Namık Kemal PARMAKSIZ

ISACA İstanbul ChapterKişisel Verilerin Korunması ve COBIT

Istanbul, 19.04.2017

Tanıtım

NAMIK KEMAL PARMAKSIZ

Baker Tilly Güreli (2016-…)

Bilgi Sistemler Denetimi ve Danışmanlığı

Akbank (2003-2016)

Teftiş Kurulu Başkanlığı

Kıdemli Bilgi Teknolojileri Müfettişi

Aknet (2000-2003)

Denetim Direktörlüğü

BT Denetim Uzmanı

Kara Kuvvetleri Komutanlığı (1999-2000)

Bilgi Sistemler Dairesi

Bilgisayar Programlama Subayı

Boğaziçi Üniversitesi

Bilgisayar Mühendisliği

Kişisel Verilerin Koruma Kanunu

Veri Koruma

Sorumlusu:

Duyduğuma göre kim

yaramaz kim uslu

diye bir dosya

tutuyormuşsun…

Kişisel Verilerin Koruma Kanunu

Kanun No: 6698

Kabul Tarihi: 24.03.2016

Yürürlük Tarihi: 07.04.2016

Amaç

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın

gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri

işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları

düzenlemektir.

Kapsam

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri

tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak

kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Verilerin Koruma Kurumu

• Kişisel verilerin temel

hak ve özgürlüklere

uygun şekilde

işlenmesi

• Şikayetleri karara

bağlamak ve önlem

almak

• Özel nitelikli kişisel

veriler hakkında yeterli

önlemleri belirlemek

• Veri Sorumluları

Sicilini tutmak

• Veri güvenliği ile ilgili

yükümlülükleri

belirlemek

Kişisel Verilerin Koruma Kurulu

12 Ocak 2017’de göreve başladılar:

1. Cabir Bilirgen

2. Cengiz Paşaoğlu

3. Mehmet Niyazi Tanılır

4. Turan Arık

5. Yusuf Alataş

6. Prof. Dr. Faruk Bilir

7. Şaban Baba

8. Murat Karakaya

9. Hasan Aydın

Kişisel Verilerin Koruma Kurulu

Kişisel veriler… Kimler nerelere verirler…

Kişisel Veri Nedir?

ad soyad

doğum tarihi ve

yeri

telefon numarası,

adresiTCKN

özgeçmiş

resim, görüntü,

ses, parmak izi

IP adresi, e-posta adresi

hobiler, tercihler

etkileşimde bulunulan

kişiler

grup üyelikleri

aile bilgileri

sağlık bilgileri

Kimliği belirli veya belirlenebilir

gerçek kişiye ilişkin her türlü bilgi

Kanunun Sözlüğü

AÇIK RIZABelirli bir konuya ilişkin,

bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

KİŞİSEL VERİLERİN İŞLENMESİKişisel verilerin üzerinde gerçekleştirilen her türlü işlem:* elde edilmesi* kaydedilmesi* depolanması* muhafaza edilmesi* değiştirilmesi* yeniden düzenlenmesi* açıklanması* aktarılması* devralınması* elde edilebilir hâle getirilmesi* sınıflandırılması* kullanılmasının engellenmesi* vb.

VERİ İŞLEYENVeri sorumlusunun verdiği yetkiye

dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel

kişi

ANONİM HALE GETİRMEKişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir

bir gerçek kişiyleilişkilendirilemeyecek hâle

getirilmesi

VERİ KAYIT SİSTEMİKişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği

kayıt sistemi

KİŞİSEL VERİKimliği belirli veya belirlenebilir

gerçek kişiye ilişkin her türlü bilgi

VERİ SORUMLUSUKişisel verilerin işleme amaçlarını

ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve

yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Ana Süreçler

SilinmesiAktarılmasıİşlenmesi

Kişisel Verinin İşlenmesi

Alabildiğin tüm verileri al, sonra nasıl kullanacağımızı

düşünürüz…

Kişisel Verinin İşlenmesi

Kişisel verinin

işlenmesi

Hukuka ve

dürüstlük kurallarına

uygun

Doğru ve güncel

Belirli, açık ve meşru

amaçlar için

Amacıyla bağlantılı, sınırlı ve

ölçülü

Amacı için gerekli süre kadar

Açık rıza

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Ancak;

• Kanunlarda açıkça öngörülmesi.

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

• İlgili kişinin kendisi tarafından alenileştirilmiş olması.

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Veri

Özel Veri

Irkı, etnik kökeni

Siyasi düşüncesi

Felsefi inancı, dini, mezhebi,

vb.

Kılık ve kıyafeti

Dernek, vakıf,

sendika üyeliği

Sağlığı

Cinsel hayatı

Ceza mahkumiye

ti vb.

Biyometrikve genetik

veriler

Açık rıza

Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Ancak;

• Kanunlarda açıkça öngörülmesi ile,

• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;

• kamu sağlığının korunması,

• koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım

hizmetlerinin yürütülmesi,

• sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amacıyla,

• sır saklama yükümlülüğü altında bulunan kişiler veya yetkili

kurum ve kuruluşlar tarafından

açık rıza aranmaksızın işlenebilir.

Kişisel Verilerin Aktarılması

AÇIK

RIZAİstisnalar

Dahil

Kişisel Verilerin Aktarılması

Ya yurtdışına aktarılması? İstisnalarla beraber…

Yeterli koruma

(yoksa yazılı taahhüt)

Kurul listesi

* Uluslararası Sözleşmeler

* Ülke karşılıklılığı

* Verinin niteliği, amacı…

* Ülke mevzuatı

* Karşı taraf taahhütleri

Kişisel Verilerin Silinmesi

• Sebep ortadan kalktı

• Kişi talep etti

Veri kanuna uygun işlendi

• Silinir

• Yok edilir

• Anonim hale getirilir

Veri imha edilir

Haklar ve Yükümlülükler

«Adımı tahtaya yazmadan önce, bu veriyi nasıl

kullanmayı planladığınızı öğrenmem gerek.»

Haklar ve Yükümlülükler

Haklar

Öğrenme

Bilgi

Amaç

Aktarım

DüzeltmeSilinme

Değ. Aktarımı

İtiraz

Zararın giderilmesi

Haklar ve Yükümlülükler

Aydınlatma Yükümlülüğü

Veri sorumlusunun ve varsa temsilcisinin kimliği

Kişisel verilerin hangi amaçla işleneceği

İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

Kişisel veri toplamanın yöntemi ve hukuki sebebi

İlgili kişinin diğer tüm hakları

Haklar ve Yükümlülükler

Güvenlik için her türlü teknik ve

idari tedbirler

Hukuksuz işlenmesini

önlemek

Muhafazasını sağlamak

Hukuksuz erişilmesini

önlemek

Veri sorumlusu …

Veri sorumlusu, kendi kurum veya

kuruluşunda, bu Kanun hükümlerinin

uygulanmasını sağlamak amacıyla

gerekli denetimleri yapmak veya

yaptırmak zorundadır.

DENETİM

ŞART

Haklar ve Yükümlülükler

Başvuru - Şikayet

Müşteri:

Taleplerini önce kuruluşa yazılıveya belirli yöntemlerle iletilir.

KVK Kuruluna başvurur:

• Reddedilir veya yetersiz cevaplanırsa: 30 gün

• Başvuru Tarihi + 60 gün

Veri Sorumlusu:

Müşteriye cevap: 30 gün

KVK Kurulu’na belge: 15 gün

İhlalin giderilmesi: 30 gün

KVK Kurulu:

İnceleme yapar, aksiyon ister.

60 gün içinde cevap verir, yoksa reddedilmiş sayılır.

Veri Sorumluları Sicili

VERİ SORUMLULARI SİCİLİ

Sorumlular ve temsilciler için zorunludur.

Kimlik:

Adres:

Veri işleyiş amacı:

Kişi grubu:

Veri kategorileri:

Aktarılacak alıcılar:

Veri güvenliği tedbirleri:

Veri işleyiş süresi

* Bilgilerde meydana gelen değişiklikler derhal KVK Başkanlığı’na

bildirilmelidir.

Suçlar ve Kabahatler

Suçlar

1-3 YIL

TCK 135

Hukuka aykırı olarak kişisel

verileri kaydeden

Özel nitelikli veri ise X 3/2

2-4 YIL

TCK 136

Kişisel verileri, hukuka aykırı

olarak bir başkasına veren, yayan veya ele

geçiren

3-6 YIL

TCK 137

Kamu görevlisi tarafından ve

görevinin verdiği yetki kötüye

kullanan veya belli bir meslek ve sanatın sağladığı

kolaylıktan yararlan

1-2 YIL

TCK 138

Süresi geçtiği halde verileri yok

etmeyen

CMK'ya göre yok edilmesi gereken

veri olması hâlinde X 1

Kabahatler

Şirketler ne yapmalı?

Fırsatlar Tehditler

ISACA KVK Prensipleri

1. Seçim ve rıza

2. Meşru amaç belirtimi ve kullanım

sınırlaması

3. Kişisel bilgiler ve hassas

bilgiler yaşam döngüsü

4. Doğruluk ve kalite

5. Açıklık, şeffaflık ve

bildirim

6. Bireysel katılım

7. Hesap verebilirlik

8. Güvenlik önlemleri

9. İzleme, ölçme ve raporlama

10. Zararın önlenmesi

11. Üçüncü taraf/tedarikçi

yönetimi

12. İhlal/olay yönetimi

13. Tasarım aşamasında

güvenlik ve KVK

14. Yurtdışına aktarım ve yasal

kısıtlamalar

ISACA KVK Prensipleri

1. Seçim ve rıza

Seçenekler / haklar

Yasalara göre rıza

* Toplama faaliyetlerinin başlamasından önce

* Başka amaçlar için kullanılmasından önce

* Üçüncü taraflara aktarılmasından önce

ISACA KVK Prensipleri

2. Meşru amaç belirtimi ve kullanım sınırlaması

Hangi amaç(lar) (ilgili yasa vb.)

Kullanımlarının, bildirilen amaçlarla ve alınan rızalarla uyumu

ISACA KVK Prensipleri

3. Kişisel bilgiler ve hassas bilgiler yaşam döngüsü

Bilgi yaşam döngüsü

Dürüst bir şekilde toplama

Amacı için gereken kadar azaltma

Gerekli olduğu sürece muhafaza

Geri dönülmez şekilde imha

KVK risk yönetimi stratejisi

Hafifletici kontroller

Tüm geliştirme ve uygulama yaşam döngüsü boyunca gerekli olan ilave kontroller

Maliyetlerin proje bütçelerine eklenmesi

ISACA KVK Prensipleri

4. Doğruluk ve kalite

Kullanım amacı için gerekli olan ölçüde doğru, eksiksiz ve güncel

* Gerekmedikçe güncellenmemesi

* Aktarılanlar dahil, sürekli kullanılan KV doğru ve güncel

ISACA KVK Prensipleri

5. Açıklık, şeffaflık ve bildirim

KVK yönetim programı, politikalar ve uygulamalar açık ve kolay erişilebilir

KVK bildirimindeki gerekli ayrıntılar

ISACA KVK Prensipleri

6. Bireysel katılımBilgi talep etme

KV'ye erişim

Bilgi sunmadan önce kişinin kimliğinin doğrulanması

Doğruluğu veya kullanımı ile ilgili itiraz ve düzeltme

KV'nin farklı bir servis sağlayıcısına taşınabilmesi

KV öncesi rıza / yetki verme veya reddetme imkanı

Aktarım ayrıntılarının açıklanmasını talep

Kullanımın kısıtlanmasını talep

Talebin reddi durumunda nedenlerinin açıklanması ve buna itiraz edebilme

ISACA KVK Prensipleri

7. Hesap verebilirlik

KV ile ilgili paydaşların ve yasal gereksinimlerin belirlenmesi

Riskin azaltılması ve yasal uyum için KV çerçevesi

Kurum çapında KV riskinin değerlendirilmesi

KV yönetimi için görev, sorumluluk, yetki atanması

KV ve ilgili iş süreçlerinin envanteri

Düzenli KV eğitimi ve farkındalığı

* İşe alımda ve tüm veri işleyenlere düzenli KV eğitimi

* Görevlere ve durumlara uygun farkındalık, sertifikasyon

* Eğitimlerin tüm KV faaliyetlerini kapsaması

* Eğitim durumunun izlenmesi ve belgelendirilmesi

İmzalı taahütname

Uyumsuzluklarla ilgili yaptırım ve cezalar

ISACA KVK Prensipleri

8. Güvenlik önlemleri

KV riskine uygun güvenlik önlemleri

KV'nin güvenliği için idari, teknik ve fiziksel önlemler

* Gizlilik

* Bütünlük

* Erişilebilirlik

ISACA KVK Prensipleri

9. İzleme, ölçme ve raporlama

Düzenli izleme, ölçümleme ve raporlamanın yapılması

* KVK yönetimi programının etkinliği

* Politika, standart ve yasalara uygunluk düzeyi

* KVK araçlarının kullanımı ve uygulanması

* Olan KV ihlal tip ve sayıları

* KVK risk alanları

* KV'ye erişen 3. taraflar ve risk düzeyleri

Uyum durumunun önemli paydaşlara raporlanması

Uluslararası uygulamalar (ISO, NIST, ISACA, vb.) ile entegrasyon

İç/dış denetim

Dolandırıcılık/suç önleme için KV'nin izlenmesinde anonimleştirme

ISACA KVK Prensipleri

10. Zararın önlenmesi

Yanlış kullanım veya ihlal durumunda olası KVK zararlarının tanımlanması

Kişilerin çıkarlarının saygıyla gözetildiği ve yasal beklentilerin desteklendiğini gösteren uygulamalar

Kişilere zarar gelmesini önleyecek kontrollerin tasarlanması

Veri sorumlusunun olası zararlar ve önleyici tedbirleri iyi anlaması

İhlal olursa kişisel zararları azaltacak süreçlerin kurulması

ISACA KVK Prensipleri

11. Üçüncü taraf / tedarikçi yönetimi

3. taraflarda için yönetişim ve risk yönetimi uygulanması ve sözleşmesel, idari ve denetimsel kontroller oluşturulmalı

3. taraflarda ihlal olursa gecikmeksizin veri sorumlusuna bildirilmeli

ISACA KVK Prensipleri

12. İhlal/olay yönetimi

İhlalleri zamanında, yasal ve itibari riskleri azaltacak şekilde tanımlayan, yönlendiren ve raporlayan bir politika ve destekleyici prosedürler tanımlanmalı

Olan ihlallerle ilgili soruşturma, iyileştirme ve izleme çalışmalarının tüm ayrıntıları, aksiyonları ve durum kayıtları saklanmalı

Benzer ihlallerin tekrarının önlenmesi için gerekli iyileştirmeler yapılmalı

ISACA KVK Prensipleri

13. Tasarım aşamasında güvenlik ve KVK

Kurumun KVK felsefesi tanımlanmalı:

* Yönetimin açık desteği vurgulanmalı

* Kurum yapısındaki yeniliklerin ve değişikliklerin KVK'yaetkisinin değerlendirmeli

Kurumsal olaylarda KVK riskinin tanımlanması için yönetim desteği garantilenmeli

KV içeren BT sistemlerinin kurulmasında, yeni iş süreçlerinde kurumsal program ve operasyonlarda KV görev ve sorumlulukları için yönetim desteği

ISACA KVK Prensipleri

14. Yurtdışına aktarım ve yasal kısıtlamalar

Yurtdışı aktarımlarda en az aynı seviyede KVK sağlanması için karşı tarafın yasal veya sözleşmesel önlemlerin varlığına dikkat edilmeli

Yurtdışı KVK kurumları ile uygun şekilde iletişim

KV aktarımlarının yasalara uygun olması

Yurtdışı tarafları için KV güvenlik ve koruma gereksinimleri dokümante edilmeli

Yurtdışı tarafın gerekli KVK önlemlerini (hem bizim hem de kendi yasal gereksinimlerine uygun şekilde) alınmalı

Yurtdışından alınan veya yurtdışına aktarılan tüm KV ile ilgili kayıtların tutulması

COBIT 5 İlkeleri

COBIT 5 Gerçekleştiricileri (Enablers)

COBIT 5 Yönetişim - Yönetim

KVK Programı için Şirket Ortamını

Hazırlama Adımları

Kişisel bilgilerin

toplandığı bağlamı

değerlendirin.

Uygun KVK ortamı

oluşturun.

KVK sorunlarını tanıyın ve adresleyin.

KVK değişikliğini etkinleştir.

KVK yönetişimi ve yönetimi için

yaşam döngüsü yaklaşımı uygulayın.

Privacy Protection Program

Implementation Life Cycle Phases

Privacy Management Program Using

ISACA Privacy Principles

Privacy Management Program Using

ISACA Privacy Principles

Sorular

?

Teşekkürler