Kişisel Verilerin Korunması Raporu (2017)

 

 

Hazırlayanlar:

 

 

 

İSTANBUL, 2017

 

1. Çalışmanın Amacı

2. Kanun İle İlgili Resmi Gazete Yayını

3. Sağlık Yönetmeliği

 

 

1. Sorumlular

2. Bilgi Envanteri

3. Aydınlatma Metni

4. Yönetim Sunumu

5. Şirket İçi Farkındalık Sunumu

6. Proje Ekibinin Tanımlanması

 

 

1. Proje Kapsamının Belirlenmesi

1.1. Analiz

1.2. Sorumluların Atanması

2. Kişisel Verilerin Tespit ve Envanterinin Oluşturulması Çalışması

3. Soru Listelerinin Hazırlanması

4. Dökümanların Hazırlanması

 

 

1. Kişisel Veri Envanteri Şablonu

2. Çalışanlar İçin Veri Metni

3. Web Sayfası Aydınlatma Metni

 

 

1. Önlemler ve Yöntemlerin Belirlenmesi

2. Denetim Programı

           

Avrupa Birliği’nin 95/46/EC Direktifi’ne uygun şekilde kişisel verilere ait düzenleme 07 Nisan 2016 yılı itibariyle kanunlaşarak yürürlüğe girdi. Kanunun yürürlüğe girmesinin amacı hem özel sektör hemde kamu sektöründe kişisel verilerin işlenmesi ve korunmasının süreçlerinin belirlenmesi ve çıkarılacak yükümlükler ile düzenlemektir.

Kişisel verilerin korunması (protection of personal data) gerçek kişilerin her türlü özel ve kendi adına özgü bilgilerinin hukuki anlamda devlet tarafından korunduğunu ifade etmektedir.

Kişisel verilerin korunması, teknolojinin ilerlemesi ile birlikte her yerden ve farklı aramalar ile verilerin güvenliğinin gerekliliğini hukuki çerçevede sağlanmanın önemini artırmış ve bunun devlet tarafından güvenli bir hale getirilmesi çalışmasıdır.

Kişisel veri dediğimizde isim, soyisim, doğum tarihi gibi kişilerin tanınmasını sağlayan bilgilerle sınırlı değildir. Beraberinde fiziki, sosyal, ekonomik tüm bilgileri T.C. numarası, vergi numarası, pasaport numarası, ehliyet numarası, taşıt plakası, ev adresi, iş adresi, e-posta adresi, telefon numarası, fotoğrafı, videosu, genetik bilgileri, kan grubu ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişiler verilerin korunması kapsamına girmektedir.

Kişisel veriler alanında bireylerin daha ziyade özel kuruluşlara karşı korunmasının esas alındığını gösteriyor. Kamu kuruluşlarına karşı yaptırımlar ve korunma yöntemleri tam olarak belirtilmemesi ileride çıkacak yönetmelikler ile daha da netleşecek ve korunma yöntemleri tanımlanacaktır.

6698 sayılı Kişisel Verilerin Korunması Kanunu da gücünü Anayasamızın Özel Hayatın Gizliliği ve Korunması başlıklı 20. maddesinden almaktadır.

Anayasa’nın “Özel hayatın gizliliği ve korunması” başlıklı 20 maddeye eklenen ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.

Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” (12.9.2010 -5982 sayılı Kanun 2 md.) Kanunla sağlık ya da iletişim verilerimiz üçüncü kişilere uygunsuz olarak verildiğinde sorumluları muhatap alabileceğiz.

Kanun kişisel verilerin işlenmesini sınırlamaya yönelik olmadığını her yerde belirtmektedir. Kişisel verilerin işlenirken kanun, korunmasını ve gizliliğinin sağlanmasını beklemektedir. Ayrıca gerektiğinde silinebilir ve anonim edilmesinin sağlanmasını istemektedir.

Artık bilişim teknolojilerindeki gelişmeler sayesinde küçük bir bilgiden farklı bilgiler brleştirilerek istemiş olduğumuz bilgileri bir araya getirilebilmektedir. Kişisel bilgi de aynı şekilde herhangi bir isim ya da soyisim bilgisin birleştirilmesi ya da farklı alanlardaki bilgilerin bir araya getirilmesi sonucunda kişiye ulaşılabilir olmasını sağlamıştır.

Bilişim teknolojileri ile bilgilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkânların farklı analizlere tabi tutularak, yeni veriler üretmesini sağlayacak yetkinliği artmıştır.

Kişisel verilerin önemi hakkında toplumsal bir çalışma gerekmektedir. Sosyal medya kanalları çok önemli bir yol alacaktır. Bu konuda birçok kurum bilgilendirme anlamında çalışmaların içinde olması gerekmektedir. Kişisel veri bugüne kadar hiçbir bireyin öncelikli konusu olmamaktaydı. Fakat bu kanunla daha da öncelikli bir hal alması sağlanarak kişilerin işlenen verilerinin sorgulanmasının gerekliliği ortaya çıkmıştır. Sosyal medya alanlarından birçok bilginin düzensiz paylaşımı ve bu verilerden anlamlı verilere ulaşımasının önüne geçmek gerekmektedir.

Kişisel verilerin farklı ülkelere aktarımının olması durumu bilhassa önemli bir noktadır. Ülkemizde dünya çapında şirketlerin olması ya da dünya çapında firmaların ortaklıklarının olması kişisel verilerin yurt dışına aktarılması zorunluluğunu meydana getirmektedir. Kişisel verilerin yurtdışına çıkarılmasına yönelik de önemli adımlar sonrasında sınırlamalar getirildiğini görmekteyiz. Kişisel verilen yurtdışına çıkarılması için kişinin açık rızası gerekiyor. Bu açık rızaya ek olarak verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya verinin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekecek. Bununla beraber bulut sistemleri ile yurt dışında verinin barındırılması konusu da bu çerçeve içinde değerlendirilecektir.

Kanuna göre Kişisel Verileri Koruma Kurulu kurulacaktır. Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirecek ve kullanacaktır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, kurula herhangi bir zorlamada bulunamayacağı gibi, tavsiye veya telkinde bulunamayacaktır. Bununla beraber kurul dokuz üyeden oluşacak olan bu Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilecektir.

Kurul 2016 Aralık itibariyle kurulmuş ve atamaları yapılmıştır.

 

 

 

 

 

 

1. Çalışmanın Amacı

Bu raporu hazırlamamızda en önemli konu olarak bilgi sistemleri ve hukuk departmanlarına konunun en ince detaylarını açıklamaktır. Farklı sektörlerden bir araya gelmiş Bilişim ve Teknoloji tecrübelerini paylaşan bir ekip olarak bu yola çıktık. Ayrıca hukuk bölümünden kanunun istekleri konusunda yardım alarak kanun çerçevesinde raporu sonuçlandırmak istedik.

Raporun içeriği olarak eline alan Bilişim departman sorumluları ya da hukuk departman sorumluları KVK gerekliliği olan her alanda nasıl bir çalışma yapması gerektiğini hızlıca tasarlayacaktır.

Adım adım planlanarak doğru bir çalışma süreci ile kanun koyucunun istemiş olduğu gereklilikleri yerine getirecektir.

2. Kanun ile ilgili resmi gazete yayını

 

Kişisel verilerin korunması kanunu çıkarılması ve resmi gazetede yayınlanması bilgilerini aşağıdaki linkten ulaşılabilir.

3. Sağlık Yönetmeliği

KVK kanununun kabulü sonrasında yönetmeliklerin yayınlanması beklenmekteydı.

İlk yönetmelik sağlık sektörüne yönelik olarak yayınlandı.

Bu konu ile ilgili yönetmelik linkine aşağıdan ulaşabilirsiniz.

 

 

1. Sorumlular

Kişisel verilerin korunması kanununun getirdiği en büyük sorumlulukların başında veri sorumlusu ve temsilcisinin belirlenmesidir.

Veri sorumlusu ve Veri temsilcisi konusunda açıkta kalan boşlukları aşağıdaki tanıma uygun şekilde düşünülmesi ve seçilmesi uygun olacaktır.

 

1. Kişisel verilerin elde edilmesi sırasında;

a. Veri sorumlusunun kimliğinin duyurulmasını sağlar. (Madde – 10)

b. Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem müşterilere duyurulmasını sağlar. (Madde-4.2.c)

c. İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklar. (Madde – 10.1.c)

d. Veri toplama yöntemi ve hukuki sebebi açıklar. (Madde – 10.1.ç)

2. Kişisel veri sahibinin başvurması halinde aşağıdaki kişi haklarının yerine getirilmesini en geç 30 takvim günü içinde sağlar: (Madde – 13.2)

a. Kişinin kendi kişisel verisinin işlenip işlenmediğini bilmesi (Madde – 11.1.a)

b. Kişisel veri ile ilgili bilgi talep etme (Madde – 11.1.b)

c. İşlenme amacını açıklama (Madde – 11.1.c)

d. Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri açıklama (Madde – 11.1.ç ve f)

e. Kişisel verilerin eksik veya yanlış işlenmesi durumunda bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Madde – 11.1.d)

f. Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Madde – 11.1.e)

g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Madde – 11.1.g)

h. Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma (Madde – 11.1.ğ, Madde 12.1.a)

 

3. Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (Madde – 15.3)

4. Şikâyet durumunda veya herhangi bir nedenle Kurulun tebliğlerini takip eder ve 30 takvim günü içerisinde yerine getirilmesini sağlar. (Madde – 15.5)

5. Kişisel verilerin envanterini hazırlar. (Madde – 16.3)  

6. Kişisel verilerin envanterini periyodik olarak günceller. (Madde-16.4)

7. Kişisel verilerin envanterinin sicile bildirir ve güncel tutulmasını sağlar. (Madde-16.4)

8. Sicil ile yazışmaları yapar ve yazışmaları saklar. (Madde-16)

9. Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (Madde- 4.2.d)

10. Kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler ve uygulatır, denetler. (Madde- 5.1)

11. Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar.  Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur. (Madde- 9.2 ve 9.3)

12. Kişisel veri yurtdışına aktarılacak ise açık rıza da alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder. (Madde- 9.4)

13. Kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Call Center, Hosting hizmeti verenler, mailing hizmeti verenler) (Madde – 8)

14. Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder. (Madde – 6)

15. Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (Madde – 7)

a. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde

b. Süresi dolması halinde

c. Veri sahibinin talebi halinde

16. Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınacak mı alınmayacak mı belirler. Aşağıda açık rıza alınmayacak durumlar belirlenmiştir. Her durumda aşağıdaki kurumlarla hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır. (Madde- 5.2)

a. Fiili imkânsızlıklar durumunda açık rıza alınamaması

b. Kendisinin veya bir başkasının hayatı veya beden bütünlüğü söz konusu olduğunda

c. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması

d. Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

e. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

f. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

g. Kişi, kendi verisini alenileştirmiş olması durumunda

h. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

i. Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi durumunda

j. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda

17. Kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir (Örnek: Call center, e-ticaret, AVM iletişim formları, fatura kesen kasiyer, otel resepsiyon, otel satış ekipleri, iç piyasa satış ekipleri, müşteri şikayetlerini kayıt altına alan kalite personelleri, bordo ve özlük işleri takip eden personel müdürlüğü, ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi)

18. KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumu hem risklerin görüşülmesini sağlar. Toplantı kararlarını ıslak imza ile alarak dosyalar.

19. KVK ile ilgili birimleri periyodik olarak portaldan / mail / duyuru ile bilgilendirir.

20. KVK kapsamında belirli periyotlar da İç Denetim Müdürlüğünce denetimlerin yapılmasını sağlar.

21. Veriyi paylaşan bu veriyi paylaştığı yer ve amacını yazılı ve onaylı olarak yapılmasını sağlatır. Öneri verinin rızası alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk ve veri sorumlusu onayı ile alındıktan sonra paylaşılmasını sağlatır.

 

 

2. Bilgi Envanteri

 

 

 

3. Aydınlatma Metni

 

Şirketlerin kişisel verilerini tuttukları ve/veya tutmaları gereken kişilere bu verileri ne amaçla ve hangi verileri tuttuklarını aynı zamanda, nasıl sakladıklarını ne kadar süre sakladıklarını veri sorumlusunun kim olduğunun web sitelerinizde bunu bildirdiğiniz bir metin olarak aşağıda örnek olarak hazırlanmıştır.

4. Yönetim Sunumu

 

Şirket üst düzey yöneticilerine KVK Projesinin kapsamı, amaçları, gerçekleştirme şekilleri ve dikkat edilmesi gereken hususlara dair bilgilendirme toplantısının yapılması. Bunun sonucunda kısa bir sunum ile detay çalışması başlanması önerilir.

Taslak bir sunum alt tarafta belirtilen linkten ulaşılabilir.

5. Şirket İçi Farkındalık Sunumu

 

Şirket içindeki çalışanların  KVK Projesinin kapsamı, amaçları, gerçekleştirme şekilleri ve dikkat edilmesi gereken hususlara dair bilgilendirme toplantısının yapılması. Bunun sonucunda kısa bir sunum ile tüm personel bilgilendirilir. Özellikle bilgisayarlarında digital olarak yada basılı evrak olarak masaüstlerinde çekmecelerinde bulundurulmaması hakkında ayrıntılı detay verecek bir sunum yapılmalıdır.

Tüm personelin kendi kişisel bilgisini koruması gerekliliği ile birlikte şirket içindeki diğer kişisel bilgilerin bulundurulması ve paylaşımı konusunda gerekli hassasiyetin gösterilmesi ve paylaşımların önüne geçilmesi gerekliliği anlatılmalıdır.

Taslak bir sunum alt tarafta belirtilen linkten ulaşılabilir.

6. Proje Ekibinin Tanımlanması

 

Proje ekiplerinin tanımlanması ve devamlı çalışması gereken bir grup olarak yaratılması gerekmektedir. Bir erp projesinde olduğu gibi bu grubun dinamikliğini kaybetmemesi gerekmektedir.

Bu ekip tüm bölümler ile iletişimde olacaktır. KVK kapsamında belirlenen verilerin bulunup bulunmadığını ve envanterin çıkarılması ve oluşturulmasını sağlayacak bir ekip olacaktır.

Aynı zamanda envanter çalışmasının sürdürülebilir olmasının gerekliliğini sağlayacaktır.

 İlgili departman olarak muhasebe, hukuk, insan kaynakları, müşteri ilişkileri, pazarlama, bilgi sistemleri gibi departmanların sorumlusu birer kişiden ve varsa şirket risk yöneticisi ve iç denetçisinden oluşan Proje Ekiplerinin oluşturulması ve Proje Ekiplerinde yer alan kişilerden birinin Proje Sorumlusu olarak belirlenmesi.

 

 

 

 

1. Proje Kapsamının Belirlenmesi

 

Proje çalışması, Kişisel Verilerin Korunması Hakkında Kanun (KVK)’un öngördüğü prensip ve yükümlülükler çerçevesinde kişisel verilerin işlenmesine ilişkin tanımlanmış bir süreç oluşturulmasını amaçlamaktadır.

Şirketin, herhangi bir kişisel veri ile temas ettiği noktadan verinin yok edilmesi veya anonimleştirilmesine kadar geçen sürecinin incelenmesi ve bu sürece ilişkin mevcut durumunun tespiti ile akabinde, bu sürecin öngörülen yasallık çerçevesinde belirlenmesini ve tanımlanmasını oluşturmaktadır.

1.1. Analiz

 

Kişisel Veri şirket içinde hangi bölümlerde bulunduğunun belirlenmesi,

Kişisel Veri bölümler tarafından niçin toplanmaktadır. Toplanma biçimi ve ne kadar bir süre için toplanacağı ve ne kadar süre sonra imha edilmesinin gerekliliğinin öğrenimesidir.

Kişisel Veri kim tarafından kullanılmaktadır. Bu veriye kimler nasıl ulaşacaktır.

Kişisel verilerin tutulduğu yerlerin listesi digital bir veri ise hangi programlarda ya da hangi alanlarda bulunduğu, bu veriler yazılı kagıt ya da evrak şeklinde ise hangi alanlarda bulunmaktadır.     

Şirket dışına aktarım söz konusu ise talep edilen koruma yöntemleri,

Mevcut veri güvenlik tedbirlerinin neler olduğunun çıkarılması (şifreleme vs.)

---