İstanbul’da faaliyet gösteren Akkaş Hukuk ve Avukatlık Bürosu kişisel verilerin korunması avukatı olarak hukuki danışmanlık ve avukatlık hizmeti sunmaktadır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), kişisel verileri işlenen ilgili kişilerin başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenlemek amacıyla 7 Nisan 2016 tarihinde yürürlüğe girmiştir.

Bu kapsamda şirketler hukuku avukatlarımız, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) getirdiği yükümlülüklere uyumlu hale gelmek adına; müvekkillerimizi Kanun kapsamında yükümlü oldukları hususlara dair bilgilendirmekte, kişisel veriler ile ilgili soruşturma ve davalarda müvekkillerimizi temsil etmekte ve bu konuda kendilerine hukuki danışmanlık hizmeti vermekte, Kişisel Verilerin Korunması Kanunu’na uyumluluk projeleri yürütmekte, ilgili projeler kapsamında bilgilendirme eğitimi sunulması, Kişisel veri envanterlerinin çıkarılması, Proje Yönetimi, VERBİS Sistemine Kayıt süreçlerinin yürütülmesi, Uyum danışmanlığı, Proje yönetimi alanları dahil olmak üzere Kanuna uyum kapsamında gerekli her türlü konuda hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

Kişisel Veri Kavramı

Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye (bu kişiler yalnızca müşteri ve çalışan değil, çalışan adayları, taşeron çalışanları, tedarikçi ve iş ortağı çalışanları da olmaktadır) ilişkin her türlü bilgiyi ifade etmekte olup, günümüzde kişisel veriler, gerek özel sektördeki gerekse kamudaki gerçek ve tüzel kişiler tarafından, otomatik yollarla veya otomatik olmayan yollarla elde edilmek, kaydedilmek, aktarılmak, depolanmak gibi birçok şekilde işlenmektedir. Bu durum kişisel verileri işlenen gerçek kişilerin kişisel verilerini kendilerine karşı kullanılmaları da dahil olmak üzere birçok noktada koruyamamalarına neden olmaktadır.

Bu nedenle 2010 yılında Anayasamızın “Özel Hayatın Gizliliği” başlıklı 20. Maddesine eklenen 3. Fıkra ile aynen; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Hükmü getirilmek suretiyle bireylere, verilerinin gerçek veya tüzel kişiler tarafından yetkisiz şekilde kullanılmasına karşı Anayasal bir hak olarak kişisel verilerin korunması hakkı tanınmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) kabulü ile de ülkemizde yeni bir dönem başlamış olup, anılan Kanun ile verileri işlenen gerçek kişilere, veri sorumlusu olarak tanımlanan gerçek ve tüzel kişilere karşı sahip oldukları haklar belirtilmiş ve veri sorumlularına da birtakım yükümlülükler getirilmiştir.

Bizler de kişisel verilerin korunması avukatı kadromuz ile Akkaş Hukuk ve Avukatlık bürosu olarak kişisel veri sorumlusu olan gerçek ve tüzel kişi müvekkillerimizin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere tüm veri mahremiyeti mevzuatına uyumu kapsamında farklı alanlarda projeler yürütmekte, bu projeler ile müvekkillerimizin iş süreçlerini analiz ederek, mevzuat ile uyumun sağlanması için öneriler geliştirmekteyiz. Bu kapsamda müvekkillerimize aşağıdaki hizmetleri sunmaktayız.

Kişisel Verilerin Korunması Avukatı

Kişisel Verilerin Korunması Avukatı Hizmetlerimiz

  • KVKK kapsamında müvekkillerin tâbi oldukları yükümlülüklerin tespiti ve analizi,
  • İlgili yükümlülüklerin yerine getirilebilmesi bakımından müvekkillerin kullanmaları gereken veri kayıt sistemlerinin oluşturulması aşamasında IT departmanları ile gereken işbirliğinin sağlanması ve mevcut durumda kullanılmakta olan veri kayıt sistemlerinin KVKK kapsamındaki yükümlülüklere uyumlu hale getirilmesi bakımından gerekli desteğin sunulması,
  • Kişisel veri envanterinin çıkarılması ve veri akış şemalarının belirlenmesi,
  • Mevzuat ile uyumun sağlanması için gerekli hukuki belgelerin hazırlanması (açık muvafakatname/rıza metinleri, aydınlatma beyanları, kişisel verilerin korunması ve gizlilik politikası, kişisel veri saklama ve imha politikası vb.),
  • Denetim hizmetleri sunulması ve uyumun şirket içinde devamlılığının kontrol edilmesi,
  • Projenin tamamlanmasının ardından veri mahremiyeti ve ilgili diğer mevzuat ile ilgili düzenli danışmanlık sağlanması,
  • Veri sorumluları siciline kayıt ve veri girişlerinin yapılması noktasında hukuki destek sunulması,
  • Müvekkillerin KVKK kapsamında müşterileriyle veya iş ortaklarıyla akdetmeleri gereken sözleşmelerin hazırlanması ve/veya revize edilmesi,
  • Kamera ile izleme ve görüntü kaydetme, elektronik ve biyometrik giriş sistemleri ile giriş zamanını belirleme, elektronik yer ve elektronik iletişimin gözetlenmesi gibi elektronik gözetleme yöntemlerinin iş yerlerindeki kullanımlarının hukuka uygunluğunun sağlanması hususunda danışmanlık hizmeti verilmesi,
  • “Gizlilik Politikası” (Privacy Policy), “Siber Güvenlik Politikası” (Cybersecurity Policy), “Çerez Politikası” (Cookies Policy) gibi gerekli metinlerin hazırlanması,
  • Kişisel verilerin yurt içinde ve yurt dışına aktarılmasında hukuka uygunluk değerlendirmesinin yapılması ve bu çerçevede veri transfer sözleşmelerinin ve onay metinlerinin hazırlanması,
  • Kişisel Verileri Koruma Kurumu nezdinde gerekli işlemlerin yürütülmesi ve söz konusu idari prosedürlere ilişkin olarak hukuki danışmanlık hizmeti verilmesi,
  • Kişisel veriler üzerindeki hak ihlallerine karşı hukuk davalarının, ceza davalarının ve idari davaların yürütülmesi,
  • Siber güvenlik ve siber suçlar alanında danışmanlık hizmeti verilmesi ve dava takip hizmeti sağlanması,6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında ve ilgili mevzuat öngörülen korumanın sağlanabilmesi için veri yönetimi, veri imha ve anonimleştirme tekniklerine ilişkin danışmanlık hizmetleri sunulması,
  • KVKK kapsamındaki yükümlülüklere tam anlamıyla uyumun sağlanması bakımından Veri Sorumlusu bünyesindeki ilgili tüm departmanlara (hukuk, İK, IT, pazarlama, halkla ilişkiler vb.) şirket içi farkındalık eğitimlerinin sunulması,
  • KVKK kapsamında getirilen yükümlülüklere riayet edilmemesi halinde müvekkillerin alması muhtemel cezalar hakkında hukuki danışmanlık hizmetleri sunulmasıdır.
  • Yukarıda saymış olduğumuz hizmetlerin kapsamı, müvekkillerimizin talep ve beklentilerine göre karşılıklı müzakereler sonucunda tespit edilmekte ve uygulanmaktadır.

6698 Sayılı Kanun Uyarınca Kişisel Veri Türleri

6698 sayılı Kanun sistematik olarak öncelikle genel nitelikli kişisel verileri ele almış, ardından niteliği gereği daha hassas ve yüksek oranda korunması gereken “Özel Nitelikli Kişisel Verileri” düzenlemiştir.

Özel Nitelikli Kişisel Veriler

6698 sayılı Kanunun 6.maddesi; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin” özel nitelikli kişisel veri olduğunu belirtmektedir.

İlgili maddenin 2.fıkrasında ise özel nitelikli kişisel verilerin, ancak ilgilinin açık rızası ile işlenebileceği bir başka deyişle ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunu açık bir şekilde vurgulamaktadır. Bu kapsamda Kişisel Verilerin Korunması Avukatı Ekibimiz, müvekkillerimiz tarafından işlenmekte olan özel nitelikli kişisel verilere ilişkin verileri işlenen gerçek kişilerden alınacak açık rıza metinlerinin hazırlanması hususunda hizmet sunmaktadır.

Ayrıca belirtmek isteriz ki; Kanunun 6. Maddesinin 3.fıkrasında, sağlık ve cinsel hayata ilişkin kişisel verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini belirtmektedir.

Kişisel Veri Kategorileri

İşbu başlık altında Akkaş Hukuk ve Avukatlık Bürosu ticaret hukuku avukatı ekibimiz tarafından gerek veri envanterine gerekse de VERBİS sistemine veri girişi yapılması esnasında kullanılacak olan veri kategorileri ve verileri işlenen kişi grupları bazında hangi verilerin işlenebildiği kısaca aktarılmaktadır.

Çalışanlara Ait Kişisel Veri Kategorileri

Kimlik Bilgisi; “Ad soyad, Tüm kimlik bilgileri, TC kimlik numarası, Milliyeti, Medeni durumu, Doğum tarihi, Bazı durumlarda kimlik fotokopisi.”
İletişim Bilgisi; “Telefon numarası, Açık adres bilgisi, e-posta adresi.”
Finansal Bilgi; “Finansal ve maaş detayları, Çalışanlara özel kredi risk raporları, Prim listesi, İcra takip dosyalarına ilişkin dosya ve borç bilgileri, Banka bilgileri.”
Eğitim Bilgisi; “Öğrenim durumu, sertifika ve diploma fotokopileri, Eğitim ve beceriler, CV.”
Görsel ve İşitsel Veri; “Gerçek kişiye ait fotoğraf, ses kayıtları, kamera kayıtları.”
Çalışan Performans ve Kariyer Gelişim Bilgisi; “Eğitim katılım formları, eğitim saatleri ve süreleri, sınav sonuçları, iç terfi değerlendirme süreçleri (İngilizce, genel yetenek sınavları, kişilik envanteri), etik uygunsuzluk raporları, personel terfi transfer hareketleri dosyası, dış arama ekibi puantaj ve performans raporları, toplantı kayıtları, işe giriş tarihi, haftalık çalışma saatleri (login-logout kayıtları).”
Aile Yakın Bilgisi; “Ailenin ad soyadı, telefon numaraları, aile bildirim formları.”
Özel Nitelikli Kişisel Veri; “Sağlık poliçeleri, sağlık raporları, hamilelik raporu, Meslek hastalığı kayıtları, İşe giriş muayene formları, Kullanmakta olduğu ilaçlar, Klinik geçmişi, Akciğer grafisi, İşitme testi, Göz muayenesi, Kan grubu bilgisi, Sabıka kaydı, Din bilgisi, Oruç tutanlar listesi.”
Diğer; “Araç bilgileri, çalışanların kullandığı iş bilgisayarlarının IP adresleri, web gezinti hareketleri, hobileri, çıkış mülakat raporları, terhis belgesi, yıllık izin kullanım defteri / kayıtları, işten çıkış mülakat formları, SGK sicil numarası.”

Çalışan Adaylarına İlişkin Kişisel Veri Kategorileri

Kimlik Bilgisi; “Ad-soyad, TC Kimlik Numarası, Milliyeti, Medeni durumu, Bazı durumlarda kimlik fotokopisi.”
İletişim Bilgisi; “İletişim bilgisi (Telefon, e-mail, adres, sosyal medya hesabı vb.)
Finansal Bilgi; “Finansal ve maaş detayları vb.”
Eğitim Bilgisi; “Öğrenim durumu, Eğitim ve beceriler, Sertifika ve diplomalara ait detaylar, Sertifikalar, Dil bilgisi vb.”
Görsel Veri; “Vesikalık fotoğraf, Kamera kaydı.”
Mevcut İş Bilgisi; “Çalışılan iş yeri bilgisi, İş ünvanı, CV, Aday başvuru formları.“

Taşeron Çalışanlarına Ait Kişisel Veri Kategorileri

Kimlik Bilgisi; “Ad Soyad, Nüfus cüzdanı fotokopisi, Ehliyet fotokopisi,”
İletişim Bilgisi; “Telefon numarası, Açık adres bilgisi, E-posta adresi.”
Finansal Bilgi; “Aylık maaş dekontları, Sigorta primi ödeme bilgileri.”
Özel Nitelikli Kişisel Veri; “Sabıka kaydı, İşe giriş muayene formu.
Diğer; “İş sözleşmeleri, Mesai süreleri, Ruhsat fotokopisi, İSG eğitim belgesi, SGK tedarikçi firmada işe giriş formu.”

İş Ortağı/Tedarikçi Çalışanlarına Ait Kişisel Veri Kategorileri

Kimlik Bilgisi; “Ad Soyad, TC kimlik numarası, Nüfus cüzdanı fotokopisi, Ehliyet fotokopisi.”
İletişim Bilgisi; “Telefon numarası, E-posta adresi
İş ortağı/ Tedarikçi olarak; OSGB personeli (iş yerinde tam zamanlı çalışmayan iş yeri hekimi, iş güvenliği uzmanı, var ise sağlık personeli), yazılım firmalarının bakım-onarım için gönderdiği çalışanlar, elektrik firması çalışanları, teknik onarım firması çalışanları vb. sınıflar olabilir.

Verbis

Veri Sorumluları Sicili Hakkında Yönetmelik, Veri Sorumluları Sicilinin çevrim içi (online) bir sistem üzerinde tutulmasını öngörmektedir. Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumluları; kişisel veri envanterleri ve irtibat kişileri ile ilgili bilgileri VERBİS’e yükleyerek Veri Sorumluları Siciline kaydolabilmektedir. Bu kapsamda Akkaş Hukuk ve Avukatlık Bürosu Kişisel Veri Hukuku Avukatı Ekibimiz tarafından veri sorumlusu müvekkillerimize sicile kayıt hakkında hukuki destek ve danışmanlık hizmetleri sunulmaktadır.

Veri Sorumluları Siciline Kayıt Zorunluluğu

Kişisel verilerin korunmasını sağlamak ve gözetmek ve kanunda öngörülen amaçların gerçekleşmesini sağlamak amacıyla kanun tarafından kurulmuş olan Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından 30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan ve 01.01.2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) uyarınca Veri Sorumluları Siciline (VERBİS) nasıl kayıt olunacağı detaylı bir şekilde açıklanmıştır.

Sicile kayıt süresi ise yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için 30.06.2020 tarihine kadar uzatılmıştır. Bu tarihe kadar kayıt yaptırılmaması halinde ise 6698 Sayılı Kanunun 18 inci maddesinin (ç) bendi uyarınca, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulunca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hükmü düzenlenmiştir. Akkaş Hukuk Bürosu olarak, Kişisel Verilerin Korunması Avukatı Ekibimiz, VERBİS’e kayıt yükümlülüğü bulunan müvekkillerimize kayıt için hukuki danışmanlık hizmeti sunulmaktadır. Bu nedenle aşağıda Veri Sorumluları Siciline kayıt olma yükümlülükleri ile Yönetmelik ile getirilen ek yükümlülükler kısaca açıklanmaktadır;

  1. KVKK m.16’ya uyarınca kişisel veri işleyen gerçek ve tüzel kişiler, Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Kişisel veri, herhangi bir gerçek kişi ile ilgili her türlü veriyi ifade etmekte olup, otomatik veya yarı-otomatik yollarla veya otomatik olmasa da bir veri kayıt sistemi (örneğin elle tutulan bir kayıt defteri veya bir dosyalama sistemi) aracılığı ile kişisel verileri toplayan veya bunlar üzerinde herhangi bir işlem yapan tüm özel hukuk gerçek veya tüzel kişileri ile kamu otoritelerinin kendilerini Veri Sorumluları Siciline kaydettirmeleri gerekmektedir.
  2. Ayrıca Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının ilgili Yönetmelik uyarınca “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir. Kişisel veri envanteri veri sorumlusunun, kaydettiği bir başka deyişle elinde bulundurduğu tüm kişisel verileri ve bu verileri hangi amaçla, hangi araçla topladığı ve işlediği, ne kadar süre ile saklayacağı/muhafaza edeceği hususlarını bir çizelge halinde göstermektedir.
    Bu kapsamda Kişisel Verilerin Korunması Hukuku Avukatı Ekibimiz tarafından müvekkillerimizin kişisel veri envanterini hazırlamak için örneğin bir şirket olan müvekkilimize ait şirket bünyesinde öncelikle detaylı bir çalışma yapmakta, veri sorumlusu olan müvekkilimizin kişisel verilere dokundukları tüm süreçleri yapılan detaylı inceleme ve değerlendirme sonucunda ortaya çıkarmaktayız.
    Bu süreçler ortaya çıkartıldıktan sonra, envantere Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri belirleyerek işlemekteyiz.
  3. Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır. Söz konusu irtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. 6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil bu tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz. İrtibat kişisinin ise, verisi işlenen kişilerden gelen şikayet ve talepleri veri sorumlusuna iletme, veri sorumlusunun da bu şikayet ve talepleri değerlendirdikten sonra cevabını irtibat kişisi aracılığı ile ilgili kişilere iletme yükümlüğü bulunmaktadır.
  4. Veri sorumlusu eğer yurt dışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.
  5. Yurt dışında yerleşik tüzel kişi veri sorumluları, veri sorumlusu temsilcisi atadığına dair bir karar almalı ve kararın tasdikli örneğini bu veri sorumlusu temsilcisi aracılığıyla Kuruma sunmalıdır. Bu kararda, veri sorumlusu temsilcisinin Yurt dışında yerleşik veri sorumlusu adına VERBİS’e ilişkin iş ve işlemleri yapmak görevinin yanı sıra ilgili kişilerce yapılacak başvurular veya Başkanlığımızla yapılacak tebligat ve yazışmalar konusunda iletişimi kurma görev ve yetkisi olduğuna dair bilgiler yer almalıdır.

İstanbul Kişisel Verilerin Korunması Avukatı için Bize Ulaşın

İstanbul‘da çalışmalarına devam eden Akkaş Hukuk ve Avukatlık Bürosu‘na ve İstanbul kişisel verilerin korunması avukatı kadromuza İletişim sayfamızdan ulaşabilirsiniz.