SAP FORUM ANKARADijital Dönüşüm • Dijital Türkiye

Kişisel Verileri Koruma Kanunun’un Kurumların Veri Yönetimine Etkisi

Av. Dr. Çiğdem AYÖZGER

© 2017 SAP AG or an SAP affiliate company. All rights reserved.

2

Ajanda

• Kanunun Getirdikleri

• Uygulamada Dikkat Edilmesi Gerekenler

• Kamu Kurum ve Kuruluşları İstisnaları

• Pratik Çözümler

Kanunun Getirdikleri

4

Kanunun Yürürlük Süreci

+0

7 Nisan 2016

- Kanun yürürlüğe girer

+6Ay

7 Ekim 2016

- Kurul oluşur

- Şikayet, denetim, yaptırım, sicil uygulama süreçleri başlar

+1Yıl

7 Nisan 2017

- İkincil Düzenlemeler yürürlüğe girer

- Kamu Kurum ve Kuruluşları koordinasyonu için üst düzey yönetici atar

- Kanundan önce hukuka uygun olarak alınmış rızalar, aksine irade yoksa Kanuna uygun kabul edilir.

+2Yıl

7 Nisan 2018

- Kanunun yürürlük

öncesi işlenmiş

verilerin hukuka

uygun hale

getirilmesi

5

Etkilenen Kişisel Veri Eko-sistemi

Mükellef Verileri

Personel Verileri

Out-sourcehizmetler için Veri Transferi

6

Kişisel Veri Faaliyet Döngüsü

İşleme

Anonimleştirme

Transfer

Silme/

Yoketme

Elde etme

Saklama

Kişisel Veri

7

İdari Para ve Hapis Cezaları

▪ Suçlar bakımından Türk Ceza Kanununa göre 4 yıla kadar hapis cezası uygulanır.

▪ İhlaler kamu kurum ve kuruluşlarında gerçekleştiği taktirde, ihlale sebep olan memur

ve diğer kamu görevlileri hakkında disiplin hükümleri uygulanır.

Uygulamada Dikkat Edilmesi

Gerekenler

9

Veri Sorumlusu & Sicili, Veri Güvenliği

▪ Kamu Kurum ve Kuruluşları 6698 sayılı Kanun’un yürürlüğe girmesinden itibaren bir üst

düzey yöneticisini veri sorumlusu olarak atamak zorunda.

▪ Veri sorumlusunun ‘Veri Güvenliğine’ ilişkin yükümlülükleri;

• hukuka aykırı işlenmesini & erişilmesini önlemek,

• amacıyla ‘uygun güvenlik düzeyini’ temin etmeye yönelik gerekli ‘her türlü’ teknik ve idari

tedbirleri almak.

• kendi adına başka bir kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması

konusunda müştereken sorumlu.

▪ İşlenen veriler kanuni olmayan yollarla başkaları tarafından elde edilirse;

• veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir,

• Kurul, kendi internet sitesinde ya da başka bir yöntemle ilan edebilir.

Kamu Kurum ve Kuruluşları

İçin İstisnalar

11

Kanun’un Uygulanmayacağı Haller

▪Kişisel Verilerin:

▪ Resmi İstatistik ile Anonim Hale Getirilmesi suretiyle;

▪ Araştırma,

▪ Planlama,

▪ İstatistik gibi amaçlarla işlenmesi.

▪ Kişisel Verilerin:

▪ Kanunla Görev ve Yetki Verilmiş Kamu Kurum ve Kuruluşları tarafından

yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

12

İstisnalar

▪ İlgili Kişiler Verilerini Aleniştirmişse,

▪ Kişisel Verilerin İşlenmesinin:

▪ Bütçe,

▪ Vergi,

▪ Mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının

korunması için gerekli olması.

Pratik Çözümler

14

▪ Kanun kapsamında uyumluluğunun incelenmesi ve raporlanması:

• iç mevzuat, süreç, uygulama, hizmet sağlayıcıları ile yapılmış tüm sözleşme ve matbu evrak incelenmesi,

• kişisel verilerin ve türlerinin tespiti, envanterinin oluşturulması, verilerin sınıflandırılması,

• envanter kapsamında belirlenen veri için yaşam döngüsünün ve istisnalarının belirlenmesi,

• iç mevzuat, süreç, tip sözleşme … için uyum raporunun hazırlanması, yol haritasının oluşturulması,

• veri akış süreçlerinin düzenlenmesi,

• tip sözleşmelerinin dizaynı, aydınlatma ve açık rıza metinleri ile veri politikası metinlerinin oluşturulması,

• sorumlu yönetici atama ve şikayet sürecinin dizayn edilmesi

▪ Veri Envanteri ve Akış Diagramlarının Hazırlanması

• İlişkisel veri envanterinin, veri haritalarının, veri bağlantılarının oluşturulması

• Veri dönüşüm kataloglarının hazırlanması

• Veri akış diyagramlarının tüm süreçler için hazırlanması

Regülasyonel Uyum Süreci

15

Veri Kategorizasyonu

16

Regülasyonel Uyum Süreci

web sitesinde bildirim

Edinme, saklanma, işlenme, yurtiçi/dışı transfer şartı tespiti

Hukuka aykırı işlenme & erişimin önlemesi

Verinin güvenli muhafazası

‘Uygun güvenlik düzeyini’ için ‘her türlü’ teknik ve idari tedbir

Out-source hizmetlerde ‘Veri Güvenliği’ tedbirleri

‘Veri Sorumlusu’ tespiti ‘

© 2017 SAP AG or an SAP affiliate company. All rights reserved.

Teşekkürlerİletişim Bilgileri:

Av. Dr. Çiğdem Ayözger

SRP-Legal

Kurucu Ortak

cigdem@srp-legal.com

+90 532 210 24 70

+90 212 401 4 401