Coşar & Akkaya Avukatlık Bürosu olarak Kişisel Verilerin Korunması konusunda gerek yerli gerekse yabancı sermayeli şirketlerin bünyesinde gerçekleştirdiğimiz uyum projeleri sayesinde uygulamada önemli bir deneyime sahibiz. Hukuk büromuz, Türkiye’de faaliyet gösteren kuruluşların, Kişisel Verilerin Korunması konusunda hukuki olarak ihtiyaç duyabilecekleri her türlü hizmeti verme kapasitesine sahiptir.
Kişisel Verilerin Korunması hususundaki düzenleyici mevzuatın hayatımıza girişi nispeten kısa bir süre önce gerçekleşti. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girdi. Özellikle, KVKK ile getirilen yüksek idari para cezaları (1.000.000 TL’ye kadar) ve Yöneticilerin yargılanmasına yol açabilecek kişisel verilere ilişkin suçlar düşünüldüğünde; kişisel verilerin korunması mevzuatına uyum son derece önem arz etmeye başladı.
Coşar & Akkaya Hukuk Bürosu olarak başta şirketler olmak üzere kuruluşlar nezdinde KVKK’ya uyumun sağlanmasına ilişkin her türlü hukuki hizmeti vermekteyiz. Müvekkillerimizin KVKK’ya uyum konusundaki ihtiyaçlarına yönelik oluşturduğumuz projelerde başlıca aşağıdaki hizmetler yer almaktadır:
- Ortak ve/veya kuruluş yöneticilerinin katıldığı KVKK’ya uyum ve KVKK kapsamında ortaya çıkan sorumluluğa ilişkin genel bilgilendirme toplantıları gerçekleştirmekteyiz. Kişisel verilerin korunması mevzusunun önemi, olası sonuçları ve kuruluş bünyesinde nasıl ele alınması gerektiğine dair genel çerçeveyi çizmekteyiz.
- Kişisel veri envanteri oluşturmak üzere kuruluş bünyesinde bulunan her bir birimin/departmanın ilgili yöneticileri ve/veya personeli ile ayrı ayrı çeşitli toplantılar gerçekleştirmekteyiz.
- Kişisel veri envanteri oluşturulması konusunda gerekli olan her türlü hukuki danışmanlığı vermekteyiz.
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki tespitlerde bulunarak, gerekli dokümantasyonu hazırlamaktayız
- Kişisel verilerin hangi amaçla işlendiğinin tespit edilerek gerekli dokümantasyonu hazırlamakta ve gerekmesi halinde ‘açık rıza’ ile ilgili düzenlemeleri yapmaktayız.
- Kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarını tespit ederek, bu gruplar ile imzalanmış Sözleşmeleri gözden geçirmekteyiz.
- Varsa, yabancı ülkelere aktarımı öngörülen kişisel verilerin tespiti ile gerekli düzenleme ve dokümantasyonu hazırlamaktayız.
- Kişisel veri güvenliğine ilişkin alınması gereken teknik ve idari tedbirlerin belirlenmesinde danışmanlık vermekteyiz.
- KVKK’ya ilişkin Kurumsal Politikaları hazırlanması konusunda danışmanlık vermekteyiz.
- Kuruluş bünyesinde kullanılan standart sözleşmelerin KVKK’ya uyumu bakımından incelenmesi ve düzenlemenin sağlanmasını yerine getirmekteyiz.
- Kuruluşun hizmet sağlayıcılarla imzalamış olduğu sözleşmelerin gözden geçirilerek KVKK uyumu konusunda gerekli düzenlemeleri belirlemekteyiz.
- Avrupa Birliği (GDPR) bakımından gerekli bilgilendirmelerin Yönetici düzeyinde yapılmasını sağlamaktayız
- Veri Sorumluları Sicili (VERBİS) kayıt işlemlerinin tamamlamaktayız
- Eğitim ve Farkındalık Faaliyetleri kapsamında tüm personelin katılacağı çeşitli eğitimler gerçekleştirmekteyiz.
Veri Sorumlusu kimdir ve yükümlülükleri nelerdir?
KVKK kapsamında ‘Veri Sorumlusu’ tanımı yapılarak Veri Sorumlusuna ilişkin çeşitli yükümlülükler getirildi. Öncelikle belirtmek gerekir ki; ilgili mevzuat kapsamında ‘Veri sorumlusu’ kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandı. Şirketler tüzel kişi olarak, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında doğrudan kendileri “veri sorumlusu” olduğundan, sorumluluk bakımından tüzel kişinin şahsı sorumlu olacaktır.
Kişisel verileri işleyen Veri Sorumluları, veri işlemeye başlamadan önce ‘Veri Sorumluları Siciline’ kaydolmak zorundadır. Bununla birlikte Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca veri sorumluları siciline kayıt olmak zorunda olan Veri Sorumlularına kişisel veri işleme envanteri hazırlama yükümlülüğü getirilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının ‘ç’ bendi uyarınca “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır” denilmektedir.
Kişisel Veri İşleme Envanteri Hazırlanması hususunda profesyonel destek almak gerekmektedir. Coşar & Akkaya Hukuk Bürosu olarak, kuruluş içinde yer alan tüm departmanların katılacağı Kişisel Veri İşleme Envanteri Hazırlama toplantıları kapsamında Veri Sorumlusu olarak işlenen kişisel verilerin tespit edilmesini sağlanmakla birlikte, aynı zamanda gerekli idari ve teknik tedbirlerin alınması bakımından gerekli tespit ve yönlendirmeleri yapmaktayız.
Kişisel veri işleme envanteri hazırlama yükümlülüğü ne şekilde yerine getirilir?
Kişisel veri işleme envanteri belirtilen Yönetmeliğin 4 üncü maddesinin birinci fıkrasının ‘h’ bendinde ‘’Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter’’ olarak ifade edilmektedir. Buna göre belirtilen envanter;
- Kişisel veri işleme faaliyetlerini
- Kişisel veri işleme amaçlarını
- Kişisel verilerin işlenmesindeki hukuki sebebi
- Veri kategorisini
- Aktarılan alıcı grubu
- Veri konusu kişi grubu
- Saklama süresini
- Verilerin yabancı ülkelere aktarılıp aktarılmadığını
- Veri güvenliğine ilişkin alınan teknik ve idari tedbirleri
asgari olarak içermelidir. Belirtilen asgari unsurlar ayrıca Veri Sorumluları Sicili Kayıt Sistemi’nde (VERBİS) kaydedilmektedir. Ancak Veri Sorumluları Sicili ile Veri İşleme Envanteri arasında çeşitli farklar bulunmaktadır. Bunlar;
- Veri Sorumluları Sicili’nde belirtilen sınırlı alanlara başlıklar halinde bilgi girişi yapılarken, Kişisel Veri Envanterinde tüm bu verilerin daha detaylı olarak yer alması gerekir.
- Veri Sorumluları Sicili kamuya açık olarak tutulmaktadır. VERBİS’e girilen bilgiler dileyen herkes tarafından görüntülenebilir. Kişisel Veri Envanteri ise Veri Sorumlusunun kendi bünyesinde kalacak ve sadece Kişisel Verilerin Korunması Kurulu tarafından talep edildiğinde ibraz edilecektir.
- VERBİS sistemi içerisinde ilgili alanlarda giriş yapması zorunlu tutulmuşken Envanterin şekli açısından herhangi bir şart veya koşul öngörülmemiştir.
Sonuç olarak Kişisel Veri İşleme Envanteri hazırlarken fiziksel ve elektronik ortamda işlenen tüm kişisel verilerin analizi yapılmalı, kişisel verilerin işlenme aşamaları tek tek tespit edilmeli ve kişisel verilerin akış şemaları oluşturulmalı ve ayrıntılı bir rapor haline getirilmelidir.
VERBİS’e kayıt yükümlülüğü nasıl yerine getirilir?
Kişisel Verilerin Korunması mevzuatı kapsamında Veri sorumluları için VERBİS’e kayıt yükümlülüğü getirilmiştir. KVK Kurulu kayıt zorunluluğu için belli kriterler belirlemiş ve bunu dışında kalan kuruluşları veri siciline kaydolmaktan istisna tutmuştur. VERBİS’e kayıt olma zorunluluğu bulunan kuruluşlar:
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları
- Kamu kurum ve kuruluşu veri sorumluları
Buna göre; dört grupta belirtilen bu veri sorumluları, veri sorumluları siciline kayıt yükümlülüğünü veri işlemeye başlamadan veya KVK Kurulu tarafından belirlenmiş tarihlere kadar yerine getirmiş olmalılardır. Bu yükümlülüğü yerine getirmeyen veri sorumluları hakkında 6698 Sayılı Kişisel Verilerin Korunması Kanunu 18 inci maddesinin (ç) bendi uyarınca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hükmü düzenlenmiştir.
Coşar & Akkaya Hukuk Bürosu olarak VERBİS kayıt yükümlülüğünün yerine getirilmesinde her türlü hukuki desteği sağlamaktayız.
Veri sorumlusunun aydınlatma yükümlülüğü nedir?
Kişisel Verilerin Korunması Kanunu, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Coşar Akkaya Hukuk Bürosu olarak kuruluşların aydınlatma yükümlülüğünü mevzuata uygun yerine getirmelerini sağlamak yönünde gerekli hukuki desteği sağlamaktayız.
KVKK’ya uyum bakımından kuruluşlarca alınması gereken idari ve teknik tedbirler nelerdir?
Kişisel Verilerin Korunması Kurumu tarafından yayımlanan rehberlerde önerilen bazı tedbirler aşağıda sırlanmıştır. Coşar Akkaya Hukuk Bürosu olarak bu tedbirlerin ne şekilde alınması ve uygulanması gerektiği hususlarında müvekkillerimize hukuki destek sağlamaktayız.
KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER
- Mevcut Risk ve Tehditlerin Belirlenmesi
- Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
- Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
- Kişisel Verilerin Mümkün Olduğunca Azaltılması
- Veri İşleyenler ile İlişkilerin Yönetimi
KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER
- Siber Güvenliğin Sağlanması
- Kişisel Veri Güvenliğinin Takibi
- Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
- Kişisel Verilerin Bulutta Depolanması
- Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
- Kişisel Verilerin Yedeklenmesi
Coşar & Akkaya Hukuk Bürosu olarak Kişisel Verilerin Korunması konusunda ihtiyaç duyabileceğiniz her türlü hizmeti verme kapasitesine sahibiz. İhtiyaçlarınızı tespit etmek ve projelendirerek bir an önce yükümlülüklerinizi yerine getirmenize katkı sağlamamız için bizlerle iletişime geçebilirisiz.
Bizimle İletişime Geçin