2020 KVKK & GDPR Mayıs Bülteni Başlıkları
2020 KVKK & GDPR Mayıs Bülteni Ayın Karar Özetleri ve Haberleri
- Spor Salonu Hizmeti Sunan Veri Sorumlusunun, Üyelerinin Giriş-Çıkış Kontrolünü Biyometrik Veri İşleyerek Yapması İle İlgili Kurul Kararı
- Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları
- Kurul Kararı İncelemesi
- Bir İnternet Servis Sağlayıcısının Veri İhlal Bildirimi Hakkında Karar
- Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru
- Kişisel Verileri Koruma Kurumu Tarafından Yayımlanan “Doğru Bilinen Yanlışlar” Başlıklı Rehber
- EasyJet Plc (EasyJet) Veri İhlal Bildirimi
- İç Hat Uçuşlarda HES Kodunun Zorunlu Hale Getirilmesi
- İsveç Veri Koruma Kurumu Örebro Bölgesindeki Sağlık Komitesine İdari Para Cezası Verdi
- Danimarka Veri Koruma Kurumu JobTeam İsimli Bir İşe Alım Şirketine 50.000 DKK İdari Para Cezası Verdi
- Fransız Veri Koruma Kurulu (CNIL) Tarafından Yapılan Uzaktan Eğitim ve Sınavlar Hakkında Bilgilendirme
- Belçika Veri Koruma Kurumu (Belgian DPA) Tarafından Bir Sosyal Ağa 50.000 Euro Para Cezası Verildi
- Hollanda Veri Koruma Kurumu İş Yerinde Ateş Ölçmekle İlgili İkinci Bir Görüş Yayımladı
- EDPB'de Veri İhlallerini Değerlendirmek İçin Uygulama Değişikliği
- Avrupa Birliği Komisyonu (EC) Tarafından Yayınlanan Turizm Hizmetlerinin Aşamalı Olarak Yeniden Başlaması ve Sağlık Protokollerine İlişkin Rehberde Kişisel Verilerin Korunması Hususuna da Yer Verildi
- Fransız Danıştayı Covid-19 Tedbirleri Kapsamında Drone Kullanımını Durdurdu
- Finlandiya Veri Koruma Kurulu'ndan 3 Şirkete İdari Para Cezası
2020 KVKK & GDPR Mayıs Bülteni Bilgilendirme Rehberi
Veri Sorumlusuna Başvuru ve Kurula Şikâyet
6698 sayılı Kanun’un 11.maddesinde ilgili kişinin hakları sayılmıştır. Bu haklar bu Kanun’un uygulanmasına ilişkin kişisel verisi işlenen ilgili kişinin veri sorumlusuna karşı kullanacağı ve kişiye sıkı sıkıya bağlı olan haklardır. Yani bu haklar yalnızca ilgili kişi tarafından kendi adına kullanılabilir; başkası adına (arada bir temsil ilişkisi yoksa) kullanılamaz.
Veri Sorumlusuna Başvuru
İlgili kişi Kanun’un 11.maddesinde sayılan haklarını kullanmak üzere, bu Kanunun uygulanmasına ilişkin taleplerini veri sorumlusuna yazılı olarak bildirmelidir. Kanun’un 13.maddesinde yazılı olarak veya Kurum’un açıklayacağı diğer yöntemlerle ifadesi bulunmasa da Kurum veri sorumlusuna başvuru için henüz farklı bir yöntem öngörmemiştir.
Kurul’a Şikâyet
İlgili kişi, yukarıda açıklanan süreler çerçevesinde veri sorumlusundan gelen cevabı yetersiz bulur; veri sorumlusu tarafından başvuruya hiç cevap verilmez veya başvuru reddedilirse ilgili kişinin 30 gün içinde Kurul’a şikâyet hakkı doğar. Bu hak da veri sorumlusuna başvuru gibi ilgili kişiye sıkı sıkıya bağlı bir haktır ve yalnızca ilgili kişi tarafından kullanılabilir.
Teknik Tedbir: Uygulama Güvenliği
Kişisel Verilerin Korunması Kanunu Md. 12/1’e göre veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu tedbirler Kurum’un yayınladığı Kişisel Veri Güvenliği Rehberi içerisinde detaylandırılmakta ve VERBİS’e bildirim aşamasında belirtilmektedir.
2020 KVKK & GDPR Mayıs Bülteni Mevzuat Analizi
Veri Sorumluları Sicili Hakkında Yönetmelik Madde 9/4
6698 sayılı Kanun’un 4. Maddesinde kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi yer almaktadır. Bu ilkeye bağlı olarak Kanun’un 7.maddesinde kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından imha edilmesi gerekliliği düzenlenmiştir. Görüldüğü üzere kişisel verilerin saklanma sürelerinin belirlenmesine ilişkin iki kriter yer almaktadır: bunlardan biri mevzuatta öngörülen süre; mevzuatta bir süre öngörülmemesi halinde ise işlendikleri amaç için gerekli olan kadar süredir. Bu hususta Kurum kişisel verileri ne kadar süreyle saklayabilecekleri hususunda veri sorumlularına doğrudan bir yönlendirmede bulunmamakta veya bu süreyi tayin etmemektedir. İlgili kanunda herhangi bir süre belirlenmediyse veri sorumluları bu süreyi kendileri belirlemeli ve saklama süresini belirlerken, Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesinde belirtilen kriterleri dikkate almalıdır.