6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
2. Danışmanlık
Hizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve Bilgi
Güvenliği
E-fatura
Denetim
Hizmetleri
Özgün
Yenilikçi
Yazılımlar
Sızma
Testleri
Kimlik ve Erişim
Yönetimi
ISO27001
Bilgi Güvenliği
Yönetim
Platformu
• Sadece ağ ve bilgi güvenliği üzerine
entegrasyon, danışmanlık, test ve denetim
hizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelen
kurumlarda çok fazla sayıda kimliği yöneten
başarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıran
özgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSA
sertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’e
çoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerinde
çalışanı bulunmaktadır.
2000 yılından bu yana...
6. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir
• 6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016
tarihinde resmi gazetede yayınlanarak artık yürürlüğe girmiş
bulunmaktadır.
• Kanunun amacı kişisel verilerin işlenmesinde başta özel
hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve
tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemek olarak adreslendi.
• Kapsamına baktığımızda ucundan kıyısından müşteri
bilgilerini ilgilendiren herkes kapsama dahil oldu.
• Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda
tedarikçiyle çalıştığını düşündüğümüzde tedarikçi yönetimi ve
güvenlik konuları tekrar değinilmesi gereken bir konu olarak
görülmektedir.
7. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel bilgi sayılır !
Her Türlü Bilgi
• Bilginin niteliğine ilişkin hiçbir sınırlama yok - İsim, kimlik
bilgisi, alışkanlıklar, görüntü, ses, biometrik bilgiler vs.
Kişiye İlişkin
• İçerik veya amaç veya sonuç bakımından kişi ile ilgili olması
yeterlidir
Kimliği
Belli/Belirlenebilir
• Doğrudan veya dolaylı olarak kişinin tanımlanmasında
kullanılabilmesi yeterlidir.
Takma Ad Kullanımı
(Pseudonymisation)
• Teknik olarak kişinin gerçek kimliği hakkında bilgi edinmek
mümkün olduğu için kişisel veri sayılır - Ancak çok etkili bir
koruma yöntemi olması dolayısıyla önemlidir.
Verinin anonim hale getirilmesi ile kişinin gerçek kimliği hakkında bilgi edinmek mümkün
olmayacağından bunlar kişisel veri sayılmaz..
8. Tamamen veya kısmen otomatik olan ya da veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla yapılan işlemlerdir.
Elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi vs.
9. Veri İşleyen
• Veri sorumlusunun
verdiği yetkiye
dayanarak onun adına
kişisel verileri
işleyendir.
Veri Sorumlusu
• Kişisel verilerin işleme
amaçlarını ve
vasıtalarını belirleyen,
veri kayıt sisteminin
kurulmasından ve
yönetilmesinden
sorumludur.
Veri sorumlularının kurulacak sicile kaydı zorunludur !
10. Temel İlkeler
İşlenme amacı
ile sınırlı olma
(purpose
limitation)
Hukuka
uygunluk (lawful
processing)
Gereğinden uzun süre saklamama
Doğruluk ve
güncellik
(quality of data)
Belirli açık ve
meşru amaçlar
için işlenme
(proportionality)
Kişisel veri işlenirken daima bu kurallara uyulacak istisnası yok!
13. Açık ve bilinçli rıza ya da
açık kanun hükmü
olmadan işlenemez
Sağlık ve cinsel hayata
ilişkin verilerde özel
düzenleme
Bu verilerin işlenmesi
bakımından Kurul ilave
güvenlik önlemleri alacak
Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer
inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
14. Bu iki şartın içinin nasıl doldurulacağı kritik !
Açık ve bilinçli rıza
Veri sorumlusunun meşru
menfaati
Veri sahibinin…
• Herhangi baskı altında olmadan
• İşleme amacı ve sonuçlar
hakkında detaylı olarak
bilgilendirilerek
• Kapsamı açıkça anlaşılabilecek
biçimde
işlemeye razı olması gerekir
• Türkiye’de kural açık rıza
• Bazı durumlarda açık rıza alınması
çok zor
• AB’de veri sahibine opt-out imkanı
verilmesi yoluyla veri işlenebiliyor
• Ancak bu uygulamada açık rıza söz
konusu değil
• Veri sorumlusunun meşru menfaatlerinin
kapsamı çok geniş…
• Hakkın kullanılması (ör: basın
özgürlüğü)
• Satış ve pazarlama için reklam
yapılması
• Çalışanların takip edilmesi
• Kamu menfaati
• Veri güvenliğinin sağlanması
• Araştırma ya da istatistik oluşturma
amacı
• Meşru menfaatin varlığı yeterli değil,
önemli olan menfaatler dengesinin
sağlanması
15. Koşulsuz olarak kolayca kullanılabilecek opt-out hakkı
Veri sahibi için kanunen gerekli olandan daha fazla şeffaflık
(işlemeye ilişkin)
Kanunen gerekli olandan daha sıkı veri güvenliği tedbirleri
Verinin toptanlaştırılması (aggregation) anonimleştirilmesi ya da
takma ad kullanımı
Elde edilen verinin farklı departmanlarca kullanılmasını
engelleyecek fonksiyonel ayrım
Veri taşıma imkanı ve veri sahibini güçlendirecek diğer tedbirler
Veri sorumlusunun işlemeye
başlamadan önce bir test
gerçekleştirmesi ve bunu
ileride yetkili kurumlara
sunması öneriliyor
16. Hukuka Aykırı
Güvenli
Birlikte Sorumlu
• İşlemeyi Engelleyecek
• Erişimi Engelleyecek
• Muhafazayı Sağlayacak
• Veri İşleyicisi
• Veri Sorumlusu
Güvenliğe ilişkin kurallar Kurul tarafından belirlenecek
17. Kanun’da kişisel verilerin yurt dışına aktarılmasına ilişkin özel
düzenlemeler var
Kural olarak açık rıza varsa aktarım mümkün
Açık rıza olmazsa aktarılacak ülkede de koruma olması lazım
Aktarılacak ülkenin hukuku
yeterli korumayı
sağlayacak
Aktarılacak kişi yeterli
koruma sağlayacağını
taahhüt edecek
Hangi ülkelerde yeterli koruma olduğuna Kurul
karar verecek
Korumanın yeterli olmadığı ülkelerde verilecek
taahhütlere dair örnekler hazırlanabilir
18. Veri işlenip işlenmediğini
öğrenme
Verinin nasıl işlendiği
hakkında bilgi talep etme
İşlenme amacını ve
amaca uygun kullanım
olup olmadığını öğrenme
Kime aktarıldığını
öğrenme
Yanlış bilginin
düzeltilmesini isteme
Silinmeyi talep etme
Otomatik sistemlerle
işleme sonucu oluşan
aleyhe sonuca itiraz etme
Zararın tazminini isteme
19. Önce veri
sorumlusuna
başvuru zorunlu
30 gün içinde
cevap verilmesi
zorunlu
Cevaptan 30 gün
ya da başvurudan
60 gün sonra
Kurul’a şikayet
• Aydınlatma yükümlülüğüne aykırılık - 5.000 / 100.000 TL
• Güvenlik yükümlülüğüne aykırılık - 15.000 / 1.000.000 TL
• Kurul kararını yerine getirmeme - 25.000 / 1.000.000 TL
• Sicile kaydolmama - 20.000 / 1.000.000 TL
• Her ihlal için ayrı bir ceza
• İhlalin etkisi ve ihlal sayısı arttıkça ceza miktarı artar
• TCK madde 135 – 140 arası hükümlerine aykırılıklar sonucunda
hapis cezaları.
20. Veri sınıflandırması ve haritalandırmasını yaparak kişisel bilgilerinizi belirleyin.
Tokenization sistem ve yöntemlerinin veri sınıflandırmayı desteklediğini ve güvenliğinizi
arttırdığını unutmayın.
Erişim yönetimi kontrollerini tekrar gözden geçirerek gerekli güvenlik önlemlerini
uygulayın.
Bilgi paylaşımında bulunduğunuz dış kaynak tedarikçilerinize ve güvenlik kontrollerine
dikkat edin, unutmayın güvenlik sorumluluğu öncelikle veri sorumlusundadır.
Şirketinizden ayrılan veri sorumlularına dikkat, hala yükümlülükleri devam ediyor. İşten
ayrılış süreçlerinizdeki güvenlik adımlarına dikkat edin.
Veri güvenliği için denetim ve güvenlik testleri yaptırın.
Veri sızmalarına karşı veri sınıflandırmasıyla uyumlu olarak ek güvenlik kontrollerini
değerlendirin.
21. Veri Çıkış Kanalları
Veri Paylaşılan
Tedarikçiler
Süreç Tasarım Yeterlilik
Güvenlik Önlemleri
BT Sistemleri
Veri Sınıfları ve Lokasyonları
Müşteri Bilgileri Sözleşmeler
Hukuksal Yaklaşımlar
22. Aşama 1
Farklılık Analiz ve Ön Hazırlıklar
Aşama 2
İyileştirme Aktiviteleri ve
Düzenli Kontrol
Aşama 3
Devamlılık Kontrolleri ve
Farkındalık
Veri sınıflandırma teknik kontrollerinin sistemlere
uygulanması
Denetim ve kontrol adımlarının belirlenmesiVeri sınıflandırması ve kontrolleri
Ağ ayrımlarının gerçekleştirilmesi
Yasal uyum süreçlerini destekleyen yapıların
oluşturulması
Müşteri verisinin sisteme hangi noktalardan girdiği ve
nerelerde sistem dışına çıkarıldığı
Sunucu ve veri tabanlarına erişim standartlarının
değiştirilmesi
Farkındalık Eğitimi
Girdi & Çıktı kanallarından emin olmak ve bu kanalları
listelemek
Görevler Ayrılığı (SOD) Matrisinin KVK özelinde
geliştirilmesi
Süreç farklılıklarının ve gelişim noktalarının tespit
edilmesi
Düzenli gözden geçirme ve denetim uygulanarak
gelişim durumunun raporlanması
Veri iletim güvenliği kontrol süreçlerinin tanımlanması
ve istisnaların belirlenmesi
Gelişim Yol Haritasının oluşturulması
Aktiviteler
HUKUK