Sosyal Sigorta Işlemleri Yönetmeliği (m.107/i) İşyeri ile ilgili tüm defter ve belgeler İlgili takvim yılını müteakip 10 yıl TCK m.138 Verileri sistem içinde yok etmekle yükümlü olanlar Kanunların belirlediği süreler Kurula şikayet => Yerine getirilmezse idari para cezası 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 14 Document Classification: KPMG Confidential

3- Kişisel Verilerin Yok Edilmesi İş Hukuku na İlişkin Düzenlemeler Yükümlülükler Çalışanlara ait kişisel verilerin kullanılması (TBK m.419) İşe yatkınlık Hizmet sözleşmesinin ifası için zorunlu olma İşçiye ait kimlik bilgileri (İK m.75) Hamile çalışanların hamileliklerinin son 2 ayında çalışabileceklerine ilişkin rapor (İK m.74) Hesap Pusulası (İK m.37) İzin belgelerinin saklanması (İK m.56) Fazla çalışmaya ilişkin muvafakatname (İK m.44) İşten ayrılma bildirgesi (SSGSS m.9) 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 15 Document Classification: KPMG Confidential

Kurul Kararları Yaptırımlar İdari Para Cezası 25.000 Türk lirasından 1.000.000 Türk lirasına kadar 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 16 Document Classification: KPMG Confidential

Türk Ceza Kanunu nda Düzenlemeler Özel Hayata ve Hayatin Gizli Alanina Karşi Suçlar (m.132-139) Yükümlülükler Kişisel Verilerin Kaydedilmesi (m.135), 1 yıl - 3 yıl Hukuka aykırı olarak kişisel verileri kaydedilmesi (Özel nitelikli kişisel veri söz konusu ise verilecek ceza yarı oranında artırılır). Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (m.136), 2 yıl - 4 yıl Verileri hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi Verileri yok etmeme (m.138), 1 yıl 2 yıl Bilişim suçları (m.243 m.246) 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 17 Document Classification: KPMG Confidential

AB ve Uluslararası Standartlar ile Türkiye'deki Uygulamalar

95/46/EC nin çıkış nedenleri Kişisel Verilerin Uluslararası Dolaşımının Bir Düzene Bağlanması Ülkeler arasındaki farlı koruma düzeyleri açısından asgari bir standart öngörülmesi Temel hak ve özgürlüklerin korunması 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 19 Document Classification: KPMG Confidential

15 Kasım 1995 :Türkiye Millî Futbol Takımı İsveç'le berabere kalarak, ilk kez Avrupa Şampiyonası finallerine katılma hakkı kazandı 25 Mayıs 1995 : Nasuh Mahruki dünyanın en yüksek tepesi olan Everest'in zirvesine çıkan ilk Türk oldu. 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 20 Document Classification: KPMG Confidential

1981: 108 nolu konvansiyon 2007: I PHONE 2016: GDPR 1995: 95/46 EC 2012: GDPR Çalışmaları 1981: 108 nolu sözleşmenin imzalanması 7 Nisan 2016: KVKK 27 Mart 2016: 108 nolu sözleşmenin onaylanması 20 Ekim 2016: SB Yönetmeliği 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 21 Document Classification: KPMG Confidential

2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 22 Document Classification: KPMG Confidential

GDPR ile gelen yeni kavramlar General Data Protection Regulation («GDPR») Rıza Olumlu beyan şeklinde olmalı (gerekçe 32) => 95/46/EC de bazı hallerde pasif bir davranışla olabileceği de kabul ediliyor (ör: Ticari Elekt. İletiler), Toplama Transfer Imbalance İhlal bilgilendirmeleri hakkında daha detaylı düzenelemeler Data protection officer Yurtdışına transferlerde yeni opsiyonlar Unutulma Hakkı Profiling PIA 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 23 Document Classification: KPMG Confidential

KVKK İkincil Mevzuat BEKLENTİMİZ : KVKK nın GDPR a uyumlu hale getirilmesi Kanun değişikliği İkincil mevzuat 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 24 Document Classification: KPMG Confidential

Uygulamalar

AB DE SEKTÖR SPESİFİK DÜZENLEMELER İSTİHBARAT FAALİYETLERİ Sözleşme Serbestisi Regulation No. 1060/2009/EC Regulation No 462/2013/EU Rızaya gerek var mı? Hukuki sebep olarak meşru menfaate gidilebilir mi? Hangi veriler kullanılabilir? İlgili kişinin hakları Bilgi alma Silinme 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 26 Document Classification: KPMG Confidential

İstihbarat Faaliyetleri Meşru Menfaat Ticari İlişki Orantılılık Credit rating agency ve finansman kuruluşları Kimler arasında yapılabilir? Araştırmayı yapma hakkınız var mı? Onay almanız lazım mı? 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey. 27 Document Classification: KPMG Confidential

Teşekkürler

2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative in tescilli ticari markalarıdır. Türkiye de basılmıştır. Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın, bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçre kuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanın KPMG International Cooperative e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.

Süreçleriniz ve Sistemleriniz Kanun'a Uyumlu mu? Ehtiram Ismayilov

Kanun un Beraberinde Getirdiği Yenilikler 1. Kişisel verilerin işlenmesi öncesinde açık rızaların alınması 2. Verilerin korunması adına her türlü teknik ve idari tedbirlerin alınması ile ilgili süreçlerin yönetimi ve takibi için veri sorumlusu atanması 3. Veri sahiplerinden gelen başvuruların zamanında ve eksiksiz cevaplanması için gerekli süreçlerin tasarlanması ve işletilmesi 4. Veriyi temin etme amacı ortadan kalktığında şirket bünyesinde bulunan verilerin imha/silinme/anaonimleştirmesine ilişkin süreçlerin tasarlanması ve işletilmesi 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 2

İlgili Standartlar BS10012 standardı, Kişisel Verilerin Korunması Kanunu un oluşması sürecinde dikkate alınan bir referans olup kişisel verinin korunması ile ilgili yayımlanan ilk standarttır. Standart kullanılarak Kanun a uyumlu olacak şekilde farkındalık eğitimi, risk değerlendirmesi, verinin paylaşılması, saklanması ve imhası gibi konularda detaylı olarak yönlendirme gerçekleştirmektedir. Türkiye de sertifikalandırılan şirket sayısının artması ile birlikte bilinen bir standart haline gelen ISO27001 Bilgi Güvenliği Yönetim Sistemi ile kritik bilgileriniz korunmakta, gizliliğe ilişkin güven ortamı yaratılmakta ve değerli bilgi varlıkları yönetilebilmektedir. 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 3

Şirketler Olarak Ne Yapmalıyız? Şirketler, Kanun da belirtilen ve aşağıda detaylarına yer verilen süreç ve kontrol mekanizmalarının oluşturulmasından, etkin şekilde işletilmesinin gözetiminden sorumludur. Kişilerden, kişisel verilerinin işlenmesi için izinlerin alınması Kişisel verilerin işlenmesinin kontrollü olarak gerçekleştirilmesi Kişilerden, özel nitelikli kişisel verilerinin işlenmesi için izinlerin alınması Özel nitelikli kişisel verilerin tespiti, sınıflandırması ve işlenmesi için gerekli süreç, iş akışı ve önlemlerin tesis edilmesi Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirmesine ilişkin süreç ve iş akışlarının tasarlanması Kişilerden, kişisel verilerinin üçüncü kişiler ile paylaşılması için izinlerin alınması Madde 5 Madde 6 Madde 7 Madde 8 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 4

Şirketler Olarak Ne Yapmalıyız? Yurtdışına çıkarılacak veriler için ilgili ülkede yeterli korumanının bulunmaması durumunda alınan önlemlerin koruma için yeterli olup olmadığının değerlendirilmesi Yurtdışına çıkarılacak kişisel veriler için gerekli izinlerin alınması Veri sorumlusu sorumluluklarının tesis edilmesi ve aydınlatma yükümlülüğü kapsamında farklı kanallar aracılığıyla yapılacak bilgilendirmeler için ilgili dokümantasyonun hazırlanması Veri sorumlusunun gerçek veya tüzel kişi olarak tesis edilmesi Kanuna uyumluluğa ilişkin denetim yapısının tesis edilmesi Kişisel verilerin bulunduğu sistemler ve altyapılar için gerekli güvenlik önlemlerinin alınması Kişisel verilere erişimin sınırlandırılması ve muhafazası için teknik ve idari tedbirlerin tesis edilmesi Kişisel verilerin ele geçirilmesi durumunda Kurul' a bildiri yapılmasına ilişkin mekanizmanın tesis edilmesi Madde 9 Madde 10 Madde 12 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 5

Çalışmalara Nereden Başlamalıyız? Kanun un 12. Maddesinin 7. Fıkrasının C bendinde, Şirketler verilerin muhafazası için gerekli tüm idari ve teknik tedbirleri almak zorundadırlar hükmü yer almaktadır. Bu maddeye istinaden şirketlerin Kanun maddelerine uyum sağlamaları için yol haritası aşağıda belirtilmiştir. Mevcut Durum Tespiti Şirket, Kanun kapsamındaki maddelere uyumluluğunu değerlendirerek durum tespiti yapmalı ve uyum değerlendirmesi neticesinde ortaya çıkan eksiklerin iyileştirilmesine ilişkin için yol haritasını oluşturmalıdır. Kanun Kapsamında Uyum Analizi Eksikliklerin Belirlenmesi Veri Envanteri Oluşturulması Eksikliklerin İyileştirilmesi Mevcut durum tespiti sonucu ortaya çıkan Kanun ile uyumlu olmayan alanlar doğrultusunda oluşturulması gereken politika, prosedür ve veri akışları oluşturulmalı, süreç değişiklikleri ve Kanun a uyum çerçevesinde gerekli idari ve teknik iyileştirmeler yapılmalıdır. Kişisel Verilerin Yönetimi Süreci Tasarlanmalı Rol ve Sorumluluklar Belirlenmeli Süreç Değişiklikleri ve İyileştirmeleri 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 6

Mevcut Durumun Tespiti

Mevcut Durum Tespiti Kanun kapsamında alınması gereken önlemler çerçevesinde ilgili mevcut durumun analizi ve varsa eksiklik / iyileştirme noktalarının belirlenmesidir. Kanun kapsamında veri yönetimi ile ilgili süreçler, sistemler ve ilgili tanımlı dokümantasyon ile BT süreçleri ve Kanun a uyum açısından incelenerek, var olan eksiklikler tespit edilmelidir İnceleme çalışmaları sonucu tespit edilmiş olan bulgular değerlendirilmeli, iyileştirme noktasında öneriler geliştirilerek süreçler üzerindeki geliştirme alanları belirlenmelidir. Kişisel verilerin akışına ilişkin şirketin taraf olduğu önemli sözleşmelerin mevzuat bakımından değerlendirilmesi gerçekleştirilmelidir 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 8

Kişisel Verilerin Tespiti Hangi Kişisel Veriler İşlenmektedir? Hangi Amaçla İşlenmektedir? Hangi Ortamda Bulunan Kişisel Veriler İşlenmektedir? Kişisel Veriler Kimlerle Paylaşılarak İşlenmektedir? Hangi Bölüm Tarafından Paylaşılan Kişisel Veriler İşlenmektedir? Hangi Yöntem İle Paylaşılarak İşlenmektedir? Hangi Süreçlerdeki Kişisel Veriler İşlenmektedir? Hangi Hukuki Dayanak İle Kişisel Veriler İşlenmektedir? Ne Kadar Süreyle Tutularak Kişisel Veriler İşlenmektedir? Kişisel Veri Envanteri Oluşturuldu mu? 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 9

Eksikliklerin İyileştirilmesi

Eksikliklerin İyileştirilmesi Mevcut durum tespiti sırasında ortaya çıkan uyumlu olmayan alanların geliştirilmesi amacıyla ilgili eksiklikler giderilmeli, Bu kapsamda aşağıdaki çalışmalar gerçekleştirilmelidir: Kişisel verilerin toplanması, işlenmesi, yedeklenmesi, imha süreçleri ve paylaşımıyla ile ilgili eksik olan politika, prosedür ve veri akış şemaları hazırlanmalıdır. Organizasyonun değerlendirilmesi sonucu ortaya çıkan eksiklikler doğrultusunda, Kanun kapsamı çerçevesinde birimlerde yer alan personelin görev, yetki ve sorumluluklarına ilişkin tanımlamaları yapılmalıdır Kişisel verilerin yönetimine ilişkin veri yönetim süreçlerinin Kanun kapsamında uygun şekilde tanımlanmalı, dokümantasyonu ve gerekli geliştirilmeler yapılmalıdır. Mevcut durum tespiti sonucu ortaya çıkan eksiklikler doğrultusunda Şirket süreç değişiklik ve uygulamalara ilişkin iyileştirme faaliyetleri gerçekleştirmelidir Kişisel verilerin akışına ilişkin şirketin taraf olduğu önemli sözleşmeler mevzuata uygun hale getirilmelidir. 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 11

Alınabilecek İdari Tedbirler Nelerdir?

Farkındalık Oluşturulması Kanuna uyum çalışmaları ile birlikte tüm şirket personeline farkındalık eğitimi verilip, Kanun hakkında farkındalık oluşturulmalıdır. Bu kapsamda aşağıdaki çalışmalar gerçekleştirilebilir: Kişisel verilerin toplanması, işlenmesi, yedeklenmesi, imha süreçleri ve paylaşımıyla ile ilgili olarak tüm şirket personeline eğitim verilmelidir. Belirlenen eksikler ile ilgili tüm şirket personeline bilgilendirme ve farkındalık sunumu yapılmalıdır. Kanunda belirtildiği üzere veri sorumlularının yapması gerekenler kapsamında veri sorumlularına verinin işlenmesi, kayıt sisteminin yönetilmesi konularında eğitim verilmelidir. Şirketin yönetici kadrolarına hukuki bilgilendirme yapılmalıdır. 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 13

Gözden Geçirme / Denetim Çalışması Mevcut durum tespiti sırasında ortaya çıkan uyumlu olmayan alanlar doğrultusunda ve Kanun kapsamındaki maddelere ait eksiklikler için gözden geçirme / denetim çalışması gerçekleştirilmeli ve raporlanmalıdır. Çalışmaların detayı aşağıda belirtilmiştir: Veri yönetimi ile ilgili süreçler, sistemler ve ilgili tanımlı dokümantasyon BT süreçleri ve Kanun a uyum açısından incelenerek gözden geçirilmelidir. Mevcut durum tespiti sonucu belirtilen eksiklikler doğrultusunda eksiklerin giderildiğine ilişkin gözden geçirme / denetim çalışması gerçekleştirilmelidir. Kanun kapsamında maddeler doğrultusunda gözden geçirme / denetim çalışması gerçekleştirilmelidir. 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 14

Alınabilecek Teknik Tedbirler Nelerdir?

Genel BT Kontrolleri Bilgi Güvenliği ve Erişim Yönetimi Veri Aktarımı ve Değişiklik Yönetimi Yedekleme ve Geri Dönüş Denetim İzleri ve Güvenlik 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 16

Kanun ve Siber Güvenlik Kişisel sağlık verilerinin işlenmesini düzenlemek için oluşturulmuş ikincil mevzuatta, «Siber Olaylara Müdahale» ekibi «Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü olan birim» olarak tanımlamıştır. KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK Madde 11 (7) Veri sorumlusu, gerekmesi hâlinde bulunduğu ilde görev yapan bilgi güvenliği yetkilisi ve Siber Olaylara Müdahale Ekibi yetkilisi ile işbirliği yapar. 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 17

Kanun ve Siber Güvenlik Kanun kapsamındaki maddeler ve yayımlanan ikincil mevzuat doğrultusunda, Şirket tarafından alınması gereken teknik tedbirler çerçevesinde bilgi güvenliği açısından değerlendirme yapılması ve kişisel verilerin bulunduğu BT altyapısı ve ağ sistemlerinin global bir siber güvenlik bakış açısıyla değerlendirilmesi önerilmektedir. Kişisel verilerin tutulduğu BT altyapısı ve ağ sistemleri için bilgi güvenliği açısından değerlendirme yapılması ve Kanun a uyumsuz durumların tespit edilmesi Potansiyel bir atağa maruz kalabilecek bilgilerin tanımlanması, sistemlerin tespit edilerek detaylı incelemeye alınması Kapsama alınan sistemler için zafiyet analizi ve sızma girişiminin gerçekleştirilm esi, yatay ve dikey yayılma yaparak erişim seviyesinin yükseltilmesi Tespit edilen bulguları ve tavsiyeleri içeren sonuç raporlarının hazırlanması ve bulguların takip edilmesi 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved. 18

Teşekkürler

2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative in tescilli ticari markalarıdır. Türkiye de basılmıştır. Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın, bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçre kuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanın KPMG International Cooperative e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.