17. Çözüm OrtaklığıPlatformu

Kişisel Verilerin Korunması Güncel Gelişmeler

İpek Okucu - HukukOnur Korucu – SiberGüvenlik

İçindekiler

Kişisel verilerin korunması mezuatı ile ilgili Güncel Konular

Teknoloji ve Bilgi Güvenliği bakış açısı ile değerlendirmeler

Kanun’un Amacı

6698 Sayılı Kişisel Verilerin Korunması Kanunu(«Kanun»), 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarakyürürlüğe girdi. Kanun, herhangi bir sektör ayrımıgözetmeksizin, kişisel veri ile temasta bulunan tüm alanlarıdüzenlemektedir.

Ülkemizde bir ilk teşkil eden Kanun, özellikle kişisel verilerüzerinden gelir elde eden iş modelleri bakımından hayati birönem taşımaktadır.

Kanun, kişisel verilerin işlenmesini yasaklamayı değil,çeşitli kurallara bağlanmasını amaçlamaktadır.

Şirketlerin kişisel veriler ile elde edebilecekleri güç,rekabet dengelerini de doğrudan değiştirebileceği içinkişisel verilerin korunması aynı zamanda rekabetmevzuatı ışığında da etki doğurabilmektedir.

Kişisel Veri Nedir ?

Kimliği Belirli veya Belirlenebilir Gerçek Kişiye İlişkin Her Türlü Bilgi

«Kimliği belirli veya belirlenebilir gerçekkişiye ilişkin her

türlü bilgi»

Hem GDPR hem de KVKK, (i) temelhak ve özgürlüklerin korunmasını ve (ii) kişisel verileri işleyen gerçek ya da tüzel kişilerin uyacakları usul ve esasların düzenlenmesini amaçlamaktadır.

Özel nitelikli kişisel verilerin kapsamında bu iki düzenleme arasında farklar mevcuttur.

• Çalışan,• Müşteri• İş

Ortakları

Belirli veyaBelirlenebilirGerçek Kişi

HerTürlü Veri

• Ad, Soyadı, Taşıt Plakası, SGK Numarası, T.C. Kimlik No.,

• Diploma, Transkript, Öğrenci Belgesi

• Kredi Kartı, İndirim Kartı, Kişisel Toplu Taşıma Kartı vs.

• Bordro, Şahsi Vergi Beyanı, IBAN No., Fatura, Konşimento vb.

• Özgeçmiş • IP Adresleri, Çerez Bilgileri

(Cookie), Konum Bilgisi• Kişiye bağlı her türlü eşsiz/tekil

kod veya numara (telefonnumarası vs.)

• Parmak İzleri, Genetik Bilgileri, Kan Grubu, Retina Taraması

• Dernek veya Parti Üyeliği, Dini veya Felsefi İnanç

• Irk, Etnik Köken

Kişisel Veri Örnekleri

Kişisel Verilerin İşlenmesi

Kişisel Verilerin İşlenmesine İlişkin Örnekler

Kişisel veriler üzerinde gerçekleştirilen her faaliyet «işleme»

olarak kabul edilmektedir.

4

5

6

1

2

3

Veri aktarımı da bir işleme türüdür.

Aktarma

Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.

Yayma/Erişebilir Kılma

Verilerin silinmesi de bir işleme faaliyeti olarak kabul edilmektedir.

Engelleme/Silme

Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme

fiili başlamaktadır.

Toplama ve/veyaKaydetme

Dijital ya da fiziksel ortamda,kişisel verilerin saklanması,

barındırılması ya da depolanması işleme kapsamında

kabul edilir.

Organize Etme/Depolama

Kişisel verilerin, görüntülenmesi de dahil olmak üzere, her türlü

kullanımı işleme sayılır.

Kullanma/Değiştirme

Her Türlü Faaliyet

Mevzuatla Kişisel Verilerin KorumasıÖzetle Ne Şekilde Sağlanacaktır?

AydınlatmaAçık Rıza

veya İstisna İlkelere

Uygunluk

Amaç veSüre ileSınırlı

Silinir

Yok Edilir

AnonimHale

GetirilirYürürlüğe giren yeni mevzuat ile beraber kurumlar kişisel verileri ancakyukarıdaki 4 şartın aynı anda sağlanmasıyla işleyebileceklerdir. Aksitaktirde kişisel veriler silinmeli, yok edilmeli ya da anonim halegetirilmelidir.

VERBİS kaydına ilişkin notlar

1. Veri Sorumlusu Yöneticisi• Şirket kurumsal hafızasına sahip bir yönetici

2. İrtibat Kişisi ve sicile kayıt• Her tüzel kişi için ayrı irtibat kişisi belirlenmeli, özellikle grup şirketleri için önemli• E-devlet ile giriş• Veri kategorisi, amaçlar, saklama süreleri, aktarılan taraflar

3. Sicil Sorgulama• Kamuya açık• Şu anda yaklaşık 1.000 şirket VERBİS kaydı yaptırmış durumda

* Hazırlanan envanterlerin VERBİS sistemi ışığında gözden geçirilmesi gerekir.

Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekildeİnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusunaait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 12 ncimaddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

K01

İş Başvuru Sürecinde İşlenen Kişisel Verilerin HukukaAykırı Şekilde Paylaşılması

İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 ncimaddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 ncimaddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

K02

Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yiaşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

K03

Kişisel Veri Güvenliğinin Sağlanması Amacıyla UygunGüvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdarive Teknik Tedbirlerin Alınmaması

Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;

Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerialmayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idariişlem tesis edilmesine karar verilmiştir.

K04

Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde verisorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 incimaddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetimindensorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

K06

Kurul’un vermiş olduğu diğer bazı kararlar

• Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin karar

• Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları ile ilgili karar

• Özel Nitelikli Kişisel Verilerin İşlenmesinde VeriSorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili karar

• Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik karar

• Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik karar

K07

Türkiye’de KVKK öncesinde yaşanan problemler

o Bulutta kişisel verilerin hiçbir kurala tabi olmaksızın aktarılması.

o Kişisel verilerin işlenmesinin sınırsızlığı.

o Mahremiyet anlayışının ülke kültür ve iş yapış modellerindeki yoksunluğu

o Veri Yönetişimi modellerinde teknoloji çözümlerinin yetersizliği.

o EUROPOL ile güvenlik birimlerimiz arasında elektronik veri paylaşımı,

o Yabancı yatırımcının Türkiye’ye gelmesi ve yatırımını global olarak yönetmesi,

Dünya’daki Veri Koruması Yaklaşımları

KapsamlıModel(AvrupaBirliği)

SektörelDüzenlemeModeli (ABD,Japonya)

BirlikteDüzenleme-Öz DüzenlemeModeli(Avustralya)

DüzenlemesiOlmayanÜlkeler (Çin)

Dünya’daki Veri Koruması YaklaşımlarıAB ve ABD Yaklaşımları

• Dünyadaki en ağır kişisel veri koruması kuralları,

• Gittikçe genişleyen kapsam,• Gittikçe ağırlaşan yaptırımlar,• AB sınırları dışını da kapsayan düzenlemeler,• Uluslararası veri transferinin çok ağır kurallara

bağlanması

• İfade Özgürlüğünün Mahremiyet hakkına karşı üstünlüğü,

• «Business-friendly» yaklaşımlar,• Genel düzenlemeler yerine sektörel

düzenlemelere ağırlık verilmesi.

GDPR’ın Dünyadaki Statüsü

95/46 Sayılı Direktif AB’ye üye devletlerin

kendi iç hukuklarına implamantasyonugerekir.

GDPRHiçbir implamantasyona

gerek duyulmaksızın direk uygulanabilirliği olması.

Dünyada her dakika 1.7 milyon Gigabayt veri üretilmektedir*.(360.000 DVD’yi dolduracak miktarda veri)

*Avrupa Komisyonu’nun «Büyük Veri» başlıklı ve 13/965 sayılı bilgilendirme notundan

Uzmanlar 2020 yılı itibari ile %4300 oranında bir veri üretimi artışı yaşanacağını belirtmektedirler.

Kullanıcılar 2018 yılında verilerin 1.4 EB’ınıdepoladılar.

2020 yılında, üretilen verilerin 1/3’ü Bulut Bilişim üzerinden kullanılacağı veya üretileceği belirtilmektedir.

Bilinen Markaların Kişisel Veri Sızıntıları

2013

2014

2015

2016

2017

Yahoo1.000.000.000

JPMorgan76.000.000

UPS4.000.000Ebay

145.000.000

Dailymotion85.200.000

Instagram6.000.000

Snapchat1.700.000

River City Media1.370.000.000

Uber50.000

HSBCTürkiye2.700.000

Gmail200.000.000

Veri Temelli EkonomiVeri Temelli Ekonominin Dayanağı: Veri Koruması

Bugüne kadar görülmemiş hacimdeki verinin elde edilmesi

karşısında, kişilere ait verilerin korunması büyük

önem kazanmıştır.

Büyük Veri

Günlük olarak kullandığımız nesneler, bizler hakkındaki en

detaylı ve hassas verileridevamlı olarak kaydetmektedir.

Nesnelerin İnterneti

Büyük hacme sahip verilerinişlenmesi için çok büyük işlem gücüne ihtiyaç duyulmakta, buda bulut bilişim sayesinde mümkün olmaktadır. Bulut bilişim çoğu durumda uluslarası veri trasnferlerini gerektirmektebu da uyumuluk sorununuortaya çıkarmaktadır.

Bulut Bilişim

Verilerin korunması konusundaki hukukisorumluluğun kime ait olduğu konusunda uluslararası konumlandırma sağlar.

Veri Merkezleri

Büyük Veri «Big Data» & «Privacy by Design»

Nesnelerin İnterneti «IoT»

Bulut Bilişimi «Cloud Computing»

Kişisel Veriler için Bilgi GüvenliğiVeri Sızıntısı

E-ticaret ve ödeme sistemine etki eden

zararlı yazılım kaynaklı veri sızıntısı

Veri işleyen ve Veri sorumlusu arasında

sözleşmesel teknik yaptırımlar

Yazılım versiyon kontrolü

Kimlik doğrulama

Güvenlik olay izleme

Düzenli yedekleme

Veri yönetişimi

Veri Yönetişimi «Data Governance» Kişisel Veri Haritası

02

03

01Kişisel Veriyi Tespit Et

Kişisel Veriyi Doğru Yöntemlerle İşle

Kişisel Veriyi Yönet

Teşekkürler