Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

KVKK Genel sunum - Kişisel Veriler

4.099 Aufrufe

Veröffentlicht am

6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında genel tanımlar ve aynı kanun kapsamında alınması gereken önlemler.

Veröffentlicht in: Recht

KVKK Genel sunum - Kişisel Veriler

  1. 1. 1 KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) ZAMAN DARALIYOR – PEKİ SİZ HAZIR MISINIZ? Son Tarih 07.04.2018 ÖMER ÖZER İş Geliştirme Direktörü – Hukuk Danışmanı @: omer.ozer@crypttech.com M: 0541 4224004
  2. 2. Ajanda 1. Veri Neden Önemli 2. Kanunun Künyesi 3. Kanundaki Tanımlar 4. Veri Sahibinin Hakları 5. Verileri Yok etme/Silme/Anonimleştirme 6. Verilerin Aktarılması 7. Uyumluluk Süreci 8. Cezai Sorumluluk 9. Soru ve Cevap
  3. 3. 6.4 Milyar Cihaz, 2016 GARTNER raporuna göre; 2016 yılında internete bağlı cihaz sayısı bir önceki yıla oranla %30 artış gösterdi. Aynı rapora göre 2016 yılında IOT (Nesnelerin İnterneti)’ye harcanan bütçenin ise 235 Milyar $ olduğu dikkat çekmektedir. Veri Transfer Sistemleri ü FTP ü Drop Box vb. ü Email Sunucuları İş Uygulamaları ü SAP ü CRM ü In-House Uygulama ü Vb. 1.Veri Neden Önemli Veri Tabanları ü MySQL ü Oracle ü MsSQL Uzakta ki Veriler ü Mobil Çalışanlar ü Yurtdışı & Yurtiçi Ofisler Saklama ve Yedekleme Sistemleri ü SAN & NAS IOT (Nesnelerin İnterneti) ü Sensörler ü Enerji ü Akıllı Şehirler ü Sağlık vb.. Kaynak: Gartner, http://www.gartner.com/newsroom/id/3165317 3
  4. 4. Kaynak: www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 4
  5. 5. 1981 tarihli 108 Sayılı Sözleşme 95/46/EC Veri Koruması Direktifi GDPR( General Data Protection Regulation) SOX ve daha fazlası PCI DSS HIPAA Veri Koruma Mevzuatları Uluslararası Düzenlemeler 8
  6. 6. Chile Protection of Personal Data Act Argentina Personal Data Protection Act, Information Confidentiality Law South Africa Electronic Communications and Transactions Act Australia National Privacy Principals, State Privacy Bills, Email Spam and Privacy Bills New Zealand Privacy Amendment Act Philippines Propose Data Privacy Law Canada PIPEDA, FOIPPA, PIPA US States Breach notification in 46 states Taiwan Computer-Processed Personal Data Protection Hong Kong Personal Data Privacy Ordinance Japan Personal Information Protection Act South Korea Network Utilization and Data Protection Act European Union EU Data Protection Directive, State Data Protection Laws India Information Technology Act United Kingdom ICO Privacy and Electronic Communications Regulations USA Federal CALEA, CCRA, CIPA, COPPA, EFTA, FACTA, ECPA, FCRA, FISMA, FERPA, GLBA, HIPAA, HITECH, PPA, RFPA, Safe Harbor, US PATRIOT Act Brazil Article 5 of Constitution Colombia Data Privacy Law 1266 Mexico Personal Data Protection Law Morocco Data Protection Act Thailand Official Information Act B.E. 2540 Europe Privacy laws in 28 countries Singapore Personal & Financial Data Protection Acts TÜRKİYE Kişisel Verilerin Korunması Kanunu Aruba, Curaçao Data Protection Acts *CipherCloud sunumundan alıntıdır. Ülkeler Bazında Kişisel Verilerin Koruması
  7. 7. 07/04/2016 tarihinde 29677 sayılı Resmi Gazete ’de yayınlanarak kanunlaştı 24/03/2016 tarihinde 6698 sayılı kanun TBMM’de kabul edildi. 17/02/2016 tarihinde Uygun bulunma kanunu Resmi Gazete ’de yayınlanarak 108 sayılı sözleşme iç hukukumuzda kabul görmüştür 28/01/1981 yılında 108 sayılı «Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi» Türkiye’nin de dahil olduğu Avrupa Konseyi üye ülkeleri tarafından imzalandı. 7 2.Kanun Künyesi
  8. 8. 8 3. Kanundaki Tanımlar
  9. 9. Kişisel Veri Nedir? 02 01 03 04 İsim, Soy isim Kimlik No, Pasaport No, Ehliyet No, Telefon No Özgeçmiş, Meslek Bilgisi, Medeni Durumu Adres vb. 9
  10. 10. Özel Nitelikli Kişisel Veri Nedir? Irk, Etnik köken, Siyasi Düşüncesi, Felsefi İnancı Dernek, Vakıf ya da Sendika üyeliği Dini, Mezhebi veya diğer inançları Kılık ve kıyafeti, Sağlığı, Cinsel Hayatı Ceza Mahkumiyeti ve Tedbirler, Biyometrik ve Genetik Veriler
  11. 11. Özgür İradeyle Açıklanmış Olma ü Ön Şart sunulmamalı, ü Özgür bir irade beyanı olmalı. Bilgilendirmeye Dayanma ü Verilerin hangi amaca dayanacağı açıkça belirtilmeli, ü Aydınlatma yükümlülüğünün yerine getirilmeli. Belirli Bir Konuya İlişkin Olma ü Genel Nitelikle olmamalı, ü Belirli bir konu için verilmeli. ü Teknoloji Danışmanlığı
  12. 12. üKaydedilmesi üDepolanması üMuhafaza Edilmesi üDeğiştirilmesi üYeniden Düzenleme üAçıklanması üAktarılması üSınıflandırılması Vb. ü Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. ü Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Örneğin; • Çağrı merkezi şirketleri • Pazar araştırma şirketleri • Kuryeler vb. VERİ İŞLEME VERİ SORUMLUSU VERİ İŞLEYEN
  13. 13. Kişisel verileri işlemek için ana kural kişiden verilerinin toplanacağına/işleneceğine dair açık rıza almaktır. Açık rıza gerektirmeyen durumlar: Ø Kanunda ön görülmüş olma Ø Fiili imkansızlık Ø Sözleşmenin kurulması /ifasıyla ilgili gerekli olma Ø Veri sorumlusu için zorunlu olma Ø Veri sahibinin alenileştirmiş olması Ø Hakkın tesisi, kullanılması veya korunması için zorunluluk 13 KİŞİSEL VERİLERİ YASAL ŞEKİLDE İŞLEMEYE DEVAM ETMEK İÇİN NE YAPILMALIDIR?
  14. 14. Görevleri; ØVerinin hukuka aykırı işlenmesini önlemek ØVerilere hukuka aykırı erişilmesini önlemek ØVerilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almak Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. VERBİS, veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları internet üzerinden erişilebilen bilişim sistemini ifade eder. GÖREVİ VE SORUMLUKLARI NELERDİR?
  15. 15. Veri sahibini bilgilendirme ØVeri sorumlusunun kimliği ØKişisel verilerin hangi amaçla işlendiği Øİşlenen verilerin kimlere aktarılabileceği ØKişisel verilerin nasıl toplandığı ve hukuki sebebi ØVeri sahibinin hakları konularında veri sahibi bilgilendirilecektir. DİĞER YÜKÜMLÜLÜKLER
  16. 16. ü Kişisel veri işlenip işlenmediğini öğrenme, ü İşlenmişse buna ilişkin bilgi talep etme, ü İşlenme amacını ve bu amaca uygun olarak kullanılıp kullanılmadığını öğrenme, ü Eksik/yanlış işlenmesi durumunda düzeltilmesini isteme, ü Verilerin yok edilmesini veya silinmesini isteme, ü Veriler aktarılmışsa, üçüncü kişilere bildirilmesini isteme, ü İşlenen verilerin analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ü Hukuka aykırı işlenmesi halinde zarar görürse zararın giderilmesini talep etme. 6698 Sayılı Kanun 4. Veri Sahibinin Hakları
  17. 17. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde; ü Re’sen veya ü Veri sahibinin talebi üzerine ü Veri sorumlusu tarafından yapılacak Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenecektir. Taslaktan Dikkat Çeken Detaylar; • Saklama ve İmha Politikaları • Talepten itibaren 30 gün içinde • Fiziksel Ortamdan dahil silinmesi KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
  18. 18. Kural, Veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarılamamasıdır. Bunun istisnası ise madde 5 ve madde 6’dır. Kim Bu üçüncü Kişiler? Bir şirketler topluluğu altında yer alan farklı şirketler arasında, veri transferi gerçekleştirilmesi, üçüncü kişiye veri transferi yapılması anlamına gelmektedir. İstisnası; -Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri transferleri, üçüncü kişiye yapılan transferler olarak değerlendirilemez. Örneğin, çalışanlar vb. Üçüncü şahıslara ve özellikle üçüncü ülkelere veri transferi sıkı koşullara bağlanmıştır. ÜÇÜNCÜ ŞAHISLARA & ÜÇÜNCÜ ÜLKERE KİŞİSEL VERİ TRANSFER EDEBİLİR MİYİZ?
  19. 19. Üçüncü şahıslara ve özellikle üçüncü ülkelere veri transferi sıkı koşullara bağlanmıştır. Madde 9, veri sahibinin açık rızası olmaksızın verilerin yurtdışına çıkarılması yasaktır. Şayet yurtdışında yeterli koruma var ise Madde 5 ve Madde 6 buna istisnasıdır. Yurtdışında yeterli koruma yok ise; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân verilmektedir. Yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir. ÜÇÜNCÜ ŞAHISLARA & ÜÇÜNCÜ ÜLKERE KİŞİSEL VERİ TRANSFER EDEBİLİR MİYİZ?
  20. 20. ü Yayım tarihinden itibaren 6 ay sonra yükümlülükler başlıyor (yeni kaydedilen veriler için). ü Hali hazırda ve söz konusu altı aylık süreye kadar (5 Ekim 2016) olanlar ise iki yıl içinde uyumlu hale gelmek zorunda (Geçici Madde 1: Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilir.) SORUMLULUK NE ZAMAN BAŞLAR
  21. 21. Sorulması Gereken Temel Sorular Nerede Saklıyoruz? Hangi Verileri Saklıyoruz? Neden Saklıyoruz? Ne kadar süredir Saklıyoruz? Hangi Önlemler Alındı?
  22. 22. 20% 50% 75% 5%Strateji Belirleme Organizasyon ve Görev Dağılımı Politika ve Prosedürler Eğitim, İç İletişim ve Farkındalık 5 100% Denetleme, Risk Analizi ve Tedbirler
  23. 23. Yapılandırılmış ve Yapılandırılmamış Verilerin Belirlenmei Data Classification Veri Sahibine Bilgi Verme Yükümlülüğü Custom Software Veriye Erişecek Kişileri Yetkilendirme, Veri Sınırlaması Geitrme PAM Session Recording Data Masking Veriyi Koruma, Silme ve Anonimleştirme DLP Encryption TDE (Transparent Data Enc.) Data Destruction Degauss (Hardware) Paper Shredder Veriyi İzleme ve Takip Etme Log Management SIEM Monitoring Tool Teknik Çözüm Önerisi
  24. 24. Efsaneler Gerçekler Kayıtlı bulunan şirket bilgileri bu kanun kapsamında düzenlenmesi gerekiyor 6698 Sayılı Kanun yanlızca ”Kişisel Veri” niteliği taşıyan verilerin için uygulanacaktır. Veri Sorumlusu bireysel olarak benim ve ben çok cesurum J Veri Sorumlusu şirket tüzel kişiliğinin kendisi olacak. Çünkü verinin işleme amaçlarını ve faaliyetlerini belirlen şirketin kendisidir. Bu kanun öncesinde elde ettiğim veriler bizim için kazanılmış hak. Bu sebeple bu kanun kapsamına girmeyecek. Kanun çıkmadan önce elde edilmiş bulunan tüm Kişisel Veriler 07.04.2018 tarihinden sonra kanuna uygun olarak saklanması gerekmektedir. IP adresleri, cachler, log bilgileri kişisel verilerdir. Bu efsanemiz doğru. Avrupa Birliğinin bu konuda çeşitli kararlı mevcut. Yerleşik içtihat sebebiyle IP bilgileir ve log kayıtları kişisel veri niteliği taşımaktadır.
  25. 25. Veri sorumlusuna tanımlanan görevlerin yapılmaması halinde; 15.000 TL’den-1.000.000 TL’ye kadar Aydınlatma yükümlülüğüne aykırılık halinde; 5.000 TL’den – 100.000 TL’ye kadar Kurulun inceleme yapmak için taleplerinin yerine getirilmemesi halinde; 25.000 TL’den-1.000.000 TL’ye kadar Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde; 20.000 TL’den-1.000.000 TL’ye kadar 26
  26. 26. YAPTIRIMLAR ü TCK 135 ü TCK 136 ü TCK 137 ü TCK 138 ü TCK 139 ü TCK 140 v Şirket/Kurum itibarını zedelemeye yol açabilecek Hukuka aykırı veri işleyen Şirket/Kurumların İLAN edilmesi v 5237 Sayılı Türk Ceza Kanunu uyarınca sorumluluk;
  27. 27. SORU - CEVAP 28
  28. 28. TEŞEKKÜRLER 29

×