Kişisel Verilerin Korunmasına Uyum Sürecinde Yanınızdayız

Kişisel Verilerin Korunması Bilgilendirme ve Eğitim

Veri sorumlularını bekleyen süreçte her çalışanın sürecin farkında olması ve bulunduğu pozisyona göre sorumluluklarını bilmesi gerekir
Kişisel verilerin korunması konusunda Kişisel Verileri Koruma Görevlisi (Data Protection Office) atanmalı ve gerekli eğitimleri almalıdır. Mevzuata uyum sürecinde ve sonrasında süreç değişikliklerinde mevzuatın gözetilmesi, başvuruların cevaplanması, Kurum ile yapılacak iletişimin koordine edilmesinde merkezde olacaktır.
Kişisel verileri toplayan çalışanların kişisel verilerin toplanması sürecinde ne yapmaları ya da ne yapmamaları konusunda bilgilendirilmesi gerekir. Kendi hakları konusunda bilgi sahibi olan çalışan işvereninin haklarını koruma konusunda da daha başarılı olacaktır.
İnsan kaynaklarında işe başvuru, işe alınma, çalışma hayatı ve işten ayrılma dönemlerinde her zaman kişisel veri işlenmektedir. Türk yargısı ve AİHM içtihadlarına uygun olacak şekilde kişisel verilerin işlenmesi uzun vadede çalışanlarınızın memnuniyetini arttıracak ve toplam maliyetinizi azaltacaktır.
Yönetim kademesi çalışanları kişisel verilerin işlenmesi ile ilgili kararlar alırken kılı kırk yarmaları gerekir. Adli ve idari yaptırımlar hem kurumlara itibar kaybettirir hem de para. Doğru kararları almak için doğruları öğrenmek gerekir.

Kişisel Veri İşleme Sürecinin Planlanması

Her veri sorumlusu işlediği kişisel verilerin toplama kararının alınmasından silinmesine kadar olan süreci planlamalıdır
Kişisel verilerin işlenmesi, tüm iş süreçlerinde olduğu gibi bir amaç ve kararla başlar. İstenilen amaca ulaşmak için gerektiği kadar kişisel veri gerekli yöntemlerle toplanmalı, gerekli olan süre kadar saklanmalı ve sonrasında da silinmelidir. Kişisel verilerin korunmasındaki en önemli prensiplerden biri gerektiği kadar yani yeterli olacak kadar kişisel verinin işlenmesidir. Fazlası çok farklı sorunlara yol açabilecektir.
Gerçek iş ortamında çeşitli projelerde edindiğimiz tecrübelerle her aşamada gerekli olan sınırın tespit edilmesini ve sürecin her aşamasının mevzuata ve ihtiyaçlarınıza uygun geliştirilmesinde yardımcı oluyoruz.

Kişisel Veri İşleme Envanterinin Hazırlanması

Mevzuata göre VERBİS'e kayıtla yükümlü veri sorumluları işlemiş oldukları kişisel verilerin envanterini çıkarmak zorundadır.
Kişisel veri işleme envanteri salt teknik bir envanter değildir. İşlenen kişisel veri kategorilerinin tespiti ile işlem bitmemekte asıl sorun işlenen kişisel verilerin ne kadar süre ile saklanacağına, nasıl silineceğine ya da nasıl anonim hale getirileceğine karar vermekten geçiyor.
Kişisel veri işleme envanteri salt hukuki bir metin de değildir. Azami saklama sürelerinin tespitinde meşru menfaatlerin tespiti yapılan işin ve tutulan verinin yapılan iş ile ilgisinin tespiti ile sağlanabilir. Bazı durumlar o kadar zordur ki bir hukukçu ile bir veri uzmanının konuşması bile sorunu çözemeyebilir. En zor şeyin soru sormak olduğu akıldan çıkartılmamalıdır. Neyi sorması gerektiğini bilmeyen doğru cevaba da ulaşamaz. Biz iki farklı bilgi havuzu arasında iletişim sağlamıyoruz. Tüm bilgilerimiz tek havuzda tamamen kaynaşmış durumda. Soru sorma ihtiyacımız yok çünkü soruyu da cevabı da biliyoruz.

VERBİS'e Kayıt

Veri Sorumluları Sicili'ne kayıttan muaf tutulmayan veri sorumluları süresi içinde kayıt olmak zorundadır.
VERBİS sistemine kayıt için süre tükeniyor. Şirketler için süre 31 Aralık 2019'da sona erecek.
VERBİS'e kayıt veri sorumlularının veya varsa temsilcilerinin yapması gereken bir işlem. VERBİS'e kayıdı sizin adınıza yapamayacağız ama nasıl yapacağınızı söylüyor olacağız. Hatta gerekirse kayıt sırasında da yanınızda olacağız.
Unutmamak gerekir ki VERBİS'e kayıtla ilgili hatalarda Kurul'un bir milyon TL'ye kadar adli para cezası verme tehlikesi var.

Aydınlatma Yükümlülüğünün Yerine Getirilmesi

Veri sorumluları açık rızanın gerekmediği zamanlarda bile aydınlatma yükümlülüğünü yerine getirmek zorundadırlar
Kanun, veri sorumlularını çok az durumda aydınlatma yükümlülüğünden muaf tutmuştur. Mevzuata uygun işlediğiniz kişisel veriler için açık rıza almanız gerekmeyen bir çok durumda bile aydınlatma yükümlülüğü bulunmaktadır.
Aydınlatma metinleri bankalarla imzalanan sözleşmeler gibi olmamalıdır. Bir paragrafın mevzuata uygun olması ama bir okuyuşta anlaşılmaması için hukukçuların günlerce uğraştığı metinler veri sorumlularını, basit ve açıklayıcı cümlelerden oluşan bir metinden daha fazla koruyamaz. Hatta muhatabın bilgi eksikliğinden yararlanma amacı sebebiyle dürüstlük kuralına aykırı bile kabul edilebilir.
Biz basit, herkesin bir okuyuşta anlayabileceği, ağdalı cümleler içermeyen ama veri sorumlusunun haklarını sonuna kadar koruyan metinler düzenliyoruz. Bu yöntem sonuçta başvuruların azalmasına, ihlal iddialarında veri sorumlusunun elinin güçlenmesine, yargı aşamasında hakimlerin güvenini kazanmasına sebep olur. Ve nihayetinde de maliyetinizi azaltırsınız.

Açık Rızanın Alınması

Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez
Açık rızanın alınmasında en büyük sorun veri sorumlusuna düşen ispat yüküdür. Açık rızanın alınmasında hangi yöntemin kullanılacağı ve ispat gücü doğru değerlendirilmelidir. Veri sorumlusuna gereksiz maliyetler yüklemek nasıl yanlışsa ucuz yöntemlerle veri sorumlusunun ispat gücünü düşürmek de o kadar yanlıştır. İlgili kişinin konumuna, yaşına, bilgisine göre doğru açık rıza yönteminin tercih edilmesi gerekir. Rıza alınırken ilgili kişinin zaaflarından yararlanacak yöntemler alınan rızayı da geçersiz kılacaktır. Bu konudaki kararın teknik ve hukuki bir değerlendirme sonucu alınması gerekir.
Bilgi ve deneyimimizle sizin için doğru yöntemleri öneriyoruz ve hayata geçirilmesi sürecinin her aşamasında da yanınızda oluyoruz.

Kişisel Verilerin Paylaşılması

Veri sorumluları kişisel verileri başkaları ile paylaşırken hem kişisel verilerin hem de kendisinin güvenliğini düşünmelidir.
Kişisel verilerin başkaları ile paylaşılmasının gerekliliği yadsınamaz. Ancak bu paylaşımların ilgili kişilerin haklarını ihlal etmeden ve veri sorumlusunun çıkarlarını koruyarak yapılması gerekir.
Veri sorumlusu-veri sorumlusu ve veri sorumlusu-veri işleyen ilişkilerinde kişisel verileri karşı tarafa ileten veri sorumlusu hem muhatabını seçerken hem de kişisel verilerin paylaşımı ile ilgili sözleşme yaparken çok dikkatli olmak zorundadır. Gereksiz kişisel veri paylaşımları gereksiz riskler doğuracaktır. Saklanan kişisel verilerin ilgili kişilerin korunması gereken menfaati olduğu unutulmadan azami güvenlik tedbirleri ile paylaşılmalı ve olabilecek sorunlar konusunda sözleşmede ayrıntılı düzenlemeler yapılmalıdır. Bazı teknik cümleler taraflardan birinin menfaatini beklemediği şekilde etkileyebilir.
Sözleşmelerin düzenlenmesinde ve kişisel verilerin paylaşımındaki faydaların ve olabilecek zararların tespitinin uzmanlarca yapılması gerekir. Bazen hiç bir sözleşmenin veri sorumlusunu koruyamayacağı unutulmamalıdır. Bu durumda doğru olan risk almak yerine paylaşmamaktır.
Veri paylaşmanız gerektiğinde riskler konusunda sizi uyarıyoruz ve paylaşımın yöntemini ve kapsamını belirlemenizde yardımcı oluyoruz. Sözleşmelerde de maksimum koruma sağlıyoruz.

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi

İşlenme şartları ortadan kalkan kişisel veriler artık veri sorumlusu tarafından işlenemez.
Kişisel veriler sonsuza kadar saklanamaz. Bir mevzuat gereği, sözleşmenin ifası gereği ya da ilgili kişinin açık rızası ile işlenen kişisel veriler için bu şartların ortadan kalkması durumunda işlenmesinin durdurulması gerekir. En basit yöntem silmek ise de bazı durumlarda silme işlemi gerçekleştirilemez. Örneğin tek yazımlık CD veya DVD ortamlarındaki kişisel veriler silinemez. Ya da kağıt ortamında tutulan formlar ve listeler de silinemez. Bunların yok edilmesi gerekir. Bazı kişisel veriler ise ilgili kişi ile olan bağlantısı kopartılarak kullanılabilir. Anonim hale getirme denilen bu yöntemde anonim hale getirilen verinin hiç kimse tarafından kimle ilgili olduğunun tespit edilememesi gerekir.
Kişisel Verileri Saklama ve İmha Politikası yönetmelikle getirilen zorunlu bir belgedir. Azami saklama süreleri ve imha politikaları bu belgede bulunmak zorundadır. Kişisel Veri İşleme Envanteri'ne sadık kalarak hazırlanması gereken teknik ve hukuki bir belgedir.
Hangi yönteme karar verilmesi iş süreçlerini etkileyen teknik ve hukuki değerlendirme ile yapılmalıdır.
Silme, yok etme ve anonim hale getirilmesi kararlarının yöntemleri ve sonuçları hakkında size yardımcı oluyoruz.

Başvuruların Yönetilmesi

İlgili kişi Kanun'da yazan haklarını kullanmak için veri sorumlusuna başvurabilir. Veri sorumlusu en kısa sürede ve en çok 30 gün içinde cevap vermelidir.
Kişisel Verilerin Korunması Kanunu'nun amacı kişilerle ilgili verilerin korunmasıdır. Bunun doğal sonucu olarak işlenen kişisel verilerin ilgili olduğu kişinin hakları vardır ve bu hakları kullanma usulü Kanun'da düzenlenmiştir. İlgili kişinin haklarını kullanmasının ilk aşaması veri sorumlusuna başvurmasıdır. Başvurudan sonra veri sorumlusunun cevaplama mekanizmasının çalışmaya başlaması gerekir. Doğru ve yeterli cevabı verebilmek için hem teknik hem de hukuki bilgi gerekir. Yapılan kişisel veri işlemeler teknik de olsa sonuçları hukukidir. Başvuruya verilecek cevabın ilgili kişi tarafından yetersiz bulunması ya da yanlış yorumlanması kişinin Kurum'a şikayet etmesine sebep olabilir.
Kişisel verilerin işlenmesinde mevzuata uymak ana ilke olsa da bazı durumlarda hukuka aykırılığın gerçekleşmesi mümkündür. Bu durumda tek seçenek Kurum'a şikayetin beklenilmesi ve buna göre pozisyon alınması değildir. İlgili kişinin tatmin edilmesi şikayeti de ceza ihtimalini de ortadan kaldıracaktır. Ancak tüm bunlara rağmen Kurum'a şikayet edildiğinde veri sorumlusunun savunmasının makul ve kabul edilebilir olmasını sağlamak gerekir.
Hukuk ve teknik bilgi kapasitemizle oluşabilecek daha sorunlar için baştan uyarıyoruz ancak sorun gerçekleştiğinde de en az zararla atlatabilmeniz için yardımcı oluyoruz.

Bu hizmet Av. Hasan Selçuk Turan yönetimindeki ekip tarafından verilmektedir.

20 yılı aşkın bilgi teknolojileri tecrübesiyle yoğrulmuş hukuk tecrübesi
Kişisel verilerin korunması hukuku özel bir alandır. Kanun metninde dahi bir çok teknik terim bulunmakta, çıkartılan yönetmeliklerle teknik terimlerin sayısı artmaktadır. Veri sorumlusunun kişisel veri işlemeleri teknik işlemlerdir. Hukuki açıdan doğru değerlendirebilmek için teknik bilginin de gerekli olduğu açıktır. Genel olarak bir hukukçu uzman + bir teknik uzman ile çözüm bulunmaya çalışılmaktadır. Ancak bilgileri ve tecrübeleri farklı alanlarda olan kişilerin birbirleri ile anlaşmaları ve sorunlara doğru optimum çözümleri bulmaları kolay bir süreç değildir. Teknik uzmanlara hukuk eğitimi verilmesi ya da hukukçu kişilere teknik eğitim verilmesi sorunları azaltsa da %100 başarı sağlamaları çok zordur.
Kişisel verilerin korunması ile ilgili eğitimlere bakıldığında, sanki iki farklı konu anlatılıyormuş gibi eğitimin bölümleri farklı özelliğe sahip kişiler tarafından anlatılmaktadır. Oysa ki anlatılan konu teknik ve hukuk bölümleri ayrı ayrı olan bir konu değil, teknik ve hukuki ayrıntıları olan tek konudur.
Av. Hasan Selçuk Turan
Eğitim
1979-1986 Tarsus Amerikan Lisesi
1986-1992 Boğaziçi Üniversitesi Bilgisayar Mühendisliği
2010-2013 Doğuş Üniversitesi Hukuk Fakültesi
2011-2013 Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Yüksek Lisans Programı
İş Tecrübesi
1998-2013 Bimeks, Bilgi İşlem Müdürü, Bilgi Teknolojileri Direktörü
Mart 2015 Serbest Avukat
2013-2017 Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Yüksek Lisans Programına Öğretim Görevlisi (ITL556 Bilgi ve İletişim Teknolojileri Temel Kavramlar Dersi)
Ocak 2016-Halen Yeminli bilirkişi
İstanbul Bölgesi Bilirkişi
Adli bilişim ve bilişim alanında
İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı
Ocak 2019 - Halen bu görevde
Daha fazla bilgi için tıklayınız.

Alınacak Hizmetin Kapsamına Göre Makul ve Farklı Ücretlendirme Politikası

Her veri sorumlusunun kişisel veri büyüklüğü ve mali gücü aynı değil. Bunun farkındayız.
Veri sorumlusunun gerçek ihtiyaçlarına göre yapılacak işler listesi çıkardıktan sonra veri sorumlusunun talep ettiği hizmetler için talep edilecek tutarı belirliyoruz. Veri sorumlusunun faaliyet alanı, kişisel verilerin işlenmesindeki amaçlar ve ilgili kişilerin durumlarına göre maliyet ayarlaması yapıyoruz. Kamu yararına çalışan kurumlar için kar amacı gütmüyoruz. Bazı kurumlar için maliyetin bir kısmına da biz katlanıyoruz.
Verilen hizmetin yerinde olmasına, e-posta ya da telefonla verilmesine göre de fiyat ayarlaması yapıyoruz. İstenirse hizmeti proje bazında, aylık ya da çağrı başına da fiyatlandırıyoruz.
Unutmamak lazım ki bazen en ucuz görünen seçenek uzun vadede an pahalı seçin olabilir.

Hemen şimdi bizimle iletişime geçin ve durumunuzu değerlendirip doğru çözümü minimum maliyetle önerelim.