Güncel İnceleme

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Kişisel Verilerin Korunması Kanunu (KVKK) ve Kontroller

Daha önceki yazımızda [1], kişisel verilerin korunmasına ilişkin bir kısım mevzuat ve bazı değerlendirmeleri paylaşmıştık. Bu yazıda ise 07.04.2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanununda önemli aktörler arasında yer alan veri sorumlusu ve veri işleyen ile 27 Nisan 2016 tarihli ve 25 Mayıs 2018’de yürürlüğe giren 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğünde [2] yer alan veri kontrolörü, veri işleyen ve veri koruma görevlisi incelenmiştir. Ayrıca, söz konusu tüzükle sunulan kural setlerine göre kişisel verilerin korunmasına yönelik tüzük temelinde bir veri güvenliği kontrol çerçevesi oluşturulması örnek çalışması paylaşılmıştır.

Kişisel verilerin korunmasıyla ilgili başlıca uluslararası mevzuata baktığımızda [3] OECD tarafından yayımlanan 23 Eylül 1980 tarihli ve sekiz adet rehber ilkeden oluşan Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeler dokümanını; 28 Ocak 1981 tarihinde imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren Avrupa Konseyi düzenlemesi olan 108 no.’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesini; 14 Aralık 1990 tarihli Birleşmiş Milletler düzenlemesi Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkelerini; 25 Ekim 1998 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununa da temel oluşturan 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifini [4]; 8 Kasım 2001 tarihli Avrupa Konseyi düzenlemesi 181 No.’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolünü ve son olarak da Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından sunulan 27 Nisan 2016 tarihli, 25 Mayıs 2018’de yürürlüğe giren 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğünü (GDPR) görmekteyiz.

AB Genel Veri Koruma Tüzüğü (GDPR), veri koruma rejiminin elden geçirilmesi ve modernleştirilmesidir. 1995’te Veri Koruma Direktifinin (95/46) yayımlanmasından günümüze kadar büyük veri, nesnelerin İnterneti, bulut bilişim gibi birçok gelişme olması ve bu gelişmeler kapsamında kişisel verilerin korunması gerekliliği GDPR’nin oluşturulmasını zorunlu hale getirmiştir.

Veri işleme, elcil (manuel) ya da otomatik araçlar dahil olmak üzere kişisel veriler üzerinde gerçekleştirilen kişisel verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması, değiştirilmesi, geri alınması, kullanımı, iletimi yoluyla açıklanması, dağıtımı veya başka şekilde kullanılabilir hale getirilmesi, gruplanması, kısıtlanması, silinmesi ya da imha edilmesini kapsamaktadır. Bazı örnek veri işleme çalışmaları; personel yönetimi ve bordro yönetimi, kişisel verileri içeren bir kişiler veritabanına erişim, tanıtım e-postaları göndermek, kişisel verileri içeren dokümanları imha etmek, bir kullanıcının fotoğrafını bir “web” sitesinde yayımlamak/siteye koymak, IP adreslerini, MAC adreslerini ya da IMEI numaralarını saklama, video kaydı (CCTV) şeklinde söylenebilir.

İşlenen veri, kişisel veri ise GDPR’ye uyulması zorunludur ve GDPR kişisel veriyi, kimliği belirli veya belirlenebilir bir gerçek kişi ile ilgili herhangi bir bilgi (‘data subject’) olarak tanımlamaktadır. Gerçek kişiyi doğrudan ya da dolaylı olarak tanımlamaya yardımcı ad-soyadı, kimlik numarası, konum, kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel ya da toplumsal (sosyal) kimliği kişisel veri olarak değerlendirilmektedir.

GDPR’de ve KVKK’de yer alan aktörleri açıklamadan önce GDPR’nin yürürlüğe girdiği 25 Mayıs 2018’den itibaren yürürlükten kalkan 95/46 sayılı direktif arasındaki başlıca farkları açıklamanın yararlı olabileceği düşünülmektedir. Öncelikle, GDPR, bir direktif değil bir tüzüktür ve tüzükler, bütün unsurlarıyla bağlayıcıdır ve tüm üye devletlerde doğrudan uygulanabilmektedir. GDPR’nin yürürlüğe girmesiyle birçok değişiklik ve yeniliğin de geldiği görmekteyiz. Örneğin, söz konusu direktif AB ölçeğinde geçerliyken GDPR’nin yalnızca AB ölçeğinde değil küresel (global) ölçekte kişisel veriyi işleyenler için zorunlu olduğunu görmekteyiz. 95/46 sayılı direktifte kısıtlı bir hesap verebilirlik varken GDPR’de hesap verebilirlik verinin işlenmesi sürecinde uyulması gereken temel ilkelerden biridir (madde 5 (2)). Direktifte, çocukların kişisel verileri işlenirken ebeveyn izni gerekmezken GDPR’de 16 yaşın altındaki çocukların kişisel verilerini işlemek için ebeveynlerin onayının gerektiği görülmektedir. Direktifte, yalnızca veri kontrolörü (data-controller) ve veri işleyici (data-processor) bulunurken GDPR’de veri kontrolörü (data-controller), veri işleyici (data-processor) ve veri koruma görevlisi (DPO, Data Protection Officer) bulunmaktadır. Direktifte, bir veri koruma yetkilisinden (data protection official) söz ediliyor olsa da tüzükte olduğu gibi rol ve sorumluluklarının belirlenmediği görülmektedir.

GDPR’de 37 ve 39’uncu maddeler arasında açıklanan DPO’nun, sağlık verileri ya da dinsel ve siyasal inançlar gibi bilgiler de dahil olmak üzere özel kategorideki kişisel verileri (hassas veri) işleyen tüm kurumlar için zorunlu olması gerektiği belirtilmektedir. GDPR’de veri işleyicinin sorumluluğunun direktife göre artırılmış olduğu ve artık sorumluluğun hem veri kontrolörü hem de işleyici için geçerli olduğu, cezaların her ikisi için de uygulandığı görülmektedir. Tüzüğün 82’nci maddesinde, tüzüğün ihlali sonucunda maddi ya da maddi olmayan bir zarar gören herhangi bir kişinin, zararı için kontrolörden veya işleyiciden tazminat alma hakkına sahip olacağı belirtilmektedir. GDPR ile gelen, direktifte olmayan, önemli olduğunu düşündüğüm bir yenilik de veri kontrolörü tarafından yapılan veri koruma etki değerlendirmesidir.

KVKK ve GDPR’de Ortak Kavramlar ve Kurallar

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında yer alan aktörlere baktığımızda ise karşımıza veri sorumlusu ve veri işleyen olmak üzere iki ana aktör çıkmaktadır.

Veri işleyenin, söz konusu yasanın tanımlar başlıklı 3’üncü maddesinde, direktifle benzer şekilde, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade ettiği; veri sorumlusunun ise kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği görülmektedir.

Veri sorumlusunun, GDPR’de yer alan ve veri işleme amaçları yanı sıra gerçek kişilerin hak ve özgürlükleri için oluşabilecek riskleri dikkate alan, veri işlemenin GDPR’ye uygun bir şekilde yapılıp yapılmadığını kontrol eden, bunun için uygun veri koruma politikaları ile gerekli önlemleri alan veri kontrolü ile örtüştüğü görülmektedir.

Veri işleyenin ise GDPR’de belirtilen veri işleyici ile örtüştüğü görülmektedir.

Ayrıca KVKK’de, yürürlükten kalkan direktifle benzer şekilde, veri sorumlusunun veri işleyene göre daha fazla sorumluluğu olduğu görülmektedir. Örneğin veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi VERBİS’e kayıt olmak zorundadırlar ve bu görev de kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusuna verilmektedir.

GDPR’de Veri Kontrolleri

GDPR’de 4’üncü bölüm 1’inci kesim altında, veri kontrolörü ve veri işleyicisinin genel yükümlülükleri açıklanmaktadır. Burada, 24 ve 27’inci maddeler arasında veri kontrolörünün sorumlulukları ve kontrolörlere ilişkin ayrıntılar; 28 ve 31’inci maddeler arasında ise veri işleyicisine ilişkin bilgiler görülebilmektedir.

Veri kontrolörünün en önemli görevlerinden biri de veri koruma etki değerlendirmesi yapmasıdır. Tüzüğün 35 ve 36’ncı maddelerinde belirtildiği üzere veri koruma etki değerlendirmesi (DPIA), özellikle yeni teknolojilerin kullanıldığı veri işleme çalışmalarının gerçek kişilerin hak ve özgürlükleri için yüksek bir risk oluşturması olasıysa kontrolörün yapması gereken bir değerlendirmedir. Bu etki değerlendirmesi, kişisel verilerin korunmasını sağlamak, tüzüğe uygunluğun gösterilmesi ve riski azaltmak için önlemleri içerecek şekilde yapılmalıdır. DPIA’nın, bir program ya da sistemin geliştirilme süreci boyunca gizlilik risklerini tanımlamak ve değerlendirmek için yapılan gizlilik etki değerlendirmesi (PIA) ile örtüştüğü değerlendirilmektedir.

Tüzükte, özel kategorideki kişisel verileri (hassas veri) işleyen tüm kurumlar için zorunlu olması gerektiği belirtilen veri koruma görevlisi (DPO), bazı koşullarda veri kontrolörü ya da veri işleyicisinden atanabilmektedir. Veri koruma görevlisinin, veri kontrolörü ya da veri işleyicisinin olabileceği koşullar GDPR’nin 37’nci maddesi birinci fıkrası altında

  • veri işleme faaliyeti yargı yetkisini kullanan mahkemeler hariç, bir kamu kurumu ya da kuruluşunca gerçekleştiriliyorsa,

  • kontrolörün ya da işleyicinin temel faaliyetleri doğası, kapsamları ve/veya amaçları gereği verilerin geniş ölçekte düzenli ve sistematik olarak izlenmesini gerektiriyorsa,

  • veri kontrolörünün ya da işleyicinin temel faaliyetlerini, 9. madde uyarınca özel kategorilerdeki büyük ölçekli verilerin işlenmesi ve 10. maddede belirtilen suçlu mahkûmiyeti ve suçlara ilişkin kişisel verilerin işlenmesi oluşturuyorsa,

biçiminde ifade edilmektedir.

Veri koruma görevlisi, bağımsız olmalı ve veri koruma konusunda uzman olmalıdır. Ayrıca veri koruma etki değerlendirmeleriyle ilgili tavsiyelerde bulunabilmekte, veri koruma yükümlülükleriyle ilgili önerilerde bulunmakta ve yükümlülüklerden haberdar etmektedir. Ancak kişisel verilerin işlenmesi, işinizin temel bir parçası değilse faaliyetleriniz büyük ölçekli değil ve risk oluşturmuyorsa veri koruma görevlisi belirlemeniz gerekmemektedir.

GDPR’ye göre, bir işletme grubu, her bir işletme gerektiğinde kolayca ulaşabiliyorsa, tek bir veri koruma görevlisi atayabilmektedir. Eğer kontrolör ya da işleyici, kamu kurum veya kuruluşu ise kurumun büyüklüğü göz önünde bulundurularak birden fazla kamu kurumu için tek bir veri koruma görevlisi atanabilmektedir.

Bu bilgiler ışığında, GDPR ile gelen yenilikler ve KVKK’ye dayanak oluşturan direktifin de artık yürürlükten kalması nedenleriyle KVKK’nin de zamanla bu yönde revize edilebileceği değerlendirilmektedir.

Veri Güvenliği Kontrol Çerçevesi

GDPR’yi yaşama geçirme aşamasında kolaylık sağlayabileceği değerlendirilen bir çözüm de bir “veri güvenliği kontrol çerçevesi”nin oluşturulması olarak düşünülmektedir. Kontroller, faaliyete ilişkin riskleri yönetmek ve bu faaliyeti gerçekleştirme olasılığını artırmak amacıyla alınan önlemlerdir. Risk yönetim süreci, ISO 31000 Risk Yönetimi standardında ayrıntılı olarak açıklanmaktadır. Kontrolleri belirleyebilmek için öncelikle sistemi kategorize etmek ve riskleri belirlemek gerekmektedir. Risk yönetimi sürecine ilişkin yararlı bir örneğe [5] no.’lu referanstan ulaşılabilir.

Bu yazımızda ise öncelikle GDPR tabanlı bir kişisel veri güvenliği kontrol çerçevesi oluşturmak için tüzüğün “işleme güvenliği” başlıklı 32’nci maddesi ele alınmıştır. Söz konusu maddede, iş sürekliliği ve felaket kurtarmaya dönük faaliyetler belirtilmetedir. Kontrolör ve işleyicinin, belirlenen riske göre bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygulaması gerektiği, bunun için de öncelikle kişisel verilerin kriptolanması ve takma ad verilmesi (pseudonymisation) gerektiği; sistemlerin ve hizmetlerin esnekliği, gizliliği, bütünlüğü ve erişilebilirliğinin sürdürülmesinin sağlanması; fiziksel ya da teknik bir olay olması durumunda kişisel verilere gereksinim duyulan zamanda erişim sağlanabilmesi için geri yükleme (restore) yeteneği; veri işleme güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini değerlendirmek için düzenli test sürecinin yaşama geçirilmesi gerektiği ifade edilmektedir. Söz konusu maddede verilerin güvenliği için kriptolanması ve takma ad verilmesi (pseudonymisation) gibi açıkça belirtilen kontrolleri görebilmekteyiz.

Bu maddede yer alan ve belirtilen faaliyetleri karşılayan kontrolleri, uluslararası standartlarda yer alan kontroller ve kontrollerin zenginleştirilmiş biçimleriyle eşleştirdiğimizde de artık yönetebilen bir çerçevenin oluşturulabileceği değerlendirilmektedir. Bu çalışmada NIST 800-53 Güvenlik ve Gizlilik Kontrol Dokümanları [8,9] ve ISO:27001 Bilgi Güvenliği Yönetim Sistemi standardı kullanılmıştır.

Eğer faaliyet gösterilen iş kolu, sağlık sektörü ise HIPAA (Amerikan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası) güvenlik çerçevesinin de kullanılabileceği ve kuruma özgü bir kontrol çerçevesini oluşturulabileceği değerlendirilmektedir. Buna göre 32’nci maddede belirtilen kontrollerin NIST 800-53’ten CP-1 (Contingency Planning Policy and Procedures), CP-2 (Contingency Plan), IR-4 (Incident Handling), PM-8 (Critical Infrastructure Plan) kontrolleri [8] ile ISO 27001:2013’ten A.16.1.5 (Response to Information Security Incidents), A.17.1 (Information Security Continuity) kontrolleri ile eşleştiği değerlendirilmiştir. Bu konuda birkaç iyi uygulama örneği “web”te de bulunmaktadır[6,7].

Ayrıca, tüzükte yer alan önemli bir konu da veri koruma etki değerlendirmesidir. Bunun da NIST SP 800-53 [8] AR-2 Privacy Impact and Risk Assessment, RA-2 Security Categorization, RA-3 Risk Assessment, PM-16 Threat Awareness Program kontrolleri; ISO 27001:2013’te ise A.12.6.1 Management of Technical Vulnerabilities altında sıralanan kontrollerle eşleştiği değerlendirilmektedir.

Sonuç

Bu çalışmada, GDPR ile gelen bazı yenilikler yanında söz konusu tüzükten bir veri güvenliği kontrol çerçevesi oluşturulması aşamaları özet olarak anlatılmaya çalışılmıştır. NIST risk yönetimi çerçevesi [10] başta olmak üzere aşağıda belirtilen kaynakların incelenmesi de yararlı olacaktır. Birkaç konu bir arada işlenmiş olsa da çalışmayı bu bütünlükte ele almanın daha uygun olacağı değerlendirilmiş olup tüm yenilikler ve tüzükte yer alan tüm kontroller işlenememiştir.

Kısaltmalar

KVKK: Kişisel Verilerin Korunması Kanunu
GDPR: General Data Protection Regulation
AR: Accountability, Audit, and Risk Management
CP: Contingency Planning
IR: Incident Response
PM: Program Management
ID.RA: Identify.Risk Assessment
HIPAA: Health Insurance Portability and Accountability Act
NIST: National Institute of Standards and Technology

Kaynaklar

[1] https://dergi.bmo.org.tr/inceleme/kisisel-verilerin-korunmasina-iliskin-mevzuat-incelemesi

[2] Rules for the protection of personal data inside and outside the EU, https://ec.europa.eu/info/law/law-topic/data-protection_en. Son erişim tarihi:13.06.2018.

[3] Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler, https://www.kvkk.gov.tr/Icerik/4183/Kisisel-Verilerin-Korunmasi-Alaninda-Uluslararasi-ve-Ulusal-Duzenlemeler. Son erişim tarihi:13.06.2018.

[4] Directive 95/46/EC of The European Parliament And Of The Council, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=en

[5] ISO27k ISMS risk ranagement process v1, http://www.iso27001security.com/ISO27k_ISMS_information_risk_management_process_v1.pdf

[6] EU GPDR Compliance Criteria – Cybersecurity For Privacy (C4P) Overview , https://iapp.org/media/pdf/resource_center/EU_GDPR_Compliance_Criteria.pdf

[7] NIST (NCF) & GDPR to Microsoft Technologies MAP, https://www.concurrency.com/getmedia/4d4161fe-0f74-45ad-a33b-bd921c1238ba/Concurrency-NIST-(NCF)-and-GDPR-to-Microsoft-Technologies-Map.aspx

[8] SP 800-53 Rev. 4,Security and Privacy Controls for Federal Information Systems and Organizations, https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final

[9] SP 800-53A Rev. 4 ,Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans, https://csrc.nist.gov/publications/detail/sp/800-53a/rev-4/final

[10] Risk Management Framework (RMF) Overview, https://csrc.nist.gov/Projects/Risk-Management/Risk-Management-Framework-(RMF)-Overview.

[11] NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30.pdf.

[12] Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi Çalışma Raporu, Ayşe Nur AKINCI, İktisadi Sektörler ve Koordinasyon Genel Müdürlüğü Bilgi Toplumu Dairesi Başkanlığı, Haziran 2017, http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf, Son erişim tarihi:13.06.2018.