2020 KVKK & GDPR Eylül Bülteni Başlıkları
2020 KVKK & GDPR Eylül Bülteni Ayın Karar Özetleri ve Haberleri
- Aynı Gerçek Kişinin, Yurt Dışında Yerleşik Birden Fazla Veri Sorumlusu İçin İrtibat Kişisi Olarak Atanması
- Kişisel Verileri Koruma Kurulu Kişisel Verilerin 108 sayılı Sözleşme Uyarınca Yurt Dışına Aktarılması Hakkında Karar Özeti Yayınladı
- Site Yönetimlerine İlişkin 6698 Sayılı KVKK ve 634 Sayılı KMK Çerçevesinde Kurul Kararı
- 18 Yaşını Doldurmamış İlgili Kişiye Ait Sağlık Raporunun İmha Edilmesine Yönelik İlgili Kişinin Babası Tarafından Veri Sorumlusuna Başvurulması Hakkında Karar
- Biyometrik İmza Verisinin Kullanılmasına İlişkin Kurul Kararı
- Sicile Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusu
- Yalova Belediyesi Veri İhlal Bildirimi
- PSL Elektronik San. ve Tic. A.Ş. Veri İhlal Bildirimi
- Polonya Veri Koruma Kurumu Polonya Genel Sörveyör’üne 100.000 PLN Para Cezası Verdi
- Polonya Veri Koruma Otoritesi Bir Anket ile Öğrencilerin Verisini İşleyen Okula Kınama Cezası Verdi
- Macaristan Veri Koruma Kurumu Macar Forbes’in Yayıncısı Şirkete 4.5 Milyon Forint Ceza Verdi
- Polonya Veri Koruma Kurumu, Warsaw University of Life Sciences'a Para Cezası Verdi
- Norveç Veri Koruma Kurumu Kamu Yolları İdaresine 37.400 EUR Para Cezası Verdi
- Finlandiya Veri Koruma Kurumu Bir Şirkete Rıza Almadan ve İlgili Kişi Haklarını İhlal Ederek Elektronik Pazarlama Yaptığı Gerekçesiyle Para Cezası Verdi
2020 KVKK & GDPR Eylül Bülteni Bilgilendirme Rehberi
İdari Tedbir: GDPR ve KVKK Kapsamında Bilgilendirme Yükümlülüğü ve Şeffaflık Prensibi
Kişisel veri işleme faaliyetlerinde veri sorumlusu, ilgili kişi ile ilişkisinde şeffaf olmalıdır. Veri işleme faaliyetlerine ilişkin hususlar açık, anlaşılır ve dürüst bir şekilde veri sahibinin bilgisine sunulmalıdır. Bu ilke, veri sorumlusunun tüm işleme faaliyetlerine etki ederek kanunlar kapsamındaki tüm hak ve yükümlülükleri kuşatıcı niteliği haizdir. Uluslararası kaynaklarda "şeffaflık" ("Transparency") olarak yer alan bu kavram, ulusal kaynaklarda veri sorumlusunun aydınlatma yükümlülüğü çerçevesinde kendini göstermektedir.
GDPR, 5. maddesinde verilerin işlenmesinde 7 temel prensip getirmektedir. Şeffaflığın da içinde bulunduğu bu prensipler, kişisel verilerin işlenmesini yasal sınırlar içerisine alan, veri koruma rejimine şeklini veren ilkelerdir. Bu ilkeler ancak Avrupa Birliği’ne üye devletlerin, temel hak ve özgürlüklere müdahale içermeksizin, demokratik toplum düzeninde gerekli ve orantılı olmak kaydıyla, çıkaracağı kanunlar ile kısıtlanabilir.
GDPR 5. maddesi uyarınca kişisel veriler hukuka uygun, adil ve şeffaf bir biçimde işlenir. Hukuka uygunluk ve adalet GDPR’dan önce de uluslararası düzenlemelere konu olmuş, şeffaflık son düzenlemeler ile bu üç ilkenin son ayağını tamamlamıştır. Bir diğer anlamda bu üç ilke birbirinden ayrılmaz bir bütünlük sergilemektedir. Avrupa Birliği Hukuku’nda genel kabule göre veri sorumlusu verileri hukuka aykırı veya adil olmayan şekilde veya bazı kısımlarını gizli tutarak işlerse bu ilkelerin hepsini ihlal etmiş sayılır.
Teknik Tedbir: Güncel Anti Virüs Sistemlerinin Kullanılması
Kişisel Verilerin Korunması Kanunu Md. 12/1’e göre veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Bu tedbirler Kurum’un yayınladığı Kişisel Veri Güvenliği Rehberi içerisinde detaylandırılmakta ve VERBİS’e bildirim aşamasında belirtilmektedir.
Bu tedbirlerden biri de güncel anti-virüs sistemlerinin kullanılmasıdır.
Kurum tarafından yayınlanan Veri Güvenliği Rehberi içerisinde kötü amaçlı yazılımlardan korunmak için bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden anti-virüs, anti-spam gibi ürünlerin kullanılması, ancak bu ürünlerin sadece kurulumunun yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunması gerektiği belirtilmektedir.
Organizasyonlar içerisinde siber güvenliğin sağlanması için kötü amaçlı yazılımları tespit eden anti virüs programları kurulmalı ve güncel olarak kullanılmalıdır.
2020 KVKK & GDPR Eylül Bülteni Mevzuat Analizi
Özel Nitelikli Kişisel Verilerin Geçerli Hukuki Sebeple İşlenmesi ve Yeterli Koruma Önlemlerinin Alınması
6698 sayılı Kanun’un 11 maddesinde, ilgili kişinin hakları sayılmıştır. Bu haklar, yalnızca ilgili kişi tarafından kullanılabilir, yani vekalet ilişkisi dışında ilgili kişi/veri sahibi haricinde üçüncü kişiler bu hakları kullanamazlar.
Bilindiği üzere, özel nitelikli kişisel veriler Kanun tarafından özel koruma önlemlerine ve veri işleme şartlarına tabi tutulmuştur. Kanun’un 6.maddesinin 3. Fıkrasına göre sağlık ve cinsel hayata ilişkin kişisel veriler dışında kalan özel nitelikli kişisel veriler yalnızca ilgili kişinin açık rızasının bulunması ve kanunlarda açıkça öngörülmesi halinde işlenebilir. Yani özel nitelikli olmayan diğer kişisel verilerde olduğu gibi sözleşme kurulması veya ifası; fiili imkansızlık; hukuki yükümlülüğün yerine getirilmesi; veri sorumlusunun meşru menfaati; bir hakkın tesisi, kullanılması veya korunması sebepleriyle işlenmesi mümkün değildir.
Özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebilmesi için işleme faaliyetinin kanunlarda açıkça öngörülmesi; ilgili düzenlemeden özel nitelikli kişisel veri işlemenin gerekli olduğunun anlaşılması gerekmektedir. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67. maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme bu gerekliliği sağlamaktadır.
Özel nitelikli kişisel verilerin işlenmesi için Kanun’un 6.maddesinin 4.fıkrasında yer alan bir diğer şart ise yeterli önlemlerin alınmasıdır. Bu önlemlerin alınmasına ilişkin yöntemler, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı kararında açıklanmıştır. Karara göre,
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
- Gizlilik sözleşmelerinin yapılması,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
- Periyodik olarak yetki kontrollerinin...