KVKK ve Gizlilik

Türkiye’de Kişisel Verilerin Korunması Mevzuatı

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türk Hukuku’nun bu alandaki yasal çerçevesini oluşturmuştur. Kısmen Avrupa Birliği Veri Koruma Direktifi örnek alınarak hazırlanan ve gün geçtikçe GDPR ilkeleriyle daha da uyumlu hale getirilen KVKK, özellikle yurt dışına veri aktarımı ve Kişisel Verileri Koruma Kurulu’nun rolü gibi konularda Avrupa kurallarından önemli ölçüde ayrışan kendine özgü yasal yükümlülükler barındırmaktadır.

Türkiye’de kişisel veri işleyen şirketler için uyum denetimleri (KVKK check-up) gerçekleştiriyor, mevcut uygulamalar ile kanuni gereklilikler arasındaki boşlukları ve riskleri tespit ediyoruz. Bu süreç; aydınlatma metinlerinin, açık rıza mekanizmalarının, tedarikçilerle yapılan veri işleme sözleşmelerinin ve teknik güvenlik tedbirlerinin kapsamlı bir şekilde incelenmesini içerir.

VERBİS Kayıt Süreçleri

Türkiye’de faaliyet gösteren ve kanunen belirlenen ciro veya çalışan sayısı gibi eşikleri aşan veri sorumlularının, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olması zorunludur. Kayıt süreci; tüm veri işleme faaliyetlerinin, kişisel veri kategorilerinin, veri sahibi kişi gruplarının, veri aktarılan alıcı gruplarının ve veri saklama sürelerinin haritalandırılmasını (veri envanteri hazırlanmasını) gerektirir. Müvekkillerimizin VERBİS kayıtlarını hazırlayıp sunuyor ve veri işleme faaliyetlerindeki değişikliklere paralel olarak gerekli güncellemeleri yönetiyoruz.

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin Türkiye dışına aktarılması, KVKK’nın 9. maddesi uyarınca çok sıkı şartlara bağlanmıştır. Kişisel Verileri Koruma Kurulu güvenli ülkeler listesi yayımlamış olsa da, küresel iş dünyasında sıkça kullanılan birçok varış noktası (Amerika Birleşik Devletleri dahil) bu listede yer almamaktadır. Kurulun yeterlilik kararının bulunmadığı durumlarda yurt dışına veri aktarımı; açık rıza, bağlayıcı şirket kuralları veya Kurul tarafından onaylanmış standart sözleşme hükümlerinin akdedilmesi gibi sınırlı yasal mekanizmalardan birinin varlığını zorunlu kılar.

Çok uluslu şirketlere, ticari veri akışlarını Türkiye’deki aktarım kısıtlamalarına uyumlu hale getirecek şekilde yapılandırmaları konusunda danışmanlık sunuyoruz. Bu süreç genellikle sözleşmesel güvencelerin, teknik önlemlerin ve şirket içi veri politikalarının entegrasyonunu içerir. Ayrıca, şikayetler, resen incelemeler veya idari para cezası süreçlerinde müvekkillerimizi Kişisel Verileri Koruma Kurumu nezdinde temsil ediyoruz.

Veri İhlali Bildirim Süreçleri ve Kriz Yönetimi

KVKK uyarınca veri sorumluları, kişilerin hak ve özgürlüklerini riske atabilecek olası bir veri ihlalini (data breach) tespit ettikleri andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür. İhlal analizlerinin yapılması, Kurul bildirim formlarının hazırlanması, Kuruma ve ihlalden etkilenen veri sahiplerine yönelik iletişim stratejilerinin kurgulanması konularında hızlı destek sağlıyoruz. Kurulun mevzuata aykırılık durumlarında on binlerce liradan milyonlarca liraya varan idari para cezaları uygulayabilmesi, zamanında ve doğru ihlal yönetimini kritik hale getirmektedir.

Sektörel Veri Gizliliği Yükümlülükleri

Türkiye’de bazı sektörler, KVKK’nın yanı sıra ek veri gizliliği yükümlülüklerine tabidir. Bankacılık ve finansal hizmetler, müşteri sırrı niteliğindeki verilere yönelik kendi katı kuralları olan BDDK tarafından düzenlenmektedir. Sağlık hizmeti sağlayıcıları ise Sağlık Bakanlığı’nın hasta verilerine ilişkin spesifik mevzuatına uymak zorundadır. Düzenlemeye tabi bu sektörlerdeki müvekkillerimizin birbiriyle kesişen yasal yükümlülüklerini, tek ve bütünsel bir uyum çerçevesi altında yönetiyoruz.