Özel Nitelikli Veri

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun \’Özel nitelikli kişisel verilerin işlenme şartları\\’ başlıklı 6 ncı maddesinde \’kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri\\’ özel nitelikli kişisel veriler olarak sayılmıştır. Kanun ile özel nitelikli kişisel veriler arasında sayılan biyometrik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü maddesindeki biyometrik veri tanımının bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu düşünülmektedir. Bu tanıma göre biyometrik veri; \’yüz görüntüleri veya daktiloskopi1 veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik2 veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.\\’ şeklinde tanımlamıştır. GVKT’nin tanımında da yer aldığı üzere, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için;

sayfaya git

KİŞİSEL VERİ, ÖZEL NİTELİKLİ KİŞİSEL VERİ VE İŞLENİLMESİ

‘Kişisel veriler’ terimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirlenen yasal çerçevenin merkezinde yer almaktadır. Kanuna göre, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kişisel veriden bahsedebilmek için verinin gerçek bir kişiye ilişkin olması gerekmektedir. Bir şirkete ait unvan, adres, vergi numarası gibi tüzel kişilere ait bilgiler KVKK kapsamında değildir. Bireye ait adı, soyadı doğum yeri ve tarihi bilgilerin dışında bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, dini, sosyal özellikleri (motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, parmak izleri bilgileri) de kişisel veri niteliği taşımaktadır. Mobil bankacılık sisteminde müşterinin bankaya verdiği ses kaydı, video gözetim sistemi tarafından yakalanan bireylerin tanınabilir olması hali ve orcdanismanlik@örnek.com gibi e-posta adresleri kişisel veriye örnek olarak verilebilir. Başkaları tarafından öğrenildiği takdirde kişilerin mağdur olabileceği, ayrımcılığa maruz kalabileceği ya da şeref ve onurunun zedelenmesine yol açabileceği nitelikli verilere özel (hassas) kişisel veriler denir. Özel (hassas) kişisel veriler, kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir kategori türüdür. Özel nitelikli veriler, Kişisel Verilerin Korunma Kanunu’nun 6.maddesinde sayılmıştır. Kanuna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır. Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açılanması, yeniden düzenlenmesi, devralınması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme kişisel verilerin işlenmesi denilmektedir. Kişisel verilerin bir diskte, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işlenmesi, kişisel verilerin işlenmesine örnek olarak gösterilebilir. Kişisel Verilerin Korunma Kanunu’nun 5.maddesinde kişisel veri işleme şartları yer almaktadır: • Açık rıza • Kanunlarda açıkça öngörülmesi • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması • İlgili kişinin kendisi tarafından alenileştirilmiş olması • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması Özel nitelikli kişisel verilerin ise kıyas yoluyla genişletilmesi mümkün olmamaktadır. Bu nedenle, kanun özel (hassas) nitelikli kişisel veriler arasında da ayrım yapmıştır ve bu verilerin işlenme şartları Kanunun 6.maddesine özel olarak düzenlenmiştir. Kanuna göre, özel nitelikli kişisel verilerin işlenme şartları şu şekildedir: • Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir. • İlgili kişinin açık rızası bulunmadığı bazı durumlarda da özel nitelikli kişisel verilerin işlenmesi mümkündür. Ancak, ilgili kişinin açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur. • Sağlık ve cinsel hayat dışındaki özel nitelikli veriler ancak kanunlarda öngörülen hallerde kişinin açık rızası olmaksızın işlenebilecektir. • Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Bununla birlikte, kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel verilerin işlenmesi bakımından kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. \’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler\', 31.01.2018 tarihinde Kişisel Verileri Koruma Kurulunun kararında açıklanmıştır.

sayfaya git

KVKK KAPSAMI VE ZORUNLULUKLARI

Kişisel Verilerin Korunma Kanunu’nun 2.maddesinde \’Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır\' şeklinde düzenlenmiştir. Kişisel Verileri Koruma Kanunu’nun kapsamı son derece geniş ve bir o kadar da nettir. KVKK’nın birinci derecede tarafı gerçek kişilerdir. Daha açık olmak gerekilirse, verileri işlenen gerçek kişilerdir. Kurum ve kuruluş gibi tüzel kişiler ise ikinci derecede verileri işleyen olarak sorumludur. Bu konu ile ilgili gerekli düzenleme madde 4/2’de ‘Genel İlkeler’ başlığı altında ifade edilmiştir ve kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: • Hukuka ve dürüstlük kurallarına uygun olma • Doğru ve gerektiğinde güncel olma • Belirli, açık ve meşru amaçlar için işlenme • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme Kişisel verilerin işlenmesi şartları ile ilgili olarak da madde 5’te \’Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez\' denilmekte, madde 5/2’de ise belirli koşullarda kişinin açık rızası aranmaksızın verilerinin işlenebileceği ifade edilmiştir. Kişisel verilerin aktarılması ile de ilgili olarak madde 8’de \’Kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz\' ve madde 9’da \’Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz\' denilerek gerekli düzenleme yapılmıştır. Tüzel kişi grubundaki kurumlar için özel ya da kamu kuruluşu olma konusunda bir ayrım yapılmamış olup tamamı için aynı usul ve esaslar geçerli kabul edilmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamları dahilindedir. Kanunda \’kişisel verileri işlenen gerçek kişiler\' ifadesi kullanıldığından dolayı kişisel verileri işlenen tüzel kişiler bu kanunun kapsamı dışında tutulmuştur. Aynı zamanda veri kayıt sisteminin parçası olmaksızın veri toplayan ve işleyen gerçek ve tüzel kişisel de kanun kapsamı dışındadır. Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili ’ne kaydolma zorunluluğu getirilmiştir. Ancak bazı durumlarda işlenecek verinin boyutu, niteliği, konusu, amacı gibi kriterler göz önüne alınarak kurul tarafından bazı veri sorumlularına bu sicile kaydolma konusunda muafiyet getirilebilmektedir. Bu muafiyet çoğunlukla verinin bir kanun kapsamında işlenmesinden getirilebilmektedir.

sayfaya git

KVKK NEDİR

İnsan tarihi boyunca en önemli varlık olan bilgi; insan aklının alabileceği gerçek, olgu ve ilkelerin tümüdür. Hızla gelişen teknoloji ile şirketler, kurum ve kuruluşlar dijitalleşmeye başlamış ve bilgi çağımızın en önemli sermayesi olmuştur. Geçmişten günümüze bilgi, kamu ya da özel kurum ve kuruluşlarda toplanmakta ve muhafaza edilmektedir. Muhafaza edilen bu bilgiler kişisel veri niteliği taşımaktadır. Bu yüzden de güvenli bir ortamda korunmak zorundadır. Aksi takdirde kişilerin temel hak ve hürriyetlerini kısıtlayabilir, özel hayatın ihlaline ve kurumların zarar görmesine yol açabilir. Yetkisiz kişilerin, kişisel veri taşıyan bu bilgilere erişimlerinin önüne geçilebilmesi için Avrupa Konseyi 28 Ocak 1981’de \’Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme\\’ imzaya açmıştır. Türkiye, bu sözleşmeyi imzalayan ülkeler arasında yer almaktadır. 2010 yılında, \’Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…\\’ hükmü, genel kanunlar içinde yer alan hükümler ile korunan kişisel veriler için anayasanın 20. maddesine eklenmiştir. Fakat bu hüküm yeterli görülmeyince günümüzdeki Kişisel Verilerin Korunma Kanunu yürürlüğe girmiştir. Avrupa Konseyi’nin sözleşmesi temel alınarak hazırlanan Kişisel Verilerin Korunma Kanunu 18 Ocak 2016’da meclise tasarı olarak sunulmuştur. 24 Mart 2016 tarihinde de kabul edilmiştir. 6689 Sayılı Kişisel Verilerin Korunma Kanunu, 7 Nisan 2016 tarihinde ise 29677 sayılı Resmî Gazete ’de yayınlanarak yürürlüğe girmiştir. KVKK m. 1’de yer alan \’Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişiliklerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek\\’ ifadesi, yürürlüğe giren kanunun amacıdır. Böylelikle, kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmıştır.

sayfaya git

Veri Taşınabilirliği Hakkı’’ Konulu Çarşamba Semineri Düzenlendi

6698 Sayılı kanun çerçevesindeVeri Taşınabilirliği Hakkı konulu Çarşamba Semineri çevrimiçi olarak gerçekleştirildi. Kurumumuz Uzman Yardımcılarından Beste YILMAZ, konuşmacı olarak katıldığı Seminerde; kişisel verilerin korunması ve rekabet bağlamında veri taşınabilirliği hakkı konusunu anlattı. YILMAZ, Avrupa Birliği Genel Veri Koruma Tüzüğü\’nün (GDPR) 20. maddesi kapsamında ele alınan \’veri taşınabilirliği hakkı\\’nın kişisel verilerin korunması hukuku ve rekabet hukuku arasındaki kesişim kümesini içeren bir hak olduğunu söyledi. Veri taşınabilirliği hakkının amaç ve kapsamından söz eden YILMAZ, veri taşınabilirliği hakkının kullanılması ve rekabet hukuku boyutuyla değerlendirilmesi hususunda da çeşitli bilgiler paylaştı.

sayfaya git

KVKK DANIŞMANLIĞI NEDİR ?

KVKK Danışmanlığı nedir ? KVKK Danışmanlığını kimler yapabilir, yetkili firma var mıdır, firma seçerken nelere dikkat etmeliyiz, destek aldığınız firmalarda sorumluluk var mıdır ? Soruların hepsini cevaplayan makale yakında sizlerle.

sayfaya git

KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI

KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI 1. Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/61 Sayılı İlke Kararı 2. Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı 3. "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı 4. "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı 5. Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin 31/05/2018 tarih ve 2018/63 sayılı ilke kararı 6. "Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında Görüş Talebi" ile ilgili Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/68 Sayılı Kararı 7. "Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması" ile ilgili Kişisel Verileri Koruma Kurulunun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı 8. "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı 9. "Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi " ile ilgili Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı 10. Veri Sorumlusuna Başvuru ve Kurula Şikâyet Sürelerinin Hesaplanmasına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı 11. Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih ve 2019/10 Sayılı Kararına İlişkin Duyuru 12. \’Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form\\’ hakkındaki 02/05/2019 tarihli ve 2019/125 sayılı Kurul Kararı 13. Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı 14. Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik Kişisel Verileri Koruma Kurulunun 18/10/2019 Tarihli ve 2019/308 Sayılı İlke Kararı 15. "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı 16. Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı 11 17. Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararı 18. Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kişisel Verileri Koruma Kurulunun 09/06/2021 Tarihli ve 2021/571 Sayılı Kararı 19. Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında Kişisel Verileri Koruma Kurulunun 23/12/2021 Tarihli ve 2021/1304 Sayılı İlke Kararı

sayfaya git

VERBİS GİRİŞİ NASIL YAPILIR?

VERBİS GİRİŞİ NASIL YAPILIR? KVKK’nın web sitesinden VERBİS girişi gerçekleştirebiliyorsunuz. Ancak giriş yapmadan önce yapmanız gereken bazı prosedürler bulunuyor. Öncelikle kurum olarak veri envanterini belirlemeniz gerekiyor. Verilerin hangi kategoriye ait olduğunun da kuruma bildirilmesi gerekiyor. Son olarak sisteminizde bulunan verileri hangi yazılımlarla ya da sistemlerle koruyacağınızı bildiriyorsunuz. Tüm bu işlemleri tamamladıktan sonra VERBİS sistemine karşı sorumlu olan aşağıdaki kişileri sizden seçmeniz isteniyor: Veri sorumlusu temsilcisi, Veri sorumlusu yöneticisi ve Kamu kurumlarınca belirlenmiş koordinasyon görevlisi Yukarıda anlattıklarımız başvuru işlemlerini ilgilendiriyor. Başvuru işlemini tamamladıktan sonra: Veri sorumlusunun ya da temsilcisinin kimlik ve adres bilgileri, Kişisel verilerin hangi alıcı ya da alıcı gruplarına aktarılacağı, Verilerin güvenliğine ilişkin hangi tedbirlerin alınacağı, Verilerin hangi amaçla işleneceğinin belirtilmesi ve işleme süresi, Verilerin hangi kategorilerde sınıflandırılacağı Yukarıdaki sizden istenenleri de yerine getirmeniz gerekiyor. Böylelikle VERBİS kayıt işlemlerini tamamlamış oluyorsunuz.

sayfaya git

VERİ ENVANTERİ NASIL HAZIRLANIR?

VERİ ENVANTERİ NASIL HAZIRLANIR? Kanunun görev verdiği veri sorumluları, kanunun öngördüğü ve emrettiği şekilde veri envanteri hazırlamakla yükümlüdürler. Veri envanteri hazırlama usul ve esasları, ilgili kanunun ilgili maddelerinde detaylı olarak anlatılmıştır. Burada amaç, işletme faaliyetlerinin veri işleme ve depolama açısından düzenli bir şekilde yerine getirilmesi ve kişilerin ya da kurumların veri güvenliğinin tam olarak sağlanmasıdır. Kişisel Veri İşleme Envanteri Bileşenleri Nelerdir? Aşağıda kişisel veri işleme envanterleri bileşenleri ile ilgili açıklamaları maddeler halinde bulacaksınız: Verileri işleyen departman, Veri işleme süreci ve faaliyetleri, Verilerin kategorilendirilmesi, Veriye konu olan kişiler ya da gruplar, Verilerin ne kadar sürede muhafaza edileceği, Veri alıcı grupları, Yurtdışına aktarılacak olan verilere ilişkin bilgiler ve Verilerle ilgili alınacak idari ve teknik tedbirlerin belirlenmesi. Kimler Veri Envanteri Hazırlamakla Yükümlüdür? Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesinin 1. Fıkrası (ç) bendine göre; \’Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında sicile açıklanacak bilgileri Kişisel veri işleme envanterine dayalı olarak hazırlanır.\' Hükmü yer alır. Ayrıca, aynı kanunun (d) bendinde; \’Kanunun 10. Maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, kanunun 13. Maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak sicile sunulan ve sicilde yayınlanan bilgiler esas alınır.\' Hükmü yer alır.

sayfaya git

KVKK Danışmanlık Hizmetlerimiz Hakkında Merak Ettiğiniz Tüm Detaylara, Bu Yazımızda Ulaşabilirsiniz.

ORC DANIŞMANLIK KAPSAMLI KVKK DANIŞMANLIĞI REHBERİ Türkiye’nin en büyük KVKK danışmanlığı firmasıyız. 20 yıldan bu yana sektörün ihtiyaçlarına yönelik farklı alanlarda danışmanlık hizmeti sağlıyoruz. İnternet teknolojisinin yaygınlaşması ile birlikte, veri güvenliği de önemli hale geldi. ORC Danışmanlık olarak veri güvenliği alanında da uzmanlığımızı müşterilerimizin hizmetine sunmaya karar verdik. Bu alanda da başarılı danışmanlık hizmeti sağladık ve Türkiye’nin dört bir yanında veri güvenliği ile ilgili eğitimler vermeye başladık. Sosyal sorumluluk ilkesi kapsamında, siz değerli okuyucularımıza, veri güvenliği hakkında kapsamlı bilgiler vermeye devam ediyoruz. Bu yazımızda ise KVKK danışmanlığı ve kişisel verilerin korunması hakkında detaylı bilgiler bulacaksınız.

sayfaya git

Açık Rıza Belirli Bir Konuya ilişkin Olması

Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu ve veri işleyenlerce açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Buna göre, genel bir irade açıklaması ile \’kişisel verilerimin işlenmesini kabul ediyorum\\’ şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında \’açık rıza\\’ olarak kabul edilemez. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair rıza beyanında bulunulacaksa, rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise, (örneğin yurtdışına veri aktarımı gibi) buna ilişkin ayrıca rıza alması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir.

sayfaya git

KVKK Danışmanınıza Kritik Sorular

KişiSEL Verilerin Korunması Kanun Çerçevesinde bir çok danışmanlık hizmeti verilmektedir.Peki bu danışmanlık hizmetlerinde nelere dikkat etmeliyiz nasıl bir yol izlemeliyiz tüm sorularınız cevabı burada.

sayfaya git

Kişisel Verilerin Korunması Hakkında Ankara

Kişisel verilerin korunması kanunu kapsamında Ankara da bulunan şirketlerin VERBİS mevzuatı kapsamında yapması gereken bir çok süreç vardır bunlar öncelikle neler 1. Aydınlatma 2. Açık Rıza 3. İdari ve Hukuki Tedbirler 4.Teknik Önlemler

sayfaya git

ISO 27001 nedir?

Günümüzde bilgisayar korsanları veya siber saldırılar gibi nedenlerden dolayı birçok bilgi sızdırılabiliyor veya kaybedilebiliyor. Hem kurumun sahip olduğu gizli bilgiler hem de müşterilerin bilgileri güvenli bir şekilde muhafaza edilmelidir. Bu sebeple ISO 27001 standardını kabul eden ve uygulayan kurumlar bu güvenliği elde etmiş ve birçok tehlikeden kendini muhafaza etmiş olur.

sayfaya git

BİOMETRİK VERİ ALMA İLKELERİ

Veri sorumlusu, Kanunun 4 üncü maddesinde yer alan genel ilkelere ve 6 ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir. Temel hak ve özgürlüklerin özüne dokunmaması: Kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası’nda (Anayasa) düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle, biyometrik veri işleme faaliyetlerinin de Anayasa’da öngörülen temel hak ve özgürlükler bakımından temel güvencelere tabi olması gerektiği açıktır ve bu noktada ölçülülük hususu büyük önem arz etmektedir. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Bu ilke ile veri sorumlusunun ulaşmak istediği amaç bakımından başvuracağı yöntemin elverişli olması hususu ifade edilmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında elverişlilik, \’getirilen kuralın ulaşılmak istenen amaç için elverişli olması\\’ şeklinde tanımlanmıştır. Biyometrik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmekte olup, aracın yardımıyla istenilen neticeye yaklaşılabiliyorsa, o aracın elverişli olduğu kabul edilebilecektir6. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında vurgulandığı üzere; \’(…) \’gereklilik\\’ getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını (…) ifade eder.\\’ Gereklilik ilkesi, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir

sayfaya git

KVKK DANIŞMANLIĞI

KVKK DANIŞMANLIĞI Kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacıyla 6698 sayılı Kişisel Verilerin Korunma Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kurum ve kuruluşların Kanun’a uyumlu bir şekilde süreci yürütmesine destek olması amacıyla birçok KVKK danışmalık şirketleri kurulmuştur. Teknik tedbir amaçlı destek almak ve detaylı bilgiye sahip olmak isteyen kurum ve kuruluşlar, KVKK danışmanlığı kapsamında hizmet veren şirketler ile iletişime geçmektedir. KVKK danışmanlığı, Kişisel Verilerin Korunması Kanunu kapsamında şirketlerin teknik, idari ve teknolojik ihtiyaçlarına yönelik çeşitli hizmetler vermektedir. Bu hizmetler, bilgilendirme, veri yönetimi, farkındalık eğitimleri, çeşitli analiz ve çözüm önerileri olabilmektedir. Danışmanlık hizmetlerinden yararlanmak isteyen şirketlere, kanun açısından şirketin eksiklikleri, analiz raporları, yapması gerekilenler gibi iyileştirmeler yapılmaktadır. Aynı zamanda KVKK danışmanlığı; Kişisel Verilerin Korunması Kapsamında kişisel verilerin yönetilmesi, saklanması, korunması, usulüne uygun bir şekilde silinmesi, KVKK ile ilgili hukuki süreçlerin takip edilmesi, veri güvenliğinin sağlanması ve veri güvenliğinin organizasyonu gibi konularda da kurum ve kuruluşlara danışmanlık hizmeti vermektedir. KVKK danışmanlığı veren şirketler, Kişisel Verilerin Korunması Kanunu kapsamında kanuna uyulmadığı takdirde şirketlerin ödemesi gerektiği ceza yaptırımları konusunda şirketleri bilgilendirerek farkındalık sağlamaktadır. Kanuna uyulmadığında verilen para cezalarına karşı tedbir alınması gerekmektedir ve bu tedbirler de eğitimlerle verilmektedir. Bu bakımdan da KVKK danışmalığı yapmak için gerekli ve yeterli bilgi birikimine sahip olunması gerekmektedir. KVKK gereksinimleri karşılanarak kanunun firmalardan istediği konular eksiksiz bir biçimde tamamlanabilmektedir. Bunlar: • Verilerle ilgili risk analizi yapılması • KVKK uyum eksikliklerinin tespit edilmesi • Hukuki tedbirler kapsamında açık rıza formları ve aydınlatma metinlerinin hazırlanması • Firma çalışanlarının kişisel verilerini tehlikeye düşürmemeleri için gerekli eğitimlerin verilmesi • Kişisel veriyle ilgili firma politikalarının hazırlanması • Veri sorumlusu atanması • VERBİS sistemine kayıt olunması • Kişisel verilerin tutulma süreleri ve imha politikaları hakkında plan hazırlanması • Kişisel veri kabul sözleşmesi hazırlanması • Bilgi sistemlerinin güvenliğinin sağlanması • Kişisel verilerle ilgili fiziksel güvenlik kurallarının belirlenmesi • Bilginin yer aldığı sistemlere uzaktan bağlanacak olan cihazların güvenilir olduğundan emin olunması • Kişisel verilerin bulut ortamında saklanması durumunda bulut ortamını sağlayan sunucunun güvenli olup olmadığının belirlenmesi • Verilerin saklandığı cihazların periyodik olarak bakımlarının yapılması, arıza durumunda tamirlerinin sağlanması ya da yenilerinin temin edilmesidir. KVKK danışmanlığı kurum ve kuruluşlara; yükümlülüklerin yerine getirilmesi, kanunun getirdiği cezai ve idari yaptırımlardan kurtarılması, kanuna ve gündelik kişisel veri işleyişine uyum sağlanılması, rekabet gücü, kurumsal itibar, sürecin en az sorunla ilerlemesi ve kısa sürede tamamlanması gibi önemli faydalar sağlamaktadır.

sayfaya git

Kişisel Verilerin Korunması

Teknolojinin gelişmesiyle beraber elde edilen veri miktarında bir hayli artış olmuştur. Veri analizi ve kullanımının birçok katkısı bulunmaktadır. Bu sebeple birçok kurum ve firma bir hizmetin veya ürünün piyasaya sürülebilmesi için uzun bir süredir kişisel veri niteliğindeki bilgileri toplamakta, satmakta veya paylaşmaktaydılar. Ancak kişisel verilerin kullanımı esnasında veri sahiplerinin temel hak ve özgürlükleri de göz önünde bulundurulmalıdır. Buna ilişkin olarak da TBMM’de yasalaştırılan Kişisel Verilerin Korunması Kanunu kişisel verilere ilişkin düzenlemeler getirmiştir. Bu kanun ile beraber kişisel verilerin kullanılması ve işlenmesinde yasal bir çerçeve oluşturulmuş oldu. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve kanun 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazetede yayınlanarak yürürlüğe girmiştir.

sayfaya git

Penetrasyon / Sızma Testi Nedir

Penetrasyon, diğer adıyla sızma testleri en basit tabiriyle virüslere karşı kullanılan aşılar gibidir. Bir çeşit simülasyon olarak da düşünülebilecek olan penetrasyon testi, siber suçların gerçek zamandaki yansımaları olarak görev yapar. Gelin birlikte penetrasyon testi / sızma testi nedir inceleyelim.

sayfaya git

Kişisel Veri Danışmanlığı Kapsamı Nedir?

ORC Danışmanlık, Ankara başta olmak üzere tüm Türkiye’ye KVKK danışmanlık hizmeti sunmaktadır. 2016 yılında yayımlanan ve yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile gerekli düzenlemeleri yaparak özel ve tüzel kişi ve kuruluşlara KVKK danışmanlığı ile Ankara’da da faaliyet göstermektedir. Bu kanunun gerekliliklerinin tam uygulanması veya uygulanmaması halinde oluşacak durumları, yükümlülükleri inceleyen düzenleyen ve olası para cezası ve hapis cezası yaptırımlarından kaçınmak için hizmet vermektedir.

sayfaya git

KVKK Danışmanı Nasıl olunur?

Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girdiğinden beri (2016) getirilen yükümlülükler, işletme ve kurumlara da bazı yükümlülükler getirmiş durumda. Bu düzenlemeler neticesinde, gerekli bilgilere doğru ve güvenilir yollarla ulaşmak isteyen kuruluşlar da KVKK danışmanlığına ihtiyaç duymakta.

sayfaya git

ISO Belgelendirme

ISO Belgesi, büyük veya küçük çaplı tüm işletmelerin alması gereken bir belge haline gelmiştir. Bu belgeyi almak şirketlere, üçüncü taraf denetimleri ile işletmenin kazandığı kaliteyi ortaya koymada yüksek fayda sağlar. ISO Belgelendirme süreçlerin belgelenerek, resmi olarak tanınmasına olanak sağlar.

sayfaya git

Bilgi Güvenliği Danışmanlığı

Bilgi Güvenliği Danışmanlığı; bilginin izinsiz ve yetkisiz bir şekilde kullanımını, erişimini, yok edilmesini, değiştirilmesini, zarar verilmesini, ifşa edilmesini önlemek amacıyla şirketlere sağlanan hizmettir. Bu konuda bilgi güvenliğinin üç temel öğesi vardır. Güvenlik zafiyetlerinin önlenmesi için bu üç temel öğeye zarar gelmemesi önemlidir.

sayfaya git

KVKK Danışmanlığı Nedir?

KVKK Danışmanlığı, gitgide bir ihtiyaç haline gelmektedir. Kişisel Verilerin Korunması Kanunu (KVKK); kişilerin verilerinin işlenmesinde, özel hayatın gizliliğini de kapsayacak şekilde, temel hak ve özgürlüklerinin korunması amacıyla, 6698 sayılı kanun olarak 2016’da yürürlüğe girmiştir. Gerçek ve tüzel kişilerin, kişisel verileri işlerken uymaları gereken kuralları ve yükümlülükleri düzenlemektedir.

sayfaya git

ISO 37001

Yolsuzluk ve rüşvet maalesef ki karşılaştığımız en hoş olmayan sorunlardır. Dünya çapında yolsuzlukla mücadele için yapılan tüm çalışmalara rağmen halen sorun teşkil etmektedir. Bu sebeple ISO yani uluslararası standartlar teşkilatı dünyanın yolsuzlukla mücadele çabasına yardım etmek ve etik bir iş kültürüne sahip olmalarını sağlamak amacıyla ISO 37001 standardını geliştirmiştir. ISO 37001, rüşvetle ve yolsuzlukla mücadele için asgari ihtiyaçları sağlayan bir standarttır.

sayfaya git

Penetrasyon Testi

Penetrasyon yani sızma testi içerden ya da dışardan sisteme zarar vermek için yapılan siber saldırıları önceden görebilmek ve duruma göre tedbirleri alabilmek amacıyla planlanan bir saldırı simülasyonudur. Tıpkı gerçek bir siber suç işleniyormuş gibi saldırganların kullandığı yöntemler kullanılarak bilişim altyapısını ele geçirilmeye, sızılmaya çalışılır. Saldırganların yapabileceği her türlü sızma ya da saldırı senaryosu denenerek bilgisayar sisteminde, web uygulamasında ya da ağda bulunan tüm güvenlik eksikleri ve açıklara önlem alınması sağlanmış olur.

sayfaya git

KVKK

KVKK Nedir? Kişisel verileri koruma kanununun amacı nedir? Kişisel veri nedir? Özel nitelikli kişisel veriler. Açık rıza beyanı nedir?

sayfaya git

ISO 22301 İş Sürekliliği Nedir?

Kurumların etkin bir şekilde yönetmesi gereken süreçlerden bir tanesi de iş sürekliliğidir. İş sürekliliği, bir organizasyonun ürün ve servislerini kesinti olayı sonrasında önceden tanımlanmış kabul edilebilir seviyede sürdürebilme kapasitesidir. Bir başka deyişle, büyük ya da küçük tüm işletmelerin işlerinin aksamasına neden olan kesintilere karşılık vermesini sağlayacak etkinliklerin tümüdür. Eğer beklenmedik iş kesintileri size göre değilse yapacağınız en iyi şey ISO 22301 Toplumsal Güvenlik ve İş Sürekliliği Yönetim Sistemi Standardı\’nı uygulamak olacaktır.

sayfaya git

Özel Nİtelikli Veri Güvenliği

Biyometrik veri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ ve kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Bu çerçevede, özel nitelikli kişisel veri niteliğini haiz verilerin işlenmesinde; Kurulun \’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler\\’e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınması zorunludur. Bununla birlikte, veri sorumlularına yol göstermek amacıyla Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan rehber dokümanlarda tavsiye edilen tedbirlerden uygun olanların da dikkate alınması gerekir. Bu kapsamda veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir.

sayfaya git

KVKK Uygulamasında ve Uyum Sürecinde Ortaya Çıkan Soru ve Sorunlar

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Hukuku günlük hayatımızın birçok noktasında karşımıza çıkmaya başladı. Ülkemizde Kişisel Verileri Koruma Hukukunun birincil kaynağı niteliğinde olan 6698 sayılı Kanun ve bunun yanı sıra yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurulu’nun kararları bulunmakla birlikte, uygulamada hala birçok sorun yaşanmakta ve çok sayıda soruya yanıt aranmaktadır. Bunlar özellikle özel sektör bakımından ticari hayatın hukuka uygun işlemesi ama bir yandan da ticaretin engellenmemesi açısından hayati önemi haizdir. İşte bu yazıda \’KVKK uygulamasında ve uyum sürecinde ortaya çıkan sorunları\' ele almaya ve aslında bu işle ilgilenen hemen hemen herkesin kafasında olan soruları yüksek sesle dile getirmeye çalışacağım. Her şeyden önce belirtmeliyim ki, 6698 sayılı Kanun, 2016 yılında yürürlüğe girmiş olup uygulama açısından henüz tam oturmamıştır. Kanun’un eleştirildiği ve uygulama açısından yetersiz kaldığı birçok husus bulunmaktadır. Bu hususların bir kısmı Kurul kararlarıyla netleştirilmiş olsa da uygulama açısından halen giderilmesi gereken birçok eksiklik bulunmaktadır. Aşağıda tespit ettiğim sorunlara ana başlıklar çerçevesinde değinecek ve bazılarına getirilebildiğim çözüm önerilerini açıklayacağım. Ancak bunlar kesin çözümler olmayıp, bu konudaki tartışmaların başlaması için birer öneri niteliğindedir.

sayfaya git

Avrupa Birliği’nde Kişisel Kişisel Verilerin Korunmasına

Avrupa Birliği’nde Kişisel Kişisel Verilerin Korunmasına Yönelik Düzenlemeler Veri gizliliğinin ortaya çıkışının, kanunlarda da yer edinmesinden çok önce iş dünyasında olduğu bilinmektedir. Örneğin avukat-müvekkil gizliliği ya da hukukumuzdaki ismi ile avukatın sır saklama yükümlülüğünün, avukat ile müvekkili arasında bir sözleşme olarak başladığı ve daha sonra kanunlaştığı düşünülmektedir. Böylelikle müvekkilin yasal yaptırımlardan korkmaksızın avukatı tarafından bilgilendirilmesi, avukatın da müvekkilin çıkarlarını koruyabilmesi mümkün olmuştur. Benzer şekilde, sağlık kayıtlarının doktorun güvencesinde olması da sağlık verilerinin korunmasına ilişkin yasalardan onlarca yıl önce ortaya çıkmıştır.16 Bu çalışma kapsamında GDPR’nin incelenmesine geçilmeden önce GDPR’den önce Birlik hukukunda kişisel verilerin korunmasını amaçlayan düzenlemelerin incelenmesi, hem GDPR’ye ihtiyaç duyulmasının sebeplerinin hem de GDPR’de yer alan düzenlemelerin temellerinin anlaşılması bakımından önem arz etmektedir.

sayfaya git

5809 Sayılı Elektronik Haberleşme Kanunu

5809 Sayılı Elektronik Haberleşme Kanunu 2008 yılında yürürlüğe giren Elektronik Haberleşme Kanunu’nu; elektronik haberleşme hizmeti sunan işletmelere 4. maddesi ile bilgi güvenliği ve haberleşme gizliliğinin korunması sorumluluğunu yüklemiş ve 12. maddesi ile kişisel veri gizliliğinin korunmasına yönelik ek yükümlülükler getirilebileceğini ifade etmiştir.Aynı kanunun kişisel verilerin işlenmesi ve korunması kenar başlıklı 51. Maddesinde kişisel verilerin işlenmesinde uyulacak ilkeler sayılmıştır. Bu ilkeler, KVKK’daki ilkeler ile aynı olup, çalışmanın devamında detaylı biçimde inceleneceklerdir. Yine 51. Madde, verilerin yurt dışına aktarımı, işlemenin hukuka uygunluğu gibi daha sonra KVKK’da da yer bulan birçok hükme yer vermiştir.

sayfaya git

GAFAM ve BÜYÜK VERİ

Şu ana kadar soyut bir konsept ve hukuki bir terim olarak ele aldığımız \’kişisel veri\' kavramını, dünyadaki en büyük muhatapları özelinde örneklendirerek somutlaştıracağız. Literatüre GAFAM [10] (Google, Amazon, Facebook, Apple, Microsoft şirketlerinin adlarının baş harflerinin kısaltması) olarak geçen teknoloji devlerinin topladıkları, sakladıkları, işledikleri ve paylaştıkları \’büyük veri\'ler kapsamında kişisel verilerin korunması durumunu detaylıca inceleyeceğiz. Büyük veri \’genel olarak kullanılan programların saklama, yönetme ve işleme kapasitesinin ötesindeki veri kümelerini anlatmak için kullanılan bir terimdir\' [11] şeklinde ifade edilebilmektedir ve kişisel verilerden de oluşabilmektedir. Dünyanın her yerinden yüz milyonlarca insanın büyük veri boyutundaki kişisel verileri GAFAM vb. teknoloji devleri ya da dijital girişimler tarafından toplanmakta, saklanmakta ve işlenmektedir. Zira bu teknoloji devlerinin çoğu zaman ücretsiz olarak sunduğu ürün ve hizmetlerden mahrum kalmak, dünyanın herhangi bir yerinde eğitim alan, çalışan, eğlenen kısacası yaşayan modern insanın pek de göze alabileceği bir durum değildir. Bir taraftan bu ürün ve hizmetlerden faydalanan kullanıcı diğer taraftan koruma altında olması gereken kişisel verilerini kendi eliyle bu ürün ve hizmetlerin sağlayıcısına vermektedir. Örneğin; satın almak için bir bilgisayar arayan kullanıcı eğer Google’ı kullanırsa bir taraftan karşısına çıkan sonuçlardan alacağı bilgisayarı tercih etme, bilgi edinme ve karşılaştırma imkânına sahip olurken diğer yandan bilgisayar arıyor olma durumunun Google tarafından bilinmesine imkân vermektedir. Ya da Amazon’dan bir kitap satın alan kullanıcı, siparişinin kendisine ulaştırılması için gereken telefon numarası ve adres gibi bilgileri Amazon’a vererek bir taraftan ürünün kendisine kargolanmasına imkân sağlarken diğer yandan telefon ve adres

sayfaya git

3. KVKK ve GDPR

Kişisel verinin ne olduğunun belirlenmesi, saklanmasının ve işlenmesinin çerçevelerinin çizilmesi, haklarının korunması ve anonimlik kavramlarını kurumsal ve hukuki boyutta düzenlemek adına devletler tarafından kurullar oluşturulmuş ve kanunlar çıkartılmıştır. Bu kanunların ülkemizdeki örneği 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Aynı görevi ifa etmek amacıyla Avrupa Birliği Parlamentosu \’General Data Protection Regulation (Genel Veri Koruma Tüzüğü)\' düzenlemesini yapmıştır. Bu kanunlara göre verilerin sahibi olan gerçek kişiler ile bu verileri toplayacak, saklayacak, işleyecek ve paylaşacak yapılar arasında kişisel veri ve anonimlik kıstasları denetlenmekte ve gerektiğinde yaptırımlar uygulanmaktadır. Türkiye’de 24.03.2016 tarihinde TBMM’de onaylandıktan sonra 07.04.2016 tarihinde yayınlanan resmî gazete yer alarak yürürlülüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu [2], içerdiği belirsizlikler [5], uygulamadaki eksiklikler ve kamuoyu açısından sahip olduğu bilinmezliklerden dolayı henüz istenilen temele oturtulamadığı gibi devlet kurumlarınca da tam olarak uygulanamamaktadır. Buna örnek olarak Türk Patent ve Marka Kurumu’nun internet sitesindeki \’Patent Sorgulama\' bölümünde yürütülen sorguların sonuçlarında kişilerin; başvuru konusu olan buluşlarının teknik bilgi, belge ve çizimlerinin yanı sıra (buraya kadar yayınlanan bilgiler patent mevzuatı açısından gereklidir ve KVKK kapsamında değerlendirilemez.) adı, soyadı ve adresi gibi kişisel bilgilerinin de erişilebilir olması verilebilir. Bunun yanında KVKK kapsamında tanımlanan \’veri sorumlusu\' kavramıyla çerçevesi çizilmiş bir görev ile özel sektörde faaliyet gösteren ve kişisel veri toplayan, saklayan ve işleyen kişilerin kayıt altına alındığı bir VERBİS sistemi de mevcuttur. [6] Bu sistem ile kayıt altına alınan veri sorumluları; verilerin toplanma, saklanma ve işlenme konularında kanuna uygunluğa dair birer taahhüt vermek zorundadırlar ve kişisel verilerin korunmasına dair bir sorun yaşanma ihtimaline (bilgi dışı toplama, haksız işleme, kötüye kullanma ve 3. kişiler ile izinsiz paylaşma vb.) karşın muhataplar kayıt altına alınmış olur. Türkiye’de çerçevesi genel manada bu şekilde çizilmiş bir kanuna istinaden emsal teşkil edecek kararlar da alınmış durumdadır. Anadolu Ajansı’nın haberinde \’Kişisel Verileri Koruma Kurulu, 2017\’nin Haziran ayından 2019 sonuna kadar geçen sürede veri ihlalleri nedeniyle toplam 14 milyon 100 bin lira idari para cezası uyguladı.\' şeklinde belirtildiği gibi Kişisel Verileri Koruma Kurulu Facebook’a verilerin korunmasının ihlâli kararı neticesinde 1 milyon 650 bin lira ceza vermiştir. [7] Uygulaması bu gibi örneklerle kısıtlı olan KVKK, tam anlamıyla amacına ulaşmış değildir ve Türkiye Cumhuriyeti vatandaşlarının kişisel verilerini korur hâle gelmesi için gerekli caydırıcılığa erişememiştir. Avrupa Birliği vatandaşlarının kişisel verilerinin korunması için düzenlenmiş ve uygulanmakta olan GDPR ise 24.10.1995 tarihli Avrupa Parlamentosu’nun kişisel verilerin işlenmesine ilişkin olarak bireylerin korunmasına dair 95/46/EC sayılı direktifinin dijital dünyaya uyarlanmış hâli olarak Avrupa Konseyi tarafından 14.04.2016 tarihinde onaylanmış ve 25.05.2018 tarihinde yürürlüğe girmiştir. Bu konuda ülkemize göre çok daha önceden düzenlemeler yapmış olan AB, günümüzde kişisel verilerin korunması konusunda çok daha kapsamlı ve uygulanır bir tutum göstermektedir. GDPR kapsamında Google’a uygulanan 56.6 Milyon Dolarlık, HM’e uygulanan 41 Milyon Dolarlık, Telecom Italia’ya uygulanan 31.5 Milyon Dolarlık, British Airways’e uygulanan 26 Milyon Dolarlık, Marriott’a uygulanan 23.8 Milyon Dolarlık vb. boyutlardaki şirketlere benzeri büyük miktarlarda uygulanan cezalar; caydırıcılığın boyutunu göstermektedir. [8] Bunun etkisiyle bu büyük şirketlerin özellikle de dijital ürün ve hizmetler sağlayan sistemlerinde, bu cezalara maruz kalmamak adına gerekli teknik düzenlemeler ve yasal bildirimler yapılmaktadır. Örnek olarak ABD merkezli bir şirket olan The Rocket Science Group, LLC’nin bir toplu e-posta gönderim servisi olan Mailchimp’in paneli üzerinden elinizdeki bir e-posta listesine toplu ileti göndermek istediğinizde; sistem bu listedeki adreslerin, sahiplerinin bilgisi dahilinde toplanıp toplanmadığını sorgulamaktadır ve yasaya aykırılık tespit ettiğinde gönderim imkânı vermemektedir. Ya da ziyaret ettiğiniz ve bilgilerinizi paylaştığınız internet sitelerinde verilerinizin işlenmesine imkân veren \’Cookies\' ya da \’Çerezler\'in ne şekilde çalıştıklarını içeren \’Gizlilik Sözleşmeleri\' mevcuttur. Hatta bu gibi internet sitelerinde yapılan ihlâlleri kullanıcıların iletmesini sağlayacak geribildirim formları da yer almaktadır. Sonuç olarak KVKK’nın ve GDPR’ın temel olarak vurguladığı \’Açık Rıza\' (Explicit Consent) kavramına riayet eden uygulamalar; kullanıcılarının bilgisi dahilinde topladıkları kişisel verilerini yine onların bilgisi dahilinde saklama, işleme ve paylaşmaları durumunda kanuna uygun, insancıl ve kamuoyu vicdanında sorun yaratmayacak şekilde faaliyetlerini sürdürebilmektedirler. [9]

sayfaya git

KİŞİSEL VERİ ve ANONİMLİK

Verinin önemine değindikten sonra günümüz dünyasında ve özellikle de dijital dünyada çok daha önemli bir yer tutan bir veri türünden bahsedebiliriz: \’Kişisel Veri\'. Kişisel veri nedir? 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre: \’Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir.\' [2] Yani tanımını ortaya koyduğumuz \’veri\' kavramının bir alt kümesi olarak \’kişisel veri\' belirli gerçek kişilerle ilişkilendirilebilen veri türüdür. Herhangi bir alanın herhangi bir konusunda sahip olunan çok, çeşitli, doğru ve tutarlı verilerin düzgün

sayfaya git

VERİ NEDİR?

Veri, \’ham (işlenmemiş) gerçek enformasyon (malumat) parçacığına verilen addır.\' [1] Yani ölçme, sayma, deneme, gözlemleme ve araştırma sonucunda edinilen, herhangi bir konu ile alakalı bilgi sahibi olma ya da yorum yapma imkânı sağlamak amacıyla toplanan sayısal ya da metinsel öğelere veri denir. Bu tanıma uygun olarak; Türk harfleriyle yazılmış adımız, kilogram cinsinden kütlemiz, sahip olduğumuz banka hesaplarının sayısı, telefon numaramız, adresimiz, en sevdiğimiz film ve bütün bunların belli bir kurala ve düzene uygun şekilde yer aldığı liste ve tablonun her bir satır ve sütunu bir veridir. Toplanan veriler analiz edilebilir bir \’enformasyon\'a sonrasında da karar verme imkânı sağlayan bir \’bilgi\'ye dönüştürülebilirler. Bu dönüşüm, yıllık yoğun yağış verisi toplanan bir bölgede öncelikle bir sonraki sene de yüksek yağış olacağı yorumunu yapmamıza sonrasında da bu bölgede yoğun yağış isteyen buğdayın yetişebileceği bilgisini edinmemize imkân sağlar. Tabii ki bir tarımsal üretim kararı verilmesi için bu bilgi yeterli olmayacaktır. Bu noktada, bölgedeki toprağın kimyasal ve biyolojik uygunluğu, güneşlenme süresi, havanın nem oranı, ulaşımın kolaylığı, istihdama erişim gibi veriler de eklenince edinilecek enformasyonun sağlayacağı bilgi ile daha tutarlı sonuçlar elde edilebilir. Yani verinin doğruluğu, çokluğu, çeşitliliği ve bilime uygun şekilde yorumlanması ile birlikte; tarımda, sağlıkta, sporda, teknolojide, turizmde, ticarette ve eğitimde doğru ve doğru sonuca götüren kararlar verilmesi, veriler ile mümkün olacaktır. Sonuç olarak veri, her alanda çok önemli bir metadır denilebilir.

sayfaya git

KVKK DANIŞMANLIĞI BAŞKAN

Başkan KVKK’nın 24. Maddesine göre Kurul ve Kurumun Başkanı, Kurumun en üst amiridir ve kurum hizmetlerinin mevzuata ve kuru stratejine uygun olarak yürütülmesini sağlar. Başkan aynı zamanda, kurul toplantılarını idare eder, kurul kararlarının kamuoyuna duyurularını sağlar, kurumun yönetim ve işleyişine ilişkin bütçe ve personel atamaları dahil olmak üzere idari görevleri yerine getirir.

sayfaya git

KVKK DANIŞMANLIĞI KURUL

Kurul Kurul, Kişisel Verileri Koruma Kurumunun dokuz üyeden oluşan bağımsız karar organıdır. Kurul; • Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamaktan, • Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamaktan, • Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almaktan, • Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemekten, • Veri Sorumluları Sicilinin tutulmasını sağlamaktan, • Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmaktan, • Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmaktan, • Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmaktan, • KVKK’da öngörülen idari yaptırımlara karar vermekten, • Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmekten, • Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemekten, • Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamaktan • Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konulardan hakkında hazırlanan rapor taslaklarını onaylamaktan ve yayımlamaktan, • Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamaktan, • Kanunlarla verilen diğer görevleri yerine getirmekten Sorumludur. Kurul içeresindeki toplantılar aksi kararlaştırılmadıkça gizlidir.

sayfaya git

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Yürürlük Tarihinden Önce Hukuka Uygun Rıza ile Alınmış Veriler Geçerli midir?

6698 sayılı Kanun’un Geçici 1. maddesinin 3. fıkrası gereğince \’Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir\'. Buna göre 6698 sayılı Kanun’un yürürlüğe girdiği tarih olan 7 Nisan 2016’dan önce alınan veriler 6698 sayılı Kanun’un Geçici 1. maddesine göre hukuka uygun bir rıza ile alınmışsa, \’1 yıl içinde aksine bir irade beyanında bulunulmaması halinde\' bu Kanun’a uygun kabul edilir. Öncelikle belirtmek gerekir ki Kanun’daki bu düzenlemede bahsedilen \’hukuka uygun alınmış rızalar\' ifadesi genel bir kavram olup bu maddenin tüm rıza türleri için mi geçerli olacağı yoksa sadece açık rıza hallerini mi kapsayacağı açık değildir. Yani önceden hukuka uygun olarak alınmış zımni rızalar geçerli olacak mıdır? Bu belirsizliğin giderilmesi gerekir. Ayrıca açık rıza her ne şekilde alınmış olursa olsun 6698 sayılı Kanun kapsamında açık rıza alınması gereken hallerde açık rızayla birlikte bir aydınlatma da yapılması gerekir. Geçici 1. maddenin 3. fıkrası kapsamındaki hukuka uygun şekilde alınmış açık rızalarla işlenen veriler için geriye dönük olarak aydınlatma yapma gerekliliği söz konusu olacak mıdır? Bana göre söz konusu veri sayısının fazlalığı ve hepsi için geriye dönük aydınlatma yapılması uygulama açısından pek mümkün gözükmemektedir ancak yine de bu hususun da çıkarılacak tebliğler ya da Kurul kararıyla açıklığa kavuşturulması gerekir. Diğer yandan Geçici 1’inci maddede aksine bir irade beyanında bulunulması için 1 yıllık bir süre verilmiştir ancak bu irade beyanın ne şekilde verileceğine ilişkin bir açıklık bulunmamaktadır. İlgili kişilerin 1 yıl içerisinde veri sorumlularıyla iletişime geçip aksi bir irade beyanında mı bulunması gerekir yoksa veri sorumlusunun 1 yıl içerisinde tüm ilgili kişileri arayıp verdikleri hukuka uygun rızanın geçerli olup olmadığını sorması mı gerekir? Kanaatimce ilgili kişilerin veri sorumlusuyla iletişime geçip aksi yöndeki irade beyanlarını ortaya koymaları daha makul olacaktır. Zira bu görüşün aksinin kabulü halinde, veri sorumlusunun 1 yıl içerisinde verilerini işlediği tüm ilgili kişilerle bu husus kapsamında iletişime geçmesi zaman ve maliyet açısından veri sorumlusuna oldukça orantısız bir yükümlülük yükleyecektir. Bu ihtimalde de bu olumsuz irade beyanlarının ne şekilde bildirilebileceği konusu akla gelmektedir. Bu durumda ilgili kişiler her türlü yöntemle iradelerinin belirtmeli midir? Yoksa veri sorumlusuna başvuru yöntemleri kullanılarak mı bu bildirimler yapılacaktır? Bu konu da ayrıca bir uygulama problemidir. Zaten kanunun yayım tarihi ile veri sorumlusuna başvuru usullerinin belirlenmesi arasında 1 yıldan fazla süre bulunmaktadır. Bu sebeple ilgili kişinin hak kaybına uğramaması için her türlü yöntemlerle iradesini belirtmesi yerinde olabilecektir. Ancak bu durum veri sorumluları açısından da sistemin yönetilmesindeki problemleri beraberinde getirecektir. Sonuç olarak bu konuda her iki tarafında da menfaatleri dikkate alınarak Kurum tarafından bir yönlendirme yapılması gerektiğini düşünmekteyim

sayfaya git

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve 6698 sayılı Kişisel Verilerin Korunması Kanun’u Arasındaki Eksikler ve Çelişkiler

2015 yılında yürürlüğe giren 6563 sayılı Elektronik Ticaret Kanunu ile 6698 sayılı Kanun arasında Kişisel Verilerin Korunması Hukuku açısından birtakım çelişkiler bulunmaktadır. Bu çelişkiler başlıca şunlardır: • 6563 sayılı Elektronik Ticaret Kanunu esas itibariyle kişisel verilerin aktarılması ve işlenmesi hususunda zımni rızayı kabul etmektedir. Ancak 6698 sayılı Kanun ve GDPR’daki düzenlemelerde açıkça belirtildiği üzere Kişisel Verilerin Korunması Hukuku açısından zımni rıza söz konusu olamaz. Bu durumda ülkemizdeki uygulama açısından Elektronik Ticaret Kanunu kapsamında alınan kişisel veriler için zımni rızanın geçerli olup olmayacağına yönelik bir soru işareti oluşmaktadır. Bu konudaki görüşüm Elektronik Ticaret Kanunu kapsamında işlenen kişisel veriler için 6563 sayılı Elektronik Ticaret Kanunu’nun uygulanması yönündedir. Bu görüşümün iki gerekçesi bulunmaktadır. Bunlardan ilki kanunların uygulanması bakımından temel bir kural olan genel kanun – özel kanun çatışmasında özel kanunların uygulanacağına yönelik kuraldır. Bu kurala göre; bir hususa ilişkin olarak genel kanundaki bir düzenleme ile özel kanundaki bir düzenleme çatışıyorsa genel kanun değil özel kanun uygulama alanı bulur. Bizim değerlendirmemiz açısından ise 6698 sayılı Kişisel Verilerin Korunması Kanunu genel kanun niteliğinde olup 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ise özel kanun niteliğindedir. Bu nedenle iki düzenleme arasında çatışma olması durumunda 6563 sayılı Kanun kapsamında işlenen kişisel veriler için 6563 sayılı Kanun uygulanmalıdır. İkincisi ise, 6698 sayılı Kanunun 6. maddesinin 3. fıkrasında ve 5. maddesinin 2. fıkrasının (a) bendinde \’Kanun’da Öngörülmüş Olma\' kişisel verilerin işlenmesine ilişkin hukuka uygunluk nedenleri arasında düzenlenmiştir. Bu açıdan bakıldığında Elektronik Ticaret kapsamında işlenen kişisel veriler için 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da açıkça bir düzenleme bulunmaktadır. Bu nedenle bu kanun kapsamında işlenen veriler için 6698 sayılı Kanunun 6. maddesinin 3. fıkrasına ve 5. maddesinin 2. fıkrasının (a) bendine giren hallerde istisna söz konusu olup bu hallerde açık rıza alınmaması gerekir. Ancak söz konusu yorum özel nitelikli kişisel veriler açısından, 6. maddenin 3. fıkrası dışında kalan haller için işe yaramayacak olup bu tür veriler için her durumda açık rıza alınması gerekir. • Yukarıda 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da Elektronik Ortamda alınan kişisel verilerin işlenebilmesi için onay alınması gerektiğinden bahsetmiştik. Buna ek olarak söz konusu kanundaki bir başka düzenlemeyle veri sorumlusuna, kişi istenilen onaya ret cevabını vermiş olsa bile, yılda iki kere ilgili kişiye onaylayıp onaylamadığını sorma hakkı verilmiştir. 6563 sayılı Kanun’da böyle bir düzenleme getirilmiş olmasına rağmen bu konuyla ilgili 6698 sayılı Kanun’da bir sınırlama bulunmamaktadır. Bu hususla ilgili 6698 sayılı Kanun ile bir sınırlama getirilmelidir. Aksi taktirde ilgili kişilerle onay olmak amacıyla çok sık aralıklarla iletişime geçilmesi söz konusu olabilir. Bu şekilde alınacak olan rızanın hukuka uygunluğu ise ayrı bir tartışma konusudur. İlgili kişilerden her gün telefon, e-mail vb. yollarla iletişime geçilerek rıza alınması kişinin özgür iradesinin ürünü olması gereken açık rızayı hukuka aykırı hale getirecektir. Bu nedenle bu hakkın kullanılmasına bir sınırlama getirilmelidir. • Ayrıca 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında yapılacak bilgilendirme ile 6698 sayılı Kanun kapsamında yapılacak aydınlatma birlikte yapılabilir mi? Bilgilendirme metni aydınlatma metnini de kapsayabilir mi yoksa ayrı ayrı mı yapılmaları gerekmektedir? Uygulamada birçok soru işareti ve tereddüde yol açan bu soruya da bir açıklama getirilmesi gerekir. Bu kapsamda Kişisel Verilerin Korunması Kurumu tarafından 10 Mart 2018 tarihinde yayınlanan \’Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ\'in 5. maddesinin 1. fıkrasının \’f\' bendi uyarınca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir. Söz konusu sorun bu tebliğ kapsamında değerlendirildiğinde Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında yapılacak bilgilendirme işleminin de ayrıca yapılması gerektiğini düşünmekteyim. Ancak bu ikisinin birlikte tek metinde yapılabilmesinin daha kolay ve işlevsel bir yöntem olduğunu da belirtmeliyim Kanaatimce, söz konusu iki kanun arasında yukarıda belirtmiş olduğumuz çelişkiler ve soru işaretlerinin giderilmesi ve bu hususlarla ilgili olarak Kurul ve Ticaret Bakanlığı’nın ortak bir tebliğ yayınlaması yerinde ve faydalı olur.

sayfaya git

Açık Rıza Alınırken Rıza Karşılığı Ek Avantajlar Sağlanabilir mi?

GDPR, Direktif ve 6698 sayılı Kanun’da açıkça belirtildiği üzere açık rıza beyanı ilgili kişinin özgür iradesinin ürünü olmalıdır. Özgür iradeyle açıklanmış olan bir beyan, kişinin kendi kararını özgürce verebilmesi ve bunu dışarıya özgür bir şekilde açıklayabilmesi anlamına gelir. Veri sorumlusunun \’açık rıza verilmesi halinde hizmetin yerine getirileceği dayatması\' yapması açık rızanın özgür iradeyle açıklanmış olma özelliğini zedelediği için bu şekilde alınan rızaların hukuka uygun olmadığı kabul edilmektedir. Ancak tam tersi yönde, söz konusu işlemin yerine getirilmesi hususunda bir dayatma olarak değil de kişinin açık rıza vermesiyle kendisine artı bir menfaat kazandırılacağı yönünde bir uygulamayla alınan açık rızanın geçerli olup olmadığı tartışmalıdır. Kanaatimce rıza karşılığı ek avantaj getirilmesi kişinin özgür iradesini zedelemez. İşlemin gerçekleştirilmesi hususunda dayatmada bulunulması kişinin açık rıza vermezse yapmak istediği işin yapılmayacağını, söz konusu işlemin yapılması için kişisel verilerinin işlenmesine açık rıza vermesini zorunlu kılar niteliktedir. Bu nedenle kişinin özgür iradesinin ortadan kalkması sonucu doğmaktadır. Ancak ek avantaj getirilmesi söz konusu işlemi etkilememekte sadece kişinin rızasını almak üzere teşvik edilmesini sağlamaktadır. Veri sorumlusunun yerine getirdiği faaliyet çerçevesinde veri ilgilisini zorlamaya varmayacak derecede etkilemeye çalışması gibi durumların özgür iradeyi sakatlayan durumlar olarak algılanmaması gerektiğini düşünüyorum. Zira böyle bir kabulde özgür iradeyle açıklanmış olma kavramı çok geniş yorumlanmış ve ticaret faaliyetler de kötü etkilenmiş olacaktır. Üstelik yalnızca ticari faaliyet yürüten veri sorumlusu için değil bundan faydalanacak olan veri ilgilisi üzerinde de olumsuz etkilerinin olması mümkündür Bu soru en çok sadakat kart özelinde gündeme gelmektedir. Ticaret şirketleri, müşterilerini kendilerine çekebilmek ve bağlı kalmalarını sağlamak için müşterilerinin bazı kişisel verilerini almakta ve bunun karşılığında müşterilerine indirim yaparak ya da çeşitli hediyeler vererek avantajlar sağlamaktadır. İşte tam da bu noktada yukarıda ifade etmiş olduğum görüş devreye girmektedir. Sadakat kartı çıkaran şirket, kişisel verilerini vermek ve kartı almak istemeyen müşterilerine ürün ya da hizmet satmaktan kaçınmamakta, yalnızca bunlara avantaj sağlamamaktadır. Dolayısıyla aslında burada iradenin etkilenmesi değil, karşılıklı bir sözleşme söz konusudur ve bu sözleşmenin ifası gereği karşılıklı edimler yerine getirilmektedir. Bence burada dikkat edilmesi gereken husus, müşteriye dilediği zaman bu sözleşmeyi kolayca sona erdirme hakkının verilmesi ve bu irade beyanı gerçekleştiğinde veri sorumlusunun müşterinin bu kapsamda alınan kişisel verilerini gerçekten silmesidir

sayfaya git

VERBİS Sicil Yönetmeliği Kapsamında Uygulamadaki Soru ve Sorunlar

VERBİS Sicil Yönetmeliği’nin 13. maddesinde \’Veri sorumluları, sicilde kayıtlı bilgilerde  değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde  Kurum’a bildirir.\' düzenlemesi yer almaktadır. Buna göre veri sorumlusu sıfatını haiz kişilere veya kurumlara kayıtlarda değişiklik olması halinde söz konusu değişikliği 7 gün içerisinde  Kurum’a bildirme yükümlülüğü getirilmiştir. Ancak buradaki 7 günlük sürenin hangi andan itibaren başlayacağı belirsizdir. VERBİS Sicil Yönetmeliği’nde düzenlenen 7 günlük sürenin, değişiklik olduğunun  öğrenilmesinden itibaren mi yoksa değişikliğin oluştuğu andan itibaren mi işlemeye  başlayacağı söz konusu düzenlemede belirtilmemiştir. Uygulamada gördüğüm örneklere göre  kişisel verilerdeki olası değişikliklerin her zaman hemen ve kolayca tespit edilmesi mümkün  değildir. Değişikliğin tespit edilmesi halinde ise 7 günlük sürenin değişikliğin meydana geldiği  anda başlatılması halinde ise Kurul’a bildirim için 7 günlük sürenin kısa olduğunu düşünmekteyim. Bu nedenle kişisel verilerin veri sorumlusu tarafından organizasyonel bir yapı içerisinde düzenli aralıklarla güncelliğinin, doğruluğunun kontrol edilmesi ve 7 günlük sürenin de bu kontroller sonucunda kişisel verideki değişikliğin tespit edilmesinden itibaren başlaması  gerektiğini düşünmekteyim. Bu husustaki değerlendirme, GDPR’da verilerin doğruluk ve güncelliğinin tespiti açısından  yapılan değerlendirmeyle kıyas yapılarak geliştirebilir. GDPR, \’Kişisel Verilerin Doğru ve  Gerektiğinde Güncel Tutulma İlkesine\' yer verdiği 5/1-d maddesinde, güncel olmayan verileri  işlediğini anlayan veri sorumlusunun ne yapması gerektiği hususunu da açıklamıştır. Buna göre,  veri sorumlusu aslında güncel olmayan hatalı verileri işlediğini herhangi şekilde anlarsa bu gibi  verilerin, işleneceği amaçlarla ilgili olarak bir gecikmeye mahal vermeksizin silinmesini veya  düzeltilmesini sağlamak için gerekli her türlü makul adımı atmalıdır. GDPR’da bu kapsamda yapılan yorumu VERBİS Sicil Yönetmeliği ile getirilen 7 günlük  sürenin başlangıç aşaması açısından da kıyas yoluyla değerlendirebiliriz. Buna göre veri  sorumlusunun 7 günlük süre zarfında değişikliği Kurul’a bildirmesi; bir gecikmeye mahal  vermeksizin silinmesini veya düzeltilmesini sağlamak için gerekli bir adım olarak  değerlendirilip, 7 günlük sürenin başlangıcı olarak da veri sorumlusunun üzerinde değişiklik  meydana gelen verileri işlediğini herhangi şekilde öğrenme anını esas alabiliriz.  Bununla birlikte veri sorumlusunun olumsuz sonuçlarla karşılaşmaması ve ilgili kişinin hak  ihlali iddialarına maruz kalmaması için veri sorumlusunun organizasyonel bir yapıda verileri  kontrol etmesi gerektiğini tekrar belirtmeliyim. Bu kapsamda yeni veri işleme süreçlerinin  ortaya çıkması halinde nasıl hareket edileceğine, kimin hangi sürede nasıl bildirimde  bulunacağına dair politikalar ve prosedürler oluşturulmalı, bu konuda görevlendirmeler  yapılmalı ve bir ihlal durumunun olmaması için bu yapılanlar doğrultusunda ilgili kişilerin  işlemde bulunması sağlanmalıdır www.orcdanismanlik.com KVKK Danışmanlığı, KVKK Danışmanlık , KVKK Danışmanlık Ücretleri

sayfaya git

VERBİS Sicil Yönetmeliği

VERBİS Sicil Yönetmeliği’nin 13. maddesinde \’Veri sorumluları, sicilde kayıtlı bilgilerde  değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde  Kurum’a bildirir.\\’ düzenlemesi yer almaktadır. Buna göre veri sorumlusu sıfatını haiz kişilere veya kurumlara kayıtlarda değişiklik olması halinde söz konusu değişikliği 7 gün içerisinde  Kurum’a bildirme yükümlülüğü getirilmiştir. Ancak buradaki 7 günlük sürenin hangi andan itibaren başlayacağı belirsizdir. VERBİS Sicil Yönetmeliği’nde düzenlenen 7 günlük sürenin, değişiklik olduğunun  öğrenilmesinden itibaren mi yoksa değişikliğin oluştuğu andan itibaren mi işlemeye  başlayacağı söz konusu düzenlemede belirtilmemiştir. Uygulamada gördüğüm örneklere göre  kişisel verilerdeki olası değişikliklerin her zaman hemen ve kolayca tespit edilmesi mümkün  değildir. Değişikliğin tespit edilmesi halinde ise 7 günlük sürenin değişikliğin meydana geldiği  anda başlatılması halinde ise Kurul’a bildirim için 7 günlük sürenin kısa olduğunu düşünmekteyim. Bu nedenle kişisel verilerin veri sorumlusu tarafından organizasyonel bir yapı içerisinde düzenli aralıklarla güncelliğinin, doğruluğunun kontrol edilmesi ve 7 günlük sürenin de bu kontroller sonucunda kişisel verideki değişikliğin tespit edilmesinden itibaren başlaması  gerektiğini düşünmekteyim. Bu husustaki değerlendirme, GDPR’da verilerin doğruluk ve güncelliğinin tespiti açısından  yapılan değerlendirmeyle kıyas yapılarak geliştirebilir. GDPR, \’Kişisel Verilerin Doğru ve  Gerektiğinde Güncel Tutulma İlkesine\\’ yer verdiği 5/1-d maddesinde, güncel olmayan verileri  işlediğini anlayan veri sorumlusunun ne yapması gerektiği hususunu da açıklamıştır. Buna göre,  veri sorumlusu aslında güncel olmayan hatalı verileri işlediğini herhangi şekilde anlarsa bu gibi  verilerin, işleneceği amaçlarla ilgili olarak bir gecikmeye mahal vermeksizin silinmesini veya  düzeltilmesini sağlamak için gerekli her türlü makul adımı atmalıdır. GDPR’da bu kapsamda yapılan yorumu VERBİS Sicil Yönetmeliği ile getirilen 7 günlük  sürenin başlangıç aşaması açısından da kıyas yoluyla değerlendirebiliriz. Buna göre veri  sorumlusunun 7 günlük süre zarfında değişikliği Kurul’a bildirmesi; bir gecikmeye mahal  vermeksizin silinmesini veya düzeltilmesini sağlamak için gerekli bir adım olarak  değerlendirilip, 7 günlük sürenin başlangıcı olarak da veri sorumlusunun üzerinde değişiklik  meydana gelen verileri işlediğini herhangi şekilde öğrenme anını esas alabiliriz.  Bununla birlikte veri sorumlusunun olumsuz sonuçlarla karşılaşmaması ve ilgili kişinin hak  ihlali iddialarına maruz kalmaması için veri sorumlusunun organizasyonel bir yapıda verileri  kontrol etmesi gerektiğini tekrar belirtmeliyim. Bu kapsamda yeni veri işleme süreçlerinin  ortaya çıkması halinde nasıl hareket edileceğine, kimin hangi sürede nasıl bildirimde  bulunacağına dair politikalar ve prosedürler oluşturulmalı, bu konuda görevlendirmeler  yapılmalı ve bir ihlal durumunun olmaması için bu yapılanlar doğrultusunda ilgili kişilerin  işlemde bulunması sağlanmalıdır www.orcdanismanlik.com KVKK Danışmanlığı, KVKK Danışmanlık , KVKK Danışmanlık Ücretleri

sayfaya git

KVKK AYDINLATMA METNİ

KVKK AYDINLATMA METNİ Kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amacıyla 6698 sayılı Kişisel Verilerin Korunma Kanunu yayımlanmıştır. 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de \’Veri Sorumlusunun Aydınlatma Yükümlülüğü\', KVKK’nın 10.maddesinde yayımlanmıştır. Aydınlatma metni, kişisel verilerin depolanması, paylaşılması, kullanılması ve kişilerin hak ve özgürlüklerini koruma altında tutmak için yürürlüğe geçirilmiştir. Kişisel veri işleme faaliyetlerine başlamadan önce veri sahiplerine verilerinin ne amaçla işleneceğini ne amaçla aktarılacağını, kişisel veri işlemenin yöntemini ve hukuki sebebini içeren bilgilendirme metnidir. Kişilerin açık rızası alınarak aydınlatılması zorunlu hale getirilmiştir. Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri Kişisel Verilerin Korunma Kanunu’nun 10.maddesinde yayımlanan \’Veri Sorumlusunun Aydınlatma Yükümlülüğü\' ne göre aşağıdaki konularda bilgilendirmekle yükümlüdür: • Veri sorumlusunun ve varsa temsilcisinin kimliği • Kişisel verilerin hangi amaçla işleneceği • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği • Kişisel veri toplamanın yöntemi ve hukuki sebebi • İlgili kişinin Kanunun 11.maddesinde sayılan diğer hakları İlgili kişinin, veri sorumlusuna başvurarak kendisiyle ilgili hakları madde 11’de şu şekilde ele alınmıştır: a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kul- lanılmadığını öğrenme, d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzel- tilmesini isteme, f) 7.nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilme- si suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir Aydınlatmanın kişisel verileri elde etme sırasında yapılması gerekir. Eğer veriler başka bir kaynaktan elde edildiyse, aydınlatma kişisel verilerin elde edilmesinden itibaren kısa bir süre içerisinde yapılmalıdır. Eğer kişisel veriler ilgili kişi ile iletişime geçme amaçlı başka bir kaynaktan alındıysa aydınlatma ilgili kişi ile ilk iletişim kurulduğu anda yapılmalıdır. Aydınlatma yapılırken: • Kişisel veri işleme amacı belirli, açık ve meşru olmalı, • İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı, • Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli, • Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı, • Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir. Aydınlatma yükümlülüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür.

sayfaya git

BGYS Oluştururken Yapılacak Adımlar

BGYS Oluştururken Yapılacak Adımlar Bilgi Güvenliği Yönetim Sistemini oluşturmak isteyen kurumların, bilgi varlıkları doğrultusunda güvenlik politikaları oluşturmalı, varlıkları belirlenmeli, olası veri sızıntıları gibi durumların senaryolarını önceden belirleyerek ilgili durumlar ile riskler ve alınması gereken önlemler tespit edilmeli yani bilgi güvenliklerinin organizasyonunu sağlamaları gerekir. Kurumun fiziksel güvenliğinin sağlanması ve çalışanların erişim sağlayacakları alanlar belirlenerek; erişim denetim politikası belirlenmeli ve yapılan bu adımların sürekli kontrol edilmesi ve revize edilmesi ile gerçekleşen süreçtir

sayfaya git

General Data Protection Regulation

GDPR’nin kapsamını düzenleyen ikinci maddesine göre; GDPR, kişisel verilerin tamamen ya da kısmen otomatik araçlarla yahut dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçası olması amaçlanan araçlarla işlenmesine uygulanır.

sayfaya git

KVKK İHLALİNDE CEZAİ YAPTIRIMLAR

KVKK İHLALİNDE CEZAİ YAPTIRIMLAR Kişisel verilerin zorunlu ya da rızaya bağlı olması fark etmeksizin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amacıyla 6698 sayılı Kişisel Verilerin Korunma Kanunu yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu ile hem verisi işlenen kişinin ve kurumun hem de veri işleyenin haklarının korunması amaçlanmıştır. Kişisel verilerin düzensiz ve amaç dışı toplanılmasını yayılmasını önlemek amacıyla Kişisel Verilerin Korunma Kanunu’nun 17. ve 18. maddelerinde, suçu işleyenlerin idari ve cezai yaptırımları yer almaktadır. Yaptırımlarda, veri sorumlularının sorumlulukları artırılırken, kişisel verilerin korunmasının kurum ve kuruluşlar için önemli olduğu vurgulanmıştır. KVKK’nın 17.maddesinde kişisel verilere ilişkin suçlar bakımından TCK’nın 5237 sayılı 135 ila 140.madde hükümlerinin uygulanacağı belirtilmiştir: • Verileri hukuka aykırı olarak kaydetmek durumunda bir yıldan üç yıla kadar hapis cezası • Siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek durumunda bir yıldan üç yıla kadar yarı oranında artırılmış hapis cezası • Verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek durumunda iki yıldan dört yıla kadar hapis cezası • Suçlar kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenirse yukarıdaki verilenecek cezalar yarı oranında artırılmakta • Belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi durumunda bir yıldan iki yıla kadar hapis cezası • Konusunun ceza muhakemesi kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması durumunda verilecek ceza bir kat artırılmaktadır. KVKK’nın 18.maddesinde yükümlülüklerine uymayarak veri ihlali yapan, kişisel verileri 7.maddeye aykırı olarak silmeyen veya anonim hale getirmeyen veri sorumlularına verilecek idari para cezaları düzenlenmiştir. Düzenlenen idari para cezaları gerçek veya özel hukuk tüzel kişilerine uygulanmaktadır: • KVKK’nın 10.maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.012- 180.263 Türk lirasına kadar • KVKK’nın 12.maddesinde düzenlenen veri güvenliğine karşı yükümlülüklerini yerine getirmeyenler hakkında 27.037- 1.802,640 Türk lirasına kadar • KVKK’nın 15.maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.062- 1.802,640 Türk lirasına kadar • KVKK’nın 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.050- 1.802,640 Türk lirasına kadar idari para cezası verilir.

sayfaya git

KVKK

KVKK Genel Veri Koruma Yönetmenliği (General Data Protection and Regulation) Avrupa ülkelerinde görülürken, bu düzenlemenin ülkemiz için oluşturulmuş olan Kişisel Verileri Koruma Kanunu (KVKK), ülkemizde 7 Nisan 2016 tarihi itibariyle firmalarda uyum sürecinin başladığını ve o tarihten 2018 yılına kadar uyum sürecinin tamamlanmış olduğunu ve böylece kanunun artık yürürlükte olduğu kabul edilmiştir. Fakat gerek alınan yetersiz önlemler gerek bu sürecin yeteri kadar anlaşılamaması sonucu bugün birçok firmada varlık kaybı, yetersiz teknolojik önlemlerden kaynaklı siber saldırılar, vb. gibi sorunların devam ettiği görülerek aslında kurumlarda bilgi güvenliği meselesinin dikkat edilmesi gereken bir nokta olduğu fikri oluşmaya başlamıştır. Kurumsal bilgi güvenliğinin sağlanması için kurumun bilgi varlıklarını iyi tanıması, olası riskleri belirlemesi ve gerekli önlemleri alması için yönetimsel bir sürecinin olması gerekmektedir. Bu aşamaları gerçekleştiren firmaların varlık kaybının, bilgi güvenliğini sağlamak için gerekli aşamaları gerçekleştirmeyen firmalara oranla daha az olduğu tespit edilmiştir. Bu çalışmada, kurumsal bilgi güvenliği için tehditleri ve alınması gereken önlemler, yönetimsel bir süreç olan Bilgi Güvenliği Yönetim Sistemi (BGYS) ana hatları ile açıklanacak, KVKK ve GDPR kapsamında veri işleme ve veri işleme prensiplerinden bahsedilecek ve bilgi varlıkların güvenliği için yapılan sızma testleri aşamaları ve bu zafiyet keşif araçlarından bahsedilecektir. Son olarak anket çalışmasında elde edilen veriler verilerek; analiz edilecektir.

sayfaya git

KURUMSAL BİLGİ GÜVENLİĞİ

KURUMSAL BİLGİ GÜVENLİĞİ Bilgi güvenliği kavramını ele alındıktan sonra kurumsal bilgi güvenliğini anlamak daha anlamlı olacaktır. Bilgi güvenliği, varlık olarak ele alınan, yanlış kişiler tarafından ele geçilmesi istenilmeyen bilginin, olası tahribatlardan gerekli teknolojik önlemler ve amaçlar doğrultusunda dijital veya fiziksel ortamda korunması olarak tanımlanabilir Kurumsal bilgi güvenliği, kurumların varlık olarak korunmasını istedikleri bilginin ne olduğunun tespit etmesi, olası tehlikelere karşı güvence altına alınmak istenerek güvenlik açıklarının belirlenmesi ve alınan bu tedbirler vasıtasıyla bilgi varlıkların güvenliğine yönelik analizlerin yapılmasıdır.

sayfaya git

Kurumsal Bilgi Güvenliğine Yönelik Tehditler

Kurumsal Bilgi Güvenliğine Yönelik Tehditler Yapılan tanımlar doğrultusunda, kurumlarda bilgi varlıklarının gizliliği, bütünlüğü ve erişilebilirliğini olumsuz olarak etkileyen faktörlere kurumsal bilgi güvenliğine yönelik tehditler olarak bakılabilir. Kurumsal bilgi güvenliğine yönelik tehditler; insan kaynaklı tehditler ve doğa kaynaklı tehditler olarak ele alınır İnsan kaynaklı tehditler; bilgi güvenliğini olumsuz etki edecek sonuçlar meydana getiren kasıtlı veya kaza ile bireylerin oluşturduğu tehlike çeşididir. İnsan kaynaklı tehditler, kurum içindeki kişilerden veya kurum dışındakilerden gerçekleşmesi mümkündür.

sayfaya git

KVKK Uygulamasında ve Uyum Sürecinde Ortaya Çıkan Soru ve Sorunlar

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Hukuku günlük hayatımızın birçok noktasında karşımıza çıkmaya başladı. Ülkemizde Kişisel Verileri Koruma Hukukunun birincil kaynağı niteliğinde olan 6698 sayılı Kanun ve bunun yanı sıra yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurulu’nun kararları bulunmakla birlikte, uygulamada hala birçok sorun yaşanmakta ve çok sayıda soruya yanıt aranmaktadır. Bunlar özellikle özel sektör bakımından ticari hayatın hukuka uygun işlemesi ama bir yandan da ticaretin engellenmemesi açısından hayati önemi haizdir. İşte bu yazıda \’KVKK uygulamasında ve uyum sürecinde ortaya çıkan sorunları\' ele almaya ve aslında bu işle ilgilenen hemen hemen herkesin kafasında olan soruları yüksek sesle dile getirmeye çalışacağım. Her şeyden önce belirtmeliyim ki, 6698 sayılı Kanun, 2016 yılında yürürlüğe girmiş olup uygulama açısından henüz tam oturmamıştır. Kanun’un eleştirildiği ve uygulama açısından yetersiz kaldığı birçok husus bulunmaktadır. Bu hususların bir kısmı Kurul kararlarıyla netleştirilmiş olsa da uygulama açısından halen giderilmesi gereken birçok eksiklik bulunmaktadır. Aşağıda tespit ettiğim sorunlara ana başlıklar çerçevesinde değinecek ve bazılarına getirilebildiğim çözüm önerilerini açıklayacağım. Ancak bunlar kesin çözümler olmayıp, bu konudaki tartışmaların başlaması için birer öneri niteliğindedir

sayfaya git

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS) Kurumsal bilgi güvenliği teknolojik altyapı, çalışanlar, sistemsel süreçler ve bilgi sistemlerini kapsayan, bu kavramları bir yapı altında toplayan bir yandan da denetimsel ve yönetimsel bir merkezi noktaya ihtiyaç duyulmuştur. Kurumlarda bu ihtiyacı karşılayan ve her bir olgunun risk analizini hesaplayıp riskleri minimize eden bir BGYS oluşturulmalıdır. ISO 27001 standartları kapsamında olan BGYS kurumlardaki yönetimsel sistemin bir parçasıdır ISO 27001, BGYS’nin kabul edilebilir olması için gerekli aşama ve adımları belirten ve kurumların bilgi güvenliklerini nasıl sağlayabileceğinin belirten ve bu işlem için model sunan bir dokümandır. BGYS’nin süreklilik gerektirdiği göz önüne alındığında, kurumun politikaları doğrultusunda riskleri kontrol etmek ve BGYS’nin başarımını takip etmek, ihtiyaçlar doğrultusunda revize etmek gerekir. Buradan yla çıkarak BGYS’de Planla- Uygula- Kontrol Et- Önlem (PUKÖ) döngüsü temel alınmıştır

sayfaya git

KVKK DANIŞMANLIĞI

Bugün teknoloji dendiği zaman aklımıza gelen ilk kavramlardan biri de \’insan hakları\'. Oysa teknoloji, gelişiminin ilk aşamalarında insan hakları ilişkin olan ya da etik tartışmalardan uzakta ve gelecek kaygıları ile değil; aksine, parlak bir geleceğe ilişkin büyük umutlar ile ilerledi. Bugün Bilişim Çağı şeklinde ifade ettiğimiz nokta; bir taraftan pek çok farklı üretim, ifade biçimlerini ve paylaşım imkânlarını beraberinde getirse de öte yandan, bizatihi bizleri tanımlayan veya bizlerle ilişkili birçok verinin ortaya saçılmasına sebep oldu ve bu bakımdan, yeni bir denetim ve gözetim alanın oluşması sonucunu doğurdu. Foucault’nun öznelleştirme sürecini başlattığı bilgi ekseni bugün, yalnızca bilim statüsü kazanmaya çalışan araştırma kiplerinden ibaret değil.1 Etrafımızı çepeçevre saran bu bilgi dalgası \’bölücü pratiklerini\',2 tanıdığımız tanımadığımız birçok kişinin değer yargısı ile gerçekleştiriyor ve bizi bir özne olarak kurma sürecinin tam da merkezinde yer alıyor. Bilgi ve öznenin, dolayısıyla da iktidarın bu girift ilişkisinde; denetim bilgi ve bilgi vasıtaları üzerinde gerçekleşiyor, iktidar gündelik yaşam pratiklerine dâhil oluyor ve bu amaçla izleme faaliyetlerini sürdürüyor. Bilgi vasıtalarının çok büyük ölçüde dijitalleştiği günümüzde, bu yeni vasıtalar, büyük gözetimin erişimini, gücünü ve kapasitesini arttırarak mahremiyetimize ilişkin kaygılarımızı derinleştiriyor. Çalışma konumuzun temel noktasında yer alan ceza yargılamasındaki ve kolluk teşkilatındaki veriler, kişilerin temel hak ve özgürlükleri ihlal etme tehlikesini en yüksek derecede taşıyan ve dolayısıyla da korunmaya muhtaç kişisel verilerdir. Özellikle devlet kurumlarının sahip olduğu suç işlenmesinin önlenmesi ve işlenmiş olanların ortaya çıkarılması gayesi; güvenlik kaygılarının öne çıktığı bir toplumda, herkesi denetimin bir objesi haline getirmesi sonucunu doğurabilir. Böyle bir durumda günümüzde artık saklanacak herhangi bir yer kalmamıştır

sayfaya git

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) ve GENEL VERİ KORUMA YÖNETMENLİĞİ (GENERAL DATA PROTECTION AND REGULATION- GDPR)

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) ve GENEL VERİ KORUMA YÖNETMENLİĞİ (GENERAL DATA PROTECTION AND REGULATION- GDPR) Bu bölümde Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Yönetmenliği (GDPR) tanımları verilerek genel olarak veri işleme ilkelerinden bahsedilecektir. Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde yürürlülüğe giren, kişisel verinin işlenmesinde verinin işlendiği kişinin temel hak ve özgürlüklerinin korunması temel alınarak, bu verileri işleyenlerin uymaları gereken usulleri kapsayan bir düzenlemedir (Kişisel Verileri Koruma Kurumu [KVKK], 2018). Veri işleme kurallarını aşağıdaki gibi sıralamak mümkündür: 1. Ülkemizde bulunan hukuk sistemine uygun ve dürüstlük kurallarıyla örtüşmeli, 2. Veriye ihtiyaç duyulduğunda, verinin doğrulanabilir ve güncel olmalı, 3. Verinin işlendiği amaçla ilgili, sınırlı ve ilişkili, gerekli zaman boyunca muhafaza edilmelidir. Genel Veri Koruma Yöntemleri (GDPR) 25 Mayıs 2018 tarihinde yürürlüğe giren ve Avrupa Birliği ülkelerinde bulunan tüm vatandaşlar için verilerinin gizliliği ve korunması amacıyla oluşturulan bir düzenlemedir Veri işleme kurallarını aşağıdaki gibi sıralamak mümkündür: 1. Veri işlemede şeffaf ve hukuka uygun olmalı 2. Verilerin ilişkili olduğu amaçla sınırlanmalı 3. Veri kalitesi, doğruluğu ve hesap verilebilirliği olmalı 4. İlgili verinin tutulmasındaki zaman kısıtlanmalı 5. Verinin gizliliği ve bütünlüğü korunmalıdır (Kişisel Verilerin Korunması Platformu [KVKP] Bu iki kanun birbiri ile kıyaslandığında iki düzenlemenin de kişisel verilerin ilişkili olduğu kişinin korunmasının amaç olarak alındığı, şeffaflığın ve hukuka uygunluğun önemli olduğu sonucuna varılmıştır.

sayfaya git

VERİ NEDİR ?

VERİ NEDİR? Veri, \’ham (işlenmemiş) gerçek enformasyon (malumat) parçacığına verilen addır.\' [1] Yani ölçme, sayma, deneme, gözlemleme ve araştırma sonucunda edinilen, herhangi bir konu ile alakalı bilgi sahibi olma ya da yorum yapma imkânı sağlamak amacıyla toplanan sayısal ya da metinsel öğelere veri denir. Bu tanıma uygun olarak; Türk harfleriyle yazılmış adımız, kilogram cinsinden kütlemiz, sahip olduğumuz banka hesaplarının sayısı, telefon numaramız, adresimiz, en sevdiğimiz film ve bütün bunların belli bir kurala ve düzene uygun şekilde yer aldığı liste ve tablonun her bir satır ve sütunu bir veridir. Toplanan veriler analiz edilebilir bir \’enformasyon\'a sonrasında da karar verme imkânı sağlayan bir \’bilgi\'ye dönüştürülebilirler. Bu dönüşüm, yıllık yoğun yağış verisi toplanan bir bölgede öncelikle bir sonraki sene de yüksek yağış olacağı yorumunu yapmamıza sonrasında da bu bölgede yoğun yağış isteyen buğdayın yetişebileceği bilgisini edinmemize imkân sağlar. Tabii ki bir tarımsal üretim kararı verilmesi için bu bilgi yeterli olmayacaktır. Bu noktada, bölgedeki toprağın kimyasal ve biyolojik uygunluğu, güneşlenme süresi, havanın nem oranı, ulaşımın kolaylığı, istihdama erişim gibi veriler de eklenince edinilecek enformasyonun sağlayacağı bilgi ile daha tutarlı sonuçlar elde edilebilir. Yani verinin doğruluğu, çokluğu, çeşitliliği ve bilime uygun şekilde yorumlanması ile birlikte; tarımda, sağlıkta, sporda, teknolojide, turizmde, ticarette ve eğitimde doğru ve doğru sonuca götüren kararlar verilmesi, veriler ile mümkün olacaktır. Sonuç olarak veri, her alanda çok önemli bir metadır denilebilir.

sayfaya git

KİŞİSEL VERİ ve ANONİMLİK

KİŞİSEL VERİ ve ANONİMLİK Verinin önemine değindikten sonra günümüz dünyasında ve özellikle de dijital dünyada çok daha önemli bir yer tutan bir veri türünden bahsedebiliriz: \’Kişisel Veri\'. Kişisel veri nedir? 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre: \’Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir.\' [2] Yani tanımını ortaya koyduğumuz \’veri\' kavramının bir alt kümesi olarak \’kişisel veri\' belirli gerçek kişilerle ilişkilendirilebilen veri türüdür. Herhangi bir alanın herhangi bir konusunda sahip olunan çok, çeşitli, doğru ve tutarlı verilerin düzgün işlenmesi ve yorumlanması sayesinde alınacak kararların maddi, ticari, bilimsel, askeri ve daha bir çok farklı boyutta avantajlar sağlanabileceğini açıkladık. Aynı düzlemde kişisel verilerin toplanması, saklanması, işlenmesi ve yorumlanması bir ya da birçok sayıda insan hakkında etkileyici kararlar verilmesine, manipüle edici aksiyonlar alınmasına ve planlanmasına imkân verebilmektedir. Bu da beraberinde kişisel verilerin toplandığı, saklandığı ve işlendiği mecralarla alakalı soru işaretleri, çekinceler ve tepkiler getirmektedir. Özellikle de 21. yüzyılın ilk çeyreğinin son yılları itibariyle gündelik ve iş hayatının hiç olmadığı kadar içine dahil olan dijital ortamlarda bu gibi durumlara çok daha fazla rastlanmaktadır. Bir taraftan kullanıcılarının birçok ürün ve hizmetten günlük ya da profesyonel amaçlarla ücretsiz olarak faydalanmasına imkân sağlayan bu işleyiş diğer yandan kullanıcıların akıllarında \’kişisel verilerinin güvende olmaması ya da 3. kişilerle paylaşılması\' konularında birer soru işareti bırakabilmektedir. Nitekim 1983 yılında Alman Anayasa Mahkemesi’nde verilen \’bilgilerin geleceğini kendilerinin belirleme hakkı\' olarak tanımlanabilecek \’Informationelle Selbstbestimmung\' kararına göre de bu kişisel veriler; yetkili kişiler tarafından ve meşru amaçlarla saklanmalı, işlenmeli ve yorumlanmalıdır. [3] Aynı şekilde 2014 yılında Avrupa Adalet Divanı tarafından Google hakkında verilen \’kişilerin bazı durumlarda kendisi ile ilgili bilgilere yönlendirilen linkleri sildirebilme\' kararı da buna örnek olarak verilebilir. Burada verilen kararın kamuoyundaki adlandırması da \’Right to be Forgotten [4] (Unutulma Hakkı)\' şeklinde olmuştur. Tam da bu noktada \’anonimlik\' kavramına değinmeliyiz. Anonimlik, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda \’Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.\' şeklinde geçmektedir. [2] Buradan hareketle özellikle dijital mecralardaki ürün ve hizmet geliştirmelerinde ya da özelleştirilmiş reklamlarla gelir düzeyini arttırma konularında \’anonimlik\' ilkesine riayet ederek, hukuki çerçeveler içerisinde kişisel verilerin güvenliğine dair bir sorun yaratmadan ticari faaliyetler sürdürülebilir denebilir. Buna ek olarak verilerin 3. kişiler tarafından zorla ele geçirilmesine de mahal verilmediği durumda az önce bahsettiğimiz kamuoyunun akıl ve vicdanlarında oluşabilecek soru işaretlerinin ortadan kaldırılabilmesi mümkün olacaktır.

sayfaya git

KVKK ve GDPR

KVKK ve GDPR Kişisel verinin ne olduğunun belirlenmesi, saklanmasının ve işlenmesinin çerçevelerinin çizilmesi, haklarının korunması ve anonimlik kavramlarını kurumsal ve hukuki boyutta düzenlemek adına devletler tarafından kurullar oluşturulmuş ve kanunlar çıkartılmıştır. Bu kanunların ülkemizdeki örneği 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Aynı görevi ifa etmek amacıyla Avrupa Birliği Parlamentosu \’General Data Protection Regulation (Genel Veri Koruma Tüzüğü)\' düzenlemesini yapmıştır. Bu kanunlara göre verilerin sahibi olan gerçek kişiler ile bu verileri toplayacak, saklayacak, işleyecek ve paylaşacak yapılar arasında kişisel veri ve anonimlik kıstasları denetlenmekte ve gerektiğinde yaptırımlar uygulanmaktadır. Türkiye’de 24.03.2016 tarihinde TBMM’de onaylandıktan sonra 07.04.2016 tarihinde yayınlanan resmî gazete yer alarak yürürlülüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, içerdiği belirsizlikler , uygulamadaki eksiklikler ve kamuoyu açısından sahip olduğu bilinmezliklerden dolayı henüz istenilen temele oturtulamadığı gibi devlet kurumlarınca da tam olarak uygulanamamaktadır. Buna örnek olarak Türk Patent ve Marka Kurumu’nun internet sitesindeki \’Patent Sorgulama\' bölümünde yürütülen sorguların sonuçlarında kişilerin; başvuru konusu olan buluşlarının teknik bilgi, belge ve çizimlerinin yanı sıra (buraya kadar yayınlanan bilgiler patent mevzuatı açısından gereklidir ve KVKK kapsamında değerlendirilemez.) adı, soyadı ve adresi gibi kişisel bilgilerinin de erişilebilir olması verilebilir. Bunun yanında KVKK kapsamında tanımlanan \’veri sorumlusu\' kavramıyla çerçevesi çizilmiş bir görev ile özel sektörde faaliyet gösteren ve kişisel veri toplayan, saklayan ve işleyen kişilerin kayıt altına alındığı bir VERBİS sistemi de mevcuttur. [6] Bu sistem ile kayıt altına alınan veri sorumluları; verilerin toplanma, saklanma ve işlenme konularında kanuna uygunluğa dair birer taahhüt vermek zorundadırlar ve kişisel verilerin korunmasına dair bir sorun yaşanma ihtimaline (bilgi dışı toplama, haksız işleme, kötüye kullanma ve 3. kişiler ile izinsiz paylaşma vb.) karşın muhataplar kayıt altına alınmış olur. Türkiye’de çerçevesi genel manada bu şekilde çizilmiş bir kanuna istinaden emsal teşkil edecek kararlar da alınmış durumdadır. Anadolu Ajansı’nın haberinde \’Kişisel Verileri Koruma Kurulu, 2017\’nin Haziran ayından 2019 sonuna kadar geçen sürede veri ihlalleri nedeniyle toplam 14 milyon 100 bin lira idari para cezası uyguladı.\' şeklinde belirtildiği gibi Kişisel Verileri Koruma Kurulu Facebook’a verilerin korunmasının ihlâli kararı neticesinde 1 milyon 650 bin lira ceza vermiştir. Uygulaması bu gibi örneklerle kısıtlı olan KVKK, tam anlamıyla amacına ulaşmış değildir ve Türkiye Cumhuriyeti vatandaşlarının kişisel verilerini korur hâle gelmesi için gerekli caydırıcılığa erişememiştir. Avrupa Birliği vatandaşlarının kişisel verilerinin korunması için düzenlenmiş ve uygulanmakta olan GDPR ise 24.10.1995 tarihli Avrupa Parlamentosu’nun kişisel verilerin işlenmesine ilişkin olarak bireylerin korunmasına dair 95/46/EC sayılı direktifinin dijital dünyaya uyarlanmış hâli olarak Avrupa Konseyi tarafından 14.04.2016 tarihinde onaylanmış ve 25.05.2018 tarihinde yürürlüğe girmiştir. Bu konuda ülkemize göre çok daha önceden düzenlemeler yapmış olan AB, günümüzde kişisel verilerin korunması konusunda çok daha kapsamlı ve uygulanır bir tutum göstermektedir. GDPR kapsamında Google’a uygulanan 56.6 Milyon Dolarlık, HM’e uygulanan 41 Milyon Dolarlık, Telecom Italia’ya uygulanan 31.5 Milyon Dolarlık, British Airways’e uygulanan 26 Milyon Dolarlık, Marriott’a uygulanan 23.8 Milyon Dolarlık vb. boyutlardaki şirketlere benzeri büyük miktarlarda uygulanan cezalar; caydırıcılığın boyutunu göstermektedir. [8] Bunun etkisiyle bu büyük şirketlerin özellikle de dijital ürün ve hizmetler sağlayan sistemlerinde, bu cezalara maruz kalmamak adına gerekli teknik düzenlemeler ve yasal bildirimler yapılmaktadır. Örnek olarak ABD merkezli bir şirket olan The Rocket Science Group, LLC’nin bir toplu e-posta gönderim servisi olan Mailchimp’in paneli üzerinden elinizdeki bir e-posta listesine toplu ileti göndermek istediğinizde; sistem bu listedeki adreslerin, sahiplerinin bilgisi dahilinde toplanıp toplanmadığını sorgulamaktadır ve yasaya aykırılık tespit ettiğinde gönderim imkânı vermemektedir. Ya da ziyaret ettiğiniz ve bilgilerinizi paylaştığınız internet sitelerinde verilerinizin işlenmesine imkân veren \’Cookies\' ya da \’Çerezler\'in ne şekilde çalıştıklarını içeren \’Gizlilik Sözleşmeleri\' mevcuttur. Hatta bu gibi internet sitelerinde yapılan ihlâlleri kullanıcıların iletmesini sağlayacak geribildirim formları da yer almaktadır. Sonuç olarak KVKK’nın ve GDPR’ın temel olarak vurguladığı \’Açık Rıza\' (Explicit Consent) kavramına riayet eden uygulamalar; kullanıcılarının bilgisi dahilinde topladıkları kişisel verilerini yine onların bilgisi dahilinde saklama, işleme ve paylaşmaları durumunda kanuna uygun, insancıl ve kamuoyu vicdanında sorun yaratmayacak şekilde faaliyetlerini sürdürebilmektedirler.

sayfaya git

GAFAM ve BÜYÜK VERİ

Şu ana kadar soyut bir konsept ve hukuki bir terim olarak ele aldığımız \’kişisel veri\\’ kavramını, dünyadaki en büyük muhatapları özelinde örneklendirerek somutlaştıracağız. Literatüre GAFAM (Google, Amazon, Facebook, Apple, Microsoft şirketlerinin adlarının baş harflerinin kısaltması) olarak geçen teknoloji devlerinin topladıkları, sakladıkları, işledikleri ve paylaştıkları \’büyük veri\\’ler kapsamında kişisel verilerin korunması durumunu detaylıca inceleyeceğiz. Büyük veri \’genel olarak kullanılan programların saklama, yönetme ve işleme kapasitesinin ötesindeki veri kümelerini anlatmak için kullanılan bir terimdir\\’ şeklinde ifade edilebilmektedir ve kişisel verilerden de oluşabilmektedir. Dünyanın her yerinden yüz milyonlarca insanın büyük veri boyutundaki kişisel verileri GAFAM vb. teknoloji devleri ya da dijital girişimler tarafından toplanmakta, saklanmakta ve işlenmektedir. Zira bu teknoloji devlerinin çoğu zaman ücretsiz olarak sunduğu ürün ve hizmetlerden mahrum kalmak, dünyanın herhangi bir yerinde eğitim alan, çalışan, eğlenen kısacası yaşayan modern insanın pek de göze alabileceği bir durum değildir. Bir taraftan bu ürün ve hizmetlerden faydalanan kullanıcı diğer taraftan koruma altında olması gereken kişisel verilerini kendi eliyle bu ürün ve hizmetlerin sağlayıcısına vermektedir. Örneğin; satın almak için bir bilgisayar arayan kullanıcı eğer Google’ı kullanırsa bir taraftan karşısına çıkan sonuçlardan alacağı bilgisayarı tercih etme, bilgi edinme ve karşılaştırma imkânına sahip olurken diğer yandan bilgisayar arıyor olma durumunun Google tarafından bilinmesine imkân vermektedir. Ya da Amazon’dan bir kitap satın alan kullanıcı, siparişinin kendisine ulaştırılması için gereken telefon numarası ve adres gibi bilgileri Amazon’a vererek bir taraftan ürünün kendisine kargolanmasına imkân sağlarken diğer yandan telefon ve adres gibi çok mahrem bilgileri Amazon’la paylaşmış olacaktır. Ya da internet üzerinden takip ettiği biriyle iletişime geçmek için Instagram profiline direkt mesaj gönderen bir kullanıcı bir taraftan istediği kişiye ulaşma imkânına erişirken diğer yandan yazdığı mesaj içeriğini Facebook, Inc. sunucularına yüklemiş olmaktadır. Bu gibi örnekler Apple, Microsoft, Hepsiburada, Turkcell, Onedio, Superpeer kısacası tüm teknoloji devleri ve girişimleri için de çoğaltılabilir. Tabii ki bu bilgilerin aktarımı kullanıcının gönüllü aksiyonunun yanında bir \’kullanım sözleşmesi\\’ kapsamında bağlayıcı bir akit ile sağlanmaktadır. Bu akitle bilgileri alan teknoloji devi ya da girişimi bu bilgileri şifreleyerek sakladığı, bilginiz ve izniniz dışında doğrudan okumadığı / dinlemediği / izlemediği gibi taahhütler vermektedir. Özellikle de dünyanın her tarafından yüz milyonlarca insanın bu tür bilgilerinin dünyanın en büyük teknoloji devlerinde \’büyük veri\\’ boyutunda olduğunu bilmek, her ne kadar verilmiş bir taahhüt de olsa insanları zaman zaman endişelendiren bir durumdur. Yakın zamanda oldukça popüler bir konu olarak Facebook’un anlık mesajlaşma uygulaması olan WhatsApp’ın Türkiye’de yürürlükte olan kullanım koşullarını güncellemesine gelen itirazları irdelersek bu endişenin boyutunu da kavrayabiliriz. Bu güncelleme ile kullanıcılarının mesaj içeriklerinden topladıkları bilgileri Facebook ile paylaşarak bu bilgilerle örtüşen türdeki reklamları görmenizi sağlayacaklarını belirten WhatsApp, kullanıcılarına 4 Ocak 2021 tarihinde gönderdiği bir bildirimle bu durumu duyurdu. 8 Şubat 2021’e kadar kabul edilmemesi hâlinde uygulamanın kullanılamayacağını bildiren WhatsApp, büyük bir tepki ile karşılaştı. Kitleler hâlinde Signal, Telegram, Bip gibi diğer anlık mesajlaşma uygulamalarına geçiş yaparak WhatsApp’ı kullanmayı bırakan kullanıcıların sayısı, WhatsApp’a geri adım attırdı ve yeni sözleşmenin Türkiye’de uygulanması durduruldu.] Peki buraya kadar bir dijital özgürlük savaşını andıran bu tepki ve sonrasındaki sonuç bize neler anlatıyor? Öncelikle Türkiye’de popüler ve popülist bir konuya dönüşen \’WhatsApp Hizmet Koşulları Güncellemesi\\’ vakasında sosyal medya paylaşımlarının da etkisiyle yaratılan dezenformasyon neticesinde çok sayıda kişi WhatsApp’ın kendi mesajlarını okuyabileceği endişesiyle uygulamayı kullanmayı bırakmıştır. Halbuki WhatsApp, kullanıcı mesajlarını uçtan uca şifreleyerek ilettiğini, mesajların okunmasının mümkün olmadığını belirtmektedir. Öyleyse okunamayan mesajlardan nasıl bir bilgi edinilebiliyor ve bu bilgilerle kullanıcılara nasıl kişiselleştirilmiş reklamlar sunulabiliyor? Burada veri hakkındaki veri yani üstveri ya da metadata kavramına değinmeliyiz. \’Metadata veri hakkında bilgidir ve bu nedenle bir eserin yazarı, oluşturulduğu tarih, ilişkili çalışmalara bağlantılar vb. temel bilgileri sağlar.\\’ şeklinde ifade edilen metadata sayesinde verinin kendisi incelenmeden veri hakkındaki veri yorumlanmış olur ve istenen ilişkilendirmelerin yapılmasına imkân sağlanmış olur. Bunu şu şekilde açıklayabiliriz. Dijital dünyada yaptığımız her işlem bir iz bırakır. Eğer varsayılan ayarlarda kullanıyorsak; MS Word kelime işlemcisiyle bir metin yazdığımızda bilgisayarımızın adı, sistem saati, işletim sistemimizin sürümü gibi bilgiler de bu metin dosyasına kaydedilebilir. Ya da bir akıllı telefonumuzla bir fotoğraf çektiğimizde GPS ayarlarımız açıksa bulunduğumuz konum bilgisi bu fotoğraf dosyasına kaydedilebilir. Ya da bir e-ticaret sitesine girdiğimizde \’çerezler\\’i kabul edersek sistem dilimiz, ülkemiz, sepetimize eklediğimiz ürünler arka planda çalışan yazılımlar tarafından kaydedilebilir. GAFAM ve benzeri teknoloji devleri ya da dijital girişimler bu örneklerdeki gibi binlerce metadatayı, asıl verilerimizi (Word dosyasının içinde yazanlar, fotoğrafın içindeki kişiler, kredi kartı bilgileri vb.) görmeden toplayabilir, saklayabilir ve işleyebilir. Ve bu bilgiler gerçek bir kişi ile eşleştirilemediği durumlarda bir \’kişisel veri\\’ olmaktan çıktıkları için bunların toplanması, saklanması ve işlenmesinde herhangi bir kanuna aykırılık bulunmaz. Sonuç olarak mesajlarının okunduğundan endişe ederek WhatsApp kullanmayı bırakan kullanıcıların endişesi bu noktada yersizdir denebilir. Çünkü WhatsApp, sanıldığı gibi kendi içerisinde oluşturulmuş ve kendi sunucularında tuttuğu verileri kurcalayarak bir bilgi ediniyor değildir. Zaten dijital olarak üretildiği için dijital dünyanın tabiatına uygun olarak her aksiyonda bir iz bırakan ipuçlarını takip ederek gerçek sizin değil dijital yansımanız olan bir \’avatar\\’ın ne gibi eğilimler göstereceğini tahmin etmeye çalışarak maddî kazanç sağlamaktadır. Bunu da topladığı binlerce metadatayı analiz ederek oluşturduğu profillerin satın alma eğilimlerine uygun reklamlar göstererek, satış potansiyelini arttırdıkları satıcılardan aldıkları komisyonla yapmaktadırlar. Bu da kullanıcıların \’arkadaşımla bir telefondan bahsediyorduk, ertesi gün reklamını gördük\\’ ya da \’sırt ağrılarımdan şikâyet ediyordum bir süre sonra bir fizik tedavi uzmanının internet sitesinden bildirim aldım\\’ gibi izlendiklerini ifade ettikleri cümleler kurmalarına neden olabilmektedir. Oysaki dijital dünyada bıraktığımız izleri takip eden analitik pazarlamacılar, kabaca \’daha önce telefonunun hafızasını temizleme konulu sayfalarda uzunca süre geçiren profiller şu marka yeni telefon reklamlarını görsünler\\’ ya da \’internet sitemizin bel ve sırt ağrıları ile alakalı sayfalarında uzunca vakit geçiren profillere şu fizik tedavi uzmanın yaptığı kampanya ile ilgili bir bildirim gönderilsin\\’ gibi komutlarla ücretsiz olarak sundukları içerikleri monetize etmekte yani para kazandırır duruma getirmektedirler. Bu durum herkes için faydalı görünebilir. Ancak yaşanan bazı skandallar bu türden büyük verilere sahip teknoloji devlerinin kitleleri manipüle edebilme ihtimâlini de ortaya koymaktadır. \’Cambridge Analytica, seçim süreçleri sırasında dijital varlıkları, veri madenciliği, veri analizi ve stratejik iletişim ile birleştiren bir İngiliz siyasi danışmanlık firmasıydı.\\’ Facebook’un geliştirici platformunda yayınladıkları bir uygulama ile topladıkları büyük ölçekli verileri kategorize edip seçmenlerin profillerine göre farklı eyaletlerde farklı reklamlar göstererek seçmen eğilimlerini manipüle etmekle suçlanan şirketin, ABD başkanlık seçimlerine ve İngiltere’nin Brexit sürecine dolaylı şekilde müdahale ettiği düşünülüyor. Bu skandalın ortaya çıkması sonucunda ABD Federal Ticaret Komisyonu, Facebook’a 5 Milyar Dolar’lık bir ceza kesmiştir. Bunun gibi olayların yaşanmaması adına az önce sözünü ettiğimiz WhatsApp hizmet koşulları vakasında Avrupa Bölgesi olarak adlandırılan ülkeler, Türkiye’de büyük tepkiye neden olan güncellemeden yasal engeller

sayfaya git

AÇIK RIZA

AÇIK RIZA 6698 sayılı Kişisel Verilerin Koruma Kanunu’nun yürürlüğe girmesiyle birlikte yaşamdaki önemli kavramlardan birisi de ‘açık rıza’ olmuştur. Açık rıza, ilgili kişinin verilerinin işlenmesi konusunda belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Kanun kapsamında açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da gelen istek üzerine onay vermesini içermekle beraber, veri işleyen kişinin gerçekleştireceği fiil konusunda da yol göstermektedir. Böylelikle, kişi açık rızasıyla veri sorumlusuna kendi hukuksal değerine ilişkin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini belirlenmesini sağlamaktadır. Bu bakımdan, açık rıza veren kişinin \’olumlu irade beyanı\' önem taşımaktadır. Açık rızanın sadece yazılı biçimde değil, aynı zamanda elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür. Açık rızada ispat yükümlülüğü veri sorumlusuna aittir. Kişisel Verilerin Korunma Kanunu’nun 3.maddesinde yer alan açık rıza kapsamında, belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması açık rızanın üç önemli unsurlarıdır. Belirli bir konuya ilişkin olma unsuru, işlenecek kişisel verinin yalnızca belirlenen husus için işleme alınmasını ifade eder. Birden çok işlenecek konular için ayrı açık rızalar alınması gerekmektedir. Aksi takdirde, özgür iradeden ve bilgilendirmeye dayalı olma unsurlarından bahsedilememektedir. Örneğin \’… Şirketinin bütün verilerimi işlemesini kabul diyorum\' cümlesi, açık uçlu ve belirsiz olduğundan hukuken geçerli değildir. Rızanın bilgilendirmeye dayandırma unsurunda veri sahipleri özgür bir şekilde rıza gösterebilmeleri için veri işleme faaliyetinden önce açık rıza talep edilen konu ve verinin işlenme amacı hakkında açıkça bilgilendirilmelidir. Bilgilendirme, veri sahiplerinin anlayacağı şekilde net, çelişkiye yer verilmeyecek açıklıkta yapılmalıdır. Özgür iradeyle açıklanma unsurunda ise açık rıza, hiçbir şarta bağlı olmadan veri sahibinin yaptığı davranışın bilincinde ve kendi kararı olması durumunda hukuken geçerlidir. Örneğin, veri sahibi açık rızasını istediği zaman geri alabiliyorsa ve veri işleme faaliyeti duruyorsa özgür iradeye dayalı açık rızanın olduğunu söylenebilmektedir. Öte yandan, açık rızanın özgür iradeye dayanması gerektiği için ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da hizmetten yararlandırılmasının ön koşulu olmamalıdır. Kısaca belirtmek gerekilirse, açık rıza herhangi bir hizmet şartına bağlanamaz. Tüm veri işleme faaliyetlerinde açık rızanın alınması gerekli değildir. Kanunun madde 5/2’de ise belirli koşullarda kişinin açık rızası aranmaksızın verilerinin işlenebileceği ifade edilmiştir. Kanunda sayılan veri işleme şartlarından birisinin olması durumunda açık rızaya ihtiyaç yoktur. Kanunun 5/2’deki şartları şunlardır: • Kanunlarda açıkça öngörülmesi • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması • İlgili kişinin kendisi tarafından alenileştirilmiş olması • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması Açık rıza, veri sahibinin kendi tercihine bağlı olduğu için veri sahibi istediği zaman fikrini değiştirebilmekte ve rızasını geri çekebilmektedir. Böylelikle açık rıza ‘verisinin sadece kendi isteği ile işleneceği ve rızayı geri aldığında işlemin duracağı’ güvenini temin etmektedir.

sayfaya git

Kurumsal Bilgi Güvenliğinde En Yaygın Tehditler

Kurumsal Bilgi Güvenliğinde En Yaygın Tehditler 1. Veri İhlalleri ve Bilgi Sızıntısı: bilginin kasıtlı veyahut kasıtsız olarak açığa çıkması veri ihlali olarak adlandırılırken; firmalardaki teknik sistem bilgisinin ortaya çıkmasına bilgi sızıntısı denir. 2. Sosyal Mühendislik: saldırganın e-posta, telefon görüşmeleri, vb. gibi yollarla kurbanları kandırarak kişisel bilgileri elde etmesi ile sonuçlanan tehdit çeşididir. 3. İzinsiz İndirmeler: zararlı kod bulunan bir siteye saldırıya uğrayacak olan kişinin girmesi ile bu kodun kurbanın sistemlerine yerleşmesi ve bu sistemlerde bulunan zafiyetlerin keşfedilip; kullanılmasıyla gerçekleşecek olan tehdit çeşididir. 4. Kötücül Yazılımlar: İstenilen verilerin elde edilmesi amacıyla sistemlere yönelik zafiyetleri bulan tehdit çeşididir. Örneğin; istismar kodları, Truva atları, vb., gibi. 5. Spam: kötücül yazılımların yayılmasını sağlayan ve genelde e-posta üzerinden yayılan tehdit çeşididir. 6. Kod Enjeksiyonu: saldırıya uğrayan kişinin sistemlerinde bulunan güvenlik açığı göz önüne alınarak, saldırganın bu sistemleri ilgili açıklarla sömürmesi sonucu oluşan tehdit çeşididir. Örneğin; SQL Enjeksiyonu, SSL Enjeksiyonu, vb., gibi. 7. Hizmet Aksattırma: Saldırıya uğrayan sistemlerin veri tabanlarının gereksiz sorgularla meşgul edilmesi ile gerçekleşen tehdit şeklidir. 8. Dağıtık Hizmet Aksattırma: Hizmet aksattırma tehdidinden farklı olarak; saldırıya uğrayan firmaların sistemlerindeki veri tabanlarına birden fazla saldırgan tarafından aynı anda yüklenmesi gerçekleşen tehdit şeklidir. 9. Kimlik Hırsızlığı: saldırıya uğrayan kişinin kredi kartı, kimlik bilgileri, vb., gibi kişisel bilgilerinin dolandırıcılık amacıyla kullanılması sonucu oluşan tehdit biçimidir. 10. Gelişmiş Sürekli Tehdit: devletler ve gruplar arasında gerçekleşen ve siber alanda ulaşılmak istenilen bir nokta belirlenerek gerçekleşen tehdit çeşididir. 11. Saldırıya uğrayan kişilerin sistemlerine güvensiz olan ortamlardan yapılan indirmeler sonucunda yüklenen ve bot adı verilen bilgisayarların bir araya gelerek bir ağ oluşturması sonucu oluşan tehdit çeşididir. 12. Fiziksel Zarar Verme ve Hırsızlık: doğal afetler sonucu karşılaşılması mümkün olan ve kurum içindeki cihazların çalınması gibi durumlar sonucu oluşabilecek olan tehditlerdir.

sayfaya git