Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Yönetmeliği (GDPR)

Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Yönetmeliği (GDPR)

Tasarım Atölyesi Kadıköy, Mayıs 2018

Arda Çetin

May 17, 2018
Tweet

More Decks by Arda Çetin

Other Decks in Business

Transcript

  1. Avrupa Birliği Veri Koruma Yönergesi
    (EU General Data Protection Regulation)
    Arda ÇETİN
    [email protected]

    View Slide

  2. 2

    View Slide

  3. 3
    Edward
    Snowden
    Maximillian
    Schreis
    Mario Costeja
    Gonzalez
    Bu üç kişinin ortak noktası nedir?
    Avrupa Birliğinin 1995 yılında kabul ettiği
    ve sonrasında tüm birlik ülkelerinde
    bir şekilde uygulamaya başlanan
    Data Protection Directive (Veri
    Koruma Direktifi)’in ölmesine neden
    olan sebeplere, doğrudan veya
    dolaylı olarak çorbada tuz desteği
    faaliyetleri olmuştur.

    View Slide

  4. 4
    Edward
    Snowden
    NSA’in mahremiyet
    ihlalleri ortaya çıkardı.

    View Slide

  5. 5
    Maximillian
    Schrems
    Facebook’un kişisel
    verileri koruma
    taahhütlerine aykırı
    geldiğine dair başvuru
    yaptığı İrlanda Veri
    Koruma Otoritesi’ne
    dava açtı.

    View Slide

  6. 6
    Mario Costeja
    Gonzalez
    Google İspanya ve
    Google Inc.’e karşı
    “unutulma hakkı”na dair
    hukuksal mücadele etti.

    View Slide

  7. 7
    Bu değişime ayak uyduramayan direktifin yerine;
    kişisel verilerin korunmasında daha sağlıklı,
    bugün ile daha uyumlu ve etkin,
    daha dinamiklik,
    bireysel hakları daha koruyucu
    bir regülasyon olan GDPR, 2016’nın Nisan
    ayında Avrupa Parlamentosu tarafından
    onaylanarak kabul edildi.

    View Slide

  8. 8
    GDPR, 24 Mayıs 2016 tarihinde yürürlüğe
    girse de iki senelik bir uyum termini sonrası
    25 Mayıs 2018’de uygulanmaya başlanacaktır.

    View Slide

  9. KVKK
    9
    GDPR

    View Slide

  10. 10

    View Slide

  11. AB Genel Veri Koruma Regülasyonu
    Nedir?
    11
    AB Genel Veri Koruma Regülasyonu
    (GDPR), tüm Avrupa genelinde AB
    vatandaşlarını korumaya yönelik uyumlu bir
    dizi veri gizliliği yasası hazırlamak için
    geliştirildi.
    Bu regülasyon, 95/46/EC sayılı Veri Koruma
    Direktifi’nin yerini alır ve bu direktif ile
    arasında ciddi farklar vardır.

    View Slide

  12. GDPR Kapsamındaki
    “Kişisel Veri”
    - İsim, fotoğraf, e-posta, banka detayları,
    sosyal medya hesapları, tıbbi bilgiler,
    sosyal güvenlik bilgileri, pasaport bilgileri,
    bilgisayarın IP adresi gibi kişiyi doğrudan
    ya da dolaylı yollarla tanımlamaya
    yardımcı olacak veriler.
    - Cookie!
    - En büyük problem: 3. parti veri
    işleyenler
    - Müşteri verilerini 3. parti firmalarla
    paylaşanlar
    12

    View Slide

  13. 13
    - İsim, fotoğraf, e-posta, banka detayları,
    sosyal medya hesapları, tıbbi bilgiler,
    sosyal güvenlik bilgileri, pasaport bilgileri,
    bilgisayarın IP adresi gibi kişiyi doğrudan
    ya da dolaylı yollarla tanımlamaya
    yardımcı olacak veriler.
    - Cookie!
    - En büyük problem: 3. parti veri işleyenler
    - Müşteri verilerini 3. parti firmalarla
    paylaşanlar
    GDPR
    Kapsamındaki
    Kişisel Veriler

    View Slide

  14. Daha geniş yetki alanı.
    GDPR, Avrupa Birliği sınırları içerisinde yaşayan
    herhangi birinin kişisel verilerini işleyen tüm şirketler için,
    şirketin kendi konumu fark etmeksizin geçerli olacaktır.
    14

    View Slide

  15. Cezalar.
    GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler
    dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının
    %4’üne veya 20 milyon avroya (hangisi büyükse) varan
    miktarlarda ceza alabilir.
    15

    View Slide

  16. Onay.
    Onay, net ve kolayca anlaşılır bir şekilde istenmeli ve
    diğer konulardan ayırt edilebilmelidir. Buna ek olarak,
    onayın geri alınması da verilmesi kadar kolay olmalıdır.
    16

    View Slide

  17. İhlal Bildirimleri
    İhlal bildirimleri zorunlu olacaktır ve kurum veya
    kuruluşun ihlalin farkına varmasını takip eden
    72 saat içinde tamamlanması gerekecektir.
    17

    View Slide

  18. Gizlilik.
    GDPR, veri koruma işlevinin sistemler
    tasarlanırken baştan dahil edilmesini, sonradan
    ekleme yoluyla uygulanmamasını şart kılar.
    18

    View Slide

  19. Kimler
    Etkilenir?
    GDPR, hem Avrupa Birliği
    dahilindeki kuruluşlar hem
    de AB dışındaki şirketler
    için geçerlidir.
    Esas olarak, AB veri
    öznelerine mal veya hizmet
    sunan ya da bu öznelerin
    davranışlarını izleyen tüm
    kuruluşlar GDPR’den
    etkilenecektir. Düzenlemeler,
    hem denetleyiciler hem de
    işleyiciler için geçerlidir. Bu
    nedenle, bulut platformları
    GDPR’den muaf değildir.
    19

    View Slide

  20. Neler değişiyor?
    20
    • Yeni bir unvan: Data Protection Officer
    • IP adresi, cookie gibi direkt “kişisel veri” olmayan “kişisel
    veriler” de artık kişisel veridir.
    • Talep edilmesi halinde hangi verleri depolandığına dair 20
    gün içinde cevap vermek gerekiyor.
    • Şirket verlerinin “hacklenmesi" durumunda 72 saat içinde
    açıklama yapmak zorunda.
    • Veriyi kontrol edenin sorumluluğu: Onay toplama, onay
    yönetimi, silme ve unutulma hakkında sorumluluk sahibi.
    • Siteye ilk defa gelen bir ziyaretçinin hangi bilgisini otomatik
    olarak alabilirim? Hiçbir datası.
    • Yani: Site istatistiklerini toplamak için bile ziyaretçinin
    onayını almak gerekiyor.

    View Slide