Kapsam Danışmanlık

KAPSAM DANIŞMANLIK UZMAN KADROSUYLA "KVKK DANIŞMANLIK HİZMETLERİ" KONUSUNDA HİZMETİNİZDEDİR

KVKK ÇALIŞMASI ÖZET

 Kişisel veriler ve Kişisel Verilerin Korunması Hukuku Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile özellikle son 2 senede konuşulan, tartışılan, merak edilen bir alandır.

Bu alan ile korunan hususlar ‘’kişi’ve ’kişisel veriler’ ’dir. Bu nedenle bu alan ile ilgili/ ilgili değil gibi bir ayrım yapmak mümkün değildir.

Günümüzde herkes; veri sorumlusudur veya veri işleyendir                                                                                               veya veri ilgilisidir.

Kişisel Verilerin Korunması kapsamında esas alınan bir takım düzenlemeler;

• Türk Ceza Kanunu

• Kişisel verilerin Korunması Hakkında Kanun

• İlgili Yönetmelikler

• Elektronik İmza Kanunu

• Noterlik Kanunu

• Medeni Kanun

Belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi kişisel veridir

·        Gün içerisinde gerçekleştirdiğimiz neredeyse tüm faaliyetlerde kişisel veri kullanmaktayız.

·        Mesleki faaliyetlerimizi yerine getirirken çoğunlukla veri sorumlusu ya da veri işleyen; bir hizmet alırken veya tüketici konumundayken ise veri ilgilisiyiz.

·        6698 sayılı Kişisel Verilerin Korunması Kanunu tam da bu noktada kişisel verilerin işlenmesine ilişkin her türlü faaliyeti, veri sorumlusu ve veri işleyenin yükümlülükleri ve veri ilgilisinin haklarını düzenlemekte ve bir takım sınırlamalar getirmektedir.

KİŞİSEL VERİYE NELER GİRER? (GERÇEK KİŞİYE AİT HER TÜRLÜ BİLGİ)

·        Ad, Soyad, Yaş

·        Kimlik Bilgileri, Pasaport Bilgileri, Ehliyet, Adres, Telefon

·        Medeni Durum, Özgeçmiş

·        Giriş Çıkış Kayıtları, Kamera Kayıtları

ÖZEL NİTELİKLİ KİŞİSEL VERİYE NELER GİRER? (MAĞDURİYETE VE AYRIMCILIĞA SEBEP OLACAK HER TÜRLÜ BİLGİ)

·        Din, İnanç, Mezhep, Cemaat

·        Irk, Etnik Köken, Soy

·        Siyasi ve Diğer Düşünceleri

·        Özel Hayatı, Cinsel Tercihleri, Kılık Kıyafeti

·        Sağlığı, Gen Haritası, Biyometrik Verileri

·        Ceza Mahkûmiyet, Dernek Vakıf Üyelikleri

ÇALIŞANLARA AİT KİŞİSEL VERİYE NELER GİRER?

·        Çalışan Bilgileri (Ad, Soyad, Adres, vs)

·        Eğitim Bilgileri

·        Kamera, Araç, Telefon Takip Bilgileri,Ses Kayıtları

·        Fotoğraf, Parmak İzi, Yüz Tanıma

·        Sağlık Bilgileri

·        Sabıka Kaydı

Kişisel Verilerin Korunması Kanunu ile ;

·        Kişisel verilerin işlenmesine ilişkin temel ilkeler oluşturulmuş, kişisel verilerin işleme şartları belirlenmiş ve veri ilgilisinin hakları düzenlenmiştir.

·        Veri sorumlusu ve veri işleyenin hangi şartlar altında veri işleyebileceği ve buna karşılık veri ilgilisinin neler yapabileceği açıklığa kavuşturulmuştur.

6698 sayılı Kişisel Verilerin Korunması Kapsamında Kişisel Verilerin İşlenme Şartları                                                         MADDE 5

• Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

AÇIK RIZA NASIL ALINIR

•             Belirli Bir Konu

•             Bilgilendirme

•             Özgür İrade

Ancak; aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

• Veri sorumlusunun

• İlgili kişinin kendisi tarafından alenileştirilmiş olması.

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

•     Kişisel verilerin işlenmesine ilişkin temel ilkeler oluşturulmuş, kişisel verilerin işleme şartları belirlenmiş ve veri ilgilisinin hakları düzenlenmiştir.

6698 sayılı Kanundan sonra;

•Veri Sorumlusu/Veri İşleyen

Kişisel verileri dilediği miktarda, dilediği amaçla, dilediği süre boyunca ve dilediği şekilde işleyemez.

VERİ SORUMLUSU

·        Birimler Veri Sorumlusu Değildir

·        Hukuki Sorumluluk Tüzel Kişilikte

·        Veri Kayıt Sistemi Kurulması Ve Yönetilmesinden Sorumlu Olan Kişi

·        Kişisel Verilerin İşleme Amacını ve Vasıtalarını Belirleyen Kişi

VERİ İŞLEYEN

·        Veri Sorumlusunun Verdiği Yetkiye Dayanarak Onun Adına Kişisel Verileri İşleyen Kişi

·        Veri Sorumlusunun Organizasyonu, Hakimiyet Alanı Dışında Kalan Gerçek Veya Tüzel Kişi

·        Kişisel Verileri Kendisine Verilen Talimatlar Çerçevesinde İşleyen,  Veri İşleme Sözleşmesi Yaparak Yetki Verdiği Ayrı Bir Gerçek ya da Tüzel Kişi

•Veri İlgilisi

Verileri üzerinde mutlak tasarruf, verilerinin akıbetini belirleme hakkına sahip. Bu nedenle kimse veri ilgilisinin kişisel verilerini veri ilgilisinin açık rızasını almaksızın veya Kanun’da öngörülen hukuki nedenlerden birine dayanmaksızın işleyemez.

Buna göre;

•Veri Sorumlusu/Veri İşleyen

Veri sorumlusu veya veri işleyen yürüttüğü faaliyet sırasında kişisel veri işleyebilmek için bu faaliyette Kanun’da öngörülen işleme şartlarından herhangi birinin var olup olmadığına bakmalıdır. Söz konusu işleme şartlarından biri mevcut ise; kişisel veri işlenme faaliyetini bu şarta dayandırmalı. Mevcut değilse; ancak veri ilgilisinin açık rızasını alması halinde kişisel veri işleyebilecektir.

•İlgili Kişi (Veri İlgilisi)

Verileri üzerinde mutlak tasarruf, verilerinin akıbetini belirleme hakkına sahip. Bu nedenle kimse veri ilgilisinin kişisel verilerini veri ilgilisinin açık rızasını almaksızın veya Kanun’da öngörülen hukuki nedenlerden birine dayanmaksızın işleyemez.

VERİ İŞLEMEK NEDİR?

·        Erişme / Erişim

·        Aktarılma

·        Ekrandan Görüntüleme

·        Düzenleme

·        Değiştirilme Veya Güncelleme

·        Depolama

·        Kaydetme

6698 Sayılı Kanun Kapsamında Kişisel Verilerin İşlenmesinde Temel İlkeler

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

•             Hukuka ve dürüstlük kurallarına uygun olma,

•             Doğru ve gerektiğinde güncel olma,

•             Belirli, açık ve meşru amaçlar için işlenme,

•             İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

•             İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

6698 sayılı Kişisel Verilerin Korunması Kanunundan Önce İşlenmiş Olan Verilerin Akıbeti

•             Veri Sorumluları, kanunun yayım tarihinden önce işledikleri Kişisel Verileri, yayım tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirmekle yükümlüdürler.

•             Yasaya uygun hale getirilemeyen kişisel veriler bu tarihten önce silinmeli veya anonim hale getirilmelidir.

KİŞİSEL VERİLERİ İŞLEME YÜKÜMLÜLÜĞÜ

•            Aydınlatma Yükümlülüğü

•             Veri Güvenliğine İlişkin Yükümler

•             Hukuka Aykırı Olmama ve aykırı olarak işlenmesini ve erişimini önleme

•             Veri Sorumluları Siciline Kayıt Yükümlülüğü

•             Başvuruların Cevaplanması Yükümlülüğü

•             Kişisel Verileri İmha Etme Aktarım Esaslarına Göre İşleme Yükümlülüğü

AYDINLATMA YÜKÜMLÜLÜĞÜ ( KV=KİŞİSEL VERİ )

KİMLİK                 : Veri Sorumlusu Kimliği

AMAÇ                  : KV’lerin Hangi Amaçla İşleneceği

AKTARMA           : İşlenen KV’lerin Kime, Nasıl, Hangi Amaçla Aktarılacağı

YÖNTEM             : KV Toplama Yöntemi

SEBEP                  : KV Toplanması Sebebi

HAKLAR : KV Sahibi Hakları Konusunda Bilgilendirme

DENETİM MEKANİZMASI

·        KİŞİSEL VERİLERİ KORUMA KURUMU

·        KİŞİSEL VERİLERİ KORUMA KURULU

ŞİKAYET YOL HARİTASI

1- VERİ SORUMLUSUNA BAŞVURU

Kurula başvurulmadan önce veri sorumlusuna başvurulmak zorundadır.

2 -CEVAP SÜRESİ

* Veri sorumlusu en geç 30 gün içerisinde başvuruyu sonlandırmalı

* 30 günlük süre beklenmek zorundadır.

3- ŞİKAYET SÜRESİ

Veri sorumlusu cevap verdikten veya verme süresi dolduktan sonra Kurul’a şikayet süresi 30 gündür

4- KURULA BAŞVURU

Veri sorumlusu cevap vermez veya verilen cevaptan tatmin olunmazsa Kurul’a başvurulabilir

5- KURULDAN CEVAP GELMEZSE

Kurul’dan bir cevap gelmezse şikayet reddedilmiş sayılır. Kurul incelemenin devam ettiğini bildirebilir bu durumda süre uzar

6- DİĞER HAKLAR

* Suç Duyurusu

* Tazminat

YAPTIRIMLAR

Türk Ceza Kanunu Kapsamındaki Yaptırımlar

•             TCK m.135 ‘’Kişisel Verilerin Hukuka Aykırı Kaydedilmesi’’

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Türk Ceza Kanunu Kapsamındaki Yaptırımlar

•             TCK m.136 ‘’Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme’’

(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

(2) (Ek:17.10.2019-7188/17 Md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

Türk Ceza Kanunu Kapsamındaki Yaptırımlar

•             TCK m.138 ‘’Verileri Yok Etmeme’’

(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2)          (Ek: 21.2.2014-6526/5 Md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

İDARİ PARA CEZALARI

•            Kişisel veri sızıntıları Kurul’a derhal bildirilir (en geç 72 saat).

•             Veri sorumlusuna tanımlanan görevlerin yapılmaması; 15.000 TL – 1.000.000 TL

•             Aydınlatma Yükümlülüğüne Aykırılık; 5.000 TL – 100.000 TL            (Aydınlatılmayan kişi sayısı oranında artabilir)

•             VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık; 20.000 TL – 1.000.000 TL

•             Kurul’un İnceleme Yapmak İçin Taleplerinin Yerine Getirilmemesi; 25.000 TL- 1.000.000 TL

CEZA ÖRNEKLERİ

Bir yatırım şirketi tarafından ilgili kişinin cep telefon numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bildirim amaçlı aranması hakkında Kuruma yaptığı başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 08.07.2019 tarihli ve 2019-204 sayılı karar özeti;

Bir yatırım şirketinin, Şikâyetçinin TELEFON NUMARASINI işlemesinin 6698 SAYI LI KANUNUN 5 inci Maddesinde SAYILAN ŞARTLARDAN Herhangi Birine DAYANMAMASI Nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1)   numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İŞ BAŞVURUSUNUN ŞİRKETLER TOPLULUGU İÇERİSİNDEKİ DİGER ŞİRKETLER iLE PAYLAŞILMASI

Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında, İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılması nedeniyle idari para cezası uygulanmıştır.

Bir Anonim şirketin ( veri sorumlusu ) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin Kişisel Verileri Koruma Kurulunun 31.05.2019 tarihli ve 2019-162 sayılı karar özeti

Şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin Şirket TARAFINDAN Kendisine REKLAM içerikli MESAJ Gönderilmesi Suretiyle KULLANILMASININ, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanunun 5 ve 6.maddelerinde yer alan işleme şartlarında birine dayanması gerektiğini, ancak şikâyet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12 nci maddesinin {1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının {b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

UYUMLULUK SÜRECİ

•             Veri sorumluları, kişisel verilerin ilk defa elde edilmesinden sonraki kişisel verilerin elde edilmesindeki her aşamada, veri koruma hukukunun ilke, usul ve esaslarına uyumlu olarak hareket etmelidir.

•             Kişisel verilerin işlenmesindeki her aşamada veri koruma hukuku ilke, usul ve esaslarına uyumlu olarak hareket etmek;

’Kanuna Uyumluluk Süreci’’ olarak adlandırdığımız uyumluluk projelerinin yürütülmesine bağlıdır.

1-FARKINDALIK

2-DEPARTMAN BAZLI MÜLAKAT

3- ENVANTER HAZIRLAMA

4- AYDINLATMA AÇIK RIZA SÖZLEŞMELER POLİTİKALAR

5- BOŞLUK ANALİZİ (GAP) MAHREMİYET ETKİ DEGERLENDİ RME (PIA)

6- SİLME,YOK ETME, ANONİMLEŞTİRME

UYUMLULUK SÜRECİ KAPSAMINDA

•             Var olan müşteri veri tabanlarındaki veriler uyumlu hale getirilmeli

•             Çalışanlardan, tedarikçilerin, taşeronların, bayilerin çalışanları gibi yasaya tabi verisi tutulan kişilerden gerekli izinler alınmalı

•             İş başvuru formu, sipariş formu, kayıt formu gibi üzerinde kişisel veriler bulunan formlar incelenerek izinleri içerir hale getirilmeli

•             Şirketin veri paylaşım ilkeleri ve iş akışları incelenerek yasaya uyumlu hale getirilmeli

•             Yurt dışı ile paylaşılan veriler açısından ilan edilecek liste kontrol edilmeli

•             Gerekli teknik önlemler alınmalı

•             Veri sorumluları belirlenerek sicile bildirilmeli

İŞ PLANIMIZ

•             Kısa bir bilinçlendirme eğitimi ve kurum çalışanları ile tanışma toplantısı ve her departmandan bir iletişim kurulacak kişi de belirlenmesi

•             Kurumun veri envanterinin belirlenmesi

1---------------------------------------------------

•             Kişisel Verilerin Tespiti

•             KV Niteliklerinin Belirlenmesi

•             Hukuki Sebeplerin Tespiti

2---------------------------------------------------

•             İşleme Amaçlarının Tespiti

•             İlgili Kişi Gruplarının Tespiti

•             Saklama Süresinin Tespiti

3--------------------------------------------------

•             Alıcı Grupların Belirlenmesi

•             Yurt Dışı Aktarımın Belirlenmesi

•             Alınan İdari ve Teknik Önlemlerin Belirlenmesi

•             İşlenen verilerin işlenme amaçlarının belirlenip bu bağlamda rıza gerekip gerekmediğinin ve saklama sürelerinin belirlenmesi

•             Kurumun KVKK risk analizinin yapılması ve risklerin önerilen çözümlerle birlikte raporlanması

•             Hazırlanan raporun ilgililerle paylaşılması ve karşılıklı görüşmelerle kuruma uygun çözümlerin bulunması

•             İlgili evrak ve yazıların hazırlanması

•             Sözleşme ve beyanların KVKK mevzuatına uyumlu hale getirilmesi

•             Uygulanabilirliğin ve uygulamadaki sorun/ ek taleplerin değerlendirilmesi (6 ay sonra)

•             Süreç danışmanlığı