Doğrudan güvenlikle bağlantısı yok gibi görünen ancak kritik bir kanun 26 Mart 2016 TBMM'de kabul edildi. Mail grubu için biraz uzun bir metin ancak önemli gördüğüm bazı noktaları sizlerle paylaşmak istedim. "Kişisel Veri İşleyen"lerin zaman bulduğunda kanun metninin tamamını okumasını tavsiye ederim. Kanun metni maalesef son derece yoruma açık ifadeler içeriyor. Kaos ortamı yaratmadan, mevcut verileri işleyen kurum, kuruluşlara zarar vermeden kişisel verileri koruyacak bir metin hazırlamanın son derece zor olduğu tartışılmaz bir gerçek. Ancak;
- Çok genel geçer, - Pratikte uygulanması mümkün olmayan, - Verilerin paylaşılmasını meşrulaştıran ifadelerin yer aldığı kanun metni hakkında hukuk uzmanlarının yorumlarını çok merak ediyorum? - "Kişisel verilerin işlenme şartları 5.Madde: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması." Temel hak ve özgürlüklere zarar vermek zaten suçtur, bunu kapsam dışı tutarsak Veri sorumlusunun meşru menfaatleri nerde başlar, nerde biter, verisi işlenen kişi bu meşru menfaatleri nasıl bilebilir? - "Özel nitelikli kişisel verilerin işlenme şartları 6.Madde: (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir." Sağlık hizmetlerinin planlanması ve yönetimi vb. amacıyla cinsel hayat verileri dahil tüm bilgiler rıza alınmaksızın işlenebilir mi demek bu ? "-Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi 7.Madde: MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir." O kadar çok yerde kişisel bilgimiz depolanıyor, işleniyor, bunlara "ilgili kişiler" nasıl talepte bulunacak, pratikte uygulaması mümkün mü? "(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır." Diğer kanunların hükümlerini bu şekilde çok genel bir şekilde saklı olması bu kanunda yer alan hususların bir çoğunu sakatlamaz mı? - "Veri güvenliğine ilişkin yükümlülükler ile ilgili olan MADDE 12- c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." Uygun güvenlik düzeyi nedir? Hangi standartların, alt mevzuatın uygulanması gerektiği ve bu konuya yönelik bir yönetmelik hazırlanmasına dair kanun herhangi bir hüküm getirmemiş. İşte en önemli madde: "Veri Sorumluları Sicili MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir." Veri sorumluları sicil kaydı herkese hayırlı olsun. Burada kanunda geçen birkaç tanımı hatırlatayım; Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
