SAP FORUM ANKARADijital Dönüşüm • Dijital Türkiye

Kişisel Veri Yasası Hepimizi İlgilendiriyor

Av. Dr. Çiğdem AYÖZGER

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 2

Ajanda

• Kanunun Getirdikleri

• Uygulamada Dikkat Edilmesi Gerekenler

• Pratik Çözümler

Kanunun Getirdikleri

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 4

Düzenlemenin Getirdikleri

«Kişisel Veri»: ‘kişisel veri’ ve ‘özel kişisel veri’

Kişisel Verilerin Korunması Kanunu:

• Kişisel verileri işlenen gerçek kişiler,

• Bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir

veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan

yollarla işleyen gerçek ve tüzel kişiler

hakkında uygulanır.

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 5

Kanunun Yürürlük Süreci

+0

7 Nisan 2016

- Kanun yürürlüğe girer

+6Ay

7 Ekim 2016

- Kurul oluşur

- Şikayet, denetim, yaptırım, sicil uygulama süreçleri başlar

+1Yıl

7 Nisan 2017

- İkincil Düzenlemeler yürürlüğe girer

- Kamu Kurum ve Kuruluşları koordinasyonu için üst düzey yönetici atar

- Kanundan önce hukuka uygun olarak alınmış rızalar, aksine irade yoksa Kanuna uygun kabul edilir.

+2Yıl

7 Nisan 2018

- Kanunun yürürlük

öncesi işlenmiş

verilerin hukuka

uygun hale

getirilmesi

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 6

Kişisel Verileri Koruma Kurumu & Kurulu

Kurum;

İdari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel

Verileri Koruma Kurumu kurulmuştur.

Başbakanlıkla ilişkilidir.

Merkezi Ankara’dadır.

Kurumun karar organı Kuruldur, 9 üyeden oluşur.

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 7

Etkilenen Kişisel Veri Eko-sistemi

Müşteri Verileri

HR/ Personel Verileri

Out-source

hizmetler için Veri Transferi

Yurtdışına/HQ/

İştiraklere Veri

Transferi

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 8

Kişisel Veri Faaliyet Döngüsü

İşleme

Anonimleştirme

Transfer

Silme/

Yoketme

Elde etme

Saklama

Kişisel Veri

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 9

İdari Para ve Hapis Cezaları

İhlaller bakımından 1 Milyon TL’ye kadar idari para cezası,

Suçlar bakımından Türk Ceza Kanununa göre 4 yıla kadar hapis cezası uygulanır.

Uygulamada Dikkat Edilmesi

Gerekenler

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 11

İşlenme, Transfer

«işlenme» şartları,

•amacı belirli olmalı, sadece bu amaçla bağlantılı ve sınırlı olmalı,

•açık rıza olmalı,

•açık rıza aranmayan önemli haller:

osözleşmenin ifası için veri işlemesi,

overi sorumlusunun hukuki bir yükümlülüğü için veri işlemesi,

okişinin kendisinin alenileştirmesi, …

Yurt içi/dışı ‘transfer’ şartları,

•amacı belirli olmalı, sadece bu amaçla bağlantılı ve sınırlı olmalı

•açık rıza,

•karşılıklılık

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 12

Veri Sorumlusu & Sicili, Veri Güvenliği

Şirketlerde ‘Veri Sorumlusu’ atama & ‘Veri Siciline Kayıt’ yükümlülüğü,

Sicile kayıt süresi Kurul tarafından açıklanacak.

Veri sorumlusunun ‘Veri Güvenliğine’ ilişkin yükümlülükleri;

• hukuka aykırı işlenmesini & erişilmesini önlemek,

• amacıyla ‘uygun güvenlik düzeyini’ temin etmeye yönelik gerekli ‘her türlü’ teknik ve idari

tedbirleri almak.

• kendi adına başka bir kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması

konusunda müştereken sorumlu.

İşlenen veriler kanuni olmayan yollarla başkaları tarafından elde edilirse;

• veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir,

• Kurul, kendi internet sitesinde ya da başka bir yöntemle ilan edebilir.

Pratik Çözümler

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 14

Kanun kapsamında uyumluluğunun incelenmesi ve raporlanması:

• iç mevzuat, süreç, uygulama, hizmet sağlayıcıları ile yapılmış tüm sözleşme ve matbu evrak incelenmesi,

• kişisel verilerin ve türlerinin tespiti, envanterinin oluşturulması, verilerin sınıflandırılması,

• envanter kapsamında belirlenen veri için yaşam döngüsünün ve istisnalarının belirlenmesi,

• iç mevzuat, süreç, tip sözleşme … için uyum raporunun hazırlanması, yol haritasının oluşturulması,

• veri akış süreçlerinin düzenlenmesi,

• tip sözleşmelerinin dizaynı, aydınlatma ve açık rıza metinleri ile veri politikası metinlerinin oluşturulması,

• sicile kayıt ve şikayet sürecinin dizayn edilmesi

Veri Envanteri ve Akış Diagramlarının Hazırlanması

•İlişkisel veri envanterinin, veri haritalarının, veri bağlantılarının oluşturulması

•Veri dönüşüm kataloglarının hazırlanması

•Veri akış diyagramlarının tüm süreçler için hazırlanması

Regülasyonel Uyum Süreci

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 15

Veri Kategorizasyonu

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 16

Başvuru/Şikayet Süreci

• Veri sorumlusu

• başvuru

• şikayet

30 gün

• red

• kabul

Tarifeli ücret

• Talep yerine getirilir/hata varsa ücret iade edilir

• Red cevabı Kurul gönder

30 /60 gün

• Kurul incelemesi ve kararı

• re’sen

• şikayet

30 gün

• Yaygın ihlalde ilke kararı alınır

• İlgili kamu kurumlarından görüş alınabilir

Regülasyon• Yeni

regülasyon yayınlanır

Uyum

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 17

Uyum Süreci

HR Verisi

- iş başvurularının kabul edildiği mecraların tespiti

- gerekli beyanlar

- onay mekanizmaları

İŞ BAŞVURUSU

- Out-source edilen hizmetlerin tespiti

- transfer edilen veri tespiti,

- teknik altyapı ve sözleşmelerde gerekli değişiklikler

OUT-SOURCE HİZMETLER

- Saklanan, işlenen veri tipi tespiti,

- transfer edilen veri tespiti,

- Türüne göre gerekli onay, rıza alınması

ÇALIŞAN/İŞÇİ

Müşteri Verisi

- edinilen müşteri datasının tespiti

- verinin geldiği kaynakların tespiti

- transfer edilen veri tespiti,

- gerekli rıza mekanizması alternatiflerinin oluşturulması

MÜŞTERİDEN EDİME

- Out-source hizmetler için paylaşılan müşteri datasının tespiti

-teknik altyapı ve sözleşmelerde gerekli değişiklikler

OUT-SOURCE HİZMETLER- Saklama ve işlenme yönteminin tespiti,

- transfer edime yöntemi tespiti,

- eski dataların Kanuna uyumu

YÖNTEMLER

© 2017 SAP AG or an SAP affiliate company. All rights reserved. 18

Regülasyonel Uyum Süreci

YK kararının alınması

web sitesinde bildirim

Edinme, saklanma, işlenme, yurtiçi/dışı transfer şartı tespiti

Hukuka aykırı işlenme & erişimin önlemesi

Verinin güvenli muhafazası

‘Uygun güvenlik düzeyini’ için ‘her türlü’ teknik ve idari tedbir

Out-source hizmetlerde ‘Veri Güvenliği’ tedbirleri

‘Veri Sorumlusu’ tespiti ‘

‘Veri Siciline’ kayıt

Repütasyon kaybını önleyici diğer tedbirler

Elektronik haberleşme faaliyetlerin uyum; cookie…

© 2017 SAP AG or an SAP affiliate company. All rights reserved.

Teşekkürlerİletişim Bilgileri:

Av. Dr. Çiğdem Ayözger

SRP-Legal

Kurucu Ortak

cigdem@srp-legal.com

+90 532 210 24 70

+90 212 401 4 401