KAPSAM DANIŞMANLIK UZMAN KADROSUYLA "KVKK DANIŞMANLIK HİZMETLERİ" KONUSUNDA HİZMETİNİZDEDİR
KVKK ÇALIŞMASI
ÖZET
Bu alan ile korunan hususlar ‘’kişi’’ ve ‘’kişisel veriler’ ’dir. Bu nedenle bu alan ile ilgili/ ilgili değil gibi bir ayrım yapmak mümkün değildir.
Günümüzde herkes; veri sorumlusudur veya
veri işleyendir veya veri ilgilisidir.
Kişisel Verilerin Korunması kapsamında
esas alınan bir takım düzenlemeler;
• Türk Ceza Kanunu
• Kişisel verilerin Korunması Hakkında Kanun
• İlgili Yönetmelikler
• Elektronik İmza Kanunu
• Noterlik Kanunu
• Medeni Kanun
Belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi kişisel veridir
·
Gün içerisinde gerçekleştirdiğimiz neredeyse tüm
faaliyetlerde kişisel veri kullanmaktayız.
·
Mesleki faaliyetlerimizi yerine getirirken
çoğunlukla veri sorumlusu ya da veri işleyen; bir hizmet alırken veya tüketici
konumundayken ise veri ilgilisiyiz.
· 6698 sayılı Kişisel Verilerin Korunması Kanunu tam da bu noktada kişisel verilerin işlenmesine ilişkin her türlü faaliyeti, veri sorumlusu ve veri işleyenin yükümlülükleri ve veri ilgilisinin haklarını düzenlemekte ve bir takım sınırlamalar getirmektedir.
KİŞİSEL VERİYE
NELER GİRER? (GERÇEK KİŞİYE AİT HER TÜRLÜ BİLGİ)
·
Ad, Soyad, Yaş
·
Kimlik Bilgileri, Pasaport Bilgileri, Ehliyet,
Adres, Telefon
·
Medeni Durum, Özgeçmiş
· Giriş Çıkış Kayıtları, Kamera Kayıtları
ÖZEL NİTELİKLİ
KİŞİSEL VERİYE NELER GİRER? (MAĞDURİYETE VE AYRIMCILIĞA SEBEP OLACAK HER TÜRLÜ
BİLGİ)
·
Din, İnanç, Mezhep, Cemaat
·
Irk, Etnik Köken, Soy
·
Siyasi ve Diğer Düşünceleri
·
Özel Hayatı, Cinsel Tercihleri, Kılık Kıyafeti
·
Sağlığı, Gen Haritası, Biyometrik Verileri
· Ceza Mahkûmiyet, Dernek Vakıf Üyelikleri
ÇALIŞANLARA AİT
KİŞİSEL VERİYE NELER GİRER?
·
Çalışan Bilgileri (Ad, Soyad, Adres, vs)
·
Eğitim Bilgileri
·
Kamera, Araç, Telefon Takip Bilgileri,Ses
Kayıtları
·
Fotoğraf, Parmak İzi, Yüz Tanıma
·
Sağlık Bilgileri
· Sabıka Kaydı
Kişisel Verilerin Korunması Kanunu ile ;
·
Kişisel verilerin işlenmesine ilişkin temel
ilkeler oluşturulmuş, kişisel verilerin işleme şartları belirlenmiş ve veri
ilgilisinin hakları düzenlenmiştir.
· Veri sorumlusu ve veri işleyenin hangi şartlar altında veri işleyebileceği ve buna karşılık veri ilgilisinin neler yapabileceği açıklığa kavuşturulmuştur.
6698 sayılı Kişisel Verilerin Korunması Kapsamında Kişisel Verilerin İşlenme Şartları MADDE 5
• Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
AÇIK RIZA NASIL
ALINIR
• Belirli
Bir Konu
• Bilgilendirme
• Özgür İrade
Ancak; aşağıdaki
şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın
kişisel verilerinin işlenmesi mümkündür:
• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin
ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması.
• Veri sorumlusunun
• İlgili kişinin kendisi tarafından alenileştirilmiş
olması.
• Bir hakkın tesisi, kullanılması veya korunması için
veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması.
• Kişisel verilerin işlenmesine ilişkin temel ilkeler oluşturulmuş, kişisel verilerin işleme şartları belirlenmiş ve veri ilgilisinin hakları düzenlenmiştir.
6698 sayılı
Kanundan sonra;
•Veri Sorumlusu/Veri İşleyen
Kişisel verileri dilediği miktarda, dilediği amaçla, dilediği süre boyunca ve dilediği şekilde işleyemez.
VERİ SORUMLUSU
·
Birimler Veri Sorumlusu Değildir
·
Hukuki Sorumluluk Tüzel Kişilikte
·
Veri Kayıt Sistemi Kurulması Ve Yönetilmesinden
Sorumlu Olan Kişi
· Kişisel Verilerin İşleme Amacını ve Vasıtalarını Belirleyen Kişi
VERİ İŞLEYEN
·
Veri Sorumlusunun Verdiği Yetkiye Dayanarak Onun
Adına Kişisel Verileri İşleyen Kişi
·
Veri Sorumlusunun Organizasyonu, Hakimiyet Alanı
Dışında Kalan Gerçek Veya Tüzel Kişi
· Kişisel Verileri Kendisine Verilen Talimatlar Çerçevesinde İşleyen, Veri İşleme Sözleşmesi Yaparak Yetki Verdiği Ayrı Bir Gerçek ya da Tüzel Kişi
•Veri İlgilisi
Verileri üzerinde mutlak tasarruf, verilerinin akıbetini belirleme hakkına sahip. Bu nedenle kimse veri ilgilisinin kişisel verilerini veri ilgilisinin açık rızasını almaksızın veya Kanun’da öngörülen hukuki nedenlerden birine dayanmaksızın işleyemez.
Buna göre;
•Veri Sorumlusu/Veri İşleyen
Veri sorumlusu veya veri işleyen yürüttüğü faaliyet sırasında kişisel veri işleyebilmek için bu faaliyette Kanun’da öngörülen işleme şartlarından herhangi birinin var olup olmadığına bakmalıdır. Söz konusu işleme şartlarından biri mevcut ise; kişisel veri işlenme faaliyetini bu şarta dayandırmalı. Mevcut değilse; ancak veri ilgilisinin açık rızasını alması halinde kişisel veri işleyebilecektir.
•İlgili Kişi (Veri İlgilisi)
Verileri üzerinde mutlak tasarruf, verilerinin akıbetini belirleme hakkına sahip. Bu nedenle kimse veri ilgilisinin kişisel verilerini veri ilgilisinin açık rızasını almaksızın veya Kanun’da öngörülen hukuki nedenlerden birine dayanmaksızın işleyemez.
VERİ İŞLEMEK
NEDİR?
·
Erişme / Erişim
·
Aktarılma
·
Ekrandan Görüntüleme
·
Düzenleme
·
Değiştirilme Veya Güncelleme
·
Depolama
· Kaydetme
6698 Sayılı Kanun Kapsamında Kişisel Verilerin
İşlenmesinde Temel İlkeler
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm
kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme
faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
• Hukuka
ve dürüstlük kurallarına uygun olma,
• Doğru
ve gerektiğinde güncel olma,
• Belirli,
açık ve meşru amaçlar için işlenme,
• İşlendikleri
amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
6698 sayılı
Kişisel Verilerin Korunması Kanunundan Önce İşlenmiş Olan Verilerin Akıbeti
• Veri
Sorumluları, kanunun yayım tarihinden önce işledikleri Kişisel Verileri, yayım
tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirmekle
yükümlüdürler.
• Yasaya uygun hale getirilemeyen kişisel veriler bu tarihten önce silinmeli veya anonim hale getirilmelidir.
KİŞİSEL VERİLERİ
İŞLEME YÜKÜMLÜLÜĞÜ
•
Aydınlatma Yükümlülüğü
• Veri
Güvenliğine İlişkin Yükümler
• Hukuka
Aykırı Olmama ve aykırı olarak işlenmesini ve erişimini önleme
• Veri
Sorumluları Siciline Kayıt Yükümlülüğü
• Başvuruların
Cevaplanması Yükümlülüğü
• Kişisel Verileri İmha Etme Aktarım Esaslarına Göre İşleme Yükümlülüğü
AYDINLATMA
YÜKÜMLÜLÜĞÜ ( KV=KİŞİSEL VERİ )
KİMLİK :
Veri Sorumlusu Kimliği
AMAÇ : KV’lerin Hangi Amaçla İşleneceği
AKTARMA :
İşlenen KV’lerin Kime, Nasıl, Hangi Amaçla Aktarılacağı
YÖNTEM :
KV Toplama Yöntemi
SEBEP :
KV Toplanması Sebebi
HAKLAR : KV Sahibi Hakları Konusunda Bilgilendirme
DENETİM
MEKANİZMASI
·
KİŞİSEL VERİLERİ KORUMA KURUMU
·
KİŞİSEL VERİLERİ KORUMA KURULU
ŞİKAYET YOL
HARİTASI
1- VERİ SORUMLUSUNA BAŞVURU
Kurula başvurulmadan önce veri sorumlusuna başvurulmak
zorundadır.
2 -CEVAP SÜRESİ
* Veri sorumlusu en geç 30 gün içerisinde başvuruyu
sonlandırmalı
* 30 günlük süre beklenmek zorundadır.
3- ŞİKAYET
SÜRESİ
Veri sorumlusu cevap verdikten veya verme süresi
dolduktan sonra Kurul’a şikayet süresi 30 gündür
4- KURULA
BAŞVURU
Veri sorumlusu cevap vermez veya verilen cevaptan tatmin
olunmazsa Kurul’a başvurulabilir
5- KURULDAN
CEVAP GELMEZSE
Kurul’dan bir cevap gelmezse şikayet reddedilmiş sayılır.
Kurul incelemenin devam ettiğini bildirebilir bu durumda süre uzar
6- DİĞER HAKLAR
* Suç Duyurusu
* Tazminat
YAPTIRIMLAR
Türk Ceza Kanunu Kapsamındaki Yaptırımlar
• TCK m.135 ‘’Kişisel Verilerin Hukuka Aykırı Kaydedilmesi’’
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Türk Ceza Kanunu Kapsamındaki Yaptırımlar
• TCK m.136 ‘’Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme’’
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) (Ek:17.10.2019-7188/17 Md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Türk Ceza Kanunu Kapsamındaki Yaptırımlar
• TCK m.138 ‘’Verileri Yok Etmeme’’
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) (Ek: 21.2.2014-6526/5 Md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
İDARİ PARA CEZALARI
• Kişisel veri sızıntıları Kurul’a derhal bildirilir (en geç 72 saat).
• Veri sorumlusuna tanımlanan görevlerin yapılmaması; 15.000 TL – 1.000.000 TL
• Aydınlatma Yükümlülüğüne Aykırılık; 5.000 TL – 100.000 TL (Aydınlatılmayan kişi sayısı oranında artabilir)
• VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık; 20.000 TL – 1.000.000 TL
• Kurul’un İnceleme Yapmak İçin Taleplerinin Yerine Getirilmemesi; 25.000 TL- 1.000.000 TL
CEZA ÖRNEKLERİ
Bir yatırım şirketi tarafından ilgili kişinin cep telefon numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bildirim amaçlı aranması hakkında Kuruma yaptığı başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 08.07.2019 tarihli ve 2019-204 sayılı karar özeti;
Bir yatırım şirketinin, Şikâyetçinin TELEFON NUMARASINI işlemesinin 6698 SAYI LI KANUNUN 5 inci Maddesinde SAYILAN ŞARTLARDAN Herhangi Birine DAYANMAMASI Nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
İŞ BAŞVURUSUNUN ŞİRKETLER TOPLULUGU İÇERİSİNDEKİ DİGER ŞİRKETLER iLE PAYLAŞILMASI
Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında, İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılması nedeniyle idari para cezası uygulanmıştır.
Bir Anonim şirketin ( veri sorumlusu ) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin Kişisel Verileri Koruma Kurulunun 31.05.2019 tarihli ve 2019-162 sayılı karar özeti
Şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin Şirket TARAFINDAN Kendisine REKLAM içerikli MESAJ Gönderilmesi Suretiyle KULLANILMASININ, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanunun 5 ve 6.maddelerinde yer alan işleme şartlarında birine dayanması gerektiğini, ancak şikâyet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12 nci maddesinin {1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının {b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
UYUMLULUK SÜRECİ
• Veri sorumluları, kişisel verilerin ilk defa elde edilmesinden sonraki kişisel verilerin elde edilmesindeki her aşamada, veri koruma hukukunun ilke, usul ve esaslarına uyumlu olarak hareket etmelidir.
• Kişisel
verilerin işlenmesindeki her aşamada veri koruma hukuku ilke, usul ve
esaslarına uyumlu olarak hareket etmek;
‘’Kanuna Uyumluluk Süreci’’ olarak
adlandırdığımız uyumluluk projelerinin yürütülmesine bağlıdır.
1-FARKINDALIK
2-DEPARTMAN
BAZLI MÜLAKAT
3-
ENVANTER HAZIRLAMA
4-
AYDINLATMA AÇIK RIZA SÖZLEŞMELER POLİTİKALAR
5- BOŞLUK
ANALİZİ (GAP) MAHREMİYET ETKİ DEGERLENDİ RME (PIA)
6- SİLME,YOK ETME, ANONİMLEŞTİRME
UYUMLULUK SÜRECİ
KAPSAMINDA
• Var
olan müşteri veri tabanlarındaki veriler uyumlu hale getirilmeli
• Çalışanlardan,
tedarikçilerin, taşeronların, bayilerin çalışanları gibi yasaya tabi verisi
tutulan kişilerden gerekli izinler alınmalı
• İş
başvuru formu, sipariş formu, kayıt formu gibi üzerinde kişisel veriler bulunan
formlar incelenerek izinleri içerir hale getirilmeli
• Şirketin
veri paylaşım ilkeleri ve iş akışları incelenerek yasaya uyumlu hale
getirilmeli
• Yurt
dışı ile paylaşılan veriler açısından ilan edilecek liste kontrol edilmeli
• Gerekli
teknik önlemler alınmalı
• Veri sorumluları belirlenerek sicile bildirilmeli
İŞ PLANIMIZ
• Kısa
bir bilinçlendirme eğitimi ve kurum çalışanları ile tanışma toplantısı ve her
departmandan bir iletişim kurulacak kişi de belirlenmesi
• Kurumun
veri envanterinin belirlenmesi
1---------------------------------------------------
• Kişisel
Verilerin Tespiti
• KV
Niteliklerinin Belirlenmesi
• Hukuki
Sebeplerin Tespiti
2---------------------------------------------------
• İşleme
Amaçlarının Tespiti
• İlgili
Kişi Gruplarının Tespiti
• Saklama
Süresinin Tespiti
3--------------------------------------------------
• Alıcı
Grupların Belirlenmesi
• Yurt
Dışı Aktarımın Belirlenmesi
• Alınan
İdari ve Teknik Önlemlerin Belirlenmesi
• İşlenen
verilerin işlenme amaçlarının belirlenip bu bağlamda rıza gerekip gerekmediğinin
ve saklama sürelerinin belirlenmesi
• Kurumun
KVKK risk analizinin yapılması ve risklerin önerilen çözümlerle birlikte
raporlanması
• Hazırlanan
raporun ilgililerle paylaşılması ve karşılıklı görüşmelerle kuruma uygun
çözümlerin bulunması
• İlgili
evrak ve yazıların hazırlanması
• Sözleşme
ve beyanların KVKK mevzuatına uyumlu hale getirilmesi
• Uygulanabilirliğin
ve uygulamadaki sorun/ ek taleplerin değerlendirilmesi (6 ay sonra)
• Süreç
danışmanlığı