Merhaba, Söz konusu kanun bilgi güvenlik anlayışını değiştirecek bir kanun olup yanlış hatırlamıyorsam İngiltere'de bu konuda ilk yasa 1998 yılında yayınlanmıştır. Dolayısıyla aslında Dünya genelinde yaklaşık 20 yılı olan bir kanun yeni yayınlanmış oluyor. Tasarıya göre (kanun bildiğim kadarı ile henüz Resmi Gazete'de yayınlanmadı) kanunun genel bir çerçeve olması ve detayların kurulacak bir kurul aracılığı tanımlanması hükmü getirilmiştir. Bu nedenle açıklık olan alanlar kurulun tanımlayacağı yönetmelik vb. ile tamamlanacak. Bir anlamda BDDK, EPDK ve BTK gibi bir yapı kurulacaktır. Burada bence aşağıda yer verilen 12.c ve bilgilendirme yükümlüğünü getiren madde 9.1 diğer maddelere göre kritik olup beraberinde kanun kapsamındaki şirketlerin en çok zorlanacağı alandır. Yasanın uygulanabilirliği ile ilgili benim de çekincelerim bulunmaktadır. Ancak burada asıl sorun Türkiye'deki kurumların çoğunun yasal gereksinimler ile ilgili altyapılarının müsait olmaması ve yasanın uyum süresi ile ilgili şimdilik açıklanmış bir hüküm bulunmaması. Açılabilecek örnek ceza davaları internette araştırma yapılırsa olayın etkisi daha öne çıkıyor. http://www.techworld.com/security/uks-11-most-infamous-data-breaches-2015-3604586/
From: NetSec [mailto:[email protected]] On Behalf Of ISMAIL OZLER Sent: Wednesday, March 30, 2016 11:10 PM To: [email protected] Subject: [NetSec] Kişisel Verilerin Korunması Kanunu Doğrudan güvenlikle bağlantısı yok gibi görünen ancak kritik bir kanun 26 Mart 2016 TBMM'de kabul edildi. Mail grubu için biraz uzun bir metin ancak önemli gördüğüm bazı noktaları sizlerle paylaşmak istedim. "Kişisel Veri İşleyen"lerin zaman bulduğunda kanun metninin tamamını okumasını tavsiye ederim. Kanun metni maalesef son derece yoruma açık ifadeler içeriyor. Kaos ortamı yaratmadan, mevcut verileri işleyen kurum, kuruluşlara zarar vermeden kişisel verileri koruyacak bir metin hazırlamanın son derece zor olduğu tartışılmaz bir gerçek. Ancak; - Çok genel geçer, - Pratikte uygulanması mümkün olmayan, - Verilerin paylaşılmasını meşrulaştıran ifadelerin yer aldığı kanun metni hakkında hukuk uzmanlarının yorumlarını çok merak ediyorum? - "Kişisel verilerin işlenme şartları 5.Madde: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması." Temel hak ve özgürlüklere zarar vermek zaten suçtur, bunu kapsam dışı tutarsak Veri sorumlusunun meşru menfaatleri nerde başlar, nerde biter, verisi işlenen kişi bu meşru menfaatleri nasıl bilebilir? - "Özel nitelikli kişisel verilerin işlenme şartları 6.Madde: (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir." Sağlık hizmetlerinin planlanması ve yönetimi vb. amacıyla cinsel hayat verileri dahil tüm bilgiler rıza alınmaksızın işlenebilir mi demek bu ? "-Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi 7.Madde: MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir." O kadar çok yerde kişisel bilgimiz depolanıyor, işleniyor, bunlara "ilgili kişiler" nasıl talepte bulunacak, pratikte uygulaması mümkün mü? "(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır." Diğer kanunların hükümlerini bu şekilde çok genel bir şekilde saklı olması bu kanunda yer alan hususların bir çoğunu sakatlamaz mı? - "Veri güvenliğine ilişkin yükümlülükler ile ilgili olan MADDE 12- c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." Uygun güvenlik düzeyi nedir? Hangi standartların, alt mevzuatın uygulanması gerektiği ve bu konuya yönelik bir yönetmelik hazırlanmasına dair kanun herhangi bir hüküm getirmemiş. İşte en önemli madde: "Veri Sorumluları Sicili MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir." Veri sorumluları sicil kaydı herkese hayırlı olsun. Burada kanunda geçen birkaç tanımı hatırlatayım; Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. ________________________________ Bu e-posta'nin içerdigi bilgiler gizlidir. Onayimiz olmaksizin üçüncü kisilere açiklanamaz. Fibabanka A.S. , bu mesajin içerdigi bilgilerin dogrulugu veya eksiksiz oldugu konusunda garanti vermemektedir. Bu nedenle bilgilerin ne sekilde olursa olsun içeriginden, iletilmesinden, alinmasindan, saklanmasindan sorumlu degildir. Bu mesajin içerigi yazarina ait olup, Fibabanka A.S.'nin görüslerini içermeyebilir. The information contained in this e-mail is confidential. It must not be disclosed to any person without our authority. Fibabanka A.S. makes no warranty as to the accuracy or completeness of any information contained in this message and hereby excludes any liability of any kind for the information contained therein or for the information transmission, reception, storage or use of such in any way whatsoever. Any opinions expressed in this message are those of the author and may not necessarily reflect the opinions of Fibabanka A.S. ________________________________
------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
