KVKK Bülteni 15. Sayı

Güncelleme tarihi: Ağu 26


İÇİNDEKİLER


KURUM KARARLARI

1- Kişisel Verileri Koruma Kurumu Dernek Vakıf ve Sendikaları İlgilendiren Önemli Bir Karar Verdi

2- Ortaklıkların VERBİS’e Kayıt Yükümlülüğü Duyuruldu

3- Kişisel Verileri Koruma Kurumundan Yardım Masası Paneli Hizmeti Veren Veri Sorumlusuna Re’sen İnceleme


GÜNCEL HABERLER

1- Lisbon, Protestocu Verilerini Yabancı Elçilikler ile Paylaştı

2- Cumhurbaşkanlığından Veri Merkezi Yatırımlarına Yeni Teşvik

3- Kişisel Verileri Koruma Dergisi’nin 2021 Yılındaki İlk Sayısı Yayımlandı

4- Kişisel Verileri Koruma Kurulu, Bir Taahhütname Başvurusunu Daha Onayladı


KURUM KARARLARI



Kişisel Verileri Koruma Kurumu Dernek Vakıf ve Sendikaları İlgilendiren Önemli Bir Karar Verdi

Bilindiği üzere 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında bazı veri sorumluları Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmak ile yükümlü. Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Ancak Türkiye’de yerleşik olmasına rağmen dernek vakıf ve sendikaların iktisadi işletmelerine dair herhangi bir karar verilmemişti. Artan görüş istekleri ile birlikte Kurul güncel kararında, iktisadi işletmeleri bulunan dernek vakıf ve sendikaların bu istisnadan muaf tutulacağına hükmetti. Buna göre Türkiye’de yerleşik olan ve iktisadi işletmesi bulunan dernek vakıf ve sendikaların VERBİS’e kayıt olması zorunlu. Ayrıca dernek vakıf veya sendikaların, Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine hükmedildi. (1)




Ortaklıkların VERBİS’e Kayıt Yükümlülüğü Duyuruldu

Kişisel Verileri Koruma Kurulu, 09/06/2021 tarihli ve 2021/569 sayılı kararı ile Ortaklığı oluşturan ortaklardan hâlihazırda Sicile kayıt yükümlülüğü bulunanların Veri Sorumluları Kayıt Sicili’ne (Sicil) kayıtları esnasında kendi faaliyetleri ile birlikte ortaklık faaliyetleri kapsamında işledikleri kişisel verilere ilişkin olarak da bilgi girişi yapması gerektiğine karar vermiştir. Kurum’a iletilen görüş taleplerindeki konsorsiyum, iş ortaklığı ve adi ortaklıkların Sicile kayıt yükümlülüğü hakkındaki tereddütler üzerine, Sicile kayıt yükümlülüğünün asıl amacının kişisel veri işleme süreçlerinin şeffaf ve ilgili kişilere hesap verebilir nitelikte yürütülmesi ile ilgili kişilerin kendi kişisel verileri üzerinde en üst düzeyde kontrol sağlaması olduğu belirtilerek adı geçen yapılar altında işlenen kişisel veriler için VERBİS’e bilgi girişi yapılmasının önemli olduğu belirtilmiştir. (2)




Kişisel Verileri Koruma Kurumundan Yardım Masası Paneli Hizmeti Veren Veri Sorumlusuna Re’sen İnceleme

Kuruma intikal eden ve hakkında Kurul tarafından re’sen inceleme başlatılan ihbara göre, veri sorumlusu olan e-ticaret sitesine partner şirket olmak için başvuran firma, sistemdeki bir açık sebebiyle müşteri hizmetleri paneline erişmiş ve diğer firmaların bilgilerine ulaşmıştır. Veri sorumlusu, cevaben, bu olay tarihinden başlamak üzere ilgili şirket ile gizlilik sözleşmesi imzalandığını ve bu kapsamda, ilgili şirketin elde ettiği tüm verileri veri sorumlusuna teslim etmeyi ve yedekler de dahil olmak üzere tüm veriyi imha etmeyi taahhüt ettiğini belirtmiştir. Kurul, bahsi geçen gizlilik sözleşmesi öncesinde ihlale konu kişisel verilere yetkisiz erişim sağlandığı, bu durumun yetkilendirme süreçlerinin kontrol edilmediğinin ve veri ihlali öncesinde gerekli tedbirlerin alınmadığının göstergesi olduğu gerekçeleriyle, veri sorumlusuna veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması sebebiyle 600.000 TL; ayrıca, Kuruma ve ihlalden etkilenen ilgili kişilere 72 saat içinde bildirimde bulunmadığından 200.000 TL idari para cezası uygulanmasına karar verilmiştir. (3)



GÜNCEL HABERLER



Lisbon, Protestocu Verilerini Yabancı Elçilikler ile Paylaştı

Portekiz’in başkenti Lisbon’da gerçekleşen olayda Lisbon valisi Fernando Medina, 2018 ve 2019 yılları arasında gerçekleşen protestolarda bulunan bütün kişilerin verilerinin yabancı elçilikler ile paylaşıldığını açıkladı. 52 ülkenin dahil olduğunu bildiren Vali, bu ülkelere dair detay vermedi ancak Portekiz medyasında ülkelerden bazılarının Çin, İsrail ve Rusya olduğu belirtildi. Protesto organizatörlerinden bir kadın verilerinin Rusya ile paylaşıldığını belirtti. Rusya’ya daha önceden vatandaşlık başvurusunda bulunduğunu ve protestolar nedeniyle reddedildiğini belirten kadın, Rusya’ya belki de giriş yapamayacağını belirtti. Vali son olarak veri korumasından sorumlu kişilerin görevden alınacağını bildirdi. (4)




Cumhurbaşkanlığından Veri Merkezi Yatırımlarına Yeni Teşvik

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Ali Taha Koç tarafından yapılan açıklamaya göre Türkiye’de veri merkezi sektörünün desteklenmesine yönelik çalışmalar başlatıldı. Yakın bir gelecekte veri sektörlerine ilişkin yüksek miktarda teşviklerin yayınlayacağını belirten Ali Taha Koç, Kişisel Verilerin Korunması Kanunu’nu, AB Genel Veri Koruma Tüzüğü ile uyumlaştırma çalışmalarının da hali hazırda yürütüldüğünü bildirdi. AB ülkeleri ile Türkiye’nin karşılık veri aktarımının öneminden bahseden Ali Taha Koç, özellikle yerli ve yabancı yatırımcıların mevcut iş süreçlerinde ve yatırım planlarında karşılarına çıkan yurt dışına kişisel verilen aktarımına ilişkin yaşanılan problemlerin ortadan kaldırılması için Kişisel Verileri Koruma Kurulu ile birlikte ortaklaşa çalışmakta olduklarını ekledi. (5)




Kişisel Verileri Koruma Dergisi’nin 2021 Yılındaki İlk Sayısı Yayımlandı

Yılda iki sayı olarak yayımlanan Kişisel Verileri Koruma Dergisinin yeni sayısı, 23 Haziran 2021’de yayımlandı. 4 makaleye yer verilen bu sayıda, kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği konulu çalışmalar okuyucunun ilgisine sunuldu. Dergiye Kişisel Verileri Korunma Kurumu’nun resmi internet sitesinden ulaşılabileceği gibi dergipark.org.tr/kvkd adresinden de ulaşılabilir. (6)




Kişisel Verileri Koruma Kurulu, Bir Taahhütname Başvurusunu Daha Onayladı

6698 sayılı Kanuna göre, yurt dışına kişisel veri aktarımı için ilgili kişinin açık rıza beyanı gereklidir. Açık rızanın olmadığı durumlara ilişkin olarak Kanunda, Kurul tarafından ilan edileceği düzenlenen “Yeterli Koruma Bulunan Ülkeler” hala belirlenmediğinden “Yeterli koruma Bulunmayan Ülkelere Aktarım” kurallarının uygulanması gerekmektedir. Buna göre, ilgili kişilerin kişisel verilerinin yurt dışına aktarılabilmesi için Kanunda öngörülen kişisel veri işleme şartlarından birinin varlığının yanında, aktaran ve alıcı konumdaki veri sorumlularının yeterli korumayı taahhüt etmeleri ve bu taahhütnameye Kurulun izin vermesi gerekmektedir. Bu kapsamda, Kurul, 22 Haziran 2021 tarihinde, Veri sorumlusu Turksport Spor Ürünleri San. Tic. Ltd. Şti. (Decathlon Türkiye) tarafından yapılan taahhütname başvurusuna izin vermiştir. Kurul, daha önce, TEB Arval Araç Filo Kiralama Anonim Şirketi ve Amazon Turkey Perakende Hizmetleri Ltd. Şti. ile Amazon Turkey Yönetim Destek Hizmetleri Ltd. Şti. tarafından yapılan Taahhütname başvurularına izin vermişti. (7)


KAYNAKÇA

(1) https://www.kvkk.gov.tr/Icerik/6990/DERNEK-VAKIF-VE-SENDIKALARA-AIT-IKTISADI-ISLETMELERIN-VERBIS-E-KAYIT-YUKUMLULUGU-HAKKINDA-DUYURU

(2) https://kvkk.gov.tr/Icerik/6989/ORTAKLIKLARIN-VERBIS-E-KAYIT-YUKUMLULUGU-HAKKINDA-DUYURU

(3) Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/427 sayılı Karar Özeti

(4) https://www.bbc.com/news/world-europe-57530260

(5) https://www.milliyet.com.tr/ekonomi/veri-merkezlerxs-icin-yeni-tesvikler-geliyor-6526518

(6) https://kvkk.gov.tr/Icerik/6987/Kisisel-Verileri-Koruma-Dergisi-nin-Yeni-Sayisi-Yayimlandi)

(7) https://kvkk.gov.tr/Icerik/6985/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU


YAZAR

Bilgi Teknolojileri Ekibi