DANIMANLIK HZMETLER KAPSAMINDA KSEL VERLERN KORUNMASI KANUNU Denetimin

DANIŞMANLIK HİZMETLERİ KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI KANUNU İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri 11 MAYIS 2018 İSTANBUL

SUNU AKIŞI KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA TEMEL BİLGİLER KANUNA GEÇİŞ SÜRECİ KURUMLARIN UYUM SÜRECİNDE DANIŞMANLIK FAALİYETİ

BİLGİ GÜVENLİĞİ Bilgi güvenliği, bilgiyi yetkisiz erişimlerden koruyarak gizliliğini (confidentiality) sağlamak, bilginin bozulmadan tamlığını(bütünlük) ve doğruluğunu (integrity) temin etmek ve istenilen zamanda erişilebilirliğini (availability) garanti etmekdir (ISACA, 2009). Bilgi güvenliği denilince gizlilik, bütünlük ve erişilebilirlik kavramları ön plana çıkmaktadır. C • Bilginin gizliliği (confidentiality) ile kastedilen, bir bilgiye sadece o bilgiye erişmesi gereken kişi veya kişilerin erişimine izin verilmesidir. I • Bilginin bütünlüğü (integrity), o bilginin tahrif edilmeden, değiştirilmeden olduğu gibi orijinal hali ile durmasıdır. A • Bilginin erişilebilirliği veya kullanılabilirliği (availability) bilgiye istenilen ve makul olan zamanda erişilmesi ve kullanılmasıdır.

KİŞİSEL VERİLER Güvenilir bilgiye erişim ve var olan bilginin korunmasına yönelik ihtiyaçların ve tartışmaların arttığı günümüzde, korunacak bilgi varlıkları içinde en önemli payı kişisel veriler oluşturmaktadır (King ve Raja, 2012). Kişisel verilerin işlenmesi sürecinin hukuksal ve teknik boyutları bulunmaktadır. Hukuksal dayanağı bulunmayan teknik önlemlerin alınması ya da sadece hukuksal düzenlemelerin yapılmasıyla bilgi varlıklarının korunabilmesi mümkün değildir (Fischer-Hübner, 2001).

Kanunun Gerekçesi Kişisel veriler günümüzde özel sektör ve kamu tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylık ve avantajlar sağlasa da, bu durum bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir.

TÜRKİYE VATANDAŞLIK BİLGİLERİ VERİ SIZINTISI 2016 yılı içinde Kişisel Verilerin Korunması Kanununun yürürlüğe girmesine yakın bir zamanda, Tükiye Cumhutiyeti Vatandaşı 50 Milyon kişinin, TC kimlik numarası, Ad, Soyad, Anne Adı, Baba Adı, Cinsiyet, Doğum Yılı, Doğduğu Şehir, Nüfus Kayıt Yeri, Açık Adres bilgileri Internet üzerinden yayınlandı. Bu bilgilerin 2010 yılı ya da öncesine ait olduğu o zamanki Ulaştırma ve Denizcilik Bakanı tarafından belirtildi. Ancak bilgilerin arasında halen doğruluğunu koruyan ne kadar bilgi olabileceği konusunda bir bilgi yok. İzlandalı bir grup tarafından Romanya’daki sunucular vasıtasıyla bu verileri yayınladıkları belirlenmiş durumda. Halen verilerin nereden, nasıl elde edildiği konusu netleşmiş değil.

AVUSTRALYA KIZILHAÇ KAN HİZMETLERİ ÖRGÜTÜ KAN BANKASI VERİ SIZINTISI 2016 yılı Ekim ayında Avustralya Kızıl Haç Kan Hizmetleri Örgütü, donör bilgilerinin olduğu veri tabanının yedeklenmiş bir kopyasının yetkisiz kişilerin eline geçtiğinin bilgisini verdi. 2010 ve 2016 yılları 550. 000 donöre ait isim, adres, doğum tarihi, bazı kişisel bilgiler ve donör işlemleri sırasında doldurulan form bilgileri bulunmaktaydı. Veri tabanının varlığı, güvenlik taramaları yapan bir kişinin bu durumu fark etmesi ve Avustralya Siber Acil Müdahale Ekibini (Aus. CERT) bilgilendirmesi ile ortaya çıktı. Avusturalya Kızıl Haç Kan Hizmetleri Örgütü ile beraber çalışılarak önlemler alınmış ve Avusturalya Bilgi Ofisi ile Federal Polisine haber verilmiş. Veri tabanının bilinen kopyalarının silindiği ve bu durumun bir daha yaşanmaması için önlemlerin alındığı belirtildi. Kurum donörlerden özür diledi. Bu durum ile bilgi edinilmesi ve iletişim sağlanması için telefon numarası, web ve e-posta adresleri duyuruldu.

6698 Sayılı Kişisel Verilerin Korunması Kanunu Yürürlük Tarihi : 7 Nisan 2016

Amaç ve Kapsam MADDE 1 - (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. MADDE 2 - (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

TANIMLAR MADDE 3 - (1) Bu Kanunun uygulanmasında; Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

TANIMLAR Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, Anonim hale getirilmiş bir verinin gerçek bir kişiyle olan bağlantısının hiç kimse tarafından tespit edilememesi gerekir. • Kime ait olduğu bilinmeyen gerçek bir TC kimlik numarası kişisel veridir. Saklayanın bu kişinin adını soyadını bilmemesi kişisel veri olduğu gerçeğini değiştirmez. • Kişisel verilerin gerçek kişiyle bağlantısının kopartılarak başkasına verilmesi verileri anonim hale getirmez. Kişisel verinin gerçek kişiyle bağlantısının her ortamdan yok edilmesi gerekir. • Kişiye ait eşsiz (unique) veriler (TC Kimlik No, parmak izi, retina bilgisi, DNA yapısı vd. ) veri içeriği bozulmadan anonim hâle getirilemezler.

ANONİM HALE GETİRME

TANIMLAR İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, Kişisel verilerin kişiye ait olması şart olmayıp ilgili olması yeterlidir. • Kişiye ait olması kapsamı daraltarak hak kayıplarına sebep olabileceğinden ilgili kişi kavramı kullanılmaktadır. Örneğin birden fazla kişinin yer aldığı bir fotoğraftaki herkes ilgili kişidir ve fotoğraf her birinin kişisel verisi kabul edilir. Ya da bir firmanın faturasında yer alan bilgiler müşterisi ile ilgili bilgiler içerdiğinden müşterinin kişisel verisi olarak kabul edilir. • İlgili kişi sadece gerçek kişilerdir. Şirketler, kurum ve kuruluşlar bu kanun kapsamında korunma altında değildir. Tüzel kişilik denilen bu kurum ve kuruluşların hakları tabi oldukları mevzuat

TANIMLAR Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, Bir kişiye ait olduğu tespit edilebilen dijital ortamda saklanan her türlü veri ve dijital olmasa da bir kayıt sisteminde tutulan her türlü veri kişisel veridir. • Örneğin kişilere ait TC Kimlik numarası, adres, telefon, sisteme giriş çıkış zamanları, ziyaret ettikleri ürünler, yaptıkları işlemler, bulundukları konumlar gibi veri tabanlarında ya da dosyalarda tutulan dijital veriler ve İnsan Kaynakları, Genel Evrak, İhaleler bölümleri tarafından ya da başka birim tarafından kağıt ortamında tutulan kişilere ait bilgilerin saklandığı iş başvuruları, sipariş formları gibi belgeler kişisel veri kabul edilir. • Gerçek bir kişi ile bağlantısı kurulamayan yani kimle ilgili olduğu tespit edilemeyen veri kişisel veri değildir.

TANIMLAR Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, Toplanmasından geri dönülemez şekilde yok edilmesi sürecine kadar olan işlemler kişisel verilerin işlenmesidir. • Örneğin kağıttan OCR ile okutmak, web üzerinden form kullanılarak bilginin alınması ya da kablosuz ağlar üzerinden bulunulan konumun tespiti yapılan işlemde kullanılan veri bir kişi ile bağı kurulabildiği sürece kişisel veridir. • Select, Insert, Delete, Update komutları SQL işlemleri kişisel verinin işlenmesidir. • Benzer şekilde kişisel veriler içeren dosyaların kopyalanması, yedeklerinin alınması, silinmesi, Cloud Computing kullanılarak yapılan işlemler de kişisel verilerin işlenmesidir. • Kişisel verilerin diğer alakasız verilerle birlikte işleme tabi tutulması kişisel verilerin işlenmesi durumunu değiştirmez.

TANIMLAR Kurul: Kişisel Verileri Koruma Kurulunu, Kurum: Kişisel Verileri Koruma Kurumunu,

TANIMLAR Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, Kişisel verileri, veri sorumlusu adına kişisel verileri toplayan, saklayan ve işleyen gerçek kişi, kurum ya da kuruluşlar veri işleyendir. • Veri işleyen veri sorumlusunun yetki vermesi durumunda kişisel verileri işleyebilir. • Veri sorumlusunun bulunmadığı durumlarda veri işleyenden değil kişisel verilerin hukuka aykırı işlenmesinden bahsedilebilir • Veri işleyenin sorumlu olabilmesi için kişisel verilerin işlenmesinin bilgisi dahilinde ve olması gerekir. • Veri sorumlusunun verdiği yetkiyle işlem yapan veri işleyenin işlemlerinin sonucundan veri sorumlusu da sorumludur.

TANIMLAR Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, Bilgisayar ortamında ya da kağıt dosyalama sistemi kullanılarak kişisel verilerin bir amaç için saklandığı sistemdir. • Dijitale çevrilerek saklanan kişisel verilerin bulunduğu sistem veri kayıt sistemidir. • Veri tabanı yazılımı (Oracle, MS-SQL vd. ) kullanılarak saklanması şart değildir. Her türlü dosyalama yapısı veri kayıt sistemidir. Excel, Word, Visio, Auto. CAD gibi yazılımlarla saklanması da benzer durumdur. • Özellikle veri tabanlarının yedekleri de veri kayıt sistemidir. Yedeklerin kullanılabilmesi için geri yüklenmesinin gerekmesi veri kayıt sistemi kabul edilmelerine engel değildir.

TANIMLAR Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. Kişisel verilerin neden, nasıl ve hangi durumlarda toplanacağına, saklanacağına yada işleneceğine karar veren kişiler, firmalar, kurumlar ve kuruluşlar veri sorumlusudur. • İşleme amaçlarını belirleyenler, vasıtaları belirleyenler, kuruluşunu yapanlar ya da yönetenler farklı kişi ya da tüzel kişilikler olabilir. Ancak Veri Sorumluları Sicili'ne kayıt olan kişi ya da kurum veri sorumlusudur. • Bir projenin birden fazla kişi ya da kurum tarafından yapılması durumunda her kişi ya da kurum kendi topladığı kişisel verilerden sorumludur. • Özellikle dış kaynak kullanımı (outsource) ile yapılan projelerde proje sahibi sorumludur. Ancak suç olan eylemlerde suçlu suçu işleyendir. Veri sorumlusunun tazminat sorumluluğu her durumda vardır.

Veri sorumlusu: Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) 30. 12. 2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanmış ve 01. 2018 tarihinde yürürlüğe girmiştir. Veri Sorumlularınca Yapılması Gereken İşlemler Nelerdir? • Kanunun Geçici 1. maddesinin 2 nci fıkrasına göre veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır. • Kanunun 16 ncı maddesi 2 nci fıkrasında, Kurul tarafından Veri Sorumluları Siciline (“Sicil”) kayıt zorunluluğuna istisna getirilebileceği hükmü yer almaktadır. Bu kapsamda Kurulca kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilmesi gerekmektedir. Kararın ilan edilmesiyle birlikte kayıt yükümlüsü veri sorumluları da belirlenmiş olacaktır.

TANIMLAR Kişisel Veri İşleme Envanteri : Kişisel Veri İşleme Envanteri Yönetmeliğin 4 üncü maddesinde tanımlanmış olup envanterde; a. Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; i. kişisel veri işleme amaçları, ii. veri kategorisi, iii. aktarılan alıcı grubu ve iv. veri konusu kişi grubuyla ilişkilendirerek oluşturdukları, b. kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, c. yabancı ülkelere aktarımı öngörülen kişisel verileri ve d. veri güvenliğine ilişkin alınan tedbirler, yer almalıdır.

Veri Sorumlularınca Yapılması Gereken İşlemler Nelerdir? • Kanunun 16 ncı maddesi 1 inci fıkrasında, Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda Veri Sorumluları Sicili Bilgi Sisteminin (“VERBİS”) hazırlanarak hizmete açılması akabinde veri sorumluları için kayıt yükümlülüğü başlayacaktır. • Kanunun Geçici 1 inci maddesinin 3 üncü fıkrasına istinaden, daha önce işlenmiş olan kişisel veriler Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanunun 4. maddesindeki ilkelere aykırı olarak veya 5 ve 6. maddelerinde sayılan işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli, getirilemiyorsa derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. • Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Kişisel Verileri Koruma Kurumuna bildirilmelidir.

Yönetmelikle veri sorumluları hakkında getirilmiş olan yükümlülükler; • Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir. • Kamu kurumunun istisna kapsamında olmaması halinde ve Kurulca kayıt yükümlülüğü başlangıç tarihinin belirlenerek VERBİS’in hizmete açılması akabinde Kanunun Geçici 1. maddesine istinaden kamu kurum ve kuruluşlarınca Başkanlığa bildirilen üst düzey yönetici tarafından Yönetmeliğin 11 inci maddesi gereği daire başkanı veya üstü bir yöneticinin irtibat kişisi olarak VERBİS’e kayıt yapılması gerekmektedir.

Veri Sorumluları Siciline Kayıt Yükümlülüğü Ne Zaman Başlayacaktır? • 6698 sayılı Kanunun 16 ncı maddesinde; Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği ve Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda Kurul tarafından kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilecek, Başkanlıkça da Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) hazırlanarak hizmete açılacaktır. • Ayrıca Kanunun Geçici 1 inci maddesinin ikinci fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. ” hükmü yer almaktadır. • Yönetmeliğin yürürlük tarihinin 01. 2018 olarak belirlenmiş olması, Sicile kayıt yükümlülüğünün başladığı anlamına gelmemektedir. Buna göre, Kurul tarafından istisnalara ait Kararın ilan edilmesi, VERBİS’in hizmete açılması ve Kurul tarafından Veri Sorumluları Siciline kayıt için bir başlangıç tarihi belirlenerek kamuoyu ile paylaşılması akabinde Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır.

İrtibat Kişisi Kimdir, Nasıl Atanır, Görev ve Sorumlulukları Nelerdir? • Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır. • Söz konusu irtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. 6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil bu tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz. • Veri sorumlusu eğer Türkiye’de yerleşik bir kamu kurumu ise, öncelikle bu kamu kurum ve kuruluşlarında 6698 sayılı Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yöneticinin belirlenerek Başkanlığa bildirilmesi gerekmektedir. Bildirilen bu üst düzey yönetici tarafından da VERBİS açılması ve kayıt yükümlülüğünün başlaması akabinde Yönetmeliğin 11 inci maddesinin 5 inci fıkrasına göre bir daire başkanı veya üstü yöneticinin irtibat kişisi olarak VERBİS sistemine işlenmesi gerekmektedir.

Kişisel Verilerin İşlenmesi GENEL İLKELER MADDE 4 - (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a b c ç d • Hukuka ve dürüstlük kurallarına uygun olma. • Doğru ve gerektiğinde güncel olma. • Belirli, açık ve meşru amaçlar için işlenme. • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenme şartları MADDE 5 - (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: Kanunlarda açıkça öngörülmesi. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. İlgili kişinin kendisi tarafından alenileştirilmiş olması. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartları Madde 6 (1) (2) (3) (4) • Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. • Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. • Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. • Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi MADDE 7 - (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kişisel verilerin aktarılması MADDE 8 - (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin yurt dışına aktarılması MADDE 9 - (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

Kişisel verilerin yurt dışına aktarılması (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Haklar ve Yükümlülükler Veri sorumlusunun aydınlatma yükümlülüğü MADDE 10 - (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

İLGİLİ KİŞİNİN HAKLARI MADDE 11 - (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) b) c) Ç) d) e) f) • Kişisel veri işlenip işlenmediğini öğrenme, • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, • 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, • (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler MADDE 12 - (1) Veri sorumlusu; a b c • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, • Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) • Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) • Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) • Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Suçlar ve Kabahatler Suçlar MADDE 17 - (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. (2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır. Kabahatler MADDE 18 - (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5. 000 Türk lirasından 100. 000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15. 000 Türk lirasından 1. 000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25. 000 Türk lirasından 1. 000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20. 000 Türk lirasından 1. 000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

KABAHATLER VE SUÇLAR KABAHATLER Aydınlatma yükümlülükleri yerine getirilmezse : 5. 000 - 100. 000 TL Kişisel verilerin güvenliği yükümlülüğü yerine getirilmezse : 15. 000 -100. 000 TL Veri Sorumluları sicile kayıt edilmez ve bildirim yapılmazsa : 20. 000 - 1. 000 TL Kurul kararlarını yerine getirilmezse : 25. 000 -1. 000 TL SUÇLAR Kişisel verileri hukuka aykırı kaydetmek : 1 - 3 yıl Nitelikli kişisel verileri hukuk aykırı kaydetmek : 1, 5 - 4, 5 Yıl Kişisel verileri başkasına vermek, yaymak veya ele geçirmek : 2 - 4 Yıl Kanunla belirlenen süreler geçmiş olmasına rağmen verileri yok etmeme : 1 - 2 yıl Ceza Muhakemesi Kanunu’na göre silinmesi gerekenler : 1, 5 - 3 yıl 37

İstisnalar MADDE 28 - (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

İstisnalar 2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz: Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Değiştirilen ve eklenen hükümler (5) 5237 sayılı Kanuna 245 inci maddeden sonra gelmek üzere aşağıdaki 245/A maddesi eklenmiştir. “Yasak cihaz veya programlar MADDE 245/A- (1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır. ”

GEÇİŞ SÜRECİ 11 MAYIS 2018 7 NİSAN 2016 7 EKİM 2016 KANUN YÜRÜLÜĞE GİRDİ 7 NİSAN 2017 7 EKİM TARİHİ İTİBARI İLE YÜRÜLÜĞE GİREN MADDELER Kişisel verilerin aktarılması (Md. 8), Kişisel verilerin yurt dışına aktarılması (Md. 9) İlgili kişinin hakları (Md. 11), Veri Sorumlusuna başvuru (Md. 13) Kurula şikayet Md. 14, Şikayet veya resen inceleme (Md. 15) Veri sorumluları sicili (Md. 16) Suçlar (Md. 17), Kabahatler (Md. 18) VERİLERİN, KANUNA UYGUN OLARAK VE AÇIK RIZA İLE İŞLENMESİ GEREKMEKTDİR. 7 NİSAN 2016 TARİHİNDEN ÖNCE AÇIK RIZA İLE ALINMIŞ VE KANUNA UYGUN BİLGİLER, 6 NİSAN 2017 TARİHİNE KADAR AKSİNE BİR BEYANDA BULUNULMAMASI HALİNDE, BU KANUNA UYGUN KABUL EDİLİR. 7 NİSAN 2016 TARİHİNDEN ÖNCE İŞLENMİŞ VERİLER, 7 NİSAN 2018 TARİHİNE KADAR KANUNA UYGUN HALE GETİRLİMELİDİR. UYGUN HALE GETİRİLEMEYEN VERİLER SİLİNİR YA DA ANONİMLEŞTİRİLİR. 7 NİSAN 2018 GEÇİŞ SÜRECİNİN SONA ERMESİ VE KANUNUN TÜM MADDELERİ İLE YÜRÜRLÜKTE OLMASI

KURUMLARIN KİŞİSEL VERİLERİN KORUNMASI KANUNUNA UYUM SÜRECİNDE İÇ DENETİMİN DANIŞMANLIK FAALİYETİ

Kişisel Verilerin Korunması Kanununun Temel Çatısı Genel ilkeler Kişisel verilerin işlenme şartları Özel nitelikli kişisel verilerin işlenme şartları Kişisel verilerin aktarılması Kişisel verilerin yurt dışına aktarılması Veri sorumlusunun aydınlatma yükümlülüğü Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi İlgili kişinin hakları Kişisel Verilerin Korunması Kanunu için Temel Yapı • APO 01. 06 - Bilgi (veri) ve sistem mülkiyetini tanımla • BAI 02. 01 - İş fonksiyonel ve teknik gereksinimleri tanımla ve sürdür • BAI 08. 02 - Bilgi kaynaklarını belirle ve sınıflandır • BAI 08. 03 - Bilgileri bilgi birikimi halinde organize et ve uygun bir bağlama yerleştir. • DSS 05. 02 - Ağ ve bağlantı güvenliğini yönet • DSS 05. 04 - Kullanıcı kimliği ve mantıksal erişimi yönet • DSS 06. 01 - İş süreçlerine yerleşik kontrol faaliyetlerini kurum amaçlarıyla hizala • DSS 06. 06 - Bilgi varlıkları güvenliğini sağla COBIT 5 • A. 5 Bilgi güvenliği politikaları • A. 6 Bilgi güvenliği organizasyonu • A. 8. 2 Bilgi sınıflandırma • A. 8. 3 Ortam işleme • A. 9 Erişim kontrolü • A. 11 Fiziksel ve çevresel güvenlik • A. 12 İşletim güvenliği • A. 13 Haberleşme güvenliği • A. 14 Sistem temini, geliştirme ve bakımı • A. 15 Tedarikçi ilişkileri • A. 16 Bilgi güvenliği ihlal olayı yönetimi • A. 18 Uyum ISO 27001: 2013 • 0. 3 Veri Koruma Prensipleri • 4. 4 Kişisel Bilgi Yönetim Sistemi • 5 Liderlik • 5. 2 Politika • 6 Planlama • 7 Destek • 7. 1 Kaynaklar • 7. 3 Farkındalık • 7. 4 İletişim • 7. 5 Dokümante Edilmiş Bilgi • 8 Operasyon • 9 Performans Değerlendirme • 10 Gelişme BS 10012: 2017

DANIŞMANLIK KAPSAMI COBIT 5, kurumsal BT yönetişim ve yönetimi için kapsayıcı iş ve yönetim çerçevesidir. COBIT 5’in beş temel prensibini aşağıdaki gibi tanımlayabiliriz: • Paydaşların ihtiyaçlarını karşılamak. • İşletmeyi uçtan uca kapsamak. • Tek bir entegre çerçeve uygulamak. • Bütünleşik bir yaklaşım sergilemek. • Yönetişim ile yönetimi birbirinden ayırmak.

DANIŞMANLIK KAPSAMI ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDI ISO 27001 bir bilgi güvenliği yönetim sistemi (BGYS) için bir özelliktir. Bir Bilgi Güvenliği Yönetim Sistemi (BGYS) herhangi bir kuruluşun bilgi risk yönetimi süreçlerinde, tüm yasal fiziksel ve teknik kontrolleri içeren politika ve prosedürlerini oluşturulması sağlamak amacıyla ISO Tarafından yayınlanmış bir standarttır. ISO 27001 Standardı bir kuruluşun ; oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve bir bilgi güvenliği yönetim sisteminin geliştirilmesi için bir model sağlamak için geliştirilmiştir. ISO 27001 üst yönetimden aşağıya doğru risk odaklı bir yaklaşım kullanır ve teknoloji nötrdür.

DANIŞMANLIK KAPSAMI BS 10012: 2017 VERİ KORUMA STANDARDI Kurumların Veri Koruma Yasası 1998 (the Data Protection Act 1998) ile uyumlu bir yönetim sistemi kurmaları ve sürdürmeleri için kullanılan iyi uygulama standardıdır. BS 10012 içinde belirtilen çerçeve takip ederek, kuruluşların sakladıkları verilerin güvenliği artırılabilir, daha iyi veri işleme ve veri transferlerinin yönetilmesi, yasal gerekliliklere uyum sağlanabilir. BS 10012 Kişisel Bilgi Güvenliği Yönetim Sistemi Standardı, kişisel bilgi yönetimi ile ilgilidir ilk standarttır. BS 10012 içinde belirtilen çerçeve takip ederek, kuruluşların sakladıkları verilerin güvenliği artırılabilir, daha iyi veri işleme ve veri transferlerinin yönetilmesi, yasal gerekliliklere uyum sağlanabilir.

KİŞİSEL VERİLERİN KORUNMASININ 8 TEMEL İLKESİ 1 2 • Kişisel verilerin toplanması ve işlenmesinin sınırlı olması ilkesi • Kişisel veride kalite (tam ve doğru olma) ilkesi 3 • Kişisel verilerin toplama ve işlenmesinde amacın belirginliği ilkesi 4 • Kişisel verilerin amacına uygun olarak kullanılması ilkesi

KİŞİSEL VERİLERİN KORUNMASININ 8 TEMEL İLKESİ 5 • Kişisel verilerin korunması için gereken tedbirlerin alınması ilkesi 6 • Kişisel Açıklık ilkesi (veri sahibinin bilgilere erişimi ve kurul raporlarının halka açık olması) 7 8 • Kişinin bireysel katılımı (bilgilendirilme ve itiraz) ilkesi • Sorumlu tutulabilirlik (veri sorumlularının yükümlülükleri ve uygulanacak yaptırımlar) ilkesi

KİŞİSEL VERİLERİN KORUNMASI DANIŞMANLIK KAPSAMI Veri Politikası Veri Yönetimi İÇ DENETİMİN KİŞİSEL VERİLERİN KORUNMASI KANUNU İÇİN DANIŞMANLIK FAALİYETİ Bilgi Güvenliği Yönetimi Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda üst yönetim tarafından onaylanmış ve yayınlanan veri koruma politikası var mıdır? Veri Politikası

• Kurumunuzda veri koruma sorumlusu bulunuyor mu? Veri Politikası

• Kurumunuzda veri toplama, akış ve işleme prosedürü var mıdır? Veri Politikası

• Kurumunuzda veri akış diyagramları var mıdır? Veri Politikası

• Kurumunuzda çalışanlara veri koruma farkındalık ve yetkinlik eğitimleri veriliyor mu? Veri Politikası - Kişisel Verilerin Korunması Kanunu amaç/kapsam/tanımlar - Veri işleyen / Anonim Hale getirme / Veri sorumlusu, Veri işleyen nedir, kimdir? - Kişisel Verilerin İşlenmesi nedir? - Kişisel verilerin işlenme şartları nelerdir? - Özel nitelikli kişisel verilerin işlenme şartları nelerdir? - Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi nedir? - Uyum süreci - Suçlar ve Kabahatlar - Kişisel verilerin aktarılması - Kişisel verilerin yurtdışına aktarılması - Açık rıza örnekleri - Açık rızaya gerek kalmayan durumlar - Veri sorumlusunun aydınlatma yükümlülüğü - İlgili kişinin hakları - Veri güvenliğine ilişkin yükümlülükler - Veri sorumlusuna başvuru ve örnekleri - Kurula şikayet ve örnekleri - Veri sorumlusu siciline kayıt nasıl yapılır? - Kişisel Verileri Koruma Kurumu detayları - Teknik tarafta yapılması gerekenler - Hukuk tarafında yapılması gerekenler

• Kurumunuzda veri koruma komitesi bulunuyor mu? Veri Politikası

• Kurumunuzda kişisel verilerin işlenmesiyle ilgili politikalarınız veri sahiplerinin kolayca ulaşabileceği şekilde midir? Veri Politikası Kişisel Verilerin Korunması Belgeler

• Kurumunuzda işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sahibini ve veri koruma kurumunu bilgilendirme süreciniz bulunuyor mu? Veri Politikası

• Kurumunuzda veri sahiplerinin verilerine erişmek için yaptıkları isteklere cevap verecek bir süreciniz bulunuyor mu? Veri Politikası

• Kurumunuzda veri toplama sürecinde veri sahibinin açık rızasını alacak şekilde tasarlanmış süreciniz var mı? • Özel nitelikli kişisel veriler ancak ilgili kişinin açık rızası ile işlenebilir İspat yükü • Belirli bir konuya ilişkin olmalıdır • Yeterli düzeyde bilgilendirmeyle gerçekleşmelidir • Kişi kararını baskı olmadan serbestçe verebilmelidir AÇIK RIZA Özel nitelikli kişisel veriler Açık rıza için şartlar Veri Politikası • Kişisel verinin toplanması için kişinin açık rızasının olup olmadığının ispatı rızanın alındığı andaki şartların ispatlanmasına bağlıdır • Hangi konuda kişinin rızasının istendiği, hangi bilgilerin verildiği ve kişinin rızasının nasıl alındığı kayda alınmalıdır • Verilerini veren kişi değil verileri toplayan ispatlamak zorundadır • Rızanın alınması opt-out ile değil en azından opt-in ile olmalıdır. Bu durumda dahi bilgilendirmenin anlaşılır ve kişiyi okumaya yönlendirecek, zorlayacak şekilde olması daha faydalı olacaktır (Örneğin her önemli onayın ayrı işaretlenmesi gibi) • İspat her türlü yöntemle olabilir. IP adresi, e-imza, SMS ile onay, e-mail onayı gibi.

• Kurumunuzda veri toplama sırasında veri sahibi kullanım amaçları hakkında detaylı şekilde bilgilendiriliyor mu? Veri Politikası

• Kurumunuzda kişisel verilerin sadece ihtiyacınızı karşılayacak nitelikte toplanmasına ilişkin bir süreciniz bulunuyor mu? Veri Politikası

• Kurumunuzda kullanım süresi dolan kişisel verilerin imhasının yapılması için bir süreciniz bulunuyor mu? Veri Politikası

• Kurumunuzda kullanım süresi içinde olan kişisel verilere olan ihtiyacınızı analiz ediyor musunuz? Veri Politikası

• Kurumunuzda yeni proje başlangıçlarında veri gizliliğinin göz önünde bulundurulmasına ilişkin süreciniz var mı? Veri Politikası

• Kurumunuzda hassas kişisel veri hassas olmayan kişisel verilerden ayrıştırılmış mıdır? Veri Politikası

• Kurumunuzda veri sınıflandırma süreciniz bulunuyor mu? Veri Politikası Kişisel Veri Özel Nitelikli Kişisel Veri (Hassas Veri) • Kişinin ırkı • Etnik kökeni • Siyasi düşüncesi • Felsefi inancı • Dini, mezhebi • veya diğer inançları • Kılık ve kıyafeti • Vakıf yada Sendika üyeliği • Sağlığı ve sağlık bilgileri • Tam Adı • Cinsel hayatı • Ceza mahkumiyeti ve • Ev Adresi • • Güvenlik tedbirleriyle ilgili verileri ile • • Biyometrik verileri ve • • Genetik verileri • • Yüz, Parmak izi veya El Yazısı • Kredi Kartı Numarası Eposta Adresi Vatandaşlık No (TCKN) • Dijital / Sayısal Kimliği • Doğum Tarihi Pasaport Numarası IP Adresi • Doğum Yeri • Genetik Bilgileri Araç Plakası Ehliyet No • Telefon Numarası • Login / Kullanıcı Adı

• Kurumunuzda veri yönetimi ile ilgili sorumluluklar belirlenmiş ve ilgili atamalar yapılmış mıdır? Veri Yönetimi • Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. • Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

• Kurumunuzda onaylanmış ve yayınlanmış bir veri yönetim politikası bulunuyor mu? Veri Yönetimi

• Kurumunuzda veri yönetimi ile ilgili riskler risk yönetim sürecinize dahil midir? Veri Yönetimi

• Kurumunuz ile servis sağlayıcılarınız arasında bilgi güvenlik şartlarını sağlayacak gizlilik anlaşması imzalanmış mıdır? Veri Yönetimi

• Kurumunuzda verilerin bütünlüğünü düzenli olarak kontrol ettiğiniz bir süreciniz bulunuyor mu? Veri Yönetimi Veri Bütünlüğünü sağlama yöntemleri Tanımsal Bütünlük Türleri Yöntemler Alan Bütünlüğü(Domain) Check Constraint Default Constraint Primary ve Foreign Key Constraint çifti Varlık Bütünlüğü (Entity) Primary Key Constraint Unique Key Constraint Referans Bütünlüğü (Referential) Check Constraint Foreign Key Constraint

• Kurumunuzda kişisel verilerin fiziksel transferi sırasında verileri koruyacak uygun önlemler alınmış mıdır? Veri Yönetimi

• Kurumunuzda kağıt ve elektronik ortamda tutulan kişisel veriler için fiziksel güvenlik önlemleri alınmış mıdır? Veri Yönetimi ERİŞİM TARİHİ: 21. 09. 2017

• Kurumunuzda verilerin tutulduğu depolama ortamlarına erişimler kısıtlanmış mıdır? Veri Yönetimi

• Kurumunuzda kişisel veriye erişim hakkı bulunan kullanıcıların yetkileri en az yetki prensibi çerçevesinde mi tanımlanmıştır? Veri Yönetimi

• Kurumunuzda kişisel veriye erişim hakkı bulunan kullanıcıların yetki kontrollerinin yapıldığı süreciniz var mıdır? Veri Yönetimi

• Kurumunuzda uygulanan iş sürekliliği planı veya yönetimi sistemi var mıdır? Veri Yönetimi

• Kurumunuzda kullanım süresi dolan hassas kişisel veriler için ayrı bir imha süreci var mı? Veri Yönetimi

• Kurumunuzda elektronik verilerin periyodik şekilde yedeklerinin alınmasıyla ilgili bir süreciniz var mı? Veri Yönetimi

• Kurumunuzda uygulamada olan bilgi güvenliği standardı var mıdır? Bilgi Güvenliği Yönetimi

• Kurumunuzda üst yönetim tarafından onaylanmış ve yayınlanmış bir bilgi güvenliği politikası bulunuyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda kişisel verilerin güvenliği risklerinin belirlendiği, denetlendiği ve yönetildiği bir bilgi güvenliği risk yönetim süreciniz bulunuyor mu? Bilgi Güvenliği Yönetimi Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.

• Kurumunuzda bilgi güvenliği sorumluları belirlenmiş ve atanmış mıdır? Bilgi Güvenliği Yönetimi

• Kurumunuzda veri sızıntılarına karşı önlemler alınmış mıdır? Bilgi Güvenliği Yönetimi Veri Sızıntı Şekilleri Veriler ister art niyetli, ister iyi niyetli olsun aşağıdaki şekillerde kurum ağı dışarısına sızabilmektedir. v E-Posta v Sohbet yazılımları v P 2 P uygulamaları v FTP v Web v Zararlı yazılımlar v Şifreli dosyalar v Çalınma (içinde veri bulunan nesneler) v Taşınabilir medya (usb disk, cd/dvd, ipod vs) v Yazıcı/Fax v Donanım çalınması

• Kurumunuzda çalışanlara düzenli olarak bilgi güvenliği farkındalık eğitimleri veriliyor mu? Bilgi Güvenliği Yönetimi EĞİTİMİN ANA BAŞLIKLARI Temel bir bilgi güvenliği farkındalık eğitiminde bireylere Ø temel bilgi kavramları, Ø bilgilerin bulunduğu ortamlar, Ø bilginin korunacak nitelikleri, Ø bilgi güvenliğine ilişkin güncel tehditler ve saldırılar, sosyal mühendislik, Ø dikkat edilmesi gereken kurallar ve temiz masa kuralları, fiziksel güvenlik, Ø şifre güveliği, Ø yasal düzenlemeler, Ø kurum politika ve prosedürleri, Ø bireyin sorumlulukları ve kendisinden beklenenler örneklerle zenginleştirilerek aktarılmalı, eğitimi alan bireylerin aktif katılımı sağlanarak etkileşimli bir şekilde sunulmalıdır. Bunlar kurum ve bireylerin beklentileri dikkate alınarak çeşitlendirilerek farklılaştırılabilir.

• Kurumunuzda uzaktan çalışma ile ilgili güvenlik politikanız var mı? Bilgi Güvenliği Yönetimi

• Kurumunuzda periyodik olarak sızma testleri (penetration test) yapılıyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda periyodik olarak kişisel veri kanununa uyum denetimleri yapılıyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda taşınabilir medya (USB, CD, DVD) kullanımına yönelik kontroller bulunmakta mıdır? Bilgi Güvenliği Yönetimi

• Kurumunuzda parola politikası bulunuyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda zararlı yazılımlara karşı önlemler alınmış mıdır? Bilgi Güvenliği Yönetimi

• Kurumunuzda siber güvenlik olaylarına müdahale süreciniz bulunuyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda kişisel veri sızıntılarını önlemek için sistem ve kullanıcı aktivitelerinin izlendiği log yönetim süreci bulunuyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda uygulamaların güncel versiyonlarının kullanılmasıyla ve güvenlik yamalarının yüklenmesiyle ilgili bir süreciniz bulunuyor mu? Bilgi Güvenliği Yönetimi

• Kurumunuzda internet üzerinden gelebilecek atakları engellemek için gerekli çevresel güvenlik önlemleri alınmış mıdır? Bilgi Güvenliği Yönetimi

• Kurumunuzda çalışanlarınız veri paylaşımı ile ilgili politikalarınızı ve prosedürlerinizi biliyor mu? Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda veri paylaşımı ile ilgili görev ve sorumluluklar belirlenmiş midir? Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda veri paylaşım süreçlerinin kanuna uygunluğu kontrol ediliyor mu? Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda veri sahipleri veri paylaşım süreci hakkında bilgilendiriliyor mu? Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda veri paylaşımı için güvenli iletişim kanallarını kullanıyor musunuz? Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda veri sahiplerinin isteklerini etkili şekilde karşılayabilecek bir süreciniz bulunuyor mu? Veri Paylaşımı ve Veri Sahibinin Erişimi

• Kurumunuzda çalışanlarınıza veri sahiplerinin isteklerini yasalara uygun şekilde karşılayabilecekleri konusunda eğitimler veriyor musunuz? Veri Paylaşımı ve Veri Sahibinin Erişimi Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.

• Kurumunuzda kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme sürelerine uyuluyor mu? Veri Paylaşımı ve Veri Sahibinin Erişimi KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri MADDE 12 – (1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK ve İDARİ TEDBİRLER

TEŞEKKÜR EDERİM