kişisel verilerin korunması kanunu semineri · kişisel verilerin korunması kanunu semineri 7...
TRANSCRIPT
Kişisel Verilerin Korunması Kanunu Semineri
7 Nisan 2016’da yürürülüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte şirketleri bekleyen çok önemli değişiklikler bulunmakta. Uluslararası benzer standartlar ve Kanunlar ile birlikte değerlendirildiğinde; KVKK ile birlikte kişisel verilerin sınırsız olarak gelişigüzel toplanması, denetimsiz olarak açıklanması veya yetkisiz kişilerin eline geçmesi durumunda kötüye kullanılarak kişilik haklarının ihlal edilmesi gibi sorunların önüne geçilmesi amaçlanıyor.
Kanun’da yer alan çerçeve ilkeler ve maddeler ile beraber şirketlerin uyması gereken kurallar belirlenmekte ve söz konusu kurallara ihlal olması durumunda karşılaşılacak cezai ve hukuki yaptırımlar yer almakta. Toplantıda şirketlerin alması gereken aksiyonlar ve kanuna uyum konuları değerlendirilecektir.
LCV: Yeliz AlçınkayaE: [email protected] T: 0216 317 77 30
16 Kasım 2016, ÇarşambaFinansal Kurumlar Birliği Konferans Salonu
© 2016 Akis Bağımsız Denetim ve SMMM A.Ş., KPMG International Cooperative’in üyesi bir Türk şirketidir. Tüm hakları saklıdır. Türkiye’de basılmıştır. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır.
Adres: Esentepe Mah. Büyükdere Cad. Bahar Sok. No:13 River Plaza Kat:18 Ofis No: 48-49 34394 Şişli / İSTANBUL
ProgramBirinci Oturum İkinci Oturum
Başlangıç Bitiş Başlangıç Bitiş Konu Konuşmacı
Açılış Konuşması Mehmet Cantekin FKB
09:00 09:45 14:00 14:45 Kişisel Verilerin Korunması Kanunu: Şirket’inizi Bekleyen Değişimler Sinem Cantürk KPMG
09:45 10:30 14:45 15:30 Cezai Yaptırımlar ve Kanun’un Getirdiği Yükümlülükler Onur Küçük KPMG
10:30 10:45 15:30 15:45 Ara - İkramlar
10:45 11:30 15:45 16:30 AB ve Uluslararası Standartlar ile Türkiye'deki Uygulamalar Onur Küçük KPMG
11:30 12:00 16:30 12:30 Süreçleriniz ve Sistemleriniz Kanun'a Uyumlu mu? Ehtiram İsmayilov KPMG
Sinem Cantürk, kariyerine 1996 yılında Yapı Kredi Bankası’nda başlamıştır ve 10 yıl boyunca uygulama geliştirme takım lideri, uygulama mimarı, proje yöneticisi gibi çeşitli rollerde görev almıştır.
KPMG Türkiye’ye 2006 yılında katılan Sinem Cantürk, Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Finansal Servisler Sektör Lideri olarak, KPMG’yi son 5 yıldır düzenleyici birimlerde (BDDK, SPK, KGK, BTK) temsil etmektedir.
Ehtiram İsmayilov, 2006 yılından bu yana KPMG Türkiye’de, Bilgi Sistemleri Risk Yönetimi Bölümü’nde Direktör olarak görev yapmaktadır.
KPMG Türkiye’deki kariyerinde çeşitli sektörlerde faaliyet gösteren birçok şirketin denetim ile danışmanlık görevlerinde rol alan Ethiram İsmayilov’un, sektör tecrübeleri arasında finans sektörü (bankacılık, sigortacılık, faktöring, yatırım, leasing), enerji, havacılık ve otomotiv yer almaktadır.
Onur Küçük, kariyerine Motorola Türkiye’de başlamıştır. 2006-2011 yılları arasında Küçük Hukuk Bürosu adı ile kendi hukuk bürosunu kurmuş ve küçük ve orta ölçekli firmalara Ticaret Hukuku, Sözleşmeler, İş Hukuku, Şirket Birleşme ve Devralmaları ile Ticari Davalar konularında danışmanlık ve avukatlık hizmetleri vermiştir. 2011-2015 yılları arasında Bener Hukuk Bürosunda Partner olarak görevini ifa eden Onur Küçük, 2016 yılında KPMG Hukuk bölümüne Hukuk Bölüm Başkanı olarak katılmıştır.
Onur KüçükŞirket Ortağı, Hukuk Bölümü Başkanı
Sinem CantürkŞirket Ortağı, Bilgi Sistemleri Risk Yönetimi Başkanı
Ehtiram İsmayilovDirektör, Bilgi Sistemleri Risk Yönetimi
İletişim
Sinem CantürkBilgi Sistemleri Risk Yönetimi Bölüm Başkanı, Şirket Ortağı
T: +90 216 681 90 37M: +90 533 294 36 08E: [email protected]
KPMG TürkiyeRüzgarlıbahçe Mah. Kavak Sok.No:29Kavacık, 34805 Beykoz / İstanbul
Onur KüçükHukuk Bölüm Başkanı, Şirket Ortağı
T: +90 216 681 90 21M: +90 530 497 76 92E: [email protected]
KPMG TürkiyeRüzgarlıbahçe Mah. Kavak Sok.No:29Kavacık, 34805 Beykoz / İstanbul
Ehtiram IsmayilovBilgi Sistemleri Risk Yönetimi Bölümü, Direktör
T: +90 216 681 91 61M: +90 533 294 61 13E: [email protected]
KPMG TürkiyeRüzgarlıbahçe Mah. Kavak Sok.No:29Kavacık, 34805 Beykoz / İstanbul
Kişisel Verilerin KorunmasıONUR KÜÇÜKKasım, 2016
kpmgvergi.comkpmg.com.tr
2
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
İçerik
• Genel İlkeler• Genel Olarak Yükümlülükler ve
Yaptırımlar 1- Aydınlatma Yükümlülüğü
• Açık Rıza Kavramı2- Veri Güvenliğine İlişkin Yükümlülükler3- Kişisel Verilerin Yok Edilmesi
• Kurulun Kararları • Türk Ceza Kanunu’ndaki Düzenlemeler• Sorular
Kanun’un Getirdiği Yükümlülükler ve Cezai Yaptırımlar
• GDPR ile gelen yeni kavramlar • KVKK İkincil Mevzuat
AB ve Uluslararası Standartlar ileTürkiye'deki Uygulamalar
Kanun’un Getirdiği Yükümlülükler ve Cezai Yaptırımlar
4
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Genel İlkeler
Hukuka ve dürüstlük kuralına uygun
Güncel olma (Accuracy)
Meşru amaçlar için işlenme
Orantılılık
Amaçla orantılı süre boyunca muhafaza edilme
5
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Genel Yükümlülükler ve Yaptırımları
Aydınlatma Yükümlülüğü Açık Rıza Kavramı
Veri Güvenliğine İlişkin Yükümlülükler
Verilerin İmha Edilmesi
Kurul Kararları
6
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
1- Aydınlatma Yükümlülüğü
Ne zaman?
Nasıl?
Hangi Koşullarda?
Yükümlülükler
7
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Aydınlatma Yükümlülüğü- ÖrnekYüküm
lülükler
8
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Aydınlatma YükümlülüğüYaptırım
lar
İdari Para Cezası
5.000 Türk lirasından 100.000 Türk lirasına kadar
9
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Açık Rıza KavramıKural: İlgili kişinin açık rızası (Ör: KVKK m.5/I, 6/II, 8/I, 9/I)
Açık Rıza Nedir? Özgürce
Konuyla ilgili yeterli bilgi sahibi olarak => Aydınlatma Yükümlülüğü (m.10)
Tereddüde yer bırakmayacak açıklıkta ve
Yalnızca o işlemle (amaçla) sınırlı olarak verdiği onay
Veri işlenmesine ilişkin amaç değiştiği hallerde yeniden rıza alınması gerekir
Yükümlülükler
10
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Açık Rızanın Aranmadığı Haller
ÖNKV Bakımındanİstisnalar
Sağlık vecinsel hayatailişkin ÖNKV
Diğer ÖNKV
Kanunlarda öngörülen hallerde
işlenebilir
Diğer Kişisel Veriler
Yönünden İstisnalar
Bir kere rıza alınması yeterli mi?
Yükümlülükler
11
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
2- Veri Güvenliğine İlişkin YükümlülüklerYüküm
lülükler
•Fiziksel•Bina dışı güvenliğinin temini•Kapı ve pencerelerin güçlendirilmesi•Alarm sistemi
•Yazılım•Şifreleme•Loglama•Biometrik teşhis sistemleri
Teknik tedbirler
•Talimat, planlama aracılığıyla uygulanan koruma çalışmalarıdır. •Ziyaretçi bildirimi• İşyeri gizlilik politikaları•Denetimler
İdari Tedbirler
•Bina güvenliği•Odaların güvenliği
Fiziki Giriş Kontrolü
Erişim Kontrolü
Yetki Kontrolü
İletme Kontrolü
12
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
2- Veri Güvenliğine İlişkin YükümlülüklerYüküm
lülükler
Elektronik ortamda aktarım esnasında güvenlik
Taşıma esnasında güvenlik
Aktarım esnasında güvenlik
Denetlenebilirlik
Veri İşleme Kontrolü
Sürekli Erişilebilir Olma
•Farklı amaçlara toplanan kişisel verilerin birbirinden ayrı işlenmesini ifade eder. •Sistemlerin birbirinden ayrılması•Veri tabanında ayrı tablolar•Ayrı veri tabanları
Ayırma
Tekniğin güncel durumu göz önünde bulundurularak yapılmalıdır.
Maliyet vs. Verilerin Arz Ettiği Potansiyel Risk
13
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Veri Güvenliğine İlişkin YükümlülüklerYaptırım
lar
İdari Para Cezası
15.000 Türk lirasından1.000.000 Türk lirasına kadar
14
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
3- Kişisel Verilerin Yok EdilmesiYüküm
lülükler
• Kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler yok edilmelidir.
• TTK m.82 ve m.64• Sosyal Sigorta Işlemleri Yönetmeliği (m.107/I)
• İşyeri ile ilgili tüm defter ve belgeler • İlgili takvim yılını müteakip 10 yıl
• TCK m.138• Verileri sistem içinde yok etmekle yükümlü olanlar• Kanunların belirlediği süreler
• Kurula şikayet => Yerine getirilmezse idari para cezası
Kişisel Verilerin Yok Edilmesi (m.7)
15
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
3- Kişisel Verilerin Yok EdilmesiYüküm
lülükler
• Çalışanlara ait kişisel verilerin kullanılması (TBK m.419) • İşe yatkınlık• Hizmet sözleşmesinin ifası için zorunlu olma
• İşçiye ait kimlik bilgileri (İK m.75)• Hamile çalışanların hamileliklerinin son 2 ayında
çalışabileceklerine ilişkin rapor (İK m.74)• Hesap Pusulası (İK m.37)• İzin belgelerinin saklanması (İK m.56)• Fazla çalışmaya ilişkin muvafakatname (İK m.44)• İşten ayrılma bildirgesi (SSGSS m.9)
İş Hukuku’na İlişkin Düzenlemeler
16
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Kurul KararlarıYaptırım
lar
İdari Para Cezası
25.000 Türk lirasından 1.000.000 Türk lirasına kadar
17
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
Türk Ceza Kanunu’nda DüzenlemelerYüküm
lülüklerÖzel Hayata ve Hayatin Gizli Alanina Karşi Suçlar(m.132-139)
• Hukuka aykırı olarak kişisel verileri kaydedilmesi (Özel nitelikli kişisel veri söz konusu ise verilecek ceza yarı oranında artırılır).
Kişisel Verilerin Kaydedilmesi (m.135), 1 yıl - 3 yıl
• Verileri hukuka aykırı olarak başkasına• verilmesi, • yayılması veya• ele geçirilmesi
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme(m.136), 2 yıl - 4 yıl
Verileri yok etmeme (m.138), 1 yıl – 2 yıl
Bilişim suçları (m.243 – m.246)
AB ve UluslararasıStandartlar ileTürkiye'dekiUygulamalar
19
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
• Kişisel Verilerin Uluslararası Dolaşımının Bir Düzene Bağlanması
• Ülkeler arasındaki farlı koruma düzeyleri açısından asgari bir standart öngörülmesi
• Temel hak ve özgürlüklerin korunması
95/46/EC nin çıkış nedenleri
20
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
15 Kasım 1995 :Türkiye MillîFutbol Takımı İsveç'le beraberekalarak, ilk kez AvrupaŞampiyonası finallerine katılmahakkı kazandı
25 Mayıs 1995 : Nasuh Mahrukidünyanın en yüksek tepesi olanEverest'in zirvesine çıkan ilk Türkoldu.
21
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
1981: 108 nolukonvansiyon
1995: 95/46 EC
2007: I PHONE
2012: GDPR Çalışmaları
2016: GDPR
1981: 108 nolu sözleşmenin imzalanması
27 Mart 2016: 108 nolu sözleşmenin
onaylanması
7 Nisan 2016: KVKK
20 Ekim 2016: SB Yönetmeliği
22
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
23
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
GDPR ile gelen yeni kavramlar
General Data Protection Regulation («GDPR»)
• Olumlu beyan şeklinde olmalı (gerekçe § 32) => 95/46/EC’de bazı hallerde pasif bir davranışla olabileceği de kabul ediliyor (ör: Ticari Elekt. İletiler),
• Toplama• Transfer• Imbalance
• İhlal bilgilendirmeleri hakkında daha detaylı düzenelemeler• Data protection officer• Yurtdışına transferlerde yeni opsiyonlar• Unutulma Hakkı• Profiling PIA
Rıza
24
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
KVKK İkincil Mevzuat
BEKLENTİMİZ : KVKK’nın GDPR’a uyumlu hale getirilmesi
Kanun değişikliği İkincil
mevzuat
Uygulamalar
26
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
AB’DE SEKTÖR SPESİFİK DÜZENLEMELER
İSTİHBARAT FAALİYETLERİ • Sözleşme Serbestisi• Regulation No. 1060/2009/EC • Regulation No 462/2013/EU • Rızaya gerek var mı?• Hukuki sebep olarak meşru menfaate gidilebilir mi?
• Hangi veriler kullanılabilir?• İlgili kişinin hakları• Bilgi alma• Silinme
27
Document Classification: KPMG Confidential
© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.
İstihbarat Faaliyetleri
Meşru Menfaat
Ticari İlişki
Orantılılık
Kimler arasında
yapılabilir?
Credit rating
agency ve finansman kuruluşları
Araştırmayı yapma
hakkınız var mı?
Onay almanız
lazım mı?
Teşekkürler
Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumunahitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın , budökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçrekuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative’e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanınKPMG International Cooperative’e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecekzorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.
© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’intescilli ticari markalarıdır. Türkiye’de basılmıştır.
Süreçleriniz ve Sistemleriniz Kanun'a Uyumlu mu?
Ehtiram Ismayilov
2© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
1. Kişisel verilerin işlenmesi öncesinde açık rızaların alınması
2. Verilerin korunması adına her türlü teknik ve idari tedbirlerin
alınması ile ilgili süreçlerin yönetimi ve takibi için veri
sorumlusu atanması
3. Veri sahiplerinden gelen başvuruların zamanında ve eksiksiz
cevaplanması için gerekli süreçlerin tasarlanması ve
işletilmesi
4. Veriyi temin etme amacı ortadan kalktığında şirket bünyesinde
bulunan verilerin imha/silinme/anaonimleştirmesine ilişkin
süreçlerin tasarlanması ve işletilmesi
Kanun ‘un Beraberinde Getirdiği Yenilikler
3© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
İlgili StandartlarBS10012 standardı, Kişisel Verilerin Korunması Kanunu’un oluşması sürecinde dikkate alınan bir referans olup kişisel verinin korunması ile ilgili yayımlanan ilk standarttır. Standart kullanılarak Kanun’a uyumlu olacak şekilde farkındalık eğitimi, risk değerlendirmesi, verinin paylaşılması, saklanması ve imhası gibi konularda detaylı olarak yönlendirme gerçekleştirmektedir.
Türkiye’de sertifikalandırılan şirket sayısının artması ile birlikte bilinen bir standart haline gelen ISO27001 Bilgi Güvenliği Yönetim Sistemi ile kritik bilgileriniz korunmakta, gizliliğe ilişkin güven ortamı yaratılmakta ve değerli bilgi varlıkları yönetilebilmektedir.
4© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Şirketler Olarak Ne Yapmalıyız?Şirketler, Kanun’da belirtilen ve aşağıda detaylarına yer verilen süreç ve kontrol mekanizmalarının oluşturulmasından, etkin şekilde işletilmesinin gözetiminden sorumludur.
• Kişilerden, kişisel verilerinin işlenmesi için izinlerin alınması
• Kişisel verilerin işlenmesinin kontrollü olarak gerçekleştirilmesi
Madde 5
• Kişilerden, özel nitelikli kişisel verilerinin işlenmesi için izinlerin alınması
• Özel nitelikli kişisel verilerin tespiti, sınıflandırması ve işlenmesi için gerekli süreç, iş akışı ve önlemlerin tesis edilmesi
Madde 6
• Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirmesine ilişkin süreç ve iş akışlarının tasarlanması
Madde 7
• Kişilerden, kişisel verilerinin üçüncü kişiler ile paylaşılması için izinlerin alınması
Madde 8
5© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Şirketler Olarak Ne Yapmalıyız?
• Yurtdışına çıkarılacak veriler için ilgili ülkede yeterli korumanının bulunmaması durumunda alınan önlemlerin koruma için yeterli olup olmadığının değerlendirilmesi
• Yurtdışına çıkarılacak kişisel veriler için gerekli izinlerin alınması
Madde 9
• Veri sorumlusu sorumluluklarının tesis edilmesi ve aydınlatma yükümlülüğü kapsamında farklı kanallar aracılığıyla yapılacak bilgilendirmeler için ilgili dokümantasyonun hazırlanması
Madde 10
• Veri sorumlusunun gerçek veya tüzel kişi olarak tesisedilmesi
• Kanuna uyumluluğa ilişkin denetim yapısının tesis edilmesi
• Kişisel verilerin bulunduğu sistemler ve altyapılar için gerekli güvenlik önlemlerinin alınması
• Kişisel verilere erişimin sınırlandırılması ve muhafazasıiçin teknik ve idari tedbirlerin tesis edilmesi
• Kişisel verilerin ele geçirilmesi durumunda Kurul' a bildiri yapılmasına ilişkin mekanizmanın tesis edilmesi
Madde 12
6© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Çalışmalara Nereden Başlamalıyız?
Mevcut Durum TespitiŞirket, Kanun kapsamındaki maddelere uyumluluğunu değerlendirerek durum tespiti yapmalı ve uyum değerlendirmesi neticesinde ortaya çıkan eksiklerin iyileştirilmesine
ilişkin için yol haritasını oluşturmalıdır.
Kanun Kapsamında Uyum Analizi
Eksikliklerin Belirlenmesi
Kişisel Verilerin Yönetimi Süreci Tasarlanmalı
Rol ve Sorumluluklar Belirlenmeli
Süreç Değişiklikleri ve İyileştirmeleri
Eksikliklerin İyileştirilmesi Mevcut durum tespiti sonucu ortaya çıkan Kanun ile uyumlu olmayan alanlar
doğrultusunda oluşturulması gereken politika, prosedür ve veri akışları oluşturulmalı, süreç değişiklikleri ve Kanun’a uyum çerçevesinde gerekli idari ve
teknik iyileştirmeler yapılmalıdır.
Kanun’un 12. Maddesinin 7. Fıkrasının C bendinde, ”Şirketler verilerin muhafazası için gerekli tüm idari ve teknik tedbirleri almak zorundadırlar” hükmü yer almaktadır. Bu maddeye istinaden şirketlerin Kanun maddelerine uyum sağlamaları için yol haritası aşağıda belirtilmiştir.
Veri Envanteri Oluşturulması
Mevcut Durumun Tespiti
8© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Mevcut Durum TespitiKanun kapsamında alınması gereken önlemler çerçevesinde ilgili mevcut durumun analizi ve varsa eksiklik / iyileştirme noktalarının belirlenmesidir.
Kanun kapsamında veri yönetimi ile ilgili
süreçler, sistemler ve ilgili tanımlı
dokümantasyon ile BT süreçleri ve
Kanun’a uyum açısından
incelenerek, var olan eksiklikler
tespit edilmelidir
İnceleme çalışmaları sonucu tespit edilmiş olan
bulgular değerlendirilmeli,
iyileştirme noktasında öneriler
geliştirilerek süreçler üzerindeki geliştirme alanları
belirlenmelidir.
Kişisel verilerin akışına ilişkin
şirketin taraf olduğu önemli
sözleşmelerin mevzuat bakımından
değerlendirilmesi gerçekleştirilmelidir
9© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Kişisel Verilerin TespitiHangi Kişisel Veriler İşlenmektedir?
Hangi Amaçla İşlenmektedir?
Hangi Ortamda Bulunan Kişisel Veriler İşlenmektedir?
Kişisel Veriler Kimlerle Paylaşılarak İşlenmektedir?
Hangi Bölüm Tarafından Paylaşılan Kişisel Veriler İşlenmektedir?
Hangi Yöntem İle Paylaşılarak İşlenmektedir?
Hangi Süreçlerdeki Kişisel Veriler İşlenmektedir?
Hangi Hukuki Dayanak İle Kişisel Veriler İşlenmektedir?
Ne Kadar Süreyle Tutularak Kişisel Veriler İşlenmektedir?
Kişisel Veri Envanteri Oluşturuldu mu?
Eksikliklerin İyileştirilmesi
11© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Eksikliklerin İyileştirilmesiMevcut durum tespiti sırasında ortaya çıkan uyumlu olmayan alanların geliştirilmesi amacıyla ilgili eksiklikler giderilmeli, Bu kapsamda aşağıdaki çalışmalar gerçekleştirilmelidir:
Kişisel verilerin toplanması, işlenmesi,
yedeklenmesi, imha süreçleri
ve paylaşımıyla ile ilgili eksik olan politika, prosedür ve
veri akış şemaları
hazırlanmalıdır.
Organizasyonun değerlendirilmesi
sonucu ortaya çıkan eksiklikler
doğrultusunda, Kanun kapsamı
çerçevesinde birimlerde yer alan personelin görev,
yetki ve sorumluluklarına
ilişkin tanımlamaları yapılmalıdır
Kişisel verilerin yönetimine ilişkin
veri yönetim süreçlerinin
Kanun kapsamında
uygun şekilde tanımlanmalı,
dokümantasyonu ve gerekli
geliştirilmeler yapılmalıdır.
Mevcut durum tespiti sonucu ortaya çıkan
eksiklikler doğrultusunda
Şirket süreç değişiklik ve
uygulamalara ilişkin iyileştirme
faaliyetleri gerçekleştirmelidir
Kişisel verilerin akışına ilişkin şirketin taraf
olduğu önemli sözleşmeler mevzuata
uygun hale getirilmelidir.
Alınabilecek İdari Tedbirler Nelerdir?
13© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Farkındalık OluşturulmasıKanuna uyum çalışmaları ile birlikte tüm şirket personeline farkındalık eğitimi verilip, Kanun hakkında farkındalık oluşturulmalıdır. Bu kapsamda aşağıdaki çalışmalar gerçekleştirilebilir:
Kişisel verilerin toplanması, işlenmesi,
yedeklenmesi, imha süreçleri
ve paylaşımıyla ile ilgili olarak
tüm şirket personeline
eğitim verilmelidir.
Belirlenen eksikler ile ilgili
tüm şirket personeline
bilgilendirme ve farkındalık
sunumu yapılmalıdır.
Kanunda belirtildiği üzere
veri sorumlularının
yapması gerekenler
kapsamında veri sorumlularına
verinin işlenmesi, kayıt
sisteminin yönetilmesi konularında
eğitim verilmelidir.
Şirketin yönetici kadrolarına
hukuki bilgilendirme yapılmalıdır.
14© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Gözden Geçirme / Denetim ÇalışmasıMevcut durum tespiti sırasında ortaya çıkan uyumlu olmayan alanlar doğrultusunda ve Kanun kapsamındaki maddelere ait eksiklikler için gözden geçirme / denetim çalışması gerçekleştirilmeli ve raporlanmalıdır. Çalışmaların detayı aşağıda belirtilmiştir:
Veri yönetimi ile ilgili süreçler,
sistemler ve ilgili tanımlı
dokümantasyon BT süreçleri ve Kanun’a
uyum açısından incelenerek gözden
geçirilmelidir.
Mevcut durum tespiti sonucu
belirtilen eksiklikler doğrultusunda
eksiklerin giderildiğine ilişkin gözden geçirme / denetim çalışması
gerçekleştirilmelidir.
Kanun kapsamında maddeler
doğrultusunda gözden geçirme / denetim çalışması
gerçekleştirilmelidir.
Alınabilecek Teknik Tedbirler Nelerdir?
16© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Genel BT Kontrolleri
Bilgi Güvenliği ve Erişim Yönetimi
Veri Aktarımı ve Değişiklik Yönetimi
Yedekleme ve Geri Dönüş
Denetim İzleri ve Güvenlik
17© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Kanun ve Siber GüvenlikKişisel sağlık verilerinin işlenmesini düzenlemek için oluşturulmuş ikincil mevzuatta, «Siber Olaylara Müdahale» ekibi «Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü olan birim» olarak tanımlamıştır.
Madde 11 – (7) Veri sorumlusu, gerekmesi hâlinde bulunduğu ilde görev yapan bilgi güvenliği yetkilisi ve Siber Olaylara Müdahale Ekibi yetkilisi ile işbirliği yapar.
KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK
18© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.
Kanun ve Siber GüvenlikKanun kapsamındaki maddeler ve yayımlanan ikincil mevzuat doğrultusunda, Şirket tarafından alınması gereken teknik tedbirler çerçevesinde bilgi güvenliği açısından değerlendirme yapılması ve kişisel verilerin bulunduğu BT altyapısı ve ağ sistemlerinin global bir siber güvenlik bakış açısıyla değerlendirilmesi önerilmektedir.
Kişisel verilerin
tutulduğu BT altyapısı ve ağ sistemleri için bilgi güvenliği
açısından değerlendirme yapılması ve
Kanun’a uyumsuz
durumların tespit edilmesi
Potansiyel bir atağa maruz kalabilecek bilgilerin
tanımlanması, sistemlerin
tespit edilerek detaylı
incelemeye alınması
Kapsama alınan
sistemler için zafiyet analizi
ve sızma girişiminin
gerçekleştirilmesi, yatay ve
dikey yayılma yaparak erişim
seviyesinin yükseltilmesi
Tespit edilen bulguları ve tavsiyeleri
içeren sonuç raporlarının hazırlanması ve bulguların takip edilmesi
Teşekkürler
Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumunahitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın , budökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçrekuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative’e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanınKPMG International Cooperative’e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecekzorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.
© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’intescilli ticari markalarıdır. Türkiye’de basılmıştır.