ISACA İstanbul Chapterisaca-istanbul.org/wp-content/uploads/2017/04/ISACA... · 2017-04-26 · BT...
Transcript of ISACA İstanbul Chapterisaca-istanbul.org/wp-content/uploads/2017/04/ISACA... · 2017-04-26 · BT...
Namık Kemal PARMAKSIZ
ISACA İstanbul ChapterKişisel Verilerin Korunması ve COBIT
Istanbul, 19.04.2017
Tanıtım
NAMIK KEMAL PARMAKSIZ
Baker Tilly Güreli (2016-…)
Bilgi Sistemler Denetimi ve Danışmanlığı
Akbank (2003-2016)
Teftiş Kurulu Başkanlığı
Kıdemli Bilgi Teknolojileri Müfettişi
Aknet (2000-2003)
Denetim Direktörlüğü
BT Denetim Uzmanı
Kara Kuvvetleri Komutanlığı (1999-2000)
Bilgi Sistemler Dairesi
Bilgisayar Programlama Subayı
Boğaziçi Üniversitesi
Bilgisayar Mühendisliği
Kişisel Verilerin Koruma Kanunu
Veri Koruma
Sorumlusu:
Duyduğuma göre kim
yaramaz kim uslu
diye bir dosya
tutuyormuşsun…
Kişisel Verilerin Koruma Kanunu
Kanun No: 6698
Kabul Tarihi: 24.03.2016
Yürürlük Tarihi: 07.04.2016
Amaç
MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın
gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri
işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemektir.
Kapsam
MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel Verilerin Koruma Kurumu
• Kişisel verilerin temel
hak ve özgürlüklere
uygun şekilde
işlenmesi
• Şikayetleri karara
bağlamak ve önlem
almak
• Özel nitelikli kişisel
veriler hakkında yeterli
önlemleri belirlemek
• Veri Sorumluları
Sicilini tutmak
• Veri güvenliği ile ilgili
yükümlülükleri
belirlemek
Kişisel Verilerin Koruma Kurulu
12 Ocak 2017’de göreve başladılar:
1. Cabir Bilirgen
2. Cengiz Paşaoğlu
3. Mehmet Niyazi Tanılır
4. Turan Arık
5. Yusuf Alataş
6. Prof. Dr. Faruk Bilir
7. Şaban Baba
8. Murat Karakaya
9. Hasan Aydın
Kişisel Veri Nedir?
ad soyad
doğum tarihi ve
yeri
telefon numarası,
adresiTCKN
özgeçmiş
resim, görüntü,
ses, parmak izi
IP adresi, e-posta adresi
hobiler, tercihler
etkileşimde bulunulan
kişiler
grup üyelikleri
aile bilgileri
sağlık bilgileri
Kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgi
Kanunun Sözlüğü
AÇIK RIZABelirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
KİŞİSEL VERİLERİN İŞLENMESİKişisel verilerin üzerinde gerçekleştirilen her türlü işlem:* elde edilmesi* kaydedilmesi* depolanması* muhafaza edilmesi* değiştirilmesi* yeniden düzenlenmesi* açıklanması* aktarılması* devralınması* elde edilebilir hâle getirilmesi* sınıflandırılması* kullanılmasının engellenmesi* vb.
VERİ İŞLEYENVeri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel
kişi
ANONİM HALE GETİRMEKişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir
bir gerçek kişiyleilişkilendirilemeyecek hâle
getirilmesi
VERİ KAYIT SİSTEMİKişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemi
KİŞİSEL VERİKimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgi
VERİ SORUMLUSUKişisel verilerin işleme amaçlarını
ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Kişisel Verinin İşlenmesi
Kişisel verinin
işlenmesi
Hukuka ve
dürüstlük kurallarına
uygun
Doğru ve güncel
Belirli, açık ve meşru
amaçlar için
Amacıyla bağlantılı, sınırlı ve
ölçülü
Amacı için gerekli süre kadar
Açık rıza
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Ancak;
• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Veri
Özel Veri
Irkı, etnik kökeni
Siyasi düşüncesi
Felsefi inancı, dini, mezhebi,
vb.
Kılık ve kıyafeti
Dernek, vakıf,
sendika üyeliği
Sağlığı
Cinsel hayatı
Ceza mahkumiye
ti vb.
Biyometrikve genetik
veriler
Açık rıza
Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Ancak;
• Kanunlarda açıkça öngörülmesi ile,
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
• kamu sağlığının korunması,
• koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi,
• sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla,
• sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından
açık rıza aranmaksızın işlenebilir.
Kişisel Verilerin Aktarılması
Ya yurtdışına aktarılması? İstisnalarla beraber…
Yeterli koruma
(yoksa yazılı taahhüt)
Kurul listesi
* Uluslararası Sözleşmeler
* Ülke karşılıklılığı
* Verinin niteliği, amacı…
* Ülke mevzuatı
* Karşı taraf taahhütleri
Kişisel Verilerin Silinmesi
• Sebep ortadan kalktı
• Kişi talep etti
Veri kanuna uygun işlendi
• Silinir
• Yok edilir
• Anonim hale getirilir
Veri imha edilir
Haklar ve Yükümlülükler
«Adımı tahtaya yazmadan önce, bu veriyi nasıl
kullanmayı planladığınızı öğrenmem gerek.»
Haklar ve Yükümlülükler
Haklar
Öğrenme
Bilgi
Amaç
Aktarım
DüzeltmeSilinme
Değ. Aktarımı
İtiraz
Zararın giderilmesi
Haklar ve Yükümlülükler
Aydınlatma Yükümlülüğü
Veri sorumlusunun ve varsa temsilcisinin kimliği
Kişisel verilerin hangi amaçla işleneceği
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Kişisel veri toplamanın yöntemi ve hukuki sebebi
İlgili kişinin diğer tüm hakları
Haklar ve Yükümlülükler
Güvenlik için her türlü teknik ve
idari tedbirler
Hukuksuz işlenmesini
önlemek
Muhafazasını sağlamak
Hukuksuz erişilmesini
önlemek
Veri sorumlusu …
Veri sorumlusu, kendi kurum veya
kuruluşunda, bu Kanun hükümlerinin
uygulanmasını sağlamak amacıyla
gerekli denetimleri yapmak veya
yaptırmak zorundadır.
DENETİM
ŞART
Haklar ve Yükümlülükler
Başvuru - Şikayet
Müşteri:
Taleplerini önce kuruluşa yazılıveya belirli yöntemlerle iletilir.
KVK Kuruluna başvurur:
• Reddedilir veya yetersiz cevaplanırsa: 30 gün
• Başvuru Tarihi + 60 gün
Veri Sorumlusu:
Müşteriye cevap: 30 gün
KVK Kurulu’na belge: 15 gün
İhlalin giderilmesi: 30 gün
KVK Kurulu:
İnceleme yapar, aksiyon ister.
60 gün içinde cevap verir, yoksa reddedilmiş sayılır.
Veri Sorumluları Sicili
VERİ SORUMLULARI SİCİLİ
Sorumlular ve temsilciler için zorunludur.
Kimlik:
Adres:
Veri işleyiş amacı:
Kişi grubu:
Veri kategorileri:
Aktarılacak alıcılar:
Veri güvenliği tedbirleri:
Veri işleyiş süresi
* Bilgilerde meydana gelen değişiklikler derhal KVK Başkanlığı’na
bildirilmelidir.
Suçlar
1-3 YIL
TCK 135
Hukuka aykırı olarak kişisel
verileri kaydeden
Özel nitelikli veri ise X 3/2
2-4 YIL
TCK 136
Kişisel verileri, hukuka aykırı
olarak bir başkasına veren, yayan veya ele
geçiren
3-6 YIL
TCK 137
Kamu görevlisi tarafından ve
görevinin verdiği yetki kötüye
kullanan veya belli bir meslek ve sanatın sağladığı
kolaylıktan yararlan
1-2 YIL
TCK 138
Süresi geçtiği halde verileri yok
etmeyen
CMK'ya göre yok edilmesi gereken
veri olması hâlinde X 1
ISACA KVK Prensipleri
1. Seçim ve rıza
2. Meşru amaç belirtimi ve kullanım
sınırlaması
3. Kişisel bilgiler ve hassas
bilgiler yaşam döngüsü
4. Doğruluk ve kalite
5. Açıklık, şeffaflık ve
bildirim
6. Bireysel katılım
7. Hesap verebilirlik
8. Güvenlik önlemleri
9. İzleme, ölçme ve raporlama
10. Zararın önlenmesi
11. Üçüncü taraf/tedarikçi
yönetimi
12. İhlal/olay yönetimi
13. Tasarım aşamasında
güvenlik ve KVK
14. Yurtdışına aktarım ve yasal
kısıtlamalar
ISACA KVK Prensipleri
1. Seçim ve rıza
Seçenekler / haklar
Yasalara göre rıza
* Toplama faaliyetlerinin başlamasından önce
* Başka amaçlar için kullanılmasından önce
* Üçüncü taraflara aktarılmasından önce
ISACA KVK Prensipleri
2. Meşru amaç belirtimi ve kullanım sınırlaması
Hangi amaç(lar) (ilgili yasa vb.)
Kullanımlarının, bildirilen amaçlarla ve alınan rızalarla uyumu
ISACA KVK Prensipleri
3. Kişisel bilgiler ve hassas bilgiler yaşam döngüsü
Bilgi yaşam döngüsü
Dürüst bir şekilde toplama
Amacı için gereken kadar azaltma
Gerekli olduğu sürece muhafaza
Geri dönülmez şekilde imha
KVK risk yönetimi stratejisi
Hafifletici kontroller
Tüm geliştirme ve uygulama yaşam döngüsü boyunca gerekli olan ilave kontroller
Maliyetlerin proje bütçelerine eklenmesi
ISACA KVK Prensipleri
4. Doğruluk ve kalite
Kullanım amacı için gerekli olan ölçüde doğru, eksiksiz ve güncel
* Gerekmedikçe güncellenmemesi
* Aktarılanlar dahil, sürekli kullanılan KV doğru ve güncel
ISACA KVK Prensipleri
5. Açıklık, şeffaflık ve bildirim
KVK yönetim programı, politikalar ve uygulamalar açık ve kolay erişilebilir
KVK bildirimindeki gerekli ayrıntılar
ISACA KVK Prensipleri
6. Bireysel katılımBilgi talep etme
KV'ye erişim
Bilgi sunmadan önce kişinin kimliğinin doğrulanması
Doğruluğu veya kullanımı ile ilgili itiraz ve düzeltme
KV'nin farklı bir servis sağlayıcısına taşınabilmesi
KV öncesi rıza / yetki verme veya reddetme imkanı
Aktarım ayrıntılarının açıklanmasını talep
Kullanımın kısıtlanmasını talep
Talebin reddi durumunda nedenlerinin açıklanması ve buna itiraz edebilme
ISACA KVK Prensipleri
7. Hesap verebilirlik
KV ile ilgili paydaşların ve yasal gereksinimlerin belirlenmesi
Riskin azaltılması ve yasal uyum için KV çerçevesi
Kurum çapında KV riskinin değerlendirilmesi
KV yönetimi için görev, sorumluluk, yetki atanması
KV ve ilgili iş süreçlerinin envanteri
Düzenli KV eğitimi ve farkındalığı
* İşe alımda ve tüm veri işleyenlere düzenli KV eğitimi
* Görevlere ve durumlara uygun farkındalık, sertifikasyon
* Eğitimlerin tüm KV faaliyetlerini kapsaması
* Eğitim durumunun izlenmesi ve belgelendirilmesi
İmzalı taahütname
Uyumsuzluklarla ilgili yaptırım ve cezalar
ISACA KVK Prensipleri
8. Güvenlik önlemleri
KV riskine uygun güvenlik önlemleri
KV'nin güvenliği için idari, teknik ve fiziksel önlemler
* Gizlilik
* Bütünlük
* Erişilebilirlik
ISACA KVK Prensipleri
9. İzleme, ölçme ve raporlama
Düzenli izleme, ölçümleme ve raporlamanın yapılması
* KVK yönetimi programının etkinliği
* Politika, standart ve yasalara uygunluk düzeyi
* KVK araçlarının kullanımı ve uygulanması
* Olan KV ihlal tip ve sayıları
* KVK risk alanları
* KV'ye erişen 3. taraflar ve risk düzeyleri
Uyum durumunun önemli paydaşlara raporlanması
Uluslararası uygulamalar (ISO, NIST, ISACA, vb.) ile entegrasyon
İç/dış denetim
Dolandırıcılık/suç önleme için KV'nin izlenmesinde anonimleştirme
ISACA KVK Prensipleri
10. Zararın önlenmesi
Yanlış kullanım veya ihlal durumunda olası KVK zararlarının tanımlanması
Kişilerin çıkarlarının saygıyla gözetildiği ve yasal beklentilerin desteklendiğini gösteren uygulamalar
Kişilere zarar gelmesini önleyecek kontrollerin tasarlanması
Veri sorumlusunun olası zararlar ve önleyici tedbirleri iyi anlaması
İhlal olursa kişisel zararları azaltacak süreçlerin kurulması
ISACA KVK Prensipleri
11. Üçüncü taraf / tedarikçi yönetimi
3. taraflarda için yönetişim ve risk yönetimi uygulanması ve sözleşmesel, idari ve denetimsel kontroller oluşturulmalı
3. taraflarda ihlal olursa gecikmeksizin veri sorumlusuna bildirilmeli
ISACA KVK Prensipleri
12. İhlal/olay yönetimi
İhlalleri zamanında, yasal ve itibari riskleri azaltacak şekilde tanımlayan, yönlendiren ve raporlayan bir politika ve destekleyici prosedürler tanımlanmalı
Olan ihlallerle ilgili soruşturma, iyileştirme ve izleme çalışmalarının tüm ayrıntıları, aksiyonları ve durum kayıtları saklanmalı
Benzer ihlallerin tekrarının önlenmesi için gerekli iyileştirmeler yapılmalı
ISACA KVK Prensipleri
13. Tasarım aşamasında güvenlik ve KVK
Kurumun KVK felsefesi tanımlanmalı:
* Yönetimin açık desteği vurgulanmalı
* Kurum yapısındaki yeniliklerin ve değişikliklerin KVK'yaetkisinin değerlendirmeli
Kurumsal olaylarda KVK riskinin tanımlanması için yönetim desteği garantilenmeli
KV içeren BT sistemlerinin kurulmasında, yeni iş süreçlerinde kurumsal program ve operasyonlarda KV görev ve sorumlulukları için yönetim desteği
ISACA KVK Prensipleri
14. Yurtdışına aktarım ve yasal kısıtlamalar
Yurtdışı aktarımlarda en az aynı seviyede KVK sağlanması için karşı tarafın yasal veya sözleşmesel önlemlerin varlığına dikkat edilmeli
Yurtdışı KVK kurumları ile uygun şekilde iletişim
KV aktarımlarının yasalara uygun olması
Yurtdışı tarafları için KV güvenlik ve koruma gereksinimleri dokümante edilmeli
Yurtdışı tarafın gerekli KVK önlemlerini (hem bizim hem de kendi yasal gereksinimlerine uygun şekilde) alınmalı
Yurtdışından alınan veya yurtdışına aktarılan tüm KV ile ilgili kayıtların tutulması
KVK Programı için Şirket Ortamını
Hazırlama Adımları
Kişisel bilgilerin
toplandığı bağlamı
değerlendirin.
Uygun KVK ortamı
oluşturun.
KVK sorunlarını tanıyın ve adresleyin.
KVK değişikliğini etkinleştir.
KVK yönetişimi ve yönetimi için
yaşam döngüsü yaklaşımı uygulayın.