Kişisel verileri korumak artık mümkün mü?

Kişisel verileri
korumak artık
mümkün mü?
Kişisel Verilerin Korunmasına
Yönelik Hizmetlerimiz
24 Mart 2016 tarihinde, TBMM Genel Kurulu’nda kabul edilerek yasalaşan Kişisel Verilerin Korunması Kanunu (Kanun),
başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve
tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacını taşımaktadır.
Kanun, beraberinde özellikle kişisel veri işleyen, taşıyan veya saklayan firmalar için önemli bir dönüşümü de
getirmektedir.
Kişisel veri: Temel hak ve
özgürlükler kapsamında ele
alınan ve özel hayatın gizliliği
başta olmak üzere kişinin
mahremiyet hakkı ve bilgi
güvenliğinin korunmasıyla alakalı
bir üst kavram niteliğindedir.
Kanun’un kabulüne dek, kişisel
verilerin korunması konusu
genel kanuni düzenlemeler ile
gerçekleştirilmeye çalışılmış,
ihtiyaca göre özel kanunlarla da
düzenlemeler getirilmiştir.
• Elektronik Ticaretin Düzenlenmesi Hk. Kanun,
• Vergi Usul Kanunu
• İş Kanunu
• Bilgi Edinme Kanunu
• Polis Vazife ve Salahiyet Kanunu
• Elektronik Haberleşme Kanunu
• Elektronik İmza Kanunu
• Ceza Muhakemesi Kanunu
• Bankacılık Kanunu gibi muhtelif kanunlar
Kişisel Verilerin Korunması Kanunu
24.03.2016’da Türkiye Büyük Millet
Meclisinde (TBMM) kabul edilmiş
ve 07.04.2016 tarihli ve 29677
sayılı Resmi Gazete’de yayınlanarak
yürürlüğe girmiştir.
Anayasa
5237
sayılı
kanunu
Temel düzenleme, 2010 yılında
yapılan değişiklik ile Anayasanın
özel hayatın gizliliğini koruma
altına alan 20’nci maddesine
eklenen üçüncü fıkra ile hukuk
düzenimize girmiştir.
TCK’nın 135 ile 140’ıncı maddelerinde
kişisel verilerin hukuka aykırı olarak
kaydedilmesi, ele geçirilmesi, üçüncü
kişilere ifşa edilmesi ve verilerin
süresinde yok edilmemesi fiilleri
suç olarak düzenlenmiş ve hürriyeti
bağlayıcı cezalara bağlanmıştır.
6 ay içinde:
Diğer
kanunlar
• Kişisel verilerin aktarılması
• İlgili kişinin hakları
• Veri sorumlusuna başvuru
• Kurula şikayet
• Veri sorumluları sicili
• Suçlar ve kabahatler
ile ilgili maddeler yürürlüğe
girer.
6698
sayılı
Kanun
2 yıl içinde:
Kanunun yayımı tarihinden
önce işlenmiş olan kişisel
veriler, Kanun hükümlerine
uygun hale getirilir.
Kişisel veri, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir.
Bu bağlamda ad, soyad, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil;
telefon numarası, motorlu taşıt plakası, sosyal güvenlik ve pasaport numaraları, özgeçmiş, resim, görüntü ve ses
kayıtları, parmak izleri, IP ve e-posta adresleri, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile
bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul
edilmektedir.
2 | Kişisel verileri korumak artık mümkün mü?
Kişisel verilerin korunmasının etkin ve verimli bir şekilde yürütülmesi,
Yönetim Kurulu başta olmak üzere tüm üst yönetimin sorumluluğu,
sahipliği ve sponsorluğu ile mümkündür. Buna ek olarak, Kişisel Verilerin
Korunması ile ilgili uyum çalışmaları kurum içerisinde bir çok farklı
disiplinden katkı gerektirebilmektedir.
Hukuk
Operasyon modeli ve iş süreçleri
Bilgi güvenliği
• Hukuki tanımlar: Açık rıza, kişisel
veri, veri sorumlusu vb.
• Kişisel verilerin işlenme şartları
• Kişisel verilerin silinmesi ya da
anonimleştirilmesi
• Kişisel veri sahibinin hakları
• Veri sorumlusunun yükümlülükleri
• Kişisel verilerin aktarılması (yurt
içi, yurt dışı)
• Kurum operasyon modeli ve
iş süreçlerinin Kanun’a uygun
olarak tasarlanması
• Veri sınıflandırma, etiketleme
• Kimlik ve erişim yönetimi
• Veri gizliliği ve bütünlüğü koruma
• Veri kaçaklarını koruma
• İlgili politika ve prosedürlerin
oluşturulması
• Tedarikçi güvenliği
• Müşteriye dokunan süreçler
• Güvenlik izleme ve değerlendirme
• İnsan kaynakları süreçleri
• Güvenlik denetimleri
• Hizmet sağlayıcıların yönetimi
• Kişisel verilerin yönetilmesi ile
ilgili müşteri deneyimi
• Suçlar ve kabahatler
• TCK uyarınca suçlar
• 1M TL’ye varan idari cezalar
Kişisel Verilerin Korunması Kanunu
• Kişisel Veri Koruma Sorumlusu
atanması (CPO)
• Veri işleme, saklama ve imha
süreçleriyle yeni gelebilecek rol
ve sorumluluklar
• Tedarikçilerin ve hizmet
sağlayıcıların rolleri
• Sürekli eğitim ve farkındalık
Organizasyon
• Veri mimarisi ve modeli
• Veri yaşam döngüsünün bilgi
teknolojileri iz düşümü
• Veri saklama, yedekleme ve
kurtarma prosedürleri
• Veri imha ya da anonimleştirme
teknolojileri
• Raporlama yükümlülükleri
Veri yönetimi
Kişisel verileri korumak artık mümkün mü? | 3
Araştırmalar, kişisel verilerin korunması konusunun öncelikli olarak yasal
uyum amacıyla ele alındığını göstermektedir. Bununla birlikte kurum
içerisindeki birçok farklı birimin bir arada çalışması ile risklerin bertaraf
edilmesi ve aynı zamanda marka ve itibarın korunması konusunun da ön
planda olduğu görülmektedir.1
Kişisel verilerin korunması ile
ilgili olarak beraber çalışılan
bölümler1
Bilgi Güvenliği
%83
Hukuk
%79
Bilgi Teknolojileri
%72
Yasal Uyum
%64
İnsan Kaynakları
%56
Firmaların en çok kaygı duyduğu sorunların başında kişisel verilerin nerede saklandığının ve nasıl işlendiğinin
bilinmemesi ve kaynak eksiklikleri gelmektedir. 2
Kurumunuzdaki kişisel verilerin yönetimi ile ilgili hangi
konular sizi daha çok kaygılandırıyor?
(1 en çok, 5 en az)
Kişisel verilerin ana sistemlerimiz ve sunucularımız dışında
saklandığı ve işlendiği yerler konusunda elimizde tam bir görüntü yok
Kişisel verilerin korunması ile ilgili yeterince çalışan
görevlendirilmiş değil
Çalışanlarımızın erişebildikleri kişisel verilerle neler
yaptığını kontrol edemiyoruz
Tedarikçilerin erişiminin olduğu kişisel verilerin nasıl
kullanıldığını bilmiyoruz
Politikalar ve eğitime fazla güveniliyor, yeterli teknik
kontroller mevcut değil
Bilinen açıklıkları kapatmak için yeterli kaynağımız yok
Üst yönetim desteği yeterli değil
Kurumsal programın iş birimi seviyesinde uygulanması
ile ilgili eksiklikler var
%36
Kişisel verilerin korunması için çalışanlar
arasında tek görevi bu olanların yüzdesi1
1) Kaynak: IAPP-EY Annual Privacy Governance Report 2015
2) Kaynak: EY’s Global Information Security Survey 2015 Overall results report
4 | Kişisel verileri korumak artık mümkün mü?
Kişisel verilerin korunması için dikkat edilmesi gerekenler, gerek mevzuat
uyumu gerekse de kişisel verilerin korunması konusundaki hesap
verilebilirlik prensibinin tesisi açısından etkin rol oynayacaktır.
Kişisel veri koruma
Uyum ve hesap verilebilirlik
Yönetişim
• Üst yönetim
sponsorluğu
• Sağlam bir kişisel
veri koruma
programı
Hizmet sağlayıcı
yönetimi
Kararlılık
• “Güven fakat
doğrula” prensibi ile
hesap verilebilirlik
• Üçüncü parti
güvence unsurları
• Kişisel veri yaşam
döngüsü
• İç denetim ve iç
kontrol faaliyetleri
• Tüm organizasyona
yaygınlık
• Bağımsız denetim
• Kurum iç
kontrollerinin
hizmet
sağlayıcılarına da
uzanması
• Yeni dijital
dünyada hizmet
sağlayıcıların rolleri
• Eğitim ve farkındalık
Kişisel veri koruma trendleri
Uyum ve hesap verilebilirlik için bazı örnek aksiyonlar
1
Kişisel verilerin korunması ile ilgili performans göstergelerinin belirlenmesi
2
Sistem geliştirme yaşam döngüsü ve süreç modelleri içerisinde etki analizi entegrasyonu
3
Olay/ihlal müdahale planlarının hazırlanması
4
İç tehditlere karşı izleme faaliyetlerinin tesis edilmesi
5
Güvence seçeneklerinin değerlendirilmesi
6
Kimlik ve erişim yönetimi mekanizmalarının tesis edilmesi
7
Kişisel veri temini ve açık rıza konusunda net politikaların belirlenmesi
8
İmha ve anonimleştirme tanımlarının ve işlemlerinin netleştirilmesi
Kişisel verileri korumak artık mümkün mü? | 5
EY size nasıl destek olabilir?
1
İyileştirme ve uygulama
2
Etki değerlendirmesi
• Kanun, diğer mevzuat ve varsa kurum
içi kurallara göre etki alanlarının ve
iyileştirme fırsatlarının belirlenmesi
• Hukuk
• Bilgi güvenliği
• Kişisel verilere ilişkin envanter
hazırlığı ve bunların süreç ve
sistemlerle olan ilişkisinin çıkarılması
• Operasyon modeli ve iş süreçleri
• Teknoloji destekli kişisel veri koruma
sistemi
• Veri yönetişimi
• Veri yönetimi
• Veri yönetişimi
• Anonimleştirme (dinamik/statik)
• Kişisel veri koruma programının
oluşturulması
• Yönetişim
• Politika ve prosedürler
• Tedarikçi yönetimi
• Süreç tasarımı ve düzenlemeleri
• Olay müdahale
• Performans yönetimi ve raporlama
6 | Kişisel verileri korumak artık mümkün mü?
• Organizasyon
• Önceliklerin belirlenmesi ve dönüşüm yol
haritasının hazırlanması
3
Düzenli kontroller ve güvence
• İç denetim desteği sağlanması
• Dış denetim ya da incelemeler
• Diğer güvence raporları
İletişim
Emre Beşli
EY Türkiye
Şirket Ortağı,
Danışmanlık Hizmetleri
[email protected]
+90 212 315 30 00
Alper Karaçar
EY Türkiye
Şirket Ortağı,
Orta ve Güney Avrupa ve Türkiye
BT Danışmanlık Hizmetleri Lideri
[email protected]
+90 212 315 30 00
Mehmet Küçükkaya
EY Türkiye
Şirket Ortağı,
Vergi ve Hukuk Hizmetleri
[email protected]
+90 212 315 30 00
Ümit Yalçın Şen
EY Türkiye
Direktör,
Siber Güvenlik Hizmetleri Lideri
Danışmanlık Hizmetleri
[email protected]
+90 212 315 30 00
Kişisel verileri korumak artık mümkün mü? | 7
EY | Assurance | Tax | Transactions | Advisory
EY Hakkında
EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlık
hizmetlerinde bir dünya lideridir. Anlayışımız ve kaliteli hizmetlerimiz
dünya ekonomisi ve sermaye piyasalarında güvenin oluşmasına katkıda
bulunmaktadır. EY, güçlü yönetim ekibiyle tüm paydaş gruplarına verdiği
sözleri yerine getirmekte ve bu şekilde çalışanları, müşterileri ve içinde yer
aldığı diğer çevreler için daha iyi bir çalışma hayatı oluşturulmasında
önemli bir rol üstlenmektedir.
EY adı küresel organizasyonu temsil eder ve Ernst & Young Global Limited’in
her biri ayrı birer tüzel kişiliğe sahip olan, bir veya daha çok, üye firmasını
temsil edebilir. Sınırlı sorumlu bir Birleşik Krallık şirketi olan Ernst & Young
Global Limited müşteri hizmeti sunmamaktadır. Daha fazla bilgi için lütfen
ey.com adresini ziyaret ediniz.
© 2016 EY Türkiye.
Tüm Hakları Saklıdır.
Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe, vergi veya diğer profesyonel
hizmetler alanında geçerli bir kaynak olarak kullanılması amacıyla hazırlanmamıştır. Belirli bir konuya
ilişkin olarak ilgili danışmana başvurulmalıdır.
ey.com/tr
vergidegundem.com
facebook.com/ErnstYoungTurkiye
instagram.com/eyturkiye
twitter.com/EY_Turkiye