2020 KVKK & GDPR Temmuz Bülteni Başlıkları

Ayın Karar
Özetleri

Ayın Önemli Karar Özetleri Hakkında Detaylı Bilgi Almak için

Tıklayınız

Bilgilendirme
Rehberi

Ayın Bilgilendirme Rehberi Hakkında Detaylı Bilgi için

Tıklayınız

Mevzuat
Analizi

Ayın Mevzuat Analizi Hakkında Detaylı Bilgi Almak için

Tıklayınız

Zamanınız Daralıyor

VERBİS Nedir?

Veri Sorumluları Sicil Bilgi Sistemi Hakkında Detaylı Bilgi için

Tıklayınız

2020 KVKK & GDPR Temmuz Bülteni Ayın Karar Özetleri ve Haberleri

  • Bir Şahıs Tarafından Vekaleten İletilen Usulen Eksik Nitelikteki Başvurular Hakkında Karar
  • İlgili Kişiye Ait Medula Eczane Çıktılarının Eczacının Eşi Tarafından Kullanılması Hakkında Karar
  • "İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikâyet" Hakkında Karar Özeti
  • "Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi" Hakkında Karar Özeti
  • Ad Soyad Verilerine İlişkin Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması "Unutulma Hakkının Kullanılması"
  • Doktor Ataman Egemen Koyuncu Veri İhlal Bildirimi
  • Fluke Corporation ve Fluke Electronics Corporation- Veri İhlali Bildirimi
  • Mert Grup Sigorta Aracılık Hizmetleri Ltd. Şti. Veri İhlal Bildirimi
  • Belçika Veri Koruma Kurumu Google Belçika'ya Para Cezası Verdi
  • İspanya Veri Koruma Otoritesi, İspanyol Şirket Glovo’ya 25.000 EUR Para Cezası Verdi
  • Hollanda Veri Koruma Kurumu, Hollanda Kredi Kayıt Bürosu'na 830.000 EUR Para Cezası Verdi
  • İtalyan Telekmünikasyon Operatörü Wind Tre S.P.A Hakkında (WINDTRE) 16.700.000 EUR Para Cezası Verdi
  • Polonya Veri Koruma Otoritesi (UODO), Polonyalı Şirket East Power’a 15.000 PLN Para Cezası Verdi
  • Kişisel Verileri Koruma Otoritesi (UODO), Polonya Genel Müfettişine (Główny Geodeta) 100.000 PLN Tutarında Para Cezası Verdi
  • Polonya Veri Koruma Otoritesi (UODO) Kreş ve Okul Öncesi Eğitim Kurumuna 5.000 PLN Cezai Yaptırım Uyguladı
  • Avrupa Birliği Adalet Divanı'nın C-311/18 Davası Kararına İlişkin Sıkça Sorulan Sorular - Veri Koruma Delegesi - Facebook Ireland Ltd ve Maximillian Schrems
  • Baden-Württemberg Eyaleti Veri Koruma ve Bilgi Özgürlüğü Delegesi, AOK Baden-Württemberg'e Para Cezası Verdi

2020 KVKK & GDPR Temmuz Bülteni Bilgilendirme Rehberi

İdari Tedbirler – Kişisel Veri İşleme Envanteri Hazırlama ve VERBİS’e Kayıt Yükümlülüğü

Bilindiği üzere, Kurul’un 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile VERBİS’e kayıt süreleri uzatılmıştır ve yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25.000.000 TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için son tarih 30.09.2020 olarak belirlenmiştir. VERBİS’e kayıt yükümlülüğüne bağlı olan yükümlülüklerden biri kişisel veri işleme envanteri hazırlamaktır ve bu yükümlülüğün yerine getirilmesi, Organizasyon içinde uzun sürecek bir tespit çalışmasını gerektirmektedir. Diğer bir deyişle VERBİS’e kayıt, detaylı bir çalışma ve 6698 sayılı Kanuna uyumlu olmayı gerektirmektedir. 30.09.2020 tarihine kadar VERBİS’e kayıta hazır olmak için Organizasyon içinde çalışmaların bir an önce başlaması, konunun uzmanları tarafından önerilmektedir. Kişisel Veri İşleme Envanteri hazırlama ve VERBİS’e kayıt hakkında ayrıntılı bilgiye linkten ulaşabilirsiniz.

Teknik Tedbirler – Yedekleme Yapılması

Kişisel Verilerin Korunması Kanunu Md. 12/1’e göre veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu tedbirler Kurum’un yayınladığı Kişisel Veri Güvenliği Rehberi içerisinde detaylandırılmakta ve VERBİS’e bildirim aşamasında belirtilmektedir.

Bu tedbirlerden biri de şifreleme yapılmasıdır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri güvenliğinin sağlanmasına yardımcı olacaktır.

Veri bütünlüğünün korunması hususunda kişisel verinin yetkisiz bir şekilde değiştirilmesini engellemek için uygun kriptografik yöntemler uygulanmalıdır.

2020 KVKK & GDPR Temmuz Bülteni Mevzuat Analizi

GDPR - Madde 17 – Unutulma Hakkı

Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:

(a) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;

(b) veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;

(c) veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması;

(d) kişisel verilerin yasa dışı biçimde işlenmiş olması;

(e) kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması;

(f) kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.

Unutulma hakkı, kişilerin, veri sorumlusundan kişisel verilerinin silinmesini isteme hakkı olarak tanımlanabilir. GDPR’ın 17. maddesine göre ilgili kişinin, kendisi ile ilgili kişisel verileri herhangi bir gecikmeye mahal verilmeksizin silinmesini veri sorumlusundan talep etme hakkı bulunur ve ilgili maddede sayılan hallerden birinin geçerli olması durumunda, veri sorumlusunun kişisel verileri derhal silme yükümlülüğü vardır.

Türkiye’de Unutulma Hakkı

Türkiye’de Unutulma Hakkı’nın uygulanması konusunda 6698 sayılı Kanun, Kişisel Verileri Koruma Kurulu’nun 23.06.2020 tarih ve 2020/481 sayılı kararı, T.C. Anayasası’nın 20.maddesi, 5651 sayılı Kanun ve Anayasa Mahkemesi’nin (AYM) N.B.B Kararı birlikte ele alınmalıdır. Genel olarak 6698 sayılı Kanun ve Kurul kararı GDPR temelli bir görüşü benimsese de T.C. Anayasası ve genel hukuk normları uyarınca verilen AYM Kararı Unutulma Hakkı’nın kullanılması ve uygulanmasında önem arz etmektedir.