Hesabım  Satın Al

Haberler

Türkiye’de Kurulu Şirketlerin GDPR Uyum Sorumluluğu

30 Nisan 2021 00:00 1478 kişi okudu

Türkiye’de Kurulu Şirketlerin GDPR Uyum Sorumluluğu

Genel Olarak

Hızlı dijitalleşme çağının yarattığı kişisel veri güvenliği kırılganlığını gündeme taşıyan ve kişisel verileri koruma altına almayı hedefleyen 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Regülasyonu (GDPR) 25.05.2018 tarihinde yürürlüğe girmiştir. Bu düzenleme ile Avrupa Birliği hukukunda ve Avrupa Birliği Ekonomik Alanı içerisinde; bireylerin kişisel verilerinin korunması ve Avrupa Birliği ile bağlantılı şirketlerin yönetmelik ile uyumlu bir şekilde veri işleme faaliyeti gerçekleştirmesi hedeflenmektedir.

GDPR’ın Kapsam Başlıklı 3. Maddesine Göre Türkiye’de Yerleşik Şirketlerin Sorumluluğu

AB Genel Veri Koruma Regülasyonunun kapsam başlıklı 3. Maddesine göre; Türkiye’de kurulu şirketler, AB mukimlerine ürün ve hizmet satmak, online sistemleri üzerinden AB kullanıcılarına ürün ve hizmet sağlamak, veri sahiplerinin tüketim tercih alışkanlıklarını, davranışlarını izlemek gibi yöntemler ile Avrupa Birliği içinde ikamet eden bir kişi ile herhangi bir şekilde iletişim kurmakta ise veya farklı başkaca yöntemler ile Avrupa Birliği içinde ikamet eden kişilerin verilerini işlemekte ise, GDPR’a tabi olacaklardır. Yani AB sınırları içinde bulunmasa dahi yukarıda sayılan koşulları gerçekleştiren Türkiye’de kurulu şirketlerin, Türkiye’de gerçekleştirdikleri veri işleme faaliyetleri açısından KVKK uyumluluklarını sağlamalarının yanı sıra GDPR uyumluluklarını da yerine getirmeleri beklenmektedir.

Temel GDPR Kuralları

GDPR kapsamına giren Türkiye’de yerleşik şirketler açısından dikkate alınması gereken temel kuralları sıralayacak olursak;

  1. GDPR açısından, veri konusunun (ilgili kişi) doğrudan rızası, veri konulu bir sözleşmenin yerine getirilmesi, veri sorumlusunun yasal yükümlülüğüne uyması, hayati çıkarların korunması gibi kişisel verilerin kontrol edilmesi ve işlenmesi için veri sorumlusunun meşru çıkarlarını gerektirmekte ise veri işleme faaliyeti hukuka uygun şekilde gerçekleştirilebilmektedir.
  2. Şirket, şirket temsilcisi veya harici bir danışman olabilecek bir Veri Koruma Görevlisi(DPO) atamalıdır. İşleyen ve çalışanlara GDPR kapsamında bilgilendirme ve tavsiyede bulunma, uygunluğun izlenmesi ve denetleyici otorite ile irtibat kişisi olması veri sorumlusunun yükümlülükleri arasında yer almaktadır.
  3. Kişisel veriler sadece yasal amaçlar için toplanmalı, işlenmeli ve her zaman korunmalıdır. Gerekli korumalar; kaza sonucu veya yasadışı imha, kayıp, işleme, açıklama, erişim ve değişikliklerin önlenmesini içermektedir.
  4. Tüm veri işleme faaliyetleri belgelenmelidir. Teknik ve organizasyonel güvenlik önlemleri ile ilgili belgelerin, talep üzerine veri sorumlusu otoritesi tarafından denetlenebilen yazılı veya elektronik formdaki kayıtlarla birlikte yapılması gerekmektedir. Bir kuruluşun 250'den az çalışanı varsa, dokümantasyon bölümüne ihtiyaç duymayacaklardır.
  5. İlgili kişilerin verilerinin işlenmesine ilişkin onayları belgelenmelidir. Her bir spesifik işlem ve amaç için bu onay verilmeli ve ilgili kişiler, verdikleri kadar kolay bir şekilde de onayı geri çekebilmelidirler.
  6. Tedbirlerin uygunluğunun değerlendirilmesinde teknik ve kurumsal önlemlerle GDPR’a uyumluluk ortaya konmalıdır. Veri ihlallerini tanımlamak ve araştırmak için gerekli araçlar elinizde hazır bulunmalı ve ilgili kişilerin veri erişim taleplerine derhal yanıt verme yeteneğine kabil olunmalıdır.
  7. Şirket adına işlenen veriler için üçüncü taraf ilişkileri de dahil olmak üzere belirlenen riskler için yapılandırılmış organizasyonel ve teknolojik azaltımları geliştirerek, kişisel verilerin işlenmesi, birey hak ve özgürlüklerine ilişkin riskler hakkında değerlendirmeler yapılmalıdır.
  8. Belirli korumalar mevcut olmadıkça AB dışındaki verileri “üçüncü bir ülke veya uluslararası bir kuruluşa” aktarma önlenmelidir. Bu korumalar; Avrupa Komisyonu tarafından hedef alıcıların yeterli düzeyde veri koruma seviyesine sahip olduğu veya kontrolör (veri sorumlusu) veya işleyenin uygun önlemlere sahip olduğu ve Kurumsal Kurallar gibi yasal çözümlerinin mevcut olduğuna dair bir yeterlilik kararı olabilir.
  9. İhlalin farkına varılmasından itibaren 72 saat içinde kişisel verisi ihlal edilen her bir ilgili kişi mutlaka bilgilendirilmelidir. İhlallerin “gerçek kişilerin hak ve özgürlükleri için risk oluşturması olası değilse” bu durumda denetim yetkilisine ihlal bildirimlerinin yapılması gerekli değildir.
  10. Veri Koruma Etki Değerlendirmesi’nin(DPIA), işlemenin “hak ve özgürlüklere karşı yüksek risk oluşturması muhtemel” alanlarda yapılması gerekmektedir. Otomatik işlem ve profil oluşturma, “özel veri kategorilerinin” büyük ölçekli işlenmesi, insanlara yasal etkileri ve “geniş kitlelerce erişilebilir bir alanın sistematik olarak izlenmesi”nin tümü bu DPIA kapsamında değerlendirilmelidir. Organizasyonlar, işlemenin gerçekleştirilmesinden önce DPO ‘ya danışmalı ve denetleyici makamın işlem koşullarını belirli durumlarda hukuka uygun olduğuna karar verene kadar beklemelidirler.
  11. Veri minimizasyonu prensibinin bir gereği olarak işlenen kişisel verilerin miktarını en aza indirilmeli yani belirli bir işlem için gerekli olmayan kişisel veriler toplanmamalı, işlenmemelidir. Kişisel verilerin işlenmesi artık gerekli olmadığında, tanımlayıcıların neredeyse anlamsız değerlerle değiştirilmesi yöntemlerinden olan takma isim kısaltılmasının uygulanması gerekir veya bu veriler kalıcı olarak silinmelidir.
  12. Verilerin korunması, “uygun teknik ve organizasyonel önlemler” uygulanarak, işleme faaliyetleri sırasında sağlanmalıdır. Bu koruma önlemleri, bir işleme faaliyetini gerçekleştirirken işler vaziyette olmalıdır. Teknik ve organizasyonel güvenlik önlemleri; şifreleme, takma isim verme işlem sistemi gizliliği, bütünlüğü ve esnekliği ve düzenli test süreci şeklinde uygulanmalıdır.
  13. Etnik kökeni, politik görüşleri, dini, felsefi inançları, sendika üyeliğini açığa vuran kişisel verilerin, genetik verilerin, biyometrik verilerin kişinin bir şekilde tanımlanması amacıyla özel veri kategorilerinin işlenmesi ve kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili sağlık verilerin işlenmesi yasaktır.
  14. İlgili kişi; işlenmenin amaçlarını, işlenen kişisel verilerin kategorilerini, alıcıların veya verilerin hangi kategoride açıklanacağını, verilerin ne kadar süreyle saklanacağını ve bunları düzeltme veya silme haklarını bilme hakkına sahiptir. Veri sahibinin veri sorumlusuna başvuru talebi için, “idari maliyete dayalı makul bir ücret” alınabilse de, bu talep ücretsiz olarak yerine getirilebilmelidir. İlgili Kişi, uygun şekilde ve makul aralıklarla doğru şekilde talebini iletebilmelidir. İşlemenin yasallığını bilme ve doğrulamanın gerçekleşmesini ayrıca ilgili kişinin kişisel verilerine doğrudan erişimini sağlayan güvenli bir sistem olmalıdır.
  15. Yanlış bir kişisel veriyi, ilgili kişinin tamamlayıcı açıklamasını içeren çeşitli yollarla güncellemek ve düzeltmek gereklidir. Organizasyonların, bir sistemde güncellenen verileri için otomatik olarak ve diğer tüm lokasyonlarda doğru şekilde güncellendiğinden emin olmak adına tüm veri sistemleri ve süreçlerinde sıkı bir entegrasyona ihtiyacı olacaktır.
  16. Veriler, sorumlu veya işleyen tarafından kamuya açıklanmışsa, ilgili kişinin silme talebi hakkında diğer sorumluları ve işleyenleri bilgilendirmek için “makul adımlar” atılması gerekir.
  17. Çekişmeli doğruluk, hukuka aykırı işlem, silme talebinde bulunulmaması, veri sahibinin hukuki iddiaları için kişisel verilere ihtiyacı olduğu ancak daha fazla işlemenin gerekli olmadığı durumlarda, ilgili kişinin talebi üzerine kişisel verilerinin işlenmesinin geçici olarak kısıtlanması sistemde açıkça belirtilmelidir.
  18. İlgili kişi talebine “yapılandırılmış, yaygın olarak kullanılan ve makine tarafından oluşturulmuş okunabilir bir formatta” cevap verilmelidir. Bu, ilgili kişinin “sorumluya sağladığı” kişisel verisi ile sınırlıdır ve ilgili kişi bunu talep edebilir. Sorumlunun bu verileri “engellemeden” yeni bir veri sorumlusuna iletmesini sağlayabilir. Diğer yasal gerekçelerin gelecekteki işlem aktiviteleri için geçerli olduğu yerler gibi çeşitli istisnalar vardır.
  19. Çocuklara yönelik hizmetler doğrudan çocuklara sunulduğunda; dilin “çocuğun kolayca anlayabileceği düzeyde açık ve sade bir dil” olması gerekmektedir. Çocuklara ait kişisel bilgilerin ek güvencelere sahip olması lazımdır. Ebeveyninin, sorumluluk sahibinin onayı gerekmektedir. Üye Devletler 16 yaşın altındaki çocuklar için, bunu 13 yaşa kadar indirebilirler.
  20. İstisnalar, sözleşmeyle ilgili hususlarla ilgili işlemenin gerekliliği, Birlik veya Üye Devlet yasası kapsamındaki muafiyetler ve ilgili kişinin açık rızasının verildiği durumlarda; ilgili kişilerin hak ve özgürlüklerinin mutlaka korunması gerekmektedir.

KVKK ve GDPR Temel Farklılıklar

KVKK ve GDPR aşağıda belirtilen bazı önemli farklıları dışında aralarında büyük ölçüde benzerlik görülen düzenlemelerdir.

  • GDPR hesap verebilirlik ilkesi kapsamında “veri kontrolörü” kavramını getirmiştir. “veri kontrolörü” kişisel veri işlemenin amaçlarını ve yöntemini belirleyen, “veri işleyicisi” ise veri kontrolöründen aldığı yetki ile kontrolör adına kişisel verileri işleyen kişiyi ifade etmektedir. Kişisel veri ihlallerine ilişkin durumlarda hem veri kontrolörü hem de veri işleyicisi birlikte sorumludurlar. Bu düzenleme özellikle veri toplama ve işleme faaliyetlerini şirket adına yürüten bir dış hizmet sağlayıcısı olması durumunda önem arz edecektir. KVKK’da ise veri sorumlusu ve veri işleyen açısından sorumluluk belirlenmemiş ve uygulanacak cezalar bakımından yalnızca veri sorumlularına yaptırım uygulanacağını belirtilmiştir.
  • KVKK kapsamında veri sorumlusu sıfatına karşılık gelebilecek veri kontrolörü kavramına ilişkin veri sorumlusundan farklı olarak herhangi bir veri sorumluları sicil bilgi sistemine kayıt olma yükümlülüğü GDPR kapsamında düzenlenmemiştir.
  • GDPR, kişisel verileri işleyen birey ve şirketlerin yanı sıra bu verileri işleyen çalışanları da hukuka uygun olarak verinin işlenmesinden sorumlu tutmaktadır. GDPR ile getirilen düzenlemeler kapsamında verileri işleyen herhangi bir şirket, bulut hizmet sağlayıcısı, birey verinin hukuka uygun işlenmesinden sorumlu kabul edilmektedir. GDPR kapsamında veri işleme olarak kabul edilen ve kişisel veriye ilişkin gerçekleştirilen her türlü faaliyeti gerçekleştirenler söz konusu veri işlemeden kaynaklı bütün uygunsuzluklardan sorumlu olurken, KVKK açısından sorumluluk yalnızca veri sorumluları için getirilmiştir.
  • KVKK’da; İlgili kişinin, özgür iradesi dahilinde tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olacak şekilde açık rızası aranmaktadır. GDPR’da düzenlenen rıza kavramında ise; veri sahibinin beyanı, durumu veya onay ifade eden bir davranışı yoluyla kişisel verilerinin işlenmesini özgür iradesiyle, belirli bir konuda, aydınlatılmış ve rızanın açıkça, kesin bir biçimde verilmiş bulunması ifadesi kullanılmaktadır.
  • KVKK’da, kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesi anonimleştirme kavramı ile açıklanmıştır. GDPR’da ise “pseudonymisation/bulanıklaştırma” tanımı kullanılmaktadır. Şifreleme ve bulanıklaştırmayı içerebilecek önlemlerin varlığını aranmaktadır. Bulanıklaştırma; kişisel verilerin ek bir bilgi kullanılmaksızın belirli bir veriyle ilişkilendirilemeyecek biçimde işlenmesi şeklinde uygulanmaktadır.
  • KVKK’da yer almayan Unutulma Hakkı, GDPR açısından veri sahibine, kendisine ait kişisel verilerinin mümkün olan en kısa sürede silinmesini veri kontrolöründen talep etme hakkı vermiş olup; veri kontrolörü söz konusu kişisel verileri gecikmeksizin silmekle yükümlü tutulmuştur.
  • KVKK’da karşılığı bulunmayan bir başka GDPR düzenlemesine göre; veri sahibi, kişisel verisini tutmaya yetkili veri kontrolöründen bir başka veri kontrolörüne kişisel verisini taşıyabilmektedir.
  • Bir diğer KVKK karşılığı bulunmayan başka GDPR düzenlemesine göre; hassas verilerin işlenmesi açısından “zorunlu veri koruma görevlisi” belirlenmelidir. Riskli veri işleme faaliyetleri açısından ise “zorunlu veri koruma etki değerlendirmesi” yapılması öngörülmektedir.
  • GDPR anlamında, veri sorumlusuna verilmiş veri paylaşımına ilişkin bir rıza olsa dahi, verinin transfer edildiği ülkede yeterli düzeyde koruma sağlandığına ilişkin teminat verilmediği sürece, verinin AB dışına transferini yasaklamaktadır. Üçüncü kişilerin güvenlik yeterlilik koşullarını sağlayıp sağlamadığına ilişkin değerlendirmeyi veri koruma otoritesi yapmaktadır.
  • Veri ihlalinin KVKK açısından öngörülen yaptırımı 1 milyon Türk Lirasına kadar yükselebilen idari para cezası iken; GDPR anlamında veri ihlali söz konusu olduğunda ihlalin ağırlığına oranla değişen miktarlarda veri koruma otoriteleri tarafından verilen idari para cezası açısından 20 milyon Euro veya söz konusu şirketin bir önceki mali yıl küresel cirosunun %4’üne kadar varan para cezaları öngörülmektedir.

Konuyla ve hizmetlerimiz ile ilgili daha fazla bilgi almak için www.kvkkasistan.com adresini ziyaret edebilir ve KVKK ekibimiz ile iletişime geçebilirsiniz.

Yararlı olması dileğimizle.