ŞUBAT 2020
KVKK & GDPR
BÜLTENİ
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
AYIN KARAR ÖZETLERİ VE HABERLER
Kıbrıs Kişisel Verileri Koruma Komisyonu, çalışanların hastalık raporlarının takibi için yasal bir dayanağı olmaksızın “Bradford Factor” sistemini kullanması sebebiyle Louis Şirketler Grubu’na (LGS Handling Ltd., Louis Travel Ltd. ve Louis Aviation Ltd.) 82.000 Euro para cezası kesti.
Çalışanların sendikaları tarafından yapılan şikâyetin ardından incelemelere başlanmış olup Bradford Factor sisteminin kullanılmasının ardında yatan sebebin hastalık izinlerinin sıklıklarını belirlemek olduğu tespit edilmiştir.
Bir bireye ilişkin hastalık izninin tarihi ve sıklığı, kimliği doğrudan veya dolaylı olarak ifşa edildiği sürece, GDPR madde 9/1’de tanımlanan "özel nitelikli kişisel veri” kategorisinde işlenmesini gerektirmektedir. Otomatik bir sisteme kişisel verilerin sağlanması, 'Bradford Faktörü' kullanılarak verilerin puanlanması ve sonuçlara göre bireylere ait profilleme yapılması kişisel verileri işleme faaliyetidir; bu nedenle böyle bir işlemin GDPR'da tanımlanan ilkelere uygun olması gerekmektedir. Söz konusu veri işleme faaliyetinin yasal dayanağının bulunmadığı doğrulanmış ve bu tür konuların GDPR'ın 88. maddesi uyarınca belirli kurallarla düzenlenmesinin gerekliliği vurgulanmıştır.
Veri sorumlusu, soruşturma esnasında veri işleme faaliyeti etki değerlendirmesini hazırlayarak danışmak üzere komisyona sunmuş, Komisyon, Veri Sorumlusunun etki değerlendirmesiyle meşru menfaatinin çalışanlarının çıkarları, hakları ve özgürlükleri üzerinde hâkim olduğunu gösteremediğini ve sonuç olarak risklerin azaltılmasının yetersiz olduğuna kanaat getirmiştir.
Soruşturma amacıyla incelenen tüm unsurların değerlendirilmesinden sonra, Veri Sorumlusunun meşru menfaatinin, çalışanların çıkarlarını, haklarını ve özgürlüklerini geçersiz kıldığı tespit edilmiş, bu tür veri işleme faaliyetlerinin yasal dayanağı olmadığına karar verilmiştir. Bu durum Veri Sorumlusunun çalışanların sağlık verilerini işlemesini sağlayacağından GDPR’ın 9/2. Maddesine aykırılık teşkil etmektedir.
Kıbrıs Kişisel Verileri Koruma Komisyonu,
“Bradford Factor” Sistemini Kullanan Louis
Şirketler Grubu’na Para Cezası Kesti
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Veri sorumlusu olan Microsoft Corporation tarafından Kurum’a 29.01.2020 tarihinde ihlal bildirimde bulunulmuştur.
Yaşanan ihlal, 05.12.2019 ile 31.12.2019 tarihleri arasında gerçekleşmiş olup 26.01.2020 tarihinde tespit edilmiştir.
İhlal, güvenlik kurallarının yanlış yapılandırması; Microsoft destek hizmetleri temsilcilerinin müşteriler ile gerçekleştirilen etkileşimlere ilişkin bilgileri içeren veri tabanının internet aracılığıyla erişilebilir olması nedeniyle gerçekleşmiştir.
İhlalden etkilenen kişisel veriler; iletişim, müşteri işlem, işlem güvenliği ve finans verileri olmuş ve Türkiye’de tahmini 158 kullanıcı ihlalden etkilenmiştir.
İlgili kişiler veri ihlalleriyle ilgili olarak https://msrc-blog.microsoft.com/2020/01/22/access- misconfiguration-for-customer-support-database/ adresinden bilgi alabileceklerdir.
Söz konusu ihlal 04.02.2020 tarihinde ve 2020/82 sayılı Karar ile Kurum’un internet sayfasında yayınlanmış ve konuyla ilgili inceleme devam etmektedir.
Microsoft Corporation – Veri İhlal Bildirimi
Veri Sorumluları, işveren olarak, hastalık izni sıklığını ve hastalık izni raporlarının geçerliliğini denetleme hakkına sahip olsa da bu tür bir faaliyet yanlış muamelelere yol açmamalı, ilgili yasa tarafından belirlenen sınırlar içerisinde uygulanmalıdır.
Bu tür yasa dışı uygulamalar belirlendikten sonra, Komisyon, Veri Sorumlusu’nun işlemi durdurmasına ve toplanan tüm verileri silmesine karar vermiş; veri sahiplerinin sayısını, ihlallerin niteliği ile süresini ve şirketlerin cirosunu dikkate alarak LGS Handling Ltd'ye 70.000 Euro, Louis Travel Ltd'e 10.000 Euro ve Louis Aviation Ltd'e 2.000 Euro para cezası kesmiştir.
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Italian SA (İtalya Veri Koruma Kurumu), TIM SpA adlı operatöre pazarlama amaçlı gerçekleştirdiği yasadışı işlemler kapsamında gerçekleştirilen milyonlarca kişinin etkilendiği ihlaller sebebiyle 27,8 Milyon Euro para cezası vermiştir.
Ocak 2017 ile 2019 yılının başına kadarki sürede Italian SA’ya yapılan yüzlerce şikâyet kapsamında; TIM, kişilerin herhangi bir rızası olmadan ve aranan tarafların açıkça pazarlama aramalarına rıza vermemelerine rağmen pazarlama aramaları yapmaya devam etmiştir.
Aynı zamanda TIM’in bazı çağrı merkezlerinin faaliyetlerini denetlememesi veya kara listeleri (pazarlama çağrıları almak istemeyen kişilerin listelenmesi) düzgün bir şekilde yönetmemesi ve güncellenmemesi gibi yasadışı davranış türleri tespit edilmiş ve TIM operatörü, ‘TIM party’
teşvik indirim programına müşterilerin katılabilmesi için rıza göstermesini zorunlu tutmuştur.
Bazı durumlarda ilgili kişilerin pazarlama dahil farklı amaçlar için alınan rızaların tek bir form üzerinden alındığı ve veri koruma yönetim sistemlerinin etkisiz olduğu, kişisel verilerin işlenmesinde sağlanması gereken gizliliğin yönetim sistemindeki tasarıma uygun olmadığı gözlenmiştir. TIM’in sahip olduğu kara listelerin, sözleşme tarafı olan çağrı merkezlerinin elindeki listelerle eşleşmediği ve aynı zamanda telefonda sözlü olarak gerçekleştirilen anlaşmalarla eşleşmediği gözlenmiştir. Ek olarak TIM’in şebeke sağlayıcısı olarak sahip olduğu diğer telefon operatörlerinin müşterileri numaralarını yasaların izin verdiğinden daha uzun süre saklamış ve müşterilerin rızası olmadan pazarlama kampanyaları için kullanmıştır.
Bu kapsamda Italian SA, TIM Operatörüne 27,8 Milyon Euro para cezası kesmiş ve para cezasının yanında kara listelerin tutarlılığını kontrol etmek, müşterilerin aydınlatılmasını sağlamak, verilerin doğruluğu ve güncelliğini sağlamak gibi 20 düzeltici tedbir uygulanmasına karar vermiştir.
İtalya Veri Koruma Otoritesi (Italian SA), Pazarlama Yöntemleri Sebebiyle TIM
Operatörüne 27,8 Milyon Euro Ceza Kesti
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Sigorta sözleşmelerinde bilgilendirmeye ilişkin yönetmelik değişikliği 14.02.2020 tarihinde Resmî Gazete’de yayınlandı.
İlk olarak tanımlar maddesinde “bilgilendirme formu” ifadesi “bilgilendirme metni “olarak değiştirilmiştir.
Bununla birlikte “Kalıcı Veri Saklayıcısı” tanımına yer verilmiştir. Tanıma göre, kalıcı veri saklayıcısı, sigorta ettirenin, sigortalının veya faydalanacak kişilerin gönderdiği veya sigorta ettirilene gönderilen bilgiyi amacına uygun olarak makul bir süre boyunca incelenmesini sağlayacak şekilde kaydedilmesi, değiştirilmesini ve bilgiye aynen ulaşılmasını sağlayan kısa mesaj, elektronik posta, internet, disk, CD, DVD, hafıza kartı, Sigorta Bilgi ve Gözetim Merkezi veya E-Devlet üzerinden kurulabilecek yapı ve benzeri her türlü araç veya ortamdır.
Yönetmeliğe göre sigortacının bilgilendirme yükümlülüğü sigorta ettiren ve sigorta sözleşmesine taraf olmak isteyen kişilere sözlü veya yazılı olarak yerine getirilebilir ancak bilgilendirmenin yazılı olarak yapılması esastır. Bilgilendirme yükümlülüğü, sigorta sözleşmesinin kurulmasından önce başlamakta ve sözleşmenin geçerli olduğu süre boyunca devam etmektedir. Bilgilendirme yükümlülüğü, fiziki olarak iletişimin mümkün olmadığı durumlarda veya işin mahiyeti sebebiyle, kalıcı veri saklayıcısı olması şartıyla sözlü olarak yerine getirilebilir.
Sigortacı gibi sigorta acenteleri de Yönetmelikte ifade edilen bilgilendirmeyi yapmak zorundadır.
Ancak acentenin düzenlediği sözleşmelerde sigorta şirketinin kurmuş olduğu kayıtlı veri saklayıcısı ile bu Yönetmeliğin öngördüğü biçimde bilgilendirme yapılması düzenleniyor ise acentelerin bilgilendirme yükümlülüğü olmayacaktır. Kalıcı veri saklayıcısı aracığıyla bilgilendirme yapılması durumunda sigortacı Bilgilendirme Metnini kaydetmek zorundadır.
Ayrıca, 2007 yılında yürürlüğe girmiş mülga Yönetmelikte bilgilendirmenin yapılamadığı durumlarda basın yayın kuruluşlarıyla bilgilendirme yapılabilir ifadesi yer almaktaydı. Ancak 2020 yılında değişikliğe uğrayan bu Yönetmelikte ise bilgilendirme yapılamama durumuna yer verilmemiş, Bakanlıkça uygun görülmesi halinde basın yayın kuruluşları vasıtasıyla bilgilendirmenin yerine getirilebileceği ifade edilmiştir.
Yönetmelik hakkında daha fazla bilgi edinmek için tıklayınız.
Sigorta Sözleşmelerinde Bilgilendirmeye
İlişkin Yönetmelik Değişikliği Yayınlandı
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Norveç Veri Koruma Kurumu, Oslo Belediyesi Eğitim Ajansına okul çalışanlarının, velilerin ve öğrencilerin arasındaki iletişim için kullanılan mobil uygulamanın işlem güvenliğinin zayıf olması nedeniyle 120.000 Euro para cezası kesmiştir.
Norveç Veri Koruma Kurumu’nun değerlendirmesindeki temel unsurlar aşağıdaki gibidir:
1. Ebeveynlerin, çocukların devamsızlığı ile ilgili mesaj göndermesi için de kullanılan uygulamada çocuklara ilişkin Özel Nitelikli Kişisel Veri kategorisindeki sağlık verileri paylaşılmaktadır. Bunu önlemek için herhangi bir açılır liste ve onay kutuları gibi alternatif teknik önlemlerin ve uygulama içerisinde bu tür aktarımlardan kaçılması için herhangi bir bilgilendirme olmaması.
2. Kötü uygulama giriş güvenliğinin, yetkisiz kişilerin birinci ve onuncu sınıf arasında okuyan 63.000 öğrencinin kişisel verilerine erişmesine olanak sağlaması.
3. Uygulamanın, başlatılmadan önce gerçekleştirilen yetersiz güvenlik testlerinin sonucunda yaygın güvenlik açıkları içermesi.
Norveç Veri Koruma Kurumu, yukarıdaki bulgular sonucunda 200.000 Euro para cezası verme niyetindeydi ancak belediyenin güvenlik açıklarından haberdar edilir edilmez zararları sınırlamaya yönelik tedbirler alması ve sorunları çözme istekliliğini göstermesi gibi hafifletici faktörler bulunduğundan davadaki nihai tutar 120.000 Euro'ya düşürülmüştür.
Norveç Veri Koruma Kurumu Oslo Belediyesi’ne Ait Eğitim Ajansına, Bir Uygulama Sebebiyle Para Cezası Kesti
Belçika Veri Koruma Kurumu (The Belgian DPA) Hukuk Haberlerinde Uzmanlaşmış Bir Web Sitesine 15.000 Euro Para Cezası Kesti
Belçika Veri Koruma Kurumu, hukuk haberlerinde uzmanlaşmış bir web sitesine gizlilik politikalarının şeffaflıktan yoksun olduğunu ve sağlanacak bilgilerle ilgili kuralları ihlal ettiğini, ayrıca web sitesinin rıza (“onay” ilkesi) ve rızanın geri çekilmesi gibi yükümlülüklere uymadığını da belirterek Çerez Yönetimi ve Gizlilik Politikasının uygun olmaması nedeniyle 15.000 Euro para cezası kesmiştir.
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Kişisel veri güvenliğinin sağlanmasına ilişkin politika ve prosedürlerin oluşturulması Kurum’un rehberlerinde de yer alan idari tedbirlerden biridir. Yalnızca kişisel veri güvenliğini sağlamaya yönelik değil tüm kişisel verilerin korunması süreçlerine yönelik politika ve prosedürlerin hazırlanması, risklerin önceden belirlenmesi ve gerekli önlemlerin alınmasını sağlayacaktır. Bu ise organizasyonlara daha rahat bir olay yönetimi sağlayacaktır.
Bu kapsamda organizasyonlar tarafından hazırlanması faydalı olacak politika ve prosedürler aşağıdaki tabloda gösterilmiştir. Bu politika ve prosedürler sınırlı sayıda değildir ve olay yönetimini sağlamak için organizasyonun faaliyetlerine uygun olarak çeşitlendirilebilir.
İdari Tedbir: Kişisel Verilerin
Korunmasına İlişkin Politika ve Prosedürler
Açık Rıza Prosedürü: İlgili kişiden alınacak açık rıza sürecinde uygulanması gereken prosedürdür.
İ
Rızanın Geri Çekilmesi Prosedürü: İlgili kişinin verilerinin işlenmesine dair
verdiği rızayı geri çekmesi durumunda uygulanması gereken prosedürdür.
İ
BİLGİLENDİRME REHBERİ
İlgi Çeken Konu Başlıkları
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Kişisel Verilerin Yurt Dışına Aktarım Prosedürü: Kişisel verilerin yurt dışına aktarılması durumunda izlenecek prosedürdür.
İ
Saklama ve İmha Politikası: Organizasyon içerisinde işlenen kişisel verilerin saklama sürelerini ve imha süreçlerini açıklayan ve KVKK uyarınca veri sorumlusu nezdinde doğru ve güncel şekilde tutulması gereken politikadır. Bu politikanın Veri Sorumluları Siciline beyanda bulunma yükümlülüğü bulunan veri sorumlularınca hazırlanması zorunludur.
İ
Hassas Bilgiye Erişim ve Kullanım Prosedürü: Bilgi varlıkları, güvenliklerinin sağlanması ve farklı gizlilik seviyesindeki dokümanlara farklı güvenlik tedbirlerinin uygulanması amacı ile sınıflandırılırken veri sorumlusunun uygulaması gereken prosedürdür.
İ
Üçüncü Taraf Bilgi Güvenliği Denetim Prosedürü: Veri sorumlusu tarafından veri aktarımı yapılan üçüncü tarafların bilgi güvenliği açısından denetlenmesi üzere
uygulanan prosedürdür.
İ
Çerez Politikası: Veri sorumlusunun internet sitesini ziyaret edecek üçüncü kişilerin çerezler aracılığı ile kişisel verilerinin işleyecek olması halinde ziyaretçileri
bilgilendirmek için uygulanacak yol ve yöntemi belirleyen politikadır.
Ayrıca, veri sorumlusu bu politikaya internet sitesindeki her zaman ulaşılabilir bir alanda yer vermelidir.
İ
Gizlilik Politikası: Veri sorumlusunun kişisel veriler de dahil nezdinde tuttuğu tüm verilerin gizliliğinin sağlanmasına yönelik yol ve yöntemi belirleyen politikadır.
Ayrıca, veri sorumlusu bu politikaya internet sitesindeki her zaman ulaşılabilir bir
alanda yer vermelidir.
İ
Kişisel Verilerin Korunması ve İşlenmesi Politikası: Bu politikanın amacı, veri sorumlusu tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme
faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen ilkeler, uygulamalar ve kullanılan sistemler konusunda açıklamalarda bulunmak, bu kapsamda kişisel verileri işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır. Ayrıca, veri sorumlusu bu politikaya internet sitesindeki her zaman ulaşılabilir bir alanda yer vermelidir.
İ
Kişisel Veri İhlal Prosedürü: Organizasyonda bir veri ihlali gerçekleşmesi
durumunda Organizasyonun uygulaması gereken prosedürdür.
İ
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Kişisel Verilerin Korunması Kanunu m.12/1’e göre veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu tedbirler Kurum’un yayınladığı Kişisel Veri Güvenliği Rehberi içerisinde detaylandırılmakta ve VERBİS’e bildirim aşamasında belirtilmektedir.
Öncelikle Kişisel Veri Güvenliği Rehberi’ndeki Teknik Tedbirler tablosunda yer alan Sızma Testi’nin ne anlama geldiği öğrenilmeli, sızma testinin organizasyonlara ne tür faydalar sağlayacağının farkında olunmalıdır.
Sızma testi, kullanılan bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, “yetkili” kişiler tarafından ve “yasal” olarak gerçekleştirilen güvenlik testleridir.
Sızma testleri ile bilişim ağlarında yasal olmayan bir yolla sızma veya olmaması gereken bir hareket olup olmadığı belirlenir ve ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılarak ilgili açıkların giderilmesi sağlanır.
Açıklık testinde asıl amaç taranan sistemin anlık olarak genel güvenlik görüntüsünü almaktır.
Muhtemel tüm güvenlik tehditlerine karşı organizasyonu uyaran bu tarama sonucunda çıkan tüm bulgular ciddi bir tehdidi göstermeyebilir. Organizasyonlar için önemli olan, tespit edilen bu bulgulardan hangilerinin sistem için gerçek bir tehdit oluşturduğuna karar vermektir. Sızma testi yaptırmak ne kadar önemliyse, sonuçların değerlendirilip aksiyon alınması da bir o kadar önemlidir. Organizasyonlar tarafından yaygın olarak yapılan hata sadece Sızma Testi yapıp/yaptırıp sonuç raporunu incelemek ve sadece çok acil açıkları kapatmaktır.
Teknik Tedbir: Sızma Testi Nedir? Ne İşe Yarar?
Önemle belirtmek gerekir ki; yukarıda sayılan veya organizasyonun veri işleme faaliyetlerine yönelik oluşturacağı politika ve prosedürlerin düzenli olarak kontrollerinin yapılması, mevzuata uygun olarak güncellemelerinin gerçekleştirilmesi, ortaya çıkacak yeni veri işleme faaliyetleri ve riskler açısından her zaman göz önünde bulundurulması gerekmektedir. Çünkü kişisel verilerle ilgili oluşturulan politika ve prosedürler yaşayan bir sürecin parçasıdır. Mevzuata ve diğer düzenlemelere uygun olmayan politika ve prosedürler Kanun kapsamında uyumluluğu sağlamayacak ve idari tedbir kapsamında değerlendirilemeyecektir.
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
ZAMANINIZ DARALIYOR!
VERBİS KAYDINIZI TAMAMLADINIZ MI?
Bilgi için tıklayınız
Sızma testi; organizasyonun güvenlik politikalarının ve kontrollerinin verimliliğinin test edilmesi ve denetlenmesi, açıklık taramasının içten ve dıştan derinlemesine uygulanması, bilinen zafiyetlere uygun yamaların uygulanmasının sistematik bir hale getirilmesi, organizasyonun ağ ve sistemlerinde mevcut olan risk ve tehditlerin ortaya çıkarılması, güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğinin değerlendirilmesi, gelecek saldırı, sızma ve istismar girişimlerinin önlenmesi için alınabilecek aksiyonların belirlenerek kapsamlı bir plan sunulması, mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığının belirlenmesi konularında organizasyona büyük katkı sağlayacaktır.
Gerçekleştirilen çalışmanın sağlayacağı katkının yüksek seviyede olması için yönetimin desteği alınmalı, her bir açıklık için risk değerlendirmesi yapılmalı, açıkların kapatılma işlemleri takip edilmelidir.
Organizasyonların bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Güvenliğe ne kadar dikkat edilirse edilsin saldırganların, sistemi istismar etmek için kullanacağı tekniklerin sınırı yoktur.
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
MEVZUAT ANALİZİ
MADDE 7 - Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
***
Kişisel verilerin, Kanun’a uygun şekilde işlenmiş olsa dahi, kanunen belirli süreler içinde uygun yöntemle imha edilmeleri öngörülmüştür. Kişisel verilerin imha yöntemleri aşağıdaki şekilde sayılabilir:
1. Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
2. Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
3. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu ilişkilendirme veri sorumlusu dahil alıcı grupları ve diğer kişiler tarafından yapılamıyor olmalıdır.
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Yukarıda sayılan yöntemler somut olaya göre veya verinin işlenme ortamına göre belirlenmelidir. Örneğin dijital bir ortamda bulunan verinin tamamen yok edilmesi, mümkün olamayacağından, bu veriler için silme veya anonim hale getirme yöntemleri daha uygun olacaktır. Ya da kullanılan bir sicil programında verilerin silinmesi veya yok edilmesi arkada çalışan bir parametrenin bozulma ihtimalini doğuracağından bu yöntemlerle imha uygun olmayacaktır. Bu halde böyle programlar üzerinde tutulan veriler için anonim hale getirme yöntemi kullanılmalıdır.
Bununla birlikte bahsi geçen silme işlemlerini gerçekleştiren yetkili kullanıcılar aynı zamanda sistem yöneticisi / admin yetkisine sahip kişiler olmamalıdır. Bu yetki ayrılığının temel nedeni, silme işlemini yapan kişinin aynı zamanda veriyi eski konumuna geri getirme yani restore (geri döndürme) yetkisinin bulunmaması gerekliliğidir.
Kişisel veriler, aşağıdaki gibi durumlarda resen veya ilgili kişinin talebi ile veri sorumlusu tarafından imha edilmelidir:
• Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• KVKK madde 5’te sayılan diğer hukuka uygunluk sebepleri bulunmayan haller için, ilgili kişinin açık rızasını geri alması,
• İlgili kişinin kişisel verilerinin imhası talebiyle yaptığı başvurunun kabul edilmesi,
• İlgili kişinin kişisel verilerinin imhası talebinin reddedildiği ve/veya verilen cevabın yetersiz bulunduğu hallerde Kurul’a yapılan şikâyet akabinde talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Yukarıda sayılan durumların meydana gelmesi halinde kişisel veriler mevzuata uygun olarak silinerek, yok edilerek veya anonim hale getirilerek imha edilmelidir.
Önemle belirtmek gerekir ki, eski arşivlerde yer alan ve saklama süresi sonra eren kişisel veriler de uygun yöntemler kullanılarak imha edilmelidir.
Kişisel verilerin imhasında Kanun’un genel ilkelerine ve alınması gereken teknik ve idari tedbirlere riayet edilmesi gerekir.
Ayrıca mevzuat bununla ilgili olarak bir politika oluşturulmasını öngörmüştür. Saklama ve imha politikası olarak adlandırılan bu politika verilerin saklanması ve imhasına ilişkin yol, yöntem, süre ve diğer şartları içermeli; kişisel veriler üzerinde gerçekleştirilecek ilgili işlemler bu politikaya uygun olmalıdır.
ŞUBAT BÜLTENİ
SAYI : 2020 - 02
Bizi Sosyal Medyadan Takip Edebilirsiniz…
Saklama imha politikasında;
• Politikanın hazırlanma amacına,
• Kayıt ortamlarına,
• Politikada yer alan hukuki ve teknik terimlerin tanımlarına,
• Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, idari ve teknik açıklamaya,
• Kişisel verilerin saklanması ve imhası ile ilgili alınan idari ve teknik tedbirlere,
• Saklama-imha süreçlerine ilişkin yetki matrisine,
• Saklama sürelerini gösteren tabloya
• Periyodik imha sürelerine,
• Dokümanın revizyon tarihine yer verilmelidir.
Yukarıda da saklama imha politikasında gösterileceği belirtilen periyodik imha süreleri her halde altı ayı geçemez, imha süreci takvime bağlanmalıdır.
Son olarak; kişisel verilerin imha edilmesi bir veri işleme faaliyeti olduğundan bu işlemler de kayıt altına alınmalıdır. Söz konusu kayıtlar başka bir hukuki sebep bulunmuyorsa 3 yıl süreyle saklanmalıdır.
Bilgilendirme Metni!
Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlıdır. Bu duyuru CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® Üye Ağı Şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup; bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz. Her bir somut olaya ilişkin olarak her koşulda, özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir.
Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.
