GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5

Benzer belgeler
GSG Hukuk. Aylık KVK Bülteni. 1 Güncel Haberler. 2 Makaleler. Temmuz Bu sayıda. Türkiye den haberler

İlgili bilgilendirmenin asgari olarak içermesi gereken hususlar aşağıdaki gibidir: Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

GSG Hukuk. Aylık KVK Bülteni. 1 Güncel Haberler Türkiye den haberler: 2 Makale. Kasım Bu sayıda

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -3

Kişisel Verilerin Korunması Kanunu Kapıda: Hazır mıyız?

KANUN KAPSAMINDAKİ HAK VE YÜKÜMLÜLÜKLER

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -10

3. Kişisel verilerinizi neden saklıyoruz? Hukuki, teknik ve idari nedenler

Kişisel Verilerin Korunması. Av. Dr. Barış GÜNAYDIN

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -4

Kişisel Verilerin Korunmasının İktisadi ve Hukuki Analizi Raporu

KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI

TEİD VERİ İHLALLERİ. Etik ve İtibar Derneği. Av. Hande Kıstak. Siemens San. ve Tic.A.Ş.

MAGMAWELD Kişisel Verilerin Korunması ve İşlenmesi Politikası

Kişisel Verilerin Korunmasında İç Denetimin Rolü. #Tidekongre2016

- KİŞİSEL VERİLERİN KORUNMASI MEVZUATINA UYUM İÇİN YAPILMASI GEREKENLER HAKKINDA HUKUK BÜLTENİ-

KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA BİLGİLENDİRME FORMU

Aydınlatma Yükümlülüğü ve Açık Rıza Beyanı

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2

KVKK. Kişisel Verilerin Korunması Kanunu. Mustafa TURAN M.Sc Cyber Security

KİŞİSEL VERİLERİ KORUMA KURUMU

VERBİS. Kişisel Verileri Koruma Kurumu. Veri Sorumluları Sicili. Nedir?

KPMG TÜRKİYE 1 KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN MÜŞTERİ AYDINLATMA METNİ. Revizyon Tarihi:

MASAK Şüpheli. Tebliğ

Türkiye Kişisel Verilerin Korunması Kanunu Hakkında Bilgi

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK (20 Ekim 2016 tarihli sayılı Resmi Gazete)

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİLGİ NOTU

GSG Hukuk Aylık İş Hukuku Bülteni Sayı -10

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK YAYIMLANDI

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -1

GSG Hukuk. Aylık KVK Bülteni. 1 Güncel Haberler. 2 Makale. Ekim Bu sayıda. Amazon Çalışanlarının Veri Satışı İddialarını Araştırıyor

MUSTAFA AFYONLUOĞLU Siber Güvenlik, E-Yönetişim ve E-Devlet Kıdemli Uzmanı

6698 Sayılı Kişisel Verilerin Korunması Kanunu. Durmuş YILDIRAN Yeminli Mali Müşavir

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

ALTINBAŞ GAYRİMENKUL GELİŞTİRME VE YAPI A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI 1.1. GİRİŞ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Sanko Holding Kişisel Verilerin Korunması ve İşlenmesi Politikası

TERSAN TERSANESİ A.Ş. KVKK POLİTİKASI. HAZIRLAYAN GÖZDEN GEÇİREN ONAYLAYAN Bilgi İşlem Yöneticisi Bilgi Güvenliği Yönetim Temsilcisi Genel Müdür

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -14. Avrupa Birliği ne Mal ve Hizmet Sunan Şirketler için Önemli Düzenleme

Kişisel Verilerin Korunması Hakkında Bilgilendirme Metni

İlk yayın tarihi. POLI.GRC.02 1 Bilgi Teknolojileri

6698 Sayılı Kişisel Verilerin Korunması Kanunu nda öngörülen geçiş süreci sona erdi

BAYMAK MAKİNE SANAYİ VE TİCARET A.Ş. Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası

DUMANKAYA İNŞAAT SANAYİ ve TİCARET A.Ş.

KİŞİSEL VERİLERİN KORUNMASI AYDINLATMA METNİ. TANIMLAR : 6698 sayılı Kişisel Verilerin Korunması Kanunu

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Kuştepe Mah. Mecidiyeköy Yolu Cad. 12 Trump Towers Kule 2 Kat: Şişli, İstanbul

KONU: Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

Yatırım Fonlarının Finansal Raporlama Esaslarına İlişkin Tebliğ de Hangi Değişiklikler Yapıldı?

Özel Nitelikli Kişisel Veri İşleme Prosedürü

ABDİ İBRAHİM OTSUKA İLAÇ SANAYİ VE TİCARET A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

Finansal Kiralama, Faktoring ve Finansman Şirketleri Yönetmeliği

İkincil Mevzuatlar ve Uygulamaya Yönelik Eğitim ve Çalıştaylar

ÖZEL NİTELİKLİ KİŞİSEL VERİLER İÇİN ALINMASI GEREKEN ÖNLEMLER İLE İLGİLİ KARAR

KİŞİSEL VERİLERİN ELDE EDİLMESİ VE İŞLENMESİ İLE İLGİLİ BİLGİLENDİRME FORMU

MT HOLDİNG A.Ş MT HOLDİNG İNTERNET SİTESİ GİZLİLİK POLİTİKASI

GSG Hukuk Aylık İş Hukuku Bülteni Sayı -8

MEY İÇKİ SAN. VE TİC. A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

METOD ÖZEL GÜVENLİK VE KORUMA HİZMETLERİ TİC.LTD ŞTİ ŞİRKETİ KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ

TRİTON BİLİŞİM TEKNOLOJİ VE DANIŞMANLIK HİZMETLERİ A.Ş. GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

OLGUN ÇELİK A.Ş. GİZLİLİK POLİTİKASI

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK YAYIMLANDI

GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -11

KENT FAKTORİNG ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN MÜŞTERİ AYDINLATMA METNİ

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik Yeniden Düzenlendi

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

KİŞİSEL VERİLERİN KORUNMASI MEVZUATI VE UYUM KAPSAMINDA GERÇEKLEŞTİRİLECEK HUSUSLAR

ALSİM ALARKO SANAYİ TESİSLERİ VE TİCARET A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

GİZLİLİK POLİTİKASI sayılı Kişisel Verilerin Korunması Kanunu bundan böyle Kanun

TURKISHBANK A.Ş. VE İŞTİRAKLERİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

GSG Hukuk Aylık İş Hukuku Bülteni Sayı -11

Yazılı Belge Yükümlülüğü

GSG Hukuk Aylık İş Hukuku Bülteni Sayı -13. durumda bir defaya mahsus genel bir onay alınmasının gerektiğini düşünüyoruz.

HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ AYDINLATMA METNİ

GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

Kişisel Verilerin Korunması ve Gizlilik Politikası

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

AYGERSAN AYDINLATMA GEREÇLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI AYDINLATMA METNİ

ABDİ İBRAHİM İLAÇ SANAYİ VE TİCARET A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Veri Sorumlusu: Suzuki Motorlu Araçlar Pazarlama A.Ş. Acıbadem Mahallesi, Alidede Sokak, No.2, Kadıköy, İstanbul

ALARKO HOLDİNG A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

ELEKTRONİK TİCARET KANUNU KAPSAMINDA HİZMET SAĞLAYICILARIN BİLGİ VERME YÜKÜMLÜLÜĞÜ

EK-2 Veri Sorumlusu: Olgun Çelik A.Ş. Keçiliköy OSB Mah. Hasan Türek Bulvarı No:14, Yunusemre / Manisa

Kişisel Verilere İlişkin Aydınlatma Metni. Veri Sorumlusu: Adilbey Holding A.Ş. Adres: Bodrum Şubesi, Kaynar Mevkii Bodrum, Muğla, Turkey.

TEBLİĞ. Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE

ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

DKY İNŞAAT VE GAYRİMENKUL YATIRIM ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI HAKKINDA AYDINLATMA BİLDİRİMİ

ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK TASLAĞI KAMUOYUNUN GÖRÜŞÜNE SUNULDU

KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ

KEMER YAPI VE TURİZM A.Ş SAYILI KVK KANUNU HAKKINDA BİLGİLENDİRME VE ŞİRKET UYGULAMASI

KİŞİSEL VERİLERİN KORUNMASI

Kişisel Verilerin Korunması Mevzuatına Kısa Bir Bakış ve Uyum Süreçlerine İlişkin Güncel Tespitler. Av. Yasemin Semiz

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK YAYIMLANDI

KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ VE VERİ MAHREMİYETİNİN SAĞLANMASI HAKKINDA YÖNETMELİK TASLAĞI. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Transkript:

Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Aylık KVK Bülteni Mart 2018 Güncel Haberler: Kişisel Verileri Koruma Uzmanlığı Yönetmeliği: Kişisel Verileri Koruma Uzmanlığı Yönetmeliği 9 Şubat 2018 tarihli ve 30327 sayılı Resmi Gazete de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir. Yönetmelik, kişisel verileri koruma uzman yardımcılarının mesleğe alınmalarına, yetiştirilmelerine, kişisel verileri koruma uzmanlığına atanmalarına ilişkin usul ve esaslar ile kişisel verileri koruma uzman ve uzman yardımcılarının görev, yetki ve sorumluluklarını düzenlemektedir. Uzman yardımcılığı giriş sınavı yazılı veya sözlü olarak iki aşamalı veya sözlü olarak tek aşamalı yapılacaktır. Sınavın kaç aşamalı olacağına karar vermeye Kişisel Verileri Koruma Kurulu ( Kurul ) yetkilidir. Uzman ve uzman yardımcılarının başlıca görev ve sorumlulukları kişisel verilerin korunması uygulamalarında çalışmalarda bulunmak; yeni stratejiler geliştirmek; kurumun hizmet, kapasite ve kalitesinin artırılmasına yönelik çalışmalar yapmak; hazırlanmakta olan çalışmalara katılmak; kişisel verilerin korunması konusunda ulusal ve uluslararası çalışmaları takip etmek ve Türkiye de uygulanabilir yöntemler üzerinde çalışmalarda bulunmaktır. Yönetmeliğe linkten ulaşılabilir Facebook Gizlilik İlkeleri Genel Veri Koruma Yönetmeliği ( GDPR ) 25 Mayıs 2018 tarihi itibariyle yürürlüğe girecektir. Bu bağlamda birçok şirket GDPR ın getirdiği yükümlülüklere uyum sağlamak amacıyla çeşitli aksiyonlar almaya başladı. Facebook da GDPR a uyum sağlamak amacıyla gizlilik ilkelerini yayınladı ve kullanıcılar için kişisel verileri üzerinde kontrol mekanizmalarını anlatabilmek amacıyla eğitim videoları hazırlayacaklarını açıkladı. Ayrıca, Facebook un reklam faaliyetleri kapsamında kullanıcıya ait kişisel verilerin kullanıcılar tarafından nasıl yönetilebileceği, kullanıcıların eski gönderilerine ilişkin kişisel verileri nasıl silebileceği ve Bu sayıda 1 Güncel Haberler Kişisel Verileri Koruma Uzmanlığı Yönetmeliği Facebook gizlilik ilkeleri İtalya Veri Koruması Otoritesi kararı 2 Makaleler Veri ihlallerine ilişkin bildirimde bulunma zorunluluğu Bulut bilişim ve kişisel verilerin işlenmesi 1

Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Facebook hesapları silindikten sonra kişisel verilerinin durumu hakkında açıklamalara da yakın bir zamanda yer verileceğini açıkladı. Özellikle GDPR ile birlikte gelen hesap verilebilirlik ilkesi doğrultusunda Facebook gibi şirketlerin kullanıcılarına kendi kişisel verileri üzerinde kontrol mekanizmalarını geliştirici yönde faaliyetlerde bulunması bu ilkenin getirdiği bir sonuçtur. Kişisel verilerin işlenmesinde ilgili kişilere ve topluma karşı şeffaflığın sağlanması açısından Facebook gibi diğer büyük teknoloji şirketlerinin de yakın zamanda yukarıda belirtilenlere benzer aksiyonlar alması beklenmektedir. İtalya Veri Koruma Otoritesi kararı İtalya Veri Koruma Kurulu 7 Şubat 2018 tarihinde Telecom Italia S.p.A ya iki milyona yakın müşterisine açık rızalarını almadan telefon aracılığıyla doğrudan pazarlama faaliyetlerinde bulunduğu için 840.000 Euro para cezası verdi. İtalya Veri Koruma Kurulu bu kararı, Telecom Italia S.p.A nın söz konusu hukuka aykırı davranışının farkında olduğu, uymak zorunda olduğu bu yükümlülüğün bilincinde olması ve ilgili veri tabanının boyutu göz önüne alınarak verdiğini açıklamıştır. KVK Makaleleri: Bulut Bilişim ve Kişisel Verilerin İşlenmesi Dijitalleşmenin bir sonucu olarak internet ortamı aracılığıyla birçok ticari faaliyetin yapılması mümkün hale gelmiştir. Günümüzde sanal ortamda faaliyetlerini yürüten veya veri kaydeden şirketler ve organizasyonların sayısı artmaktadır. Özellikle bulut bilişim sistemi olarak adlandırılan çevrimiçi yazılımlar birtakım kolaylıkları düşük maliyet ile sağlasa da bu teknoloji bazı sorumlulukları da beraberinde getirmektedir. Bulut bilişim (cloud computing), bilgisayarlar da dahil olmak üzere akıllı elektronik aletlerle kullanıcılar arasında paylaşılan bilgisayar kaynakları ve internet tabanlı bilişim hizmetleri sağlar. Kurum ve kuruluşların faaliyetlerini sürdürebilmeleri için yürütmeleri gereken tüm süreçlerin internet ortamında kaydedilmesini ve saklanmasını sağlar. Halihazırdaki bulut teknolojisi özel (private), grup (community) ve herkese açık (public) bulut bilişim sistemi olarak üç farklı şekilde karşımıza çıkmaktadır. Bu türlerden de açıkça anlaşılacağı gibi farklı tipteki bulut bilişim sistemleri kişisel verilerin korunması hukuku bakımından veri işleyen tüzel kişiliklere farklı sorumluluklar yükleyebilmektedir. Bulut hizmeti sağlayıcılarını KVKK kapsamında veri işleyen konumunda kabul etmek doğru olacaktır. Kurul da yayımlamış olduğu Kişisel Verilerin Korunması ve Uygulaması rehberi içerisinde bulut hizmeti sağlayıcılarını veri işleyen olarak kabul ettiğini açıkça belirtmiştir. Bu konumları sebebiyle, müşterilerinin faaliyetlerini dijital boyutta sürdürmelerini veya verilerini saklama hizmetini dijital ortamda sağlamayı taahhüt eden bulut hizmet sunucuları, bu hizmetleri sunarken kişisel verilerin korunması hukuku düzenlemelerine uygun davranmak durumundadır. KVKK her ne kadar bulut bilişim hizmeti sağlayıcılarına yönelik açık bir hüküm öngörmemekle birlikte Kurul un internet sitesinde yayımlamış olduğu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi uyarınca, bulut hizmeti sağlayıcılarının kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir. 2

Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Veri İhlallerine İlişkin Bildirimde Bulunma Zorunluluğu Kişisel verilerin korunması, 6698 numaralı Kişisel Verilerin Korunması Kanunu ( KVKK ) ile Türkiye de ilk defa düzenlenmiştir. KVKK daki düzenlemeler 95/46/EC numaralı AB Direktifine büyük ölçüde benzemektedir. 7 Nisan 2016 tarihinde yürürlüğe giren KVKK dan önce Türkiye de kişisel verilerin koruması hakkında bir mevzuat bulunmadığı için, bu konuda oturmuş bir uygulama bulunmamaktadır. Kurul un, ilerleyen günlerde Avrupa daki veri korunma otoriteleri ile benzer bir yaklaşım benimsemesi ve vereceği kararlar ile KVKK uygulamasını açıklığa kavuşturması beklenmektedir. KVKK kişisel verilerin uygun teknik ve idari önlemlerle ve gerekli güvenlik seviyesi temin edilerek korunması gerektiğini düzenlemektedir. Bu güvenliğin kişisel verinin yetkisiz veya yasadışı işlenmesine veya kişisel verinin kaybedilmesi, imha edilmesi veya zarar görmesine de yönelik olması gerektiği belirtilmektedir. KVKK da veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Kanun bu tanımlamaya giren veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, ve kişisel verilerin muhafazasını sağlamak gibi yükümlülükler getirmiştir. Bu açıklamalar ışığında kişisel verilere yönelik bir ihlal söz konusu olduğu zaman, bu ihlalden ilk etapta sorumlu olan veri sorumlusu olacaktır. Veri sorumlularının kişisel verilerin ihlalini önlemek amacıyla uygun güvenlik seviyesini sağlamak için teknik ve idari önlem alma yükümlülükleri kapsamında uygun güvenlik seviyesinin nasıl belirleneceği hususu ise yine Kurul un benimseyeceği görüş çerçevesinde şekillenecektir. Keza KVKK nın 22. maddesinin 1. fıkrasının (f) bendi uyarınca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak Kurul un yetki ve görevleri arasında yer almaktadır. Bununla birlikte, yol gösterici olması amacıyla Kurul tarafından resmi internet sitesinde yayınlanan rehber uyarınca, Kurul tarafından belirlenecek asgari kriterler esas alınmakla birlikte, her sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olacaktır. KVKK nın 12. maddesinin 5. fıkrası İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir hükmünü öngörmektedir. Ancak KVKK belirtilen ihlal durumunda yapılacak bildirimi daha fazla detaylandırmamıştır. Ancak ilgili maddeden anlaşıldığı üzere ihlal bildiriminin veri sorumlusu tarafından yapılması gerekmektedir. AB mevzuatında, veri sorumlusunun ilgili kuruma ihlal bildiriminde bulunurken bildirimin içeriğinde minimum olarak şu bilgilere yer vermesi gerekmektedir. Kişisel veri ihlalinin nasıl gerçekleştiği, ihlalin yaklaşık kaç veri sahibini ilgilendirdiği ve yaklaşık olarak ihlal edilen veri sayısını, tespit edilebiliyorsa verisi ihlal edilen kişinin ismi ve diğer bilgilerini, ihlalin sebep olabileceği sonuçları, veri sorumlusunun veriyi işlerken aldığı ihlale yönelik güvenlik önlemlerini, hatta gerekli olduğunda aldığı güvenlik önleminin sebep olabileceği diğer zararlı etkiler. Türk mevzuatında veya uygulamasında henüz bu konuda çıkarılmış ikincil bir düzenleme bulunmadığı için ihlal bildirimi yapılmasında AB görüşünün örnek alınabileceği kanaatindeyiz. Ayrıca KVKK, Veri Sorumluları Sicili ne kayıt olunması halinde, verisi işlenen her kişinin spesifik verisinin bildirilmesini değil, işlenen verilerin sınıflandırılarak kategorik bazda bildirilmesini öngörmektedir. Dolayısıyla ihlal durumunda, Kurul a ihlal bildiriminde bulunurken kişisel verileri ihlal edilen veri sahiplerinin kim olduklarının belirtilmesine gerek olmadığı görüşündeyiz. 3

Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Kişisel Veri Güvenliği Tedbirleri KVKK nın 12. maddesinin birinci fıkrası işlenen kişisel veriler için veri güvenliğine ilişkin birtakım kurallar öngörmüştür. Bu maddeye göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verileri hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlularının, KVKK nın öngördüğü veri güvenliğine ilişkin idari ve teknik tedbirleri alabilmesi için öncellikle veri işleme faaliyeti süreçlerine hakim olması gerekir. Bu konuda kapsamlı bir envanterin hazırlanması veri işleme faaliyeti süreçlerine hakim olunabilmesi için veri sorumlusunun elindeki en önemli araçlardan biridir. Veri sorumlusu, kişisel veri işlediği her sürecini ilk anından son anına kadar potansiyel kazalardan, ihmallerden, kasıtlı ve kötü niyetli eylemlerden korumalıdır. Ayrıca, kötü niyetli yazılım ve veri sorumlusu tarafından verilecek hizmetin görülmesini engelleyecek diğer karmaşık teknolojik tehditlere karşı koruma sağlamak için teknik denetimler de uygulamalıdır. Bunun yanında ihmalkar çalışanlara karşı iç politikalar oluşturarak veri güvenliğine ilişkin koruma sağlamalıdır. Belirtilen kontroller, KVKK nın 12.maddesinde yer alan uygun güvenlik düzeyini temin etmek yönelik her türlü gerekli teknik ve idari tedbirlerine örnek oluşturmaktadır. Burada üzerinde durmamız gereken nokta, KVKK da özellikle üzerinde durulan uygun ve gereklilik sözcükleridir. Uygun ve gereklilik sözcüklerinin kullanılması bize KVKK nın veri güvenliğine ilişkin herkes için standart bir koruma gerektirmediğini ifade etmektedir. Burada uygun ve gerekli güvenlik önlemlerinin nasıl tespit edileceği veri sorumlusu bazında her veri sorumlusunun özellikleri göz önüne alınarak (Örn. büyüklük, işlenen kişisel verinin niteliği vb.) ayrı ayrı belirlenmelidir. Veri sorumlularından süreçleri için risk değerlendirmesi testi yapmaları ve bu şekilde neyin uygun ve gerekli olduğunu belirlemeleri beklenmektedir. Buradaki risk değerlendirmesi testi, işlenen kişisel verileri, öngörülebilir riskleri ve teknik sistemlerin zayıf noktalarını yansıtmalıdır. gerektiği anlamına gelecektir. Muhtemelen, yüksek risk tehditleri, şirketlerin özellikle hassas verileri işlerken daha sıkı ve daha sofistike kontroller almaları gerektiği anlamına gelecektir. Ayrıca risk değerlendirmesinin bir parçası olan state of the art değerlendirmesi ile bilgi güvenliğini ilgilendiren güncel teknolojik ürünlerin şirketlerce takip edilmesini ve kendi faaliyetleri kapsamında veri güvenliği bağlamında bünyelerine dahil edilme süreci sağlanabilir. Ayrıca risk değerlendirmesinin bir parçası olan state of the art değerlendirmesi ile bilgi güvenliğini ilgilendiren güncel teknolojik ürünlerin şirketlerce takip edilmesini ve kendi faaliyetleri kapsamında veri güvenliği bağlamında bünyelerine dahil edilme süreci sağlanabilir. 4

Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -5 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Şubat 2018 KVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin Süleyman Seba Cad. No :48 BJK Plaza B Blok K:4 Akaretler Beşiktaş - İstanbul +90 212 326 68 68 +90 212 326 68 69 info@gsghukuk.com Nilgün Serdar Şimşek, LL.M. Ortak, Avukat T: +90 (212) 326 63 68 nilgun.simsek@gsghukuk.com Rıza Eroğlu Kıdemli Müdür T: +90 (212) 326 64 61 riza.eroglu@gsghukuk.com İpek Okucu Taftalı Kıdemli Avukat T: +90 (212) 326 60 60/3881 ipek.okucu@gsghukuk.com 2018 Gündüz Şimşek Gago Avukatlık Ortaklığı. Tüm hakları saklıdır. Bu dokümanda GSG Avukatlık Ortaklığı veya ibaresi, Gündüz Şimşek Gago Avukatlık Ortaklığı nı ifade etmektedir.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim