Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp uygulaması hakkında, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlattı.
Alınan bilgiye göre, Kişisel Verileri Koruma Kurulunun bugünkü toplantısında, "Whatsapp Inc tarafından WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği" yönündeki haberlerle ilgili değerlendirme yapıldı.
Konuyu, kişisel verilerin korunması mevzuatı genel hükümleri yönünden değerlendiren Kişisel Verileri Koruma Kurulu, toplantıda WhatsApp uygulaması hakkında, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden resen inceleme başlatılmasına karar verdi.
İncelemeyi yürütecek Kurul, süreci takip ederek, 8 Şubat 2021'de konuyu yeniden değerlendirecek.
REKABET KURULU HAREKETE GEÇTİ
Tüm dünyada olduğu gibi Türkiye'de de tepkilere neden olan WhatsApp'ın yeni gizlilik sözleşmesi için Rekabet Kurulu harekete geçti.
Kuruldan yapılan açıklamada Facebook ve WhatsApp hakkında resen soruşturma başlatıldığı duyuruldu. Ayrıca WhatsApp'la veri paylaşımı zorunluluğunun durdurulduğu bildirildi.
Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp'ın "zorunlu güncelleme" kararının bugünkü toplantıda ele alınacağını duyurmuştu.
KVKK'nin internet sitesinde yer alan duyuruda, WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyenlerin kişisel verilerinin işlenmesine ve yurt dışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği hatırlatıldı.
WhatsApp'ın, rıza vermeyen kullanıcıların uygulamayı kullanamayacağı ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği belirtilen duyuruda, şunlar kaydedildi:
"Kişisel Verilerin Korunması Kanunu'nun 15'inci maddesi uyarınca Kişisel Verileri Koruma Kurulunun 12 Ocak 2021 tarihli toplantısında konu, kişisel verilerin korunması mevzuatı genel hükümleri ile kanunun açık rıza, veri işleme şartları, yurt dışına veri aktarımı ve temel ilkeler yönünden değerlendirilece
Kişisel Verileri Koruma Kurumu (KVKK) ve İstanbul Teknik Üniversitesi (İTÜ), yapay zeka ve veri bilimi konularında iş birliği yapmak üzere protokol imzaladı. İTÜ Rektörü Prof. Dr. Mehmet Karaca, üniversite bünyesinde geliştirecekleri yapay zeka ve veri bilimi uygulamaları ile KVKK’ya akademik açıdan katkı sağlamayı amaçladıklarını söyledi.
İstanbul Teknik Üniversitesi Yapay Zeka ve Veri Bilimi Uygulama ve Araştırma Merkezi ile Kişisel Verileri Koruma Kurumu (KVKK) arasında iş birliği protokolü imzalandı. Protokol kapsamında, iki kurum arasında kişisel verilerin korunması, veri mahremiyeti ve veri güvenliğine ilişkin olarak ortak çalışmalar ve yayınlar yapılması, ulusal ve uluslararası projeler yürütülmesi ve eğitim ve öğretim konularında iş birliği yapılması hedefleniyor.
İTÜ KVKK’ya akademik katkı sağlayacak
Protokolün iki yıllık bir süreyi kapsadığını söyleyen İTÜ Rektörü Prof. Dr. Mehmet Karaca, kişisel verilerin korunması konusunda düzenleyici kurum olan KVKK ile yapılan iş birliğinin önemine işaret etti.Her geçen gün büyüyen veri ağıyla birlikte ortaya çıkan veri güvenliğine dikkat çeken Rektör Prof. Dr. Karaca, “Veri mahremiyetini içerecek şekilde veri temelli ekonominin önünü açacak yapay zeka ve veri bilimi uygulamaları geliştirerek Kuruma akademik açıdan katkı sağlamayı amaçlıyoruz. KVKK ile yapay zeka kapsamında kişisel verilerin korunması, veri mahremiyeti ve güvenliği konusunda, kişilerin temel hak ve özgürlüklerini koruyacak ulusal veya uluslararası projeler geliştireceğiz.” değerlendirmesinde bulundu.
Öğrenciler kişisel veriler konusunda bilinçlendirilecek
Protokol kapsamında atılacak adımlara ilişkin bilgi veren Rektör Prof. Dr. Karaca, öğrencilerin kişisel verilerinin korunması konusunda farkındalığını artıracaklarını belirterek şöyle konuştu: “Çift taraflı protokol kapsamında akademik içeriği de zenginleştirerek, geleceğin en önemli konuları arasında yer alan kişisel verilerin korunması hakkında bilinçlendirme çalışmaları da hayata geçireceğiz. Veri güvenliğinin demokratik toplumların vazgeçilmez unsurları arasında yer aldığı gerçeğinden hareketle, KVKK ile ortak bildiri, makale ve raporlar gibi bilimsel çalışmaları hedefliyoruz. Ayrıca kamu ve özel kuruluşlar için de bilgilendirici rehberler hazırlayacağız.”
“İTÜ’nün sağlayacağı akademik ve teknik katkıdan memnunuz”Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir ise yapay zekanın, nesnelerin internetinin, blokzincirin ve büyük verinin konuşulduğu; dijital dönüşüm süreçlerinin gün geçtikçe hız kazandığı bir dönemde ülkemizin ilk teknik üniversitesi olan İTÜ ile imzalanan protokolün önemli olduğunun altını çizdi.
Protokol kapsamında yapılacak faaliyetler ile üniversite öğrencilerinin kişisel verilerin korunması konusunda farkındalık düzeylerinin artacağını söyleyenProf. Dr. Bilir,yapay zeka uygulamaları kapsamında veri mahremiyetinin sağlanması ile veri güvenliği ihlal tespitleri gibi konularda üniversitenin sağlayacağı akademik ve teknik katkılardan memnuniyet duyduğunu belirtti.
“Yapay zeka insan onurunu merkeze alan bir anlayışla kullanılmalı”
KVKK Başkanı Prof. Dr. Bilir, bilişim teknolojileri alanında en çok konuşulan konuların başında gelen yapay zeka teknolojisinin ülkemize ve dünyaya son derece önemli katkılar sağlayacağını fakat bu teknolojinin insan onurunu merkeze alan bir anlayışla kullanılması gerektiğini belirterek, şunları söyledi:
“Ülkemizin de içinde bulunduğu dijital dönüşüm sürecinin temel unsurlarından birisi veri güvenliğidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu veriden değer üretebilen teknolojilerin kullanılmasına karşı değildir. Aksine bu süreçte kişisel verilerin korunması hususunda teknolojinin sağladığı imkânlardan yararlanılması taraftarıdır.”
Teknoloji, işlerimizi daha hızlı bir şekilde yapmamıza olanak sağlayarak hayatı kolaylaştırıyor. Bunu yaparken de kişisel özel bilgileri talep ediyor. Bu da kişisel verilerin kullanımında özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini koruma gerekliliğini ortaya çıkarıyor. İşte, bu noktada 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) devreye giriyor. Peki, KVKK hangi teknolojileri kullanıyor?
KVKK, kişisel verileri kullanan, işleyen ve saklayan gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları kapsıyor. KVKK, verilerin belli bir düzende işlenmesini ve gizliliğini sağlamak için birçok teknoloji kullanıyor.
Kişisel veri tespit testi
Kişisel veri kapsamına giren bilgiler; kimlik numarası, köken, din, sağlık bilgileri ve öğrenim bilgileridir. Bu verilerin tespiti kanun çerçevesinde işlem yapılabilmesini sağlıyor. Kişisel veri tespit testi ile bireylerin kişisel verilerinin tespit edilmesi sağlanıyor.
Veri sızıntısı engelleme-DLP testi
İşletmeler, müşterileri ve çalışanlarına ait pek çok hassas veriye sahip oluyor. İşletmelerdeki verilerin dışarıya sızmaması için DLP testi uygulanıyor. “Veri sızıntısı önleme”, “veri kaybı önleme”, “veri kaçağı önleme”, “veri sızıntısı engelleme”, “veri kaybı engelleme” veya “veri kaçağı engelleme” olarak bilinen bu DLP testi ağ içinde, depolama alanlarında ve son kullanıcı (uç) noktalarında koruma sağlıyor ve her kurum için önem taşıyor.
Şifreleme testi
Verilerin ele geçirilmesi durumunda verinin şifreli olması hacker’ın veriyi elde edememesini ve veri sızıntısının olmamasını sağlıyor. KVKK açısından önem arz eden şifreleme testi, verinin şifrelenerek çıkmasını amaçlıyor.
E-posta güvenliği testi
E-posta, en yaygın kullanılan iletişim yöntemleri arasında bulunuyor. Bu da siber saldırganların araç olarak maili kullanmasına neden oluyor. Bir çalışanın bilinçsizce üçüncü taraflardan gelen mailleri açması, kurum bilgisayarı ve ağını riske atabiliyor. Bu nedenle e-posta güvenliği büyük önem taşıyor.
Web güvenliği ve ADC testleri
Web sitelerinin de siber saldırılara uğrama olasılığı bulunuyor. Özellikle ticari işletmelerin dijital dünyada görünür olmasını sağlayan web siteleri ve bankaların web siteleri, en ufak bir güvenlik açığı olması durumunda kötü niyetli saldırganlarca sömürülebiliyor.
Log ve SIEM teknolojileri testi
SIEM ve Log teknolojileri, kurumlarda gerçekleşen işlemlerin kaydının ve analizinin barındırılmasını sağlıyor. Bu nedenle veri sızıntısında SIEM ve Log kayıtları kontrol ediliyor.
Veri silme yok etme testi
Verilerin imha edilmesi kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi anlamına geliyor. Verilerin kasten ve kast dışı yok edilmesi, KVKK’ye uyulmadığı anlamına geliyor.
Zaman damgası testi
Zaman damgası, 5070 sayılı “Elektronik İmza Kanununu” uyarınca; bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi maksadıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt anlamına geliyor. Verinin ne zaman değiştirildiği, alındığı, gönderildiği gibi birçok önemli bilgiye ulaşmayı sağlaması bakımından zaman damgasının KVKK için önemi büyüktür.
Veri tabanı güvenliği testi
Birbirleriyle ilişkili bilgilerin depolandığı alanlar olan veri tabanlarında bir güvenlik açığı bulunması veri sızıntısı anlamına gelebilir. Bu tür güvenlik açığının olup olmadığını tespit etmenin yolu veri tabanı güvenliği testi yapmaktır.
Tokenizasyon testi
Hassas verileri korumak için şifrelenmiş verilerle yer değiştirme yöntemi kullanılması tokenizasyon teknolojisini ifade ediyor. Hassas verilerin şifrelenme durumunu kontrol etmek için tokenizasyon testinden yararlanılıyor.
Yapılandırılmamış veri güvenliği ürünleri
Cihazın kurulumunu veya konfigürasyonunun eksik olması, siber saldırganlar için harika bir fırsat anlamına geliyor. Verilerin kötü niyetli kişilerin eline geçmesini önlemenin yollarından biri de cihazların konfigürasyonunu tam yapmak oluyor.
Mobil Cihaz Yönetimi (MDM) ürünleri
Cihazda hangi özellikler açık, cihazın dışardan erişim için açığı var mı gibi soruların cevaplarının bilinmesi ve cihazların yönetilmesi için MDM büyük önem taşıyor.
Yetki ve erişim denetim ürünleri
Yetki ve erişim denetim ürünleri, ağa kim bağlanıyor, şu anda ağda neler oluyor gibi soruların cevaplarının bilinmesi açısından önem taşıyor. Ağın izlenmemesi durumunda kötü niyetli biri kurum ağına bağlanıp içerden verileri alabilir. Bu nedenle bu tür ürünler işletmeler için önem taşıyor.
Blockchain Türkiye Platformu (BCTR), “Hukuk, Düzenlemeler ve Kamu İlişkileri Çalışma Grubu” tarafından hazırlanan “KVKK ve Blokzinciri Teknolojisi” raporu yayımlandı.
“Adem-i merkeziyetçi sisteme bölgesinde liderlik eden bir Türkiye yaratmak” vizyonu ile Türkiye Bilişim Vakfı (TBV) çatısı altında bir inisiyatif olarak kurulan Blockchain Türkiye Platformu (BCTR), “Türkiye’de sürdürülebilir blockchain ekosistemi oluşturarak, bu teknoloji ile yeni dönem iş yapış biçimlerinin önündeki zorlukların giderilmesine yönelik bir paylaşım platformu oluşturma” misyonunu kendisine şiar edinmiş, kar amacı gütmeyen bir organizasyon.
BCTR çatısı altında yer alan Çalışma Grupları ile blockchain teknolojisine ilişkin güncel konuları ve kullanım alanlarını değerlendirmek; ilgili paydaşları bir araya getirmek ve Blockchain teknolojisinin Türkiye’de yaygınlaşması, bilinirliği ve kullanımının artırılması, faydalarının araştırılması ve stratejik önceliklerinin saptanması için yayınlar hazırlama ilkeleri çerçevesinde, BCTR düzenli olarak önemli başlıklarda raporlar yayımlıyor.
Hukuk, Düzenlemeler ve Kamu İlişkileri Çalışma Grubu tarafından hazırlanan “KVKK ve Blokzinciri Teknolojisi” raporu, kendi alanında önemli bir ihtiyaca cevap vermek üzere hazırlandı ve stratejik bir yol haritası niteliği taşıyor. Hazırlanan raporun Giriş bölümü aşağıdaki satırlar ile okuyucularını karşılıyor;
Geleneksel olarak yetkili otoriteler, arabulucular ve benzeri üçüncü kişilerin tesis etmekte olduğu “güven” olgusu, gelişen teknolojiler ile günümüzde yerini merkeziyetsiz bir yapı olan blokzinciri teknolojisine bırakmaktadır. Kişisel veriler de dahil ağ̆ üzerinde tutulan veriler blokzinciri teknolojisinin temel bileşenlerinden birini oluşturmakta olup; söz konusu teknoloji bu bakımdan, son zamanlarda kişisel verilerin korunması mevzuatına dair yapılan çalışmaların önemli konularından birini oluşturmakta ve zaman zaman sert eleştiri oklarının da hedefi olmaktadır.
Zira, kişisel verilerin korunmasına dair mevzuat düzenlemeleri temelde, kişisel veri sahiplerinin yasal mevzuat kapsamında kendilerine tanınan haklarına ilişkin başvurularını yöneltebilecekleri ve kişisel veri işleme faaliyetlerini ilgili mevzuat hükümlerinde düzenlenen yükümlülüklere uyumlu şekilde gerçekleştirmekle yükümlü en az bir gerçek veya tüzel kişi veri sorumlusunun mevcudiyeti varsayımına istinaden oluşturulmuş ve uygulamaya alınmıştır. Dolayısıyla, söz konusu yasal düzenlemeler, merkeziyetçi bir yapı üzerine inşa edilmiştir. Oysa blokzinciri teknolojisinin temel unsurları arasında yer alan dağıtık ağ yapısı ile blokzinciri üzerinde gerçekleştirilen tüm işlemlere ait kayıtlar, tek bir merkezde tutulmak yerine, bir ağ yapısı üzerindeki her bir katılımcıya eşlenik olarak dağıtılmakta ve böylece veri sorumlusu gibi ara aktörler ortadan kaldırılmaktadır. Diğer bir ifadeyle, söz konusu teknoloji merkeziyetsiz bir yapı üzerine kurulmuştur. Temelde yaşanan bu zıtlık, blokzinciri teknolojisi ile kişisel verilerin korunmasına dair düzenlemeler arasındaki tansiyonu yükseltmektedir.
Bu kapsamda, işbu Kişisel Verilerin Korunması Hukuku ve Blokzinciri Teknolojisi Raporu ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü hükümleri bakımından blokzinciri teknolojisinin incelenmesi, uyuşmazlık noktalarının tespiti ve mevcut gelişmeler ışığında sunulan çözüm önerilerinin derlenmesi amaçlanmaktadır.
