Veri Koruma Otoritelerinin Biyometrik Veriye Bakış Açılarına Dair Değerlendirme

Günümüzde ICO (İngiliz Veri Koruma Otoritesi), CNIL (Fransız Veri Koruma Otoritesi) gibi birçok Veri Koruma Otoritesi, biyometrik erişim kontrollerinin kullanımını düzenleyen model yönetmelikler yayınlıyor. GDPR tanımına göz atacak olur isek, ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir; tanımı ile karşılaşırız.

Birçok kişisel veri öğesinin aksine, biyometrik veriler (bir kişinin, parmak, avuçiçi izleri ve el geometrisi, retina, iris, yüz taraması,  DNA bilgisi gibi) benzersizdir ve çalınması veya başka bir şekilde ele geçirilmesi durumunda kötüye kullanımdan kaçınmak için değiştirilemez özellikere sahiptir. Daha da ötesi; GDPR tanımındaki ‘davranışsal özellikler’ için, ICO’nun verdiği, davranışsal biyometrik tanımlama teknikleri örnekleri arasında; klavye vb tuş vuruşu analizi; el yazısı imza analizi; yürüyüş analizi; ve bakış analizi (göz izleme) gibi uç örnekler de yer almaktadır.

NŞA’da, tüm biyometrik veriler, bir bireyin kimliğinin tanımlanmasına izin verdiği veya bunu teyit ettiği için kişisel veridir. Biyometrik veri, özellikle “gerçek bir kişiyi benzersiz bir şekilde tanımlamak amacıyla” işlendiğinde de özel nitelikli kişisel (özel kategori) veriler sınıfına girer. Bir kişinin biyometrik  verisini;  kişinin hakkında bir şeyler öğrenmek, kimliğini doğrulamak, erişimini kontrol etmek, hakkında bir karar vermek veya herhangi bir şekilde farklı muamele etmek için kullanıyorsanız, GDPR 9.Maddeye (Özel kategorilerdeki kişisel verilerin işlenmesi maddesi) uymanız gerekir. Mamafih, tabii ki öncesinde bu tip veri kullanımlarının hukuki zemine oturtulması gerekliliği, veri koruma yasalarının doğası gereğidir.

Organizasyonların erişim kontrolü için kişilerin biyometrik verilerinin toplanmasının ve kullanımının, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabileceği bir gerçektir. Bunun ışığında, genel kabul, herhangi bir biyometrik erişim kontrolünün uygulanmasından önce işveren / veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (DPIA/VKED) yapılmalı ve mesela CNIL’e göre bu değerlendirme az üç yılda bir güncellenmelidir.

Bu bağlamda organizasyonlar, biyometrik veri işlerken bazı hususları göz ardı etmemesi gerekmektedir.

Biyometri kullanımının gerekçelendirilmesi:

CNIL Model Yönetmeliğini incelediğimizde, işverenlerin biyometri kullanım gerekçelerini; işyerinin spesifik ve özel durumlarına (örneğin, tehlikeli makinelerin/malzemelerin, yüksek değerli şeylerin, gizliği yüksek malzemelerin veya katı regülasyona tabi ürünlerin varlığı) dayalı ise bunları kanıtlamlarını ve neden diğer geleneksel kimlik doğrulama cihazlarının (örneğin, giriş kartları veya şifreler) kullanımlarının, ekosistemlerinde güvenlik açısından yeterli olmadığını gerekçelendirmelerini istiyor. Bu tür bir gerekçede; kimlik doğrulama için bir biyometrik özelliğin neden diğer opsiyonlara göre seçilme gerekliliği de dahil olmak üzere işveren tarafından açıkça belgelenmesi istenmektedir.

Bu tip yönetmelikler aynı zamanda, veri aktarımı ve depolama yöntemlerine bağlı olarak çeşitli biyometrik erişim kontrol sistem tiplerinin ve beraberinde gelen, biyometrik şablonların merkezi bir veri tabanında saklanmasına yönelik, veri güvenliği risklerinin genel hatlarını belirler. Yalnızca biyometrik şablon verilerin saklandığı merkezi veri tabanları içeren kritik ortamların, daha güçlü koruma gerektireceğinin altı çizilmektedir. Bunun sağlanamadığı aksi hallerde biyometrik veriler, bireyin münhasır mülkiyetinde bulunan bir ortamda (ör: kişiye tahsisli giriş kartı veya akıllı kartlar) tutulmalı; herhangi bir kalıcı kopyası, işveren ya da servis sağlayıcı tarafından saklanmamalıdır.

Güçlü veri güvenliğinin sağlanması:

Düzenlemeler, işverenlerin sağlam kurumsal ve teknolojik veri güvenliği prosedürlerini sürdürmelerinin birçok yolunu detaylandırmaktadır. Belirtilen güvenlik önlemleri; veri, organizasyon, donanım, yazılım ve bilgisayar kanalları ile ilgilidir ve işveren bu önlemlerin uygulanmasını, en az yılda bir kez denetle(t)melidir. CNIL Model Yönetmeliği aynı zamanda biyometrik veriler için maksimum saklama sürelerini de öngörmektedir. Örneğin, ham biyometrik veriler (fotoğraf veya ses kaydı gibi), ilgili sistemin yazılımı tarafından analiz edilebilecek bir biyometrik şablon oluşturabilmesine karşı, gerekenden daha uzun süre saklanamaz. Ayrıca, sonuçta ortaya çıkan biyometrik şablonlar şifrelenmeli ve bir çalışan artık o kuruluşta çalışmadığında nihai olarak silinmelidir. Model Yönetmeliği ayrıca, bir biyometrik kontrol cihazında bulunabilecek bireysel kişisel veri türlerini ve toplanabilecek log verisi türlerini de ana hatlarıyla belirtmektedir. ICO rehberlerinde, kişinin biyometrik verisinin sistemdeki kayıtlı verisi ile herhangi bir nedenden dolayı şablonlarla eşleşmeyen deneme veya hatalara ait verinin dahi, en kısa sürede imha edilmesi gerektiği ayrıntısına kadar yer verdiğini görürüz.

Veri Koruma Yasaları yükümlülüklerinin göz ardı edilmemesi:

Model Düzenlemenin ötesinde, GDPR kapsamına giren işverenler, hala herhangi bir biyometrik erişim kontrol sistemi ile ilgili olarak GDPR’nin ilgili hükümlerine uymak zorundadır. Bu uyumluluk, veri ihlali bildirim yükümlülüklerini, kayıt (loglar da dahil olmak üzere) tutma gereksinimlerini ve ilgili kişinin veri koruma haklarına uyumunu içerebilir. CNIL ve ICO özellikle, erişim kontrolü için biyometrik verilerin toplanmasının, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabileceğini kaydetmiştir. Bu yüksek risk ile orantılı olarak da bu tip verileri işlemenin yüksek seviyede koruma ve tedbir gerektirdiğini belirtir. Bunun ışığında, herhangi bir biyometrik erişim kontrolünün uygulanmasından önce işveren / veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (DPIA / VKED) yapılmalı ve en az üç yılda bir güncellenmelidir.

Bu çerçevede KVKK’nın da yukarda özetlediğimiz denetleyici otoriteler gibi biyometrik veriler ile ilgili daha ayrıntılı rehber, yönetmelikler yayınlayacağını ve kanun veya ikincil mevzuatında veri koruma etki değerlendirmesi (DPIA / VKED) yaklaşımının ilgili süreçlerde şart koşmasını öngörüyoruz.

Veri Koruma Etki Değerlendirmeleri (VKED/DPIA) ile Veri Koruma İlkelerini (GDPR ve KVKK) İlişkilendirmek ve Bir Checklist

İLKE NEDİR? VERİ KORUMA İLKELERİ NE İŞE YARAR?

Öncelikle “ilke” kavramını inceleyecek olur isek, “Davranış veya değerlendirme için rehber olan bir öneri veya değerdir” der sevgili Wikipedia.  Bir sistemin ilkeleri; kullanıcıları tarafından sistemin temel özellikleri veya sistemin tasarlanan amacını yansıtması olarak kabul görür ve bu ilkelerden herhangi biri göz ardı edilirse, sistemin etkin çalışması veya kullanılması imkansız hale gelir. Bu bağlamda ilkeler; standartları, hakları ve yükümlülükleri yönetirler ve ilgili kanunlar için de mihenktaşları, sütunlardır dersek yanlış olmaz kanaatimce. Bir sütunun zarar görmesi veya yıkılması da, üzerinde taşıdığı çatıyı, kanunu ve dolayısıyla korumaya çalıştığı toplumsal düzenleyici unsurları da sakatlayacaktır.

Principles help…

Federal trade Commision (FTC); kişisel verilerin gizliğinin (mahremiyetin) korunmasının temel ilkeleri ancak onları uygulayacak ve kontrol edecek bir mekanizma varsa etkili olabilir der. Veri Koruma İlkeleri’nin neler olduğuna aşağıda yer alan tabloda yer veriyor olacağız. Öncesinde biraz daha analiz. Kişisel verileri korumanın amacı; sadece kişinin verilerini korumak değil, bu verilerle ilgili kişilerin temel hak ve özgürlüklerini de korumaktır. Örnek verecek olur isek, sağlık verilerinizin tutulduğu ana veritabanı hacklendiğini ve kan grubunuzun (ameliyatta cerrahların bilmesi ve buna göre karar alması gereken kronik rahatsızlığınız da olabilir) değiştirildiğini farz edelim, ve bundan habersiz olarak ilgili veriyi kullanacak hastanede ameliyata alındığınız zaman, sadece basit bir kişisel veriniz değil,  temel hak ve özgürlüklerinizden yaşama özgürlüğünüz de korunamamış ve tehlikeye girmiş olacaktır. Demek ki bu çatı ve sütunlar, sadece altlarında barındırdıkları değerli paketleri değil, aynı zamanda paketlerin sahibi olan insanları da yağmura, fırtınaya, saldırılara ve bilimum negatif olay ve düzensizliklere karşı koruyor.

Cordoba, SPAIN taken by @ Ercüment ARI

Bizim bu yazımızda odaklandığımız nokta ise, binada (sistemimiz) yapılabilecek tadilat, renovasyon ve eklemelerin (sistemlerimizdeki değişikliklerin veya yeniliklerin); koruyucu çatıyı (kanun/tüzük) taşıyan mihenktaşları ve sütunlarına (ilkeler) zarar vermemesi için müteahhitin (veri sorumlusu) ustabaşısının (bu yazı okuyorsanız muhtemelen veri koruma sorumlusu/uzmanı olarak sizsiniz) gözlem ve kontrolleri (etki değerlendirmeleri) ve bildirim ile müdahalesini (VKED/DPIA değerlendirme sonuçları ve aksiyonları) resmetmeye çalışmaktan ibarettir.

VERİ KORUMA ETKİ DEĞERLENDİRMESİ (VKED/DPIA) NEDİR?

GDPR’ın 35 ve 36. Maddeleri uyarınca; özellikle yeni teknolojilerin kullanıldığı veri işleme çalışmalarının gerçek kişilerin temel hak ve özgürlükleri için yüksek riskler doğurması olasılığına yönelik, Veri Sorumlusu’nun yapması gereken değerlendirmedir. Ek olarak, anlamı ve rolü, Resital 84 tarafından şu şekilde açıklığa kavuşturulmuştur; veri sorumlusu, özellikle bu riskin kökenini, niteliğini, özelliğini ve önem derecesini değerlendirmek için bir veri koruma etki değerlendirmesinin (VKED/DPIA) yürütülmesinden sorumlu olmalıdır.

Bu değerlendirme (VKED/DPIA), kişisel verilerin korunmasını sağlamak, GDPR’a uygunluğun gösterilmesi ve kişilerin verilerine ve dolayısı ile kendilerine yönelik negatif etkileri minimuma indirme hedefi güdülerek riskleri minimize etmek amacıyla, önlemleri/kontrolleri kapsayacak şekilde gerçekleştirilmelidir.

Fotoğraftaki makus talihli bodybuilder gibi, bünyeye enjekte ettiğimiz bileşenin etkisini iyi değerlendirmezsek, sonuçlar bünye bakımından pişmanlık ve vehamet ile sonuçlanabilir.

VKED/DPIA’nın, bir program ya da sistemin geliştirilme süreci boyunca kişisel verilerin gizlilik risklerini tanımlamak ve değerlendirmek için yapılan kişisel veri gizlilik/mahremiyet etki değerlendirmesi (MED/PIA) ile ortak paydaları mevcuttur.

GDPR’a göre hazırladığım DPIA iş akışını, GDPR sunumlarımdan birinden çekerek bilginize sunuyorum;

DPIA İş Akışı

VKED/DPIA sürecinde, aşağıdaki değerlendirme soruları, yapılacak değişiklik ve/veya projenin, ilgili kanun ve regülasyonlar çerçevesinde risklerin ne ve nerede olduğunu belirlemenize yardımcı olması amacı ile hazırlanmıştır.

 

VERİ KORUMA İLKELERİ

(GDPR ve KVKK)

 

 

VERİ KORUMA ETKİ DEĞERLENDİRMELERİ

(VKED/DPIA) ÖZDEĞERLENDİRME

 

GDPR

 

Hukuka, dürüstlük kurallarına uygun ve ilgili kişiye karşı şeffaf işleme

 

[Hukuka ve Dürüstlük Kurallarına Uygunluk ve Şeffaflık İlkesi]

 

 

Kişisel Veriler kazara kayıp, hasar veya imhaya karşı güvence altına alınmalıdır. Veri işleme yasal olmalıdır, şöyle ki; İlgili kişi her hizmete dair veri işleme için açık onay vermelidir, Gerçekleştirilecek işleme sözleşmenin uygulanması için gereklidir, yasal bir zorunluluğa uymak için işleme gerekli olmalıdır.

 

İlgili kişiye ilişkin kişisel veriler, hukuka uygun, adil ve şeffaf bir şekilde işlenmelidir.

 

·       VKED/DPIA gerektiren projenin amacını belirlediniz mi?

·       Bireylere (ilgili kişilere), kişisel verilerinin kullanımı hakkında nasıl bilgi vereceksiniz?

·       Veri koruma aydınlatma bildirimlerinizi değiştirmeniz gerekir mi?

·       3rd parti tedarikçi kullanacak iseniz ilgili kişilere bildirim sürecini değerlendirdiniz mi?

·       Yurtdışına veri transferi yapacak iseniz ilgili kişilere bildirim sürecini değerlendirdiniz mi?

·       Yeni değişiklikler için hangi hukuki işleme koşullarının geçerli olduğunu belirlediniz mi?

·       Kişisel verilerin işlenmesine ilişkin hukuki dayanağınız (açık) rıza ise, bu rızayı nasıl toplayacak ve verilmemesi ya da geri çekilmesi durumunda nasıl hareket edeceksiniz?

 

KVKK

 

Hukuka ve dürüstlük kurallarına uygun olma

 

Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir

 

 

GDPR

 

Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi

 

[Amaçla Sınırlılık İlkesi]

 

Yalnızca belirtilen amaç için kişisel verilerin toplanmasını ve işlenmesini gerektirir. Kişisel verilerin başlangıç sınırından daha fazla işlenip işlenemeyeceğini belirlemek için; amaçlar, verinin doğası, toplama yöntemi, ikincil kullanımların sonuçları ve güvenlik tedbirleri arasındaki bağlantıları aramak için bir uyumluluk testi kullanılması gerekir.

 

Kişisel veriler, belirli, açık ve meşru bir amaç dışında toplanmamalı ve toplandıktan sonra, toplanma amacına aykırı bir şekilde ileri işlemeye maruz bırakılmamalıdır.

 

·       Proje planınız; kişisel verilerin işlenmesi için tüm amaçları içeriyor mu? (projede amacını içermeyen veya aşan kısım kaldı mı?)

·       Proje kapsamının genişlemesi durumunda, potansiyel yeni amaçlar belirlediniz mi? (az çok falliyetin ne olduğu ve kapsamının ve etkileşimlerinin nereye doğru gideceği tahmin edilebilir)

·       Gelecekteki KV işlemelerine ilişkin değişiklik planlamaları için, uygun incelemenin yapılmasını sağladınız mı? (Bu değişikliklikler, proje başlangıcındaki hedefleri, hedef kitleyi, veri türlerini, etkilerini ne kadar değiştirecek? Örnek, AI gibi ileri işleme kullanılacak ise bunun kanun/tüzüğe uygun kurgulanmasının ve ilgili kişilere bildiriminin düzgün, açık ve net yapılmasının değerlendirilmesi)

 

KVKK

 

Belirli, açık ve meşru amaçlar için işlenme

 

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;

• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,

• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,

• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.

 

 

GDPR

 

Veri işleme için gerekli olduğu kadar, ilgili ve ölçülü biçimde işleme

 

[Veri Minimizasyonu İlkesi]

 

yalnızca işleme amacı için ilgili ve gerekli olan kişisel verilerin işlenmesi anlamına gelir.

 

Kişisel verileri işleme faaliyeti, işlenme amacına bağlı olarak olarak bağlantılı, ölçülü ve sınırlı olmalıdır.

 

·       Verinin kalitesi; kullanıldığı amaçlar için, yeterince iyi midir, yeni resimde modifikasyon veya kaynak gerekecek midir? (bütünlük, tamlık, geçerlilik, tutarlılık, güvenilebilirlik sağlıyor mu?)

·       Projenin ihtiyaçlarından taviz vermeden, hangi kişisel verileri kullanamayabilirsiniz?

 

KVKK

 

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

 

İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir.

 

 

GDPR

Doğru olarak, gerekli hallerde işleme ve güncel olma

 

[Doğruluk İlkesi]

 

Eksiksiz ve güncel kişisel verilerin işlenmesini içerir.

 

İşlenen kişisel veriler doğru olmalı,  gerektiğinde, güncel tutulmalı ve yanlış olan kişisel verilerin (işlenme amacına bağlı kalarak) gecikmeden silinmesini veya düzeltilmesini sağlamak için makul adımlar atılmalıdır.

 

·       Yeni yazılım temin ediyorsanız, gerektiğinde kişisel veriler üzerinde değişiklik yapmanıza izin veriyor mu?

·       Yazılım tedarikçisinin değerlendirilmesi yapıldı mı? (referanslar, kullandığı standartlar, Repütasyon ceza veya negatif, finansal sürdürülebilirliği, kısıtları ve bağımlılıkları, yurtdışı veri transferi (cloud), güvenlik)

·       Bireylerden veya diğer kuruluşlardan elde edilen kişisel verilerin doğruluğunu nasıl teyit ediyorsunuz?

·       Kişisel verilerin doğruluğu ile ilgili sorgular için ilgili kişileri kime yönlendirirsiniz? Bu kişi; yükümlülükleri, hızlı ve etkin bir şekilde yerine getirmede ne kadar iyi desteklenmektedir?

 

KVKK

Doğru ve gerektiğinde güncel olma

 

Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir.

Veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır.

 

 

GDPR

 

Kişisel verinin işleme amacı için gerekli olandan daha uzun süre tutulmaması

 

[Saklamanın Sınırlandırılması İlkesi]

 

yalnızca amaç için ilgili ve gerekli olan kişisel verileri korumak anlamına gelir.

 

kişisel veriler; ilgili kişinin kimliğinin tespit edilmesine izin verecek şekilde, işlenme amacının gerektirdiği süreyi aşacak şekilde tutulamaz.

 

·       İşleyeceğiniz kişisel veriler için ne kadar saklama süreleri gereklidir?

·       Saklama sürelerinize uygun olacak şekilde bilgileri silmenizi sağlayacak yazılım tedarik ediyor musunuz? Bu yazılım, tüm kişisel verileri mi, yoksa istatistik gibi diğer amaçlar için gerekli bilgileri saklayacak şekilde sadece ilgili kişinin kimliğini belirleyici verileri mi siler?

·       Kimlik belirleyici özellikler/nitelikler kaldırılırsa, bu her ne durumda olursa olsun kimliğin belirlenmesini önler mi?

·       3rd parti kullanacak iseniz iş devam ederken transfer ve silme, iş bittikten sonra geri teslim, imha ve sır saklama vb yükümlülükleri sözleşmelerde HSA’lar ve rücu mekanizmaları ile sıkıca kontrol altına aldınız mı?

 

 

KVKK

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

 

Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir.

 

GDPR

İşlemenin güvenli olması gerekmektedir

 

[Bütünlük ve Gizlilik İlkesi]

 

kişisel verilerin güvende olmasını gerektirir.

 

İşleme faaliyeti; uygun teknik ve idari tedbirler kullanılarak, yetkisiz veya hukuka aykırı işlemenin yanı sıra kazara kayıp, imha veya zarar görmesi durumlarına karşı korunma da dahil olmak üzere, kişisel verilerin güvenliğini sağlayacak biçimde gerçekleştirilmelidir.

 

  • İşlenmesi amaçlanan tüm kişisel verilerin güvenliğini gözden geçirdiniz ve belgelediniz mi?
  • Yeni sistemler, belirlediğiniz güvenlik risklerine karşı koruma sağlıyor mu?
  • Personelin yeni bir sistemin nasıl güvenli bir şekilde çalıştırılacağını bilmesini sağlamak için hangi eğitim ve talimatlar gereklidir?

·       3rd parti kullanacak iseniz idari ve teknik tedbirleri ayrıntılı olarak ilettiniz mi? Standart, belgelendirme, denetim, transferin güvenli kanallardan ve teyitli mekanizmalar ile yapılması, ÖNKV için extra güvenlik maddelerini sözleşmelerde HSA’lar ve rücu mekanizmaları ile sıkıca kontrol altına aldınız mı?

·       3rd parti kullanacak iseniz acil durum, kesinti ve ihlal gibi olağanüstü duurmlarda bildirim zamanı, RTO/RPO taahhütleri, izolasyon, BCP veya DRP taahütleri

 

 

KVKK

 

GDPR

 

Veri kontrolörünün sayılan tüm temel prensiplerden sorumlu olması (hesap verebilirlik prensibi)

 

[Hesap Verebilirlik (Yükümlülük) İlkesi]

 

 

Yükümlülük; kişisel verileri sorumlu bir şekilde işlemek ve yasalara uygunluğunun kanıtlanması anlamına gelir.

 

Veri Sorumlusu, veri koruma ilkelerine uymaktan sorumludur ve bunu gösterebilmelidir.

 

  • Tüm kişisel veri işleme faaliyetleriniz ve ilgili uyumluluk durumunuzu belgelediniz mi?
  • Bu belgelerin düzenli olarak gözden geçirilmesini sağlıyor musunuz?
  • Bu kayıtlar, üst yönetim / yönetim kurulu üyeleri de dahil olmak üzere tüm ilgili personele açık mı?

 

KVKK

 

Drucker Köşesi

“Eğer beşten fazla hedefiniz varsa, hiçbirine sahip değilsiniz demektir.” 
Peter Drucker

GDPR, Avrupa Birliği Dışındaki Şirketlerin Tabiiyeti ve Cloud

Bu yazımızda; varlığı da yokluğu da sorun olmaya başlayan Bulut hizmetlerini, AB dışında bulut ve diğer hizmet veren şirketleri ve GDPR ile ilişkisini inceleyeceğiz.

Aslında fark etmediğimiz ve belki de kendilerinin de fark etmediği kadar Türk şirketi internet, mobil uygulama vb üzerinden Avrupa Birliği üye vatandaşlarına mal ve hizmet sunumu yapmaktadır hatta bazen yurt dışına verilen hizmet yerel profile verilen hizmetten daha değerli hale bile gelebilmektedir. Mayıs ayında aşil tendonu ameliyatım sonrası istirahatte iken şehir dışından gelen telefon, benim de açıkçası pek duymadığım ve bilmediğim bir organizasyondan idi. Son derece iyi niyetli ve saygılı yöneticilerinden birisi bir GDPR ve danışmanlığı ile ilgili bilgi edinmek istiyordu. Şirketin ekosistemini öğrenmek için sorduğum bazı sorular sonucunda hiç de bilmediğim duymadığım şirket ve hizmet alanları olduğunu, çoktan Viyana kapılarını geçtiğimizi anladım girişimci kafalarımız ile… Şirket bir online dating şirketi idi, yurt dışına ve yurt içine hizmet veriyordu. Ve aynı Mayıs ayı GDPR’ın hayata geçme termini nedeni ile yöneticiler tarafından da doğal olarak uyum çalışmaları yapmak istiyorlardı. Bu yönleri ile takdire şayanlardı ama yerel veri koruma kanununa uyum ile ilgili çalışmalarının ne aşamada olduğunu ve öncelikle bu kanunumuza uyum sağlanması gerektiğini söylediğim zaman, domestic profillerini feda edebileceklerini ve yerel hizmet yelpazelerini sonlandırma düşünceleri ile şaşırtmışlardı beni… Konuşmanın ileri safhaları, Veri Sorumlusu ve İşleyen yükümlülüklerinin sadece hizmet alanları ile sınırlı olmadığı, çalışanların, adayların, tedarikçi çalışanları vb. profillerin de kanunumuza uyum mükellefiyeti doğurduğunu anlatarak ilerledi ve değerlendireceklerini söyleyerek görüşme sonlandı. Kim bilir bu gibi kaç tane şirketimiz var, acaba diğer şirketlerimizde de bu kadar farkındalık var mıdır bilmiyorum ama Avrupa Birliği gayet farkında ve birlik vatandaşlarına ait kişisel verileri koruma adına GDPR’da aşağıda belirtilen maddeler ve Weltimmo tipi davalar bu işi ne kadar ciddiye aldıklarının göstergesidir.

Bulut bilişime döner ve tanımından başlayacak olur isek;

Bulut Bilişim”i bilgi teknolojileri servislerinin internet üzerinden alındığı durumlar olarak özetleyebiliriz. Bu servisler, organizasyonun kendi “özel bulut”u ya da üçüncü taraf tedarikçiler aracılığı ile temin edilebilir. Servisler arasında, yazılım, altyapı (ör: grup sunucu yapıları), hosting ve platformlar (ör: işletim sistemleri) sayılabilir. Günümüzde nerelerde kullanmıyoruz ki bulutu? web ortamındaki mail’lerden kurumsal veri depolama çözümlerine kadar birçok uygulama olarak karşımıza çıkıyor. Bunlar aşağıdakiler ile sınırlı olmamak üzere farklı tiplerde servis modelleri olarak hayatımıza girdi:

·      Servis olarak altyapı (IaaS – Infrastructure as a Service ): Bu yapı, hizmet sağlayıcının yalnız uzaktan erişim ve kullanım olanağı sağladığı fiziksel bilişim kaynaklarıdır. İşletim platformu ve tüm uygulamaların hem sağlanması hem de kurulumu servis edinen sorumluluğundadır.

·      Servis olarak platform (PaaS – Platform as a Service): Bu hizmet yapısında tedarikçi, işletim sistemlerine uzaktan erişim ve kullanım olanağının yanı sıra temel donanımı da sağlar, ancak, uygulamaların sağlanması ve kurulumundan hizmet alıcı sorumludur.

·      Servis olarak yazılım (SaaS – Software as a Service): Bu yapıda ise, hizmet sağlayıcının tümüyle altyapı, platform ve uygulamayı sağladığı durumlardır.

Bu servisler genellikle aşağıda sayılan genel özelliklere sahiptir:

·     Güvenlik önlemleri, lokasyon ve işleme için uygulanabilir servis standartlarını tedarikçi belirler.

·      Müşteri verileri, kapasiteye bağlı olarak servis sağlayıcının altyapısı içinde dağıtıktır.

·      Servis altyapısı ve kaynakları, tedarikçinin müşterileri arasında paylaşılır ve birden fazla ülkede konumlandırılmış olabilir.

Geleneksel yaklaşımda bir kuruluşun işletim sistemi, programları ve verileri ya bilgisayarlarında ya da kuruluşun kendi sunucularında bulunur. Bulut sistemleri bu modeli önemli ölçüde değiştirmiştir. Söz konusu sistem, program ve/veya veriler, dünyanın herhangi bir noktasında, kendi kullanıcılarına özel olarak kuruluşun kendisi tarafından ya da bir servis sağlayıcı tarafından yönetilebiliyor.

Bulut bilişim konusunda an itibarı ile AB’e yönelik düzenleyici herhangi bir yasama aracı bulunmasa da (devam eden süreçler mevcut, ör. CISP ve EDPB görüşmeleri) teknolojik açıdan tarafsız olan Genel Veri Koruma Tüzüğü (GDPR), veri sorumluları için yükümlülükler tesis ediyor.

İlişkili Regülasyon Hükümleri ve Yaklaşımlar

Şimdi GDPR’a göz atalım ve bulut ile ilişkisine değinelim:

Madde 3.1: Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesi için uygulanır.

Madde 3.2: Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya işleyici tarafından işlenmesi için uygulanır:

Madde 3.2.a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya

Madde 3.2.b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

Bu hükümlerin Madde 3.1’i için, GDPR’nin yerini aldığı Veri Koruma Direktifi 95/46/EC içeriğinde de kapsamda idi. Ancak, Avrupa Birliği Adalet Divanının yakın tarihli davalarında bu koşulu çok geniş olarak yorumladı. Divan; Weltimmo Davasında, söz konusu ‘kurulmuş’luğu (establishment) nelerin oluşturduğu konusunda önemli bir yön belirledi ve bu durumun kuruluş düzenlemelerinin istikrarlılık derecesine ve faaliyetlerinin etkin biçimde uygulanıp uygulanmadığına dayalı olarak yorumlanacağını ifade etti. Weltimmo şirketi, Macaristan‘da bir web sitesi üzerinden emlak komisyonculuğu hizmeti veren bir Slovak şirketiydi. Avrupa Birliği Adalet Divanı, aşağıdaki koşullara sahipliği ışığında Weltimmo’nun Direktif bağlamında Macaristan’da bir ‘kuruluş’ olduğunu tayin etti:

·      Macaristan’da bir banka hesabının bulunması.

·      Macaristan’da bir posta kutusunun bulunması;

·      Macaristan’a yönelik ve Macar dilinde oluşturulmuş bir web sitesinin bulunması;

·      Mahkeme işlemlerinde temsil ve borç tahsilatı amaçları için Macaristan’da bir temsilcisinin bulunması;

Dolayısı ile bu dava, bir Avrupa Birliği üye ülkesindeki minimal faaliyetlerin bile Avrupa veri koruma yasaları bağlamında bir kuruluş, tesis olarak değerlendirilmesi için yeterli olabileceğini teyit etmiştir.

Yine başka bir Avrupa Birliği Adalet Divanı davasında AB dışındaki şirketin muallak ve AB vatandaşlarını hedeflemediğini öne sürdüğü faaliyetleri ile ilgili olarak verdiği kararda (ki bence şirketi yakaladığı muazzam nokta atışları var); AB müşterilerini hedefleme niyetinin aşağıdaki indikatörler ile belirli olduğunu karara bağlamıştır.

  • ‘patent’ kanıtı: bir AB üye devlet içindeki kişilerin erişimini kolaylaştırmak amacıyla bir arama motoruna para ödenmesi
  • (muhtemelen birbirleriyle kombinasyon halinde) aşağıdakileri içeren diğer faktörler: İlgili faaliyetin “uluslararası niteliği” (örneğin, turistik faaliyetler); uluslararası kodlu telefon numaralarının tahsisi; tüccarın kurulu olduğu ülke dışında başka bir üst alan adının (domain) kullanılması ve alınması (örneğin, .de veya .eu alan bir ABD kuruluşu); AB üye devlet dillerinde kullanım kılavuzu ve rehberler; “çeşitli Üye Devletlerde yerleşik müşterilerden oluşan uluslararası müşteri” tanımlarının geçtiği sözleşmeler

Ayrıca son içtihat kanunları, kişisel veri işleyen AB dışından bir veri sorumlusu ile AB merkezli bir kuruluş arasındaki bir ekonomik bağlantının, veri sorumlusunun faaliyetlerinin Tüzük’e tabi olacağı anlamına geldiğini de gösteriyor.

Madde 3 koşullarının Direktif’e dahil edilmemiş olan ikinci kolu, Avrupa veri koruma yasalarının uygulanabilirliğinde önemli bir gelişmeyi temsil ediyor. Bu sayede veri işleyen ya da veri sorumlusu, işlediği kişisel verilerin, AB’de bulunan bireylerin davranışlarının izlenmesi ya da bu kişilere hizmet veya ürün sunulmasına ilişkin olması halinde, bir AB kuruluşu olsun ya da olmasın, Tüzük kapsamında değerlendiriliyor.

Bu bağlamda bulut servis sağlayıcıları; bu koşullardan herhangi birinin, tüm veri işleme faaliyetlerini ya da bir kısmını Avrupa veri koruma yasaları kapsamına getirip getirmediği konusunu dikkate almak durumundalar. Bu işleme faaliyetleri, doğrudan Tüzük’e tabi olmasa bile müşterilerinin Tüzük’e tabi olması halinde, müşterilerin bulut servis sağlayıcısına, kişisel verilerin kullanımı için aynı şartları içeren sıkı veri işleme sözleşmeleri imzalatmaları zorunluluğu geliyor.

Nihayetinde düşünelim; biz veya bir AB vatandaşı kişileri verilerimizi bir organizasyona belirli hukuki zeminlere oturması gereken işleme süreçleri için emanet ediyoruz. Organizasyon da; gerek kendi gerek İlgili Kişi’lerin menfaati için teknolojiyi kullanarak, tarafların hayatını kolaylaştıran “bulut hizmetleri”ni sunan bulut servis sağlayıcılarına emaneti emanet ediyor. Bu bağlamda kullanılan teknolojinin karmaşıklığını, işleyişini (fail over, load balance, disaster restorations, security concerned infrastructures,vb) ve devimine ait kontrollerini, TAM MANASI ile ne bizim ne de emanet ettiğimiz ve hesap sorulacak (veri sorumlusu) olan ilk şirketin bilmesine olanak görünmüyor. Eee zaten oturmuş bir standart da henüz yok, bu durumda elleri kuvvetlendirecek, kontrol bağlamında elimizde sahip olabildiğimiz son ipin ucu ve yükümlülük paratoneri olabilecek yegane geriye kalan bağlayıcı şey, Veri Sorumlusunun bulut hizmet sağlayıcısı ile yaptığı sözleşmelerdir kanaatindeyim.

Bir sonraki yazımızda GDPR yaklaşımı ile Bulut Bilişim hizmeti alımında en önemli nüanslardan olan;

  • Bulut bilişim firmaları ile yapılan sözleşmelerde nelere dikkat edildiği ve
  • Bulut bilişim kullanımı ile uluslararası veri transferlerinde regülasyonlar ile uyum sağlamak için hangi hukuka uygun yolların kullanıldığına

değinmeye çalışacağım.

Sağlıcak ve Esenlikle…

DRUCKER KÖŞESİ


İnsanlarla İlgili Doğru Yargıda Bulunma:

“İnsanlarla ilgili kararlarınızı önceliğiniz haline getirin.
Bu kararlar için daha çok zaman ayırın, böylece vaktinizi pişman olmakla harcamazsınız.”

Veri Koruma Kanunları Kapsamında Güvenlik Kontrolleri


Artık, size emanet edilen kişisel verileri; “bir gün okurum, şöyle kenarda dursun…” tadındaki e-booklarınızla bir tutamazsınız.

  • AJANDA
    • GİRİŞ
    • İşletmeniz için tehditleri ve riskleri değerlendirin.
    • Bilgi teknolojileri mi kullanıyorsunuz Siber Güvenlik Unsurları ile Uyumlu Olun.
    • Verilerinizi hareket halindeyken ve ofiste fiziksel olarak koruyun.
    • Verilerinizi bulutta güvenli tutun
    • Verilerinizi yedekleyin ve stratejiniz olsun
    • Personelinizi eğitin
    • Sorunlara dikkat edin 
    • Refleks Geliştirin: Ne yapmanız gerektiğini bilin, hazırlıklı olun
    • Veri minimizasyonu yapın
    • Yüklenicinizin olması gereken şeyi yaptığından emin olun

Bu makalemizde gerek lokal gerekse global veri koruma yasalarının olmazsa olmazlarından, “Güvenlik Kontrolleri”nin küçük ve orta ölçekli organizasyonlarda (SME) da nasıl uygulanabileceğine değineceğiz.

KVKK ve GDPR kapsamında firmaların, topladıkları ve kullandıkları kişisel verileri hukuka aykırı olarak erişilmesini, işlenmesini engellemek ve uygun güvenlik kontrolleri ile koruma yükümlülüğü bulunmaktadır. Kişisel verilerin yanlışlıkla ya da bilinçli olarak ihlal edilmesine karşı korunması söz konusu yükümlülük kapsamına girmektedir.

Bugüne kadar verilerin korunmasına yönelik yapılması gerekenler ve alınması gereken önlemler konusu birçok kereler yazılıp çizildi. Özellikle büyük ölçekli firmaların veri koruma kanunları öncesinde de değerli verilerini koruma gereksinimleri nedeniyle, bu konuda hazırlıklı olduğu tahmin edilebilir ancak kanunlardaki tanımı ile “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”nin korunması gerekliliği küçük ve orta büyüklükte işletmelere (KOBİ/SME) de uymaları gereken birtakım sorumluluk ve yükümlülükler getirmektedir. Zira bu verilerin korunmasının herhangi bir şekilde ihlali durumunda bu tip firmaların da, yasa kapsamında ceza alabileceği gibi itibar kaybına da uğrayabileceği aşikardır. Kişisel verileri koruma kanunları ile uyumluluk bağlamında; BT sistemlerini güvenli ve emniyetli bir şekilde tutmak için çeşitli büyüklükteki organizasyonların genel olarak uygulayabileceği (bunlarla sınırlı kalmamak üzere) 10 temel başlığı ele almak isteriz. 

1.  İşletmeniz için tehditleri ve riskleri değerlendirin. 

Yapılması gereken ilk çalışma, bünyeye göre ilaç prensibi veya atılan taşın ürkütülen kurbağaya değip değmeyeceği meselesidir yani uygulanması ihtiyaç duyulan güvenlik düzeyinin belirlenmesidir. Öncelikli olarak yapılan işe ve kullanılan kişisel verilere yönelik risk ve tehditler; envanteri çıkarılmış veriler üzerinde gerçekleştirilen tüm işlemler dikkate alınarak belirlenmelidir. Kişisel verilerin toplanması, saklanması, kullanılması ve imhası esnasında maruz kalabilecekleri farklı risk ve tehditlerden söz etmek mümkündür. Uygulanacak güvenlik düzeyinin tespitinde bu konuların yanı sıra kişisel verilere ilişkin parametreler de dikkate alınmalıdır. Kişisel verilerin değeri, hassasiyeti, gizlilik derecesi ve ihlali durumunda ilgili kişilerin etkilenme olasılığı bulunan zararlar, güvenlik düzeyinin belirlenmesinde firmalara yol gösterecektir. 

2. Bilgi teknolojileri mi kullanıyorsunuz (kullanmayan kaldı mı?) : Siber Güvenlik Unsurları ile Uyumlu Olun.

Örnek verecek olursak; Microsoft boşu boşuna onlarca hatta yüzlerce maaşlı mühendis çalıştırıp yama çıkarmaz, teşbihte hata olmasın, ortada kanla yazılmış acılı dersler veya basına yansımamış zararlar vardır.Benzer şekilde IT sistemleri kullanıyor iseniz, siber güvenliğin olmazsa olmazlarının sağlanmasına dikkat ediniz, binlerce firma siber güvenlik ürünlerini boşuna üretmiyor. Kötü haber ise ne yazık ki herhangi bir organizasyonu her yönüyle koruma altına alacak (terzi usulü) tek bir güvenlik ürün kalıbı bulunmamaktadır. Günümüzde veri güvenliğinin sağlanması için önerilen yaklaşım, birbirini tamamlayan bir dizi güvenlik kontrolünü kullanmaktır, ancak birinci maddede bahsettiğimiz uygun güvenlik düzeyini korumak ve yaşatmak için sürekli destek gerekir.

Derinlemesine katmanlı güvenlikte ilk savunma hattı, internetten gelecek izinsiz girişlere karşı oluşturulmalıdır. Güçlü, iyi konfigüre edilmiş ve patchlenmiş bir güvenlik duvarı, sisteme yapılacak sızıntıların önüne geçebilecek, internet gateway’i ise içerideki kullanıcıların uygunsuz web sitelerine girmelerini veya güvensiz online servisleri kullanmalarını önleyebilecektir.

Alınması gereken bir başka tedbir ise güvenli yapılandırma (konfigürasyon)dır. Tüm donanım ve yazılımların etkin bir koruma için güvenli bir yapılandırmaya, konfigürasyona ihtiyacı bulunmaktadır. Zafiyetlerin azaltılması için kullanımı sonlandırılmış servis ve yazılımların kaldırılması önerilmektedir. Kullanılmayan yazılım ve servislerin kaldırılması, güncel tutulmaya çalışılmasından çok daha verimli bir yaklaşım olacaktır. Ayrıca varsayılan şifrelerin değiştirilmesi de unutulmamalıdır.

Güvenliğin sağlanması, erişimin kontrol altına alınmasını ya da sınırlandırılması da gerektirir. Kişisel verilere yalnız izin verilen kullanıcılar ya da cihazlar tarafından erişilmesi ve bunların parola ile korunması kişisel verilere erişim alanlarına giden yolların kontrolünü de sağlayacaktır. Bu noktada kaba kuvvet (brute force) ataklarını önleme amacıyla güçlü ve kompleks parola kullanımı önem kazanmaktadır. Buna ek olarak hatalı giriş denemelerinin sayıca kısıtlanması, alertler üretilmesi ve düzenli olarak parola değişiminin zorunlu tutulması, online saldırganların işini önemli oranda zorlaştıracaktır. Tabi ki işten ayrılan kişilerin parolalarının iptal edilmesi, bu kişiler ayrıcalıklı kişiler ise kontrollerindeki ve potansiyel erişimlerindeki tüm sistemlerin şifrelerinin değiştirilmesi konusu da atlanmamalıdır.

Veriler karşısındaki bir başka tehdit ise zararlı yazılımlardır. Bu tür yazılımlara karşı anti-virüs ya da anti-malware yazılımları her ne kadar eski çözümler gibi görünse de yine bu temel ve yeni nesilleri de olan çözüm kategorileri ile koruması ve düzenli tarama yapılması ve buradan gelen ikazlara karşı tetikte bulunulması şarttır. Zira zararlı yazılımların hangi kaynaktan, ne zaman geldiği ya da geleceği belli olmamaktadır.

Güvenlik kontrollerinin son ayağının patch yönetimi ve yazılım güncellemeleri olduğu söylenebilir. Bilgisayar ekipman ve yazılımlarının sorunsuz çalışabilmesi ve güvenlik zafiyetlerinin bertaraf edilebilmesi için düzenli bakıma ihtiyacı bulunmaktadır. Özellikle sıfır gün ataklarının önlenebilmesi zordur ama en az zarar ile atlatılabilmesi bir seçenektir ve bunun için güncellemelerin düzenli olarak gerçekleştirilmesi gerekmektedir. Aynı şekilde içsel geliştirilebilecek korelasyon kurguları ile anomali tespiti bu yönde proaktif yaklaşımlardandır. 

3. Verilerinizi hareket halindeyken ve ofiste fiziksel olarak koruyun.

Kişisel verilerin korunması için dikkat edilmesi gereken bir başka nokta ise verilerin tutulduğu yer ile ilgilidir. Ofis içindekiler kadar e-posta ya da posta yoluyla gönderilen kişisel verilerin de güvenliğinin sağlanması gerekmektedir. Ayrıca bu konuda dikkat edilmesi gereken tehdit ve riskler internet odaklı olabileceği gibi fiziksel mekan kaynaklı da olabilir. Kişisel verilerin tutulduğu cihazlar ve mekan, ağ bileşenleri arasındaki açık noktalar, ofis dışında kullanılan cihazlar, e-posta ya da posta yolu ile gönderim ve ağa bağlanan yabancı cihazlar gibi birçok durum, risk unsurları açısından değerlendirilmelidir.

Verilerin kağıt üzerinde ya da soft ortamda bulunmalarından bağımsız olarak, ofis içi güvenliğin sağlanması zaruridir. Veriler, korunaklı ve ayrı lokasyonlarda saklanmalı, yedekleme cihazları denetimsiz bırakılmamalı ve kullanılmadığı esnada kilit altında tutulmalıdır. Kişisel veriler mümkün olduğunca kişisel cihazlar üzerinde bulundurulmamalı, mutlaka bulundurulması gerekiyorsa uygun erişim kontrolleri ve şifreleme yöntemleri ile güvence altına alınmalıdır.

Tam disk şifreleme (full disk encryption), dosya şifreleme (file encryption) ya da güçlü parola koruması gibi yöntemler dikkate alınabilir ancak bazı yazılımların parola korumalarının yalnızca verilerin değiştirilmesine karşı koruma getirdiği ve verinin okunmasını önlemediği akıldan çıkarılmamalıdır. Kişisel verilerin yetkisiz ya da izinsiz olarak ifşasının KVKK ve diğer global veri koruma kanunları kapsamında, ihlal kabul edildiği düşünülecek olursa, bu durum önemli risk yüzeyi oluşturur.

Uzaktan bağlantı gerekliliği durumunda ise, kullanılacak mobil cihazların uzaktan devre dışı bırakma ya da silme (wipe) özelliklerinin bulunması, hırsızlık ve kayıp durumlarına karşı uygun bir tedbir olacaktır. Personelin kendini cihazlarını iş yerinde kullanma talepleri için de belirli güvenlik kriterlerinin düzenlenmesi faydalı olacaktır.

4.  Verilerinizi bulutta güvenli tutun

Günümüz akıllı telefon ve tabletleri bulut bilişim tabanlı birçok online servis içermekte ve bu da ister istemez verilerin bulut sistemleri üzerinde işlenmesine yol açmaktadır.

Bulut sistemleri firma ağının dışında bir alan olduğundan burada bulunan ve işlenen kişisel verilerin güvenliği için ayrı bir değerlendirme yapılması gerekmektedir. Bulut sağlayıcısının ne tür güvenlik önlemleri ve standartları kullandığı konusu da bu noktada önem kazanmaktadır. Bulut sağlayıcısının sağladığı güvenlik düzeyi ne olursa olsun, burada size özel hangi tür verilerin saklandığının takip edilmesi önemlidir. Yedekleme ve senkronizasyon servisleri varsayılan olarak etkinleştirilmiş olması başka güvenlik açıklarına yol açabilir.Bu tür durumlarda verilere uzaktan erişim için iki kademeli kimlik doğrulama yöntemlerinin kullanılması önerilir.

5. Verilerinizi yedekleyin ve stratejiniz olsun

Belirli bir amaç ya da amaçlar için toplanan ve işlenen verilerin kullanıma uygun halde ve güvenli olarak tutulması büyük önem taşımaktadır. Yangın, sel gibi afet durumlarında ya da fidye yazılımı gibi olası zararlı yazılım ataklarına maruz kalınması halinde kişisel verilerin hızla yeniden kullanılabilir hale getirilmesi gerekmektedir. Kişisel verilerin kaybedilmesi de Kanunun ihlali olarak kabul edildiği unutulmamalıdır. Bu noktada yedekleme stratejisi bu risklere karşı dayanıklı bir şekilde oluşturulmalıdır.

Yedekler, ağdaki herkesin erişimine açık olmamalı, bu şekilde tutulması gerekiyorsa da zararlı yazılımlar ve kazara silinmelere karşı şifrelenmelidir. Yedeklerden en az birinin tesis dışında ve yeteri kadar uzak bir lokasyonda tutulması doğru bir yaklaşım olacaktır.

6.  Personelinizi eğitin

Kişisel verilere yönelik riskler çeşitli olabilir ancak ne kadar güvenlik önlemi alınırsa alınsın, çalışanların siber güvenlik konusundaki bilgi eksikliği çok pahalıya mal olabilir. Kişisel verilerin kazara ifşa edilmesi, yasanın ihlali anlamına geleceğinden, bir e-postanın yanlış kişiye gönderilmesi ya da zararlı yazılım içeren bir e-posta ekinin açılması KVKK ile uyumluluğa yönelik riskler arasında değerlendirilmelidir. Bu duruma karşı en önemli tedbir, ekibin eğitiminden geçer. Her düzeydeki çalışanların, görev ve sorumluluklarının farkında olması, kuruluş içinde genel güvenlik farkındalığının oluşturulması başlangıç adımı olacaktır. Zaten günümüzde bu konu ile ilgili sözleşmelere konulan maddelerde bu konuların revaçta olduğunu görmekteyiz.

Öncelikle çalışanlar, e-posta sistemlerine yönelik phishing ve diğer zararlı yazılımları tanıyacak düzeyde eğitilmeli, güvenlik risklerinin tanımlanabildiği bir şirket kültürü oluşturulmalıdır. Tehdit ve riskler sürekli biçim değiştirdiğinden bu konudaki gelişmeler kuruluş içi iletişim yolları ile güncel olarak personele aktarılmalıdır.

7.  Sorunlara dikkat edin 

Tüm bu önlemler alınmış olsa dahi sistemlere yapılan siber ataklar ya da yüklenen zararlı yazılımlar uzun süre fark edilmeyebilir. Birçok insan saldırılara ait sinyalleri gördükleri halde anlamayabilir. Böyle bir durumun uzun süre farkında olmamak, istenmeyen sonuçlara yol açabilir. Bu olasılığı en aza indirmek için güvenlik yazılımı mesajları, erişim kontrol kayıtları ve diğer raporlama sistemleri düzenli olarak izlenmeli, izleme cihazlarının alarmlarına dikkat edilmelidir. Ağda çalışan cihaz ve yazılımların tam bir envanteri tutulmalı, olmaması gerekenler belirlenmelidir. Herhangi bu tür bir atağın gerçekleşmeden önlenmesi içinse düzenli zafiyet ve sızma testleri gerçekleştirilmelidir.

8. Ne yapmanız gerektiğini bilin, hazırlıklı olun

Bazı kuruluşlar, ellerindeki olanakları yeterince doğru bir şekilde kullanamadığında, bir sorunu tespit etmeleri mümkün olmayabiliyor, sorunu tespit etseler bile ne yapacaklarını bilemeyebiliyorlar. Bu noktada iyi bir politika risklerin tutarlı bir şekilde tespit edilmesini sağlayabilir, doğru bir olay yönetim planı ve uygulanması için testler yapılması, bireyler için oluşabilecek zararları en aza indirebilir.

Politika ve olay yönetim planının doğru oluşturulması için öncelikle firma bünyesinde tutulan kişisel verilerin ve uygulanan koruma yöntemlerini gözden geçirilmesi yol gösterici olacaktır. Bu noktada sektörel kurallar ve diğer yasal gerekliliklerle uyumluluk konusu mutlaka dikkate alınmalıdır.

Bu tespitlerden sonra; halihazırda uygulanan kontroller ve geliştirilmesi gereken yönler tespit edilmelidir. Farklı kişisel veri kategorilerine yönelik riskler ve bu verilerin ihlali durumunda ortaya koyulması gereken güvenlik yaklaşımları da farklı olabilir.

Tüm bu durumların ilgili politikaya yansıtılması ve çalışanların bu konularda etkin bir şekilde haberdar edilmesi ve eğitilmesi kanunlar ile uyumluluk gerektiren durumlar için yüksek önem taşımaktadır.

9.  Veri minimizasyonu yapın

Artık, size emanet edilen kişisel verileri; “bir gün okurum, şöyle kenarda dursun…” tadındaki ebooklarınızla bir tutamazsınız! Kanun uyarınca kişisel verilerin doğru ve güncel olması, gerektiğinden daha uzun süre saklanmaması gerekmektedir. Ancak, zaman içinde toplanan yüksek miktarda kişisel veri güncelliğini ya da geçerliliğini kaybetmiş ya da ilgili ihtiyaç ortadan kalkmış olabilir.

Kanun ile uyumsuzluğa düşmemek için tutulan kişisel verilerin sürekli gözetim altında tutulması gerekmektedir. Veriye halen ihtiyaç duyulup duyulmadığına karar vermek ve gerekiyorsa doğru ve güvenli bir yerde saklanmasını sağlamak gerekmektedir. İhtiyacın ortadan kalkmış olması halinde ise veri imha politikasına uygun olarak bir yazılım ve/veya uzmanı desteği ile güvenli olarak silinmesi gerekecektir.

10. Yüklenicinizin olması gereken şeyi yaptığından emin olun.

Gerek küçük gerekse büyük işletmelerin birçoğu, BT ihtiyaçlarını üçüncü taraf yüklenicilere delege etmektedir. Böyle bir durumda söz konusu firmaların, kişisel verilerin güvenliğine yaklaşımlarının işveren firma ile aynı olması büyük önem taşımaktadır. Buradaki farklılıklar Kanun ile uyumsuzluk noktasına düşülmesine neden olabilir.

Bu tür bir durumda kalmamak için veri içeren sistemler üzerinde güvenlik denetimi talep etmek doğru olacaktır, bu sayede adreslenmesi gereken zafiyetler belirlenebilir. BT hizmet sağlayıcısının kendi güvenlik değerlendirmelerinin gözden geçirilmesi de bir başka yol gösterici yöntem olacaktır. Ayrıca BT hizmet sağlayıcısının tesislerinin fiziksel durumu da daha önce söz edilen fiziksel risklerin karşılanması açısından önem taşımaktadır. KVKK ve benzeri kanunlardan doğan yükümlülüklerin, yazılı sözleşmelerle BT hizmet sağlayıcısı tarafından da bağlayıcı olması gerekebilir.

Burada dikkat edilmesi gereken bir başka nokta ise, atılacak ya da geri dönüşümde kullanılacak ekipman üzerinde bulunan kişisel verilerdir. Bunların yetkisiz kişilerin eline geçmesini ya da kaybolmasını önlemek firmanın olduğu kadar BT hizmet sağlayıcısın da sorumluluğunda olmalıdır. Nihayetinde BT hizmet sağlayıcısının; gerektiği ve taahhüt ettiği gibi davrandığından emin olunması sözleşmeyi yapan esas firmanın sorumluluğundadır.


“Etkin bir kişi olmak için edinmeniz gereken beş beceri ya da pratik şunlardır:

– Zamanınızı yönetmek,

– Çabalarınızı bir katkıya dönüştürmek,

– Güçlü yanlarınızı üretken kılmak,

– En önemli görevlere yoğunlaşmak,

– Etkin kararlar almak”

Peter F.Drucker

GDPR Notları # 1

Edward Snowden, Maximillian Schrems, Mario Costeja Gonzalez…

Soru: Bu üç kişinin ortak noktası nedir?

Şu şekilde yanıtlarsak yanlış cevap vermiş olmayacağız:

Kendilerinin; Avrupa Birliğinin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi)’in ölmesine neden olan sebeplere, doğrudan veya dolaylı olarak çorbada tuz desteği faaliyetleri olmuştur. Zira;

  • Snowden‘in ortaya çıkardığı NSA’in Facebook, Google, Apple, vb mahremiyet ihlalleri,
  • Schrems‘in Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne açtığı dava,
  • Gonzalez‘in Google İspanya ve Google Inc.’e karşı “unutulma hakkı”na dair hukuksal mücadelesi,

hepsi bir şekilde Avrupa Birliği Adalet Divanında, dava dosyalarında konu olarak geçmiş ve yaşlı DPD’nin artık yetersiz ve günümüze ayak uyduramadığı kanılarını pekiştirmiştir.

Neticede bu değişime ayak uyduramayan direktifin yerine; kişisel verilerin korunmasında daha sağlıklıuyumluetkintek pazar stratejisini besleyecek şekilde serbest akışa izin verecek dinamiklikte, tüm üye ülkelerin hukuki olarak aynı dili ve kuralları ortak paydada buluşturacağı, bireysel hakları daha koruyucu bir regülasyon olan General Data Protection Regulation (GDPR), 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edildi. Mayıs 2016’da tüm Avrupa Birliği resmi dillerinde ve Avrupa Birliği Resmi Gazetesi’nde yayınlandı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girse de iki senelik bir uyum termini sonrası 25 Mayıs 2018’de uygulanmaya başlanacaktır.

Şimdi; 25 Mayıs 2018’de hayata geçecek ve tüm Avrupa’nın (ve ilgili diğer ülkelerin) harıl harıl hazırlandığı bu regülasyonu genel manada tanımaya çalışalım. (Alttaki başlıklar norm değildir, eklemeler yapılabilir)

1.GDPR Kapsamı

GDPR Düzenlemesi; veri sorumlusu (AB sakinlerinden veri toplayan kuruluş) veya veri işleyen (veri sorumlusu adına veri işleyen kuruluş) veya verisi işlenen ilgili kişi AB’de bulunuyorsa geçerlidir. Ayrıca düzenleme; Avrupa Birliği dışında konuşlanmış fakat AB sakinlerinin kişisel verilerini toplayan veya işleyenler organizasyonlar için de geçerlidir. Avrupa Komisyonu’na göre “kişisel veriler, bir kişiye ait özel, mesleki ya da kamu yaşamıyla ilgili olsun olmasın herhangi bir bilgi olarak tanımlanmaktadır. Bir ad, ev adresi, fotoğraf, e-posta adresi, banka ayrıntıları, sosyal ağ sitelerindeki mesajlar, tıbbi bilgiler veya bir bilgisayarın IP adresi gibi herhangi bir bilgi olabilir.

2. Tekli Kural Seti ve Tek Yetkili Mercii

Regülasyona göre bütün AB üyesi ülkelere, tek bir kural seti uygulanacaktır. Her üye devlet; şikayetlerin iletilmesi ve soruşturulması, idari suçların cezalandırılması vb. için bağımsız bir Denetim Otoritesi (SA) kuracaktır. Her bir üye devletin SA’ları, karşılıklı destek sağlayarak ve ortak operasyonlar düzenleyerek diğer SA’larla işbirliği yapacaklardır. Bir işletmenin AB’de birden fazla kuruluş bulunduğu yerlerde (ülkelerde) “ana kuruluşunun” bulunduğu yere (diğer bir deyişle ana işleme faaliyetlerinin gerçekleştiği yere) dayalı “Baş Otorite (Lead Authority)” olarak tek bir SA’ya sahip olacaktır. Baş Otorite , söz konusu işletmenin AB genelindeki tüm işleme faaliyetlerini denetlemek için bir “tek yetkili mercii (one-stop shop)” (GDPR 46-55. maddeleri) olarak hareket edecektir. Bir Avrupa Veri Koruma Kurulu (EDPB) SA’ları koordine edecektir. Working Party 29 Çalışma Grubu’nun yerini EDPB alacaktır.

3. Sorumluluklar ve Yükümlülükler

Bildirim/aydınlatma gereksinimleri yine mevcut ama genişletilmiş şekilde hayata geçirilmekte. Bu gereksinimler; kişisel verilerin saklama süresini, veri sorumlusu ve veri koruma görevlilerinin iletişim bilgilerini de ihtiva etmektedir.

Profil oluşturma (Madde 22) da dahil olmak üzere otomatize edilmiş bireysel karar verme mekanizmalarına itiraz edilebilir hale gelinmiştir. Artık birey; kendisini etkileyen, tamamen algoritmik temellere dayanan kararları sorgulayabilir ve bunlara karşı mücadele edebilir.

Veri sorumlusu; GDPR’a uyumluluk çerçevesinde, “standart gizlilik ve mahremiyete göre tasarım” ilkelerine uygun önlemleri yerine getirmelidir. Standart Gizlilik ve Mahremiyete Göre Tasarım (Madde 25); veri koruma önlemlerinin, ürün ve hizmetler için iş süreçlerinin geliştirilmesi esnasında tasarlanmasını gerektirmektedir. Kişisel veriler için bulanıklaştırma veya diğer kullanımı ile takma ad/rumuz kullanımının (pseudonymity) da dahil olduğu bu gibi önlemler, veri sorumlusu tarafından sürece mümkün olduğunca çabuk dahil edilmelidir. (Mütalaa /Recital 78).

Etkin önlemleri uygulamak ve veri işleme faaliyetlerinin regülasyona uyumluluğunu sağlamak; işlemenin, veri sorumlusu adına bir işleyen tarafından gerçekleştirildiği durumlarda dahi, veri sorumlusunun yükümlülüğü ve sorumluluğundadır. (Mütalaa/Recital 74).

İlgili kişinin hak ve özgürlüklerinde belirli riskler ortaya çıktığı zaman, Veri Koruma Etki Değerlendirmeleri – DPIA (Madde 35) yapılmalıdır. Eğer yüksek riskler mevcut ise risk değerlendirmesi ile azaltımı ve Veri Koruma Otoritesinin (DPA) ön onayı gerekmektedir. Veri Koruma Görevlileri (DPO); (Madde 37-39) organizasyonlarda regülasyona uyumun güvencesi için yer almaktadır.

Veri Koruma Görevlileri (DPO) atanması aşağıdakiler durumlarda elzemdir:

* Tüm kamu otoriteleri için, (kendi adli görevini ifa eden mahkemeler hariç)

* Veri sorumlusu veya işlemcisinin temel faaliyetleri aşağıdakilerden oluşuyorsa:

* Doğası gereği, kapsamları ve / veya amaçları gereği, ilgili kişinin geniş çapta düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetleri

 * Madde 9’a istinaden, özel kategorilerdeki kişisel verilerinin büyük bir kısmının işlenmesi ve Madde 10 ‘de belirtilen mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi,

4. Rıza

Toplanan veriler ve kullanılan verilerin amaçları için; geçerli rıza açık ve net olmalıdır (Madde 7, Madde 4’te de tanımlanmıştır). Çocuklar için onay, çocuğun ebeveyni veya velisi tarafından verilmelidir ve doğrulanabilir olmalıdır (Madde 8). Veri sorumluluları, “rıza”yı (opt-in) kanıtlayabilmelidir ve rıza geri çekilebilir.

5. Veri Koruma Görevlisi (DPO)

Mahkemeler veya adli yetkiler ile hareket eden bağımsız yargı otoriteleri hariç olmak üzere, veri işlemenin bir kamu otoritesi tarafından gerçekleştirildiği hallerde veya özel sektör için; ana faaliyet alanı, verisi işlenen kişilerin düzenli ve sistematik olarak izlenmesini gerektiren operasyonları yürütmek olan bir veri sorumlusu tarafından gerçekleştirildiği durumlarda, veri koruma kanunu ve uygulamaları konusunda uzman bilgisi olan bir kişi, veri sorumlusuna veya işleyene bu Regülasyona uyumun denetlemesinde yardımcı olmalıdır.

DPO (Veri Koruma Görevlisi) rolü Uyum Görevlisi rolüne benzemekle beraber, hatta her ikisinin de BT süreçlerinin yönetilmesi, veri güvenliği (siber saldırılarla iştigal de dahil olmak üzere) ve diğer kritik iş sürekliliği gibi kişisel ve özel nitelikli (hassas) verileri kontrol altında tutma ve işleme konularında yetkin olması beklense de, aynı şapka ve pozisyon değildir. Gerekli olan beceri seti, veri koruma kanunları ve yönetmeliklerine yasal uyumun anlaşılmasının ötesinde bir alan gerektirmektedir.

Bir DPO’nun büyük bir organizasyonda atanması, Kurul ve bunun yanı sıra ilgili kişiler için bir zorluk teşkil edecektir. Kurum ve organizasyonların atamanın kapsamı ve niteliği göz önüne alındığında ele alması gereken sayısız yönetişim ve insan faktörü sorunları vardır. Buna ek olarak, makam sahibi görevlendirme sonrası kendi destek ekibini oluşturması gerekecek ve kendi mesleki gelişimlerinden sorumlu olarak etkin bir “mini regülatör” olarak kendisini çalıştıran kuruluştan bağımsız olması gerekmektedir.

6. Bulanıklaştırma (Pseudonymisation)

GDPR, bulanıklaştırmayı (bazı durumlarda takma ad veya rumuz kullanımı olarak da geçebiliryor); ilgili kişinin kişisel verilerini, işlem sonrası ortaya çıkacak veri için, ek bilgi kullanılmadan o ilgili kişi ile ilişkilendirilemeyecek şekilde dönüştüren bir süreç, olarak ifade etmektedir. Bulanıklaştırmaya örnek olarak; orijinal veriyi anlaşılmaz hale getiren ve işlemi, doğru şifre çözme anahtarına erişmeksizin, tersine çeviremeyecek bir yöntem olan şifreleme (encryption) verilebilir. GDPR, bu ek bilgilerin (şifre çözme anahtarı gibi) bulanıklaştırılmış verilerden ayrı olarak muhafaza edilmesini gerektirir. Söz konusu ilgili kişi verilerinin, risklerini azaltmak ve veri sorumluları ile veri işleyenlerin veri koruma yükümlülüklerini yerine getirmelerinde yardımcı olması için bulanıklaştırma önerilmektedir (Mütalaa /Recital 28).

Kişisel veri, veri sorumlusu tarafından yeterli iç politika ve önlemler ile bulanıklaştırılıyorsa, etkin bir şekilde anonimleştirilmiş olarak kabul edilir ve GDPR’ın kontrol ve cezalarına tabi değildir. “Standart gizlilik ve mahremiyete göre tasarım” ilkelerine uygun politika ve önlemler, bu amaç için yeterli kabul edilmelidir. Tedbirlere örnek olarak; verileri mümkün olan en kısa sürede bulanıklaştırmak (Mütalaa /Recital 78), verileri bulundukları lokasyonda şifrelemek, şifre çözme anahtarlarını şifrelenmiş verilerden ayrı olarak muhafaza etmek, verilebilir.

Regülasyon, istatistiksel veya araştırma amaçları da dahil olmak üzere, anonim olarak kabul edilen bilgilerin işlenişi ile ilgili değildir.

7. İhlaller

GDPR kapsamında, Veri Sorumlusunun gecikme olmaksızın Denetim Otoritesi‘ne bilgi vermesi yasal yükümlülüğü altında olacaktır. Bir veri ihlalinin raporlanması herhangi bir ayrıntılı standarda tabi değildir ve veri ihlalinden sonra 72 saat içinde Denetleme Kurumuna bildirilmelidir (Madde 33). Olumsuz etki tespit edilirse bireylerin bilgilendirilmesi gerekir (Madde 34). Buna ek olarak veri işleyen, kişisel bir veri ihlalinden haberdar olduktan sonra veri sorumlusunu gecikmeden bilgilendirmek zorundadır (Madde 33).

Bununla birlikte, veri işleyen veya sorumlusu, anonim verilerinin ihlal edilmesi durumunda ilgili kişiyi bilgilendirmesi gerekmez. Veri sorumlusu; veri ihlalinden etkilenen kişisel verilere, şifreleme gibi bulanıklaştırma tekniklerinin yanı sıra yeterli teknik ve kurumsal koruma önlemleri uyguladıysa, ilgili kişiye duyuru yapılması gerekli değildir (Madde 34).

8.Yaptırımlar

Aşağıdaki yaptırımlar uygulanabilir:

* İlk ve kasıtsız uygunsuzluk durumlarında yazılı bir uyarı

* Düzenli periyodik veri koruma denetimleri

* Organizasyona göre, 10.000.000 EUR veya bir önceki mali yıla ait yıllık dünya cirosunun %2’sine kadar olan ceza, hangisi daha büyük miktar ise (Madde 83, Parag 4)

* Bir grubun bir iştiraki olmasına göre, hangisi daha büyük miktar ise, ihlal veya uygunsuzluk ve verileri sahiplerinin kayıp veya hasar sonuçlarının büyüklüğü dahilinde, önceki mali yılın yıllık dünya çapında konsolide cirosunun% 20’sine veya 20.000.000 EUR’ye kadar bir para cezası (Madde 83, Paragraf 5)

9. Silinme Hakkı

Unutulma Hakkı, Mart 2014’te Avrupa Parlamentosu tarafından kabul edilen GDPR’e göre daha sınırlı bir silinme hakkı ile değiştirildi. (Madde 17) İlgili Kişinin kendi kişisel verilerinin; kişisel verilerinin korunmasını gerektiren ilgili kişinin menfaatleri veya temel hak ve özgürlükleri tarafından veri sorumlusunun meşru çıkarlarını geçersiz kılan bir durumu da (6.1.f) ihtiva eden 6. maddeye (meşruiyet) uyumsuzluk gibi birtakım gerekçelerin herhangi biri yüzünden, silinmesini talep etme hakkına sahiptir

10. Veri Taşınabilirliği

Bir kişi; kişisel verilerini, veri sorumlusu tarafından bunu yapmaktan alıkoyulmaksızın, bir elektronik işleme sisteminden başka bir elektronik işleme sistemine aktarabilir. Buna ek olarak veri, veri sorumlusu tarafından yapılandırılmış ve yaygın olarak kullanılan Açık Standart (Open Standard) elektronik formatta sağlanmalıdır. Veri taşınabilirliği hakkı, GDPR’ın 20. maddesinde yer verilmektedir. Hukuk uzmanları, bu kontrolün final halinde, “Madde 18’in (düzenlemede 20 olarak güncellenmiştir) şart koşulan, iki veri sorumlusunun veri taşınabilirliği, kapsamının dışına taşan” yaratılmış bir “yeni hak” görmektedirler.

11. Mahremiyete Göre Tasarım ve Standart Gizlilik

Mahremiyete Göre Tasarım ve Standart Gizlilik (Madde 25); ürün ve hizmetler için veri korumasının, iş süreçlerinin geliştirilmesi safhasında tasarlanmasını gerektirir. Bu; gizlilik (mahremiyet) ayarlarının varsayılan olarak yüksek bir seviyede düzenlenmesini ve veri sorumlusu tarafından, bütün veri işleme yaşam döngüsü boyunca regülasyona uygun olarak işlendiğinden emin olunması için, teknik ve prosedürel önlemlere dikkat edilmesini gerektirir. Veri sorumlusu kişisel verilerin, yalnızca belirli bir amaç için gerekli olduğunda işlenmesini sağlamak için, mekanizmalar da uygulamalıdır. ENISA (Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı) tarafından hazırlanan bir raporda, standart gizlilik (mahremiyet) ve veri koruması elde etmek için, neler yapılması gerektiğine dair klavuz bilgilere yer verilmiştir.

GDPR Notları # 2

Bu yazımızda GDPR’ın (Tüzük) getirdiklerini, Data Protection Directive’den (DPD) gelen yaklaşımları da dikkate alarak incelemeye devam edeceğiz.

Tüzük’ün getirdiği ve Veri Koruma Direktifi ile kıyaslandığında AB içinde faaliyet gösteren ya da AB içindeki bireylerin verilerini işleyen AB dışı firmaları etkileyecek değişiklikleri, aşağıdaki şekilde özetleyebiliriz:

Yasanın uygulanması

Direktifin aksine Tüzük, tüm AB üyesi ülkelerde, ulusal parlamentoların herhangi bir müdahalesi olmaksızın, doğrudan geçerli hale geliyor.

AB içinde kurulu firmalar için geçerli olması nedeniyle Direktifle benzeşse de Tüzük, yeni düzenlemenin muhataplarının sadece veri sorumluları ile sınırlı olmamasıyla önemli oranda ayrışıyor, yeni gerekliliklerin pek çoğu veri işleyenler için de aynı düzeyde geçerli kılınıyor ki bu durum bilginin yaşam döngüsündeki her bir fonksiyon ve uğradığı durağın uyumluluğuna verilen öneme ışık tutuyor.

AB dışında kurulu işletmeler

Tüzük’ün AB dışında kurulu işletmeler için geçerliliği konusunda, kanun koyucular, Direktif’te bulunan AB tabanlı işleme ‘ekipmanlar’ına yönelik referansları ortadan kaldırıyor.

Bunun yerine Tüzük’ün AB dışında kurulu işletmeler için geçerlilik durumu, ilgili kişinin lokasyonuna bağlı olarak belirleniyor.

Tüzük, bir işletmenin kişisel veri kullanımının AB içindeki bireylere ürün ya da hizmet sunulmasıyla ya da söz konusu bireylerin AB içindeki davranışlarının incelenmesiyle bağlantılı olduğu her durumda geçerliyken, bu işlemlerin ödeme gerektirmesi ya da gerektirmemesi herhangi bir kriter olarak kabul edilmiyor.

Tüzük’ün 24 sayılı Gerekçesinde (Recital), ilgili kişilerin internette, özellikle kişisel tercihlerini analiz ya da tahmin etme amaçlı olarak izlenmesinin Tüzük’ün geçerliliğini tetikleyeceği konusunda detaylı bilgiler verilmiştir. Takip çerezleri ya da kullanım bilgisi toplayan uygulamaların kullanıldığı hemen her web sitesini Tüzük’e tabi kılan bu tedbir, kuralların uygulama alanının ne kadar geniş bir ölçekte arttığının göstergesidir.

Bireylere, kendi verilerini yönetme olanağı

Bu konu tüm Tüzük metninde genel bir tema olarak göze çarpıyor ve verinin kullanımına yönelik ‘rıza’ güçlendirmesi ile Direktif’e kıyasla daha da vurgulanıyor. Rızanın, verinin kullanımı için dayanak olarak gösterilebilmesi için çok yüksek standartları karşılaması ve belirli şartların üstesinden gelmesi gerekiyor. Bu doğrultuda bazı çok kesin noktalardan söz edilebilir:

o           Rıza, kişisel verilerin kullanımı ile sözleşme/anlaşma koşulları kapsamındaki diğer konular arasındaki ayrım açıkça belirtilmedikçe süreç ve koşullar kapsamına dahil edilemez, bunlarla birleştirilemez.

o           Rıza, herhangi bir anda geri çekilebileceği gibi bu konu rızanın alınmasından önce bireylere kolay ve anlaşılır biçimde açıklanmalıdır.

o           Ürün ya da hizmet karşılığı bir zorunluluk olarak talep edilen Rıza, özgürce verilmiş olarak kabul edilmeyebilir.

o           16 yaşından küçük kişilerin kişisel bilgilerinin kullanımı için vasi rızası gerekliliği her bir üye devletin kendi takdirine bırakılmış olup bu durum, çocukların verileri söz konusu olduğunda uyumluluğun ülke bazında incelenmesini gerektirecektir.

Bireyler için yeni ve daha güçlü haklar

Yeni Tüzük kapsamında bireyler, daha güçlü haklarla kendi verileri üzerinde daha fazla kontrole sahip oluyorlar. Bireylere sağlanan bu yeni hakların bazıları aşağıdaki gibidir:

o           Daha ayrıntılı şeffaflık yükümlülükleri – Tüzük, verilerin toplandığı esnada ya da makul bir süre içinde bireylere sağlanması zorunlu olan bilgi kategorilerini çoğaltıyor. Ayrıca bu bilgilerin açıklanması esnasında ilgili kişinin şahsına uygun olarak açık ve sade bir dil kullanılması, hatta verilerin bir çocuktan alınıyor olması halinde bildirimin bir çocuk tarafından anlaşılacak şekilde düzenlenmesi gerekiyor.

o           Verinin taşınabilirliğine, işlemenin sınırlanmasına, unutulmaya ve profil oluşturulmasına yönelik yeni haklar.

Taşınabilirlik hakkı, kişilere, bilgilerin bir sözleşme kapsamında ya da rızaya dayanarak bireyin kendisinden temin edildiği hallerde, işletmeye sağladıkları bilgileri ‘yapılandırılmış, genel olarak kullanılan ve makine tarafından okunabilir’ biçimde alma hakkı getiriyor. Bundan başka, verilerin, belirli durumlarda ve teknik olarak mümkün olması halinde bir işletmeden diğerine aktarılmasına yönelik genel bir hak da sağlanıyor.

o           Erişim, düzeltme, silme (unutulma), itiraz hakları gibi Mevcut direktifte de bulunan halihazırdaki hakların elde tutulması. İlgili kişilerin erişim talepleri karşılığında ücret talep etme hakkı ‘açıkça aşırı’ olduğu haller dışında kaldırılmıştır.

Yeni bir hesap verebilirlik düzeni

İşletmeleri veri uygulamalarıyla ilgili olarak daha fazla hesap verebilir hale getiren çeşitli bazı gereklilikler ise Tüzükte göze çarpan yenilikler arasında yer alıyor. Uyumluluğun gösterilebilmesi ve bu konuda şeffaf olmakla ilişkili olan hesap verebilirlikle gelen yeni sorumluluklar arasında aşağıdakiler sayılabilir:

o           Kuruluşun veri işleme faaliyetlerinin Tüzük ile uyumluluğunu temin etmek üzere veri koruma politikaları ve tedbirlerinin uygulanması.

o           Tasarımda ve varsayılan olarak veri koruma.

o           Veri sorumluları ve veri işleyenlerin kayıt tutma yükümlülükleri

o           Veri sorumluları ve işleyenlerin denetleyici kurumlarla iş birliği yapması

o           Doğası ve kapsamı gereği bireyler için belirli riskler teşkil eden operasyonlara ilişkin veri koruma etki değerlendirmelerinin (DPIA) gerçekleştirilmesi.

o           Yüksek risk taşıyan durumlarda veri koruma kurul/otoritelerine danışılması

o           Kamu sektörü ve büyük veri işleme faaliyetleri için veri sorumluları ve veri işleyenlere yönelik zorunlu veri koruma sorumlularının (DPO) görevlendirilmesi.

Veri işleyenlerin yeni yükümlülükleri

Yukarıda da anlatıldığı gibi Direktif kapsamında yalnızca veri sorumluları için geçerli mevcut kurallara ilişkin önemli bir değişikliğin göstergesi olarak Tüzük, doğrudan hizmet sağlayıcılara (ör: veri işleyen) birçok uyumluluk yükümlülüğü ve muhtemel yaptırımlar getiriyor. En köklü değişikliklerden biri ise bir veri işleyenin, veri sorumlusu onayı olmadan herhangi bir hizmeti alt sözleşmeyle devredemeyecek olması. Tüzük, veri sorumluları ile yapılan sözleşmeler için kurala ilişkin koşullar eklenmesini gerektirirken birçok veri işleyen, işleme faaliyetlerinin kayıtlarını tutmak, uygun güvenlik önlemlerini uygulamak, belirli durumlarda bir DPO atamak, uluslararası veri aktarımı gereklilikleri ile uyumluluk sağlamak ve gerektiğinde denetleyici kurumlarla iş birliği yapmak durumunda kalıyor.

Uluslararası veri aktarımları

Direktif’te uluslararası veri aktarımını etkileyen mevcut sınırlamalar, Tüzük kapsamında da varlıklarını sürdürüyor. Komisyon tarafından resmen yeterli olduğu kabul edilen yasama bölgelerine aktarımların dışında gerek veri sorumluları gerekse veri işleyenler, AB dışına kişisel veri aktarımlarını yalnız uygun güvenlik önlemlerini aldıkları ve bireyler için uygulanabilir hakların yanı sıra, etkin yasal tazminatları sağladıkları takdirde gerçekleştirebiliyor.

Tüzük, bu tür aktarımları yasallaştırmak için kullanılan tedbirleri faydalı biçimde genişletirken, bu kapsama Bağlayıcı Kurumsal Kurallar (BCR) ve bir veri koruma kurumu tarafından benimsenmiş standart sözleşme maddelerinin yanı sıra, onaylı etik kurallar, onaylı bir sertifikasyon mekanizması ve ‘tutarlılık mekanizması’ olarak da bilinen, bir veri koruma kurumu tarafından onaylı ‘diğer sözleşme maddeleri’ni açıkça dahil ediyor.

Güvenlik

Tüzük kapsamında gerek veri sorumluları gerekse veri işleyenler, işlemekte oldukları kişisel verileri korumak üzere uygun teknik ve idari önlemleri uygulama yükümlülüğü altına giriyor.

Tüzük ayrıca, veri ihlallerinin, ‘gerçek kişilerin hak ve özgürlüklerine karşı risk teşkil etme olasılığının düşük olduğu’ haller dışında, fark edildikten sonraki 72 saat içinde ilgili veri koruma kurumuna bildirim gerekliliği getiriyor. Bireylerin zarar görme olasılığı yüksek olduğunda ise ayrıca kişilere bildirim yapılması da zorunlu tutuluyor.

Yürütme ve uyumsuzluk riskleri

Tüzük, bireylere, ihlal sonucu oluşacak maddi ve manevi hasarlar için tazminat alma hakkı veriyor. Bireylere ayrıca, kendilerini ilgilendiren veri koruma kurumu kararları karşısında yasal tazminat alma ve haklarını ihlal ederek Tüzük’le uyumsuzluğa düşen veri sorumluları ve veri işleyenlere karşı şikayette bulunma ve veri koruma kurumunun işlem yapmasını sağlama hakları tanınıyor. Bu haklar, bireyler adına tüketici taraflarca kullanılabiliyor.

Olası yaptırımların ciddiyet derecesinde önemli bir artış gözleniyor, şöyle ki söz konusu cezalar 20 milyon Euro’ya veya firmanın global gelirinin %4’üne kadar (hangisi daha yüksekse) çıkabiliyor. Bu durum aşağıdaki hükümlerin ihlalini içerebiliyor:

o           Rıza koşulları dahil, işlemenin temel ilkeleri;

o           İlgili kişi hakları;

o           Yasal uluslararası veri aktarımı koşulları;

o           Tüzük’ün izin verdiği durumlar için ulusal yasalar kapsamındaki belirli yükümlülükler;

o           Veri akışının durdurulması dahil olmak üzere veri koruma kurumları tarafından verilen emirler.

Kişisel Verileri Koruma – İlgili Kişi Erişim Taleplerinin Karşılanması ve Aydınlatma Yükümlülüğü

Merhabalar;

Bu paylaşımımda KVK Kanunu’nun 10. maddesi ve 11.maddesi ile ilişkili olan “İlgili Kişi Erişim Taleplerinin Karşılanması”nda ICO (UK) yaklaşımını ve sitesinde yer alan bilgilerin iş akış diyagramına dönüştürdüğüm halini bulabilirsiniz. Yine son günlerde cep telefonlarınıza SMS olarak gelen veya karşılaştığınız web sitelerinde pop up veya kutucuklar ile sürekli olarak size farkındalık yaratmaya çalışan aydınlatma bildirimlerinin de alttaki süreçler ile ilgili olduğunu belirtebiliriz.

Öncelikle KVKK’da yer alan ve organizasyonların belirli şartlar altında uymakla mükellef olduğu ilgili maddeleri refere edelim:

Kanunumuzun 10.maddesi: Veri Sorumlusunun Aydınlatma Yükümlülüğü 

Kanunumuzun 11.maddesi: İlgili Kişinin Hakları

Kanun kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere ilgili verileri konusunda belirli çerçevede bilgi vermekle yükümlüdür. Yine aynı bağlamda herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verileri dahilinde öğrenme, bilgi edinme, itiraz etme, düzeltim isteği, silinme, üçüncü taraflara bildirim yapılması, belirli şartlarda zararın giderilmesi gibi taleplerde bulunma haklarına sahiptir. Bu kapsamda verisi işlenen ilgili kişinin bir talebi geldiğinde ne yapılması gerektiğine dair yol haritası aşağıdaki metodoloji ile iyi pratik olarak benimsenmiştir.

KVKK kapsamında; organizasyonunuzun yapılandırdığı yanıt kanalına bir talep geldiğinde, ne yapmanız gerektiğine dair bu güzel süreç ile ilgili daha ayrıntılı bilgiyi sonraki postlarımızda yazabiliriz diyerek şimdilik topu taca atalım ve “Bir resim (diagram), bin sözcüğe bedeldir” mottosu ile, beğendiğim bu süreci iş akış diagram formuna çevirip, süreçlerimizde daha etkin fayda sağlayacağını düşünerek paylaşalım.

Not: Diagramı incelediğinizde bazı minör kısımların şimdilik bizim kanunumuzda henüz belirtilmeyen ama karşılaşabileceğimiz karar mekanizmalarına da yer verdiğini görebileceksiniz. Örneğin ilgili kişinin bilgiye erişim talebi; organizasyonlar açısından database samanlıklarımızda bir record iğnesini bulmak kadar meşakkatli olabileceğinden bazı erişim talepleri için ücret ödenmesi gerekliliğinden dem vurmakta. Düşündüğümüzde gayet mantıklı zira elin adamı;

bu çark su ile dönmüyor“, “ben de bu bilgiyi başka partilerden (sorgu başına ücret ödenen özel veya devlet kurumları vb) ücret mukabilinde alıp/teyit edip sana sunacağım” veya her önüne gelen bi öğlen kahvesi içtikten sonra “dur bakim ben bu alışveriş sitesini bi yoklayayım, bakim benim bilgilerimi nereye koymuş

gibi gerekçeler nedeni ile bu kontrolü almış olabiliyor.

Ilgili kisi bilgi talebi (Referans: @ICO’dan yararlanılmıştır.)

Ercüment ARI

Data Privacy Officer & Information Security Director, KVKK Consultant, Part-Time Lecturer

CIPM, CGEIT, CRISC, CRMA, CISM, CISA, CEH, ISO 27001 / 22301 / 20000 LA, CobIT

GDPR, KVKK – Kişisel Veri İşleme ve İlkeleri (KVKK, GDPR ve OECD İlkeleri)

Bu yazımızda; veri işleme ve KVKK, OECD ile GDPR veri işleme prensiplerine değineceğiz.

Veri işleme kuralları ve düzenlemelerinin kapsamını aktarmak için öncelikle ‘veri işleme’ terimi iyi anlaşılmalıdır. Veri işleme, sadece kişisel verileri toplamaktan çok daha fazlasını içerir. GDPR’nin 4 (2). Maddesi, işlemeyi, veri üzerinde gerçekleştirilen ‘herhangi bir işlem’ olarak tanımlamaktadır ve veri yaşam döngüsündeki birçok olası eylemi içermektedir. Örneklerle verinin işlenme yolculuğuna çıkacak olursak, her gün aslında veri işlemenin birçok çeşit ve yüzeyine temas ettiğimizi görürüz:

Bir müşteri hizmetleri temsilcisi ile yaptığınız görüşme, belirli yükümlülükler çerçevesinde kaydedilir. Temsilci ilgili kişinin bilgilerine erişmek için yetkilendirme kriterlerine dair ad, soyad ve doğum tarihi sorar, herhangi bir yanlış cevapta bilgilere erişemiyorsa veriye erişim kullanımı engellenmiş olur yani kısıtlanmıştır. Görüşme sırasında temsilci bir harf hatası nedeni ile erişilemediğini fark eder, hatayı düzeltip hesap bilgilerine erişirse kişisel veriyi değiştirir ve yeniden düzenlemiş olur. Görüşmenin ilerleyen safhalarında arayanın bulunduğu bölgede bir servis sağlayıcısını kendisine önermek için lokasyonunu danışabilir.

Benzer olarak, bir ürün geliştirme ekibi, bir ticari fuardaki müşteri memnuniyeti anketlerinden elde edilen sonuçları toplar. Anket sonuçları demografik bilgilere göre kategoriler halinde düzenlenebilir. Anketlerin elle doldurulmuş kağıt kopyaları bilgisayar ortamına veri girişi yapılarak depolanırken formu, ortamı ve yapısı değiştirilmiş olur. Anketlerden elde edilen birleştirilmiş veriler, önceki anketlerden sağlanan sonuçlarla karşılaştıran bir grafikte gösterildiğinde başka bir form şeklinde yapılandırılmış olur. Ekip yeni bir ürün adına bir pazarlama planı oluşturmak için anket sonuçlarını kullanır.

Başka bir örnekte ise İK müdürü, ekibiyle açık bir iş pozisyonu için aday listesini paylaşarak veriyi açıklamış ve aktarmış olur. İstihdam için gerekli başvurular ve diğer ilgili belgeler ihtiyaç duyulmadığında imha edilir. İK departmanı, yeni işe alınan çalışanın iş başvurusunu, performans yorumlarını ve fayda bilgilerini içeren bir dosyayı saklar, depolar. Çalışanın altı aylık performans incelemelerinin birleştirilmesi yıllık incelemesini geri bildirimi için kullanılır.


VERİ İŞLEME İLKELERİ

7 Nisan 2016 tarihinde devreye giren KVKK’mize göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Şimdi 1980’lere kadar uzanıp bu ilkelerin nereden geldiğine dair köklere dokunalım:


OECD Veri İşleme İlkeleri

Kişisel Verilerin ve Sınır Ötesi Veri Akışlarının Korunmasına İlişkin Ekonomik İşbirliği ve Kalkınma Kılavuzları Örgütü (OECD Kılavuzları), belki de kayda değer uygulamalar içinde en yaygın kabul gören çerçevedir. 1980 de oluşturulmuş bu ilkelere değinecek olursak:

  • Veri Toplama Sınırlaması: Kişisel verilerin toplanmasına sınırlama getirilmeli ve bu tür verilerin yasal ve adil yollarla ve gerektiğinde, ilgili kişinin bilgisi veya rızasıyla elde edilmesi gerekir.
  • Veri Kalitesi: Kişisel veriler, kullanılacakları amaçlarla ilgili olmalı ve bu amaçlar için gerekli olduğu ölçüde, doğru, eksiksiz ve güncel tutulmalıdır.
  • Amacın Belirtilmesi: Kişisel verilerin toplanma amacı ve söz konusu verilerin kullanımı, bu amaçların ya da bu amaçlarla uyumsuz olmayan diğer amaçların yerine getirilmesiyle sınırlı olmak kaydıyla, verilerin toplandığı tarihten daha geç olmamak kaydıyla belirlenmeli ve her türlü amaç değişikliği belirtilmelidir.
  • Kullanım sınırlaması: ‘Kişisel veriler; a) ilgili kişinin rızası b) kanun yetkisi istisnaları dışında açıklanmamalı, kullanıma sunulmamalı veya belirtilenler dışında başka amaçlar için kullanılmamalıdır (amacın belirtilmesi ilkesi)
  • Güvenlik önlemleri: Kişisel veriler; kayıp veya yetkisiz erişim, imha, kullanım, değiştirilme veya verilerin ifşası gibi risklere karşı makul güvenlik önlemleri ile korunmalıdır.
  • Açıklık: Kişisel verilerle ilgili gelişmeler, uygulamalar ve politikalar konusunda genel bir açıklık politikası olmalıdır. Kaynaklar; kişisel verilerin mevcudiyetini, mahiyetini ve bunların kullanımının ana amaçlarının yanı sıra veri sorumlusunun kimliği ve olağan ikametgahını saptanmasına yönelik kolayca erişilebilir olmalıdır.
  • Bireysel katılım: Bir birey şu haklara sahip olmalıdır: a) bir veri sorumlusundan bilgi temini veya diğer bir deyişle, veri sorumlusunun kendisine ait verilere sahip olup olmadığının teyidi; b) kendisiyle ilgili verilerin kendisine, makul bir süre içinde ve varsa aşırı olmayan bir ücret karşılığında, makul bir şekilde ve halihazırda okunabilir bir biçimde bildirilerek bilgilendirilmesi, c) (a) ve (b) şıklarında belirtilen taleplerin reddedilmesi halinde sebeplerin belirtilmiş olması ve bu redde itirazda bulunulabilmesi; ve d) kendisiyle ilgili verilere itiraz etmek ve eğer itiraz başarıya ulaşmış ise verilerinin silinmesi, düzeltilmesi, eksikliklerin tamamlanması veya değiştirilme hakkına sahip olması.
  • Yükümlülük (hesap verilebilirlik): Bir veri sorumlusu, yukarıda belirtilen ilkelere etki eden tedbirlere uymaktan sorumlu olmalıdır.

GDPR Veri İşleme İlkeleri

GDPR’nin 5. maddede belirtilen işleme esasları, OECD Kılavuzları da dahil olmak üzere önceki yasa ve yönetmeliklerden süregelmektedir. Geniş çapta yorumlanabilmelerine rağmen, bu ilkelerin ihlalleri, GDPR altında geniş idari para cezalarına yol açabilir. Veri işleme ilkeleri şunlardır: hukuka uygunluk, dürüstlük ve veri işlemede şeffaflık; amaç sınırlaması; veri minimizasyonu; veri kalitesi ve doğruluğu; veri saklama sınırlaması; bütünlük ve gizlilik; ve yükümlülük (hesap verilebilirlik)

  • Hukuka Uygunluk; Kişisel Veriler kazara kayıp, hasar veya imhaya karşı güvence altına alınmalıdır. Veri işleme yasal olmalıdır, şöyle ki; İlgili kişi her hizmete dair veri işleme için açık onay vermelidir, Gerçekleştirilecek işleme sözleşmenin uygulanması için gereklidir, yasal bir zorunluluğa uymak için işleme gerekli olmalıdır.
  • Şeffaflık; veri sorumlusu ve ilgili taraflar arasında her türlü iletişim özlü, şeffaf ve anlaşılabilir olmalıdır. Veri sorumluları, bir bireyin verilerini nasıl, neden toplandığı ve işlendiği hakkında net ve açık bilgi sağlamalıdır. Veri sorumluları, veri koruma görevlisi, veri sorumlusu ve ilgili kişinin sahip olduğu belirli haklar da dahil olmak üzere kuruluştaki bireyler hakkında proaktif olarak bilgi sağlama yükümlülüğüne sahiptir. Tüm ilgili kişiler, kendi verilerine dair silme, düzeltme, itiraz etme, bilgilendirilme, taşıma, kısıtlama, profil oluşturulmasına itiraz, haklarına sahiptir.
  • Amaç sınırlaması; yalnızca belirtilen amaç için kişisel verilerin toplanmasını ve işlenmesini gerektirir. Kişisel verilerin başlangıç sınırından daha fazla işlenip işlenemeyeceğini belirlemek için; amaçlar, verinin doğası, toplama yöntemi, ikincil kullanımların sonuçları ve güvenlik tedbirleri arasındaki bağlantıları aramak için bir uyumluluk testi kullanılması gerekir.
  • Veri minimizasyonu ve orantılılık ilkesi, yalnızca amaç için ilgili ve gerekli olan kişisel verilerin işlenmesi anlamına gelir.
  • Veri kalitesi ve doğruluğu, eksiksiz ve güncel kişisel verilerin işlenmesini içerir.
  • Veri saklama sınırlaması, yalnızca amaç için ilgili ve gerekli olan kişisel verileri korumak anlamına gelir.
  • Gizlilik ve bütünlük, kişisel verilerin güvende olmasını gerektirir.
  • Yükümlülük (hesap verebilirlik), kişisel verileri sorumlu bir şekilde işlemek ve AB ve üye devlet veri koruma yasalarına uygunluğu kanıtlanması anlamına gelir.

Geleneğimizi sürdürelim ve sözü duayene bırakalım:

“Ekipler bir gecede kurulamaz. İşleyebilecek duruma gelmeden önce uzun zamana ihtiyaçları vardır. Ekipler karşılıklı güven ve anlayışa dayanır ve bunu oluşturmak da yıllar alır. Benim deneyimime göre, bunun için en az süre, üç yıldır.” 

Peter F. Drucker

KVKK Kararı, Kuvözdeki Bebek Ve İlgili Kullanıcılar

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı yayımlandı, peki her organizasyonu ilgilendiren bu önemli kararı SİZ KENDİ KURUMUNUZDA YAYIMLADINIZ MI?

Danışmanlıklarda, derslerde ve eğitimlerde kullandığım metaforlarımdan birine burada yer vererek başlayalım izninizle:

Genel kişisel veriler bize emanet edilen bir “bebek” ise, özel nitelikli kişisel veriler, emanet edilen “kuvözdeki bebektir”. Ekstra kontrole, bakıma, ihtimama ve gözetime ihtiyaç duyar, sorumluluğu ve maliyeti her zaman daha yüksektir ve nihai olarak kaybı durumunda daha fazla can acıtır.

Özel nitelikli kişisel verilere dair; Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı yayımlandı. Toplam 6 maddeden oluşan ve KVKK’nin 6.maddesinin 4. fıkrası ve 22. maddesini refere alan karar aslında yerine ve profiline göre (Ör: Sağlık Sektörü) Pandora’nın Kutusu niteliği taşıyabilecek, zira bazı maddeler var ki ilgili profildeki bazı şirketler için ciddi maliyet ve yönetim kararları anlamına gelecek.

Yayınlaman bu karar ve yorumları Linkedin’de, portallerde defaatle okumuşsunuzdur, bunların yeterince ve hakkıyla işlendiğini düşünüyorum. Bu yazımda değinmek istediğim nokta önemli görülen bu kararı yeterince kurumunuzda duyurup duyurmadığınız ile ilgili… Neden duyurmalısınız? Çünkü:

Politika, prosedürler, resmi deklarasyonlar (mail de dahil), üst yönetimin ve ilgili makamın organizasyondaki çalışanlardan beklentesine ve bazı risklerin yönetimine dairdir. Dolayısı ile yeterince duyur(a)madığınız, bilgilendir(e)mediğiniz kararlar için çalışanlardan rol, sorumluluk ve farkındalık bekleyemezsinizbeklememelisiniz, daha da ötesi disiplin süreçlerini işletmemelisiniz. Çünkü günün sonunda bu; çalışma süreç ve etiklerine uygun olmadığı gibi, kurum kültüründe tehlikeli ve çoğalarak bölünmeye yol açan kanser hücresi “blame culture”ı tetikler, nihai olarak da herhangi bir adli vakada siz ve kurumunuzun haksız çıkacağı birçok dava dosyası ile sabittir.

Daha fazla uzatmadan bu “kuvözdeki bebeğin” itina ile korunma kararına dair, duyurulması ve/veya beraber çalışılmasında kanaat getirilen ilgili birimlere aşağıdaki tablolarda yer vermeye çalıştım, uygun gördüğünüz durumda duyurmanızdan zarar gelmeyip, fayda geleceği kanaatindeyim. Nihai faydanın ise birimler ile duyuru sonrası toplantılar, atölyelerden çıkacağını öngörüyorum. Tablodaki bilgiler tecrübelere dayanmaktadır ve taşa yazılı kaideler içermiyor, yani eksik veya fazla olabileceği gibi organizasyonların profilleri farklılık gösterebileceğinden kendi iç yapılarına göre düzenlenmesi gerekebilir. (Örnek Veri Koruma Departmanı yerine ilgili görevlendirilmiş birim, kişi gibi)

Her zamanki gibi kapanışımızı Peter F. Drucker yapıyor:

” İnsan öldükten sonra neyle hatırlanmak istediğini kendine sormalı. Hatırlanmaya değer olan, birinin başkalarının yaşamlarında yarattığı olumlu farklardır.”

Peter F. Drucker

(EU’ya selam olsun 🙂 )

GDPR – WP29 – AÇIK RIZA (EXPLICIT CONSENT) GÖRÜŞLERİ

25 Mayıs 2018’de reel olarak hayata geçecek Genel Veri Koruma Tüzüğü uyarınca, AB mahremiyet yasasındaki en çarpıcı değişikliklerden biri, AB’nin kullanıcı rızalarına olan çok katı yaklaşımdır. Uzun yıllardır AB’de faaliyet gösteren şirketler, ilgili veri koruma, mahremiyet ve doğrudan pazarlama yasalarına uyumu; yoğun şekilde kullanıcı onayı (açık rıza) üzerine dayandırarak sağlamaktaydı. GDPR ilk kez yayımlandığında ise, AB’nin, açık rıza izin kullanımlarında fertlere adil davranılmadığının, sömürüldüğünün hissedildiği alanlarda çok sert yaptırımlar uygulayacağı ortaya çıktı.

Önümüzdeki dönem yeni adı European Data Protection Board (EDPB) olacak olan (Working Party) WP29, diğer bir deyişle AB’nin ulusal veri koruma makamlarını temsil eden kilit danışma organı olan WP29, tarafından 18 Aralık’ta yayımlanan taslak açık rıza rehberi, regülatörlerin açık rıza yaklaşımlarının kati ve sert olacağını bir kez daha doğrulamıştır. Okumaya değer olan rehbere dair, zamanı olmayanlar için bazı önemli noktaları burada yer veriyoruz.

  • Açık rızalar paket-le-ne-mez. Aksine, rızalar ayrıntılı olarak sunulmalıdır. Verilerin işleneceği her bir amaç için ayrı bir onay gerekecektir. WP29 bunun da bireylere uzun checkboxlar listesi ile rutin olarak sunulması durumunda kolayca tıklama yorgunluğuna (gönüllü onayın geçerliliği hakkında şüphe uyandırmaya) yol açabileceğini kaydediyor, ve bunun veri sorumluları için bir problem olacağını öngörüyor.
  • Kişisel verilerin kullanımlarına “gereğinden fazla” açık rıza verilmesi, bir hizmete erişim için bedel olarak kullanılamaz. Bu, GDPR’nin, davranışsal reklamcılık veya diğer pazarlama amaçları için kullanılan, kişisel verilere erişim karşılığında ücretsiz hizmetler (ücretsiz bir uygulama gibi) sağlamaktaki yaygın ticari modeli geçersiz kıldığına dair önemli bir işaret olarak görülmektedir.
  • GDPR kapsamında; artık özel nitelikli kişisel verilerin işlenmesi için gereken “açık” rıza, “normal” rıza için zaten sıkı olan standarttan daha güçlü bir şey gerektiriyor. Rehber, bir opt-in kutusunu tıklamak ve daha sonra rızanızı onaylamak için bir metne veya e-postaya olumlu yanıt vermek gibi kullanıcı tarafından ilave bir doğrulama adımı içeren çeşitli mekanizmalar önermektedir. Kullanıcıların, fazladan atılması gereken bu adımları ve ekstradan oyalanmalarını memnuniyetle karşılayıp karşılamayacakları belli olmasa da WP29 gerçekten “açık rıza” düzeyine erişebilmek için “daha fazla” bir şeyler olması gerektiğini savunuyor.
  • Veri sorumluları, kişisel veriyi işlemek için hukuki dayanaklarını önceden belirlemelidir ve işleme için ilk dayanak kusurluysa, dayanaklar arası “geçiş yapılamaz“. Başka bir deyişle veri sorumluları; belirlenmiş bir veri işleme prosesi için, “yedek” dayanaklara sahip olamaz, bu veri işleme faaliyetleri sözleşme performansı, meşru menfaat veya rızanın gerekliliği gibi birden fazla dayanakla yapılmış olsa bile…

Her zamanki gibi yazımızın son kısmı bildiğiniz üzere Peter Drucker’dan geliyor:

“Geleceğin Toplumu’ndaki kuruluşlarda şirket, üst yönetimden ibaret olacaktır. Diğer her şey dışarıdan temin edilebilir. Kuruluşunuzun değerlerine, misyonuna ve vizyonuna odaklanın. Diğer her şeyi dışarıdan temin etmeyi düşünün.”

Yani “Do what you do best and outsource the rest.”