Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlularının ve Veri İşleyenlerin Yükümlülükleri Hakkında Bildirim

 

1- Kanun’un zorunlu tuttuğu dokümantasyonun hazırlanmış olması. (Kişisel Verilerin Korunması Kanunu madde 10 uyarınca Aydınlatma Metni, Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı kapsamında özel nitelikli kişisel verilerin işlenmesine ilişkin politika ve prosedürlerin oluşturulmasıKişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim hale Getirilmesi Hakkında Yönetmelik madde 5 uyarınca Kişisel Veri Saklama ve İmha Politikası)

2- 6698 Sayılı Kanunun 16 ncı maddesine göre Kurul tarafından VERBİS’e kayıt yükümlülüğüne istisna getirilen veri sorumlularından biri olunmaması halinde Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’ne kaydolmak. 

3- Veri sorumlusu olarak; alt tedarikçilerle/alt veri işleyenlerle ilişkilerde kişisel veri içeren sistemler üzerinde gerekli denetimleri yapmak veya yaptırtmak. Veri işleyen olarak;  adına veri işlediğiniz Şirketin kanun kapsamındaki sorumluluklarını yerine getirmesi hususunda işbirliği içerisinde davranmak ve veri sahiplerinin haklarının en üst düzeyde korunması için yapılacak denetimlere izin vermek ve gerekli desteği sağlamak.

4- Kanun’un 12. maddesinin birinci ve ikinci fıkrasında; 

“(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” hükmü yer almaktadır.

Bu kapsamda, kişisel verilerin işlenmesi sürecinde alınması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Veri Güvenliği Rehberi (“Rehber”) hazırlanmıştır.

Veri sorumlusu olarak; alt tedarikçilerle/alt veri işleyenlerle ilişkilerde kişisel veri içeren sistemler üzerinde gerekli denetimleri yapmak veya yaptırtmak.  Veri işleyen olarak; adına veri işlediğiniz Şirketin kanun kapsamındaki sorumluluklarını yerine getirmesi hususunda işbirliği içerisinde davranmak ve veri sahiplerinin haklarının en üst düzeyde korunması için yapılacak denetimlere izin vermek ve gerekli desteği sağlamak.

Kişisel Verileri Koruma Kurulu tarafından çıkartılmış olan rehberlerde belirlenen teknik ve idari tedbirleri ve Kanun’da sayılan istisnalar hariç olmak üzere, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla Kurul’un vereceği kararlar veya Kanun’a dayanılarak çıkarılacak yönetmelikler ve sair hukuki düzenlemeler kapsamında getirilebilecek standartlarda güvenlik düzeyini temin edici her türlü teknik ve idari tedbirleri almak.

5- Kişisel Veri İşleme faaliyetlerine Kanun’un 4. maddesinde sayılmış olan ilkelere uygun ve 5. maddesinde yer alan veri işleme şartlarına uygun olarak hareket etmek. (Örn: Kendisine iletilen verileri sadece sözleşmede yer alan amaç doğrultusunda kullanmak.) 

Madde 4 kapsamında kişisel verileri işlerken uyulması gereken ilkeler;

• Tüm veri işleme faaliyetlerinde amaçla orantılı ve ölçülü bir şekilde işleme yapılmalı. İşleme amacının belirli, meşru ve açık olması gerekli.

• Kişisel veriler doğru ve gerektiğinde güncel olmalı. 

• Kişisel veriler işlenirken hukuka ve dürüstlük kurullarına uygun işleme faaliyetlerinde bulunulmalı. 

• Sadece ilgili mevzuatta öngörülen süre boyunca kişisel verileri muhafaza etmeli daha sonrasında ise imha etmeli.

Madde 5 kapsamında kişisel veri işleme şartları;

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Madde 5’te yer alan işleme şartlarının hiçbirine dayanılamıyorsa; ancak kişinin açık rızasıyla veriler işlenebilir. 

6- Tarafımıza yapılacak olan veri aktarımlarında Kanun’un gerektirdiği hallerde ilgili kişilerin açık rızalarını almak. 

7- İlgili kişi başvurularını cevaplandırmak ve tarafımızı ilgilendiren herhangi bir başvuru olması halinde en geç 5 (beş) iş günü içerisinde tarafımıza bilgi vermek. 

8- Veri ihlallerini Kurul’a bildirmek ve tarafımızı ilgilendiren herhangi bir ihlal olması halinde en geç 24 saat içerisinde tarafımıza bilgi vermek. 

9- Kanun kapsamında personeli bilinçlendirmek ve periyodik eğitimler düzenlemek.

10- Kurul tarafından yapılacak denetimlerde talep edilen her türlü bilgi ve belgeyi zamanında ve doğru olarak vermek ve bunlara ilişkin her türlü elektronik, manyetik ve benzeri ortamlardaki kayıtları ve bu kayıtlara erişim ve kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır bulundurmak ve işletmek.

11- Kurul’un hazırlamış olduğu Kişisel Veri Güvenliği Rehberi uyarınca işbu yazıda yer alan yükümlülüklerinizin her biri sözleşme ilişkimiz sona erdikten sonra dahi süresiz olarak devam etmelidir.