Page 7 - VG Mayıs
P. 7
Kişisel verilerin yetkisiz kişilerin eline geçmesi durumunda Çerez kullanımı
sorumlunun belirlenmesi amacıyla veri sorumlusu ve veri
işleyen arasındaki ayrımın doğru şekilde yapılması gerekecektir. GDPR altında çerez kullanımına dair herhangi bir özel şart
Kanunda öngörülen idari para cezalarının ve ilgili kişinin dava bulunmamaktadır. Yine de, GDPR’nin 30. beyan maddesinde
edeceği muhatabının belirlenmesi ancak bu ayrım sayesinde çerez belirleyicilerin, bilhassa münhasır belirleyicilerle ve
mümkün olabilecektir. sunuculardan alınan bilgilerle birleştirildiğinde, gerçek kişilerin
profilini oluşturmada ve kimliklerini belirlemede kullanmak için
3. GDPR ile getirilen yenilikler izler bırakabileceğine dikkat çekilmektedir.
Veri Koruma Memuru Rehber Denetleme Kurulu
Yeni hukuki düzenleme uyarınca Veri Koruma Memuru (‘VKM’) Rehber Denetleme Kurulu (RDK), özetle sınır ötesi veri
pek çok organizasyon için GDPR hükümlerine uyum sürecinin işleme faaliyetlerin idaresinde birinci sorumluluğa sahip
merkezinde yer almaktadır. GDPR hükümleri uyarınca veri yetkili merci olarak tanımlanabilir ve GDPR’nin devletlerarası
sorumluları ve veri işleyenler için bir VKM belirlenmesi zorunlu uygulamada işbirliği ve tutarlılık hedeflerinin gerçekleştirilmesi
hâle gelmiştir. VKM’nin temel görevleri; tabiatları, kapsamları ve için oluşturulmuş bir kurumdur. RDK iki kilit kavramdan
amaçları gereği veri sahiplerinin düzenli ve sistematik gözlemini oluşmaktadır: “Sınır ötesi veri işleme” ve “Ciddi etki”.
gerektiren veri işleme operasyonlarının yürütülmesi veya büyük
çapta özel nitelikli verilerin cezai yaptırım ve suçlamalarla ilgili Dosyalama gereklilikleri
kişisel verilerin işlenmesi şeklinde belirlenmiştir.
Her bir veri sorumlusu, sorumluluğu altındaki işleme
Denetimler faaliyetlerinin bir kaydını tutmak zorundadır. Kayıtlar;
sorumlunun ismi ve iletişim detayları ve varsa birlikte sorumlu,
Veri işleyen, veri sorumlusu tarafından veya veri sorumlusu veri sorumlusunun temsilcisi ve VKM, işlemenin amacı, veri
tarafından yetkilendirilmiş başka bir denetçi tarafından sahibi kategorilerinin ve kişisel verilerin tarifi, üçüncü ülkeler
yürütülen soruşturmalarda, teftişlere katkıda bulunma de dâhil olmak üzere kişisel verilerin ifşa edildiği alıcıların
yükümlülüğü altındadır. VKM, ilgili denetimler dâhil olmak üzere, kategorileri, var ise üçüncü bir ülkeye yapılan kişisel veri
GDPR, diğer AB veya üye devlet veri koruma şartları ve veri aktarımları, mümkün ise farklı kategorilerden verilerin silinmesi
sorumlusu veya veri işleyenin kişisel verilerin korunmasına dair için öngörülen zaman sınırları ve teknik ve organizasyonel
politikalarıyla uyumunu takip etme yükümlülüğü altındadır. güvenlik tedbirlerinin genel bir tarifidir.
Veri koruma etki değerlendirmesi 4. GDPR ve KVKK karşılaştırması
Veri sorumlusu, veri işleme biçiminin gerçek kişilerin hak ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (KVKK)
özgürlükleri açısından yüksek risk teşkil eden hâllerde bir etki ile büyük oranda Avrupa Birliği müktesebatı ile uyumlu şekilde
değerlendirmesi yürütmelidir. Bunlara örnek olarak; gerçek kişisel verilerin korunması olgusu Türk mevzuatında da ihdas
kişilerle ilgili kişisel yönlerin, fişleme de dâhil olmak üzere edilmiş ise de AB müktesebatı ile bazı farklılıkları bulunmaktadır.
otomatikleştirilmiş işlemeye dayalı olarak sistematik ve yaygın
bir değerlendirmeye tâbi tutulması, büyük çapta özel nitelikli Uygulanabilirlik kapsamı
kişisel veri veya cezai hüküm ve suçlamalar hakkında işleme
yapılması, halka açık bir alanın sistematik şekilde ve büyük GDPR, AB içerisinde yer alan veri sorumlularının veya veri
çapta gözlemlenmesi verilebilir. Veri sorumlusu, mahremiyet/ işleyenlerin kuruluşları tarafından yürütülen tüm işleme
gizlilik etki değerlendirmesi yürütmek için VKM’nin görüşünü faaliyetlerine, işleme faaliyeti AB içerisinde yer almayan veri
almalıdır. Değerlendirme en azından öngörülen işleme sorumlusu veya veri işleyici kuruluşları tarafından yürütülüyor
faaliyetlerinin sistematik bir tarifini ve veri sorumlusunun ise işleme faaliyetlerinin AB içerisinde yer alan veri sahiplerine
meşru menfaatleri de dâhil olmak üzere işlemenin amaçlarını, mal veya hizmet sunumuyla ilgili olması halinde veya
amaçlar doğrultusunda işleme faaliyetlerinin gerekliliğinin işleme faaliyetlerinin AB içerisinde yer alan veri sahiplerinin
ve ölçülülüğünün değerlendirmesini, veri sahiplerinin hak ve hareketlerini, hareketlerin AB içerisinde bulunması kaydıyla,
özgürlerine karşı riskleri ve güvenceler, güvenlik tedbirleri ve gözlemlemeye yönelik olması halinde uygulanır. KVKK ise kişisel
kişisel verilerin korunmasını temin edecek diğer mekanizmalar verileri işlenen gerçek kişiler ile bu verileri tamamen veya
da dâhil, risklerin bertaraf edilmesi ve veri sahiplerinin ve diğer kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
kişilerin haklarını meşru menfaatlerini göz önünde tutarak GDPR parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek
ile uyumluluğun sağlanması için gerekli tedbirleri içermelidir. ve tüzel kişiler hakkında uygulanmaktadır.
Önceden istişare İlgili kişinin hakları
Koruma etki değerlendirmesi ile işlemenin, veri sorumlusu GDPR çerçevesinde ilgili kişinin hakları erişim hakkı, düzeltme
tarafından riskin azaltılması için alınması gereken tedbirlerin hakkı, unutulma hakkı, işlemenin kısıtlanması hakkı, itiraz etme
yokluğunda yüksek risk yaratacağının anlaşıldığı durumlarda hakkı ve veri taşınabilirliği hakkı olarak sayılmış iken, KVKK’da
veri sorumlusu denetim kuruluna önceden danışmalıdır. sayılan haklar; kişisel verilerinin işlenip işlenmediğini öğrenme,
kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel
Mayıs 2017 7