General Data Protection Regulation ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu

25 Mayıs 2018 tarihinde yürürlüğe girecek olan GDPR’dan yola çıkarak hazırlanan bu metnin; kamu ve özel sektör açısından GDPR’ın ne anlama geldiğine dair bir farkındalık çalışması olarak ele alınıp, ilgili kurumlar ve bu kurumlara hizmet veren çözüm sağlayıcılar açısından ciddi ve detaylı olarak ele alınması gerektiğini hatırlatmak istiyorum.

GDPR öncesi 1998 yılında yürürlüğe giren 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif”, kişisel verilerin korunması alanında Avrupa coğrafyası ile sınırlı kalmayan ve tüm dünyada kabul gören bir çerçeve sunmuş, doğrudan hukuki bağlayıcılığı olmaması nedeni ile birlik üyesi her ülke tarafından kendi yerel mevzuatlarını yaratmalarında referans olarak kullanılmıştı. Çeşitliliği ve kapasitesi artan veri trafiği, toplanan verilerin işlenmesindeki yeni yaklaşımlar ile teknolojideki gelişmeler sonucu benimsenen ilkelerin günümüze uyarlanmasına yönelik kapsamlı bir reforma gidilmesi ihtiyacı sonucunda GDPR ortaya çıkmış oldu.

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı “Kişisel Verilerin Korunması Kanunu", GDPR metninin Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiş, yani 95/46/AT sayılı direktif referans alınarak hazırlanmıştır. Bu nedenle KVKK, GDPR açısından kısmi bir uyumluluğa sahip olup; 30 Aralık 2017 de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik’te henüz yansıması olmasa da önümüzdeki dönem kanun ve yönetmeliklerde bazı değişikliklerle karşılaşmamız kaçınılmaz gözükmekte.

AB’de kişisel veri sahiplerine mal veya hizmet sunan ya da ilgili veri sahiplerinin davranışlarını gözlemleyen kurumların GDPR karşısında sorumlu olduğu kabul edilir. GDPR metninde kullanılan “davranışların izlenmesi” terimiyle, bireylerin tüketim tercih ve alışkanlıklarının tespitine yönelik teknik yöntemlerle Internet üzerindeki faaliyetlerinin gözetlenmesi ifade edilip; AB dışında faaliyet göstermesine karşın AB tüketicisini hedefleyen şirketlerin GDPR’a tabi olacakları anlaşılmaktadır. Bu kapsama giren kurumlar açısından GDPR ile gelen başlıca değişiklik ve yaklaşım farklılıklarını sıralarsak:

· KVKK da veri sorumlularına verilen mesuliyet ile karşılaştırdığımızda GDPR, kişisel verileri işleyen birey veya kurumun veri sorumlularına ek olarak bu veriyi işleyen çalışanları da verinin hukuka uygun işlenmesinden sorumlu tutmakta, herhangi bir uygunsuzluk-ihlal durumunda da KVKK’na oranla çok daha yüksek para cezaları ile karşılaşılacağını belirtmekte.

· Bir çoğumuz için en çarpıcı ve harekete geçirici olacak madde ise veri ihlalinin ağırlığına göre değişen oranlarda veri koruma otoriteleri tarafından uygulanabilecek idari para cezaları. KVKK içinde 1 milyon Türk Lirasına kadar yükselebilen idari para cezaları mevcutken, GDPR ile 20 milyon Euro veya söz konusu kurumun bir önceki mali yıl küresel cirosunun %4’üne varan para cezaları öngörülmekte.

· Kişisel verilerinin işlenmesi sırasında zarara uğrayanlara tazminat talebi hakkı tanınmakta.

· Veri sorumlusuna kendisine verinin paylaşılmasına ilişkin rıza verilmiş olsa dahi, verinin transfer edildiği ülkede yeterli düzeyde koruma sağlandığına ilişkin teminat verilmediği sürece, GDPR verinin AB dışına transferini yasaklamakta. Üçüncü kişilerin yeterlilik koşullarını sağlayıp sağlamadığına ilişkin değerlendirmeyi ise “veri koruma otoritesi” yapabilmektedir.

· Kullanıcılar kendileri hakkında hangi verilerin tutulduğuna ilişkin bilgi talep etmeleri durumunda 20 gün içerisinde muhatap olunan kurumların talep sahibine geri dönüş sağlaması gerekmekte.

· Veri kontrolörü veri ihlalinin meydana geldiğini öğrenir öğrenmez, hesap verebilirlik ilkesine uygun olarak en geç 72 saat içinde veri koruma otoritesi ile söz konusu ihlal dolayısıyla hak ve hürriyeti tehlike altında bulunan veri sahibine gerekli önlemleri alabilmesi amacıyla gecikmeksizin bildirmekle yükümlüdür.

· Kullanıcılar kendilerine ait kişisel verilerin silinmesini talep edebilirler.

· GDPR kapsamında “veri kontrolörü” kişisel veri işlemenin amaçlarını ve yöntemini belirleyen, “veri işleyicisi” ise veri kontrolörü adına kişisel verileri işleyen kişiyi ifade etmektedir. Kişisel veri ihlallerine ilişkin durumlarda hem veri kontrolörü hem de veri işleyicisi sorumludur. Bu madde özellikle veri toplama ve işleme faaliyetlerini adımıza yürüten dış hizmet sağlayıcımız olması durumunda çok daha büyük önem arz etmekte.

· Hassas veya hacimsel olarak büyük verilerin işlendiği kurumlarda karşımıza günlük hayatımıza yeni girmeye başlayan bir rol olan “Veri Koruma Görevlisi- Data Protection Officer (DPO)” bulundurma zorunluluğu çıkmakta. Bu rolün karşılanmasına yönelik dışarıdan hizmet alımlarının önü ise açık gözükmekte.

· GDPR’a uyumun artırılması amacıyla veri kontrolörü, öncelikle bir “Veri Koruma Etki Değerlendirmesi- Data Protection Impact Assessments” yapılmasından sorumlu tutulmakta.

· İş süreçlerine tam hâkim olmayan, iç ve dış uygulama geliştirme, entegrasyon, PaaS veya SaaS modelinde çözümleri kullanan kurumların zorlanacakları bir yaklaşımla bu kısmı sonlandırıyoruz. Başlangıçtan İtibaren Veri Koruması ve Tasarımdan İtibaren Veri Koruması (Data Protection by Default & Data Protection by Design) ilkelerini karşılamaya yönelik iç işleyiş ile alakalı politikaları belirleyerek gerekli tedbirleri almakla veri kontrolörleri sorumludur.

KVKK ve GDPR’daki Temel Kavramlar

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi GDPR’da yer alan “dosyalama sistemi” ile örtüşmekte olup; veri kayıt sistemleri elektronik ve fiziksel ortamlarda oluşturulabilmektedir.

Veri sorumlusu: Kişisel verilerin işlenme amaç ve yöntemlerini belirleyip, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler olarak ifade edilip, GDPR’da veri kontrolörüne karşılık gelmektedir.

Veri işleyen: Veri sorumlusundan aldığı yetki ile kişisel verileri işleyen gerçek veya tüzel kişiler olup tanım GDPR’a uygundur.

GDPR, kişisel veri ihlallerine ilişkin durumlarda hem veri kontrolörü hem de veri işleyicisini sorumlu tutmaktadır. KVKK’da veri sorumlusu ve veri işleyen açısından farklı sorumluluk düzeyleri belirlenmiş, idari cezaların uygulaması bakımından da yalnızca veri sorumlularına yaptırım uygulanacağı belirtilmiş, veri sorumluları sicil kaydında da sadece veri sorumlularına ait bilgilerin yeterli olacağı belirtilmiştir.

Açık Rıza: KVKK’da kişisel verilerin toplanması, işlenmesi ve saklanması bakımından kişinin rızasının alınması gerekli olup; bu verilerin işlenmesine özgür irade ile, yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilmiş olması aranmaktadır. GDPR’a göre rıza; veri sahibinin beyanı, durumu veya onay ifade eden bir davranışı yoluyla kişisel verilerinin işlenmesini özgür iradesiyle, belirli bir konuda, aydınlatılmış ve rızanın açıkça, kesin bir biçimde verilmiş bulunması ifadesi kullanılmaktadır.

Anonim Hale Getirme: KVKK’da kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi “anonimleştirme” kavramıyla açıklanmış olup; GDPR’da ise “pseudonymisation/bulanıklaştırma” tanımı kullanılmakta, şifreleme ve bulanıklaştırmayı da içerebilecek uygun önlemlerin varlığını aranmaktadır. Bulanıklaştırma ile kişisel verilerin ek bilgi kullanılmaksızın belirli bir veriyle ilişkilendirilemeyecek biçimde işlenmesi anlatılmaktadır.

KVKK’da düzenlemelerin uygulanması bakımından kamu ve özel sektör ayrımı yapılmamış olup her iki sektör bakımından da bağlayıcıdır. Veri sorumlularının, kamu/özel sektör ayırımı yapılmaksızın kişisel verilerin güvenliğine ilişkin yükümlülükleri belirlenmiştir. GDPR ile getirilen düzenlemeler kapsamında verileri işleyen herhangi bir şirket, bulut hizmet sağlayıcı ya da birey de verinin hukuka uygun işlenmesinden sorumlu kabul edilmektedir. Bu çerçevede, GDPR kapsamında veri işleme sayılan ve kişisel veriye ilişkin gerçekleştirilen her türlü faaliyetin tüm failleri söz konusu işlemeden kaynaklı bütün uygunsuzluklardan sorumludur. Dolayısı ile AB sınırları dışında bulunup ta AB üyesi ülke vatandaşlarına hizmet veren servis sağlayıcıları açısından da getirilen para cezaları bağlayıcıdır.

KVKK’da yer almayan bir diğer madde ise Unutulma Hakkı. GDPR bazı istisnalar dışında veri sahibine, kendisine ait kişisel verilerinin mümkün olan en kısa sürede silinmesini veri kontrolöründen talep etme hakkı vermiş olup; veri kontrolörü söz konusu kişisel verileri gecikmeksizin silmekle yükümlüdür.

KVKK’da karşılığı bulunmayıp veri sahibine tanınan bir diğer yetki ise, kişisel verisini tutmaya yetkili veri kontrolöründen bir başkasına taşıyabilmesidir. Hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi”nin belirlenmesi ve riskli veri işleme faaliyetleri açısından “zorunlu veri koruma etki değerlendirmesi”nin yapılması öngörülmektedir.

GDPR, veri işleyen tarafların artırılmış sorumluluğu, unutulma hakkının tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması, veri taşınabilirliği ve etki değerlendirmesi ile başlangıçtan ve tasarımdan itibaren güvenlik yaklaşımlarına karşılık gelen maddeler KVKK’da bulunmamaktadır.

KVKK ve GDPR Uyumluluk Önerileri

BT servislerini tüketen iç ve/veya dış müşterilerimiz ile aramızda ortak dilin konuşulmasına yardımcı olup özümsemekte zorluk yaşadığımız, “kurumsal” olduğu iddiasındaki bazı firmalarımızın uyguluyormuş gibi yaptığı “BT Yönetişimi - IT Governance” içinde; kanuna uygun olarak kişisel verilerin işlenmesi, veri koruma yönetimi, veri koruma politikalarının oluşturulması, eğitim ve farkındalık çalışmaları, denetim ve uyumluluk kontrolleri, veri koruma ve gizliliğe yönelik olarak etki analizi yapılması konularını içine alan “Information Governance” bakışının önemini KVKK ve GDPR’ın daha da artırmış olduğunu görüyoruz.

Kanuna uygun veri işleme çalışmalarının gerçekleştirilmesinin sağlanması, veri işleme yapılarına ait akış şemaları ve enformasyon varlıklarının çıkarılmasına yönelik hesap verebilirlik, kanuna uygunluk ve kanıt gösterebilir duruma gelinmesi, uluslararası veri transferleri, veri paylaşımı ve bu verilerin işlenmesi ile veri aktarımında uygulanan protokolleri içine alan kontrollerin gerçekleştirilmesi, veri kalitesi ve doğruluğu, veri hayat döngüsüne dair kağıt üzerinde kalmayan politikaların oluşturularak işletilmesi kurumların çalışması gereken ödevleri arasında.

Veri erişim kontrolü, ağ güvenliği, verinin saklandığı alanlar ve aktarımı esnasındaki güvenliği, güvenlik açıklarının tespit ve yönetimi, izleme ve test süreçleri, Kendi Cihazını Getir-BYOD politikası, taşınabilir medyaların kontrolü, veri tutulan ortamların imhası-yok edilmesi yöntem ve politikaları, Felaket Durumunda Kurtarma ve İş Sürekliliği planları, güvenliğe yönelik vaka ve ihlallerin yönetilmesi, özellikle kurum içinde geliştirilen uygulamaların dış bir göz tarafından incelenmesi ise BT birimlerinin yerine getirmesi gereken en önemli görevler olarak sayabiliriz.

Daha genel bir sıralama yaparsak:

1. Öncelikle KVKK ve GDPR'ın ne olduğu ve işimizi nasıl etkilediğini anlamalıyız.

2. Mevcut durumumuzda KVKK-GDPR’a uyum seviyemizi belirleyerek “şu an ne durumdayız?” sorusunun yanıtını vermeliyiz.

3. Ardından “fark analizi” çıkararak üzerinde çalışılması gereken alanların belirlenmesi, uyumluluğu sağlamak için hareket planının hazırlanması ve bu planın işleme sokulması adımlarını izlemeliyiz.

4. Planın uygulanması sırasında Bilgi Güvenliği Yönetim Sistemimizin (ISMS) ISO 27001 gibi uluslararası kabul görmüş bir standarda karşı etkinliğinin gözden geçirilmesini sağlamalıyız. Bir bulut hizmet sağlayıcısı isek ISO 27018 uyumluluğumuzu da 27001 yanında incelemeyi unutmayalım.

5. KVKK, GDPR ve bilgi güvenliği politikalarımızı yazılı hale getirmeliyiz.

6. Bir veri ihlali durumunda nasıl tepki vereceğimizi belirlemeliyiz.

7. Çalışanların KVKK ve GDPR farkındalık eğitimi almasını sağlamalıyız.

Dersine çalışmaya henüz başlamamış, Yönetişim, Risk ve Uyum (GRC) çerçevesinden baktığımızda henüz risk yönetiminin varlığından bahsedemeyeceğimiz, servis operasyonunda sorunlar yaşayan, iş odaklı çalışmaya tam olarak geçememiş, BT hizmetlerinin iyileştirilmesi, servis-süreçlerin ölçülerek analiz edilmesi ve otomasyonuna başlamamış BT birimleri için ulaşılması zor, ütopik bir hedef gibi görülebilir saydıklarımız. Peki 20 milyon Euro veya cironuzun %4 ü nü ödemenizi gerektirecek bir ihlal durumunda bunun kurumunuzda hesabını kim verecek?

5651 Sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ile kurumların Internet erişim ve iç IP adres bilgilerini kayıt altına alarak saklama zorunluluğuna rağmen EGM – Siber Suçlarla Mücadele ekiplerinin bu kayıtları almaya yönelik girişimlerinde kanun gerekliliklerini yerine getirmediği görülen kurumlar olmasına rağmen idari bir yaptırıma gidilmediği gözlemlerimiz arasında.

Ulaştırma, Denizcilik ve Haberleşme Bakanlığınca 11.11.2013 tarih 28818 sayılı Resmi Gazete ‘de yayımlanan “Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ” ve 20.08.2014 tarih ve 40891 sayılı yazısı ekinde yer alan Kurumsal SOME Kurulum ve Yönetim Rehberi’nde belirtilmiş olan müstakil bilgi işlem birimi bulunan tüm kamu kurum ve kuruluşları Kurumsal SOME’lerini kurmakla sorumlu tutulduğu halde, kağıt üzerinde kurulan ekipler dışında, SOME gerekliliklerini yerine getiren kaç kamu kurumumuz var? İlgili kurumları denetleyen Sayıştay’ın Haziran 2013 de yayımlanan Bilişim Sistemleri Denetim Rehberi’nde hem bu konu hem de KVKK gerekliliklerine değiniliyor ve denetimlerde inceleniyor mu sizce?

Birkaç örneğini verdiğim fiili durumun KVKK açısından ülkemizde nasıl işletileceğini, AB tarafından da GDPR’ın nasıl ele alınacağını zaman içinde birlikte göreceğiz.

Hazırlık yapmayan ve önlemlerini almayan bazı kurumlarımız para cezaları ile karşılaştıklarında ‘kol kırılır yen içinde kalır’ atasözümüze uygun şekilde altında ne yattığı hiçbir yerde açıklanmayan, sadece emekli olduğu veya kurumla ilişiğini kestiğini duyacağımız yöneticiler ile karşılaşırsak şaşırmayalım.

    Referans Kaynaklar:

· Data Privacy Laws: Cutting the Red Tape / Ovum Report
· General Data Protection Regulation
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
· T.C. Kalkınma Bakanlığı, Yayın No: 2968