sap forum ankara 2017 - kİŞİsel verİ yasasi hepİmİzİ İlgİlendİrİyor
TRANSCRIPT
SAP FORUM ANKARADijital Dönüşüm • Dijital Türkiye
Kişisel Veri Yasası Hepimizi İlgilendiriyor
Av. Dr. Çiğdem AYÖZGER
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 2
Ajanda
• Kanunun Getirdikleri
• Uygulamada Dikkat Edilmesi Gerekenler
• Pratik Çözümler
Kanunun Getirdikleri
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 4
Düzenlemenin Getirdikleri
«Kişisel Veri»: ‘kişisel veri’ ve ‘özel kişisel veri’
Kişisel Verilerin Korunması Kanunu:
• Kişisel verileri işlenen gerçek kişiler,
• Bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işleyen gerçek ve tüzel kişiler
hakkında uygulanır.
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 5
Kanunun Yürürlük Süreci
+0
7 Nisan 2016
- Kanun yürürlüğe girer
+6Ay
7 Ekim 2016
- Kurul oluşur
- Şikayet, denetim, yaptırım, sicil uygulama süreçleri başlar
+1Yıl
7 Nisan 2017
- İkincil Düzenlemeler yürürlüğe girer
- Kamu Kurum ve Kuruluşları koordinasyonu için üst düzey yönetici atar
- Kanundan önce hukuka uygun olarak alınmış rızalar, aksine irade yoksa Kanuna uygun kabul edilir.
+2Yıl
7 Nisan 2018
- Kanunun yürürlük
öncesi işlenmiş
verilerin hukuka
uygun hale
getirilmesi
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 6
Kişisel Verileri Koruma Kurumu & Kurulu
Kurum;
İdari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel
Verileri Koruma Kurumu kurulmuştur.
Başbakanlıkla ilişkilidir.
Merkezi Ankara’dadır.
Kurumun karar organı Kuruldur, 9 üyeden oluşur.
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 7
Etkilenen Kişisel Veri Eko-sistemi
Müşteri Verileri
HR/ Personel Verileri
Out-source
hizmetler için Veri Transferi
Yurtdışına/HQ/
İştiraklere Veri
Transferi
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 8
Kişisel Veri Faaliyet Döngüsü
İşleme
Anonimleştirme
Transfer
Silme/
Yoketme
Elde etme
Saklama
Kişisel Veri
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 9
İdari Para ve Hapis Cezaları
İhlaller bakımından 1 Milyon TL’ye kadar idari para cezası,
Suçlar bakımından Türk Ceza Kanununa göre 4 yıla kadar hapis cezası uygulanır.
Uygulamada Dikkat Edilmesi
Gerekenler
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 11
İşlenme, Transfer
«işlenme» şartları,
•amacı belirli olmalı, sadece bu amaçla bağlantılı ve sınırlı olmalı,
•açık rıza olmalı,
•açık rıza aranmayan önemli haller:
osözleşmenin ifası için veri işlemesi,
overi sorumlusunun hukuki bir yükümlülüğü için veri işlemesi,
okişinin kendisinin alenileştirmesi, …
Yurt içi/dışı ‘transfer’ şartları,
•amacı belirli olmalı, sadece bu amaçla bağlantılı ve sınırlı olmalı
•açık rıza,
•karşılıklılık
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 12
Veri Sorumlusu & Sicili, Veri Güvenliği
Şirketlerde ‘Veri Sorumlusu’ atama & ‘Veri Siciline Kayıt’ yükümlülüğü,
Sicile kayıt süresi Kurul tarafından açıklanacak.
Veri sorumlusunun ‘Veri Güvenliğine’ ilişkin yükümlülükleri;
• hukuka aykırı işlenmesini & erişilmesini önlemek,
• amacıyla ‘uygun güvenlik düzeyini’ temin etmeye yönelik gerekli ‘her türlü’ teknik ve idari
tedbirleri almak.
• kendi adına başka bir kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması
konusunda müştereken sorumlu.
İşlenen veriler kanuni olmayan yollarla başkaları tarafından elde edilirse;
• veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir,
• Kurul, kendi internet sitesinde ya da başka bir yöntemle ilan edebilir.
Pratik Çözümler
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 14
Kanun kapsamında uyumluluğunun incelenmesi ve raporlanması:
• iç mevzuat, süreç, uygulama, hizmet sağlayıcıları ile yapılmış tüm sözleşme ve matbu evrak incelenmesi,
• kişisel verilerin ve türlerinin tespiti, envanterinin oluşturulması, verilerin sınıflandırılması,
• envanter kapsamında belirlenen veri için yaşam döngüsünün ve istisnalarının belirlenmesi,
• iç mevzuat, süreç, tip sözleşme … için uyum raporunun hazırlanması, yol haritasının oluşturulması,
• veri akış süreçlerinin düzenlenmesi,
• tip sözleşmelerinin dizaynı, aydınlatma ve açık rıza metinleri ile veri politikası metinlerinin oluşturulması,
• sicile kayıt ve şikayet sürecinin dizayn edilmesi
Veri Envanteri ve Akış Diagramlarının Hazırlanması
•İlişkisel veri envanterinin, veri haritalarının, veri bağlantılarının oluşturulması
•Veri dönüşüm kataloglarının hazırlanması
•Veri akış diyagramlarının tüm süreçler için hazırlanması
Regülasyonel Uyum Süreci
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 15
Veri Kategorizasyonu
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 16
Başvuru/Şikayet Süreci
• Veri sorumlusu
• başvuru
• şikayet
30 gün
• red
• kabul
Tarifeli ücret
• Talep yerine getirilir/hata varsa ücret iade edilir
• Red cevabı Kurul gönder
30 /60 gün
• Kurul incelemesi ve kararı
• re’sen
• şikayet
30 gün
• Yaygın ihlalde ilke kararı alınır
• İlgili kamu kurumlarından görüş alınabilir
Regülasyon• Yeni
regülasyon yayınlanır
Uyum
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 17
Uyum Süreci
HR Verisi
- iş başvurularının kabul edildiği mecraların tespiti
- gerekli beyanlar
- onay mekanizmaları
İŞ BAŞVURUSU
- Out-source edilen hizmetlerin tespiti
- transfer edilen veri tespiti,
- teknik altyapı ve sözleşmelerde gerekli değişiklikler
OUT-SOURCE HİZMETLER
- Saklanan, işlenen veri tipi tespiti,
- transfer edilen veri tespiti,
- Türüne göre gerekli onay, rıza alınması
ÇALIŞAN/İŞÇİ
Müşteri Verisi
- edinilen müşteri datasının tespiti
- verinin geldiği kaynakların tespiti
- transfer edilen veri tespiti,
- gerekli rıza mekanizması alternatiflerinin oluşturulması
MÜŞTERİDEN EDİME
- Out-source hizmetler için paylaşılan müşteri datasının tespiti
-teknik altyapı ve sözleşmelerde gerekli değişiklikler
OUT-SOURCE HİZMETLER- Saklama ve işlenme yönteminin tespiti,
- transfer edime yöntemi tespiti,
- eski dataların Kanuna uyumu
YÖNTEMLER
© 2017 SAP AG or an SAP affiliate company. All rights reserved. 18
Regülasyonel Uyum Süreci
YK kararının alınması
web sitesinde bildirim
Edinme, saklanma, işlenme, yurtiçi/dışı transfer şartı tespiti
Hukuka aykırı işlenme & erişimin önlemesi
Verinin güvenli muhafazası
‘Uygun güvenlik düzeyini’ için ‘her türlü’ teknik ve idari tedbir
Out-source hizmetlerde ‘Veri Güvenliği’ tedbirleri
‘Veri Sorumlusu’ tespiti ‘
‘Veri Siciline’ kayıt
Repütasyon kaybını önleyici diğer tedbirler
Elektronik haberleşme faaliyetlerin uyum; cookie…
© 2017 SAP AG or an SAP affiliate company. All rights reserved.
Teşekkürlerİletişim Bilgileri:
Av. Dr. Çiğdem Ayözger
SRP-Legal
Kurucu Ortak
+90 532 210 24 70
+90 212 401 4 401