Tekrar selamlar, Kişisel Verilerin Korunması Kanunu'nda geçen "5. Bölüm - Suçlar ve Kabahatler" başlığı altında refere edilmiş TCK Maddelerini aşağıdaki gibi yorumluyorum Hukukçular en doğrusunu bilir..
Madde 137’deki aşağıdaki ifadenin anlamı: BT personeli Kişisel verileri, hukuka aykırı olarak bir başkasına verirse, yayarsa veya ele geçirirse 6 yıla kadar hapis cezası alabilir. b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi hâlinde, verilecek ceza yarı oranında artırılır. Madde 137’de aşağıdaki ifadenin anlamı: BDDK Tebliğinde, Bankacılık kanununda verilerin saklanma süreleri belirlenmiş. Bu süre dolduğunda eğer sistemler üzerindeki kişisel veriler silinmezse hapis cezası söz konusu. Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir. Kişisel Verilerin Korunması Kanunu'nda refere edilmiş olan 5237 Sayılı Türk Ceza Kanunu'nda yapılmış olan değişiklikler - ilgili kanun maddeleri KİŞİSEL VERİLERİN KAYDEDİLMESİ Madde 135 - (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir. (2) Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır. VERİLERİ HUKUKA AYKIRI OLARAK VERME VEYA ELE GEÇİRME Madde 136 - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır. NİTELİKLİ HÂLLER Madde 137 - (1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi hâlinde, verilecek ceza yarı oranında artırılır. VERİLERİ YOK ETMEME Madde 138 - (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir. ŞİKÂYET Madde 139 - (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır. TÜZEL KİŞİLER HAKKINDA GÜVENLİK TEDBİRİ UYGULANMASI Madde 140 - (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur. -------------------------------------------- On Thu, 3/31/16, Serdar Aktas <[email protected]> wrote: Subject: Re: [NetSec] Kişisel Verilerin Korunması Kanunu To: [email protected] Date: Thursday, March 31, 2016, 9:10 AM Merhabalar, Kanunun doğrudan güvenlikle bağlantısının olduğunu düşünüyorum. Burada geçen cinsel hayat dediği aslında cinsel tercihleri :) İngilizce'den çevirirken Türkiye şartlarında muhtemelen bir polemiğe neden olur diye cinsel hayat yazmışlar. Burada sağlık kayıtları açısından baktığımızda cinsel yolla, kanla bulaşan AIDS, frengi gibi ve toplum sağlığı için ciddi riskler oluşturan hastalıkların hasta rızası olmadan kayıt altına alındığını göz önünde bulundurarak düşünebiliriz. Kişiye ait verilerin talep üzerine paylaşımı ile ilgili olarak Avrupa'daki uygulamaları incelemenizi öneririm. Kunun'un BT'ye etkilerini özetlemek gerekirse, Artık BT departmanlarında kişisel verileri korumak ve denetimler sonucundaki bulguları kapatmak için "Törkiş Style" :) güvenlik kontrolleri yerine European Style bir çalışma şekli zor da olsa (bazı kurumlarımız için geçerli bu Törkiş Style çalışma stili :) ) benimsenecek. hapis cezaları var sonuçta.. :) Bu arada avukat değilim ha.. :) -------------------------------------------- On Wed, 3/30/16, ISMAIL OZLER <[email protected]> wrote: Subject: [NetSec] Kişisel Verilerin Korunması Kanunu To: [email protected] Date: Wednesday, March 30, 2016, 11:09 PM #yiv1341552982 body {height:100%;color:#000000;font-size:12pt;font-family:Times New Roman;}Doğrudan güvenlikle bağlantısı yok gibi görünen ancak kritik bir kanun 26 Mart 2016 TBMM'de kabul edildi. Mail grubu için biraz uzun bir metin ancak önemli gördüğüm bazı noktaları sizlerle paylaşmak istedim. "Kişisel Veri İşleyen"lerin zaman bulduğunda kanun metninin tamamını okumasını tavsiye ederim. Kanun metni maalesef son derece yoruma açık ifadeler içeriyor. Kaos ortamı yaratmadan, mevcut verileri işleyen kurum, kuruluşlara zarar vermeden kişisel verileri koruyacak bir metin hazırlamanın son derece zor olduğu tartışılmaz bir gerçek. Ancak; - Çok genel geçer, - Pratikte uygulanması mümkün olmayan, - Verilerin paylaşılmasını meşrulaştıran ifadelerin yer aldığı kanun metni hakkında hukuk uzmanlarının yorumlarını çok merak ediyorum? - "Kişisel verilerin işlenme şartları 5.Madde: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması." Temel hak ve özgürlüklere zarar vermek zaten suçtur, bunu kapsam dışı tutarsak Veri sorumlusunun meşru menfaatleri nerde başlar, nerde biter, verisi işlenen kişi bu meşru menfaatleri nasıl bilebilir? - "Özel nitelikli kişisel verilerin işlenme şartları 6.Madde: (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir." Sağlık hizmetlerinin planlanması ve yönetimi vb. amacıyla cinsel hayat verileri dahil tüm bilgiler rıza alınmaksızın işlenebilir mi demek bu ? "-Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi 7.Madde: MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir." O kadar çok yerde kişisel bilgimiz depolanıyor, işleniyor, bunlara "ilgili kişiler" nasıl talepte bulunacak, pratikte uygulaması mümkün mü? "(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır." Diğer kanunların hükümlerini bu şekilde çok genel bir şekilde saklı olması bu kanunda yer alan hususların bir çoğunu sakatlamaz mı? - "Veri güvenliğine ilişkin yükümlülükler ile ilgili olan MADDE 12- c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." Uygun güvenlik düzeyi nedir? Hangi standartların, alt mevzuatın uygulanması gerektiği ve bu konuya yönelik bir yönetmelik hazırlanmasına dair kanun herhangi bir hüküm getirmemiş. İşte en önemli madde: "Veri Sorumluları Sicili MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir." Veri sorumluları sicil kaydı herkese hayırlı olsun. Burada kanunda geçen birkaç tanımı hatırlatayım; Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. -----Inline Attachment Follows----- ------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL ------------------- ------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
