“Kişisel Verileri Koruma” Kanunu Süreci

Avrupa Birliği tam üyelik kapsamında uzun yıllardır mecliste bekletilen tasarılardan biri olan  Kişisel Verileri Koruma Kanun Tasarısı geçtiğimiz aylarda AB Vize Muafiyet şartlarından biri olarak yeniden gündeme geldi ve TBMM tarafından 24 Mart 2016 tarhinde onaylanarak 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

Kabul edilen kanuna göre kişisel veri tanımı “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak tanımlanıyor.

Bahsi geçen kanunda temel esas, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmeyecek;üçüncü kişilere ve yurtdışına aktarılamayacak,ilgili kişiler haklarında bir veri kaydı var mı sorgulayabilecektir.

Kanunda kişisel verilerin ilgilinin rızası aranmaksızın işlenebileceği istisnai haller, Avrupa Birliği mevzuatına kıyasla çok daha geniş tutuluyor. Örneğin kanunlarda açıkça öngörülmesi; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gibi durumlarda, ilgili kişinin rızası aranmaksızın kişisel veriler işlenebilecek.

Bu kanun ile Kişisel Verilerin korunması kurum ve kuruluşların iç tüzük veya sözleşmelerine bırakılmamış kanunda belirtilen ve tüm kurumlarda denklik gösterecek olan usul ve yöntemler kullanılacaktır.

Yine ilgi kanunlarda bilgileri keyfiyetten saklamak, pazarlama şirketlerine satmak vb. stratejileride engelleyecek kısıtlamalar getirilmiştir.

Kişisel verileri saklayan kurum ve kuruluşlar bu bilgilerin güvenliğindende sorumlu tutulmuştur.

Kişisel Verileri Koruma Kanunu caydırıcı unsurları 1-5 yıl hapis cezaları ve 15.000-1.000.000 Türk Lirası para cezaları ile sağlanmıştır.

Kuruluşlar için Biznet Ailesi’nin verdiği öneriler:

  • Veri sınıflandırması ve haritalandırmasını yaparak kişisel bilgilerinizi belirleyin.
  • Tokenization sistem ve yöntemlerinin veri sınıflandırmayı desteklediğini ve güvenliğinizi arttırdığını unutmayın.
  • Erişim yönetimi kontrollerini tekrar gözden geçirerek gerekli güvenlik önlemlerini uygulayın.
  • Bilgi paylaşımında bulunduğunuz dış kaynak tedarikçilerinize ve güvenlik kontrollerine dikkat edin, unutmayın güvenlik sorumluluğu öncelikle veri sorumlusundadır.
  • Şirketinizden ayrılan veri sorumlularına dikkat, hala yükümlülükleri devam ediyor. İşten ayrılış süreçlerinizdeki güvenlik adımlarına dikkat edin.
  • Veri güvenliği için denetim ve güvenlik testleri yaptırın.
  • Veri sızmalarına karşı veri sınıflandırmasıyla uyumlu olarak ek güvenlik kontrollerini değerlendirin.

Unutmayın ki basit olarak yapılması gereken şey, kişisel bilgileri mümkün mertebe kısıtlı yerde barındırmak, korumak ve gerekmedikçe paylaşmamaktır.

Kanundan Önce Neler Yaşadık?

Başta belirttiğimiz gibi AB vize muafiyet şartlarından biri olan Kişisel Veri güvenliğinin söz konusu olduğu bir ortamda, 15 Şubat 2016’da Anonymous (@YourAnonNews) Türk Polis Teşkilatı‘nın verileri olarak adlandırdığı bir tweet ile dünya kamuoyuna ülkemiz vatandaşlarının Kimlik ve adres bilgilerini kriptolanmış bir şekilde sundu. Kanun mecliste kabul olduktan sonrada dataların açık bir şekilde sql formatında bulunduğu bir paylaşım daha yapıldı. Konu hakkında detaylı bilgi için > EGM’nin Hacklenme İddiası Hakkında

Ülkemiz tarihinin belirlenen en büyük veri sızıntılsıbir olan bu olayın kaynağı vakit geçtikce gün yüzüne çıkarak 2009 yılında YSK’nın Partilere verdiği seçmen veritabanları olduğu ortaya çıktı.
AB’nin en fazla önem verdiği maddelerden bir olan kişisel verilerin güvenliğinin sağlanması konusunda arka planda bu süreci etkilemek isteyen malum bir el en stratejik zamanını belirlemiş ve
Avrupa Birliği’ne Türkiye’nin bu konuda ne kadar güvensiz bir ortamın bulunduğunu bildirmiş oldu.

Bir köşe yazısında bu konuya değinen bir yazarın ifadelerine katılarak aynen yazıyorum;


İlgili bakanlar açıkladılar..

Bu sızıntının kaynağı, YSK’nın bilgi paylaşımı yaptığı siyasi partiler olabilir..

Peki ya YSK da olabilir mi?

Bu kısma değinen olmadı..

Elimizde 2009’a ait seçmen bilgileri olduğu için bu yorumu yapıyoruz..

Peki ya yarın da öğrenci dataları dökülürse ortaya, o vakit de ÖSYM’nin bilgi paylaştığı okullar mı diyeceğiz?..

Ya SGK kayıtları dökülürse ortaya?..

SGK’nın bilgi paylaştığı hastaneler?..

Değerli dostlar bu işin sonu yok..

Yine geçtiğimiz yıllarda tartışma konusu olan bir başka durumda SGK’nın kişisel verileri bir şirkete satması olmuştu.

SGK Sayıştay Denetim Raporu ile de tescillenen durumda Genel Sağlık Sigortası (GSS) verilerinin yasal dayanağı olmadan, ücret karşılığı üçüncü kişilerle 65 Milyon TL karşılığında paylaşıldığı, firmanın isminin “Datamed” olduğu kamuoyuna bildirilmişti.

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.