kişisel verilerin korunması kanunu semineri · kişisel verilerin korunması kanunu semineri 7...

Kişisel Verilerin Korunması Kanunu Semineri

7 Nisan 2016’da yürürülüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte şirketleri bekleyen çok önemli değişiklikler bulunmakta. Uluslararası benzer standartlar ve Kanunlar ile birlikte değerlendirildiğinde; KVKK ile birlikte kişisel verilerin sınırsız olarak gelişigüzel toplanması, denetimsiz olarak açıklanması veya yetkisiz kişilerin eline geçmesi durumunda kötüye kullanılarak kişilik haklarının ihlal edilmesi gibi sorunların önüne geçilmesi amaçlanıyor.

Kanun’da yer alan çerçeve ilkeler ve maddeler ile beraber şirketlerin uyması gereken kurallar belirlenmekte ve söz konusu kurallara ihlal olması durumunda karşılaşılacak cezai ve hukuki yaptırımlar yer almakta. Toplantıda şirketlerin alması gereken aksiyonlar ve kanuna uyum konuları değerlendirilecektir.

LCV: Yeliz AlçınkayaE: [email protected] T: 0216 317 77 30

16 Kasım 2016, ÇarşambaFinansal Kurumlar Birliği Konferans Salonu

© 2016 Akis Bağımsız Denetim ve SMMM A.Ş., KPMG International Cooperative’in üyesi bir Türk şirketidir. Tüm hakları saklıdır. Türkiye’de basılmıştır. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır.

Adres: Esentepe Mah. Büyükdere Cad. Bahar Sok. No:13 River Plaza Kat:18 Ofis No: 48-49 34394 Şişli / İSTANBUL

ProgramBirinci Oturum İkinci Oturum

Başlangıç Bitiş Başlangıç Bitiş Konu Konuşmacı

Açılış Konuşması Mehmet Cantekin FKB

09:00 09:45 14:00 14:45 Kişisel Verilerin Korunması Kanunu: Şirket’inizi Bekleyen Değişimler Sinem Cantürk KPMG

09:45 10:30 14:45 15:30 Cezai Yaptırımlar ve Kanun’un Getirdiği Yükümlülükler Onur Küçük KPMG

10:30 10:45 15:30 15:45 Ara - İkramlar

10:45 11:30 15:45 16:30 AB ve Uluslararası Standartlar ile Türkiye'deki Uygulamalar Onur Küçük KPMG

11:30 12:00 16:30 12:30 Süreçleriniz ve Sistemleriniz Kanun'a Uyumlu mu? Ehtiram İsmayilov KPMG

Sinem Cantürk, kariyerine 1996 yılında Yapı Kredi Bankası’nda başlamıştır ve 10 yıl boyunca uygulama geliştirme takım lideri, uygulama mimarı, proje yöneticisi gibi çeşitli rollerde görev almıştır.

KPMG Türkiye’ye 2006 yılında katılan Sinem Cantürk, Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Finansal Servisler Sektör Lideri olarak, KPMG’yi son 5 yıldır düzenleyici birimlerde (BDDK, SPK, KGK, BTK) temsil etmektedir.

Ehtiram İsmayilov, 2006 yılından bu yana KPMG Türkiye’de, Bilgi Sistemleri Risk Yönetimi Bölümü’nde Direktör olarak görev yapmaktadır.

KPMG Türkiye’deki kariyerinde çeşitli sektörlerde faaliyet gösteren birçok şirketin denetim ile danışmanlık görevlerinde rol alan Ethiram İsmayilov’un, sektör tecrübeleri arasında finans sektörü (bankacılık, sigortacılık, faktöring, yatırım, leasing), enerji, havacılık ve otomotiv yer almaktadır.

Onur Küçük, kariyerine Motorola Türkiye’de başlamıştır. 2006-2011 yılları arasında Küçük Hukuk Bürosu adı ile kendi hukuk bürosunu kurmuş ve küçük ve orta ölçekli firmalara Ticaret Hukuku, Sözleşmeler, İş Hukuku, Şirket Birleşme ve Devralmaları ile Ticari Davalar konularında danışmanlık ve avukatlık hizmetleri vermiştir. 2011-2015 yılları arasında Bener Hukuk Bürosunda Partner olarak görevini ifa eden Onur Küçük, 2016 yılında KPMG Hukuk bölümüne Hukuk Bölüm Başkanı olarak katılmıştır.

Onur KüçükŞirket Ortağı, Hukuk Bölümü Başkanı

Sinem CantürkŞirket Ortağı, Bilgi Sistemleri Risk Yönetimi Başkanı

Ehtiram İsmayilovDirektör, Bilgi Sistemleri Risk Yönetimi

İletişim

Sinem CantürkBilgi Sistemleri Risk Yönetimi Bölüm Başkanı, Şirket Ortağı

T: +90 216 681 90 37M: +90 533 294 36 08E: [email protected]

KPMG TürkiyeRüzgarlıbahçe Mah. Kavak Sok.No:29Kavacık, 34805 Beykoz / İstanbul

Onur KüçükHukuk Bölüm Başkanı, Şirket Ortağı



Ehtiram IsmayilovBilgi Sistemleri Risk Yönetimi Bölümü, Direktör



mailto:[email protected]



Kişisel Verilerin KorunmasıONUR KÜÇÜKKasım, 2016

kpmgvergi.comkpmg.com.tr

2

Document Classification: KPMG Confidential

© 2016 Yetkin Yeminli Mali Musavirlik A.S., a Turkish cooperation and a member firm of the KPMG network of independent member firms affiliated with International Cooperative, a Swiss entity. All rights reserved. Printed in Turkey.

İçerik

• Genel İlkeler• Genel Olarak Yükümlülükler ve

Yaptırımlar 1- Aydınlatma Yükümlülüğü

• Açık Rıza Kavramı2- Veri Güvenliğine İlişkin Yükümlülükler3- Kişisel Verilerin Yok Edilmesi

• Kurulun Kararları • Türk Ceza Kanunu’ndaki Düzenlemeler• Sorular

Kanun’un Getirdiği Yükümlülükler ve Cezai Yaptırımlar

• GDPR ile gelen yeni kavramlar • KVKK İkincil Mevzuat

AB ve Uluslararası Standartlar ileTürkiye'deki Uygulamalar

Kanun’un Getirdiği Yükümlülükler ve Cezai Yaptırımlar

4



Genel İlkeler

Hukuka ve dürüstlük kuralına uygun

Güncel olma (Accuracy)

Meşru amaçlar için işlenme

Orantılılık

Amaçla orantılı süre boyunca muhafaza edilme

5



Genel Yükümlülükler ve Yaptırımları

Aydınlatma Yükümlülüğü Açık Rıza Kavramı

Veri Güvenliğine İlişkin Yükümlülükler

Verilerin İmha Edilmesi

Kurul Kararları

6



1- Aydınlatma Yükümlülüğü

Ne zaman?

Nasıl?

Hangi Koşullarda?

Yükümlülükler

7



Aydınlatma Yükümlülüğü- ÖrnekYüküm

lülükler

8



Aydınlatma YükümlülüğüYaptırım

lar

İdari Para Cezası

5.000 Türk lirasından 100.000 Türk lirasına kadar

9



Açık Rıza KavramıKural: İlgili kişinin açık rızası (Ör: KVKK m.5/I, 6/II, 8/I, 9/I)

Açık Rıza Nedir? Özgürce

Konuyla ilgili yeterli bilgi sahibi olarak => Aydınlatma Yükümlülüğü (m.10)

Tereddüde yer bırakmayacak açıklıkta ve

Yalnızca o işlemle (amaçla) sınırlı olarak verdiği onay

Veri işlenmesine ilişkin amaç değiştiği hallerde yeniden rıza alınması gerekir

Yükümlülükler

10



Açık Rızanın Aranmadığı Haller

ÖNKV Bakımındanİstisnalar

Sağlık vecinsel hayatailişkin ÖNKV

Diğer ÖNKV

Kanunlarda öngörülen hallerde

işlenebilir

Diğer Kişisel Veriler

Yönünden İstisnalar

Bir kere rıza alınması yeterli mi?

Yükümlülükler

11



2- Veri Güvenliğine İlişkin YükümlülüklerYüküm

lülükler

•Fiziksel•Bina dışı güvenliğinin temini•Kapı ve pencerelerin güçlendirilmesi•Alarm sistemi

•Yazılım•Şifreleme•Loglama•Biometrik teşhis sistemleri

Teknik tedbirler

•Talimat, planlama aracılığıyla uygulanan koruma çalışmalarıdır. •Ziyaretçi bildirimi• İşyeri gizlilik politikaları•Denetimler

İdari Tedbirler

•Bina güvenliği•Odaların güvenliği

Fiziki Giriş Kontrolü

Erişim Kontrolü

Yetki Kontrolü

İletme Kontrolü

12



2- Veri Güvenliğine İlişkin YükümlülüklerYüküm

lülükler

Elektronik ortamda aktarım esnasında güvenlik

Taşıma esnasında güvenlik

Aktarım esnasında güvenlik

Denetlenebilirlik

Veri İşleme Kontrolü

Sürekli Erişilebilir Olma

•Farklı amaçlara toplanan kişisel verilerin birbirinden ayrı işlenmesini ifade eder. •Sistemlerin birbirinden ayrılması•Veri tabanında ayrı tablolar•Ayrı veri tabanları

Ayırma

Tekniğin güncel durumu göz önünde bulundurularak yapılmalıdır.

Maliyet vs. Verilerin Arz Ettiği Potansiyel Risk

13



Veri Güvenliğine İlişkin YükümlülüklerYaptırım

lar

İdari Para Cezası

15.000 Türk lirasından1.000.000 Türk lirasına kadar

14



3- Kişisel Verilerin Yok EdilmesiYüküm

lülükler

• Kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler yok edilmelidir.

• TTK m.82 ve m.64• Sosyal Sigorta Işlemleri Yönetmeliği (m.107/I)

• İşyeri ile ilgili tüm defter ve belgeler • İlgili takvim yılını müteakip 10 yıl

• TCK m.138• Verileri sistem içinde yok etmekle yükümlü olanlar• Kanunların belirlediği süreler

• Kurula şikayet => Yerine getirilmezse idari para cezası

Kişisel Verilerin Yok Edilmesi (m.7)

15



3- Kişisel Verilerin Yok EdilmesiYüküm

lülükler

• Çalışanlara ait kişisel verilerin kullanılması (TBK m.419) • İşe yatkınlık• Hizmet sözleşmesinin ifası için zorunlu olma

• İşçiye ait kimlik bilgileri (İK m.75)• Hamile çalışanların hamileliklerinin son 2 ayında

çalışabileceklerine ilişkin rapor (İK m.74)• Hesap Pusulası (İK m.37)• İzin belgelerinin saklanması (İK m.56)• Fazla çalışmaya ilişkin muvafakatname (İK m.44)• İşten ayrılma bildirgesi (SSGSS m.9)

İş Hukuku’na İlişkin Düzenlemeler

16



Kurul KararlarıYaptırım

lar

İdari Para Cezası

25.000 Türk lirasından 1.000.000 Türk lirasına kadar

17



Türk Ceza Kanunu’nda DüzenlemelerYüküm

lülüklerÖzel Hayata ve Hayatin Gizli Alanina Karşi Suçlar(m.132-139)

• Hukuka aykırı olarak kişisel verileri kaydedilmesi (Özel nitelikli kişisel veri söz konusu ise verilecek ceza yarı oranında artırılır).

Kişisel Verilerin Kaydedilmesi (m.135), 1 yıl - 3 yıl

• Verileri hukuka aykırı olarak başkasına• verilmesi, • yayılması veya• ele geçirilmesi

Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme(m.136), 2 yıl - 4 yıl

Verileri yok etmeme (m.138), 1 yıl – 2 yıl

Bilişim suçları (m.243 – m.246)

AB ve UluslararasıStandartlar ileTürkiye'dekiUygulamalar

19



• Kişisel Verilerin Uluslararası Dolaşımının Bir Düzene Bağlanması

• Ülkeler arasındaki farlı koruma düzeyleri açısından asgari bir standart öngörülmesi

• Temel hak ve özgürlüklerin korunması

95/46/EC nin çıkış nedenleri

20



15 Kasım 1995 :Türkiye MillîFutbol Takımı İsveç'le beraberekalarak, ilk kez AvrupaŞampiyonası finallerine katılmahakkı kazandı

25 Mayıs 1995 : Nasuh Mahrukidünyanın en yüksek tepesi olanEverest'in zirvesine çıkan ilk Türkoldu.

21



1981: 108 nolukonvansiyon

1995: 95/46 EC

2007: I PHONE

2012: GDPR Çalışmaları

2016: GDPR

1981: 108 nolu sözleşmenin imzalanması

27 Mart 2016: 108 nolu sözleşmenin

onaylanması

7 Nisan 2016: KVKK

20 Ekim 2016: SB Yönetmeliği

22



23



GDPR ile gelen yeni kavramlar

General Data Protection Regulation («GDPR»)

• Olumlu beyan şeklinde olmalı (gerekçe § 32) => 95/46/EC’de bazı hallerde pasif bir davranışla olabileceği de kabul ediliyor (ör: Ticari Elekt. İletiler),

• Toplama• Transfer• Imbalance

• İhlal bilgilendirmeleri hakkında daha detaylı düzenelemeler• Data protection officer• Yurtdışına transferlerde yeni opsiyonlar• Unutulma Hakkı• Profiling PIA

Rıza

24



KVKK İkincil Mevzuat

BEKLENTİMİZ : KVKK’nın GDPR’a uyumlu hale getirilmesi

Kanun değişikliği İkincil

mevzuat

Uygulamalar

26



AB’DE SEKTÖR SPESİFİK DÜZENLEMELER

İSTİHBARAT FAALİYETLERİ • Sözleşme Serbestisi• Regulation No. 1060/2009/EC • Regulation No 462/2013/EU • Rızaya gerek var mı?• Hukuki sebep olarak meşru menfaate gidilebilir mi?

• Hangi veriler kullanılabilir?• İlgili kişinin hakları• Bilgi alma• Silinme

27



İstihbarat Faaliyetleri

Meşru Menfaat

Ticari İlişki

Orantılılık

Kimler arasında

yapılabilir?

Credit rating

agency ve finansman kuruluşları

Araştırmayı yapma

hakkınız var mı?

Onay almanız

lazım mı?

Teşekkürler

Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumunahitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın , budökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçrekuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative’e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanınKPMG International Cooperative’e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecekzorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.

© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’intescilli ticari markalarıdır. Türkiye’de basılmıştır.

Süreçleriniz ve Sistemleriniz Kanun'a Uyumlu mu?

Ehtiram Ismayilov

2© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., a Turkish Corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative, a Swiss entity. All rights reserved.

1. Kişisel verilerin işlenmesi öncesinde açık rızaların alınması

2. Verilerin korunması adına her türlü teknik ve idari tedbirlerin

alınması ile ilgili süreçlerin yönetimi ve takibi için veri

sorumlusu atanması

3. Veri sahiplerinden gelen başvuruların zamanında ve eksiksiz

cevaplanması için gerekli süreçlerin tasarlanması ve

işletilmesi

4. Veriyi temin etme amacı ortadan kalktığında şirket bünyesinde

bulunan verilerin imha/silinme/anaonimleştirmesine ilişkin

süreçlerin tasarlanması ve işletilmesi

Kanun ‘un Beraberinde Getirdiği Yenilikler


İlgili StandartlarBS10012 standardı, Kişisel Verilerin Korunması Kanunu’un oluşması sürecinde dikkate alınan bir referans olup kişisel verinin korunması ile ilgili yayımlanan ilk standarttır. Standart kullanılarak Kanun’a uyumlu olacak şekilde farkındalık eğitimi, risk değerlendirmesi, verinin paylaşılması, saklanması ve imhası gibi konularda detaylı olarak yönlendirme gerçekleştirmektedir.

Türkiye’de sertifikalandırılan şirket sayısının artması ile birlikte bilinen bir standart haline gelen ISO27001 Bilgi Güvenliği Yönetim Sistemi ile kritik bilgileriniz korunmakta, gizliliğe ilişkin güven ortamı yaratılmakta ve değerli bilgi varlıkları yönetilebilmektedir.


Şirketler Olarak Ne Yapmalıyız?Şirketler, Kanun’da belirtilen ve aşağıda detaylarına yer verilen süreç ve kontrol mekanizmalarının oluşturulmasından, etkin şekilde işletilmesinin gözetiminden sorumludur.

• Kişilerden, kişisel verilerinin işlenmesi için izinlerin alınması

• Kişisel verilerin işlenmesinin kontrollü olarak gerçekleştirilmesi

Madde 5

• Kişilerden, özel nitelikli kişisel verilerinin işlenmesi için izinlerin alınması

• Özel nitelikli kişisel verilerin tespiti, sınıflandırması ve işlenmesi için gerekli süreç, iş akışı ve önlemlerin tesis edilmesi

Madde 6

• Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirmesine ilişkin süreç ve iş akışlarının tasarlanması

Madde 7

• Kişilerden, kişisel verilerinin üçüncü kişiler ile paylaşılması için izinlerin alınması

Madde 8


Şirketler Olarak Ne Yapmalıyız?

• Yurtdışına çıkarılacak veriler için ilgili ülkede yeterli korumanının bulunmaması durumunda alınan önlemlerin koruma için yeterli olup olmadığının değerlendirilmesi

• Yurtdışına çıkarılacak kişisel veriler için gerekli izinlerin alınması

Madde 9

• Veri sorumlusu sorumluluklarının tesis edilmesi ve aydınlatma yükümlülüğü kapsamında farklı kanallar aracılığıyla yapılacak bilgilendirmeler için ilgili dokümantasyonun hazırlanması

Madde 10

• Veri sorumlusunun gerçek veya tüzel kişi olarak tesisedilmesi

• Kanuna uyumluluğa ilişkin denetim yapısının tesis edilmesi

• Kişisel verilerin bulunduğu sistemler ve altyapılar için gerekli güvenlik önlemlerinin alınması

• Kişisel verilere erişimin sınırlandırılması ve muhafazasıiçin teknik ve idari tedbirlerin tesis edilmesi

• Kişisel verilerin ele geçirilmesi durumunda Kurul' a bildiri yapılmasına ilişkin mekanizmanın tesis edilmesi

Madde 12


Çalışmalara Nereden Başlamalıyız?

Mevcut Durum TespitiŞirket, Kanun kapsamındaki maddelere uyumluluğunu değerlendirerek durum tespiti yapmalı ve uyum değerlendirmesi neticesinde ortaya çıkan eksiklerin iyileştirilmesine

ilişkin için yol haritasını oluşturmalıdır.

Kanun Kapsamında Uyum Analizi

Eksikliklerin Belirlenmesi

Kişisel Verilerin Yönetimi Süreci Tasarlanmalı

Rol ve Sorumluluklar Belirlenmeli

Süreç Değişiklikleri ve İyileştirmeleri

Eksikliklerin İyileştirilmesi Mevcut durum tespiti sonucu ortaya çıkan Kanun ile uyumlu olmayan alanlar

doğrultusunda oluşturulması gereken politika, prosedür ve veri akışları oluşturulmalı, süreç değişiklikleri ve Kanun’a uyum çerçevesinde gerekli idari ve

teknik iyileştirmeler yapılmalıdır.

Kanun’un 12. Maddesinin 7. Fıkrasının C bendinde, ”Şirketler verilerin muhafazası için gerekli tüm idari ve teknik tedbirleri almak zorundadırlar” hükmü yer almaktadır. Bu maddeye istinaden şirketlerin Kanun maddelerine uyum sağlamaları için yol haritası aşağıda belirtilmiştir.

Veri Envanteri Oluşturulması

Mevcut Durumun Tespiti


Mevcut Durum TespitiKanun kapsamında alınması gereken önlemler çerçevesinde ilgili mevcut durumun analizi ve varsa eksiklik / iyileştirme noktalarının belirlenmesidir.

Kanun kapsamında veri yönetimi ile ilgili

süreçler, sistemler ve ilgili tanımlı

dokümantasyon ile BT süreçleri ve

Kanun’a uyum açısından

incelenerek, var olan eksiklikler

tespit edilmelidir

İnceleme çalışmaları sonucu tespit edilmiş olan

bulgular değerlendirilmeli,

iyileştirme noktasında öneriler

geliştirilerek süreçler üzerindeki geliştirme alanları

belirlenmelidir.

Kişisel verilerin akışına ilişkin

şirketin taraf olduğu önemli

sözleşmelerin mevzuat bakımından

değerlendirilmesi gerçekleştirilmelidir


Kişisel Verilerin TespitiHangi Kişisel Veriler İşlenmektedir?

Hangi Amaçla İşlenmektedir?

Hangi Ortamda Bulunan Kişisel Veriler İşlenmektedir?

Kişisel Veriler Kimlerle Paylaşılarak İşlenmektedir?

Hangi Bölüm Tarafından Paylaşılan Kişisel Veriler İşlenmektedir?

Hangi Yöntem İle Paylaşılarak İşlenmektedir?

Hangi Süreçlerdeki Kişisel Veriler İşlenmektedir?

Hangi Hukuki Dayanak İle Kişisel Veriler İşlenmektedir?

Ne Kadar Süreyle Tutularak Kişisel Veriler İşlenmektedir?

Kişisel Veri Envanteri Oluşturuldu mu?

Eksikliklerin İyileştirilmesi


Eksikliklerin İyileştirilmesiMevcut durum tespiti sırasında ortaya çıkan uyumlu olmayan alanların geliştirilmesi amacıyla ilgili eksiklikler giderilmeli, Bu kapsamda aşağıdaki çalışmalar gerçekleştirilmelidir:

Kişisel verilerin toplanması, işlenmesi,

yedeklenmesi, imha süreçleri

ve paylaşımıyla ile ilgili eksik olan politika, prosedür ve

veri akış şemaları

hazırlanmalıdır.

Organizasyonun değerlendirilmesi

sonucu ortaya çıkan eksiklikler

doğrultusunda, Kanun kapsamı

çerçevesinde birimlerde yer alan personelin görev,

yetki ve sorumluluklarına

ilişkin tanımlamaları yapılmalıdır

Kişisel verilerin yönetimine ilişkin

veri yönetim süreçlerinin

Kanun kapsamında

uygun şekilde tanımlanmalı,

dokümantasyonu ve gerekli

geliştirilmeler yapılmalıdır.

Mevcut durum tespiti sonucu ortaya çıkan

eksiklikler doğrultusunda

Şirket süreç değişiklik ve

uygulamalara ilişkin iyileştirme

faaliyetleri gerçekleştirmelidir

Kişisel verilerin akışına ilişkin şirketin taraf

olduğu önemli sözleşmeler mevzuata

uygun hale getirilmelidir.

Alınabilecek İdari Tedbirler Nelerdir?


Farkındalık OluşturulmasıKanuna uyum çalışmaları ile birlikte tüm şirket personeline farkındalık eğitimi verilip, Kanun hakkında farkındalık oluşturulmalıdır. Bu kapsamda aşağıdaki çalışmalar gerçekleştirilebilir:

Kişisel verilerin toplanması, işlenmesi,

yedeklenmesi, imha süreçleri

ve paylaşımıyla ile ilgili olarak

tüm şirket personeline

eğitim verilmelidir.

Belirlenen eksikler ile ilgili

tüm şirket personeline

bilgilendirme ve farkındalık

sunumu yapılmalıdır.

Kanunda belirtildiği üzere

veri sorumlularının

yapması gerekenler

kapsamında veri sorumlularına

verinin işlenmesi, kayıt

sisteminin yönetilmesi konularında

eğitim verilmelidir.

Şirketin yönetici kadrolarına

hukuki bilgilendirme yapılmalıdır.


Gözden Geçirme / Denetim ÇalışmasıMevcut durum tespiti sırasında ortaya çıkan uyumlu olmayan alanlar doğrultusunda ve Kanun kapsamındaki maddelere ait eksiklikler için gözden geçirme / denetim çalışması gerçekleştirilmeli ve raporlanmalıdır. Çalışmaların detayı aşağıda belirtilmiştir:

Veri yönetimi ile ilgili süreçler,

sistemler ve ilgili tanımlı

dokümantasyon BT süreçleri ve Kanun’a

uyum açısından incelenerek gözden

geçirilmelidir.

Mevcut durum tespiti sonucu

belirtilen eksiklikler doğrultusunda

eksiklerin giderildiğine ilişkin gözden geçirme / denetim çalışması

gerçekleştirilmelidir.

Kanun kapsamında maddeler

doğrultusunda gözden geçirme / denetim çalışması

gerçekleştirilmelidir.

Alınabilecek Teknik Tedbirler Nelerdir?


Genel BT Kontrolleri

Bilgi Güvenliği ve Erişim Yönetimi

Veri Aktarımı ve Değişiklik Yönetimi

Yedekleme ve Geri Dönüş

Denetim İzleri ve Güvenlik


Kanun ve Siber GüvenlikKişisel sağlık verilerinin işlenmesini düzenlemek için oluşturulmuş ikincil mevzuatta, «Siber Olaylara Müdahale» ekibi «Kuruma doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlü olan birim» olarak tanımlamıştır.

Madde 11 – (7) Veri sorumlusu, gerekmesi hâlinde bulunduğu ilde görev yapan bilgi güvenliği yetkilisi ve Siber Olaylara Müdahale Ekibi yetkilisi ile işbirliği yapar.

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK


Kanun ve Siber GüvenlikKanun kapsamındaki maddeler ve yayımlanan ikincil mevzuat doğrultusunda, Şirket tarafından alınması gereken teknik tedbirler çerçevesinde bilgi güvenliği açısından değerlendirme yapılması ve kişisel verilerin bulunduğu BT altyapısı ve ağ sistemlerinin global bir siber güvenlik bakış açısıyla değerlendirilmesi önerilmektedir.

Kişisel verilerin

tutulduğu BT altyapısı ve ağ sistemleri için bilgi güvenliği

açısından değerlendirme yapılması ve

Kanun’a uyumsuz

durumların tespit edilmesi

Potansiyel bir atağa maruz kalabilecek bilgilerin

tanımlanması, sistemlerin

tespit edilerek detaylı

incelemeye alınması

Kapsama alınan

sistemler için zafiyet analizi

ve sızma girişiminin

gerçekleştirilmesi, yatay ve

dikey yayılma yaparak erişim

seviyesinin yükseltilmesi

Tespit edilen bulguları ve tavsiyeleri

içeren sonuç raporlarının hazırlanması ve bulguların takip edilmesi

Teşekkürler

Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumunahitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın , budökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçrekuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative’e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanınKPMG International Cooperative’e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecekzorlayıcı yada bağlayıcı hiçbir yetkisi yoktur.

© 2016 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’intescilli ticari markalarıdır. Türkiye’de basılmıştır.

kişisel verilerin korunması kanunu semineri · kişisel verilerin korunması kanunu semineri 7...

Documents