6698 - KVKK Kişisel Verilerin Korunması Kanunu Mustafa TURAN 1603681 M.Sc Cyber Security
Gündem Kanunun Çıkış Noktası ve Gerekçesi Amaç ve Kapsam Kişisel Veri Nedir? KVKK - Önemli Başlıklar Dokümanlar ve Kontroller Veri Akış Diyagramı Veri İhlalleri 2
Kanunun Çıkış Noktası ve Gerekçesi
Kanunun Çıkış Noktası 4
Kanunun Gerekçesi Kişisel veriler günümüzde özel sektör ve kamu tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylık ve avantajlar sağlasa da, bu durum bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir. Başbakan Prof. Dr. Ahmet DAVUTOĞLU 5
Uyum Süreci 7 Nisan 2016 Kanun Resmi Gazetede Yayınlandı 7 Ekim 2016 Uyum Sürecinin 1. Termin Tarihi 7 Nisan 2018 Uyum Sürecinin 2. Termin Tarihi 1. Termin Tarih Aralığı Kurumlar 6 Ay sonunda yeni müşterilerine KVKK kapsamında hizmet vermeleri gerekiyor 6 AY 2. Termin Tarih Aralığı Kurumlar 24 Ay sonunda eski müşteri verilerini KVKK kapsamına almaları gerekiyor 24 AY 6
Dünyadan KVK Uygulamaları General Data Protection Regulation (GDPR) The Privacy Act of 1974 BS 10012 Personal Information Management (PIM) 7
KVKK için Firmalarda Durum Bilgi güvenliği, kurumların iş hedeflerine ulaşmalarına olanak sağlar, dirençli ve güvenli bir ortam sizi aşağıdakilerden korur Gelir kaybı Veri kaybı veya tehlikesi İş süreçlerinde kesinti Hukuksal sonuçlar Müşteri ve ortakların güveninin sarsılması İtibar zedelenmesi Güvenli ticari kuruluşlar, iş ortakları ve müşterileri arasında daha kolay ve güvenilir bir ilişki oluşturur. 8
Amaç ve Kapsam
Amaç ve Kapsam Amaç Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kapsam Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. 10
Kişisel Veri Nedir?
Veri Nedir? Veri Nedir? (Data) Henüz işlenmemiş olan en küçük bilgi parçasına VERİ denir. Tek başına anlamlı bir şekilde kullanılamaz haldedir, bir araya toplanması neticesinde önem kazanır. Bilgi Nedir? (Information) Verilerin bir araya getirilerek, anlamlı çıktılar oluşturduğu topluluğa BİLGİ denir. Tecrübe, inceleme veya gözlem yoluyla bir amaç için anlamlandırılmış veriler bütünüdür. 12
Kişisel Veri Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. 13
Kişisel Veri - Görsel 14
Kişisel Veri Örnekleri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Tam Adı Ev Adresi Eposta Adresi Vatandaşlık No (TCKN) Pasaport Numarası IP Adresi Araç Plakası Ehliyet No Yüz, Parmak izi veya El Yazısı Kredi Kartı Numarası Dijital / Sayısal Kimliği Doğum Tarihi Doğum Yeri Genetik Bilgileri Telefon Numarası Login / Kullanıcı Adı Kısa / Takma Adı Ülke, Şehir, Posta Kodu veya İlçe Yaşı Cinsiyeti Okul Adı Sabıka Kayıtları Web Cookie'leri Notları, Maaşı veya Ünvanı 15
Özel Nitelikli Kişisel Veri (Hassas Veri) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır! Kişinin ırkı Etnik kökeni Siyasi düşüncesi Felsefi inancı Dini, mezhebi veya diğer inançları Kılık ve kıyafeti Vakıf yada Sendika üyeliği Sağlığı ve sağlık bilgileri Cinsel hayatı Ceza mahkumiyeti ve Güvenlik tedbirleriyle ilgili verileri ile Biyometrik verileri ve Genetik verileri 16
6698 KVKK Önemli Başlıklar
Rol ve Sorumluluklar Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. Veri sorumlularının kurulacak sicile kaydı zorunludur! 18
Veri İşleme Örnekleri Tamamen veya kısmen otomatik olan ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla; Elde edilmesi Kaydedilmesi Depolanması Muhafaza edilmesi Değiştirilmesi Yeniden düzenlenmesi Açıklanması Aktarılması Devralınması Elde edilebilir hâle getirilmesi Sınıflandırılması ya da Kullanılmasının engellenmesi vs. 19
Tedarikçi veya Taşeronlar Kurumsal süreçleriniz ve ortaklıklarınızı inceleyerek, aldığınız hizmetlerde olan kişisel verileri kapsam içine almayı unutmayınız! Harici arşiv kullanımı Harici Veri Merkezi Harici Çağrı Merkezi Bulut Yedekleme v.b. 20
Açık Rıza Açık Rıza Zorunluluğu Gerekli Bilgilendirme İstisnalar 22
Verilerin Silinmesi / Yok Edilmesi Silme / Yok Etme İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. 23
Anonimleştirme Anonim hâle getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemidir. 24
Ceza ve Yaptırımlar İHLAL Aydınlatma yükümlülüğüne aykırılık Güvenlik yükümlülüğüne aykırılık Kurul kararını yerine getirmeme Sicile kaydolmama CEZA 5.000 / 100.000 TL 15.000 / 1.000.000 TL 25.000 / 1.000.000 TL 20.000 / 1.000.000 TL Her ihlal için ayrı bir ceza İhlalin etkisi ve ihlal sayısı arttıkça ceza miktarı artar! 25
Dokümanlar ve Kontroller
Tavsiye Edilen Doküman ve Kontroller Kişisel Verilerin Yönetimi Politikası Kişisel Verilerin Korunması ve Yönetimi Prosedürü Kişisel Verilerin Yönetimi Süreci Kapsamı Veri Sorumlusunun Görevler ve Sorumlulukları Prosedürü Veri Toplama, Akış ve İşleme Prosedürü Veri Aktarımı ve Paylaşımı Prosedürü Veri akış diyagramları Veri Saklama ve İmha Prosedürü Müşteri Memnuniyeti ve Şikayetleri Yönetimi Prosedürü Erişim Yönetimi Prosedürü İzleme, Ölçme ve İç Denetim Prosedürü Uygunsuzlukların Takibi ve Sürekli İyileştirme Prosedürü Kişisel verilere erişimi olan kullanıcı hesaplarının periyodik olarak gözden geçirilmesi Ayrıcalıklı yetkilere sahip olan kullanıcı hesaplarının periyodik olarak gözden geçirilmesi Kişisel verilerin bulunduğu sistemler ve altyapılar için, gerekli şifreleme ve veri kaybını önleyici uygulamalar kullanılmalıdır. (Örn: USB'lerin kapanması vb.) Kişisel verilerin bulunduğu sistemlerin yedeklerinin bulunduğu sunucuların güvenliğinin sağlanması Database Admin loglarının periyodik olarak gözden geçirilmesi 27
Kişisel Veri Akış Diyagramı Örnek
Veri Akış Diagramı 29
Veri İhlalleri
Dünyadaki En Büyük Veri İhlalleri 31
Cyber Threat Map by Kaspersky 32
Kaynakça Resmi Gazete 6698 Sayılı Kanun www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf HassasVeri.com http://hassasveri.com/ GDPR www.eugdpr.org World's Biggest Data Breaches http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ The Nilson Report Publications https://www.nilsonreport.com/publication_chart_and_graphs_archive.php 33
Sorular 34
TEŞEKKÜRLER Mustafa TURAN 1603681