Bilgi Güvenliği

Kişisel Verilerin Korunması Danışmanlık Hizmeti

Türkiye Cumhuriyeti Anayasası ve Türk Ceza Kanunu başta olmak üzere pek çok düzenleyici bildirim tarafından tanımlanan kişisel verilerin korunması gereksinimi; 7 Nisan 2016’da 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Resmi Gazetede yayınlanarak yürürlüğe girmesi ile daha kapsamlı sorumluluklar ile tüm şirketlerin gündemine girmiştir. Gerek uluslararası standartlara uyum, gerek özel hayatın mahremiyeti ilkeleri kapsamında, bizler de bu düzenlemelerin gerekliliğini benimsiyoruz. Bilgi güvenliği yönetimi alanında süreçlerin tasarlanması ve hayata geçirilmesi konusunda 15 yılı aşkın danışmanlık tecrübemiz ile kişisel veri yönetimi ve Kişisel Verilerin Korunması Kanunu uyumluluğu kapsamında geliştirdiğimiz çözümler ile kurumunuz ihtiyaçlarına en uygun çözümleri sunduğumuza inanıyoruz. BS 10012 Kişisel Veri Yönetim Sistemi ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlığı üzerine sahip olduğumuz tecrübeler ve uygulama pratiklerinin de desteği ile kurumunuzda sürekli gelişen ve iyileşen bir sistemle birlikte kalıcı, dinamik, sürdürülebilir ve yönetilebilir bir kişisel veri yönetim sistemi kurmayı hedefliyoruz.

Kişisel Verilerin Korunması Danışmanlık Hizmeti Uygulama Metodolojimiz

Kişisel Veri Analizi ve Değerlendirme

Kişisel Verilerin Korunması Kanunu uyumluluğu çerçevesinde ilk olarak kurumunuzda bulunan kişisel veriler belirlenir. Bu çalışma gerçekleştirilirken çoğunlukla iş ve teknoloji iş birimlerinden uygun seviyede yöneticilerle toplantı ve çalıştaylar düzenlenerek gerekli nitelik ve nicelikte bilgi toplanır.

Kişisel verilerin envanterinin oluşturulması için söz konusu kişisel verilerin hangi birim ve süreçler tarafından oluşturulduğu, işlendiği, saklandığı ve imhasının gerçekleştirildiği değerlendirilir ve farklı kullanım ve sorumlulukları da içeren bir veri envanteri oluşturulur.

Mevcut Güvenlik Kontrollerinin Analizi ve Değerlendirme

Bu aşamada kurum bünyesinde kişisel verilerin korunması amacı ile uygulanan manuel ve bilgi teknolojileri tabanlı alınmış önlemler belirlenerek, analiz edilir ve değerlendirilir. Bu fazın sonunda kişisel verileri oluşturan, işleyen, ileten, saklayan ve imha eden iş ve teknik süreçlere dair eksiklikler ve bu eksiklikleri giderme seçenekleri raporlanır.

Analiz ve değerlendirmeler BS 10012 (Specification for a Personal Information Management System), ISO 27002 (Security Techniques – Code of Practice for Information Security Management), ISO 31000 (Risk Management — Principles and Guidelines) gereksinim ve tavsiyeleri ile kurum ve sektör ihtiyaçları dikkate alınarak gerçekleştirilir. Teknik zafiyetlerin belirlenmesi ve iyileştirilebilmesi için ise zafiyet değerlendirmeleri ve sızma testleri gerçekleştirilerek; mevcut açıklıkların zafiyeti ile hangi senaryoların gerçekleşebileceğine dair analiz raporu yayınlanır.

Kişisel verilerin korunması kapsamında gerçekleştirilen analiz kapsamında aşağıdaki konular ele alınmaktadır:

     • Risk yönetimi yapısı

     • Güvenlik politikaları

     • Bilgi güvenliği organizasyonu

     • İnsan kaynakları güvenliği

     • Bilgi varlık yönetimi

     • Erişim kontrolü güvenliği

     • Kriptografik kontroller

     • Fiziksel ve çevresel güvenlik

     • Bilgi teknolojileri operasyonları ve iletişim güvenliği

     • Sistem edinim, geliştirme ve bakım güvenliği

     • Tedarikçi ilişkilerinde güvenlik yönetimi

     • Bilgi güvenliği olay yönetimi

     • Hizmet sürekliliği ve veri yedekliği yönetimi

     • Bilgi güvenliği denetim ve kontrolleri

Zafiyet tespiti ve sızma testi kapsamında kişisel verileri barındıran ve işleyen sistemler açık ağlardan (internet) ve şirket yerel alan ağından güvenlik ve zafiyet testlerine tabi tutulur.

Güvenlik İyileştirmeleri ve Kişisel Veri Yönetimi Gereksinimleri

Kişisel verilerin korunması ve alınan önlemlerin sürdürebilirliğinin sağlanması için kişisel veri güvenliğini bir yönetim sistemi şeklinde gerçekleştirilmesinin işletmelere maksimum fayda oluşturacağına inanıyoruz. BS 10012 standardı Kişisel Verilerin Korunması Kanunu da dahil olmak üzere bir çok uluslar arası yasal düzenlemeleri destekleyecek niteliktedir.Bu maksatla kişisel verilerin korunması hakkında ki projelerimizi BS 10012 standardı temelli kişisel veri yönetimi standardına uygun olarak gerçekleştiriyoruz.

Bu aşamada gerçekleştirilecek çalışmalar bir önceki çalışmadan elde edilen eksikliklerin giderilmesi ve işletme ihtiyaçlarının karşılanmasını amaçlamaktadır.

Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme ve Tanıtım

Kişisel Verilerin Korunması Kanun Tasarısı 24 Mart 2014’te TBMM’de görüşülüp yasalaşmasının ardından 7 Nisan 2016’da Cumhurbaşkanı’nın onayıyla 6698 sayılı kanun olarak Resmi Gazetede yayınlanmasıyla yürürlüğe girdi. Bu kanunun çıkmasından önce kişisel verilerin korunması başta Anayasa olmak üzere Türk Medeni Kanunu, Türk Ceza Kanunu, Elektronik Haberleşme Kanunu, Elektronik Ticaret Kanunu, Türk Ticaret Kanunu, Bankacılık Kanununun ilgili maddelerinde de yer almaktaydı.

Otoritelerin on yılı aşkın süredir gündemde olduğunu bildirdiği kişisel verilerin korunması kanunu, Türkiye Cumhuriyeti’nin Avrupa Birliği müktesebatına uyumluluk kapsamında atması gereken adımlardan biri olarak görülmektedir. Avrupa Birliği vize serbestisi sürecinde AB’nin Veri Koruma Yönergesi olan Data Protection Directive 95/46/EC’ye uyum sağlanması beklentisi bulunurken, kanun AB yönergesine uyum konusunda büyük adımlar atsa da hala düzenlenmesi gereken maddeler olduğu belirtilmektedir.

Kanunda kişisel verilerin işlenmesi koşullarıyla birlikte kanunu uygulamakla sorumlu merkezi Ankara olan Kişisel Verilerin Korunması Kurumunun kurulması, kadrosu, görev ve sorumlulukları, çalışma koşulları tanımlanmıştır. Ayrıca, kuruluşların kişisel verilerin korunması ilgili süreçlerini yönetebilmesi için her kuruluşun bir veri sorumlusu ataması yapması ve veri kayıt sistemi kurması talep edilmektedir. Kişisel verilerin korunması kanunun yayım tarihinden (7 Nisan 2016) önce işlenen kişisel verilerin, bu tarihten itibaren 2 yıl içinde kanunun hükümlerine uygun hale getirilmesi istenmektedir. Kişisel verilerin korunması kanunun yayın tarihinden sonra işlenen veriler için ise herhangi erteleme bulunmamasıyla birlikte, kanunun 32. maddesinde hükümler ve haklara ilişkin tanımlanan maddelerin yayım tarihinden 6 ay sonra yürürlüğe girmesinin belirtilmesiyle kanunun uygulanabilirliğin 7 Ekim 2016’dan itibaren olacağını aktarabiliriz.

Kişisel Verilerin Korunması Kanununun Amacı

Kişisel verilerin korunması kanunu veri işleyen gerçek ve tüzel kişilerin (kamu kurum ve kuruluşları kapsam dışındadır) yükümlülüklerini belirlemenin yanı sıra verilerin işlenmesine yönelik düzenlemeler getirmektedir. Kanunun amacı ise kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak olarak açıklanmaktadır.

Kişisel Verilerin Korunması Kanununda Yer Alan Tanımlar

Kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örneğin T.C. kimlik numarası, cinsiyet, elektronik posta adresi, fotoğraf, özgeçmiş, adres vb.

Özel nitelikli kişisel veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık veya kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak belirtilmektedir.

Kişisel verilerin işlenmesi;Yukarıda bahsedilen verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi tanımlamaktadır.

Bir örnek verecek olursak; personellerinizden işe giriş sürecinde adli sicil kaydı istemeniz ve bunları muhafaza etmeniz özel nitelikli kişisel verinin işlenmesidir diyebiliriz. Hem kişisel veriler hem de özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Yani siz personelinizin size açık bir rızası olmaksızın onun verilerini işleyemezsiniz. Bu duruma ek olarak bazı istisnalar bulunmaktadır. Kişisel verilerin açık rıza olmadan işlenmesine olanak sağlayan koşullardan bazıları;

     • Kanunlarda açıkça öngörülmesi

     • Fiili imkansızlık nedeniyle kişinin rızasını açıklayamayacak olması

     • İlgili kişinin kendisi tarafından alenileştirilmesi (Örnek: kendisi tarafından sosyal medyada paylaşılması

     • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma

Yukarıda bahsettiğimiz örneğimize tekrar dönecek olursak kuruluşların özel nitelikli kişisel veri olan adli sicil kaydını (ceza mahkumiyeti) personelin açık rızası olmaksızın işleyebilmesi mümkündür. Çünkü 4857 sayılı İş Kanunu 75. Maddesinde “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler.” demektedir. Adli sicil kaydı da özlük dosyası kapsamındadır. Özel nitelikli kişisel veriler için ise sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Kişisel Verilerin Korunması Kanununda Yer Alan Organlar ve Görevleri

Kişisel Verileri Koruma Kurumu; Kişisel verilerin korunması kanununda verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip olarak kamu tüzel kişiliğinde bir kurum olarak kurulmuştur. Kurumun kanunla belirlenen kadrosu 195 kişiden oluşmaktadır. Bu çalışanlar arasında Kişisel Verileri Koruma Uzmanı ve Uzman Yardımcıları bulunacağı bu kişilerin Bilgisayar Mühendislerinden oluşarak gerekli hallerde kuruluşları yerinde denetleme faaliyetlerine katılmaları beklenmektedir. Kurumun karar organı Kişisel Verileri Koruma Kuruludur. Kurul 9 üyeden oluşmakta ve bunların beş üyesi TBMM, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilecektir. Kurul üyelerinin görev süresi dört yıldır ve süresi biten üye yeniden seçilebilmektedir. Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmi görevlerinin yürütülmesi dışında resmi veya özel hiçbir görev alamazlar. Ancak, Kurul üyeleri asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan doğan ücret ve hakları alabilirler. Kurulun görev ve yetkilerinden bazıları şunlardır;

     • Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamak.

     • Kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

     • Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

     • Veri Sorumluları sicilinin tutulmasını sağlamak.

     • Bu kanunda öngörülen idari yaptırımlara karar vermek.

Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade etmektedir. Veri sorumlusu;

     • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek.

     • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek.

     • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Kişisel Verilerin Korunması Kanunu Kapsamında Uygulamalar

Kişisel Verilerin Korunması kanunu gereğince, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi beklenmektedir.

Kişisel veriler kişinin açık rızası olmaksızın aktarılamaz, yurt dışına çıkarılamazlar. Belirtilen bu duruma yukarıda saydığımız kişisel verilerin açık rıza olmadan işlenmesine olanak tanıyan bazı koşullar istisna oluşturmaktadır. İlaveten yurt dışına çıkarılmasına ilişkin istisnalar arasında;

     • Kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması

     • Yeterli korumanın bulunmaması durumunda veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulunun izninin bulunması bulunmaktadır.

Yeterli korumanın bulunduğu ülkelerin Kişisel Verileri Koruma Kurulu tarafında ilan edileceği belirtilmiştir.

İlgili kişiler kişisel verilerinin işlendiğini düşündükleri kuruluşun veri sorumlusuna yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle başvurma hakkına sahiptir. Veri sorumlusu başvuruda yer alan talepleri 30 gün içinde ücretsiz şekilde sonuçlandırmakla yükümlüdür. Ayrıca işlemin bir maliyet gerektirmesi durumunda, Kurulca belirlenen ücret alınabilir. Veri sorumlusu bu başvuruyu kabul veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı veya elektronik ortamda bildirebilir. Başvurunun reddi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde, ilgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir. Kurula şikayette bulunmadan önce başvuru yolunun tüketilmesi istenmektedir. Kişilik hakları ihlal edenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar ve talebi inceleyerek ilgililere cevap verir. Şikayet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır. Kurul yapılan inceleme neticesinde ihlalin varlığını tespit ederse, aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek tebliğ eder.

Kişisel Verilerin Korunması Kanunu Kapsamında Cezalar

Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunun 135 ila 140. Madde hükümleri uygulanır. İlgili kanunun 135. maddesi kişisel verilerin kaydedilmesine aykırı durumlarda kişilere 6 aydan 3 yıla kadar hapis cezası, 136. maddesi verileri hukuka aykırı olarak verme veya ele geçirme hükümlerine aykırı durumlarda 1 yıldan 4 yıla kadar hapis cezası öngörmektedir. 138. madde verileri yok edilmemesine ilişkin ihlallerde ilgili kişinin 6 aydan 1 yıla kadar hapis cezasına çarptırılmasını istemektedir. 137. madde ise suçun nitelikli olarak işlenmesi durumunda verilecek cezanın yarı oranda artırılmasını belirtmektedir.

Kişisel Verilerin Korunması Kanununun;

     • 10. maddesinde belirtilen veri sorumlusu veya yetkilendirdiği kişinin ilgili kişilere aydınlatma yükümlülüğünü yerine getirmemesi durumunda 5.000 Türk Lirasından 100.000 Türk Lirasına kadar,

     • 12. maddesinde aktarılan veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

     • 15. maddesinde Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,

     • 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilir.

Kişisel Verilerin Korunması Kanununda Yer Alan İstisnalar

Kişisel Verilerin Korunması Kanunu hükümleri aşağıdaki hallerde uygulanmaz;

     • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi

     • Kişisel verilerin anonim hale getirilerek araştırma, planlama ve istatistik gibi amaçlarla işlenmesi

     • Kişisel verilerin milli savunmayı, kamu düzenini, özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi

     • Kişisel verilerin milli savunmayı, kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi

     • Kişisel verilerin soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi

Sonuç

7 Nisan 2016’da yürürlüğe girerek hayatımızda yerini alan 6698 sayılı Kişisel Verileri Koruma kanunu var olan diğer ilgili yasal düzenlemeleri tamamlayan, Avrupa Birliği uyum sürecinin bir parçası olan düzenlemedir. Kanun; ilgili tanımları, kişisel verilerin işlenme şartlarını ve istisnalarını, bu kanunun uygulanmasını sağlayacak organları ile görevlerini, cezaları tanımlamıştır. Kişisel Verileri Koruma Kurumunun kurulmasının ardından yayınlanıp uygulamaya konulacak tebliğ, talimat ve yönetmelikler ile kişisel verilerin korunması konusunda hem sektörel hem daha detaylı gereksinimlerin tanımlanacağı beklenmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu üzerine inceleme yazımıza ulaşmak için tıklayınız

İlgili diğer hizmetler