Kişisel Verilerin Korunması Kanununa Duyulan İhtiyaç

Değişen dünya ve hızla gelişen teknoloji kişisel verilere erişimi, kişisel verilerin işlenmesini ve sınıflandırılmasını kolaylaştırmış ve kişisel verileri koruyan bir yasal düzenlemeye ihtiyaç duyulmuştur.

7 Nisan 2016’da Kişisel Verilerin Korunması Kanunu (“Kanun”) kabul edilerek yürürlüğe girdiğinde yeni bir dönem başlamış ve böylece veri sorumlularına Kanun kapsamında birtakım yükümlülükler getirilmiştir.

Site, Apartman ve Benzeri Yapılarda Dönüşüm Projesine Genel Bakış

Site, apartman ve benzeri yapılarda; site sakinlerinin, kat maliklerinin, yönetim kurulu üyelerinin, yöneticinin, hissedarların / ortakların, ziyaretçilerin, çalışanların ve sürece göre değişen farklı kişi gruplarının kişisel verileri işlenmektedir. Kişisel veri işleme faaliyeti gerçekleştirilirken Kanuna uygunluğun sağlanması gerekmektedir.

Site, apartman ve benzeri yapılarda veri sorumlusunun sözleşmeye ve sürece göre değişebileceği durumların yanı sıra birden çok veri sorumlusunun olduğu durumlar da söz konusu olabilmektedir. Veri sorumlusu tespit edilirken her somut olayda ayrı ayrı değerlendirme yapılmaktadır. Güvenlik kamera kayıtlarının tutulması, turnike kartlarıyla giriş çıkışların gerçekleştirilmesi gibi farklı süreçlerin her birinde kişisel veri işleme faaliyeti gerçekleştirilmekte ve bu faaliyetlerin her biri ayrı hukuki denetimlere tabi tutulmaktadır. Bu faaliyetlerin hukuki denetimi kapsamında örneğin kişisel verilerin silinmesi gereken durumlarda silme işleminin gerçekleştirildiğine dair kayıtları üç yıl saklamak zorunda olan, sözleşmeye ve sürece göre tespit edilen veri sorumlusudur.

Kanuna uygun kişisel veri işleme faaliyeti gerçekleştirebilmek için dönüşüm geçirilmesi gerekmektedir.

Kanun Kapsamında Veri Sorumlusunun Yükümlülükleri ve Yükümlülüklerin Yerine Getirilmesi İçin Yapılması Gerekenler

Kanun kapsamında veri sorumlusunun yerine getirmesi gereken yükümlülükler bulunmaktadır. Aşağıda “Veri Sorumlusunun Yükümlülükleri” başlıklı tabloda (Tablo No: 1) belirtilmiştir.

Söz konusu yükümlülükler kapsamında VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak vereceğimiz hizmetler, “Yapılması Gerekenler ve Hizmetlerimiz” tablosunda (Tablo No: 2) belirtilmiştir.

2 numaralı tabloda belirtilen yapılması gerekenler ve hizmetlerimiz, “Yükümlülükler Çerçevesinde Veri Sorumlusunun Yapması Gerekenler ve VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş Olarak Hizmetlerimiz” başlığında detaylı açıklanmıştır.

Tablo No: 1

Veri Sorumlusunun Yükümlülükleri
Kişisel Verileri Hukuka Uygun İşlemek
  • Genel İlkelere Uygunluk
  • Kişisel Veri ve Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
Kişisel Verileri Silmek, Yok Etmek veya Anonim Hâle Getirmek
Kişisel Verilerin Yurtiçinde Aktarımı ve Yurt Dışına Aktarılmasında Şartlara Uygun Hareket Etmek
Aydınlatma Yükümlülüğünü Yerine Getirmek
İlgili Kişinin Hakları Kapsamında Belirtilen Yükümlülüklere Uygun Hareket Etmek
Veri Güvenliğine İlişkin Yükümlülükleri Yerine Getirmek

Tablo No: 2

Yapılması Gerekenler ve Hizmetlerimiz
Veri Sorumlusunun Tespiti
Site, Apartman ve Benzeri Yapıların İhtiyaçlarına ve Muhtemel Kişisel Veri İşleme Süreçlerine Göre Strateji Belirleme
Kişisel Veri Koruma Komitesi Oluşturma ve Görevlendirme
Doküman Hazırlama ve Revize Etme
Başvuru Kabul-Cevap Prosedürünü Belirleme
Kişisel Veri İşleme Envanteri Oluşturma
Kişisel Verilerin İşlenmesi ve Korunması Politikası Oluşturma
Teknik Tedbirlerin Alınması
Çalışanlara Eğitim Verilmesi
İç Denetim
VERBİS Kaydı
Sonuç Toplantısı ve Proje Teslimi
 

Yükümlülükler Çerçevesinde Veri Sorumlusunun Yapması Gerekenler ve VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş Olarak Hizmetlerimiz

Yükümlülükler kapsamında yapılması gerekenlerden ilki site, apartman ve benzeri yapılarda veri sorumlusunu tespit etmektir. Bu çerçevede veri sorumlusunun tespiti aşağıda detaylı olarak açıklanmaktadır.

a. Veri Sorumlusunun Tespiti ve Değiştirilebileceği Durumlar

Kurul tarafında verilen 22/07/2020 tarih ve 2020/560 sayılı kararda da belirtildiği üzere veri sorumlusu sözleşmeye ve sürece göre değişebilmekte, birden çok veri sorumlusunun olduğu haller söz konusu olabilmektedir.

Dolayısıyla projeye başlamadan önce sözleşmeye ve sürece göre değişebilecek veri sorumlusunu tespit etmek gerekmektedir.

Site, apartman ve benzeri yapılarda veri sorumlusu her sürece ve sözleşmeye göre değişebileceği için her süreç özelinde veri sorumlusunu tespit etmekteyiz.

b. İhtiyaçlara ve Muhtemel Kişisel Veri İşleme Süreçlerine Göre Strateji Belirleme

Gerçekleştirilen veya gerçekleştirilmesi muhtemel kişisel veri işleme süreçleri doğrultusunda strateji belirlenmesi gerekmektedir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; kişisel veri işleme süreçlerini tespit edip her süreç için ayrı çalışmalar yapmakta ve her sürece özgü kişisel veri işleme stratejileri geliştirmekteyiz. Strateji belirleme kriterlerimiz; Site Yönetimi bünyesinde birden fazla faaliyette bulunma, iç yazılım program niteliği, reklam ve pazarlama, sosyal tesislerin kullanımı (Havuz, spor salonu, maket, kafe vb.), yönetim sistemleri (Siteplus, Apsiyon, Yönetimcell) uygulamalarının kullanılması, site yönetimi faaliyetinin hizmet olarak alınması gibi değişebilmektedir.

Not: Site sakinlerinin giriş çıkış süreçleri, sosyal tesislerin kullanım koşulları değişkenlik gösterebilmektedir. Bu sebeple gerekli çalışmaları yaparak her sürece özgü stratejiler belirlemekteyiz.

c. Kişisel Veri Koruma Komitesi Oluşturma ve Görevlendirme

Veri sorumlusu, tercihen kişisel verilerin korunması konusunda bilinçli ve dönüşüm geçirecek yapının iş süreçlerine hâkim kişilerden Komite oluşturacaktır. Komite, Proje süresince devamlı, sürekli Komite olduktan sonra belli aralıklarla toplanacak bir birimdir.

Not: Komite üyelerinin; denetim kurulundan bir kişi, yönetim kurulundan bir kişi ve kat malikleri arasından seçilecek bir kişi olarak belirlenmesini tavsiye etmekteyiz.

d. Kişisel Veri İşleme Envanteri Oluşturma

Veri sorumluları açısından kişisel veri işleme faaliyetinde hazırlanması gereken belki de en kapsamlı süreç Kişisel Veri İşleme Envanteri hazırlama sürecidir. Kişisel Veri İşleme Envanterinin, kişisel veri işleme faaliyetinin tüm süreçlerini ortaya koyması gerekmektedir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; Site, Apartman ve Benzeri Yapılarda Dönüşüm Projesi kapsamında her sitenin kendine özgü süreçlerine ilişkin Kişisel Veri İşleme Envanteri hazırlamaktayız.

Not: Kişisel veri işleme envanteri hazırlarken değişen süreçler hakkında gerekli çalışmaları yapmakta ve kişisel veri işleme faaliyetine ilişkin her türlü bilgiye kişisel veri işleme envanterinde yer vermekteyiz.

e. Kişisel Verilerin İşlenmesi ve Korunması Politikası Oluşturma

Veri sorumlusunun, kişisel verilerin işlenmesi ve korunması kapsamında politika ve prosedür oluşturması gerekmektedir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; Kişisel Veri İşleme Envanteriyle uyumlu şekilde Kişisel Verilerin İşlenmesi ve Korunması Politika ve Prosedürü hazırlamaktayız. Kişisel veri işlenen her sürece özgü politika ve prosedür belirlemekteyiz.

Belirlediğimiz politika ve prosedürler örnek olarak şu şekildedir:

  • Ortak Alan Kullanımı Politika ve Prosedürü
  • Aydınlatma Yükümlülüğü Politika ve Prosedürü
  • Kişisel Veri Saklama ile İmha Politika ve Prosedürü
  • Özel Nitelikli Kişisel Veri İşleme ve Koruma Politika ve Prosedürü
  • Açık Rıza Politika ve Prosedürü
  • Veri Güvenliği Politika ve Prosedürü
  • Kişisel Veri İşleme Envanteri Politika ve Prosedürü
  • Kişisel Veri Aktarım Politika ve Prosedürü
  • Ortak Veri Sorumluları Faaliyetleri Politika ve Prosedürü
  • Çerez Politika ve Prosedürü
  • Kişisel Veri İç Denetim Politika ve Prosedürü
  • Başvuru Kabul ve Cevap Politika ve Prosedürü
  • Kişisel Verileri Koruma Komitesi Politika ve Prosedürü
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Politika ve Prosedürü

Not: Belirlenen politika ve prosedürler, dönüşüm geçiren yapının özgün süreçlerine göre değişebilmektedir.

f. Doküman Hazırlama ve Revize Etme

Kişisel verilerin korunmasına ilişkin dokümanların hazırlanması ve var olan dokümanlarda revizeler yapılması gerekmektedir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; gizlilik sözleşme ve taahhütnameleri, aydınlatma metinleri, açık rıza beyanları, iç denetim formu, başvuruya cevap formu vb. hazırlamakta ve iş sözleşmesi, tedarikçi sözleşmesi, iş başvuru formları gibi gerekli dokümanları revize etmekteyiz.

Mevcut Evrakların Revizesi

Yönetim planı, genel kurul kararları, yönetim ve denetim kurulu tutanakları için Kanun’a uygun öneriler hazırlamaktayız.

Gizlilik Sözleşme ve Taahhütnameleri

Veri sorumlusunun, gizlilik sözleşme veya taahhütnameleri imzalaması gereken gerçek veya tüzel kişileri tespit ederek uygun sözleşme ve taahhütnameleri hazırlamakta ve mevcut sözleşme ve taahhütnameleri revize ederek Kanuna uygun hale getirmekteyiz.

Aydınlatma Metinleri

Kişisel verisi işlenen, site sakinleri, kat malikleri, çalışanlar, tedarikçi çalışanlar, ziyaretçiler gibi bütün ilgili kişi gruplarına ve kişisel veri işleme faaliyeti gerçekleştirilen her sürece özgü, ayrı ayrı Kişisel Verileri Koruma Kurulunun yayımladığı rehber çerçevesinde taşıması gereken şartları bulunduran aydınlatma metinleri hazırlamaktayız.

Açık Rıza Beyanları

Kişisel veri işleme süreçlerinde açık rıza istenecek alanları tespit edip her bir süreç için ayrı ayrı açık rıza beyanları hazırlamaktayız.

Başvuruya Cevap Formu

İlgili kişinin yapacağı başvurular için cevap formu hazırlayarak ilgili kişi başvurularının Kanuna uygun şekilde cevaplandırılmasını sağlamaktayız.

İç Denetim Formu

İç Denetim kapsamında ulaşılan bütün bilgilerin raporlanması amacıyla İç Denetim Formu hazırlamaktayız.

g. Veri Güvenliğini Sağlama

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; kişisel verilerin korunması hukukunda uzman hukukçu ve akademisyen kadromuzla veri güvenliğine yönelik idari ve teknik tedbirleri almaktayız.

Not: Veri güvenliğine ilişkin teknik tedbirler için iş birliği yaptığımız bilişim firmasıyla veya seçeceğiniz bir firmayla çalışarak gereken teknik tedbirleri alırken her aşamada yol arkadaşlığı yapmaktayız.

h. Çalışanlara Eğitim Verilmesi

Kişisel veriyle temas eden tüm çalışanların, kişisel veri koruma bilinciyle hareket edebilmesi için eğitim alması gerekmektedir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; uzman kadromuz tarafından site, apartman ve benzeri yapıların kişisel veri ile temas eden çalışanlarına eğitim vererek kişisel veri koruma kültürünü ve bilincini oluşturmakta ve eğitime katılan çalışanlara katılım belgelerini vermekteyiz. Eğitimlerimizde anlatılacak konu başlıkları ve oturum bilgileri Eğitim tablomuzda (Tablo No: 3) yer almaktadır.

Not: Gerekli olduğu durumda çalışan eğitimlerini online olarak da verebilmekteyiz.

Tablo No: 3

1. Oturum

Kavram Eğitimi

2. Oturum

Dikkat Edilmesi Gerekenler

3. Oturum

Çalışan Sorumluluğu

Kişisel Verilerin Önemi

Fidye Saldırıları ve Veri İhlallerine Karşı Dikkat Edilmesi Gerekenler

Çalışan Aydınlatma, Açık Rıza ve Gizlilik Taahhütleri

Eğitimin Amacı

Şifre Belirlerken ve Ekipman Kullanırken Dikkat Edilmesi Gerekenler

Veri İhlali ve Kabahatler

Kişisel Verilerin Korunması Kanununun Amacı

Wi-Fi/Sosyal Medya/Mesaj Uygulamaları/E-Posta Kullanırken Dikkat Edilmesi Gerekenler (Apsiyon, Siteplus ve Yönetimcell vb.)

Rücu

Kişisel Veri ve Özel Nitelikli Kişisel Veri

Site Giriş Çıkışlarında, Tesis Kullanımlarında Dikkat Edilmesi Gerekenler

Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması

Kişisel Verilerin İşlenmesi

Fiziksel Ortamdaki Belge/Bilgi/Evrak Kullanımında/ İmha Edilmesinde Dikkat Edilmesi Gerekenler

Disiplin Yönetmeliği Kapsamında Sorumluluk

İlgili Kişinin Hakları

Başvuru & Şikâyet

Site Sakinleri Arasındaki İlişkide Çalışanların Dikkat Etmesi Gerekenler

Türk Medeni Kanunu Kapsamında Kişisel Verilerin Korunması

Kişisel Verileri Koruma Komitesi

Komiteye Bilgi Verme

İş Kanunu Kapsamında Kişisel Verilerin Korunması

i. İç Denetim

Dönüşüm Projesi tamamlandıktan sonra Komite veya profesyonel bir ekip tarafından site, apartman ve benzeri yapılarda periyodik ve/veya rastgele denetimler gerçekleştirilmesi gerekmektedir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; Dönüşüm Projesinin tamamlanmasıyla birlikte proje danışmanlarınca iç denetim gerçekleştirerek ve veri sorumlusuna iç denetim doğrultusunda rapor sunmaktayız.

Not: Dönüşüm Projesini tamamladıktan sonra, talep halinde iç denetimleri gerçekleştirilebilmekteyiz.

j. Teknik Tedbirlerin Alınması
Veri sorumlusu tarafından alınması gereken teknik tedbirler;
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği Uygulama Güvenliği
  • Şifreleme
  • Teknik Test
  • Veri Maskeleme
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemler
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; teknik testin sonuç raporuna göre ihtiyaçlarınız doğrultusunda gerekli yönlendirmeleri yapmaktayız.

Not: Yönetimsel uygulamalar olan Apsiyon, Siteplus veya Yönetimcell gibi uygulamalarda meydana gelebilecek kişisel veri ihlallerinin önüne geçmek için teknik tedbirlerin alınmasını sağlamaktayız.

k. VERBİS Kaydı

Yılık çalışan sayısı 50’den çok veya yıllık mali bilançosu 25 milyon TL’den fazla olan veri sorumlularının VERBİS kayıt yükümlülüğü bulunmaktadır fakat site, apartman ve benzeri yapılarda veri sorumlularının VERBİS’e kayıt olması henüz mümkün değildir.

VERKO Veri Koruma Danışmanlığı ve Eğitim A.Ş olarak; VERBİS kaydının gerçekleştirileceği her aşamada iletişim ve iş birliği içinde hareket etmekteyiz.

Not: Site, apartman ve benzeri yapılarda veri sorumlularının VERBİS’e kaydı konusunda sistemin en yakın zamanda güncellenmesini beklemekteyiz.

l. Sonuç Toplantısı ve Proje Teslimi

Hazırlanan tüm dokümanlar veri sorumlusuyla gerçekleştirilecek sonuç toplantısında kontrol edilerek teslim edilecektir. Gerçekleştirilen bu teslim sırasında veri sorumlusunun kararı sonucunda oluşturulan Komiteye hazırlanan dokümanların nasıl kullanılacağı konusunda tekrar bilgilendirme yapılacak ve Projenin teslimiyle dönüşüm tamamlanmış kabul edilecektir.

Dönüşüm Projesi tamamlandıktan sonraki süreçlerde veri sorumlusunun talebi halinde bazı hizmetler verilebilir. Bunlar;

  • Veri sorumlusunun çalışanlarına kişisel veri koruma kültürü ve bu kapsamda farkındalık oluşmasını sağlamak amacıyla eğitimler verilmesi,
  • Site, apartman ve benzeri yapıların bünyesinde düzenli olarak yapılması gereken periyodik ve/veya rastgele denetimlerin yapılması,
  • Belli alanlarda danışmanlık alınması,
  • Kişisel veri işleme envanterinin güncellenmesi,
  • Kişisel veri işleme politika ve prosedürlerinin güncellenmesi
şeklinde sayılabilmektedir.

Yükümlülüklerin Yerine Getirilmemesi Halinde

a. Kişisel Verilerin Korunması Kanunu Kapsamında Sorumluluk

Kurul, yaptığı tek bir denetimde aşağıdaki tabloda belirtilen kabahatlere ilişkin birden fazla ceza verebilmektedir.

Kabahatler

Ceza Miktarları

Veri güvenliğini ihlal etme halinde

29.503 - 1.966.861₺

Aydınlatma yükümlülüğüne aykırılık halinde

9.834 - 196.686₺

Kurulun tarafından verilen kararı yerine getirmeme halinde

49.171 - 1.966.861₺

Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde

39.337   - 1.966.861₺

Not: Çalışanlara gereken eğitimlerin verildiği, gereken bütün teknik ve idari tedbirlerin alındığını ispatlayan veri sorumlusu, herhangi bir ihlal sonucunda cezai yaptırımlarla muhatap olduğu takdirde rücu hakkına sahip olabilecektir.

b. Türk Ceza Kanunu Kapsamında Sorumluluk

Türk Ceza Kanunu’nda Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar bölümünde düzenlenen suçlar aşağıdaki gibidir:

Suçlar

Ceza Süreleri

Kişisel Verilerin Kaydedilmesi

1-3 yıla kadar hapis cezası

Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme

2-4 yıla kadar hapis cezası

Verileri Yok Etmeme

1-2 yıla kadar hapis cezası

Kişisel verilerin kaydedilmesi ve hukuka aykırı olarak verme veya ele geçirme suçlarının;

  • Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır.

Kişisel verileri yok etmeme suçunun işlendiği takdirde ise;

  • Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat artırılır.
c. Türk Medeni Kanunu Kapsamında Sorumluluk

Kişisel veri işlenen tüm süreçlerde 4721 sayılı Türk Medeni Kanunu’nun 2. maddesinde belirtilen dürüstlük kuralına uygun hareket edilmesi gerekmektedir. Veri sorumlusunun, Türk Medeni Kanunu’na aykırı hareket etmesi halinde tazminat sorumluluğu gündeme gelecektir. Bunun yanı sıra Türk Medeni Kanunu 24. ve 25. maddeleri gereği çalışanın kusurundan dolayı 3. kişilere maddi ya da manevi tazminat ödemesi gerektiği durumlarda veri sorumlusu, uğradığı zararı -iş sözleşmesinin devam edip etmemesi fark etmeksizin- kusuru oranında çalışana rücu edebilmektedir.

Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr

Open chat