Etiket arşivi: Kişisel verilerin korunması kanunu

Lostar

Yeni KVKK yönetmeliği tüm detaylarıyla Lostar webinarında tartışıldı

Yorum yapın

Uzun yıllardır devam eden bekleyişin ardından geçen yıl Mart ayında TBMM’de kabul edilen Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak, 6 ay sonra 7 Ekim 2016’da yürürlüğe girmişti.

KVKK ile ilgili beklenen önemli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği ise 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlandı.

Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi konulu webinarda ilgili yönetmelik hakkında bilgi verdi.

Lostar’a göre, son çıkan yönetmelik bir buçuk yıldan fazla bir süredir hayatımızda olan KVKK’ya uyum sürecinde rehber niteliği taşıyor.

LOSTAR’IN YOUTUBE KANALINA ULAŞMAK İÇİN TIKLAYINIZ

Yönetmelik maddelerini Bilgi Teknolojileri alanında neler yapılması gerektiğini açısından değerlendiren Lostar: “Bu yönetmelik aslında çok uzun bir yönetmelik olmamakla beraber hemen birinci maddesinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlediğini görüyoruz.” şeklinde konuştu.

Kurumların, KVKK’ya uyumlu hale gelmesini gereken bir yönetmelikle karşı karşıya olduklarının altını çizen Lostar, yönetmeliğin, veri saklama ve imha politikasına sahip olma ve veri saklama süreleri esaslarına dayandığını söyledi.

Kişisel verileri silme, yok etme veya anonim hale getirme sürelerini detaylandıran yönetmeliğe göre: 

MADDE 11- (1) –Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.”

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Lostar’a göre Madde 11 bizlere şunu söylemek istiyor; kurumların artık kişisel veri temizliği yapma günleri olacak.

Kurumlar ilk etapta periyodik imha işlemi denilen bir gün belirleyecekler. Regülasyon, imha işleminin her altı ayda bir yapılması gerektiğini söylüyor.

Lostar’a göre bu durum, kurumların yılda en az iki kere bahar temizliği yapar gibi kişisel verileri temizleme gününün olacağı anlamına geliyor.

-Kişisel verilerin silinmesi

Kurumlar açısından kanun kapsamında bahsedilen, müşterilere ait toplanan kişisel veriler, çalışanlara ait kişisel veriler, kuruma özgeçmini yollamış ama beraber çalışmadığı kişilere ait veriler gibi çok farklı veri türleri var.

Lostar’a göre, bütün bu kişisel verilerin her biri için yani her bir kategori için öncelikle bir politika belirleyip ve bu politikada hukukçularla beraber çalışarak bir iş bitirme süreci işletiyor olmak gerekiyor.

Bu işlem için de yönetmeliğin sunduğu 3 yöntemden bahsediyor tecrübeli CEO. Bunlardan ilki Kişisel Verilerin Silinmesi.

Yönetmeliğin 8. Maddesi 1. Fıkrasına göre:

“Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.”

Lostar’a göre bu madde içinde anahtar kelime aslında ilgili kullanıcılar denilen yer.

Yönetmeliğin 4. Madde 1. Fıkrası (b) bendinde ilgili kullanıcı “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanıyor.

Lostar, bu iki maddenin birbirini tamamlayıcı nitelikte olduğunu söylüyor ve ekliyor:

“Biz verileri silerken, verileri aslında işleyen ve o verilerin işlenmesinden bir fayda sağlayan kişilere karşı kullanılamaz hale getiriyor olmamız gerekiyor. Burada bazılarımızın aklına şu gelebilir ‘ben bunu silerim daha sonra günün birinde ihtiyacım olursa da o zaman bilgi teknolojilerine bu bilgiyi yedeklerden vermesini söylerim.’

İşte orada da Madde 8, 2. fıkrası karşımıza çıkıyor:

“Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”

-Kişisel verilerin yok edilmesi

Yönetmeliğin sunduğu yöntemlerden ikincisi ise Kişisel Verilerin Yok Edilmesi. İlgili maddeye göre:

MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Bu maddeyi yorumlayan Lostar, maddede en çok dikkat edilmesi gerekenin ‘bilgilerin hiçbir şekilde erişilemez ve geri getirilemez’ kısmı olduğunu söyledi.

“Bilgi Teknolojileri açısından düşünürsek bizim ana sistemlerimizde sadece veriyi sildim demek yeterli değil, aynı zamanda bu verinin yedeklerden ve kopyalardan silinerek geri döndürülemez şekilde imha edilmesi anlamına geliyor. Son olarak da bütün eski ve yeni arşivlerimizden bu bilgilerin imha edilmesi anlamına geliyor. Buradaki düzenleme sadece elektronik ortamı kapsamıyor tüm fiziksel kopyalar için de geçerli,” diyor Lostar ve uyarıyor:

“Eğer kurumunuz herhangi bir veriyi geri getirmek isterse bu geri getirme işleminin sadece ve sadece ilgili kullanıcılar dışında yapılabilmesini garanti ediyor olmak gerekiyor.”

-Kişisel verilerin anonimleştirilmesi

Yönetmeliğin sunduğu üçüncü yöntem ise Kişisel Verilerin Anonim Hale Getirilmesi.

MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Lostar’a göre, anonimleştirme kişisel veri ile kişi arasındaki bağın kesilmesi anlamına geliyor.

“Yani veriler bir yerde mevcut ama o verileri gerçek kişiyle ilişkilendirmek geri dönülmez bir şekilde mümkün değil demek.”

Anonimleştirmenin yararları ama aynı zamanda zorlukları da var. Bu yöntemin en önemli yararı eldeki bilginin hala katma değer sağlamaya devam ediyor olması.

Fakat, Lostar, her kurum anonimleştirme yaparken kendine ‘Ben bu anonimleştirdiğim veriyi bir başka yerde sahip olduğum bir veriyle birleştirerek tekrar kişiselleştirebilir miyim ya da teknik değimiyle de-anonimleştirmek mümkün mü?’ sorusunun cevabını veriyor olması gerektiğini söylüyor.

“Her anonimleştirmenin öncelikle o sisteme özgü yapılıyor olması gerekiyor ve bunu yaparken kurumdaki farklı bir bilgi ile tekrar birleşerek de-anonimleştirmenin mümkün olmadığını garanti etmek gerekiyor.” şeklinde açıklıyor Lostar.

-Veri silme, yok etme ve anonimleştirme kayıtları

Yönetmelikte geçen önemli konulardan bir diğeri ise  bu verilerin silinmesi, yok edilmesi ve anonimleştirilmesi kayıtları üzerine.

‘Ben kaydın içine kimin verisini sildiğimi, yok ettiğimi ya da anonimleştirdiğimi yazarsam aslında bir kişisel veri yok ederken yeni bir kişisel veri yaratmış olmuyor muyum’ sorusuyla çok fazla karşılaştığını söyleyen Lostar, bunun sorunun veri imha politikası yoluyla çözülebileceğini ifade ediyor.

Veri imha politikası gereği, kurumların, tuttukları farklı kişisel veri türleri için her birinin ne sıklıkta ve ne kadar yaştan sonra hangi yöntemle ortadan kaldırılacağına ilişkin bir kayıt listesi olmalı.

Bu kayıtların üç yıl saklanması gerekiyor. Lostar’a göre kanunun üç yıl kuralının arkasındaki temel motivasyon, kurumların tabi tutulacakları denetimler aracılığıyla kanuna uygunluk açısından sorumluluklarını düzenli ve dönemsel olarak yerine getirmelerini sağlamak.

https://www.youtube.com/watch?v=3kjKr5NSWv4

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Kişisel Verilerin Korunması Yolculuğu: 2. Bölüm

Yorum yapın

Bu yazının ilk bölümünde kişisel verilerin korunması yolculuğumuzun yeni başladığından bahsedip, yazıyı bu yolculukla ilgili bazı sorulara da bir sonraki yazımda cevap vermeye çalışacağımdan bahsederek bitirmiştim. Bu bölümde de “Doğru yaklaşım nedir?” ve “Teknoloji tek başına bir çözüm mü?” sorularına elimden geldiğince cevap vermeye çalışacağım.

Kanun yayınlandıktan sonraki aylarda konu hakkındaki bilgilendirici etkinliklere ve bu etkinliklerin kimler tarafından düzenlendiğine baktığımızda bu alandaki yaklaşımları da görme şansı bulduk. Birinci grup konuya hukuk gözlüğü ile bakıyordu ve konunun sadece hukuki boyutlarını irdeleyip, çözümü burada arıyordu. İkinci grup ise konuya tamamen teknoloji gözlüğüyle bakıp, çözümü teknolojide arıyordu. Hukuk ve teknoloji, kişisel verilerin korunması için vazgeçilmez iki temel bileşen olsa da, bence kişisel verilerin korunmasına bir hukuk projesi ya da teknoloji projesi olarak bakmak yapılacak en büyük yanlış olacaktır. Peki, doğru yaklaşım nedir?

BURAK SADIÇ’IN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYINIZ

Bu yolculuğa bizden on, yirmi hatta otuz sene önce başlamış tüm ülkelere baktığımızda doğru yaklaşımın bu ve benzeri kanunlara uyumu “bir uyum projesi” olarak değerlendirip öyle yaklaşmak olduğunu görüyoruz. Evet, hukuki uzmanlık ve ilgili teknolojiler de bu projenin çok önemli parçaları, ama projeye bir uyum projesi olarak bakılmazsa önemli eksiklikler olması kaçınılmaz.

Konuya bir uyum projesi olarak yaklaşıldığında ilk adımın ne olduğu da önemli bir soru işareti. Tüm uyum projelerinde olduğu gibi bu projenin de ilk adımı tespit aşaması, başka bir deyişle kurum içindeki tüm kişisel veri işleme süreçlerinin tespiti olmalı. Eğer ne gibi kişisel verileri, hangi süreçlerle işlediğimizi bilmiyorsak, bu konuda hukuki ya da teknolojik önlemler almamız kendimizi kandırmak ya da göle maya çalmaktan çok da farklı değil. Tespit aşamasında kurumdaki tüm süreç sahipleri ile görüşülüp, aşağıdaki soru silsilesinin cevapları alınmadıkça da bu aşamanın gerektiği şekilde tamamlandığını söylemek doğru olmayacaktır.

Neymiş bu sorular?

“İlgili süreçte, hangi veriler, hangi kaynaklardan elde edilerek, hangi amaçlarla, hangi birimler tarafından, hangi teknolojilerle, kiminle paylaşılarak, hangi hukuki dayanaklarla, ne süreyle işlenmektedir” ve tabii ki “bu süre sonunda bu verilere ne yapılıyor?”.

Tahmin edersiniz ki yukarıdaki soruların cevaplarını bulmak çok da kolay değil. Daha da önemlisi büyük zaman ve kaynak ihtiyacı olan bir çalışma. Ama bu çalışma tamamlanmadan hukuki uyum adımlarını atmaya çalışmak, ya da teknoloji satın almak da ne kadar doğru tartışılır.

Bu tespit çalışmasını kim yapmalı?

Her ne kadar bu projenin bir hukuk ya da teknoloji projesi olmadığının altını birkaç kez çizsem de, hukuk ve teknoloji uzmanları tespit aşaması da dahil olmak üzere proje ekibinin vazgeçilmez üyeleri olmalı. Bu iki önemli uzmanlığı kim bir araya getirecek sorusunun cevabı ise kurumuna göre değişecektir. Dünya örneklerine baktığımızda artık “Privacy Office” kavramının yerleşmeye başladığını görüyoruz. Ama, biz yolculuğun başında olduğumuzdan ötürü bu konuya özel uzmanların sayısı yok denecek kadar az. Yani sorumluluğu kurum içinde birilerinin üstlenmesi ve farklı birimlerden kişisel verilerin korunması uzmanlığının devşirilmesi gerekecek gibi görünüyor. Benzer projelerde tecrübe kazanmış “uyum” ya da “bilgi güvenliği” uzmanları en ciddi adaylar. Konunun önemi düşünüldüğünde üst yönetimlerle çalışma tecrübesi çok yüksek olan “hukuk” ve “iç denetim” uzmanları da bu tarz projelerde önemli fark yaratabilir.

Proje başlangıcında sorulması gereken üç önemli soru da, “Kurum ya da şirket üstte belirtilen uzmanlıkları kendi içinde barındırıyor mu?”, “İlgili uzmanlar bu proje için hak ettiği zamanı ayırabilecek mi?” ve “Bu kapsamda bir projeyi yönetebilecek proje yöneticimiz var mı?”. Eğer üç sorunun da cevabı evetse, kısıtlı kapsamda danışmanlık ve/veya eğitim alımları ile kişisel verilerin korunması yolculuğuna kurum dahili kaynakları ile başlanması düşünülebilir. Uzman kaynağın varlığı ya da kapasitesi hakkında tereddüt varsa, ya da tereddüt olmasa da riski azaltmak veya paylaşmak amacıyla, bu tarz uyum projelerini yapma kapasitesi olan danışmanlık şirketleriyle anlaşıp işi sağlama almak da düşünülebilir. “Kişisel verilerin korunması” başlığında proje tecrübesi de bulunan danışmanlarla çalışmak ise en doğrusu, ama haliyle bu alanda tecrübeli danışmanların sayısı da henüz bir elin parmakları kadar bile değil ülkemizde.

Umarım iki bölümlük bu mini yazı dizisi kişisel verilerin korunması yolculuğuna biraz olsun ışık tutabilmiştir. Bu yolculukla ilgili sorulması gereken başka sorular da var tabii. İlk anda akla gelen bazı sorular; “Uyum projesinin detayları neler olmalı?”, “Bahsedilenkişisel veri işleme faaliyetlerinin tespiti adımı sonrasındaki adımlar neler?”, “Uyum projesi tamamlandığında uyumlu olacak mıyız?”, “Bu işin denetimi nasıl olacak?” ve “Peki ya güvenlik, güvenlik gibi bu konunun çok önemli ve vazgeçilmez bir parçası hakkında ne yapmalıyız?”.

“Bence” üstteki soruların doğru cevaplarını ve bu cevapların doğuracağı yeni soruları ise ilerleyen dönemlerdeki yazılarda paylaşmaya çalışacağım.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN DOLDURUNUZ

[wysija_form id=”2″]