Biznet - Kişisel Verilerin Korunması
-
Upload
biznet-bilisim -
Category
Software
-
view
156 -
download
5
Transcript of Biznet - Kişisel Verilerin Korunması
![Page 1: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/1.jpg)
Kişisel Verilerin Korunması
BİZNET BİLİŞİM
Ateş Sünbül
PCI DSS ve BT Danışmanlık Yöneticisi
![Page 2: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/2.jpg)
DanışmanlıkHizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve BilgiGüvenliği
E-fatura
Denetim Hizmetleri
ÖzgünYenilikçi
Yazılımlar
Sızma Testleri
Kimlik ve Erişim Yönetimi
ISO27001Bilgi Güvenliği
Yönetim Platformu
• Sadece ağ ve bilgi güvenliği üzerineentegrasyon, danışmanlık, test ve denetimhizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelenkurumlarda çok fazla sayıda kimliği yönetenbaşarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıranözgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSAsertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’eçoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerindeçalışanı bulunmaktadır.
2000 yılından bu yana...
![Page 3: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/3.jpg)
Siber Güvenlik alanında yenilikçi ve öncü çözümler üreterek fark yaratan küresel bir marka olmaktır.
![Page 4: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/4.jpg)
En değerli varlık olan bilginin, siber tehditlere karşı güvenliğinin sağlanması için bütünleşik, etkin ve sürdürülebilir çözümler üretmektir.
![Page 5: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/5.jpg)
AĞGÜVENLİĞİ
MOBİLGÜVENLİK
UYGULAMA GÜVENLİĞİ
ERİŞİM YÖNETİMİ
UYUMLULUK HİZMETİ
KİMLİK YÖNETİMİ
VERİ GÜVENLİĞİ
![Page 6: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/6.jpg)
6698 sayılı Kişisel Verilerin Korunması Kanunu, 95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir
• 6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016
tarihinde resmi gazetede yayınlanarak artık yürürlüğe girmiş
bulunmaktadır.
• Kanunun amacı kişisel verilerin işlenmesinde başta özel
hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve
tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemek olarak adreslendi.
• Kapsamına baktığımızda ucundan kıyısından müşteri
bilgilerini ilgilendiren herkes kapsama dahil oldu.
• Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda
tedarikçiyle çalıştığını düşündüğümüzde tedarikçi yönetimi ve
güvenlik konuları tekrar değinilmesi gereken bir konu olarak
görülmektedir.
![Page 7: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/7.jpg)
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel bilgi sayılır !
Her Türlü Bilgi• Bilginin niteliğine ilişkin hiçbir sınırlama yok - İsim, kimlik
bilgisi, alışkanlıklar, görüntü, ses, biometrik bilgiler vs.
Kişiye İlişkin• İçerik veya amaç veya sonuç bakımından kişi ile ilgili olması
yeterlidir
Kimliği Belli/Belirlenebilir
• Doğrudan veya dolaylı olarak kişinin tanımlanmasında kullanılabilmesi yeterlidir.
Takma Ad Kullanımı (Pseudonymisation)
• Teknik olarak kişinin gerçek kimliği hakkında bilgi edinmek mümkün olduğu için kişisel veri sayılır - Ancak çok etkili bir koruma yöntemi olması dolayısıyla önemlidir.
Verinin anonim hale getirilmesi ile kişinin gerçek kimliği hakkında bilgi edinmek mümkün
olmayacağından bunlar kişisel veri sayılmaz..
![Page 8: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/8.jpg)
Tamamen veya kısmen otomatik olan ya da veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla yapılan işlemlerdir.
Elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi vs.
![Page 9: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/9.jpg)
Veri İşleyen
• Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyendir.
Veri Sorumlusu
• Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumludur.
Veri sorumlularının kurulacak sicile kaydı zorunludur !
![Page 10: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/10.jpg)
Temel İlkeler
İşlenme amacı ile sınırlı olma
(purpose limitation)
Hukuka uygunluk (lawful
processing)
Gereğinden uzun süre saklamama
Doğruluk vegüncellik
(quality of data)
Belirli açık ve meşru amaçlar
için işlenme (proportionality)
Kişisel veri işlenirken daima bu kurallara uyulacak istisnası yok!
![Page 11: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/11.jpg)
Verinin Kimlere
Aktarılabileceği
Kişisel Verileri Toplama
Yöntemi ve Hukuki
Dayanak
İşleme Amacı
Veri Sahibinin Hakları
İşleyenin Kimliği
![Page 12: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/12.jpg)
Kanunda açıkça
öngörülme
Rızanın imkansızlığı
ve hayati durum
Sözleşmenin kurulması ya
da ifası
Hukuki yükümlülük
Veri sahibinin alenileştirmesi
Hakkın kurulması için
zorunluluk
Veri sorumlusunun
meşru menfaati
Genel kural olarak açık ve bilinçli rıza gereklidir !
RIZA OLMAZSA…
![Page 13: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/13.jpg)
Açık ve bilinçli rıza ya da açık kanun hükmü olmadan işlenemez
Sağlık ve cinsel hayata ilişkin verilerde özel
düzenleme
Bu verilerin işlenmesi bakımından Kurul ilave
güvenlik önlemleri alacak
Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer
inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
![Page 14: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/14.jpg)
Bu iki şartın içinin nasıl doldurulacağı kritik !
Açık ve bilinçli rızaVeri sorumlusunun meşru
menfaatiVeri sahibinin…
• Herhangi baskı altında olmadan
• İşleme amacı ve sonuçlar
hakkında detaylı olarak
bilgilendirilerek
• Kapsamı açıkça anlaşılabilecek
biçimde
işlemeye razı olması gerekir
• Türkiye’de kural açık rıza
• Bazı durumlarda açık rıza alınması
çok zor
• AB’de veri sahibine opt-out imkanı
verilmesi yoluyla veri işlenebiliyor
• Ancak bu uygulamada açık rıza söz
konusu değil
• Veri sorumlusunun meşru menfaatlerinin
kapsamı çok geniş…
• Hakkın kullanılması (ör: basın
özgürlüğü)
• Satış ve pazarlama için reklam
yapılması
• Çalışanların takip edilmesi
• Kamu menfaati
• Veri güvenliğinin sağlanması
• Araştırma ya da istatistik oluşturma
amacı
• Meşru menfaatin varlığı yeterli değil,
önemli olan menfaatler dengesinin
sağlanması
![Page 15: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/15.jpg)
Koşulsuz olarak kolayca kullanılabilecek opt-out hakkı
Veri sahibi için kanunen gerekli olandan daha fazla şeffaflık (işlemeye ilişkin)
Kanunen gerekli olandan daha sıkı veri güvenliği tedbirleri
Verinin toptanlaştırılması (aggregation) anonimleştirilmesi ya da takma ad kullanımı
Elde edilen verinin farklı departmanlarca kullanılmasını engelleyecek fonksiyonel ayrım
Veri taşıma imkanı ve veri sahibini güçlendirecek diğer tedbirler
Veri sorumlusunun işlemeye
başlamadan önce bir test
gerçekleştirmesi ve bunu
ileride yetkili kurumlara
sunması öneriliyor
![Page 16: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/16.jpg)
Hukuka Aykırı
Güvenli
Birlikte Sorumlu
• İşlemeyi Engelleyecek
• Erişimi Engelleyecek
• Muhafazayı Sağlayacak
• Veri İşleyicisi
• Veri Sorumlusu
Güvenliğe ilişkin kurallar Kurul tarafından belirlenecek
![Page 17: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/17.jpg)
Kanun’da kişisel verilerin yurt dışına aktarılmasına ilişkin özel
düzenlemeler var
Kural olarak açık rıza varsa aktarım mümkün
Açık rıza olmazsa aktarılacak ülkede de koruma olması lazım
Aktarılacak ülkenin hukuku
yeterli korumayı
sağlayacak
Aktarılacak kişi yeterli
koruma sağlayacağını
taahhüt edecek
Hangi ülkelerde yeterli koruma olduğuna Kurul
karar verecek
Korumanın yeterli olmadığı ülkelerde verilecek
taahhütlere dair örnekler hazırlanabilir
![Page 18: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/18.jpg)
Veri işlenip işlenmediğini
öğrenme
Verinin nasıl işlendiği
hakkında bilgi talep etme
İşlenme amacını ve
amaca uygun kullanım
olup olmadığını öğrenme
Kime aktarıldığını
öğrenme
Yanlış bilginin
düzeltilmesini istemeSilinmeyi talep etme
Otomatik sistemlerle
işleme sonucu oluşan
aleyhe sonuca itiraz etme
Zararın tazminini isteme
![Page 19: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/19.jpg)
Önce veri sorumlusuna
başvuru zorunlu
30 gün içinde cevap verilmesi
zorunlu
Cevaptan 30 gün ya da başvurudan
60 gün sonra Kurul’a şikayet
• Aydınlatma yükümlülüğüne aykırılık - 5.000 / 100.000 TL
• Güvenlik yükümlülüğüne aykırılık - 15.000 / 1.000.000 TL
• Kurul kararını yerine getirmeme - 25.000 / 1.000.000 TL
• Sicile kaydolmama - 20.000 / 1.000.000 TL
• Her ihlal için ayrı bir ceza
• İhlalin etkisi ve ihlal sayısı arttıkça ceza miktarı artar
• TCK madde 135 – 140 arası hükümlerine aykırılıklar sonucunda
hapis cezaları.
![Page 20: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/20.jpg)
Veri sınıflandırması ve haritalandırmasını yaparak kişisel bilgilerinizi belirleyin.
Tokenization sistem ve yöntemlerinin veri sınıflandırmayı desteklediğini ve güvenliğinizi arttırdığını unutmayın.
Erişim yönetimi kontrollerini tekrar gözden geçirerek gerekli güvenlik önlemlerini uygulayın.
Bilgi paylaşımında bulunduğunuz dış kaynak tedarikçilerinize ve güvenlik kontrollerine dikkat edin, unutmayın güvenlik sorumluluğu öncelikle veri sorumlusundadır.
Şirketinizden ayrılan veri sorumlularına dikkat, hala yükümlülükleri devam ediyor. İşten ayrılış süreçlerinizdeki güvenlik adımlarına dikkat edin.
Veri güvenliği için denetim ve güvenlik testleri yaptırın.
Veri sızmalarına karşı veri sınıflandırmasıyla uyumlu olarak ek güvenlik kontrollerini değerlendirin.
![Page 21: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/21.jpg)
Veri Çıkış Kanalları
Veri Paylaşılan Tedarikçiler
Süreç Tasarım Yeterlilik
Güvenlik Önlemleri
BT Sistemleri
Veri Sınıfları ve Lokasyonları
Müşteri Bilgileri Sözleşmeler
Hukuksal Yaklaşımlar
![Page 22: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/22.jpg)
Aşama 1
Farklılık Analiz ve Ön Hazırlıklar
Aşama 2
İyileştirme Aktiviteleri veDüzenli Kontrol
Aşama 3Devamlılık Kontrolleri veFarkındalık
Veri sınıflandırma teknik kontrollerinin sistemlereuygulanması
Denetim ve kontrol adımlarının belirlenmesiVeri sınıflandırması ve kontrolleri
Ağ ayrımlarının gerçekleştirilmesiYasal uyum süreçlerini destekleyen yapılarınoluşturulması
Müşteri verisinin sisteme hangi noktalardan girdiği venerelerde sistem dışına çıkarıldığı
Sunucu ve veri tabanlarına erişim standartlarınındeğiştirilmesi
Farkındalık EğitimiGirdi & Çıktı kanallarından emin olmak ve bu kanallarılistelemek
Görevler Ayrılığı (SOD) Matrisinin KVK özelindegeliştirilmesi
Süreç farklılıklarının ve gelişim noktalarının tespitedilmesi
Düzenli gözden geçirme ve denetim uygulanarakgelişim durumunun raporlanması
Veri iletim güvenliği kontrol süreçlerinin tanımlanmasıve istisnaların belirlenmesi
Gelişim Yol Haritasının oluşturulması
Akt
ivit
ele
r
HUKUK
![Page 23: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/23.jpg)
GÜÇLÜ İŞ ORTAKLARI
DİNAMİK YAPI
DENEYİM
BİLGİ GÜVENLİĞİODAKLI YAKLAŞIM
EKİPÜRÜN ve HİZMETPORTFÖYÜ
ÖZGÜN ÜRÜNLER
![Page 24: Biznet - Kişisel Verilerin Korunması](https://reader033.fdocument.pub/reader033/viewer/2022042513/5a6697c17f8b9ac5128b58af/html5/thumbnails/24.jpg)