Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp uygulaması hakkında, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlattı.
Alınan bilgiye göre, Kişisel Verileri Koruma Kurulunun bugünkü toplantısında, "Whatsapp Inc tarafından WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği" yönündeki haberlerle ilgili değerlendirme yapıldı.
Konuyu, kişisel verilerin korunması mevzuatı genel hükümleri yönünden değerlendiren Kişisel Verileri Koruma Kurulu, toplantıda WhatsApp uygulaması hakkında, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlatılmasına karar verdi.
İncelemeyi yürütecek Kurul, süreci takip ederek, 8 Şubat 2021'de konuyu yeniden değerlendirecek.
REKABET KURULU HAREKETE GEÇTİ
Tüm dünyada olduğu gibi Türkiye'de de tepkilere neden olan WhatsApp'ın yeni gizlilik sözleşmesi için Rekabet Kurulu harekete geçti.
Kuruldan yapılan açıklamada Facebook ve WhatsApp hakkında resen soruşturma başlatıldığı duyuruldu. Ayrıca WhatsApp'la veri paylaşımı zorunluluğunun durdurulduğu bildirildi.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp'ın "zorunlu güncelleme" kararının bugünkü toplantıda ele alınacağını duyurmuştu.
KVKK'nin internet sitesinde yer alan duyuruda, WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyenlerin kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği hatırlatıldı.
WhatsApp'ın, rıza vermeyen kullanıcıların uygulamayı kullanamayacağı ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği belirtilen duyuruda, şunlar kaydedildi:
"Kişisel Verilerin Korunması Kanunu'nun 15'inci maddesi uyarınca Kişisel Verileri Koruma Kurulunun 12 Ocak 2021 tarihli toplantısında konu, kişisel verilerin korunması mevzuatı genel hükümleri ile kanunun açık rıza, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden değerlendirilece
Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Geride bırakmaya hazırlandığımız 2020 yılı, kişisel verilerin korunması konusunda endişeleri artırdı. Teknoloji alanındaki ilerlemelerin beraberinde getirdiği siber risklerin şirketleri daha da zorlayacağını belirten uzmanlar, kişisel verilerin güvenliği konusunda 2021 yılı öngörülerini sıralıyor.
Pandeminin kasıp kavurduğu 2020 yılı, kişisel verilerin de siber saldırılara sıkça uğradığı bir yıl oldu. Ayrıca hackerlerin kişisel verilere amansızca düzenlediği saldırılar, gelecek yıllarda şirketleri nelerin beklediğini de gösteriyor. Teknolojik gelişmelere ve yeni normalin oluşturduğu uzaktan çalışmaya dayalı organizasyonel yapılara alışmaya çalışan şirketlerin müşteri ve kişisel verileri korumada yetersiz kaldığına dikkat çeken siber güvenlik uzmanı Serap Günal, gelecek yıldan itibaren kişisel verilerin güvenliği konusunda şirketleri bekleyen 5 öngörüyü paylaşıyor.
1. Çalışanların mahremiyetiyle ilgili düzenlemeler artacak. Pandemi yönetimi, iş gücü analitiğini ve öngörülerini iyileştirmeye yönelik artan arzunun yanı sıra, şirketleri daha fazla çalışan verisini iştahla toplamaya yönlendirecek. Önümüzdeki 12 ay içinde düzenleyici ve yasal faaliyetlerin, çalışan verilerine özenli bir yaklaşım benimsemeyen şirketleri köşeye sıkıştıracağını göreceğiz. Şirketler, çalışanlarının kişisel verilerinin toplanmasını, işlenmesini ve paylaşılmasını gerektiren girişimlerine yönelik bir gizlilik yaklaşımı geliştirmelidir.
2. Kanunlar ve yönetmeliklerin ağırlığı daha da hissedilecek. GDPR, KVKK ve ülkeler özelinde kişisel verileri korumaya yönelik birçok mevzuat sınırlarını ve yetkilerini genişleterek daha da etkin hale gelecek. Şirketlerin ulusal ve uluslararası koşullara tam uyumluluk sağlaması karşılaşabileceği cezaların önüne geçmek için koruma sağlayacak.
3. Şeffaflığın önemi artacak. PwC tarafından gerçekleştirilen bir ankete göre tüketicilerin %84’ü, bir şirketin veri koruma sisteminin kırılgan ve zayıf olduğunu düşündüğünde hizmet almayı sonlandıracağını raporluyor. Başta teknoloji şirketleri olmak üzere kişisel verilerin emanet edildiği birçok şirketten şeffaflığın üst düzeyde bekleneceği bir yıl kapıda duruyor.
4. Kişisel verileri korumada güvenlik otomasyonu ön plana çıkacak. Veri güvenliği konusundaki artan korku, otomasyon teknolojisi kullanılarak hafifletilecek. Pandemiyle ilgili komplikasyonlar, normal güvenlik kontrollerinin yetersiz kaldığını gösterirken, şirketlerin ilgi duyacağı çözüm, veri güvenliği otomasyonu olacak. Siber tehditleri insan müdahalesi olmadan programlı olarak algılama, araştırma ve püskürtme gücüne sahip güvenlik eylemlerinin makine tabanlı yürütülmesi, şirketlerin en çok başvuracağı çözümlerden olacak.
5. Üçüncü taraf hizmetleri değerlendirmek kritik hale gelecek. Araştırmalar, tüm veri ihlallerinin %63'ünün üçüncü taraf satıcılarla ilişkilendirildiğini gösteriyor. Tüketiciler, verilerini üçüncü taraf erişimine izin veren şirketlere temkinli yaklaşacak. Şirketler, üçüncü taraf ortaklarını değerlendirmeye ve daha fazla risk değerlendirmesi yapmaya zorlanacak.
Capgemini, GDPR'ye uyan şirketlerin artan müşteri katılımı ve karları sayesinde belirli avantajlardan yararlandığını gösteren yeni bir rapor yayınladı. Rapor, GDPR uyumlu kuruluşların, uyumsuzluktan ortalama %20 daha iyi performans gösterdiğini ortaya koydu. Şirket, birçok farklı pazardaki çeşitli sektörlerden 1.100 üst düzey yöneticiye anket yaptı.
Ankete katılan firmaların sadece %28'inin tamamen GDPR ile uyumlu olduğunu iddia etmesi de dahil olmak üzere bir dizi başka önemli çıkarımlar vardı. Capgemini daha sonra bu GDPR uyumlu kuruluşların performansını, tamamen uyumlu olmadığını iddia edenlerle karşılaştırdı. Grup, sonuçlardan "uyumlu firmaların yöneticilerinin %92'si kuruluşlarının GDPR sayesinde rekabet avantajı elde ettiğini söylüyor" tespit edebildi.
Capgemini, bu ankete paralel olarak, CCPA ile ilgili olarak ABD işletmelerini de araştırdı ve sonuçlar, yanıt veren şirketlerin yaklaşık %70'inin, uygulanabilir hale geldiğinde CCPA ile uyumlu olacaklarını düşündüklerini gösteriyor. Bu rakamlar, şirketlerin uyum düzeylerini kendi kendilerine değerlendiren şirketlere dayandığından, aynı koşul dikkate alınmalıdır.
GDPR ile uyumlu olduğu bilinen şirketlerin sadakat programlarına daha yüksek katılım oranı ve GDPR'nin aktif hale gelmesinden bu yana bu programdaki işlemlerin daha da büyümesi anketinde çok dikkat çekici bir sonuç ortaya çıktı. İlk beklentiler, bu sadakat programlarına katılımın düşeceği yönündeydi. Sadakat programlarına tüketici katılımı
, uyumlu perakende firmalarının %74'ünde, uyumlu olmayan firmalarda ise %54 artmıştır.
Wunderman Thompson küresel dijital ajansın gizlilik sorumlusu Rachel Glasser raporunda, “GDPR, siber güvenliği artırdı. Veriler, bunları nasıl kullandığımız ve hangi verileri kullandığımız konusunda farkındalığı artırdı. "
Diğer temel çıkarımlar şunları içerir:
Uyumlu firmaların %80'i, uyumlu olmayan firmaların %57'sine kıyasla, kampanyalarda hedeflenen veri konularının sayısının GDPR sayesinde arttığını kabul ediyor.
GDPR'nin uyumlu firmaların %83'ü için yürürlüğe girmesinden bu yana, uyumlu olmayan firmaların %63'üne kıyasla çevrimiçi satın alımlar artmıştır.
Hollanda merkezli HERE Technologies veri koruma sorumlusu Henri Kujala da raporda şunları söyledi: "Müşteriler, GDPR uyumluluğunun getirdiği çaba ve etkinin farkında ve takdir ediyor. Uyum, artan güven düzeyleri getirdi. "
Birleşik Krallık'taki ilk Genel Veri Koruma Yönetmeliği (GDPR) cezası, Londra merkezli bir eczaneye Information Commissioner's Office (ICO) tarafından yaptırım uygulanmıştır.
ICO, Bilgi Komiseri Ofisi (ICO) tarafından 'veri korumaya karşı ihtiyatlı tavrı' ile ilgili olarak Doorstep Dispensaree'ye 325.000 € (İngiltere £ 275.000) para cezası verdi. Bu karar, Edgware merkezli eczane Burnt Oak Broadway'in hassas bilgileri içeren 500.000 tıbbi belgeyi güvenli olmayan ve kilitli olmayan kaplara, atık poşetlerine ve bir karton kutuya yerleştirdiği keşfedildikten sonra alındı. Bu dosyalar, iddia edilen lisanssız ve düzenlemesiz depolamayı inceleyen İlaç ve Sağlık Düzenleme Kurumu (MHRA) soruşturması sırasında tespit edildi.
ICO tarafından yayınlanan yaptırım bildirimi, dosyalara dahil edilen veri aralığının Ocak 2016'dan Haziran 2018'e kadar olan isimleri, adresleri, doğum tarihlerini, tıbbi bilgileri, NHS numaralarını ve reçeteleri içerdiğini ortaya koymuştur. Bu belgeler, veri konularının tanımlanmasına izin verebilir. ve sağlıkları ile ilgili verilere bağlı.
ICO, ihlalle ilgili olarak belgelerin “güvenli olmadığını ve gizli atık olarak işaretlenmediğini” belirten bir açıklama yayınlayarak, bazılarının “sırılsıklam olduğunu ve bir süre bu şekilde saklandıklarını belirtti. Doorstep Dispensaree'nin bakım evlerine ilaç tedarik etme işinin doğası göz önüne alındığında, etkilenen veri öznelerinin büyük bir kısmının yaşlı veya başka bir şekilde savunmasız olması muhtemel görünüyor. "
İhlalden etkilenen kişilerin kesin miktarının henüz doğru bir şekilde hesaplanmadığını söylemeye devam etti, ancak belgelerin "yaklaşık 78 bakım evi ile ilgili" olduğu tahmin ediliyor. Dedi ki: “İlgili bakım evlerinin tam sayısına bakılmaksızın, Doorstep Dispensaree'nin işinin boyutu ve dokümantasyon hacmi göz önüne alındığında, muhtemelen yüzlerce ve hatta binlerce veri öznesi etkilenmiş görünüyor. Yukarıdaki tüm faktörleri hesaba katan komiser, 275.000 £ tutarında bir ceza vermeye karar verdi. "
ICO Soruşturma Direktörü Steve Eckersley şunları söyledi: “Doorstep Dispensaree'nin özel kategori verilerini saklamasının dikkatsiz yolu, verileri kazara hasar veya kayıptan koruyamadı. Bu, yasanın beklediğinin ve insanların beklediğinin gerisinde kalıyor. "
25 Mayıs 2018'de yürürlüğe giren GDPR kapsamında, Avrupa Birliği'ndeki veri koruma ajansları, hangisi daha yüksekse, bir önceki mali yıl için 20 milyon Euro'ya veya yıllık küresel gelirin% 4'üne kadar ceza uygulayabilir.
GDPR para cezasına ek olarak, Doorstep Dispensaree'ye, ihlallerin önemi nedeniyle bir yaptırım bildirimi de yayınlandı. Bu bildirim onlara veri koruma önlemlerini iyileştirme talimatı verdi ve üç aylık bir süre ile gönderildi. İyileştirmeler bu zamana kadar uygulanmazsa, ICO'nun başka bir yaptırım eylemini onaylaması mümkündür.
İsveç'te Veri Koruma Kurumu (DPA), “uyulmaması” ile ilgili olarak 75 milyon kron (8 milyon ABD $) Genel Veri Koruma Yönetmeliği Cezası yaptırım kararı aldı.
Bu adım, Google'ın unutulma hakkı talepleri doğrultusunda arama sonucu bağlantılarını kaldırması istendiğinde sürekli olarak yetersiz kaldığı bildirildikten sonra atılmıştır. Buna ek olarak, DPA, Google'ın web sitesi sahiplerine, taleplerinin tamamlanmasının ardından URL'lerinin indekslerinin kaldırılmak üzere olduğunu bildirmeyi bırakmasını talep ettiğinde şaşırtıcı bir hareket oldu.
25 Mayıs 2018'de GDPR'nin yürürlüğe girmesinden çok önce kurulan unutulma hakkı yönetmeliği kapsamında, potansiyel olarak "zarar verici" bilgiler içeren belirli web sayfalarının listeden kaldırılmasına olanak tanıyan bir süreç başlatıldı. Temelde, Google ve diğer arama motorları ile iletişim hakkı ile ilgili bilgilerin Arama Motoru Sonuç Sayfalarından kaldırılmasını isteyenlere izin verdi. Kararın 2014'te yürürlüğe girmesinden bu yana, Google'a milyonlarca indeks kaldırma talebi gönderildi. Ancak şimdiye kadar bu taleplerin% 45'inden azı işleme alındı. 2018 yılında, unutulma hakkı, daha önce bahsedilen GDPR ile daha da geliştirildi.
Rapor, “Google, hangi web adreslerinin arama sonucu listesinden kaldırılması gerektiğine dair çok dar bir yorum yaptı. İkinci durumda Google, arama sonucu listesini gereksiz gecikme olmaksızın kaldıramadı ”.
Rapora göre, İsveçli düzenleyici Google'ı, web sitelerinin sahiplerine bu bağlantıların kaldırılması gerektiği konusunda bilgilendirme uygulaması nedeniyle de eleştirdi ve daha sonra sahiplerin bilgileri farklı bir web adresine taşımasına izin verdi.
DPA şöyle devam etti: "Google'ın, arama sonucu listeleri kaldırıldığında site sahiplerini bilgilendirmek için yasal bir dayanağı yok ve ayrıca istek formundaki ifadeyle kişilere yanıltıcı bilgiler veriyor. Bu nedenle DPA, Google'a bu uygulamayı bırakmasını ve bu uygulamadan vazgeçmesini emrediyor. "
Rapora ve beraberindeki para cezasına cevaben bir Google temsilcisi, grubun "prensipte bu karara katılmadığını ve itiraz etmeyi planladığını" söyledi.
İsveç Veri Koruma Kurumu'nun bu hareketi, Amerikan şirketlerinin AB vatandaşlarının özel verilerini korumak için GDPR'yi daha sıkı bir şekilde uygulayan tüm AB veri koruma yetkililerine tabi hale gelmesiyle ortaya çıktı. GDPR, siber güvenliği artırmak için tasarlandı ve AB Üye Devletleri, yasayı ihlal eden şirketler için bir önceki mali yıl için 20 milyon avro veya yıllık küresel gelirin% 4'ü kadar para cezasına neden olabilecek yasanın mektubuna uygulamaya istekli görünüyor.
COVID-19 salgını başladığından beri her şey son derece hızlı ilerliyor ve Avrupa Birliği'nin Genel Veri Koruma Yönetmeliğini (GDPR) nasıl etkilediğini düşünmek için çok az zaman oldu.
Kuruluşların ve yetkililerin, acı çeken herkese ellerinden geldiğince yardım etmeye çalışırken, kriz sırasında kişisel verileri işlemelerinin istenmesini beklemek anlaşılabilir ve tamamen mantıklıdır. Verilerin işlenmesi ve özel bilgilerin olası ihlalleri söz konusu olduğunda veri otoritelerinin makul olması beklense de, her zaman bulunması gereken bir dizi anahtar koşul vardır.
Veri koruma önlemlerinin, bireylerin ve grupların kriz sırasında uygun miktarda bakımı almasını engellememesini sağlamak hayati derecede önemlidir ve bunun gerçekleşmesi için veri işlemenin büyük olasılıkla yapılması gerekecektir. Bununla birlikte, kişisel verilerin kullanımını içeren tüm adımlar ve politika kararları gerekli, orantılı olmalı ve söz konusu yargı alanındaki uygun yetkililer tarafından sağlanan rehberlik kullanılarak formüle edilmelidir.
COVID-19 Salgını Sırasında Temel GDPR Hususları
1. Veri İşlemenin Yasal Dayanağı
Mevzuatta bunun gibi bir kriz anında kişisel özel verilerin işlenmesine izin veren bir dizi madde bulunmaktadır. Örneğin, bir halk sağlığı otoritesi belirli bir görevi tamamlamak için rehberlik yayınlarsa veya belirli bir tedavi sağlarsa, GDPR'nin 9 (2) (i) Maddesi ve 2018 Veri Koruma Yasası'nın 53.Bölümü , sağlık dahil olmak üzere kişisel verilerin işlenmesine izin verir.
Ancak, bu yalnızca uygun güvenlik önlemleri uygulandığında yasaldır (bu konuda daha fazlası aşağıda). Bu önlemler şunları içerecektir:
Verilere erişim için net tanımlanmış bir dönem ve kurallar
Veriler için katı zaman sınırları
Personeli, GDPR yükümlülüklerinden haberdar olmalarını sağlamak için eğitmek
2. COVID-19 Salgını Sırasında İşverenin Yükümlülükleri
İşverenler, gerekli ve orantılı bir adım olarak kabul edilirse - İş Güvenliği, Sağlık ve Refah Yasası 2005 ve GDPR Madde 9 (2) (b) uyarınca çalışanlarını korumak istiyorsa kişisel verilerin işlenmesine izin vermelidir.
Bu yükümlülüklere paralel olarak, ihlallerin meydana gelmesini önlemek için işlenen tüm kişisel veriler gizli kalmalıdır. Örneğin, bir personelin veya ailelerinin halihazırda koronavirüsten muzdarip olması durumunda asla ifşa edilmemeli veya kimliğin tespit edilebilmesi için yeterli bilgi sağlanmamalıdır.
3. Yetkisiz Kişilere İlişkin Verilerin İşlenmesi
Bir bireyin özel kişisel verilerinin kendi çıkarına veya başka bir tarafın çıkarına olduğu gösterilebiliyorsa, işlemenin yasal bir temeli vardır. Örneğin, bir kişi fiziksel veya yasal olarak rızasını veremiyorsa, verileri bu temel kullanılarak işlenebilir.
Bununla birlikte, bu yalnızca verilerin işlenmesi için başka bir yasal dayanak yoksa kabul edilebilir ve bu yalnızca acil durumlarda geçerlidir.
4. Veri İşlemenin Kaydedilmesi
Veri işleyen herkes (veri denetleyicileri) mevcut kriz sırasında veri işleme adımlarını uygulamak için karar verme sürecini kaydetmelidir. Bunun net bir kaydı tutulmalıdır, böylece herhangi bir sorun ortaya çıkarsa daha sonraki bir tarihte başvurulabilir.
Bu aynı zamanda bu işlemin% 100 şeffaf olmasına izin verecektir. Veri işlemenin amacını dahil etmek ve verilerin ne kadar süreyle saklanacağını belirtmek çok önemlidir. Bununla ilgili herhangi bir sorgu varsa, yukarıda belirtilenler veri sahibine kısa, kolay erişilebilir ve anlaşılması kolay bir şekilde sağlanabilir.
5. Bireylerin Gizliliği
Bunu yapmak için açık ve dikkatli bir şekilde gerekçelendirilmiş bir dayanak olmadığı sürece, etkilenen kişilerin kimliğinden hiç kimse haberdar edilemez. Bir kimlik ifşa edilirse, bu, verilerin güvenliğini sağlayacak şekilde yapılmalıdır.
Bu, açıklamanın amacına ulaşmak için yalnızca mümkün olan en küçük miktarda verinin erişilebilir olmasını sağlayarak daha ulaşılabilirdir.
Macaristan'da hükümet, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) kapsamında veri sahiplerinin haklarını askıya alma kararı aldı.
Bu askıya alma, COVID-19 olağanüstü hal sona erene kadar yürürlükte kalacaktır. Buna ek olarak hükümet, kamu kurumlarının kişisel verilerini toplarken bireyleri bilgilendirme konusundaki yasal zorunluluğunu da kolaylaştırmış ve kamu kurumlarının bilgi edinme özgürlüğü taleplerini işleme koyması gereken süreyi uzatmıştır.
Macar hükümetinin bu hareketi bazı eleştirilere yol açtı ve karar, AB gizlilik koruma topluluğu ve Avrupa Komisyonu'nda endişelere yol açtı. Avrupa Veri Koruma Kurulu'nun 2019 yıllık raporunun 18 Mayıs Pazartesi günü yayınlanmasıyla ilgili olarak gazetecilere konuşan Başkan Andrea Jelinek, Macar hükümetinin son hamlesi ile ilgili endişesini kaydetti.
Başkan: “Macaristan hükümeti tarafından GDPR'nin birkaç maddesinin askıya alınmasından kişisel olarak çok endişeliyim. COVID-19 krizi sırasında GDPR'nin bu şekilde askıya alınmasının EDPB tarafından "tavsiye edilmediğini" söyledi.
EDPB'nin, Avrupa Birliği üye devletlerinin çoğunda ilan edilen COVID-19 olağanüstü hal nedeniyle GDPR'nin 23. Maddesinin uygulanmasına ilişkin resmi yönergeleri yayınlamayı amaçladığı da ortaya çıktı. Bu açıklamayı yapmadan önce, EDPB, Macar hükümeti tarafından yapılan hareketle ilgili olarak Avrupa Sivil Özgürlükler Birliği, Access Now ve Macaristan Sivil Özgürlükler Birliği'nden ortak bir mektup almıştı. "Macar hükümetinin veri konularının haklarının uygulanmasını sınırlama kararı orantısız, haksız ve halkın virüsle mücadeleye tepkisine potansiyel olarak zararlıdır."
GDPR formüle edildiğinde - 25 Mayıs 2018'de yürürlüğe girmeden ve yürürlüğe girmeden önce - veri konularının erişim, düzeltme, itiraz etme, kısıtlama ve kişisel bilgilerinin silinmesini sağlaması öngörülmüştü. Ancak Macar hükümeti, üye devletlerin kamu güvenliğinin korunması için gerekli olması halinde bu hakları kısıtlamasına izin verildiğini belirten GDPR mevzuatının 23. Maddesi sayesinde bu eylemi gerçekleştirebilmiştir.
Ek olarak, Avrupa Veri Koruma Kurulu ("EDPB"), Avrupa Birliği'nin birçok üye devletinde olağanüstü hal ışığında GDPR'nin 23. Maddesinin uygulanmasına ilişkin kılavuzlar yayınlamayı planladığını belirtti.
Facebook'un tekrarlanan veri ihlalleri, tam olarak Genel Veri Koruma Yönetmeliği'nin ihlalleri bildirme konusundaki açık yönergeleriyle ele almaya çalıştığı şeydir. Facebook'un gelişigüzel tepkisi, 1.6 milyar doların üzerinde para cezasıyla karşı karşıya kaldı.
Facebook, gizlilik mevzuatını oldukça iyi öğreniyor. İngiltere'nin 1998 tarihli eski Veri Koruma Yasası kapsamında izin verilen maksimum miktar olan Cambridge Analytica skandalına karıştığı için şimdiden 500.000 £ para cezasına çarptırıldı . Artık GDPR yürürlükte olduğuna göre Facebook, Geçtiğimiz mali yıldaki performansına bağlı olarak yıllık küresel ciro 1.63 milyar $'a ulaşabilir.
Bu beliren ceza, Facebook'un geçen yılın Eylül ayında keşfettiği veri ihlaline dayanıyor. Bilgisayar korsanları, üç ayrı hatadan dolayı, "Farklı Görüntüle" özelliğindeki bir güvenlik açığından yararlanabildiler ve yaklaşık 50 milyon kullanıcı için erişim belirteçlerini çaldılar. Bu erişim belirteçleri, bilgisayar korsanlarının kullanıcıların hesaplarını ele geçirmesine izin verdi.
Burada Facebook, tamamen açıklanmayarak hatalarını birleştirdi. GDPR, şirketlerin ilgili veri koruma kurumunu, bu durumda İrlanda Veri Koruma Komisyonu'nu (IDPC) 72 saat içinde "mümkün olduğunda" bilgilendirmesini gerektirir. Bu güvenlik açığı 26 Eylül'de keşfedildi ve Facebook bunu üç günlük sınır içinde bildirdi . Ancak Facebook tüm ilgili ayrıntıları paylaşmadı ve bu da IDPC'nin 30 Eylül'de " güvenlik ihlalinin acil ayrıntılarını " hâlâ beklediklerini tweet atmasına neden oldu.
Facebook'un sorunu , sosyal ağın Aralık ayında , ilgisiz başka bir hatanın 6.8 milyon kullanıcının özel fotoğraflarını yaklaşık iki hafta boyunca 1.500'e kadar farklı uygulamaya maruz bıraktığını bildirmesiyle devam etti. Bu hata 25 Eylül'de keşfedildi ve düzeltildi, ancak Facebook neredeyse üç aydır etkilenen kullanıcıları, halkı veya yetkilileri uyarmadı.
Bir açıklama istendiğinde, bir Facebook sözcüsü Forbes'a şunları söyledi: “Kurduğumuz anda IDPC'yi GDPR kapsamında bildirilebilir bir ihlal olarak kabul edildiğini bildirdik. Bu sonuca varmak için araştırmamız gerekiyordu. Ve bunu yaptıktan sonra, düzenleyicimize 72 saatlik zaman çerçevesinde haber verdik. "
Facebook, GDPR'nin amacından kaçınmak için farklı stratejiler denedi. İlk durumda, GDPR tarafından belirlenen zaman çizelgesine uydu ancak önemli ayrıntıları dışarıda bıraktı. İkinci durumda Facebook, GDPR'yi bir şirketin bir ihlali araştırmak için sınırsız süreye sahip olduğunu söyleyecek şekilde yorumladı. Soruşturma tamamlandıktan ve şirket ihlalin "rapor edilebilir" olduğuna karar verdikten sonra, üç günlük süre sınırı devreye girer.
Aynı Forbes makalesinde, IDPC'nin İletişim Başkanı en son Facebook ihlali hakkında yorum yaptı: “Irish DPC, 25 Mayıs 2018'de GDPR'nin tanıtılmasından bu yana Facebook'tan bir dizi ihlal bildirimi aldı. Bu veri ihlallerine atıfta bulunarak söz konusu ihlal de dahil olmak üzere, bu hafta Facebook'un ilgili GDPR hükümlerine uygunluğunu inceleyen yasal bir soruşturma başlattık. " Bununla birlikte, IDPC, Facebook'un veri ihlallerinin nasıl bildirilmesi gerektiğine dair ifade edilen mantığını çürütmekten vazgeçti. Bu konuyla nasıl ilgileneceklerine dair daha fazla açıklama veya rehberlik de sunmamışlardır.
İlk erişim belirteci ihlalinden sonra, çoğu veri güvenliği uzmanı Facebook'un hafifçe çıkmasını bekliyordu. Gelen bir Guardian hikaye geçen yılın Ekim-Rowenna Fielding, Protecture Limited üst düzey veri koruma kurşun söyledi: “Ben Facebook olasılıkla olmaktır sanmıyorum İrlandalı regülatör gerçekten sağlam icra bir sicili yok verebilecekleri cezalar konusunda endişeli. "
Facebook'un tekrarlanan ihlalleri baskıyı artırdı. IDPC ve Facebook arasındaki bu hesaplaşma, düzenlemenin dişleri olup olmadığını veya sayfadaki boş sözcükler olup olmadığını gösteren GDPR'nin erken tanımlayıcı bir anı olabilir.
AB GDPR, teknoloji şirketlerinin kullanıcı verilerini işleme biçimi üzerinde halihazırda derin bir etkiye sahipti. Ancak birçoğunun hala tasarı hakkında temel soruları var. Bu makale onlara cevap veriyor.
Beş katılımcıdan birinin tam GDPR uyumunun "imkansız" olduğunu düşündüğü EY-IAPP anketi gibi GDPR ile ilgili kafa karışıklığını hiçbir istatistik özetlemiyor . Ya bu kuruluşlar GDPR hakkında hala ciddi yanlış anlamalara sahipler ya da kendilerini sürekli olarak GDPR'yi ihlal etmeye ve kendilerini GDPR cezalarına maruz kalma riskine atmaya terk ediyorlar . Bu, GDPR'yi tam olarak anlamak için zamana veya kaynağa sahip olmayan küçük ve orta ölçekli işletmelerin hala önemli bir kısmının olduğunu göstermektedir.
Burada en temel GDPR sorularının bazılarını ele alacağız.
GDPR ne anlama geliyor?
Her şey sırayla. GDPR, Genel Veri Koruma Yönetmeliği anlamına gelir. Bu bir Avrupa Birliği yasasıdır ve olmayan Veri Koruma Direktifinin yerini alır.
GDPR felsefi olarak neyi temsil ediyor?
Temelde, Genel Veri Koruma Yönetmeliği, Avrupa Birliği'nde (veya daha geniş Avrupa Ekonomik Alanı'nda) yaşayan tüm bireylere İnternet'teki verilerine erişim ve bunları kontrol etmek için yeni haklar vererek kişisel verilerin nasıl toplandığını ve işlendiğini temelde yeniden şekillendirmeyi amaçlamaktadır. Pek çok yeni hak vardır, ancak en yaygın olanlardan bazıları şunlardır:
İşlemenin yasal dayanağı - Kuruluşunuz, veri işlemeyi , bir kullanıcının açık ve net rızası gibi Madde 6'da açıklanan yedi yasal dayanaktan birine dayanarak gerekçelendirmelidir
Silme hakkı - " Unutulma hakkı " olarak da bilinen kuruluşunuz, belirli durumlarda kullanıcılarınızın verilerini silme talebine saygı duymalıdır.
Erişim hakkı - Kuruluşunuz, kullanıcılarınıza onlardan topladığınız tüm verilerin bir kopyasını sağlamalıdır.
Düzeltme hakkı - Kuruluşunuz, bir kullanıcının yanlış olduğunu düşündüğü tüm verileri veya bir kullanıcının eksik olduğunu düşündüğü tüm verileri düzeltmelidir.
Veri taşınabilirliği hakkı - Kuruluşunuz, sahip olduğunuz verileri bir kullanıcıdan başka bir kuruluşa veya kullanıcıya belirli koşullar altında aktarmalıdır.
GDPR yalnızca teknoloji şirketleri için mi geçerli?
Kısa cevap: hayır. GDPR'nin 3. Maddesine göre , AB'de (veya EEA'da) yaşayan bir kişiye herhangi bir mal veya hizmet sağlayan herhangi bir "denetleyici" veya "işleyici" GDPR'ye tabidir.
4. maddeye göre , bir kontrolör, "kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen bir kişi, kamu otoritesi, kurum veya başka bir organdır", işleyici ise "gerçek veya tüzel kişidir" , denetleyici adına kişisel verileri işleyen kamu kurumu, kurum veya diğer kuruluş. "
Bu iki cümlede ayrıştırılacak çok şey vardır, ancak esasen bir denetleyici, verileri toplayan, analiz eden, paylaşan veya başka bir şekilde kullanan herhangi bir kişi, kurum, kuruluş veya işletmedir. Müşterilerden check-in yaparken kişisel bilgilerini isteyen bir otel misiniz? Avrupalı müşterileriniz varsa, GDPR'ye tabisiniz.
'Kişisel veriler' nedir?
İşlediğiniz bilgilerin kişisel veri olup olmadığını bilmek, GDPR'nin kuruluşunuz için geçerli olup olmadığını belirlemek açısından çok önemlidir. Tam bir yanıt birkaç sayfa aday olacağını iken (Bu soruya adanmış postamıza bakın burada kişisel veri olarak yaşayan bir insan olmanın sayıları tespit etmek, kamuya açık bilgilerle birlikte kullanıldığında veya kullanılabilir temelde herhangi sübjektif veya objektif bilgi,) .
GDPR'nin şimdiye kadar ne gibi bir etkisi oldu?
GDPR, denetleyicilerin veri ihlallerini ilgili denetim makamına, genellikle o ülkenin Veri Koruma Bürosuna 72 saat içinde rapor etmesini gerektirir . Bu yeni gereklilik, kişisel verilerin ne sıklıkla ifşa edildiğine ışık tuttu. Bir anket , GDPR yürürlüğe girdikten sonraki ilk sekiz ayda yaklaşık 60.000 veri ihlali rapor edildiğini gösterdi .
Ayrıca, mahremiyet personelinin işe alınması ve eğitilmesi ve mahremiyet teknolojisi satın alınması için önemli yatırımlara yol açtı. EY-IAPP anketine yanıt veren şirketlerin yaklaşık yüzde 80'i, gizlilik eğitiminin bu yıl GDPR uyumluluğu için öncelikleri olduğunu söyledi. Aynı ankette, şirketlerin dörtte biri veri işlemcilerini GDPR nedeniyle değiştirdiklerini ve yarısından azı mevcut işlemcilerini korumayı beklediklerini söyledi. GDPR, tasarımı gereği güvenli teknoloji ve hizmetler için devasa bir yeni pazar oluşturdu .
Son olarak, GDPR, kişisel verilerin nasıl işlendiği ve her gün kaç kuruluşun kişisel verileri işlediği konusunda bir farkındalık yarattı. Kaliforniya ve Brezilya'da GDPR'ye ilham kaynağı olarak açıkça alıntı yapan veri koruma yasaları imzalandı . Dünyadaki diğer ülkeler de kendi veri koruma yasalarını tartışmaya başladılar. Görünüşe göre GDPR'nin Amerikan versiyonu olması sadece bir zaman meselesi .
GDPR kapsamında kaç para cezası değerlendirildi?
Bir araştırmaya göreGDPR kapsamında yalnızca 91 para cezası değerlendirildi - ancak biri Google aleyhine rekor kıran 50 milyon Euro para cezasıydı. Bildirilen neredeyse 60.000 veri ihlali olduğu düşünüldüğünde, bu neredeyse kesinlikle yetersiz bir temsildir. Ve 2019, GDPR uygulamasında çarpıcı bir hızlanma görmeli. Bu yıl, veri koruma kurumları, şirketler gibi personel oluşturmak, uyum sorularını yanıtlamak ve GDPR'yi kendileri için yorumlamakla meşguldü. Bu yıl, veri koruma ajansları soruşturmaları daha fazla takip edebilecek. Dahası, kâr amacı gütmeyen None of Your Business ve French Association La Quadrature du Net gibi gizlilik savunucuları, Google, Facebook, Instagram ve WhatsApp gibi büyük şirketlere karşı düzinelerce GDPR şikayetinde bulundu. Bu şikayetler sistem üzerinden ilerlediğinden, Muhtemelen dünyanın en büyük şirketlerinden bazılarına karşı daha büyük para cezaları göreceğiz. Mozilla'daki AB Kamu Politikası Başkanı Raegan MacDonald'ın söylediği gibiNext Web , "2018'in uygulama yılı olması durumunda 2019'un uygulama yılı olacağından şüpheleniyorum."
GDPR'ye uymak imkansız mı?
Başladığımız yerde bitiriyoruz. GDPR şüphesiz karmaşık bir belgedir, ancak cesaret verici bir şekilde, onu uygulamakla görevli gizlilik uzmanları için geçen yıl olduğundan daha az karmaşık görünmektedir. EY-IAPP anketine katılanlar, anketin 2017'de başlamasından bu yana her yıl neredeyse her GDPR uyum sorumluluğu için giderek daha düşük zorluk puanları verdiler.
İşletmelerin ve tüketicilerin çoğu, GDPR'nin ne anlama geldiğini gerçekten takdir ediyor: verileri güvende tutmak ve bireylere daha fazla kontrol vermek. İlkelerinin küresel olarak yayılması muhtemel görünüyor. Geçtiğimiz yıl uygulamada bir gecikme yaşanırken, şirketler GDPR uyumluluğunu kendi riskleri ile erteledi. Doğru kaynaklarla ve biraz özveriyle, tüm kuruluşlar, kullanıcı verilerini korumak için gerekli adımları atabilir.
Son yıllarda dünya genelindeki pek çok şirketin verileri işleme, saklama veya iletme prosedürlerini değiştiren veri koruma yönetmeliği, bir çok ülke tarafından farklı şekillerde yasalaşıyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, Türkiye’nin de aralarında bulunduğu ülkelerin veri koruma kanunlarını mercek altına alıyor.
Gartner tarafından yapılan yeni bir araştırma, şirketlerin veri kaybını önlemek için yaptığı güvenlik yatırımlarında, 2018 sonuna kadar %65 artış yaşanacağını öngörüyor. Avrupa Birliği ülkelerini etkileyen Genel Veri Koruma Yönetmeliği (GPDR) başta olmak üzere son iki yıl içerisinde pek çok ülkede yeni veri koruma yasalarının yürürlüğe girmesinin bu artışta büyük etkisi bulunuyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, farklı ülkelerdeki uygulamaların yeni yasalarla nasıl iyileştirildiğini mercek altına alıyor.
Şiddeti gitgide daha çok hissedilen veri koruma kanunları, global anlamda büyük farklar yaratıyor. Avrupa Birliği’ndeki ülkelerde Mayıs 2017’de devreye giren ve hesap verebilirlik, rıza alma ve raporlama gibi alanlarda ciddi düzenlemeler getiren GDPR’den ilham alan ülkeler, kendi versiyonlarını üretip uygulamaya koyarak değişime ayak uyduruyor. Benzer şekilde, Türkiye’deki veri koruma uygulamalarının seyri de hızla değişiyor.
ABD: Tüketici Gizlilik Yasası
ABD, GPDR’den aldığı ilham ile yeni kanunlar yaratıyor. Yeni uygulamalardan biri olan 2018 Kaliforniya Tüketici Gizlilik Yasası, Kaliforniya eyaleti vatandaşlarına GDPR’ye özellikle DSAR konusunda benzerlik gösteren haklar tanıyor. Bu haklara göre kişiler, hangi verilerinin ne amaçla işlendiğine ve üçüncü bir şirket veya kişiye verilip verilmediğine dair şirketlerden bilgi talep edebiliyor. Elektronik veya fiziksel olarak oluşturulabilen bu taleplere şirketler bir ay içinde ücretsiz olarak cevap vermek zorunda kalıyor.
ABD’deki başka bir eyalet olan Colorado’daki yasama organı da bu bölgedeki kişilerin veri koruma düzeyinin artırılması için uygulamaya konulması istenen yeni prosedür ve pratikler ile ilgili bir yasa tasarısını yakında sunmayı düşünüyor. Bu yasa tasarısı ile kişisel veri teriminin kapsamının genişletilmesi ve bir veri sızıntısının ardından kullanıcılara bilgilendirme yapılması gereken zaman aralığının değiştirilmesi hedefleniyor. Tüketici Gizlilik Yasası ABD’deki şirketlere şimdiye kadar 30 günlük sızıntı bildirim süresi veriyordu. Bu süre, AB ülkeleri için sadece üç gün olduğundan, ABD’deki şirketler için de sürenin kısaltılması isteniyor.
İngiltere: Veri Koruma Yasa Tasarısı
Brexit’in ardından harekete geçen İngiltere, İngiltere Bilgi Komisyonluğu Ofisi başkanlığında veri koruma ve gizliliği ile ilgili kendi düzenlemelerini oluşturuyor. İngiltere Bilgi Komisyonluğu Ofisi, GDPR ile uyumlu kuralların yürütülmeye devam edilmesi adına yeni bir Veri Koruma Yasa Tasarı taslağı hazırlamakta olan İngiltere için bu konunun oldukça önemli olduğunu ve veri korumaya dair sorunların kamuoyunda sıkça ses getirdiğini belirtiyor.
Avustralya: Gizlilik Yasası
Avustralya’daki Gizlilik Yasası, ülkedeki tüm gizlilik düzenlemelerinin birbiriyle tutarlılık göstermesini sağlayarak eksiksiz bir uyum mekanizması oluşturulmasını hedefliyor. Bu yasalar, ülke içindeki veri akışının Avustralya sınırları dışına çıkışının azaltılmasını ve kişisel gizlilik hakkını garanti altına alacak kurallar içeriyor.
Veri denetleyicilerine pek çok sorumluluk yükleyen Avustralya, bu kişilerden kişisel bilgileri tamamen açık ve şeffaf bir şekilde yönetmesini ve yasaların tüm prensiplerine uyum göstermesini bekliyor. Veri sızıntısı ile ilgili bildirimler, raporlama kuralları ya da “ciddi hasar” teriminin tanımı kısımlarındaki farkların haricinde Avustralya, veri korumada GDPR’ye yakın bir yörüngede ilerliyor.
Meksika: Federal Veri Koruma Kanunları
Meksika’nın Özel Taraflarca Yapılan Federal Veri Koruma Yasası, Avrupa’da uygulanan yasalardan neredeyse hiç ayrılmıyor. Uluslararası Gizlilik Profesyonelleri Birliği’nden Veri Koruma Yasası Başkanı Miguel Recio, “Avrupa Birliği’nde olduğu gibi Meksika da da veri koruma alanında dinamik gelişmeler yaşıyor. Bu gelişmelerde mesuliyet hissi, sağlam ve etkili bir veri yönetimi için anahtar rol oynuyor. Meksika’daki veri denetleyicileri, teknik ve operasyonel önlemler hakkında AB’dekilerle benzer sorumluluklar alarak veri gizliliği yasalarına uyumu proaktif bir şekilde gösteriyor.” sözleriyle Meksika’nın veri korumaya yeni bakış açısını özetliyor.
Kanada: Kişisel Verileri Koruma ve Elektronik Belgeler Yasası
GDPR ile çok alakalı olmayan uygulamaları gündeme getiren ülkeler de bulunuyor. Kanada, oluşturduğu Kanada Kişisel Veri Koruma ve Elektronik Belge Yasası kapsamında kendi standartlarını yaratıyor. Ayrıca, temel işleri direkt veri işlemeye dayanan tüm Kanadalı şirketlerin, Kanada kanunları dışında bütün GDPR kurallarına da uyması bekleniyor.
Türkiye: Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu, Türkiye’de 24 Mart 2016’dan beri yürürlükte bulunuyor. Şirketlerdeki pek çok uygulamayı baştan yazan Kişisel Verilerin Korunması Kanunu, çalışan hak ve gizliliğinden kullanıcı gizliliğine kadar pek çok konunun tekrar değerlendirilmesine imkan yaratarak kişisel verilerin üçüncü kişilere iletilmesi hususunda yenilikler getiriyor.
Her ne kadar iki yıldır gündemde olsa da işlenmiş kişisel verilerin yeni kanuna uyumu için kurumlara iki yıl süre verilmesi nedeniyle KVKK, asıl gücünü Nisan 2018’den beri gösteriyor. KVKK, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlarken, nedensiz ve sınırsız şekilde yapılan veri işlemelerini kabul etmeyerek cezaya tabii tutuyor.
Ayrıca, Ekim 2018 başında veri korumada yeni bir düzenlemeye daha giden Türkiye’de artık veri işleyen tüm kişi ve kurumların bu tür işlemleri yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolması ve orada belirtilen kuralları yerine getirmesi gerekiyor.
Blockchain Türkiye Platformu (BCTR), “Hukuk, Düzenlemeler ve Kamu İlişkileri Çalışma Grubu” tarafından hazırlanan “KVKK ve Blokzinciri Teknolojisi” raporu yayımlandı.
“Adem-i merkeziyetçi sisteme bölgesinde liderlik eden bir Türkiye yaratmak” vizyonu ile Türkiye Bilişim Vakfı (TBV) çatısı altında bir inisiyatif olarak kurulan Blockchain Türkiye Platformu (BCTR), “Türkiye’de sürdürülebilir blockchain ekosistemi oluşturarak, bu teknoloji ile yeni dönem iş yapış biçimlerinin önündeki zorlukların giderilmesine yönelik bir paylaşım platformu oluşturma” misyonunu kendisine şiar edinmiş, kar amacı gütmeyen bir organizasyon.
BCTR çatısı altında yer alan Çalışma Grupları ile blockchain teknolojisine ilişkin güncel konuları ve kullanım alanlarını değerlendirmek; ilgili paydaşları bir araya getirmek ve Blockchain teknolojisinin Türkiye’de yaygınlaşması, bilinirliği ve kullanımının artırılması, faydalarının araştırılması ve stratejik önceliklerinin saptanması için yayınlar hazırlama ilkeleri çerçevesinde, BCTR düzenli olarak önemli başlıklarda raporlar yayımlıyor.
Hukuk, Düzenlemeler ve Kamu İlişkileri Çalışma Grubu tarafından hazırlanan “KVKK ve Blokzinciri Teknolojisi” raporu, kendi alanında önemli bir ihtiyaca cevap vermek üzere hazırlandı ve stratejik bir yol haritası niteliği taşıyor. Hazırlanan raporun Giriş bölümü aşağıdaki satırlar ile okuyucularını karşılıyor;
Geleneksel olarak yetkili otoriteler, arabulucular ve benzeri üçüncü kişilerin tesis etmekte olduğu “güven” olgusu, gelişen teknolojiler ile günümüzde yerini merkeziyetsiz bir yapı olan blokzinciri teknolojisine bırakmaktadır. Kişisel veriler de dahil ağ̆ üzerinde tutulan veriler blokzinciri teknolojisinin temel bileşenlerinden birini oluşturmakta olup; söz konusu teknoloji bu bakımdan, son zamanlarda kişisel verilerin korunması mevzuatına dair yapılan çalışmaların önemli konularından birini oluşturmakta ve zaman zaman sert eleştiri oklarının da hedefi olmaktadır.
Zira, kişisel verilerin korunmasına dair mevzuat düzenlemeleri temelde, kişisel veri sahiplerinin yasal mevzuat kapsamında kendilerine tanınan haklarına ilişkin başvurularını yöneltebilecekleri ve kişisel veri işleme faaliyetlerini ilgili mevzuat hükümlerinde düzenlenen yükümlülüklere uyumlu şekilde gerçekleştirmekle yükümlü en az bir gerçek veya tüzel kişi veri sorumlusunun mevcudiyeti varsayımına istinaden oluşturulmuş ve uygulamaya alınmıştır. Dolayısıyla, söz konusu yasal düzenlemeler, merkeziyetçi bir yapı üzerine inşa edilmiştir. Oysa blokzinciri teknolojisinin temel unsurları arasında yer alan dağıtık ağ yapısı ile blokzinciri üzerinde gerçekleştirilen tüm işlemlere ait kayıtlar, tek bir merkezde tutulmak yerine, bir ağ yapısı üzerindeki her bir katılımcıya eşlenik olarak dağıtılmakta ve böylece veri sorumlusu gibi ara aktörler ortadan kaldırılmaktadır. Diğer bir ifadeyle, söz konusu teknoloji merkeziyetsiz bir yapı üzerine kurulmuştur. Temelde yaşanan bu zıtlık, blokzinciri teknolojisi ile kişisel verilerin korunmasına dair düzenlemeler arasındaki tansiyonu yükseltmektedir.
Bu kapsamda, işbu Kişisel Verilerin Korunması Hukuku ve Blokzinciri Teknolojisi Raporu ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü hükümleri bakımından blokzinciri teknolojisinin incelenmesi, uyuşmazlık noktalarının tespiti ve mevcut gelişmeler ışığında sunulan çözüm önerilerinin derlenmesi amaçlanmaktadır.
Başkan Faruk Bilir: - "İlgili kişilerin şikayetlerinin ve veri ihlal bildirimlerinin kurumun internet sayfası üzerinden yapılabilmesi önemli bir gelişmedir. Her iki uygulama da vatandaşlara ve veri sorumlularına kolaylık sağlayacaktır"
KEMAL KARADAĞ - Kişisel Verileri Koruma Kurumu (KVKK), vatandaşların şikayetlerini ve veri sorumlularının ihlal bildirimlerini elektronik ortamda iletmesine yönelik uygulama başlattı.
Şikayetlerin ve ihlal bildirimlerinin internetten yapılmasına yönelik çalışmaların tamamlanmasının ardından, kurumun resmi internet sitesi "www.kvkk.gov.tr"de "İlgili kişi şikayet bildirimi" adı altında "KVKK Şikayet Modülü" oluşturuldu. Kişisel verisi işlenen ilgili kişilerin başvurularını bu alandan yapmalarına, başvurularını takip edebilmelerine imkan tanındı.
"e-Devlet" şifresiyle giriş gerçekleştirilen şikayet modülünde, kuruma başvuru yapılmadan önce veri sorumlusuna başvurmanın yasal bir zorunluluk olduğu, bu gerçekleştirilmeden kuruma intikal eden şikayetlerin incelemeye alınamadığına yönelik uyarı da yer aldı.
Başvuru sisteminde, veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması, veri sorumlusunun başvuruya cevap vermemesi halinde yapılacaklar ve kuruma başvuruların süreleri hakkında da bilgiler sunuldu.
Öte yandan, veri sorumlularının veri ihlal bildirimlerini elektronik ortamda yapmalarına ilişkin uygulama da hayata geçirildi.
Daha önce veri sorumluları tarafından yapılacak ihlal bildirimlerinde kullanılmasına karar verilen "Kişisel veri ihlali bildirim formu"nun da kurumun internet sitesinde yer alan "https://ihlalbildirim.kvkk.gov.tr" adresi üzerinden KVKK'ye iletilmesi sağlandı.
Konuya ilişkin açıklamada bulunan KVKK Başkanı Prof. Dr. Faruk Bilir, sistemin sorunsuz çalışması için gerekli altyapının oluşturulduğunu bildirdi.
Bilir, "İlgili kişilerin şikayetlerinin ve veri ihlal bildirimlerinin kurumun internet sayfası üzerinden yapılabilmesi önemli bir gelişmedir. Her iki uygulama da vatandaşlara ve veri sorumlularına kolaylık sağlayacaktır." değerlendirmesinde bulundu.
Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte, günümüzde yaşanan siber saldırılar, veri ihlalleri ve sızıntılar gibi birçok tehlikeli durumun önleminin alınıp, güvenliğin sağlanması için bazı yaptırımlar uygulanmaya başladı. İzmir'de konuyla ilgili bilgi veren avukat Gür Gürsoy, "Bir kişiye sormadan cep telefonu numarasının üçüncü kişiyle paylaşılması 2 yıldan 4 yıla kadar hapis cezasına neden olabilir. Artık bir fotoğraf çektirdiğimizde arkamızda yüzü net bir şekilde görünebilir olan kişileri dahi flulaştırmamız gerekir" dedi.
Her geçen gün artan kişisel verilerin korunmasına yönelik risk ve tehditler, sürdürülebilir veri koruma ve uyum politikalarının benimsenmesi gerekliliğini ortaya çıkardı. Nisan 2016'da yürürlüğe giren KVKK'nin çok ciddi idari para ve hapis cezaları getirdiğini belirten avukat Gür Gürsoy, konuyla ilgili bilinçlenmenin hızla artması gerektiğini söyledi. Bu kanunun yalnızca şirketleri kapsadığı ile ilgili yanlış bir algının hakim olduğunu söyleyen Gürsoy, bir kişinin rızasını almadan cep telefonu numarasının üçüncü kişiyle paylaşılması durumunda Türk Ceza Kanunu'nun 136/1'inci maddesi gereği hapis cezası ile karşı karşıya kalınabileceğine dikkat çekti. Gürsoy, "Tamamıyla iyi niyetli olduğunuzu düşünseniz bile bir suç işliyor olabilirsiniz. Bir gazeteci olarak biri sizin numaranıza ihtiyaç duyarsa ben de size sormadan verirsem benim hakkımda suç duyurusunda bulunabilirsiniz. Kişisel verilerimi rızam dışında 3'üncü kişiyle paylaşmış, diyebilirsiniz. Ben bir anda farkında olmadan sorumlu hale gelirim. Hepimizin bu bilinci kazanması lazım. O kişinin şikayeti olursa yargılama neticesinde 2 yıldan 4 yıla kadar hapis cezası hakimin takdirinde. Bir cep telefonu numarasını kafanıza göre paylaşmanız sizi bir anda böyle bir cezayla karşı karşıya bıraktırabilir. Bu nedenle numara paylaşırken dahi çok dikkatli olmanız gerekiyor" dedi.
'SOSYAL MEDYADAKİ FOTOĞRAFLARINIZDA ARKADAKİLERİ FLULAŞTIRMAK GEREK '
Günümüzde sosyal medyanın çok fazla kullanıldığını ve fotoğraflar yüklendiğini ifade eden Gürsoy, "Artık bir fotoğraf çektirdiğimizde arkamızda yüzü net bir şekilde görünebilir olan kişileri dahi flulaştırmamız gerekir. Çünkü o kişi bu fotoğrafa sosyal medya kanalıyla ulaşır ve haberdar olursa sorumluluk taşımış oluruz. KVKK yürürlüğe girmeden önce bunların hiçbiri söz konusu değildi. Kanun yürürlüğe girdiğinden beri bu refleksi göstermediğimiz için belki de gün içinde birçok ihlalde bulunuyoruz. Ama haberdar değiliz" diye konuştu.
KVKK kapsamında dikkat edilmesi gereken durumlar hakkında uyarılar yapan avukat Gürsoy, otellerin kimlik fotokopisi alma yetkisinin bulunmadığını belirterek halkın bu konuya da duyarlı olmasını istedi. Spor salonu gibi yerlerin izinsiz parmak izi gibi biyometrik verileri alamayacağını belirten Gürsoy, şunları söyledi:
"Kargoda kimlik numaraları ve ürün açıkça yazılamaz. İş başvurusunda dahi kimlik fotokopisi verilmesi zorunlu değildir. Açık rıza gerekir. Alışveriş yaparken kasada telefon numarası vermeyin. Gönderilen onay kodu ile neyin onaylandığını bilmiyorsunuz. İş verene sizin hakkınızda toplanan belgeleri ne kadar süreyle saklayacağını ve ne amaçla kullanacağını sorun. İş yerinizde kişisel mail adresini kullanmayın. Tüm verileriniz kayıt altına alınabilir. İş yerinde odada kamera olması uygun değil. İş veren personele verdiği aracı mesai saatinden sonra takip edemez. Takip sistemini kapatması gerekir. Banka sizin bilginiz dışında hesap bilgilerinizi paylaşamaz."
'KAMPANYA MESAJLARI RAHATSIZ EDİCİ'
Bir firmada yönetici pozisyonunda çalışan İlknur Calkı da, KVKK hakkında bilgisi olmadığını söyleyerek "Cep telefonu numaram zaman zaman tanımadığım kişiler tarafından kullanılabiliyor. Özellikle de numaramı vermediğim mağazalardan farklı kampanya mesajları geliyor. Bu da son derece rahatsız edici. Ama bunun bir suç olduğunu bilmiyordum. Numaramızın öğrenilmesi durumunda mağaza harici farklı içerikler de gelebilir. Bu sapmaları engellemek adına yasa çıkarılması güzel bir uygulama olmuş" dedi.
Öğretmen Büşra Çağlar (35) ise tanımadığı numaraların kendisine ulaşmasını engellemek adına bazı yöntemler kullandığını belirterek şunları söyledi:
"Özellikle bir şeyleri satmak isteyen pazarlamacılar çok rahatsız edici oluyor. Kendini banka olarak tanıtanlar da bunu sık yapıyor. Ama ben bir uygulama indirdim. Artık 'olası sahtekar numara' diye bana haber veriyor, ben de açmıyorum. Bu şekilde kurtulsam da rahatsızım. Bunun suç olduğunu biliyordum. Numaramın paylaşılmasından önce kim olursa olsun bana haber vermesi gerekir."
KVKK’nın şirketler özelinde dikkate aldığı en önemli noktalardan biri de verilerin korunmasında şirketlerin alması gereken teknik tedbirleri alıp almadığıdır. Tek bir siber güvenlik ürün ya da hizmetinin kişisel verileri korumada tam etkinlik sağlamayacağını aktaran uzmanlar, şirketlerin tam kapsamlı KVKK uyumluluğu için dikkate alması gereken 17 teknik tedbirin bulunduğunu belirtiyor.
Kişisel verilerin güvenliğine ilişkin şirketlerin alması gereken birçok teknik tedbir bulunuyor. Özellikle teknik altyapılarını incelemeyen, geliştirmeyen ya da KVKK’nın dikkat ettiği alanlar için gerekli adımları atmayan şirketlerin cezalarla karşılaşması an meselesi. Her geçen gün şiddeti artan ve yapısı daha da karmaşıklaşan siber saldırılara da dikkat çeken Siberasist Genel Müdürü Serap Günal, tek bir siber güvenlik ürününün tam güvenlik sağlamayacağı gibi KVKK kapsamında uyumluluğu sağlayacak tedbirlerin alınmasına da yeterli olmayacağının altını çiziyor. Günal, şirketlerin uyumluluk aşamasında teknik altyapılarını inceleyerek KVKK’nın da işaret ettiği gerekli birçok teknik tedbiri alması gerektiğini belirtiyor.
Siber Güvenliğe Yatırım Yapmadan Kişisel Veri Korunamaz
Günümüzde bir hacker için veriye ulaşmak artık çok kolay. Saldırdığı herhangi bir şirketten, petrol gibi altın değerinde veri saçıldığını fark eden hackerlerin, işlerini kolaylaştıran ise gerekli siber güvenlik yatırımlarını yapmayan şirketler oluyor. Birçok veriye sahip olan ve gerekli siber güvenlik korumalarına sahip olmayan şirketlerin hem hackerlerin hem de KVKK’nın hedef tahtasında olduğunu dile getiren Günal, veriye sahip olmanın getirdiği sorumlulukları yerine getirmeyen birçok şirketin ya hackerlerin saldırılarından ya da KVKK’nın talep ettiği teknik tedbirleri yerine getirmediğinden dolayı zarara uğrayacağını belirtiyor. Özellikle KVKK’nın yerine getirilmesini talep ettiği teknik tedbirlerin hem verileri korumada hem de şirketleri korumada önemli faydalar sağladığının altını çizen Günal’a göre, siber güvenliğe yatırım yapılmadan hiçbir veri güvenliğinin sağlandığı ve korunduğu söylenemez.
6 Ana Başlıkta Analiz ve 17 Gerekli Teknik Tedbir
Bir verinin korunmasına ilişkin şirketin nerede ve nasıl durması gerektiğini KVKK’nın yol haritasıyla şirketlere aktardıklarını belirten Günal, KVKK uyumluluğuna geçiş için öncelikle şirketin teknik altyapı durumunun 6 başlıkta analiz edilerek ve hukuki tedbirlere de uyumluluğu dengelenerek ihtiyacı olan teknik tedbirlerin önerildiğini belirtiyor.
KVKK’nın işaret ettiği ve şirketlerde analizinin yapılması gereken 6 ana başlık ise şu şekilde;
• Siber güvenliğin sağlanması
• Kişisel veri güvenliğinin takibi
• Kişisel veri içeren ortamların güvenliğinin sağlanması
• Kişisel verilerin bulutta depolanması
• Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı
• Kişisel verilerin yedeklenmesi gibi başlıklarda şirketin gerekli teknik altyapı analizlerinin yapılması gerekiyor.
Şirketlerde yapılan analizler sonucunda, KVKK’nın talep ettiği teknik tedbirleri hem hukuki hem de teknik boyutları ile harmanlayarak şirketlere sunduklarını aktaran Günal, bir şirketin tam kapsamlı güvenliği için 17 teknik tedbirden sorumlu tutulduğunu ifade ediyor. KVKK’nın işaret ettiği ve şirketler tarafından alınması gereken 17 teknik tedbir ise şu şekilde;
1. Yetkilendirme matrisinin oluşturulmuş olması
2. Erişim loglarının tutulması
3. Yetki kontrolünün yapılması
4. Kullanıcı hesaplarının yönetilmesi
5. Ağ güvenliğinin sağlanması
6. Uygulamaların güvenliğinin sağlanması
7. Verilerin şifreleme yöntemleri ile şifrelenmesi
8. Sızma testleri yapılarak kurum güvenliğinin test edilmesi
9. Saldırı tespit ve önleme sistemlerinin oluşturulması
10. Log kayıtlarının incelenip yedeklenmesi
11. Veri maskelemelerinin yapılması
12. Veri kaybı önleme yazılımlarının kullanılması
13. Yedekleme sistemlerinin kullanılması
14. Güncel antivirüs sistemlerinin kullanılması
15. Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin yapılması
16. Güvenlik duvarlarına sahip olunması
17. Anahtar yönetiminin olması.
KVKK kapsamında sıkça duyulan kişisel veriler ile özel nitelikli kişisel veriler arasında önemli farklar bulunuyor. İlgili kişiye mağduriyet yaratacak özel nitelikli kişisel verilere dikkat çeken uzmanlara göre, KVKK uyumlulukları doğrultusunda bu ayrımlara dikkat etmeyen şirketler ciddi cezalarla karşılaşabilir.
KVKK’nın yürürlüğe girmesiyle birlikte çoğu kişi ve şirket, kişisel veriler tanımına aşina oldu. Ancak KVKK’nın kendi gereklilikleri ile birlikte gelen özel nitelikli kişisel veriler ile kişisel veriler arasında önemli düzeyde farklılıklar bulunuyor. Şirketler için KVKK ve GDPR uyum danışmanlığı hizmeti sunan Siber Asist’in Hukuk Danışmanı Beliz Özkırım’a göre, şirketlerin bu iki tanım arasındaki ayrıma dikkat etmesi gerekiyor.
Kişisel Verilerin İşlenmesinde Açık Rızanın Alınması Önemli
En temel ifadeyle bir kişiyi tanımlamak için kullanılabilen herhangi bir bilgi parçası kişisel veri kapsamına giriyor. Bu bağlamda aşağıdakilerden herhangi biri kişisel veri olarak kabul edilebilir:
• Ad Soyad
• Ev ve e-posta adresi
• Vatandaşlık numarası
• Konum bilgileri
Kişisel verilerin şirketler tarafından kullanımının KVKK ile belirli kurallara bağlandığını aktaran Özkırım, şirketlerin kişisel verileri işleyebilmesinin ilgili kişinin açık rızasına bağlı olarak gerçekleşebileceğini, bilgilerin saklanması ya da kullanılmasına dair ilgili kişilerden açık rıza alınmaması durumunda ciddi yaptırımlarla karşı karşıya kalınabileceği konusunda uyarılarda bulunuyor.
Girilmez Bölge: Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, ekstra güvenlikle ele alınması gereken verileri kapsıyor ve kişilere ait aşağıdakilerden herhangi biri özel nitelikli kişisel veri olarak kabul ediliyor:
• Irk veya etnik köken
• Siyasi düşünce
• Felsefi inanç
• Din-mezhep
• Sağlık bilgileri
• Dernek, vakıf veya sendika üyelikleri
• Cinsel hayat
• Biyometrik ve genetik veriler
• Ceza ve güvenlik tedbirleri ile ilgili veriler
Özel nitelikli kişisel verilerin diğer kişisel verilerden ayrı tutulması gerektiğine dikkat çeken Özkırım, özel nitelikli kişisel verilerin işlenmesi dahilinde ilgili kişilerin mağdur olabileceğini ve ayrımcılığa maruz kalabileceğini belirtiyor. Bu nedenle özel nitelikli kişisel verilerin ilgili kişinin açık rızası alınarak ya da Kanunda istisnai olarak düzenlenen bazı hallerde işlenebileceğine dikkat çekiyor.
Açık Rızanın Geri Alınması Verilerin İşlenmesini Durdurur
Kişilerin şirketlere verilerini işleme konusunda verdiği açık rızalar geri alınabiliyor. Açık rıza ile alınan kişisel verilere dair söz hakkının ilgili kişide olduğunu belirten Özkırım, açık rızanın geri alınması beyanının şirketlerin veri sorumlusuna ulaştığı andan itibaren verilerin işlenmesinin durdurulması gerektiğini ifade ediyor.
Siber saldırılar, alınmayan önlemler, yerine getirilmeyen sorumluluklar ve doğru güvenlik altyapılarının oluşturulmaması, şirketlerde veri ihlallerine neden oluyor. Şirketlerin kişisel verileri koruma konusunda doğru bilinen yanlışlara sahip olduklarını aktaran uzmanlar, KVKK konusunda şirketleri hataya düştükleri 5 yanlış konusunda uyarıyor.
Kişisel verilerin korunması için ciddi önlemlerin alınması ve gerekli sorumlulukların yerine getirilmesi gerekiyor. Şirketler, almadıkları önlemler ve yerine getirmedikleri sorumluluklar neticesinde veri ihlalleri yaşarken, KVKK tarafından da ciddi cezalarla karşılaşıyor. Bunun en temel nedenlerinden birinin KVKK uyumluluk sürecine dair doğru bilinen yanlışlardan kaynaklandığını belirten Siberasist Genel Müdürü Serap Günal, şirketlerin KVKK konusunda düştüğü 5 yanlışa dikkat çekiyor.
1. VERBİS’e kayıt süreci yine ertelenir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına yönelik VERBİS’e kayıt sürecinin Haziran 2020’ye kadar ertelenmiş olması, şirketlerde yine ertelenebilir algısını oluşturdu. Aslında KVKK’nın şirketlere bu konuda tanımış olduğu toleransın bir kez daha sağlanacak olması inancı, şirketlerin büyük bir kumar oynamasına neden oluyorken, gerçekleştirilmeyen sürecin zararlarının da yansımalarıyla karşılaşabileceklerini gösteriyor. Gerekli şartları taşıyan veri sorumlularının mutlaka kayıt süreçlerini tamamlamaları öneriliyor.
2. KVKK KOBİ’leri kapsamıyor, büyük şirketleri kapsıyor. Doğru bilinen yanlışlar arasında en çok dile getirilenlerden biri de KVKK’nın sadece büyük şirketleri kapsıyor olduğudur. Kanunun özel ya da kamu, büyük ya da küçük şirket ayrımı yapmadığını, esas olarak tüm tüzel kişileri kapsadığının altını çizmek gerekiyor.
3. KVKK sürecinde danışmanlık almaya ihtiyaç yok. KVKK uyumluluk sürecinde şirketlerin 3 temel noktayı göz ardı etmemeleri gerekiyor. Hukuk, teknoloji ve danışmanlık adımları, şirketlerin tam kapsamlı KVKK uyumlulukları için önem arz ediyor. Eğer şirketler sadece hukuk boyutlarını kendi hukuki birimleri ile çözmeye kalkışırsa, teknolojik altyapı gereksinimlerini göz ardı edebilirler. Hem hukuki hem de teknik bilgilerin yönlendirmeler ve alınacak danışmanlıklar doğru bir şekilde uygulanması gerekiyor.
4. Teknoloji tarafında herhangi bir yazılıma gerek yok. Kanun gereği hiçbir maddede teknolojik alt yapı için bir yazılım ya da donanım özellikle belirtilmiyor olsa da bazı maddelerin işlenmesi için gerekli yazılımlara sahip olunması gerektiği görülüyor. Özellikle verilerin maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması adına teknik donanımlara sahip olunması gerekiyor. Bu teknik donanımların hukuki açıdan da desteklenmesi gerektiğini unutmamak lazım.
5. KVKK uyumluluğum tamam, GDPR’ye ihtiyacım yok. Özellikle AB üyesi ülke vatandaşlarını istihdam eden ya da üye ülkelerle ticari ilişkileri bulunan şirketlerin sadece KVKK uyumlulukları yeterli olmuyor. GDPR’de bulunan ve karşılığı KVKK’da olmayan maddelere dikkat edilmesi gerekiyor. Şartları taşıyan şirketlerin KVKK uyumluluklarının yanı sıra GDPR çalışmalarını da gerçekleştirmeleri ve bu konuda danışmanlık almaları gerekiyor.
Teknoloji, işlerimizi daha hızlı bir şekilde yapmamıza olanak sağlayarak hayatı kolaylaştırıyor. Bunu yaparken de kişisel özel bilgileri talep ediyor. Bu da kişisel verilerin kullanımında özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini koruma gerekliliğini ortaya çıkarıyor. İşte, bu noktada 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) devreye giriyor. Peki, KVKK hangi teknolojileri kullanıyor?
KVKK, kişisel verileri kullanan, işleyen ve saklayan gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları kapsıyor. KVKK, verilerin belli bir düzende işlenmesini ve gizliliğini sağlamak için birçok teknoloji kullanıyor.
Kişisel veri tespit testi
Kişisel veri kapsamına giren bilgiler; kimlik numarası, köken, din, sağlık bilgileri ve öğrenim bilgileridir. Bu verilerin tespiti kanun çerçevesinde işlem yapılabilmesini sağlıyor. Kişisel veri tespit testi ile bireylerin kişisel verilerinin tespit edilmesi sağlanıyor.
Veri sızıntısı engelleme-DLP testi
İşletmeler, müşterileri ve çalışanlarına ait pek çok hassas veriye sahip oluyor. İşletmelerdeki verilerin dışarıya sızmaması için DLP testi uygulanıyor. “Veri sızıntısı önleme”, “veri kaybı önleme”, “veri kaçağı önleme”, “veri sızıntısı engelleme”, “veri kaybı engelleme” veya “veri kaçağı engelleme” olarak bilinen bu DLP testi ağ içinde, depolama alanlarında ve son kullanıcı (uç) noktalarında koruma sağlıyor ve her kurum için önem taşıyor.
Şifreleme testi
Verilerin ele geçirilmesi durumunda verinin şifreli olması hacker’ın veriyi elde edememesini ve veri sızıntısının olmamasını sağlıyor. KVKK açısından önem arz eden şifreleme testi, verinin şifrelenerek çıkmasını amaçlıyor.
E-posta güvenliği testi
E-posta, en yaygın kullanılan iletişim yöntemleri arasında bulunuyor. Bu da siber saldırganların araç olarak maili kullanmasına neden oluyor. Bir çalışanın bilinçsizce üçüncü taraflardan gelen mailleri açması, kurum bilgisayarı ve ağını riske atabiliyor. Bu nedenle e-posta güvenliği büyük önem taşıyor.
Web güvenliği ve ADC testleri
Web sitelerinin de siber saldırılara uğrama olasılığı bulunuyor. Özellikle ticari işletmelerin dijital dünyada görünür olmasını sağlayan web siteleri ve bankaların web siteleri, en ufak bir güvenlik açığı olması durumunda kötü niyetli saldırganlarca sömürülebiliyor.
Log ve SIEM teknolojileri testi
SIEM ve Log teknolojileri, kurumlarda gerçekleşen işlemlerin kaydının ve analizinin barındırılmasını sağlıyor. Bu nedenle veri sızıntısında SIEM ve Log kayıtları kontrol ediliyor.
Veri silme yok etme testi
Verilerin imha edilmesi kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi anlamına geliyor. Verilerin kasten ve kast dışı yok edilmesi, KVKK’ye uyulmadığı anlamına geliyor.
Zaman damgası testi
Zaman damgası, 5070 sayılı “Elektronik İmza Kanununu” uyarınca; bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi maksadıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt anlamına geliyor. Verinin ne zaman değiştirildiği, alındığı, gönderildiği gibi birçok önemli bilgiye ulaşmayı sağlaması bakımından zaman damgasının KVKK için önemi büyüktür.
Veri tabanı güvenliği testi
Birbirleriyle ilişkili bilgilerin depolandığı alanlar olan veri tabanlarında bir güvenlik açığı bulunması veri sızıntısı anlamına gelebilir. Bu tür güvenlik açığının olup olmadığını tespit etmenin yolu veri tabanı güvenliği testi yapmaktır.
Tokenizasyon testi
Hassas verileri korumak için şifrelenmiş verilerle yer değiştirme yöntemi kullanılması tokenizasyon teknolojisini ifade ediyor. Hassas verilerin şifrelenme durumunu kontrol etmek için tokenizasyon testinden yararlanılıyor.
Yapılandırılmamış veri güvenliği ürünleri
Cihazın kurulumunu veya konfigürasyonunun eksik olması, siber saldırganlar için harika bir fırsat anlamına geliyor. Verilerin kötü niyetli kişilerin eline geçmesini önlemenin yollarından biri de cihazların konfigürasyonunu tam yapmak oluyor.
Mobil Cihaz Yönetimi (MDM) ürünleri
Cihazda hangi özellikler açık, cihazın dışardan erişim için açığı var mı gibi soruların cevaplarının bilinmesi ve cihazların yönetilmesi için MDM büyük önem taşıyor.
Yetki ve erişim denetim ürünleri
Yetki ve erişim denetim ürünleri, ağa kim bağlanıyor, şu anda ağda neler oluyor gibi soruların cevaplarının bilinmesi açısından önem taşıyor. Ağın izlenmemesi durumunda kötü niyetli biri kurum ağına bağlanıp içerden verileri alabilir. Bu nedenle bu tür ürünler işletmeler için önem taşıyor.
Kişisel Verileri Koruma Kurumu tarafından farkındalık çalışmaları kapsamında çocuklara yönelik düzenlenen "Veri Tayfa" etkinliklerinin ikincisi başladı.
Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Faruk Bilir, bir alışveriş merkezinde gerçekleştirilen etkinlikte yaptığı konuşmada, 2019'da gerçekleştirilen etkinliğin bu yıl iki ekibin 16 şehirde 48 gösterimiyle sürdürüleceğini belirtti.
Etkinliğin amacının çocukların veri koruma kültürüyle yetişmesi, bu konuda farkındalık kazanması ve yaş grubuna uygun şekilde kişisel verileri öğrenmesi olduğunu anlatan Bilir, çocukların dijital dünyada yalnız bırakılmaması gerektiğini vurguladı.
Bilir, ebeveynlerin çocuğun çevrimiçi faaliyetlerini ortadan kaldırmak yerine bu faaliyetleri yönetilebilir ve kontrol edilebilir hale getirmesi gerektiğine işaret ederek, şu tavsiyelerde bulundu:
"Çocuklar, gerçek ve dijital ortamda veri güvenliğinin sağlanması amacıyla neleri paylaşıp neleri paylaşmaması gerektiği konusunda bilinçlendirilmeli. Çevrim içi ortamlardaki kötü niyetli kişilerin davranış biçimlerini, yüzlerini ve hatta yaşam alanlarını internette farklı yansıtabileceği akılda tutulmalı. Sosyal medya hesaplarının ve akıllı cihazların gizlilik ve güvenlik ayarları bilinçli bir şekilde düzenlenmeli. Çevrim içi oynanan bazı oyunların kişisel veri güvenliğinin yanı sıra psikolojik ve fiziksel sorunlara da yol açabileceğine dikkat edilmeli."
Çocuklar hem eğleniyor hem de öğreniyor
Rafadan Tayfa çizgi filminin karakterlerinin yer aldığı gösterinin 2'inci etabında "Veri Tayfa" ekibi, Ankara ve Antalya'nın yanı sıra Isparta, Bursa, Balıkesir, Malatya, Sivas, Samsun, Yozgat, İzmir, Kahramanmaraş, Şanlıurfa, Sakarya, Bolu ve İstanbul'da çocuklarla buluşacak.
Çocukların, "Veri Tayfa" gösterilerini izlerken hem eğlenmeleri hem de kişisel verilerin neler olduğu, bunları paylaşırken nelere dikkat etmeleri gerektiği ve kişisel verilerin ne kadar önemli olduğu konularında yaşlarına uygun şekilde bilgilendirilmeleri hedefleniyor. Etkinlikle, ailelere de kişisel verilerin paylaşılması ve korunması konusunda farkındalık kazandırılmaya çalışılıyor.
Kişisel Verileri Koruma Kurumundan, Kovid-19'la mücadele kapsamında Sağlık Bakanlığının yürüttüğü "Pandemi İzolasyon Takip Projesi"yle kişilerin konum bilgilerinin işlenmesinde hukuki engelin bulunmadığı bildirildi.
Kişisel Verileri Koruma Kurumundan (KVKK), yeni tip koronavirüsle mücadele kapsamında (Kovid-19) Sağlık Bakanlığının yürüttüğü "Pandemi İzolasyon Takip Projesi"yle kişilerin konum bilgilerinin işlenmesinde hukuki engelin bulunmadığı bildirildi.
Kurumdan yapılan yazılı açıklamada, Kovid-19 salgınının azaltılmasına, hastaların izolasyonuna yönelik başlatılan "Pandemi İzolasyon Takip Projesi"ne ilişkin değerlendirmede bulunuldu.
Hastalıktan korunmak için Türkiye'nin ve tüm ülkelerin çeşitli tedbirlere başvurduğu hatırlatılan açıklamada, mücadele kapsamında karantina, sosyal mesafe ve sosyal izolasyon gibi önlemlerin yanı sıra teknolojik imkanlardan da faydalanıldığı belirtildi.
Açıklamada, bazı ülkelerde mobil uygulamalar ve benzeri yöntemlerle, "hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti" gibi amaçlarla sağlık, konum ve iletişim bilgileri gibi kişisel verilerin işlendiği vurgulandı.
"Kişinin güvenliğiyle doğrudan ilişkili olan verilerin güvenliğinin gözetilmesi kaydıyla, kamu düzeni ve halk sağlığı nedeniyle devletlerin bu tür yöntemlere başvurması yasal olarak mümkündür" ifadesine yer verilen açıklamada, burada önceliğin kamu sağlığının korunması olduğuna dikkat çekildi.
Kamu kurum ve kuruluşlarının, halk sağlığına yönelik tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabileceğine işaret edilen açıklamada, şu bilgiler paylaşıldı:
"Konum verilerinin işlenmesi ve kişilerin hareketliliklerinin izlenmesi hukuka uygundur. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 28. maddesinin 1. fıkrasının 'ç' bendinde, 'kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı' düzenlenmiştir."
"Teknik ve idari tedbirler alınmalı"
Açıklamada, salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda, bu durumu ortadan kaldırabilmek amacıyla konum ve trafik verilerinin işlenmesi suretiyle kalabalık alanların kamu idaresince tespiti ve bu kapsamda önlemler geliştirilebilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetlerinin, kanunun 28. maddesinin 1. fıkrası 'ç' bendi kapsamında değerlendirilebileceği aktarıldı.
Açıklamada, şunlar belirtildi:
"Bu çerçevede Kovid-19'un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi nedeniyle hastalığın yayılmasını engellemek amacıyla konum ve trafik verilerinin söz konusu kanun maddesinin kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde hukuki bir engel yoktur.
Kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır."
Kişisel Verileri Koruma Kurumu (KVKK) ve İstanbul Teknik Üniversitesi (İTÜ), yapay zeka ve veri bilimi konularında iş birliği yapmak üzere protokol imzaladı. İTÜ Rektörü Prof. Dr. Mehmet Karaca, üniversite bünyesinde geliştirecekleri yapay zeka ve veri bilimi uygulamaları ile KVKK’ya akademik açıdan katkı sağlamayı amaçladıklarını söyledi.
İstanbul Teknik Üniversitesi Yapay Zeka ve Veri Bilimi Uygulama ve Araştırma Merkezi ile Kişisel Verileri Koruma Kurumu (KVKK) arasında iş birliği protokolü imzalandı. Protokol kapsamında, iki kurum arasında kişisel verilerin korunması, veri mahremiyeti ve veri güvenliğine ilişkin olarak ortak çalışmalar ve yayınlar yapılması, ulusal ve uluslararası projeler yürütülmesi ve eğitim ve öğretim konularında iş birliği yapılması hedefleniyor.
İTÜ KVKK’ya akademik katkı sağlayacak
Protokolün iki yıllık bir süreyi kapsadığını söyleyen İTÜ Rektörü Prof. Dr. Mehmet Karaca, kişisel verilerin korunması konusunda düzenleyici kurum olan KVKK ile yapılan iş birliğinin önemine işaret etti.Her geçen gün büyüyen veri ağıyla birlikte ortaya çıkan veri güvenliğine dikkat çeken Rektör Prof. Dr. Karaca, “Veri mahremiyetini içerecek şekilde veri temelli ekonominin önünü açacak yapay zeka ve veri bilimi uygulamaları geliştirerek Kuruma akademik açıdan katkı sağlamayı amaçlıyoruz. KVKK ile yapay zeka kapsamında kişisel verilerin korunması, veri mahremiyeti ve güvenliği konusunda, kişilerin temel hak ve özgürlüklerini koruyacak ulusal veya uluslararası projeler geliştireceğiz.” değerlendirmesinde bulundu.
Öğrenciler kişisel veriler konusunda bilinçlendirilecek
Protokol kapsamında atılacak adımlara ilişkin bilgi veren Rektör Prof. Dr. Karaca, öğrencilerin kişisel verilerinin korunması konusunda farkındalığını artıracaklarını belirterek şöyle konuştu: “Çift taraflı protokol kapsamında akademik içeriği de zenginleştirerek, geleceğin en önemli konuları arasında yer alan kişisel verilerin korunması hakkında bilinçlendirme çalışmaları da hayata geçireceğiz. Veri güvenliğinin demokratik toplumların vazgeçilmez unsurları arasında yer aldığı gerçeğinden hareketle, KVKK ile ortak bildiri, makale ve raporlar gibi bilimsel çalışmaları hedefliyoruz. Ayrıca kamu ve özel kuruluşlar için de bilgilendirici rehberler hazırlayacağız.”
“İTÜ’nün sağlayacağı akademik ve teknik katkıdan memnunuz”Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir ise yapay zekanın, nesnelerin internetinin, blokzincirin ve büyük verinin konuşulduğu; dijital dönüşüm süreçlerinin gün geçtikçe hız kazandığı bir dönemde ülkemizin ilk teknik üniversitesi olan İTÜ ile imzalanan protokolün önemli olduğunun altını çizdi.
Protokol kapsamında yapılacak faaliyetler ile üniversite öğrencilerinin kişisel verilerin korunması konusunda farkındalık düzeylerinin artacağını söyleyenProf. Dr. Bilir,yapay zeka uygulamaları kapsamında veri mahremiyetinin sağlanması ile veri güvenliği ihlal tespitleri gibi konularda üniversitenin sağlayacağı akademik ve teknik katkılardan memnuniyet duyduğunu belirtti.
“Yapay zeka insan onurunu merkeze alan bir anlayışla kullanılmalı”
KVKK Başkanı Prof. Dr. Bilir, bilişim teknolojileri alanında en çok konuşulan konuların başında gelen yapay zeka teknolojisinin ülkemize ve dünyaya son derece önemli katkılar sağlayacağını fakat bu teknolojinin insan onurunu merkeze alan bir anlayışla kullanılması gerektiğini belirterek, şunları söyledi:
“Ülkemizin de içinde bulunduğu dijital dönüşüm sürecinin temel unsurlarından birisi veri güvenliğidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu veriden değer üretebilen teknolojilerin kullanılmasına karşı değildir. Aksine bu süreçte kişisel verilerin korunması hususunda teknolojinin sağladığı imkânlardan yararlanılması taraftarıdır.”
Kurumsal web sitelerinden, e-ticaret veya blog sitelerine kadar birçok alanda kişisel veriler toplanıyor. Toplanan kişisel verilerin korunması, işlenmesi veya saklanması ise KVKK kapsamına giriyor. Kişisel veriye ulaşan her internet sitesinin KVKK anlamında risk taşıdığına dikkat çeken uzmanlar, kişisel veriye ulaşan web sitelerinin KVKK kapsamında yapması gerekenler olduğunu belirtiyor.
Günümüzde en çok kişisel verinin toplandığı dijital alan internet siteleri olarak görülüyor. Kişisel blog sitelerinden, e-ticaret ya da şirket web sitelerine kadar hemen hemen her yerde kişisel veri toplanıyor. Özellikle bu verilerin toplandığına dair bilgilendirmenin ya da toplanması için gerekli iznin alınmadığı internet sitelerinin varlığına işaret eden Siberasist Genel Müdürü Serap Günal, özellikle kişisel veri elde eden şirket web siteleri başta olmak üzere birçok internet sitesinin KVKK kapsamında uygulaması gereken önemli düzenlemeler olduğunu aktarıyor.
Açık Rıza Almayan ve Aydınlatma Metnini Paylaşmayan Siteler Var
İnternet siteleri ayrıcalıklı durumlar, kampanyalar ya da ekstra içerikler için kullanıcılarından üyelik talep edebiliyor. Verilen hizmetten faydalanmak için ya da o hizmete devam edebilmek için kişisel verilerini paylaşan birçok kullanıcı da oluyor. Toplanan kişisel verilerin işlenme faaliyetlerini, neden ve ne amaçla toplandığını ilgili kişilere aktarmayan birçok internet sitesi olduğuna dikkat çeken Serap Günal, bu internet sitelerinin ilgili kişiden elde ettiği kişisel veriler konusunda KVKK kapsamına ilişkin veri politikalarını bir an önce hazırlaması gerektiğini belirtiyor. Hazırlanan veri politikası çerçevesinde internet sitesinin aydınlatma metnini ilgili kişi ile paylaşması gerektiğini belirten Günal, aydınlatma metnini paylaşmayan ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun öngördüğü gerekli yükümlülüklere uymayan internet sitelerinin KVKK tarafından ceza alabileceğini aktarıyor.
İnternet Siteleri De Kişisel Veriyi Korumakla Yükümlü
Elde edilen kişisel verilerin saklanması ya da korunması konusunda internet sitelerine de büyük sorumluluk düşüyor. Kişisel verinin elde edilmesinden sonra korunmasında da internet sitelerinin KVKK yükümlülüklerine uyması gerektiğini belirten Serap Günal, işlemek üzere alınan kişisel verilerin neler olduğunun, verinin ne amaçla işlendiğinin ve kimlere aktarılacağının dahi internet sitelerinde yer alması gerektiğini belirtiyor. Bu yüzden e-ticaret ya da blog sitesi fark etmeksizin kişisel veriyi elde eden her internet sitesini konu hakkında uyaran Günal, KVKK’nın işaret ettiği gerekli olan idari ve teknik yükümlülükleri yerine getirmede internet sitelerinin geç kalmaması gerektiğinin altını çizerken kişisel veriler konusunda internet sitelerinin bu 4 adımı kesinlikle uygulaması gerektiğini de ifade ediyor.
1. Kişisel veriler açık rıza alınarak işlenmeli.
2. Aydınlatma metni paylaşılmalı.
3. İlgili kişiler için KVKK talep formu oluşturulmalı.
4. Kişisel verilerin korunması ve saklanması için KVKK’nın işaret ettiği teknik tedbirleri almalı.
Reklam teknolojilerinde veri yönetimi konusunda faaliyet gösteren Adform, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) yıl dönümünü kutlarken, Türkiye’nin de Kişisel Verileri Koruma Kanunu (KVKK) ile örnek ülkelerden birisi olduğu mesajını verdi.
Kişisel verilere nasıl yaklaşılacağı konusundaki etik çerçeve, resmi düzenlemelerle netlik kazanıyor. Bu konuda ilk adımı atanların başında Avrupa Birliği geliyor. 25 Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR), ikinci yılını kutlarken, birçok ülkedeki yaklaşıma da öncülük etti.
Reklam teknolojileri de kişisel veriler konusunda çok kez eleştirildi, ancak GDPR ile belirlenen gizlilik çerçevesi, IAB gibi sektör birliklerinin de çabalarıyla reklam dünyasında karşılığını buluyor.
Dünyada GDPR adaptasyonunda öncü kuruluşlardan olan Adform, tüzüğün ikinci yılında, veri konusundaki düzenlemelerin önemini vurguladı.
Kişisel veriler hakkında konuşan Adform Türkiye Genel Müdürü ve MEA, APAC Bölgeleri Satış Direktörü Cem Eroğlu, “İki yıl önce GDPR’nin gerekliliklerini yerine getirdik. Bunu bir yıl önce ICO’nun reklam teknolojileri ve gerçek zamanlı teklif (RTB) raporu, beş ay önce de CCPA (Kaliforniya Tüketici Gizliliği Yasası) kararnamesi izledi. Gizlilik, üçüncü taraf çerezlerin de kullanımdan çıktığı bir zamanda, günümüzde, her zamankinden daha çok önem taşıyor. Ancak bu değişiklikler, bugüne kadarki biçimiyle programatik reklamcılığın sonu anlamına gelmiyor” dedi.
Eroğlu, sözlerine “Sektör olarak, veri bütünlüğünü ilk sıraya koyarak, verilerinin nasıl toplandığı, saklandığı ve işlendiği bilgisiyle tüketicilere güç veriyoruz. Bu ortak ve çapraz çalışma, çok sayıda üçüncü taraf tedarikçiyle çalışmadan, kapsamlı rıza yönetimi çözümlerini bir standart olarak uygulayan, daha sofistike ve entegre reklam platformlarına geçişimizi de hızlandıracak” şeklinde devam etti.
Türkiye’nin de Avrupa ile benzer bir dönemde kişisel verilerle ilgili adım attığını ve aynı yıllarda düzenlemelerin hazırlandığını ve yasalaştığını söyleyen Eroğlu, “Türkiye, dünyanın tartıştığı bir noktada kişisel verilerin korunması için kanun hazırlayarak öncü ülkelerden birisi oldu. Bugün, KVKK da tüketicilerin bilgilerinin ve dolayısıyla haklarının korunabilmesi için ülkemizde bir mihenk taşı niteliğini taşıyor” dedi.
Bilindiği üzere; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS bildirim yükümlülüğünü yerine getirmeleri için son tarih 30 Haziran 2020 olarak belirlenmişti. Önceki yazılarımızda bu tarihin yaklaştığını, süre uzatılmaz ise şartları sağlayan veri sorumlularının bir an önce ilgili başvuruları yerine getirmesi gerektiğini duyurmuştuk. Fakat tüm dünyayı ve ülkemizi etkisi altına alan COVID-19 salgını sebebiyle bazı iş yerleri fiziksel olarak kapalı tutulmuş, bazı iş yerlerinde ise uzaktan çalışma şekli uygulanmıştır. Yukarıdaki şartları sağlayan veri sorumluları gerekli hazırlıkları yapamadıklarından, ayrıca birçok veri sorumlusunun kişisel veri envanteri hazırlama süreçlerinin de sekteye uğraması sebebiyle Kişisel Verileri Koruma Kurumu 23/06/2020 tarihinde vermiş olduğu karar ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine uzatılmasına karar vermiştir.
KVKK resmi internet sitesinde yayınlanan duyuru aşağıdaki şekildedir;
Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,
Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına oybirliği ile karar verilmiştir.
Veri Sorumlusu ve Veri İşleyen Aynı Kişi Olabilir mi? Veri Sorumlusu ve Veri İşleyen Farklı Kişiler Olduğunda Sorumluluk Nasıl Belirlenecek?
Veri Sorumlusu ile Veri İşleyen Aynı Kişi Olabilir mi? 6698 sayılı Kişisel Verileri Koruma Kanununa göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler kendileri veri sorumlusu olup; kişisel veri işleme sorumluluğu tüzel kişiliğin şahsında doğacaktır.
İlgili kanuna göre veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Görüldüğü üzere veri işleyen daha çok veri işlemekle ve kişisel veri işleme faaliyetinin teknik kısımlarıyla ilgilenmektedir. Sorumuzun cevabına gelecek olursak; bir tüzel ya da gerçek kişi aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından ise “veri işleyendir.”
Peki Veri Sorumlusu ve Veri İşleyen Ayrı Kişi Olduğunda Sorumluluk Nasıl Belirlenir? Veri işleyen, kişisel verileri veri sorumlusu adına işlediğinden; kişisel verilerin işlenmesine dair idari ve teknik tedbirlerin alınması konusunda veri sorumlusu ile müştereken sorumludur. Ayrıca, hem veri sorumlusu hem veri işleyen öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.
Veri İşleyen Tarafından Bir İhlal Gerçekleşmesi Durumunda Sorumluluk Kimde Olacaktır? İlgili Kanun herhangi bir veri ihlali olması durumunda sorumluluğu veri sorumlusuna yüklemiştir. Kişisel veri işleme faaliyeti kapsamında bir ihlal gerçekleştiğinde, ihlalin veri sorumlusu ya da veri işleyen kaynaklı olup olmadığına bakılmaksızın Kanunen sorumluluk veri sorumlusuna aittir. Kanun veri ihlallerinde sorumluluğu her şekilde veri sorumlusuna yüklemiştir. Fakat veri sorumlusu sonrasında bu ihlalin veri işleyenden kaynaklandığını ispat ederse aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı kadarını rücu ettirebilir. Etiketler: Veri İşleyen Tarafından Bir İhlal Gerçekleşmesi Durumunda Sorumluluk Kimde Olacaktır?, Veri Sorumlusu ve Veri İşleyen Aynı Kişi Olabilir mi? Veri Sorumlusu ve Veri İşleyen Aynı Kişi Olduğunda Sorumluluk Nasıl Belirlenecek?
Kimler Kişisel Veri Envanteri Hazırlamalıdır? Veri Sorumluları Hazırladıkları Kişisel Veri İşleme Envanterini KVKK'ya Göndermeli midir? Kişisel Veri İşleme Envanterinde Saklama Süresi Belirtilmeli mi?
Kimler Kişisel Veri Envanteri Hazırlamalıdır?
Veri Sorumluları Sicili Hakkında Yönetmeliğe göre kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. Tüm veri sorumluları kişisel veri işleme envanteri hazırlamak zorunda değildir. Yukarıda bahsi geçen Yönetmeliğin 5 inci maddesine göre kişisel veri işleme envanteri hazırlanması, VERBİS’e kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülüktür. Böylelikle VERBİS’e kayıt yükümlülüğü bulunmayan veri sorumlularının kişisel veri envanteri hazırlama yükümlülüğü bulunmamaktadır.
Fakat KVKK tarafından önerilen VERBİS’e kayıttan istisna tutulan veri sorumlularının da kişisel veri envanteri hazırlamasıdır.
Veri Sorumluları Hazırladıkları Kişisel Veri İşleme Envanterini KVKK’ya Göndermeli midir?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesine göre hazırlanan kişisel veri işleme envanterini KVKK’ya göndermek gibi bir durum söz konusu değildir. Kişisel veri işleme envanteri veri sorumlusunun kendi faaliyet alanı içinde kalmalıdır. Veri sorumlusu gerek aydınlatma metinlerini oluştururken gerekse ilgili kişi tarafından yapılan başvuruları cevaplandırırken hazırlamış olduğu kişisel veri envanterinden faydalanmalıdır. KVKK tarafından herhangi bir denetim yapılması durumunda, Kurul kişisel veri envanterinin kuruma gönderilmesini talep edebilir.
Envanter VERBİS’e Yüklenecek mi?
Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gibi bir durum söz konusu değildir.
Kişisel Veri İşleme Envanterinde Saklama Süresi Belirtilmeli mi? Kişisel veri işleme envanterinde saklama süresi belirtilmelidir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 4 üncü maddesinde “kişisel veri işleme envanteri”; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.
Dolayısıyla yalnızca Veri Sorumluları Sicil Bilgi Sistemine kayıt olmakla yükümlü veri sorumlularının kişisel veri envanteri hazırlaması mecburidir. Fakat KVKK VERBİS’ten istisna tutulan veri sorumlularının da envanter hazırlamasını önermektedir. Hazırlanan envanterler KVKK’ya gönderilmemektedir fakat; herhangi bir denetim vuku bulduğunda Kurulun kişisel veri envanterini talep etme yetkisi bulunmaktadır. Bunun yanında envanter VERBİS’e yüklenen bir çalışma değildir. Kişisel veri işleme envanterinde kişisel verilerin azami saklama süreleri de mutlaka belirtilmelidir.
Gelen bir son dakika haberine göre, Kişisel Verileri Koruma Kurulu (KVKK), sosyal medya uygulaması TikTok hakkında, veri güvenliği açığı iddiaları üzerine resen inceleme başlattı.
Alınan bilgiye göre, Kurul, fotoğraf, video paylaşım ve mesajlaşma uygulaması TikTok hakkında son günlerde basın-yayın organlarında yer alan, "kişisel verilerin korunmasına yönelik veri güvenliği açığı" haberleri ve ihbarlar üzerine harekete geçti.
Kurul, TikTok hakkında resen inceleme başlattı. Kurul daha önce, veri ihlalleri sebebiyle Facebook'a toplam 3 milyon 250 bin lira idari para cezası uygulanmasına karar vermişti.
KVKK'dan Önemli Duyuru: Arama Motorlarında Kişisel Verisi Bulunan Kişi, KVKK'ya Başvurarak, Arama Motorunda Bulunan Kişisel Verilerinin Silinmesini Talep Edebilecek!
Kişisel Verileri Koruma Kurumu resmi internet sitesinde yeni bir duyuru yayımladı. Yayımlanan duyuruya göre arama motorlarında kişisel bilgileri yer alan kişiler KVKK’ya başvurarak bu bilgilerin silinmesini talep edebilecek. Google, yandex, bing, yahoo vb. arama motorlarında yer alan kişilere ilişkin isim soyisim bilgileri kişisel veri, arama motorları da veri sorumlusu sayıldığından, eğer kişiler isterlerse kendilerine ait bilgilerin arama motorlarından silinmesini isteyebilecek. KVKK yayımlamış olduğu duyuruda arama motorlarını veri sorumlusu olarak, arama motorlarında kişilere ait ad soyad verilerinin bulunmasını, istenildiği taktirde kullanıcılara sunulmasını ise kişisel veri işleme faaliyeti olarak kabul etmiştir.
Arama motorlarında kişisel verisi bulunan kişi, bu bilgilerin indeksten çıkarılması için nereye başvurmalıdır?
İlgili kişiler arama sonuçlarının indeksten çıkarılmasına yönelik taepler ile alakalı olarak öncelikle arama motorlarına başvuru yapmalıdır. İlgili kişi, veri sorumlusu arama motorlarının söz konusu talebi reddetmesi ya da cevap vermemesi durumunda KVKK’ya başvuruda bulunabilir.
Arama motorlarına başvurunun şekli nasıl olmalıdır?
İlgili kişinin yapacağı başvurunun şekli ve istenilecek bilgi ve belgeler arama motorları tarafından belirlenecektir.
Arama motorları, sonuçların indeksten çıkarılması talebini neye göre değerlendirecektir?
Yapılacak olan değerlendirmede;
-İlgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılmasına, -Yarışan menfaatlerden hangisinin ağır bastığının gözetilmesine, -Şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlere dikkat edilmesine, -Her somut olay için ayrı, ilave ölçütlerin meydana gelebileceğine özellikle dikkat edilmelidir.
İlgili kişi, verilerinin indeksten çıkarılmasına yönelik yargı yoluna başvurabilir mi?
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkündür.
Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler Hakkında Kamuoyu Duyurusu
Kurumumuza ilgili kişilerin ad ve soyadları ile arama motorları üzerinden yapacakları aramalar neticesinde çıkan sonuçların indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda iletilen ve “Unutulma Hakkı” kapsamında değerlendirilmesi talep edilen başvuruların Kişisel Verileri Koruma Kurulu tarafından değerlendirilmesi neticesinde Kurulun 23.06.2020 tarih ve 2020/481 sayılı Kararı ile;
-Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiğine,
-Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiğine,
-Arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edilmesine,
-Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirilmesine,
-Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,
-İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceğine,
-İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılmasına, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesine ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınmasına ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağına, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine,
-İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğuna,
-Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesine ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına karar verilmiştir.
Yapılan yeni bir araştırmaya göre müşteriler, Covid-19 salgını sırasında kullanıcılarının verilerinden ödün veren şirketlerden uzaklaşıyor. Pandemi öncesi ve sonrası kişisel verilerin güvenliği konusundaki bilinçte ciddi değişimlerin yaşanacağını belirten uzmanlar, yetersiz güvenlik uygulamaları nedeniyle kişisel verilere gerekli özeni göstermeyen şirketleri uyarıyor.
PCI Pal tarafından yapılan yeni araştırma, pandemiyle birlikte kişisel veriler konusunda tüketicilerin şirketlere karşı tutumunu değerlendiriyor. Tüketicilerin çoğunluğunun (%69) pandemi öncesinde kişisel verilerinin ne şekilde kullanıldığı konusunda endişeli olduğu ve pandemi sırasında bunun daha da arttığı raporlandı. Covid-19 salgını sırasında zayıf siber güvenlikleri nedeniyle müşterilerinin kişisel verilerini koruyamayan şirketlerin ciddi zararlar alabileceğini aktaran Siberasist Genel Müdürü Serap Günal, kişisel verilerle temas kuran her şirketin gerekli olan teknik ve idari yapılanmayı titizlikle gerçekleştirmesi gerektiğinin altını çizerken, şirketlere kişisel verilerin güvenliği konusunda 5 öneride bulunuyor.
Pandemide Endişeyi Uzaktan Çalışma Artırıyor
Birçok şirket çalışanın uzaktan çalışma sistemine geçmesi ve hala devam ediyor oluşu ile pandemi sürecinde siber saldırıların daha da artması, kişisel verileri şirketlerde olan müşterileri ciddi derecede tedirgin ediyor. Araştırmaya göre ankete katılanların 4’te 3’ü bu durumdan dolayı büyük bir düzeyde endişe duyuyor. Pandemi sürecinin başlı başına bir olağanüstü durumu içermesinin kişisel veriler konusunda da tüketicilerin bilinç düzeylerini değiştirdiğine dikkat çeken Serap Günal, gerekli siber güvenlik adımları atmayan şirketlere karşı müşterilerin bağlılık oranlarının ciddi oranda değişeceğini ve müşteri kayıplarında bu durumun önemli bir etken olarak karşılarına çıkacağını belirtiyor.
Önlem Almayan Şirket Müşteri Kaybediyor
Şirketlerdeki veri sızıntıları ya da yaşanan ihlallerin birçok nedeni olsa da müşterilerdeki izlenimi tamamıyla yeterli güvenlik önlemlerinin alınmamasıyla örtüşüyor. Yapılan araştırmada, İngiltere’deki tüketicilerin %33’ünün verilerinin herhangi bir şekilde sızdırıldığını öğrenme durumlarında, birkaç yıl boyunca o şirketle ilgili bir ilişkilerinin olmayacağını belirttiğini aktarıyor. Kişisel verilerini emanet ettiği şirketlerin gerekli siber güvenlik adımlarını atmadığını gören müşterilerin ceza sistemine geçişinin kolay olabileceğini hatırlatan Siberasist Genel Müdürü Serap Günal, kişisel verisini koruyamayan şirketlere yönelik müşterilerin hala pozitif algı ile yaklaşmasının zor olabileceğini ve müşteri kayıplarının yaşanabileceğini belirtiyor.Siber saldırganlar tarafından sayısız saldırılara maruz kalan şirketlerin sahip oldukları verileri saklama, koruma ve işleme aşamalarında daha dikkatli olması gerektiğine dikkat çeken Serap Günal, şirketlere kişisel veriyi korumaya dair önemli önerilerde bulunuyor.
Kişisel Verileri Korumada 5 Önemli Öneri
Siber saldırganlar tarafından sayısız saldırılara maruz kalan şirketlerin sahip oldukları verileri saklama, koruma ve işleme aşamalarında daha dikkatli olması gerektiğine dikkat çeken Serap Günal, şirketlere kişisel veriyi korumaya dair önemli önerilerde bulunuyor.
1. Gizliliğe en çok şirketler dikkat etmeli. Bireylerin, kişisel bilgilerini uygunsuz ve yetkisiz erişimden korumak için makul güvenlik önlemlerini şirketlerin alması gerekiyor. KVKK ve GDPR özelinde şirketlerin karşılaşacakları yaptırımlar dışında, artık bu konu da bilinçli davranışlar sergilemesi şirketlerin itibarına da artılar katacaktır.
2. Şeffaflığın güven yaratacağını unutmayın.Tüketicilerin kişisel bilgilerini nasıl topladığınız, kullandığınız ve paylaştığınız konusunda açık ve dürüst olun. Tüketicinin verilerinin nasıl kullanılmasını bekleyebileceğini düşünün ve varsayılan olarak bilgilerini korumak için gerekli adımları atın.
3. İş ortaklarınıza ve aldığınız üçüncü taraf hizmetlere dikkat edin. Şirketiniz adına hizmet veren herkesin, tüketicilerinizin kişisel bilgilerini nasıl topladığı ve kullandığından da şirketinizin sorumlu olduğunu unutmayın.
4. Veri sorumlunuzu tayin edin. KVKK dahilinde şirketinizin veri sorumlusu olduğunu unutmayın. KVKK’nın getirdiği gerekliliklerden önemli bir adım olan VERBİS kayıt ve bildirim yükümlülüğünü gerçekleştirmeyi unutmayın.
5. KVKK uyumluluğunuzu tamamlayın. Kişisel verileri saklamak, korumak ve işleyebilmek için gerekli olan tüm hukuki ve teknik tedbirleri şirketlerin alması gerekiyor. İhtiyaç duyduğunuz gerekli adımların atılmaması karşılığında gerçekleşecek yaptırımlar konusunda geç kalmamak adına profesyonel destek almaktan kaçınmayın.
Arama Motorlarında Ad Soyad Aramasında Çıkan Kişisel Verilerin Kaldırılması Taleplerine İlişkin Değerlendirme Kriterleri Neler Olmalıdır?
Geçtiğimiz günlerde Kişisel Verileri Koruma Kurumu önemli bir karara daha imza atmıştı. Karara göre arama motorlarında kişisel verisi bulunan kişiler indekste çıkan verilerin silinmesine ilişkin talepte bulunabilecek. Öncelikle arama motoruna başvuru yapılacak, talebin reddedilmesi veya cevapsız kalması durumunda ise KVKK’ya bizzat başvuru yapılabilecek. KVKK Arama Motorlarından Şahısların Talebiyle Kişisel Verilerin Çıkarılmasına Yönelik Talepleri Nasıl Değerlendirecek?
KVKK kişilerin adı ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirme yaparken; belli başlı 13 kritere dikkat edecek. KVKK tarafından belirlenen bu kriterler ihtiyaç halinde güncellenebilecek. İlgili kriterler aşağıdaki şekildedir;
1. İlgili kişi kamusal yaşamda önemli bir rol oynuyor mu? Kamusal yaşamda rolü olan kişilerin bilgilerine erişilmesinde kamu yararı söz konusudur. Bu sebeple kişinin arama motorlarında bulunan arşiv kayıtlarının kaldırılması talebine ilişkin değerlendirme yapılırken, kamusal yaşamda önemli, ayırt edilebilir bir rolü olup olmadığına bakılmalıdır. Kamusal rolü ağır basan bir kişinin bilgilerine erişim sağlandığında toplumun daha üstün menfaati söz konusu olabilir. Bu sebeple kamusal yaşamda rolü belirgin olan kişilerin bu konuda KVKK’ya yapacakları başvuruların kabul görme olasılığı diğerlerine nazaran düşüktür. Fakat kişi kamusal yaşamda aktif rol alan birisi de olsa arama motorlarında bulunan verilerin, kişinin özel yaşamına ilişkin olması durumunda arama motorlarından kaldırılabilir.
2. Arama sonuçlarının öznesi bir çocuk mu? Arama motorlarında bilgisi çıkan kişi reşit değil ise, yani bir çocuktan bahsediyorsak; KVKK’nın bu minvalde oluşan taleplerin değerlendirilmesinde “çocuğun üstün (yüksek) yararı” ilkesi göz önünde bulundurması gerekecektir.
3. Bilginin içeriği doğru mu? Arama motorlarında kişiye ilişkin çıkan bilgilerin gerçeği yansıtmaması, doğru olmayan ve yanıltıcı bir izlenime sebebiyet vermesi durumlarında KVKK, söz konusu bilgiye ilişkin bağlantının kaldırılması talebini yüksek olasılıkla uygun görecektir. Ayrıca talepte bulunan kişinin, bilginin gerçek olmaması durumunu ispatlamalıdır. Fakat bilginin doğruluğu tartışmalı ise, KVKK konunun netleşmesini bekleyebilir.
4. Bilgiler kişinin çalışma hayatı ile mi ilgili? Bilginin kişinin iş yaşamına ilişkin olması talebin kabul edilmesi ihtimalini zorlaştırmaktadır. Fakat burada bakılması gereken kişinin aynı işi yapıp yapmadığı ve ilgili kişinin işine ilişkin yayımlanan verilerin olması gerekenden fazla bilgi içerip içermediğidir. Arama motorunda bulunan iş yaşamına ilişkin veriler, kişinin özel hayatını ilgilendiriyorsa talebin kabul edilme ihtimali yüksektir.
5. Arama sonuçlarında yer alan bilgi ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliği taşıyor mu?
Kişinin adı ve soyadı arama motorlarına yazıldığında, kişiye ilişkin hakaret, nefret söylemi içeren ifadeler varsa bu bağlantıların indeksten kaldırılması için; KVKK’dan ziyade yargı yoluna başvurulması daha mantıklı olacaktır.
6. Arama sonuçlarında yer alan bilgi özel nitelikli kişisel veri niteliği taşıyor mu? 6698 sayılı KVKK’ya göre özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel veriler öğrenildiği takdirde kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalmasına yol açabilir. Bu sebeple özel nitelikli kişisel verilerin arama motorlarından kaldırılmasına yönelik taleplerin kabul edilme olasılığı yüksektir. Kamuya mal olmuş kişilere ait özel nitelikli kişisel verilerin arama motorlarından kaldırılmasına yönelik taleplerin değerlendirilmesinde ise; bu bilgilere erişildiğinde sağlanan menfaatin kişi haklarından üstün gelip gelmediğine bakılmalıdır.
7. Arama sonuçlarında ulaşılan bilgi güncel mi? Kişiye ait kişisel verilerin güncel olmaması, çok eski zamana ait olması, verinin işlenme amacı ile olan bağını koparabilmektedir. Bu nedenle, aradan geçen zaman sebebiyle verilerin indeksten çıkarılma talebinin uygun görülme ihtimali yüksektir. Fakat yukarıda da belirttiğimiz üzere kişinin kamuya mal olan birisi olması durumunda verinin tarihsel ya da kültürel değer taşıması sebepleriyle, talep daha farklı sonuçlanabilir.
8. Arama sonucunda ulaşılan bilgi kişi hakkında önyargıya sebep oluyor mu? Arama sonucunda ulaşılan bilginin kişiye karşı bir önyargıya sebep olması durumunun ispatlanması halinde talebin kabul görme olasılığı yüksektir.
9. Arama sonucunda yer alan bilgi kişi açısından bir risk doğuruyor mu? Bir arama sonucu ulaşılan bilgiler kişiyi kimlik hırsızlığı veya takip edilme gibi risklere açık hale getiriyorsa, söz konusu bilgilerin arama motoru listelerinden kaldırılması olasıdır.
10. Bilgi kişinin kendisi tarafından mı yayımlandı? Eğer veri kişinin kendi isteği ile ve kendi tarafından yayımlandıysa KVKK tarafından talebin kabul görme olasılığı düşmektedir. Fakat bilginin yayımlanması için verilen açık rızanın geri alınması talebin kabul olma ihtimalini yükseltir.
11. Orijinal içerik gazetecilik faaliyeti kapsamında işlenen verileri mi kapsıyor? Özel yaşatıya ilişkin bilgilerin olması durumunda gazetecilik içeriğiyle ilgili olarak arama sonuçlarının kaldırılması da mümkün olabilecektir. Kişiler tarafından yapılan şikayet özelinde yarışan menfaatler arasında bir değerlendirme yapılması gerekliliği gündeme gelecektir.
12. İlgili kişiye ilişkin bilgilerin yayımlanmasında yasal bir zorunluluk var mı?, Eğer indekste yayımlanan kişisel veri bir kamu kurumu ya da yasal bir zorunluluk nedeniyle kendisine yetki tanınan kuruluşlar tarafından belirli bir verinin yayımlanması zorunluluğu varsa ve bu zorunluluk geçerliliğini sürdürüyorsa, bu durum ilgili kişinin kendisi ile ilgili arama sonuçlarının kaldırılması yönündeki talebinin reddedilme ihtimali yüksektir.
13. İlgili kişiye ilişkin bilgi ceza gerektiren bir suçla mı ilgili? Göreceli olarak daha küçük ve zaman açısından çok önce işlenmiş suçlara ilişkin taleplerin bağlantılardan kaldırılmasına yönelik taleplerin kabul edilmeme ihtimali düşüktür. Ancak, bu kriter kesin bir kural şeklinde algılanmamalı ve her somut olay özelinde dikkatle incelenerek ele alınmalıdır.