9 Nisan 2018 Pazartesi

Kişisel Verileri Koruma Kurulu Kanuna Uyum Süreci Duyurusu

Kanun Öncesi Kişisel Verilerin Uyum Süreci

Kişisel Verilerin Korunması Kurulu “uyumlandırma süreci ve Kanun’un Geçici 1. Maddesi”yle ilgili “Kanuna Uyum Süreci” başlıklı bir duyuru yayımladı. Kurul duyurusuna göre; Kanunun yayımı tarihinden önce (7 Nisan 2016 öncesi) yürürlükte bulunan mevzuat çerçevesinde hukuka uygun olarak alınmış rızaların (KVKK yürürlükte olmadığından o tarihteki ilgili mevzuat çerçevesinde değerlendirmek gerekecektir), ilgili kişilerce aksi belirtilmediği sürece (Kanunun yayımından itibaren bir yıl içinde) işlenmiş olan kişisel verilerin Kanuna uygun olduğunu duyurmuştur. Kurul duyurusundan anlaşıldığı üzere veri sorumlularınca KVKK öncesi dönemde tabi olduğu kanunlar dahilinde alınmış  (hukuka uygun) mevcut rızaların güncellenmesine veya yeniden ilgili kişilerden açık rıza alınmasına gerek bulunmamaktadır. Dolayısıyla, ilgili kişilerce Kanunun yayımı tarihinden itibaren bir yıl içerisinde aksine bir irade beyanında bulunulmamış ise, bu kişisel verilerin de silinmesi veya anonimleştirilmesi gerekmemektedir. Ancak Kanun'un yürürlük tarihinden önce Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği veya anonim hale getirileceği vurgulanmıştır.

Kurul, kişisel verilerin işlenmesi için yegane şartın “açık rıza” olmadığını da vurgulayarak Kanun’un 5. ve 6. maddelerindeki istisnaları hatırlatmıştır. Daha önce de belirtmiş olduğumuz üzere Kanun’un saydığı istisnalar var ise, gerçek kişi kişisel verileri işlendiğinde “Aydınlatma Yükümlülüğü” düzenlemesine uygun olarak aydınlatmak (bu halde ayrıca rıza almaya gerek kalmayacaktır) yeterli olacaktır. Kurul duyurusunda; Kanun’un yayımından önce toplanmış kişisel veriler açık rıza dışındaki Kanunun 5. ve 6. maddesindeki şartlar kapsamında işleniyorsa, bu işleme faaliyetleri için de açık rıza alınmasına ve bu faaliyetlerin de açık rızaya dayalı olarak yürütülmesine gerek bulunmadığı açıkça vurgulanmıştır.

Bu yeni Kurul duyurusunda uygun olarak 7.04.2016 tarihinden önceki kişisel veriler için bu aşamada silme, anonimleştirme vb. işlemleri yapmayalım. Toplanıp yayımlanan tebliğ ve duyurular çerçevesinde bir çalışma, uyumlandırma süreci belirlememiz gerekmektedir.


KVK Kurulunun duyurusunun detayları aşağıda yer almaktadır.

Av. Ferman Kaya

Kanuna Uyum Süreci (Geçici 1.madde) İle İlgili Duyuru

Son günlerde medyada yer alan bazı haberler ile Kurumumuza şifahi olarak iletilen sorular neticesinde, 6698 sayılı Kişisel Verilerin Korunması Kanununun Geçici 1 inci maddesinin uygulanmasıyla ilgili tereddütler yaşandığı görülmüştür. Söz konusu tereddütlerin önüne geçilmesi ve kamuoyunun doğru bilgilendirilmesini teminen konuya ilişkin açıklama yapılması gereği doğmuştur.

Bilindiği üzere, Kanunun Geçici 1 inci maddesinin üçüncü fıkrasında; Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren iki yıl içinde (7 Nisan 2018) Kanun hükümlerine uygun hale getirileceği, Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği veya anonim hale getirileceği, ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızaların, bir yıl içinde (7 Nisan 2017) aksine bir irade beyanında bulunulmaması halinde, bu Kanuna uygun kabul edileceği hükme bağlanmıştır.

Bu itibarla, Kanunun yayımı tarihinden önce yürürlükte bulunan mevzuat çerçevesinde hukuka uygun olarak alınmış rızaların, ilgili kişilerce aksi belirtilmediği sürece, yukarıda yer verilen hüküm uyarınca Kanuna uygun olduğu kabul edildiğinden, veri sorumlularınca bu şartlar dâhilinde alınmış mevcut rızaların güncellenmesine veya yeniden ilgili kişilerden açık rıza alınmasına gerek bulunmamaktadır. Dolayısıyla, ilgili kişilerce Kanunun yayımı tarihinden itibaren bir yıl içerisinde aksine bir irade beyanında bulunulmamış ise, bu kişisel verilerin de silinmesi veya yok edilmesi gerekmemektedir.

Unutulmamalıdır ki kişisel verilerin işlenmesi için yegane şart açık rıza değildir. Kişisel veri işleme şartları, Kanunun 5 inci ve 6 ncı maddesinde açıklıkla belirtilmiştir. Bu bağlamda; Kanunun yayımından önce toplanmış kişisel veriler açık rıza dışındaki Kanunun 5 inci ve 6 ncı maddesindeki şartlar dairesinde işleniyorsa, bu işleme faaliyetleri için de açık rıza alınmasına ve bu faaliyetlerin de açık rızaya dayalı olarak yürütülmesine gerek yoktur.

Kamuoyuna saygıyla duyurulur.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , ,

7 Nisan 2018 Cumartesi

Aydınlatma Yükümlülüğünün Esasları ve Veri Sahibinin Başvuru Usulü

Aydınlatma Yükümlülüğüve Veri Sahibinin Başvurusu

Kişisel Verilerin Korunması Kanunu'na (6698 sayılı Kanun) dayanarak çalışmalarını yürüten Kişisel Verileri Koruma Kurumu hazırladığı “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” 10.03.2018 tarihli Resmi Gazetede Yayımlandı. Tebliğler aşağıdaki yükümlülükleri veri sorumlularına yüklemektedir. Veri sorumluları bu tebliğdeki usul ve esaslara uygun aydınlatma yükümlülüğünü yerine getirmeli ve kişisel veri sahibinin başvurularına cevap vermelidir.

1- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin getirdikleri

Tebliğe göre, veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: 

a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. 

b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. 

c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir. 

ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. 

d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. 

e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. 

f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. 

g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. 

ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. 

h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir. 

ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. 

i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir. 

j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir. Bilindiği üzere Türk Borçlar Kanunu’nun 347. maddesinin 1. fıkrası gereğince, konut ve çatılı işyeri sözleşmelerinde kira sözleşmeleri sürenin sonunda kendiliğinden sona ermemekte, kiracı tarafından 15 gün önceden fesih bildiriminde bulunulmadığı sürece sözleşme kendiliğinden bir yıl için uzamaktadır. 

Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü Tebliğ’in 6. maddesinde düzenlenmiştir. Buna göre, Kişisel verilerin ilgili kişiden elde edilmemesi halinde; 

a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, 

b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, 

c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir. 

2. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin getirdikleri 

Kişisel veri sahibi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir. 

2.1. Başvuru üzerine Veri Sorumlusu 

Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. 

2.2. Cevap Yazısı Neleri İçermelidir? 

Cevap yazısı asgari aşağıdaki bilgileri içermelidir. 

a) Veri sorumlusu veya temsilcisine ait bilgileri, 

b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, 

c) Talep konusunu, 

ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunludur. 

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir. 

2.3. Veri Sorumlusu Başvuran Kişisel Veri Sahibinden Ücret Talep Edebilir mi? 

İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez. 

Tebliğlerin detaylarına aşağıdaki linklerden ulaşabilirsiniz. 



Av. Ferman Kaya
Gönderen zaman: Hiç yorum yok:
Etiketler:
Kaydol: Kayıtlar (Atom)