Bültenler

Uygulamada firmaların sözleşme ekiplerinin sözleşmelere alelade KVKK hükümleri eklediğini görüyoruz, veya danışman olarak bizlerden bu tür hükümler hazırlamamız ve de özellikle bu hükümlerin ihlaline karşı tazminat koşullarını yazmamız talep ediliyor. Belirtmek isteriz ki bu tür bir tazminat, zarar giderim düzenlemesi eklememiz için sözleşme taraflarının müşterek veri sorumlusu veya taraflardan birinin veri işleyen olması gerekir. Eğer karşı taraf ile aranızda bu tür bir ilişki yok ise sözleşmede yapabileceğiniz yalnızca sözleşme konusunun veri işleme amacı taşımadığına dair bir kayıt yerleştirmek olabilir. Veri işleme sözleşmelerinin/hükümlerinin akdedilme amacı, veri sorumlusunun ilgili kişiye karşı veri güvenliğini sağlama yükümlülüğünün yerine getirilmesidir. Bu sözleşmelerle taraf rolleri şekilleniyor. Türk hukuku bağlamında Kişisel Verileri Koruma Kurumu ‘nun bu sözleşmeleri aradığı iki durum var: Veri işleme sözleşmesi: Taraflardan biri veri sorumlusu diğeri de onun veri işleyeni ise, veri işleyenin rollerinin belirlenmesi için, Veri aktarım taahhütnamesi: Veri alıcısı yurtdışında ve veri aktarıcısı Türkiye’de ise aktarılan veriler üzerinde yurtdışında da Türkiye’deki asgari güvenlik standardının sağlanması [?]

Türkiye’deki veri sorumlularının bir kısmı ilgili kişilere “gizlilik (mahremiyet) politikası” adıyla aydınlatma bildirimleri sunmaktadırlar. Kişisel Verileri Koruma Kurulu ‘nun konuya değindiği kamuoyu duyurusuna buradan ulaşabilirsiniz. Aydınlatma bildirimi (“privacy notice”), ilgili kişilerin kişisel verileri üzerindeki faaliyetler hakkında bilgilendirildikleri bir içeriği ifade eder. Bu içeriğin amacı ve taşıması gereken unsurlar organizasyon kurallarından farklıdır. Aydınlatma bildirimi, Türk Hukuku bakımından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan aydınlatma yükümlülüğünün vücut bulmuş halidir. Bu bildirim vasıtasıyla bireyler kendi verilerinin ne amaçla kullanıldığını öğrenirler ve akıbetine yön verebilirler. Kişisel verilerin işlendiği faaliyetlerde, kişisel verilerle hakkında izlenen yöntemleri, benimsenen ilkeleri içeren organizasyon kurallarını ifade eden gizlilik politikası da dolayısıyla, aydınlatma bildiriminden farklıdır. Hangi isimle anılırsa anılsın organizasyon kurallarının oluşturulmasında en temel gerekçe organizasyonun taşıdığı risklerin (personel riski, teknik risk, yasal risk vb. olabilir) minimize edilmesidir. Bu gerekliliğe işaret eder diğer bir durum ise yasal belirsizliklerdir. Gizlilik politikasına bir organizasyonda hukuken iki şekilde ihtiyaç duyulabilir: Organizasyon birden fazla ülkede veri işleme faaliyeti yürütüyordur. Farklı bağlayıcı hukuk kuralları [?]

1. Bu firmanız için zorunlu ve önemli midir ?   Evet, KVKK şirketlerin muhakkak uyumlu olması gereken, cezai yaptırımları oldukça ağır bir kanundur. Kanun’un uygulaması Kişisel Verileri Korunma Kurumu tarafından sağlanmaktadır. 2. Sadece KVKK eğitimi yeterli midir? Eğitim tüm sürecin adımlarından önemli bir tanesi diyebiliriz fakat tek başına yeterli değildir. Proje başlangıcında, yeni işe başlayan çalışanlar için gerçekleştirilmesi önemlidir. Yüz yüze veya online eğitimler olabilir,eğitim içeriği veya eğitmenlerin niteliğine de dikkat edilmelidir. Kurum uygulamalarına göre eğitim faaliyeti yılda en az bir kere tekrarlanmalıdır. İşletmenin faaliyetlerine  özel olması da amaca uygun olacaktır. 3. Sadece Kendi Çalışanlarına İlişkin Kişisel Veri İşleyen Bir Şirket de Kanun Kapsamında Değerlendirilecek midir? Kural olarak kişisel veri işleyen gerçek ve tüzel kişiler Kanun kapsamında bulunmaktadır. Dolayısıyla sadece kendi çalışanlarına ilişkin kişisel veri işleyen ama tüketici verisi işlemeyen bir fabrika  de Kanun kapsamında değerlendirilecektir. 4. Kamu Muaf Mıdır? Kamu kuruluşları da Kanun kapsamındadır. Yaptırımı farklıdır. 5. Kurul Ceza Veriyor Mu? Kurul kendisine [?]

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile yakından ilgilenen veya KVKK hakkında farkındalığı bulunan organizasyonlar ve özellikle uygulayıcılar bakımından yurt dışı aktarımı, içerisinde birçok belirsizliği barındıran kanayan bir yaradır. Esasında konu ile ilgili uluslararası düzenlemeler ve çeşitli yurt dışına aktarım yöntemleri bulunmasına rağmen, Kişisel Verileri Koruma Kurulu (“Kurul”) konu ile ilgili vermiş olduğu son Amazon Türkiye kararı ile aslında hâlihazırda süreci hukuka uygun hale getirebilecek tek yöntemin  “ilgili kişinin açık rızasının alınması” olduğunu ortaya koymuştur. Amazon Türkiye kararı, bir yandan “yurt dışı aktarımında daha önce ceza verilmediği” algısını ortadan kaldırmaya çalışırken bir yandan da KVKK madde 9 (2) kapsamında yurt dışına aktarım yöntemlerinden biri olan veri aktarım taahhütnameleri ile ilgili uygulamadaki bazı soru işaretlerini gidermeyi hedeflemektedir. Nitekim, veri aktarım taahhütnamesi sunmuş ve onay bekleyen bir organizasyonun, süreç askıdayken diğer yurt dışı aktarım yöntemleri ile süreci hukuka uygun hale getirmiş olmasının beklendiği ve taahhütname sunulmasının idari yaptırımı hafifletici bir etken olamayacağı görülmüştür. Zira, [?]

6698 Sayılı Kanun ’un 6’ncı maddesinde belirtildiği üzere, biyometrik veri özel nitelikli bir kişisel veridir ve kanunlarda öngörülmedikçe ancak ilgili kişinin açık rızası ile işlenebilir. Kişisel Verileri Koruma Kurulu yayınlamış olduğu 2019/81, 2019/165 ve 2020/167 karar numaralı karar özetlerinde biyometrik veri işleme faaliyetlerinin ölçülülük ilkesine aykırı olduğu gerekçesiyle ilgili kişilerin şikâyetlerini kabul etmiştir. Bu kararlarında 6698 SK ’da biyometrik veri tanımına yer verilmediğini belirten Kurul, Avrupa Genel Veri Koruma Tüzüğü (GDPR) ’nde yer alan tanım ve düzenlemelere atıfta bulunmuş ve biyometrik veriye ilişkin GDPR ’da yer alan tanımı kabul etmiştir: “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler”. Ölçülülük İlkesi Üzerinden Denge Testi Biyometrik veri sistemlerinin kullanımında Kurul ölçülülük ilkesine atıf yapmaktadır, bu doğrultuda biyometrik veri işleme sisteminin ne zaman ölçülü olacağına dair bir öngörüde bulunulabilir. Gerekçe konusunda daha ziyade [?]

Gittikçe dijitalleşen dünyada elektronik pazarlama faaliyetleri günlük hayatımızda daha fazla yer edinmektedir. Her gün cep telefonumuza gelen kısa mesajların veyahut posta kutumuza düşen e-postaların ciddi bir kısmını ticari elektronik iletiler oluşturmaktadır. Elektronik pazarlama faaliyetlerinin önemli bir araç ve stratejisi olan ticari elektronik ileti gönderimi, istenmeyen elektronik iletilerin (spamlerin) önüne geçilmesi ve şirketler yani hizmet sağlayıcılar bakımından güven ve şeffaflığın sağlanması adına birçok mevzuat düzenlemenin konusu olmuştur. Söz konusu düzenlemelerden en günceli olan ve 04.01.2020 tarihli 30998 sayılı Resmi Gazete ’de yayınlanarak yürürlüğe giren “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” ile ticari elektronik ileti gönderimlerinde yeni bir döneme girilmiştir. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik ile getirilmiş olan en önemli yenilik, ticari elektronik ileti onayı alınmasına, reddetme hakkının kullanılmasına ve şikâyet süreçlerinin yönetilmesine imkân tanıyan merkezi bir İleti Yönetim Sistemi (İYS) ’nin kurulmasıdır. Türkiye Cumhuriyeti Ticaret Bakanlığı, 6563 sayılı Elektronik Ticaretin Düzenlenmesi [?]