2020 KVKK & GDPR Ekim Bülteni Başlıkları
2020 KVKK & GDPR Ekim Bülteni Ayın Karar Özetleri ve Haberleri
- Yurtdışına Veri Aktarımı Kamuoyu Duyurusu
- Anaya Mahkemesi'nin 17.09.2020 Tarihli Kurumsal E-Posta ile İlgili Kararı
- Vatan Bilgisayar Sanayi ve Ticaret A.Ş. - Veri İhlali Bildirimi
- Hanon Automotive Climate Sys. Manufacturing Industrial and Commercial Co. - Veri İhlali Bildirimi
- Hamburg Veri Koruma ve Bilgi Edinme Özgürlüğü Yetkilisi Veri İhlali Nedeniyle H&M’e 35.3 Milyon EUR Para Cezası Verdi
- Belçika Veri Koruma Otoritesi Bölgesel Bir Kamu Çevre Kurumuna Uyarı ve Kınama Cezası Verdi
- Norveç Veri Koruma Otoritesi Bergen Belediyesi’ne Para Cezası Verdi
- Litvanya DPA, Evlat Edinilen Bir Çocuğun Ebeveynlerinin Uygunsuz Şekilde İşlenmiş Kişisel Verileri Nedeniyle Para Cezası Uyguladı
- Norveç DPA, Yasal Bir Dayanağı Bulunmadan Bir Şahıs Şirketinin Kredi Kontrolünü Gerçekleştirdiği İçin Odin Flissenter'a Para Cezası Uyguladı
2020 KVKK & GDPR Ekim Bülteni Bilgilendirme Rehberi
İdari Tedbirler - Fiziksel Mekân Güvenliğinin Sağlanması
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri işleme faaliyetinde bulunan gerçek ve tüzel kişiler, veri işleme faaliyetlerine ilişkin olarak idari ve teknik tedbirleri almakla yükümlüdür. Bu idari tedbirlerden biri kişisel veri içeren ortamların güvenliğinin sağlanmasıdır. Kişisel verilerin tutulduğu dijital ortamların güvenliğini sağlamak için alınacak teknik önlemlerin yanı sıra, cihazlarda bulunan veya kâğıt ortamında saklanan verileri korumak için fiziksel mekân güvenliğinin sağlanması elzemdir. Fiziksel mekân güvenliğini sağlamak için belirli izleme yöntemleri kullanılabilir; çeşitli veri kayıt sistemleri kurgulanabilir. Bu koruma önleminin alınması sırasında veri işleme faaliyetinde bulunan tarafın diğer idari ve teknik tedbirleri ihmal etmemesi gerekmektedir. Sınırlı sayıda olmamakla birlikte fiziksel mekân güvenliğini sağlamak üzere alınabilecek bazı örnekler aşağıda sıralanmıştır:
- Güvenlik Kameraları
- Ziyaretçi Kaydı
- Şirket İçinde veya Dışında Ek Güvenlik Önlemlerinin Sağlanması
- Yangın/Sel Gibi Afetlere Dayanıklı Ortamların Sağlanması
- Pandemi Döneminde Evden Çalışma Sırasında Dikkat Edilmesi Gereken Diğer Hususlar
Teknik Tedbirler - Taşınabilir Bellek, CD, DVD Ortamında Aktarılan Özel Nitelikli Kişiler Verilerin Şifrelenerek Aktarılması
Kişisel Verilerin Korunması Kanunu Md. 12/1’e göre veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Bu tedbirler Kurum’un yayınladığı Kişisel Veri Güvenliği Rehberi içerisinde detaylandırılmakta ve VERBİS’e bildirim aşamasında belirtilmektedir.
Bu tedbirlerden biri de taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler verilerin şifrelenerek aktarılmasıdır.
Organizasyonlar günlük işlerinin takibi ve erişim kolaylığı açısından çoğunlukla taşınabilir bellekler kullanabilmekte, yedeklerini DVD’lere kaydedebilmektedir.
Organizasyonların dışarıdan gelebilecek saldırılara karşı korunmanın yanında bu tür kullanımlarda içeriden oluşabilecek herhangi bir veri ihlaline karşı da hazırlıklı olması gerekmektedir.
İçeride oluşabilecek veri ihlallerini önlemenin en önemli adımı organizasyona ait verilerin dışarıya sızdırılmasını önlemektir.
2020 KVKK & GDPR Ekim Bülteni Mevzuat Analizi
KVKK 5. Maddesi ve GDPR 6. Maddesi Kapsamında Meşru Menfaate Dayanılarak Veri İşleme
KVKK m.5 - Kişisel verilerin işlenme şartları
...
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
...
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
***
GDPR m.6 - İşleme faaliyetinin hukuka uygunluğu
(1)İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur
...
f) özellikle ilgili kişinin çocuk olması hâlinde ilgili kişinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir veri sorumlusu veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu meşru menfaatler için işleme faaliyetinin zorunlu olması.
***
KVKK ve GDPR’da ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlularının meşru menfaatleri için veri işlemenin zorunlu olması, söz konusu veri işleme faaliyeti için hukuki bir sebeptir. Öte yandan, gerek KVKK gerekse GDPR’da meşru menfaatin tanımına yer verilmemiş, bu kavram Veri Koruma Otoriteleri’nin kararları ve rehberleri ile açıklığa kavuşturulmuştur. Veri sorumluları herhangi bir veri işleme faaliyetiyle ilgili somut durumu değerlendirmeli ve meşru menfaatin hukuki sebep olarak uygunluğunu belirlemelidir.
Meşru menfaat genel çerçevede, ilgili kişilerin makul beklentisi içerisinde kalan ve gizlilik üzerinde asgari etki yaratan veri işleme faaliyetleri için uygun bir hukuki sebep teşkil eder. Kişisel Verileri Koruma Kurulu’nun 25/03/2019 tarihli ve 2019/78 sayılı kararı, Çalışma Grubu 29 görüşleri ile GDPR madde gerekçeleri ışığında meşru menfaat değerlendirmesine ilişkin hususlar aşağıda yer almaktadır.