Kişisel Verilerin Korunması Kanunusozenlegal.com/wp-content/uploads/2019/03/SLPRO19000... ·...

Kişisel Verilerin Korunması KanunuUyum Projesi Hizmetimiz

Ocak 2019

Photography by Andrew Worley

Gizlidir.Kuruma Özeldir.

ÖnsözDüzenlemeler Hakkında

Sözen Hukuk Ofisi I Kişisel Verilerin Korunması Kanunu Uyum Projesi

Sayın İlgili,

6698 sayılı Kişisel Verilerin Korunması Kanunu hakkında temel bilgileri ve uyum projesi hizmetimizin kapsamını incelediğiniz içinteşekkür ederiz.

Bildiğiniz üzere, Avrupa Birliği uyum sürecinin de etkisiyle 95/46/EC sayılı AB Direktifi’nden esinlenilerek hazırlanan 6698 sayılıKişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanmış ve şirketlerce tam uyumunsağlanması adına öngörülen 2 yıllık geçiş süresi 7 Nisan 2018 tarihi itibariyle sona ermiştir. Teklifimizin ilk bölümünde Kanun ilesevk edilen temel yükümlülükleri, ikinci bölümünde ise anılan yükümlülüklerin yerine getirilebilmesi amacıyla yürüttüğümüzuyum projesi hizmetimizin aşamalarını bulabilirsiniz.

Sizler için de uygun olan bir zamanda bir araya gelmek ve çalışmamız hakkındaki detayları anlatmak isteriz.Saygılarımla.

Olsan SözenAvukat, Yönetici Ortak

Kişisel Verilerin Korunması KanunuKanun’da Öngörülen Temel Yükümlülükler Nelerdir?


Kanun ile şirketler, özetle, (i) Kanun’da öngörülen ilkelere uygun kişisel veri işlemek, (ii) veri sahiplerini bilgilendirmek, (iii.) belirlihallerde veri sahiplerinin rızasını almak, (iv.) belirlenen sürelerin sona ermesi akabinde verileri imha etmek, (v.) veri güvenliğinitemin etmek ve (vi.) Veri Sorumluları Sicili’ne (“VERBİS”) kayıt olmak ile yükümlü kılınmışlardır. Öte yandan, Kanun ile kişiselverilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması, kişisel verileriişleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların belirlenmesi ve bu hususların denetlenmesiamacıyla Kişisel Verileri Koruma Kurumu/Kurulu (“Kurum/Kurul”) oluşturulmuştur.

İlkelereUygunluk Aydınlatma Açık Rıza

TeminiVerilerin

İmha Edilmesi

Veri Güvenliğinin Sağlanması

Veri Sorumluları Sicili’ne Kayıt

Şirketler KVKK’ya Nasıl Uyum Sağlayacaktır?Temel Yükümlülükler ve Uyum Çalışmaları


Sağ tarafta yer alan yayınımızda, Kişisel Veri tanımı, Kanun’un yasalaşma süreci, temel yükümlülükler ve uyum çalışmaları kapsamında yapılması gerekenler konu alınmıştır.

S O Z E NHukuki Hizmetler

Şirketler KVKK’ya Nasıl Uyum Sağlayacaktır?Av. Olsan Sözen, Sözen Hukuk Ofisi

https://www.youtube.com/watch?v=cfEszz9ZbTI&t=2s




Uyum Projesi Hizmetimizin KapsamıA. Farkındalık Eğitimi (1/5)


Aydınlatma yükümlülüğü, açık rıza temini ve veri güvenliğine ilişkin yükümlülükler başta olmak üzere, Kanun ve ikincildüzenlemeler tarafından sevk edilen yükümlülüklerin yerine getirilmesi şirket nezdinde kapsamlı bir uyum çalışmasıyürütülmesini gerekli kılmaktadır. Bu çerçevede Uyum Projesi hizmetimiz, Avrupa Birliği uygulamaları ile de paralel olarak,Farkındalık Eğitimi, Veri Haritalama, Hukuki Analiz «Personal Data Impact Assessment», Bilgi Teknolojileri İncelemesi veİmplementasyon fazlarından oluşmaktadır.

Veri Haritalama Hukuki Analiz Bilgi Teknolojileri

İnceleme İmplementasyonFarkındalıkEğitimi

Şirket yöneticileri ve çalışanları nezdinde kişisel verilerin korunması düzenlemeleri kapsamında farkındalık yaratılmasıamacıyla farkındalık eğitimleri ve workshoplar düzenlenmektedir. Eğitimlerimizde, temel olarak; (i.) Kanun’unyasalaşma süreci, (ii.) Temel ilke ve kavramlar, (iii.) Açık rıza ve aydınlatma yükümlülüğü, (iv.) Veri aktarımına ilişkindüzenlemeler, (v.)Veri güvenliği, (vi.)Suçlar ve kabahatler, (vii.)GDPR ile getirilen yeni yaklaşımlar, iyi uygulamaörnekleri, (viii.) İş birimleri ve çalışanların görev ve sorumlulukları konuları ele alınmaktadır. Öte yandan, eğitimsonrasında katılımcıların e-mail adreslerine çoktan seçmeli sorulardan oluşan test yönlendirilmekte ve eğitim kalitesiölçümlenmektedir.

Faz Çıktıları: Eğitim Sunumu Farkındalık Testi Sonuçları

Uyum Projesi Hizmetimizin KapsamıB. Veri Haritalama (2/5)





Kanun’a uyum sürecinde alınacak aksiyonların belirlenmesi adına öncelikle şirket nezdinde hangi kişisel verinin hangifaaliyet kapsamında işlendiğinin tespit edilmesi ve süreçlerin yönetilebilir bir formatta düzenlenmesi gerekmektedir. Buamaçla ilgili departmanlar ile gerçekleştirilen çalışmalar sonunda şirketin kişisel veri işleme, kullanma, saklama vepaylaşma faaliyetlerinin haritalandığı Kişisel Veri İşleme Envanteri oluşturulmaktadır. Öte yandan, Kurumunbeklentilerine uygun olarak hazırlanacak olan söz konusu envanter, VERBİS’e kayıt esnasında da büyük kolaylıkoluşturacaktır.

Faz Çıktıları: Kişisel Veri İşleme Envanteri Veri Sorumlusu-Veri İşleyen TablosuVeri Paylaşım Şeması

Uyum Projesi Hizmetimizin KapsamıC. Hukuki Analiz (3/5)





Deneyimli hukuk danışmanlarımız tarafından Kişisel Veri İşleme Envanteri ile haritalanan kişisel veri işlemefaaliyetlerinin Kanunda yer alan düzenlemelere uygunluğu değerlendirilmekte, süreçler risk metodolojimizçerçevesinde hukuki analize tabi tutulmaktadır. Öte yandan, ilgili düzenlemelere tam uyumun sağlanması adınaalınması gereken tedbirler ile aksiyonlar; aydınlatma ve açık rıza yükümlülükleri, saklama süreleri vb. süreç bazlı olarakbelirlenmektedir. Yüksek riskli olduğu tespit edilen süreçler açısından ise Avrupa Birliği uygulamaları doğrultusundayeniden tasarlama «privacy by design» çalışmaları yürütülmektedir.

Faz Çıktıları: Hukuki Değerlendirmeler Aydınlatma BeyanlarıSaklama ve İmha Politikası Saklama ve İmha Süreleri Tablosu

Açık Rıza Beyanları

Uyum Projesi Hizmetimizin KapsamıD. Bilgi Teknolojileri İnceleme (4/5)





Bilgi Teknolojileri uzmanlarımızca şirketin bilgi teknolojileri ve bilgi güvenliği mimarisi hakkında toplantılar yapılmakta veşirketin BT ve BG mimarisi hakkında bilgi alınmaktadır. Kişisel Veri İşleme Envanteri’nde yer alan bilgilerden oluşturulanKişisel Veri Uygulama Matrisi ve yapılan BT toplantısından elde edilen bilgiler ile şirketin BT ve BG mimarisi analizedilmekte, siber güvenlik riskleri tespit edilmekte ve Kanun’un 12. maddesi kapsamında alınması gereken aksiyonlar BTİnceleme Raporu vasıtasıyla şirkete iletilmektedir.

Faz Çıktıları: Kişisel Veri Uygulama Matrisi BT İnceleme Raporu

Uyum Projesi Hizmetimizin KapsamıE. İmplementasyon (5/5)





Kişisel Veri İşleme Envanteri üzerinde gerçekleştirilen etki analizi sonunda tam uyumun sağlanması ve belirlenenaksiyonların hayata geçirilmesi amacıyla yol haritası belirlenmekte, gerekli dokümantasyon; politikalar, aydınlatmabeyanları, açık rıza metinleri, başvuru formları, sözleşme hükümleri AB uygulamaları paralelinde kurum özelindehazırlanmaktadır. Bununla beraber projemiz yüzlerce tavsiyenin sizlere iletilmesi ile sona ermemekte, ilgili birimleringörev ve sorumlulukları belirlenerek aksiyonların yerine getirilmesi üzerine çalışmalar yürütülmektedir.

Faz Çıktıları: Veri Paylaşım Sözleşmesi KVKK Sözleşme HükmüBaşvuru FormuCCTV ve Ses Kaydı Uyarı Metni

Uyum Projesi RaporuYönetişim Önerisi

Uyum Projesi PlanıUyum Projesi Kapsam ve Zaman Planı


Hafta 1 2 3 4 5 6 7 8Farkındalık EğitimiVeri HaritalamaHukuki AnalizBT İncelemeİmplementasyon

Geçmiş proje deneyimlerimiz doğrultusunda Uyum Projesi hizmetimizin ortalama 8 haftalık bir süreçte tamamlanacağınıöngörmekteyiz. Aşağıda yer alan tabloda Uyum Projesi hizmetimizin fazlarının haftalara dağılımını görebilirsiniz.

Yukarıda yer alan Zaman Planı Tablosu geçmiş proje deneyimlerimiz göz önüne alınarak hazırlanmış olup proje zamanplanı şirketinizin büyüklüğüne ve faaliyet gösterdiği sektöre göre değişebilecektir. Ekibimizce Uyum Projesi hizmetimizinyukarıda yer alan zaman planı çerçevesinde tamamlanması adına gerekli çaba gösterilecek olup, Zaman Planındaherhangi bir değişiklik olması halinde bu durum sizlere bildirilecektir.

Örnek Proje ÇıktılarımızHukuki Değerlendirmeler


Süreç ID Faaliyet Açıklaması Veri Sahibi Hukuki Analiz Risk Puanı

ID 1001İş başvuru formu aracılığıyla aday bilgilerinin toplanması

Çalışan Adayı, Stajyer Adayı

İşe alım faaliyetleri kapsamında aday bilgilerinin verilerin temin edilmesinin Kanun’un 5/2(c) maddesinde düzenlenen «sözleşmenin kurulması veya ifası» istisnasından yararlanabileceği, bu çerçevede açık rıza temin edilmesine gerek olmayacağı değerlendirilmektedir. Bununla beraber, iş başvuru formu içerisinde sizler için hazırlanan Çalışan Adayı Aydınlatma Beyanı’na yer verilmesi gerekmektedir. Avrupa Birliği uygulamaları ışığında işe alınmayan aday CV’lerinin 2 senelik aralıklarla imha edilmesi tavsiye edilmektedir.

2,04

ID 1002Maaş ödemesi kapsamında banka ile kişisel veri paylaşımı yapılması

Çalışan, Stajyer

Çalışanların maaşlarının ödenmesi sürecinde anılan verilerin ilgili Banka ile paylaşılmasının Kanun’un 5/2(c) maddesinde düzenlenen «sözleşmenin kurulması veya ifası» istisnasından yararlanabileceği, bu çerçevede açık rıza temin edilmesine gerek olmayacağı değerlendirilmektedir. Bununla beraber, çalışanın bilgilendirilmesi amacıyla hazırlanan Çalışan Aydınlatma Beyanı, çalışanın bilgisine sunulmalıdır. Ayrıca, ilgili Banka ile sizler için hazırlanan Veri Aktarımına İlişkin Çerçeve Sözleşme’nin akdedilmesi tavsiye edilmektedir.

4,16

ID 1003Müşterilerinkampanyalar hakkında bilgilendirilmesi

Aktif Müşteri, Potansiyel Müşteri

Kişisel Verilerin Korunması Kurulu'nun 16/10/2018 tarih ve 2018/119 sayılı ilke kararı ile veri sorumluları tarafından gerçekleştirilecek her nevi pazarlama faaliyeti için kişinin açık rızasının temin edilmesi gerekeceği ifade edilmiştir. Bu çerçevede sizler için hazırlanan Pazarlama Açık Rıza Beyanı ile kişilerin açık rızasının temin edilmesi gerekeceği değerlendirilmektedir.

7,15

* Kişisel Veri İşleme Envanteri işbu görselde özet mahiyetinde sunulmuş olup, toplamda 26 sütundan oluşmaktadır.

TecrübemizProje Lideri Özgeçmişi


Profesyonel Deneyim:Olsan, Türkiye’nin saygın hukuk bürolarında bankacılık ve finans hukuku, gayrimenkul hukuku vesözleşmeler hukuku başta olmak üzere çeşitli alanlarda çalışmalar yürütmüş olup 2016 yılındaPricewaterhouse Coopers («PwC») Bankacılık ve Finans Hukuku ekibine katılmıştır. Bu süre zarfındagerek reel gerekse de finans sektöründeki büyük ölçekteki şirketlerin uzun dönem uyumprojelerinde bizzat hukuki danışmanlık hizmeti sağlamıştır. Olsan, Kanun’un yayım tarihindenbugüne çeşitli meslek örgütleri ve kuruluşlar nezdinde Kişisel Verilerin Korunması Kanunu Eğitimivermektedir.

Profesyonel Özellikler ve Eğitim:Darüşşafaka Lisesi mezunu olan Olsan, hukuk lisans eğitimini Yeditepe Üniversitesi HukukFakültesi’nde tamamlamıştır.İstanbul Barosuna kayıtlıdır.Darüşşafaka Cemiyeti üyesidir.İyi derecede İngilizce bilmektedir.

İletişim:E: [email protected]: +90 5543130031

Olsan SözenAvukat

TecrübemizKişisel Verilerin Korunması Hakkında Yayınlarımız


Kişisel Verilerin Korunması Kanunu hakkında temel bilgileri ve uyum projesi hizmetimizinkapsamını içerir dokümanımızı incelediğiniz için teşekkür ederiz.

Hizmetimiz ile ilgili herhangi bir sorunuz olması durumunda her zaman bizlere ulaşabilirsiniz.

Birlikte çalışmak dileğiyle,

Sözen Hukuk Ofisisozenlegal.comEsentepe Mh. Talatpaşa Cd.No:5 Kolektif House, Levent, İstanbul

Proje LideriAv. Olsan SözenE: [email protected]: +90 5543130031

Gizlidir.Kuruma Özeldir.

Kişisel Verilerin Korunması Kanunusozenlegal.com/wp-content/uploads/2019/03/SLPRO19000... ·...

Documents

Transcript of Kişisel Verilerin Korunması Kanunusozenlegal.com/wp-content/uploads/2019/03/SLPRO19000... ·...