Haftanın Özeti #31 - KVK Kanunu'nda Değişiklikler ve Yeni WP29 Rehberleri

M. Mert Yaşar


KVK Kanunu'nda Kişisel Verileri Koruma Uzmanına ilişkin değişiklik getirildi

5 Aralık 2017 tarihli Resmi Gazete'de yayımlanan Bazı Vergi Kanunları ile Diğer Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile, Kişisel Verilerin Korunması Kanunu'nda birtakım değişiklikler getirilmiştir.

Kanun'da, Kişisel Verileri Koruma Uzmanı için aranan şartlar açıkça belirtilmiştir. Bunun dışında KVK Kurumu, muvafakat vermeleri halinde  hakim ve savcıları geçici olarak Kurum'da görevlendirebilecektir.

KVK Kurumu, Kişisel Verileri Koruma Uzmanı alımına başladı

KVK Kurumu resmi internet sitesinde, KVK Kanunu'nun Geçici 2'inci Maddesi uyarınca kişisel verileri koruma uzmanı alacağını ve başvuru için gereken belgeleriduyurdu.

Kurum'un toplamda 30 adet kişisel verileri koruma uzmanı alması bekleniyor.

Özel Sağlık Kuruluşları Yönetmeliğine kişisel sağlık verilere ilişkin hüküm getirildi

Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik 12 Aralık 2017 tarihli Resmi Gazete'de yayımlandı.

Bu Yönetmelik uyarınca, özel sağlık kuruluşları kişisel sağlık verileri KVK Kanunu'na uygun olarak  işleyecektir. Sağlık kuruluşları, kayıt altına aldıkları bu kişisel sağlık verilerini Sağlık Bakanlığı tarafından belirlenen  usul ve esaslara uygun olarak merkezi sağlık veri sistemine aktaracak ve bu sistem ve diğer işlemlere ilişkin  Bakanlıkça istenen bilgi ve belgeleri gönderecektir.

Çalışma Grubu Madde 29 rızaya ilişkin taslak rehberini yayımladı

Working Party Article 29, AB Genel Veri Koruma Regülasyonu (GDPR) için hazırladığı rıza rehberi taslağını (PDF) yayımladı. Rehber, GDPR kapsamında kişisel veri sahiplerinden alınan rızaların geçerli olabilmesi için gerekli kriterler açıklıyor. Rehberde, GDPR'daki rıza ve açık rıza arasındaki farkları ele alınıyor, ayrıca bu rızaların hangi unsurlara sahip olması gerektiği örneklerle inceleniyor.

Bunun dışında GDPR'da düzenlenen çocukların kişisel verilerinin işlenmesi ve bilimsel araştırmalar gibi özel durumlarda rızaların nasıl alınması gerektiği anlatılıyor.

Taraflar, GDPR rıza rehberi taslağına ilişkin görüşlerini 23 Ocak 2018'e kadar iletebilecek.

Çalışma Grubu Madde 29 şeffaflığa ilişkin taslak rehberini yayımladı

Working Party Article 29, AB Genel Veri Koruma Regülasyonu (GDPR) için hazırladığı şeffaflık rehberi taslağını (PDF) yayımladı. Rehber, kişisel verilerin işlenmesine ilişkin olarak GDPR tarafından getirilen şeffaflık yükümlülüğünü ve veri sorumluların bu yükümlülüklerine nasıl yerine getirebileceğini açıklıyor.

GDPR'a göre veri sorumluları, ilgili kişileri (i) kişisel veri işleme faaliyetleri, (ii) kişisel verilerine ilişkin haklarını ve (iii) meydana gelen veri ihlalleri hakkında bilgilendirirken GDPR'da yer alan şeffaflık şartlarına uymakla yükümlüdür.

Taraflar, GDPR şeffaflık rehber taslağına ilişkin görüşlerini 23 Ocak 2018'e kadar iletebilecek.

CNIL, bağlı oyuncaklar üreten firmaları uyardı

Fransız Veri Koruma Kurumu (CNIL), internete bağlanabilen çocuk oyuncakları üreten firmaları güvenlik sebebiyle uyardı. Söz konusu olan oyuncak bebek ve robotlar, çocukların matematik sorusu veya hava durumu gibi farklı konularda sorularını cevaplayabiliyor. Kendi mikrofonları olan bu oyuncaklara internetten kolayca indirilebilecek mobil uygulamaları üzerinden de iletişime geçilebiliyor. Böylece çocuk ve ailesinin ses kayıtları ve konuşma içerikleri kaydediliyor.

CNIL'in yaptığı soruşturmalara göre, bu bağlı oyuncaklara erişim için herhangi bir güvenlik arayüzü bulunmuyor. Oyuncaklara 9 metre uzaklıkta herkes bağlanabiliyor ve isterse yukarıda bahsedilen çocuk ve aileye ait kişisel verilere erişebiliyor. Ayrıca  bu firmalar kişisel veri işleme faaliyetlerine ilişkin müşterilerine yeterince bilgilendirmiyor.

Bu sebeplerden dolayı CNIL durumun düzeltilmesi için ilgili firmalara yazılı bir bildirimde bulunarak uyum için iki ay süre vermiştir.

Google, mobil uygulamalara  kişisel verilerin toplanmasına ilişkin  bilgilendirme yapma şartı getiriyor

Google'ın getireceği yeni standartlar uyarınca, Android mobil uygulamaları kullanıcıların kişisel verilerini işlemeden önce bu verileri toplama amacına ilişkin açık bir bilgilendirme yapması gerekiyor

Bu kapsamda, Google uygulamaların bu yeni standartlara uymaları için 30 Ocak 2018 tarihine kadar süre tanıyor. Bu tarihe kadar gerekli şartları sağlamayan, kişileri bilgilendirmeyen veya kişilerden gerekli rızayı almayan uygulamaların ise uyarı alacağı ve bu uyarının kullanıcılar tarafından görülebileceği belirtiliyor.

KVK Kurumu henüz bir akreditasyon veya sertifikasyon çalışması başlatmadığını duyurdu

KVK Kurumu, Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatlar ile ilgili eğitim programları çerçevesinde henüz kurumla akredite olmuş ya da kurum tarafından yetkilendirilmiş bir kurum veya kuruluşun olmadığını duyurdu.

Şirketlerin GDPR'a uyumu pahalıya mal oluyor

Forrester Danışmanlık Şirketi'nin yaptığı araştırmaya göre, ABD, İngiltere, Almanya ve Fransada'ki şirketlerde kişisel veri uyumluluk projelerini yürüten kişilerin yüzde 48i şirketlerin başlangıç evresinde GDPR'a uyum için en az 1 milyon dolar ayırdıklarını belirtiyor.

Araştırmaya göre, ankete katılan 263 şirketten yüzde 33ü 1 milyon-5 milyon dolar arası bir meblağ ayırırken; yüzde 15i 5 milyon dolardan daha fazla ayırdığını ifade ediyor.





Leave a Reply

Your email address will not be published.


Comment


Name

Email

Url


Aylık Özet Bülteni
Kişisel verilerin korunmasına ilişkin yerel ve global gelişmeleri her ay derliyor ve özetleyerek sizlere gönderiyoruz.
Gizlilik Politikamız için tıklayınız.