Kişisel Verilerin Korunmasında Haftanın Özeti
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik yayınlandı
Yönetmelik 28 Ekim 2017 tarihli Resmi Gazete’de yayımlandı. İlgili Yönetmelik, veri sorumluların üçüncü kişilere ait kişisel verileri silme, yok etme ve anonim hale getirmeye ilişkin yükümlüklerini içeriyor.
Bu kapsamda veri sorumluları;
- veri işleme şartı ortadan kalkan kişisel verileri resen veya veri sahibinin talebi üzerine imha edecek,
- kişisel veri saklama ve imha politikası hazırlayacak,
- en fazla 6 ay süren bir periyodik imha süresi belirleyecek ve
- kişisel verileri silme, yok etme ve anonim hale getirilmesine ilişkin yaptığı tüm işlemleri kaydederek en az üç yıl boyunca saklayacaktır.
KVK Kurumu veri sorumluları siciline ilişkin basın açıklaması yaptı
Kişisel Verileri Koruma Kurumu, yaptığı basın açıklamasında vatandaşlara ait kişisel verilerin veri sorumluları siciline kaydedileceği ve vatandaşların bunun için para ödeyeceğine ilişkin yaratılan algının asılsız olduğunu duyurdu.
Kurum, oluşturulacak veri sorumluları sicilinde gerçek kişilere ait kişisel veri bulunmayacağını açıkladı. Sicilde sadece veri sorumluların hangi tür verileri, hangi amaçla işlediği ve sakladığı gibi hususları başlıklar halinde içeren envanterlerin yer alacağını belirtti.
Nüfus Hizmetleri Kanununda kişisel verilere ilişkin önemli hükümler yer alıyor
Nüfus Hizmetleri Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 3 Kasım 2017 tarihli Resmi Gazete'de yayımlandı. Kanun, kişisel veriler bakımından özellikle bankacılık sektörü için önemli değişiklikler getiriyor.
Kanun, Kimlik Paylaşım Sisteminde yer alan bilgilerin tüzel kişilerle paylaşılması kapsamını genişletmektedir. Bu bağlamda İçişleri Bakanlığı;
- merkezi veri tabanındaki verileri kurumlarla
- kimlik verileri, yerleşim yeri ve diğer adres bilgilerini kamu hizmeti sunan tüzel kişiler, sigorta ve emeklilik şirketleri, Bankacılık Kanunu çerçevesinde faaliyet gösteren bankalar, risk merkezleri ve bilgi paylaşımı amacıyla kurulmuş şirketler, finansal kiralama ve finansman şirketleriyle
- sadece yerleşim yeri ve diğer adres bilgilerini ise Bakanlıkça belirlenen adrese dayalı kamu hizmeti sunan kuruluşlarla paylaşabilecektir.
Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü sistemde yer alan kişisel verilerin kimlerle, hangi kapsamda ve yöntemle paylaşılacağına karar vermekle yetkilidir. Bu kararları vermek üzere kendi bünyesinde Veri Paylaşım Kurulu oluşturacaktır.
Kişisel verileri almaya yetkili bu tüzel kişiler, Kimlik Paylaşım Sistemindeki bu verileri çevrimdışı talep edemeyeceklerdir. Ancak kamu hizmeti için zorunlu olması halinde işleme amacı veyasal dayanağı da belirtilerek bu kişisel veriler asgari düzeyde çevrimdışı sağlanabilecektir.
Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, kişisel verilere ilişkin güvenlik tedbirlerini alacak ve bu tüzel kişilerin gerekli tedbir alıp almadığını kontrol etme yetkisine sahip olacaktır.
Bu tüzel kişiler Kimlik Paylaşımı Sistemi üzerinden nüfus kayıt örneği, yerleşim yeri belgesi ve kimlik kartı örneği alabileceklerdir. Bu belgeleri ilgili kişilerden veya nüfus müdürlüğünden talep etmelerine gerek kalmayacaktır.
Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği biyometrik verilerin işlenmesine izin veriyor
Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği 28 Ekim 2017 tarihli Resmi Gazete’de yayımlandı. Yönetmelikle beraber tüketiciler elektronik haberleşmeye ilişkin abonelik sözleşmeleri dijital ortamda yapma hakkını kazanmışlardır. Bu sayede, tüketiciler abonelik sözleşmelerini tablet, bilgisayar ekranı vb. ortamlarda elektronik kalemle imzalayarak (biyometrik imza)elektronik ortamda gerçekleştirebileceklerdir.
Bu Yönetmeliğin kişisel veriler bakımından önemi ise kişilerin biyometrik imzalarının biyometrik veri olarak kabul edilmesi ve biyometrik verinin KVK Kanunu uyarınca özel nitelikli kişisel veri olmasıdır. Bu bağlamda Yönetmelik uyarınca biyometrik verilerinin işlenmesi kanunlarda öngörülmüş hal olarak sayılacak ve elektronik haberleşme şirketleri KVK Kanunu madde 6/3 uyarıncakişilerin açık rızalarına ihtiyaç duymadan biyometrik imzalarını bu amaçla işlemeye yetkili olacaktır.
İnternet hukukuna ilişkin için kaynak çalışması yayımlandı
Yrd. Doç. Dr. Mehmet Bedii Kaya, internet hukuku alanında kaynakları bir araya topladığı İnternet Hukuku: Mevzuat ve İçtihat Çalışmasını yayınladı. Çalışmada genel olarak internet hukuku mevzuatı ve bu alanda alınan Bakanlar Kurulu Kararları, BTK, Yargıtay, Danıştay, Anayasa Mahkemesi Kararları ve AİHM ve AB Adalet Divanı Kararları bulunuyor.
Mehmet Bedii Kaya'nın daha önce hazırladığı Kişisel Veri Koruma Hukuku Mevzuat ve İçtihat Çalışmasına da linkten ulaşabilirsiniz.
AB, üye olmayan ülkelerden gelen ziyaretçilerin biyometrik verilerini tutacak
Computer Weekly'nin haberine göre; Avrupa Komisyonu, AB ülkelerine giriş çıkış yapan AB vatandaşı olmayan kişilerin biyometrik verilerinin kaydedilmesi için yeni bir elektronik sistem kuruyor. Bu sistemin veri tabanında AB'ye gelen her bir ziyaretçinin ismi, seyahat belgeleri, parmak izi bilgileri ve yüz resimleri yer alacak. Bu veriler 3-ile 5 yıl arası sistemde tutulacak ve ilgili verilere vize kurumları ve ulusal emniyet kurumları tarafından erişim sağlanacak.
Çalışma Grubu Madde 29 WhatsApp'a uyarı yazısı gönderdi
AB Çalışma Grubu, WhatsApp ve Facebook grup şirketleri arasında kişisel veri aktarılmasına ilişkin önceki uyarı yazısına binaen konuya ilişkin tekrar bir uyarı yazısı yayınladı (PDF). Bu uyarı yazısında WhatsApp'ın AB vatandaşlarına ait kişisel verileri Facebook şirketine aktarırken açık rızayı hukuka uygun almadığını belirtiliyor. Bu bağlamda WhatsApp, kişileri açık bir şekilde bilgilendirmiyor ve kullanıcıların bu bilgilendirme metnine onay vermesini WhatsApp'ı kullanmaları için zorunlu tutuyor.
Bu sebeple Çalışma Grubu, oluşturduğu özel görev komitesiyle WhatsApp'ın bueraber çalışması ve bu sorunların çözüme kavuşturulması için WhatsApp'a çağrı yapıyor. AB Çalışma Grubu'nun uyarı gönderdiği diğer uluslararası şirketler: CIAmedia Gmbh, Sync.me, Truecaller (PDF).
Hollanda Veri Koruma Kurumu WHOIS'in yayınladığı kişisel verileri kanuna aykırı buldu
Hollanda Veri Koruma Kurumu, WhoIS'in alan adı sahiplerine ilişkin kişisel verileri internette alenileştirmesini kanuna aykırı buldu. WhoIS, internet alan adı girilince alan adı sahibinin ismi, e-posta adresi, telefon numarası bilgilerine yer veriyor. Bu şekilde, alan adı sahibine ait kişisel verilerin herkes tarafından kolayca erişebilmesinin hem Hollanda kanunlarına hem de GDPR'a uygun olmadığı belirtildi.
AB Komisyonu bulut güvenliği sertifikası çalışmalarına başladı
AB bulut güvenliğine ilişkin sertifikalandırma çalışmalarına başladı. Bu çalışmayla beraber bulut hizmet sağlayıcısının kim olduğu veya hangi Üye Devlet'te yer aldığına bakılmaksızın bulut hizmetlerinde eşit derecede güvenli olması amaçlanıyor
CNIL bağlı araçlar için uyumluluk paketi yayınladı
Fransa Veri Koruma Kurumu ("CNIL"), bağlı araçlarda veri sorumluların işlediği kişisel verilere ilişkin yükümlülüklerini inceleyen bir uyumluluk paketi yayınladı. CNIL durumu üç farklı senaryoda inceliyor:
1) Araçta toplanan ancak bir hizmet sağlayıcıyla paylaşılmayan kişisel veriler
2) Araçta toplanan ve üçüncü bir kişiyle belli bir hizmetin sağlanması için paylaşılan kişisel veriler
3) Araçta toplanan ve aracın otomatik harekete geçmesi amacıyla üçüncü kişiyle paylaşılan kişisel veriler
ICO'dan veri sahiplerini bilgilendirmemesi sebebiyle 80 bin Sterlin para cezası
Birleşik Krallık Veri Koruma Kurumu, kişisel verilerinin nasıl kullandığına ilişkin kişileri yeterince bilgilendirmesi sebebiyle ilgili şirkete 80 bin Sterlin para cezası verdi.
Verso Group Limited adlı şirket, kişilere çağrı merkeziyle ulaşarak kişisel verilerini toplamakta ve pazarlama şirketlerine aktarmaktaydı. ICO, şirketin bu aktarıma ilişkin ilgili kişileri bilgilendirmediği sonucuna ulaşarak şirketi para cezasına hükmetti.
