Kiisel Veri leme Envanter i Av Begm FEYZOLU
Kişisel Veri İşleme Envanter i Av. Begüm FEYZİOĞLU Ankara Barosu TBB KVKK Eğitmeni
Kişisel Veri İşleme Envanteri Eğitim Akışı(~50 dk) Hukuki dayanak • Kişisel Verilerin Korunması Kanunu • Veri Sorumluları Sicili Hakkında Yönetmelik İlk defa envanter hazırlayacaklar için kaynaklar • Envanter hazırlama süreç yönetimi Tecrübe paylaşımı • Envanter hazırlama ve VERBİS kayıt süreçlerinde neler öğrendim? Neleri farklı yapardım? Neleri öneririm? • Envanter örneği
Kişisel Veri İşleme Envanteri Hukuki Dayanağı Nedir? Kişisel Verilerin Korunması Kanunu Veri güvenliğine ilişkin yükümlülükler MADDE 12 - (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel Veri İşleme Envanteri Hukuki Dayanağı Nedir? Kişisel Verilerin Korunması Kanunu Sorumluları Sicili Hakkında Yönetmelik ✔ Madde 4/1 (h)
Veri Sorumluları Sicili Hakkında Yönetmelik Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan detaylandırdıkları envanter (m. 4/1(h) tedbirleri açıklayarak
Veri Sorumluları Sicili Hakkında Yönetmelik Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter Yükümlüler kimler? Veri sorumluları
Veri Sorumluları Sicili Hakkında Yönetmelik Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter İçeriği nasıl olmalı? Veri işleme faaliyetleri, amaç, hukuki sebep, kişi grupları, paylaşım ve saklama şartları, tedbirler.
Veri Sorumluları Sicili Hakkında Yönetmelik Envanter – VERBİS Farkı MADDE 5 – (1) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.
Veri Sorumluları Sicili Hakkında Yönetmelik Envanter – VERBİS Farkı VERBİS ENVANTER Kamuya açık değil. İstenildiği zaman Kurum ile paylaşılması gerekiyor. Ana başlıklar halinde bildirim yapılıyor. İşlenen kişisel veriler detayları ile listeleniyor. VERBİS sistemi üzerinden belirlenen bir bildirim şekli var. Belirli bir şekil şartı öngörülmemiş.
Hangi Veri Sorumluları Kişisel Veri İşleme Envanteri Hazırlamalıdır? Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü olan tüm veri sorumlularının Envanter hazırlaması zorunluluktur. VERBİS kaydından istisna tutulanların ise envanter oluşturmaları idari tedbir olarak ve iç denetimin sağlanması adına önemlidir. KVK Kurumunca resen ya da şikayet üzerine yapılacak incelemede envanterin olması ceza riskini azaltacaktır.
Kişisel Veri İşleme Envanteri İçeriği İdari Birim Süreç Faaliyet Kişisel Veri • Veri Kategorisi • Kişisel Veri • Özel Nitelikli Kişisel Veri • İşleme Amacı • Veri Konusu Kişi Grubu • Hukuki Sebep Saklama İmha Aktarma • Yöntem • Süre • Alıcı grupları • Yurt dışına aktarım Güvenlik Tedbirleri • İdari • Teknik
Kişisel Veri İşleme Envanteri İçeriği İdari Birim Süreç Faaliyet Kişisel Veri • Veri Kategorisi • Kişisel Veri • Özel Nitelikli Kişisel Veri • İşleme Amacı • Veri Konusu Kişi Grubu • Hukuki Sebep Saklama İmha Aktarma • Yöntem • Süre • Alıcı grupları • Yurt dışına aktarım Güvenlik Tedbirleri • İdari • Teknik
İlk Defa Envanter Hazırlayacaklar için Kaynaklar ve Öneriler
İlk Defa Envanter Hazırlayacaklar için Kaynaklar 1) kvkk. gov. tr / Yayınlar / Rehberler
İlk Defa Envanter Hazırlayacaklar için Kaynaklar 1) kvkk. gov. tr / Yayınlar / Rehberler
İlk Defa Envanter Hazırlayacaklar için Kaynaklar kvkk. gov. tr / Yayınlar / Rehberler Kişisel Veri İşleme Envanteri Hazırlama Rehberi
İlk Defa Envanter Hazırlayacaklar İçin Kaynaklar kvkk. gov. tr / Yayınlar / Rehberler Kişisel Veri İşleme Envanteri Hazırlama Rehberi
Kişisel Veri İşleme Envanteri Hazırlama Rehberi Başlangıç için güzel bir kaynak. Ancak tek başına yeterli değil. Özellikle sunulan envanter örneği özet niteliğinde. Sadece bu örneğe bağlı kalarak yol almak X
İlk Defa Envanter Hazırlayacaklar için Kaynaklar 2) Mevzuat ve Kurul Kararları Derlemesi Kanun Yönetmelikler Tebliğler Kararlar
İlk Defa Envanter Hazırlayacaklar için Kaynaklar 3) EXCEL DOSYASI
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? VERBİS kaydı şekli bir yükümlülük olduğu için öne çıkıyor. Ancak envanter hazırlama süreci çok daha kapsamlı.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Avukatın tek başına envanter hazırlaması hatalı ve eksik sonuçlara yol açabilir. Kapsamlı ve gerçeği yansıtan bir envanter hazırlamak bir ekip işi.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Avukatın rolü çok önemli ancak her departmanın hangi veriyi nasıl sakladığını en iyi o departman bilir. Departman bazında çalışma yapılmalı.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Bu sebeple envanter hazırlama sürecinde Kişisel Verilerin Korunması Ekibi kurulabilir. Ekipte yer alacak kişiler, veriler hakkında detaylı bilgi sahibi olan hukuk, bilgi işlem ve insan kaynakları gibi birimlerde çalışan kişiler olabilir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Bununla birlikte, departman çalışanları hangi veriyi sakladıklarını farkında olmayabilirler. Avukatın süreci yönlendirmesi bu sebeple önemlidir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Bununla birlikte, departman çalışanları hangi veriyi sakladıklarını farkında olmayabilirler. Avukatın süreci yönlendirmesi bu sebeple önemlidir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Envanter hazırlama süreci tamamlandıktan sonra VERBİS kaydının tamamlanması çok kolay, zahmetsiz.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Envanter ve VERBİS kaydının birbiri ile eşleşmesi, düzenli olarak güncellenmesi, güncellemelerin her iki tarafa da işlenmesi gerekmektedir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Bir başka deyişle, envanter ve VERBİS kaydı dinamik yükümlülüklerdir. Envanterin hazırlanması ve VERBİS kaydının tamamlanması ile süreç sona ermemektedir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Kişisel Verilerin Korunması Kanunun’dan kaynaklanan yükümlülükleri müvekkiliniz ve çalışanları sizin kadar önemseyemeyebilir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Kişisel Verilerin Korunması Kanunun’dan kaynaklanan yükümlülükleri müvekkiliniz ve çalışanları sizin kadar önemseyemeyebilir.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Müvekkilinizi ve çalışanları işbirliğine davet etmek için bir yandan KVKK konusundaki bilinçlerini arttırmanız, eğitimler vermeniz, idari para cezalarından ve TCK’nın ilgili hükümlerinden bahsetmeniz gerekecektir.
Olası Riskler 1. Envanterin olmaması veya eksik olması halinde 6698 m. 18/1 -b’den 22. 058 TL-1. 470. 583 TL arası idari para cezası verilebilecektir. 2. VERBİS’e kayıt Envantere göre yapılır ve uyumlu olmalıdır. Envanter olmadan VERBİS kaydı yapılmışsa ya da envanter ile VERBİS kaydı eşleşmiyorsa 6698 m. 18/1ç’den 29. 412 TL-1. 470. 583 TL arası idari para cezası verilebilecektir. 3. Aydınlatma, başvuruya cevap, açık rıza envantere uyumlu olmalıdır. Aydınlatma içeriği ile envanter uyumlu değilse 7353 TL-147. 058 TL arası idari para cezası verilebilecektir. 4. Envanter oluşturmama bazı durumlarda TCK m. 135 -140 arası belirtilen kişisel veriyi hukuka aykırı kayıt, hukuka aykırı aktarma, yok etmeme suçlarına da sebep olabilir.
Olası Riskler Kişisel verilerin kaydedilmesi Madde 135 - (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Olası Riskler Verileri hukuka aykırı olarak verme veya ele geçirme Madde 136 - Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Kişisel Tecrübelerim: Envanter Hazırlarken Neler Öğrendim? Çalışan disiplin yönetmeliğinde KVKK’ya aykırılık halinde müeyyideler öngörülmesi Çalışan yetki, görev ve sorumluluklarına KVKK’ya ilişkin hükümler eklenmesi de faydalı olacaktır.
Son notlar… Envanter hazırlamak bir süreç Öğretici Keyifli Dinamik Tek başına yeterli değil. Ancak güzel bir başlangıç. Farkındalığın arttırılması, idari ve teknik tedbirlerle pekiştirilmesi kritik.
Envanter Örneği
Teşekkürler… Bana sorun… Av. Begüm Feyzioğlu Ankara Barosu
Veri Güvenliği Tedbirleri 1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. 2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. 3. Anahtar yönetimi uygulanmaktadır. 4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. 5. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. 6. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. 7. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. 8. Çalışanlar için yetki matrisi oluşturulmuştur. 9. Erişim logları düzenli olarak tutulmaktadır. 10. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. 11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır. 12. Gizlilik taahhütnameleri yapılmaktadır.
13. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. 14. Güncel anti-virüs sistemleri kullanılmaktadır. 15. Güvenlik duvarları kullanılmaktadır. 16. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. 17. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. 18. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. 19. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. 20. Kişisel veri güvenliğinin takibi yapılmaktadır. 21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. 22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb. ) karşı güvenliği sağlanmaktadır. 23. Kişisel veri içeren ortamların güvenliği sağlanmaktadır. 24. Kişisel veriler mümkün olduğunca azaltılmaktadır.
28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. 29. Mevcut risk ve tehditler belirlenmiştir. 30. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. 31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. 32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. 33. Saldırı tespit ve önleme sistemleri kullanılmaktadır. 34. Sızma testi uygulanmaktadır. 35. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. 36. Şifreleme yapılmaktadır.
37. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır. 38. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. 39. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. 40. Veri kaybı önleme yazılımları kullanılmaktadır. 41. Diğer
- Slides: 50