ISACA İstanbul Chapter Kişisel Verilerin Korunması ve COBIT Istanbul, 19.04.2017 Namık Kemal PARMAKSIZ
Tanıtım NAMIK KEMAL PARMAKSIZ Baker Tilly Güreli (2016- ) Bilgi Sistemler Denetimi ve Danışmanlığı Akbank (2003-2016) Teftiş Kurulu Başkanlığı Kıdemli Bilgi Teknolojileri Müfettişi Aknet (2000-2003) Denetim Direktörlüğü BT Denetim Uzmanı Kara Kuvvetleri Komutanlığı (1999-2000) Bilgi Sistemler Dairesi Bilgisayar Programlama Subayı Boğaziçi Üniversitesi Bilgisayar Mühendisliği
Kişisel Verilerin Koruma Kanunu Veri Koruma Sorumlusu: Duyduğuma göre kim yaramaz kim uslu diye bir dosya tutuyormuşsun
Kişisel Verilerin Koruma Kanunu Kanun No: 6698 Kabul Tarihi: 24.03.2016 Yürürlük Tarihi: 07.04.2016 Amaç MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kapsam MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel Verilerin Koruma Kurumu Kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesi Şikayetleri karara bağlamak ve önlem almak Özel nitelikli kişisel veriler hakkında yeterli önlemleri belirlemek Veri Sorumluları Sicilini tutmak Veri güvenliği ile ilgili yükümlülükleri belirlemek
Kişisel Verilerin Koruma Kurulu 12 Ocak 2017 de göreve başladılar: 1. Cabir Bilirgen 2. Cengiz Paşaoğlu 3. Mehmet Niyazi Tanılır 4. Turan Arık 5. Yusuf Alataş 6. Prof. Dr. Faruk Bilir 7. Şaban Baba 8. Murat Karakaya 9. Hasan Aydın
Kişisel Verilerin Koruma Kurulu
Kişisel veriler Kimler nerelere verirler
Kişisel Veri Nedir? telefon numarası, adresi ad soyad doğum tarihi ve yeri IP adresi, e-posta adresi TCKN özgeçmiş resim, görüntü, ses, parmak izi etkileşimde bulunulan kişiler hobiler, tercihler grup üyelikleri sağlık bilgileri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi aile bilgileri
Kanunun Sözlüğü AÇIK RIZA Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza ANONİM HALE GETİRME Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi KİŞİSEL VERİ Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi KİŞİSEL VERİLERİN İŞLENMESİ Kişisel verilerin üzerinde gerçekleştirilen her türlü işlem: * elde edilmesi * kaydedilmesi * depolanması * muhafaza edilmesi * değiştirilmesi * yeniden düzenlenmesi * açıklanması * aktarılması * devralınması * elde edilebilir hâle getirilmesi * sınıflandırılması * kullanılmasının engellenmesi * vb. VERİ İŞLEYEN Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi VERİ KAYIT SİSTEMİ Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi VERİ SORUMLUSU Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Ana Süreçler İşlenmesi Aktarılması Silinmesi
Kişisel Verinin İşlenmesi Alabildiğin tüm verileri al, sonra nasıl kullanacağımızı düşünürüz
Kişisel Verinin İşlenmesi Hukuka ve dürüstlük kurallarına uygun Amacı için gerekli süre kadar Kişisel verinin işlenmesi Doğru ve güncel Amacıyla bağlantılı, sınırlı ve ölçülü Belirli, açık ve meşru amaçlar için
Açık rıza Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak; Kanunlarda açıkça öngörülmesi. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. İlgili kişinin kendisi tarafından alenileştirilmiş olması. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Veri Ceza mahkumiye ti vb. Cinsel hayatı Biyometrik ve genetik veriler Irkı, etnik kökeni Özel Veri Siyasi düşüncesi Felsefi inancı, dini, mezhebi, vb. Kılık ve kıyafeti Sağlığı Dernek, vakıf, sendika üyeliği
Açık rıza Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak; Kanunlarda açıkça öngörülmesi ile, Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir.
Kişisel Verilerin Aktarılması AÇIK RIZA İstisnalar Dahil
Kişisel Verilerin Aktarılması Ya yurtdışına aktarılması? İstisnalarla beraber Yeterli koruma (yoksa yazılı taahhüt) Kurul listesi * Uluslararası Sözleşmeler * Ülke karşılıklılığı * Verinin niteliği, amacı * Ülke mevzuatı * Karşı taraf taahhütleri
Kişisel Verilerin Silinmesi Veri kanuna uygun işlendi Sebep ortadan kalktı Kişi talep etti Veri imha edilir Silinir Yok edilir Anonim hale getirilir
Haklar ve Yükümlülükler «Adımı tahtaya yazmadan önce, bu veriyi nasıl kullanmayı planladığınızı öğrenmem gerek.»
Haklar ve Yükümlülükler Öğrenme Zararın giderilmesi Bilgi İtiraz Haklar Amaç Değ. Aktarımı Aktarım Silinme Düzeltme
Haklar ve Yükümlülükler Aydınlatma Yükümlülüğü Veri sorumlusunun ve varsa temsilcisinin kimliği Kişisel verilerin hangi amaçla işleneceği İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği Kişisel veri toplamanın yöntemi ve hukuki sebebi İlgili kişinin diğer tüm hakları
Haklar ve Yükümlülükler Veri sorumlusu Hukuksuz işlenmesini önlemek Hukuksuz erişilmesini önlemek Güvenlik için her türlü teknik ve idari tedbirler Muhafazası nı sağlamak
Haklar ve Yükümlülükler Veri sorumlusu, kendi kurum veya DENETİM kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla ŞART gerekli denetimleri yapmak veya yaptırmak zorundadır.
Başvuru - Şikayet Müşteri: Taleplerini önce kuruluşa yazılı veya belirli yöntemlerle iletilir. Veri Sorumlusu: Müşteriye cevap: 30 gün KVK Kurulu na belge: 15 gün İhlalin giderilmesi: 30 gün KVK Kuruluna başvurur: Reddedilir veya yetersiz cevaplanırsa: 30 gün Başvuru Tarihi + 60 gün KVK Kurulu: İnceleme yapar, aksiyon ister. 60 gün içinde cevap verir, yoksa reddedilmiş sayılır.
Veri Sorumluları Sicili Kimlik: Adres: Veri işleyiş amacı: Kişi grubu: Veri kategorileri: VERİ SORUMLULARI SİCİLİ Sorumlular ve temsilciler için zorunludur. Aktarılacak alıcılar: Veri güvenliği tedbirleri: Veri işleyiş süresi * Bilgilerde meydana gelen değişiklikler derhal KVK Başkanlığı na bildirilmelidir.
Suçlar ve Kabahatler
Suçlar 1-3 YIL TCK 135 2-4 YIL TCK 136 3-6 YIL TCK 137 1-2 YIL TCK 138 Hukuka aykırı olarak kişisel verileri kaydeden Özel nitelikli veri ise X 3/2 Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanan veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlan Süresi geçtiği halde verileri yok etmeyen CMK'ya göre yok edilmesi gereken veri olması hâlinde X 1
Kabahatler
Şirketler ne yapmalı? Fırsatlar Tehditler
ISACA KVK Prensipleri 1. Seçim ve rıza 2. Meşru amaç belirtimi ve kullanım sınırlaması 3. Kişisel bilgiler ve hassas bilgiler yaşam döngüsü 4. Doğruluk ve kalite 5. Açıklık, şeffaflık ve bildirim 6. Bireysel katılım 7. Hesap verebilirlik 8. Güvenlik önlemleri 9. İzleme, ölçme ve raporlama 10. Zararın önlenmesi 11. Üçüncü taraf/tedarikçi yönetimi 12. İhlal/olay yönetimi 13. Tasarım aşamasında güvenlik ve KVK 14. Yurtdışına aktarım ve yasal kısıtlamalar
ISACA KVK Prensipleri 1. Seçim ve rıza Seçenekler / haklar Yasalara göre rıza * Toplama faaliyetlerinin başlamasından önce * Başka amaçlar için kullanılmasından önce * Üçüncü taraflara aktarılmasından önce
ISACA KVK Prensipleri 2. Meşru amaç belirtimi ve kullanım sınırlaması Hangi amaç(lar) (ilgili yasa vb.) Kullanımlarının, bildirilen amaçlarla ve alınan rızalarla uyumu
ISACA KVK Prensipleri 3. Kişisel bilgiler ve hassas bilgiler yaşam döngüsü Bilgi yaşam döngüsü Dürüst bir şekilde toplama Amacı için gereken kadar azaltma Gerekli olduğu sürece muhafaza Geri dönülmez şekilde imha KVK risk yönetimi stratejisi Hafifletici kontroller Tüm geliştirme ve uygulama yaşam döngüsü boyunca gerekli olan ilave kontroller Maliyetlerin proje bütçelerine eklenmesi
ISACA KVK Prensipleri 4. Doğruluk ve kalite Kullanım amacı için gerekli olan ölçüde doğru, eksiksiz ve güncel * Gerekmedikçe güncellenmemesi * Aktarılanlar dahil, sürekli kullanılan KV doğru ve güncel
ISACA KVK Prensipleri 5. Açıklık, şeffaflık ve bildirim KVK yönetim programı, politikalar ve uygulamalar açık ve kolay erişilebilir KVK bildirimindeki gerekli ayrıntılar
ISACA KVK Prensipleri 6. Bireysel katılım Bilgi talep etme KV'ye erişim Bilgi sunmadan önce kişinin kimliğinin doğrulanması Doğruluğu veya kullanımı ile ilgili itiraz ve düzeltme KV'nin farklı bir servis sağlayıcısına taşınabilmesi KV öncesi rıza / yetki verme veya reddetme imkanı Aktarım ayrıntılarının açıklanmasını talep Kullanımın kısıtlanmasını talep Talebin reddi durumunda nedenlerinin açıklanması ve buna itiraz edebilme
ISACA KVK Prensipleri 7. Hesap verebilirlik KV ile ilgili paydaşların ve yasal gereksinimlerin belirlenmesi Riskin azaltılması ve yasal uyum için KV çerçevesi Kurum çapında KV riskinin değerlendirilmesi KV yönetimi için görev, sorumluluk, yetki atanması KV ve ilgili iş süreçlerinin envanteri Düzenli KV eğitimi ve farkındalığı * İşe alımda ve tüm veri işleyenlere düzenli KV eğitimi * Görevlere ve durumlara uygun farkındalık, sertifikasyon * Eğitimlerin tüm KV faaliyetlerini kapsaması * Eğitim durumunun izlenmesi ve belgelendirilmesi İmzalı taahütname Uyumsuzluklarla ilgili yaptırım ve cezalar
ISACA KVK Prensipleri 8. Güvenlik önlemleri KV riskine uygun güvenlik önlemleri KV'nin güvenliği için idari, teknik ve fiziksel önlemler * Gizlilik * Bütünlük * Erişilebilirlik
ISACA KVK Prensipleri 9. İzleme, ölçme ve raporlama Düzenli izleme, ölçümleme ve raporlamanın yapılması * KVK yönetimi programının etkinliği * Politika, standart ve yasalara uygunluk düzeyi * KVK araçlarının kullanımı ve uygulanması * Olan KV ihlal tip ve sayıları * KVK risk alanları * KV'ye erişen 3. taraflar ve risk düzeyleri Uyum durumunun önemli paydaşlara raporlanması Uluslararası uygulamalar (ISO, NIST, ISACA, vb.) ile entegrasyon İç/dış denetim Dolandırıcılık/suç önleme için KV'nin izlenmesinde anonimleştirme
ISACA KVK Prensipleri 10. Zararın önlenmesi Yanlış kullanım veya ihlal durumunda olası KVK zararlarının tanımlanması Kişilerin çıkarlarının saygıyla gözetildiği ve yasal beklentilerin desteklendiğini gösteren uygulamalar Kişilere zarar gelmesini önleyecek kontrollerin tasarlanması Veri sorumlusunun olası zararlar ve önleyici tedbirleri iyi anlaması İhlal olursa kişisel zararları azaltacak süreçlerin kurulması
ISACA KVK Prensipleri 11. Üçüncü taraf / tedarikçi yönetimi 3. taraflarda için yönetişim ve risk yönetimi uygulanması ve sözleşmesel, idari ve denetimsel kontroller oluşturulmalı 3. taraflarda ihlal olursa gecikmeksizin veri sorumlusuna bildirilmeli
ISACA KVK Prensipleri 12. İhlal/olay yönetimi İhlalleri zamanında, yasal ve itibari riskleri azaltacak şekilde tanımlayan, yönlendiren ve raporlayan bir politika ve destekleyici prosedürler tanımlanmalı Olan ihlallerle ilgili soruşturma, iyileştirme ve izleme çalışmalarının tüm ayrıntıları, aksiyonları ve durum kayıtları saklanmalı Benzer ihlallerin tekrarının önlenmesi için gerekli iyileştirmeler yapılmalı
ISACA KVK Prensipleri 13. Tasarım aşamasında güvenlik ve KVK Kurumun KVK felsefesi tanımlanmalı: * Yönetimin açık desteği vurgulanmalı * Kurum yapısındaki yeniliklerin ve değişikliklerin KVK'ya etkisinin değerlendirmeli Kurumsal olaylarda KVK riskinin tanımlanması için yönetim desteği garantilenmeli KV içeren BT sistemlerinin kurulmasında, yeni iş süreçlerinde kurumsal program ve operasyonlarda KV görev ve sorumlulukları için yönetim desteği
ISACA KVK Prensipleri 14. Yurtdışına aktarım ve yasal kısıtlamalar Yurtdışı aktarımlarda en az aynı seviyede KVK sağlanması için karşı tarafın yasal veya sözleşmesel önlemlerin varlığına dikkat edilmeli Yurtdışı KVK kurumları ile uygun şekilde iletişim KV aktarımlarının yasalara uygun olması Yurtdışı tarafları için KV güvenlik ve koruma gereksinimleri dokümante edilmeli Yurtdışı tarafın gerekli KVK önlemlerini (hem bizim hem de kendi yasal gereksinimlerine uygun şekilde) alınmalı Yurtdışından alınan veya yurtdışına aktarılan tüm KV ile ilgili kayıtların tutulması
COBIT 5 İlkeleri
COBIT 5 Gerçekleştiricileri (Enablers)
COBIT 5 Yönetişim - Yönetim
KVK Programı için Şirket Ortamını Hazırlama Adımları Kişisel bilgilerin toplandığı bağlamı değerlendirin. Uygun KVK ortamı oluşturun. KVK sorunlarını tanıyın ve adresleyin. KVK değişikliğini etkinleştir. KVK yönetişimi ve yönetimi için yaşam döngüsü yaklaşımı uygulayın.
Privacy Protection Program Implementation Life Cycle Phases
Privacy Management Program Using ISACA Privacy Principles
Privacy Management Program Using ISACA Privacy Principles
Teşekkürler Sorular?