Doğrudan güvenlikle bağlantısı yok gibi görünen ancak  kritik bir kanun 26 Mart 
2016 TBMM'de kabul edildi. Mail grubu için biraz uzun bir metin ancak önemli 
gördüğüm bazı noktaları sizlerle paylaşmak istedim. "Kişisel Veri İşleyen"lerin 
zaman bulduğunda kanun metninin tamamını okumasını tavsiye ederim.
Kanun
metni maalesef son derece yoruma açık ifadeler içeriyor. Kaos ortamı
yaratmadan, mevcut verileri işleyen kurum, kuruluşlara zarar vermeden kişisel
verileri koruyacak bir metin hazırlamanın son derece zor olduğu tartışılmaz bir
gerçek. Ancak;

-       
Çok
genel geçer,

-       
Pratikte
uygulanması mümkün olmayan,

-       
Verilerin
paylaşılmasını meşrulaştıran ifadelerin yer aldığı kanun metni hakkında hukuk
uzmanlarının yorumlarını çok merak ediyorum?

- "Kişisel verilerin işlenme
şartları 5.Madde:

İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması." 

Temel hak ve özgürlüklere zarar vermek zaten suçtur, bunu kapsam dışı tutarsak 
Veri
sorumlusunun meşru menfaatleri nerde başlar, nerde biter, verisi işlenen kişi
bu meşru menfaatleri nasıl bilebilir?

- "Özel nitelikli kişisel
verilerin işlenme şartları 6.Madde:

 (3) Birinci
fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda
öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık
ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından ilgilinin açık rızası aranmaksızın işlenebilir."

Sağlık
hizmetlerinin planlanması ve yönetimi vb. amacıyla cinsel hayat verileri dahil 
tüm
bilgiler rıza alınmaksızın işlenebilir mi demek bu ? 

"-Kişisel verilerin silinmesi,
yok edilmesi veya anonim hâle getirilmesi 7.Madde: 

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin
talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle
getirilir."

O
kadar çok yerde kişisel bilgimiz depolanıyor, işleniyor, bunlara "ilgili
kişiler" nasıl talepte bulunacak, pratikte uygulaması mümkün mü?

"(2) Kişisel verilerin silinmesi,
yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan
hükümler saklıdır."

Diğer kanunların hükümlerini bu şekilde çok genel bir şekilde
saklı olması bu kanunda yer alan hususların bir çoğunu sakatlamaz mı? 

- "Veri güvenliğine
ilişkin yükümlülükler ile ilgili olan MADDE 12-

c) Kişisel verilerin
muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri almak zorundadır."

Uygun
güvenlik düzeyi nedir? Hangi standartların, alt mevzuatın uygulanması gerektiği
ve bu konuya yönelik bir yönetmelik hazırlanmasına dair kanun herhangi bir
hüküm getirmemiş.

 

İşte en
önemli madde:

 

"Veri Sorumluları
Sicili 

MADDE 16- (1) Kurulun gözetiminde, Başkanlık
tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye
başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen
kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya
üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler
göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt
zorunluluğuna istisna getirilebilir."

Veri sorumluları sicil kaydı herkese hayırlı olsun.


Burada kanunda geçen birkaç tanımı hatırlatayım;

Kişisel veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.


-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------

Cevap