Merhaba, KVK kanun,yönetmelik ve Kurul kararları neticesinde farkındalığımız ve işlemleri doğru yapma arayışımız gelişti. Aslında gördüğüm kadarıyla kurumsal firmalar muhakkak hukukçularla çalışıyor tabiki bir de işin önemli bir tarafı bilişim ki onu da ihmal etmemek lazım. Şimdi ikisi de uzmanlık isteyen alanlar. Bu konularda kurumsal firmalar dahi hata yapabilir. Ama uzmanlarla çalışmayanların riski görmeleri çözümleri ona göre geliştirmeleri gerekiyor. Yani burada Kurul'un ne dediğini anlasak ve dediklerini adım adım yapsak dahi bu sürdürebilir bir çözüm olmayabilir. Onun için uzmanlar tartışıyor. Söz gelimi açık rıza, taahhüt işi kolaylaştırıcı çözümler gibi görünüyor, alamayınca alternatifiniz var mı? Bazıları yerinde(on-premise) çözümleri dile getirmiş belki size uzun vadede uygun olan odur. Bunlar işletmeye ait bileşenler değerlendirilerek ortaya konulmalı. Öte taraftan hukuk sadece söz konusu kanun ve yönetmeliklerden ibaret değil. Onların da dayandığı üst norm ve ilişkili olduğu mevzuatlar var. Özellikle şu ülkeler meselesi işin gri tarafını göstermesi bakımından dikkate değer. Bu bir-iki cümleyle açıklanacak bir durum değil. Kurul da eksik/hatalı yapabilir, sonra düzeltebilir. Naçizane tavsiyem, profesyonel destek ve bu konularla ilgili paylaşım yapan uzmanların takip edilmesi. Son olarak; bu konuları veri ihlalleriyle beraber değerlendirmek, içerden ve dışardan maruz kalma ihtimaline binaen bir yapı kurmaya çalışmak. Bu da apayrı bir uzmanlık ve yatırım gerektiriyor. Herkese güvenli günler dilerim.
On Wed, Jul 31, 2019 at 4:15 PM Zafer ATLI <[email protected]> wrote: > Herkese merhabalar, > > KVKK ile anladığım kadarıyla olması gereken prosedür: > > 1)Office 365, Gmail gibi verileri yurt dışında tutan firmaların mail > altyapısı kullanılabilir mi? > > Burada verilen kurul kararı[1] ve mevzuat[2] dan yola çıkarak kullanım > izni şu iki duruma göre şekilleniyor. > A)İlk durum mail hizmetinizi kullanan ilgili kişilerin, sizin sağladığınız > mail hizmetiyle verilerinin yurt dışında Office 365 veyahut hangi mail > altyapısını kullanıyorsanız kullandığınız sunucuda tutulmasına açık rıza > veriyor mu? Eğer mail hizmeti verdiğiniz kullanıcıların verilerinin yurt > dışında tutulması ve işlenmesi ile ilgili açık rızası varsa, KVKK'nın 9. > maddesi birinci fıkrasında ' Kişisel veriler, ilgili kişinin açık rızası > olmaksızın yurt dışına aktarılamaz. ' belirten durum ve verilen yapılan > açıkmaya[3]dan yola çıkarak, herhangi bir ek işleme gerek kalmadan açık > rıza gösterilen sunucular üzerinde ilgili kişilerin verilerini saklayabilir > ve mail hizmetini kullanabilirsiniz. Sonuç olarak eğer Office 365 vb > sistemleri kullanıyorsanız yapmanız gereken tek işlem şirketinizdeki mail > hizmetini kullanan ilgili kişilere bilgilendirme yaparak ilgili > hususlara[4] dikkat ederek açık rıza formu doldurmasını istemek. > > B)İkinci durum ise ilgili kişilerin açık rızası aranmaksızın yurt dışına > veri taşınmasıyla ilgili. Olması gereken en temel husus ilgili kişinin açık > rızasını almak fakat bunun olmaması durumunda kanun ince eleyip sık dokuyor. > İlk olarak KVKK senin ilgili veriyi yurt dışına çıkarmadan önce bu > veriyi işlemeye yetkin var mı diye soruyor. Buradaki kriterler KVKK > 5.maddenin 2. fıkrası ve 6. maddenin 3. fıkrası[2]. > İkinci olarak verilerin aktarılacağı ülke kurul tarafından güvenli > ülke listesinde yer alıyor mu? > Eğer yer alıyorsa ve ilgili verileri 5. maddenin 2.fıkrası ve 6. maddenin > 3. fıkrasına göre işlemeye yetkiniz varsa bu verileri ilgili kişinin açık > rızası gerekmeden yurt dışına aktarabilirsiniz. > > Eğer ülke kurul tarafından güvenli ülke listesinde yoksa: > İlgili ülkenin yeterli koruma yapacağına dair yazılı taahhüdü var > mı diye bakılıyor. > Eğer ülke yeterli korumayı yapmıyorsa ilgili verileri işlemeye izniniz > olsa daha buraya aktaramazsınız. > Eğer varsa ilgili taahhüdü kurula iletiyorsunuz onlar incelemeye > alıyorlar eğer kurul bu ülkeye izin verirse ilgilin kişinin verilerini yurt > dışına çıkartabilirsiniz eğer vermezse yurt dışına aktarım yapamıyorsunuz. > > > Özetleyecek olursak, yurt dışı kaynaklı bir hizmet kullanıyorsanız > kullandığınız kişisel verilerin sahiplerinden belirlenen hususlara[4] > dikkat ederek açık rıza formu almanız gerekiyor. Eğer açık rıza formu > almadıysanız KVKK 5. maddenin 2.fıkrası ve 6. maddenin 3. fıkrasına göre > verileri açık rıza olmadan işleyebilir 9. madde uyarınca bu verileri yurt > dışına çıkartabilirsiniz. > > > [1]: https://kvkk.gov.tr/Icerik/5493/2019-157 > [2]:http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf > [3]:'İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin > yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun > kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede > yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir. > ' https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim > [4]: > https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar > > > > > On Tue, Jul 30, 2019 at 9:58 AM Gokhan GULEN <[email protected]> > wrote: > >> Herkese merhaba, >> >> Aslında kurul Cloud kullanımı ve Gmail, Office365 yasaktır demiyor. >> Cloud'a gidecek veriler için bahsedilen kanun maddeleri gereği açık rıza >> almanız gerekiyor diyor. Bu konuda bir bilgi aydınlatma metinlerinde de >> yazılmalı. Burada önemli konu, size gelecek ve kişisel veri içeren >> e-postalar. Bu e-postalar için bir açık var gibi görünüyor. Biz bu konuyu >> Hukuk ekibimize danıştık ve gönderdiğimiz maillerin disclaimer bölümüne bu >> konu ile ilgili bir aydınlatma metni eklemeye karar verdik. Çoğu kanun gibi >> KVKK'da da oldukça fazla netleştirilmemiş detay konu var. Zaman içinde bu >> konularda örnek kararlarla birlikte net bilgi edinebileceğiz diye >> düşünüyoruz. >> >> DLP ürünleri ise kesinlikle doğrudan bir gereksinim değil. Bu ürünlere >> iyi kullanıldığı takdirde kişisel veriyi korumak için fayda sağlayacak bir >> araç olarak bakmakta fayda var. >> >> Selamlar, >> >> Gökhan Gülen >> >> On Mon, Jul 29, 2019 at 6:16 PM Suleyman Akman <[email protected]> >> wrote: >> >>> Cloud ile ilgili karar... >>> >>> https://kvkk.gov.tr/Icerik/5493/2019-157 >>> >>> On Mon, Jul 29, 2019 at 4:03 PM Ömer KILINÇ < >>> [email protected]> wrote: >>> >>>> Merhabalar, >>>> >>>> IT nin nerede yönetildiğinden çok, verinizin bulunduğu ortam önemli. IT >>>> ekibi yurt dışında olabilir. Ancak verilerinizin bulunduğu sunucular da >>>> yine aynı şekilde yurt dışında ise, yurt dışına veri aktarımına ilişkin >>>> gereksinimleri yerine getirmelisiniz. Ayrıca kurulun son yayınladığı >>>> kararlar arasında yurt dışı mail hizmeti konusu da var. Office 365 ile >>>> birlikte mailleri cloud da tutuyor olmayı kabul etmedi kurul yayınladığı >>>> son kararda. Her ne kadar uygulanabilir bir karar olduğunu düşünmesem de >>>> ortada da bir kurul kararı var. Asıl sıkıntı DLP kullanmaktan ziyade cloud >>>> çözümlerin locale çekilmesi bence. >>>> >>>> >>>> >>>> >>>> >>>> Saygılarımla, >>>> >>>> >>>> >>>> Ömer KILINÇ >>>> >>>> >>>> >>>> >>>> >>>> *From: *Liste <[email protected]> on behalf of Kadir Güvener < >>>> [email protected]> >>>> *Reply-To: *"[email protected]" <[email protected]> >>>> *Date: *29 July 2019 Monday 12:51 >>>> *To: *"[email protected]" <[email protected]> >>>> *Subject: *[NetsecTR] KVKK Hakkında >>>> >>>> >>>> >>>> Arkadaşlar Herkese Merhaba, >>>> >>>> >>>> >>>> Sizlere KVKK hakkında bazı sorularımı yöneltmek istiyorum. Bu konuda >>>> tecrübelerinizi paylaşırsanız memnun olurum.Merkezi yurtdışı olan bir >>>> yabancı şirkette çalışıyorum.Bu şirketin Türkiye'de yer alan firmasında. >>>> Merkezi bir IT Ekibimiz var. Bu ekip ERP, Network, Altyapı gibi bir çok >>>> alanda hizmet veren farklı arkadaşlardan oluşuyor. Biz daha çok işin son >>>> kullanıcı tarafında destek veriyoruz. Geçen gün Teknik ve idari tedbirlerde >>>> yer alan özette IT ile ilgili bazı süreçleri gördüm. Burada yer alan bir >>>> çok iş merkezi ekip tarafından yönetiliyor. Sorum şu, kvkk için gereken bu >>>> IT süreçlerini merkezi olarak yürütüyor olmamız bir sorun oluşturur mu? >>>> Firewall yönetimi, Security tarafı tamamen Network ekibimiz tarafından >>>> yapılıyor. Ayrıca o365 kullanıyoruz. Bu durumun kvkk tarafında bir sorun >>>> oluşturmaması için neler yapmamız gerekiyor? Bir çok yerde DLP >>>> yazılımlarından bahsedilmiş ve gördüğüm kadarı ile bir çok firma bu >>>> yazılımı satmak için müşterileri ısrarla aramaya çalışmışlar. Rica ediyorum >>>> bunu bir açıklığa kavuşturabilir miyiz? DLP almak zorundamıyızı? Sizler IT >>>> süreçlerinde kvkk için neler yaptınız/yapıyorsunuz bilgi verirseniz çok >>>> sevinirim >>>> >>>> >>>> >>>> BR. >>>> >>>> >>>> >>>> Kadir Güvener >>>> ------------------------------------------------- >>>> Üyelikten ayrılmak için >>>> [email protected] adresine mail atabilirsiniz. >>>> >>>> ------------------------------------------------- >>> >>> ------------------------------------------------- >>> Üyelikten ayrılmak için >>> [email protected] adresine mail atabilirsiniz. >>> >>> ------------------------------------------------- >> >> >> ------------------------------------------------- >> Üyelikten ayrılmak için >> [email protected] adresine mail atabilirsiniz. >> >> ------------------------------------------------- > > ------------------------------------------------- > Üyelikten ayrılmak için > [email protected] adresine mail atabilirsiniz. > > -------------------------------------------------
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
