Hayat artık dijital olarak ilerliyor ve bir işlem yapabilmek için artık verilerimizi paylaşmak durumunda kalıyoruz.
Örneğin 20 yıl içinde 5 Milyar telefon olacağı öngörülürken IOT cihazlarının 50 Milyar olması bekleniyor ve büyük ihtimalle 20 yıl sonra bir cihaz eğer internete bağlı değilse “Bozuk” olarak kabul edilecek. Dolayısıyla bu kadar akıllı cihazın yer aldığı bir dünyada kişisel veriler bir okyanus olacak pek tabii bunun mahremiyeti ne olacak sorularına cevap bulmaya çalışıldı.
28 Ocak 1981 yılında Avrupa’da Veri Güvenliği ile ilgili ilk yasa çıkarıldı.Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren bir “Kişisel Bilgileri Koruma Kanunu” mevcut. Detayları az ama içeriği daha çok da net değil. Bu da sadece geniş kapsamlı bir çerçeve. Burada yeni bir yasak yok ama kurallar var. Yani para ve hapis cezaları söz konusu.
Kişisel veri nedir?
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi içerir. Temelde 2 türlü yapı mevcuttur.
Veri Sorumlusu
- Veri İşleyicisi
Buradaki veri sorumlusu, o kişisel veriye sahip olan kişi veya kurum, Veri işleyicisi bu veriyi kullanan veya takip etmek zorunda olan kişi veya kurum. Yani her iki durumda da veri sicil kuruluna kayıt yapılması gerekecek. Yasanın çıkmasından sonra 6 ay içinde şirketlerin kendi bünyelerinde veriyi nasıl tuttuğu, işlediği veya 3. kişilerle paylaşımı hakkında bir envanter çıkartması gerekiyor.
Özel nitelikli kişisel veri, siyasi düşünce, felsefi inanç, din, mezhep, dernek, vakıf/sendika, ırk/etkin köken, sağlık, ceza mahkumiyeti, güvenlik tedbirleri, cinsel hayat ve biyometrik veriye dayanmaktadır. Veri sorumlusu ve yükümlülüklerine gelince burada özel verilerin işletme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere denilmektedir. Yükümlülükleri arasında ilkelere uyum sağlamadan işletme şartlarındaki uyuma, aydınlatma yükümlülüğünden silme/yok etme anonimleştirilmesine, veri sorumluları siciline kaydolmadan aktarım yasağı/yurt dışına aktarım yasağına, ilgilinin başvurusuna yanıt vermeden teknik ve idari tedbirler alma ile denetim yapmaya kadar birçok alanı bulunmaktadır.
Veri korunması denetim kontrol alanları organizasyon, aydınlatma, bildirim ve kayıt, kişisel veriye bireysel erişim, seçim ve rıza, güvenlik, bilgi yönetimi, veri aktarımı, olay müdahale, üçüncü tarafların yönetimi ve izleme olarak 10'a ayrılmaktadır. Yukarıdaki tabloda açıklamaları mevcuttur.
Yazımızın giriş kısmında yasanın çıkmasından sonra 6 ay içinde şirketlerin kendi bünyelerinde veriyi nasıl tuttuğunu açıklamıştık.
6 ay içerisinde;
- Şirketin kişisel veri envanterinin çıkarılması ve kişi bazında bu envanterlerin daima ulaşılabilir durumda olmasının temini,
- Kişi bazında işlenen bilgilerin <<özel nitelikli>> olup olmadığının analizi,
- İşlenen verilerin işlenme amaçlarının ve yöntemlerinin Kanun'da belirlenen ilke ve kurallara uyumlu olup olmadığının ve istinalara girip girmediğinin analizi,
- Yeni işlenecek verilere ilişkin alınması gereken <<açık rıza>> sisteminin belirlenmesi ve IT mimarisinin bu sistem ile uyumlu hale getirilmesi,
- İşlenen kişisel verilerin yurtiçine veya yurtdışında üçüncü kişilerle paylaşılıp paylaşılmadığının analizi ve paylaşılıyor ise <<açık rıza>> sisteminin tesisi,
- İşlenen verilerin muhafazasını temin için gerekli güvenlik önlemlerinin alınması,
- Tutulan verilerin muhafasını temin için gerekli güvenlik önlemlerinin alınması,
- Kanuna uyumlu işlemeyi temin amacıyla gerekli denetim mekanizmalarının kurulması,
- Veri Sorumlusu ve veri işleyenlerin belirlenmesi,
- Veri Sorumluları Sicili'ne yapılacak başvurunun hazırlanması,
2 yıl içerisinde;
- Kanunun kabulünden önce alınmış verilerin Kanun'da belirlenen ilke ve kurallara uyumlu hale getirilmesinin temini.
Bu envanterde detaylı bir veri akışı oluşturup bunu en düşük seviyeye indirmek ve gerekli düzenlemenin yapılması için bir öngörü yapılması gerekli. Son olarak veri akışı için de ISO 27001’den öte ISO 29100 gibi sertifikaların alınmasında fayda olduğu söylenmektedir. Disual ekibi olarak Deloitte’nin sunduğu "Kişisel Verilerin Korunmasına Bütünsel Yaklaşım" seminere katıldık. Gözlemlerimizi ve sizler için de yararlı gördüğümüz bilgileri paylaşmak istedik.