Bu Blogda Ara

11 Eylül 2018 Salı

New Dates for Registration to VERBIS (Registry System for Personal Data) 

VERBIS, online registry system for personal data, is still waiting to be launched which was also regulated under the Law numbered 6698 about the Protection of Personal Data (“The Law”). 

According to Article 16/2 of the Law, ‘Natural or legal persons who process personal data shall register with the Data Controllers Registry prior to commencing processing. However, considering objective criteria that shall be designated by the Board such as the characteristics and the number of data to be processed, whether or not data processing is based on any law, or whether data will be transferred to third parties, the Board may set forth exemptions to the obligation to register with the Data Controllers Registry.’

The Personal Data Protection Board (‘Board) has rendered a decision dated 19/07/2018 and numbered 2018/88 concerning the "Date of commencement of registration obligations" and announced the said on 18/08/2018.

 According to this Board decision, after VERBIS is launched, the following will be obliged to register with the system within the prescribed time:

1) The data controllers of natural or legal persons of which annual number of employees is more than 50 or an annual financial balance sheet total of more than TL 25 million will start to register on 01.10.2018 and will complete it in 12 months. Therefore they have time until 30.09.2019 for registration.

2) The data controllers of natural or legal persons operated abroad will start to register on 01.10.2018 and will complete it in 12 months. Therefore they have time until 30.09.2019 for registration.

3) The data controllers of natural or legal persons of which principal business activity is processing of special categories of personal data and annual number of employees is less than 50 and total annual financial balance is less than TL 25 million will start to register on 01.01.2019 and will complete it in 15 months. Therefore they have time until 31.03.2020 for registration.

4) The data controllers of state institutions and organizations will start to register on 01.04.2019 and will complete it in 15 months. Therefore they have time until 30.06.2020 for registration.


Av. Derya Baksı                                                                                   Stjr. Av. Sinem İlikli




27 Mart 2018 Salı

KVKK UYUMUNUZ TAMAMLANDI MI?


Kişisel verilerin korunması; AB uyum süreci çerçevesinde ülkemizde de benimsenmekte olan bir anlayış olup ilgili kanun ve alt düzenlemelerin yayınlanmasıyla birlikte pek çok gerçek ve tüzel kişiyi ilgilendiren bir konu haline gelmiştir. Bu bülten, özellikle şirketlere pek çok yükümlülük getiren yasal düzenlemeler hakkında genel bir çerçevede bilgi verme amacıyla hazırlanmıştır.

Kişisel Verilerin Korunmasına İlişkin Mevzuat Düzenlemeleri

2010 tarihli Anayasa değişiklikleriyle birlikte Türkiye’de hayatımıza giren kişisel verilerin korunması kavramı; 6698 sayılı Kişisel Verilerin Korunması Kanun’un (“Kanun”) 07.04.2016 tarihinde yürürlüğe girmesiyle birlikte somut bir hale gelmeye başlamıştır. Kanun ile birlikte Kişisel Verilerin Korunması Kurumu’na (“Kurum”) verilen yetki çerçevesinde bu hususu düzenleyen alt düzenlemeler de Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
 


Kişisel Verilerin Korunması Kurumu

Kişisel Verilerin Korunması Kurumu, kişisel verilerin korunmasına ilişkin hususlarda oldukça geniş yetkilerle donatılmış bir kamu tüzel kişiliğidir. Kurum, idari ve mali açıdan özerk olup faaliyet alanları çerçevesinde hiçbir makam ve merciden emir, talimat ve tavsiye alamaması itibariyle bağımsız bir niteliktedir.
Kurum’un faaliyet alanları çerçevesinde yönetmelik, tebliğ gibi alt düzenlemeleri yapma; yönetmeliğin yorumlanması esnasında oluşabilecek tereddütleri giderme, ilke kararları yayınlama ve gerektiğinde idari para cezası uygulama gibi yetkileri bulunmaktadır. Dolayısıyla “Türkiye’de kişisel verilerin korunması sürecinin patronu” olarak ifade edebileceğimiz kurumun faaliyetleri, mevzuat kapsamında sorumlulukları bulunan gerçek ve tüzel kişilikler için oldukça önemlidir.

Kilit Kavramlar

Kişisel Veri

Kişisel veri bir gerçek kişiye ait, o kişi ile ilişkili ya da ilişkilendirilebilir her türlü veridir. Bu itibarla kişisel veri kavramının oldukça geniş bir çerçevede değerlendirilmesi gerekmektedir. Kişinin adı, fotoğrafı, iletişim bilgileri, adresi, tuttuğu takım, internet kullanım alışkanlıkları, alışveriş tercihleri gibi pek çok kavram kişisel veri niteliğindedir.

Kişisel Verilerin İşlenmesi

Kanun’da oldukça teknik bir şekilde ifade edilmiş olan kişisel verilerin işlenmesi kavramı basitçe kişisel veriler üzerinde gerçekleştirilen her türlü işlem olarak özetlenebilir. Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, üçüncü kişilere iletilmesi, bu verilerin analizlere konu edilmesi, değiştirilmesi, imha edilmesi, anonimleştirmesi gibi işlemler kişisel veri işlemeye örneklerdir. Bir şirketin önüne bir kişisel veri geldiğinde onun hâlihazırda işlenmekte olan bir veri olduğunu ve çoktan “veri işleme” faaliyetinin gerçekleştiğini söylemek mümkündür.

Veri Sorumlusu

Kişisel verilerin işlenmesi faaliyetinin patronu olarak nitelendirebileceğimiz veri sorumlusu; veri işlemenin amaç ve araçlarını belirleyen; veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek ya da tüzel kişidir. Tüzel kişiliklerde veri sorumlusu doğrudan tüzel kişiliğin kendisidir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek ya da tüzel kişidir.

İlgili Kişi

Kişisel verisi işlenen gerçek kişidir.

Kişisel Verilerin İşlenmesinde Dikkate Alınması Gerekenler

Kişisel verilerin işlenmesi yalnızca belirli koşullar ve usuller çerçevesinde gerçekleştirilmelidir. Veri sorumlusu ve veri işleyen kişisel veri işlenirken aşağıdaki ilkelere uymakla yükümlüdür:
·       Kişisel verilerin işlenmesi hukuka ve dürüstlük kurallarına uygun bir şekilde gerçekleştirilmelidir,
·       İşlenen veriler doğru ve gerektiğinde güncel olmalıdır.
·       Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi gerekir.
·       Kişisel veriler; işleme amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmelidir.
·       Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre boyunca işlenmelidir.
Kişisel verilerin işlenmesi için aranan temel koşul açık rızanın mevcut olmasıdır. Açık bir rızanın varlığından bahsedebilmek için bu rızanın ilgili kişinin bilgilendirilmesi sonucunda, hangi işleme faaliyeti gerçekleştirilecekse o faaliyete özel olarak ve özgür irade ile verildiği söylenebilmelidir. Açık rızanın yazılı olması şart değildir ancak, açık rızanın mevcut olduğunu ispat yükü veri sorumlusuna aittir. Bu nedenle daha sonra meydana gelebilecek bir uyuşmazlıkta kolaylıkla ispata elverişli bir şekilde açık rıza alınması gerekmektedir.
Açık rızanın bulunmadığı bazı istisnai hallerde de kişisel verilerin işlenmesi mümkündür. Bunlar:
·       Kanunda kişisel verilerin işlenebileceğinin açıkça öngörüldüğü haller,
·       Rızasını açıklayamayacak durumda bulunan ya da rızasına hukuken geçerlilik tanınamayacak (örneğin bilinci kapalı ya da akıl hastası kişiler) olanların kendilerinin veya diğer kişilerin hayatının ve vücut bütünlüğünün korunması için kişisel verilerin işlendiği haller,
·       Bir sözleşmenin kurulması ya da bu sözleşmedeki hükümlerin yerine getirilmesi amacıyla; sözleşmenin taraflarının kişisel verilerinin işlenmesinin zorunlu olduğu haller,
·       Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri işlemenin zorunlu olduğu haller,
·       Kişisel verinin ilgili kişi tarafından alenileştirilmiş olduğu haller,
·       Bir hakkın tesisi, korunması, kullanılması veya korunması için kişisel veri işlemenin zorunlu olduğu haller,
·       İlgili kişinin temel hak ve hürriyetlerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için kişisel veri işlemenin zorunlu olduğu haller.
 Kişisel verilerin işlenmesinde “izin verilmedikçe her şeyin yasak olması” prensibinin dikkate alınması gerektiğinden açık rıza aranmaksızın veri işlenebilecek hallerin her olay bakımından titizlikle ve oldukça dar bir şekilde, bir “istisna” niteliğinde oldukları unutulmadan değerlendirilmesi gerekmektedir. Bu itibarla mümkün olan her halde ilgili kişilere bilgi verilerek açık rızalarının da alınması sağlanmalıdır.
Ne kadar kişisel veri işlenirse, kişisel verilerin korunması anlamında sorumluluk alanı o kadar genişleyeceğinden şirkette iş süreçleri yürütülürken işlenecek kişisel verilerin asgari düzeye indirilmesi faydalı olacaktır.

Özel Nitelikli Kişisel Veriler

Kanunda sayılan bazı veriler, diğer kişisel verilerden ayrı değerlendirilerek hassas niteliklerine uygun bir şekilde koruma altına alınmıştır. Bu nedenle özel nitelikli kişisel verilerin işlenmesinden mümkün oldukça kaçınılmalı ve işlendiği hallerde bu verilerin güvenli ortamlarda depolandıklarından, aktarıldıklarından ve diğer şekillerde işlendiklerinden emin olunmalıdır.
Özel nitelikli kişisel veriler ise şu şekildedir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Kişisel Verilerin Üçüncü Kişilere ve Yurtdışına Aktarılması

Kişisel veriler yalnızca ilgili kişinin açık rızasının bulunduğu ya da açık rızanın aranmadığı istisnai hallerde üçüncü kişilere aktarılabilmektedir.
Kişisel verilerin yurtdışına aktarılması ise özel düzenlemelere tâbi olup bu düzenlemeler aşağıdaki tabloda özetlenmiştir:
 

Veri Sorumlusunun Yükümlülükleri

A)   Şirket Yönetici ve Çalışanlarının Eğitimi

Kişisel veri işleme, sürekli değişebilen ve şirketin faaliyetine paralel olarak gelişen bir süreç olduğundan çalışanların ve yöneticilerin süreç içinde yer alırken bilinçli bir şekilde hareket etmesi gerekmektedir. Bu nedenle periyodik olarak yönetici ve çalışanlar eğitilmeli ve kişisel verilerin korunmasının kurumsal kültür haline getirilmesi sağlanmalıdır.

B)   Aydınlatma Yükümlülüğü

Veri sorumlusu ya da yetkilendirdiği kişi; kişisel verilerin elde edilmesi sırasında ilgili kişiyi bilgilendirmekle yükümlüdür. Bu bilgilendirmede veri sorumlusunun ve varsa temsilcisinin kimlik bilgileri, kişisel verilerin işlenme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi yer almalıdır. Bunun haricinde ilgili kişinin haklarına ilişkin bilgi de aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilmelidir.

C)   Kişisel Verilerin Mevzuata Uygun İşlenmesi ve Veri Güvenliğinin Sağlanması

Kişisel verilerin yukarıda yer verilen esaslar çerçevesinde işlenmesini sağlamak, hukuka aykırı veri işlemenin önlenmesini sağlamak ve olası sızıntılar için gerekli tedbirleri almak veri sorumlusunun sorumlulukları arasındadır. Fiziksel ve elektronik ortamda depolanan verilerin korunması için gerekli tedbirler alınmadığı takdirde ağır yaptırımlarla karşılaşmak söz konusu olabilecektir. Kişisel verilerin, veri sorumlusunun talimatıyla başka gerçek ya da tüzel kişilerce işlenmesi halinde yükümlülüklerin yerine getirilmesi bakımından her iki tarafın da birlikte sorumluluğu söz konusu olmaktadır.

D)  Kişisel Veri Envanterinin Oluşturulması

Veri sorumluları; kişisel veri işleme politikalarını ve stratejilerini belirlemek; aynı zamanda mevzuatta öngörülen diğer yükümlülükleri yerine getirmek adına işlemekte oldukları kişisel verilerle ilgili kişisel veri envanteri oluşturmakla yükümlüdür. Bu envanterde kişisel verilerin işlenme amaçları, ne kadar süre için işlenmekte oldukları, kişisel veri konusu kişi grupları gibi mevzuatta aranan detaylar yer almalıdır. Bu envanter oluşturulurken nelerin kişisel veri sayılacağı ve hangi birimlerde hangi verilerin işlenmekte olduğunun kesin bir şekilde tespit edilmesi, şirketin kendini kişisel veriler anlamında tanıyor olması gerekmektedir.

E)   Sicile Kayıt ve Bildirim Yükümlülüğü

Kurum tarafından açılacak olan VERBİS isimli sisteme belirli şartları taşıyan veri sorumlularının kaydolması zorunlu hale gelecektir. Hangi veri sorumlularının hangi süre içinde sicile kaydolması gerektiği henüz Kurum tarafından bildirilmemiştir. Ancak kişisel veri işleme envanterinin süratle hazırlanması ve sicile kayıtların başladığı ilan edildiğinde hazırlıklı bir şekilde sürecin yürütülmesi gerekmektedir.

F)   Kişisel Verilerin Korunmasına İlişkin Politika ve Diğer Düzenlemelerin Yürürlüğe Konması

Veri sorumluları kişisel verilerin işlenmesini sistematik esaslara bağlamak ve kişisel verilerin korunmasını bir kurumsal anlayış haline getirmekle yükümlüdür. Bu nedenle hem veri işleme usul ve esaslarını belirleyecek politikalar yürürlüğe konmalı hem de bu politikalara uyulmaması halinde disiplin yaptırımları uygulanmalıdır.

G)   Veri Sorumlusu Temsilcisi ve İrtibat Kişisi Belirlenmesi

Türkiye’de yerleşik olmayan veri sorumlularının veri sorumlusu temsilcisi; Türkiye’de yerleşik bulunan tüzel kişilerin ise irtibat kişisi ataması gerekmektedir. Bu kişilerin ayrıca açıldığında VERBİS sistemine de kaydedilmesi gerekecektir.

H)  İşlenmiş Kişisel Verilerin Gerektiğinde Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin yalnızca işlenme amaçlarının ve yasaların gerektirdiği ölçüde işlenmesi gerekmektedir. Artık işlenmesi için bir neden kalmayan ve veri sorumlusunun tâbi olduğu mevzuat hükümlerine göre saklanması gerekmeyen verilerin; ilgili düzenlemeler dikkate alınarak silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

I)    Denetim ve Süreklilik

Tüm kişisel veri işleme ve diğer yükümlülük süreçleri periyodik aralıklarla denetlenmeli ve mevzuata uygunluk bakımından sıkı bir değerlendirmeye tâbi tutulmalıdır. Kişisel verilerin korunmasına ilişkin politikaların yalnızca yürürlüğe girmeleri nedeniyle veri sorumlusunun sorumluluklarını ortadan kaldırmayacağı dikkate alınmalıdır. Veri korumaya ilişkin politikalar adeta kurumsal refleks haline getirilmelidir.

Yükümlülüklerin Yerine Getirilmemesinin Sonuçları

Kişisel verilerin korunmasına ilişkin yükümlülüklerin yerine getirilmemesi prestij kaybının yanında birtakım idari ve cezai yaptırımların uygulanmasını da gündeme getirebilmektedir.

A)   İdari Yaptırımlar

Kurum’un aşağıdaki tabloda yer alan ihlallerin gerçekleşmesi halinde belirtilen para cezalarını uygulama yetkisi bulunmaktadır.
Fiil
İdari Para Cezası
Aydınlatma yükümlülüğünün yerine getirilmemesi
5.000 – 100.000 TL
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi
15.000 – 1.000.000 TL
Kişisel Verileri Koruma Kurumu kararlarının yerine getirilmemesi
25.000 – 1.000.000 TL
Veri sorumluları siciline kayıt ve sicile bildirim yükümlülüğünü ihlal
20.000 – 1.000.000 TL

B)   Cezai Yaptırımlar

Türk Ceza Kanunu’nda aşağıdaki tabloda yer alan fiiller suç olarak düzenlenmiştir.
Fiil
Temel Cezai Yaptırım
Hukuka aykırı olarak kişisel verileri kaydetme
1 – 3 yıl hapis
Verileri hukuka aykırı olarak bir başkasına verme, yayma,  ele geçirme
2 – 4 yıl hapis
Kanuni sürelerin geçmiş olmasına rağmen yok etmekle yükümlü olanların verileri yok etmemesi
1 – 2 yıl hapis
Burada yer alan cezalar, ilgili suçların temel hallerinin işlenmesi halinde uygulanacak cezalar olup somut olaya göre değişkenlik gösterebilir.

Av. Derya Baksı 
Av. Kerem Utku Örer

Etiketler

marka Turkuaz Kart Türk Patent ve Marka Kurumu Uluslararası İşgücü Kanunu sınai mülkiyet kanunu Marka Koruması Sınai Mülkiyet kişisel veri kişisel verileri koruma kanunu marka tescili personal data protection Auditor Board of Directors Corporate Responsibility Corporate Social Responsibility E-Commerce Web Sites E-Ticaret siteleri E-Ticarette Güven ETBİS; e-ticaret; E-ticaret bilgi sistemi Faydalı Model; Teşvik; KOSGEB; Turquality; Sınai Mülkiyet Fikri Mülkiyet Güven Damgası Güven Damgası Sağlayıcısı Human Rights; Equality; Labour Law; discrimination; mobbing; 6701; Human Rights and Equality Institution Industrial Property Law International Workforce Law KVKK KVKK; KVK; Kişisel Verilerin Korunması; Data Privacy; GDPR; Privacy; Kişisel Veri; Personal Data; Özel Nitelikli Kişisel Veriler; Aydınlatma Yükümlülüğü; Envanter; VERBIS Kişisel Veri Rehberi Kişisel Veri Saklama ve İmha Politikası Kişisel Veriler; Kişisel Verilerin Korunması; Veri Sorumlusu; Veri Sorumluları; Kişisel Veri Envanteri; Veri Sorumluları Sicili Kişisel VerilerinPrivacy; Kişisel Veri; Personal Data; Özel Nitelikli Kişisel Veriler; VERBIS Kurumsal Sosyal Sorumluluk Kurumsal Sürdürülebilirlik Madrid Protokolü Markanın Tescili Markaya Tecavüz Minority Minority rights OHAL Protection of Personal Data; Data Controller; Register of Data Controllers; Committee of Protection of Personal Data; Personal Data Inventory; Personal Data Retention and Disposal Policy Sanayinin Geliştirilmesi ve Üretimin Desteklenmesi; Ar-Ge; Teknoloji Transfer Ofisi Security Seal Communiqué Security Seal Providers Sermaye Şirketleri Sınai Mülkiyet Kanunu Tasarısı Trade Mark Turkish Commercial Code Turkuaz Kart nedir Turquoise Card Türk Patent Enstitüsü Veri Sorumlusu; Kişisel Veri Envanteri; Veri Sorumluları Sicili Yabancıların Türkiye'de Çalışması Yeni Türk Ticaret Kanunu; Tek Kişilik Şirketler; Anonim Şirketler; Limited Şirketler başvurusu data privacy elektrik enerjisi enerji enerji kaynakları ethics; code of ethics; corporate governance fazla çalışma; fazla sürelerle çalışma; fazla mesai; yazılı onay geçici iş ilişkisi gizli bilgi human rights convention ikamet izni intellectual property law iptali iş sırrı kimlere verilir kişisel verileri işleme marka hakkı marka itiraz marka korumasında yenilikler markaya itirazda süre merkezi tüzel kişilik bilgi sistemi personal data personal data processing privacy private employment agencies residence permit in Turkey sadakat borcu taklit tanınmış marka temporary employment relationship ticaret sicil memurluğu veri gizliliği work permit in Turkey yenilenebilir enerji yönetim kurulu başkanı; TTK madde 366 yıllık ücretli izin yönetmeliği yıllık ücretli izin; izin süresinin tespiti Çalışma İzni çalışma izinleri çalışma izni çalışma izni muafiyeti özel istihdam büroları İflas Erteleme İkamet İzni İş Kanunu; Çağrı Üzerine Çalışma; Uzaktan Çalışma; Geçici İş İlişkisi; Yeni Düzenleme İş sözleşmesi