Ulusal Egemenlik ve Çocuk Bayramımızın 102.yıldönümünde ülkemizin ve dünyamızın geleceği çocuklarımızın Kişisel ve özel nitelikli kişisel verilerinin Avrupa Birliği Tüzüğüne göre nasıl korunduğu başta olmak üzere veri koruma tüzüğündeki temel kavramları da detaylı olarak değerlendireceğimiz webinarımıza katılmanızı bekliyoruz.
Kişisel verilerin korunmasına yönelik ilk ulusal hukuk düzenlemeleri;
- 1970 yılında Almanya,
- 1973 yılında İsveç
- 1974 ABD’de yapılan yasa metinleri olarak ifade edilmektedir.
1970’li yıllarda yapılan bu ulusal düzenlemelere paralel olarak 1980’li yıllardan itibaren, başta İktisadi İşbirliği ve Kalkınma Teşkilatı’nın (OECD) kılavuz ilkeleri ve Avrupa Konseyi’nin kişisel verilerin otomatik işlenme karşısında korunması hakkındaki sözleşmesi olmak üzere, uluslararası hukuk belgelerinde kişisel verilerin korunması hakkı kabul edilmiştir.
AB’de 1995 yılında yürürlüğe giren 95/46/AT sayılı AB Veri Koruma Direktifi kişisel verilerin korunması alanında tüm dünyada kabul gören bir çerçeve sunmuştu. Fakat; Sosyal ağlar, bulut bilişim, büyük veri analizi, lokasyon bazlı hizmetler ve akıllı kart gibi teknolojik gelişmeler sonucunda; Avrupa Komisyonu tarafından üye ülkelerde uygulanmakta olan AB veri koruma kurallarında, Veri Koruma Direktifinde benimsenen ilkelerin modernize edilmesi ve gelecekte vatandaşların mahremiyet hakkının garanti altına alınması amacıyla, kapsamlı bir reforma gidilmiştir. Bu kapsamda, AB veri koruma kurallarında köklü bir reformu ihtiva eden “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır.
Maastricht Üniversitesinden Veri Koruma Görevlisi (DPO) sertifikasına sahip katılımcımız ile;
- Veri Koruma tüzüğünün kapsamı,
- Veri koruma tüzüğündeki temel tanımlar ve kavramlar,
- Veri koruma tüzüğündeki ana karakterler,
- Roller ve sorumluluklar
- İlkeler ve yükümlükler
SORU-CEVAP
Veri Koruma Görevlisinin veri sorumlusuna yaptırım yetkisi var mıdır?
DPO dediğimiz kişiler, otoritenin seçtiği yada otoritenin gönderdiği kişiler değildir. DPO HR birimi tarafından sektörel deneyim de göz önünde bulundurularak atanır. DPO göreve başladıktan sonra, uyumluluk projesinde yapılması gereken görevleri metedoloji dahilinde içerde uyumlu hale getirtmekle yükümlüdür. DPO nun bir yaptırımı olamaz. DPO kuralları uygulamak ve uygulalatmaktan sorumlu bir kişidir. DPO, Kuruma öneride bulunur, prosessleri ekibi ile beraberce inceleyip gerekli analizleri yapar. İşlemler yapıldıktan sonrada veri koruma el kitabı hazırlar.
GDPR da Veri Koruma otoritesine beyan zorunluluğu var mıdır?
Eğer 250 nin üzerinde çalışan sayınız var ise veri işleme aktivitelerinizin otorite nezdinde kayda alınması gerekmektedir. İşlediğiniz bilgilerin otoritenin veri bankasında bulunması gerekmektedir.
GDPR’da çocuklara yapılacak aydınlatma kriterleri tanımlanmış mıdır?
En önemli konu çocukların yaşı, 16 yaş ve altı için ebeveyn izni gerekmektedir. 16 yaş üstü ise kendisi izin verebilmektedir. Veri sorumlusu firmaların müşteri arasında çocuk yaşında gerçek kişiler var ise veri koruma politikalarına bu konu ile ilgili bir açıklama koyabilirler.
GDPR’da Ebeveyn kontrolü için doğrulama nasıl yapılmaktadır?
GDPR içerisinde teknik ve organizasyonel önlemler adı altında bir tasarım oluşturulması gerekmektedir. Bu tasarım içerisinde çocuklar ile ilgili bölümde ebeveyn doğrulama için özel bir tasarım yapmak gerekmektedir. Bilişim ekibi ile nasıl bir yöntem ile 16 yaşın altındakiler için veli/vasisinden onay alınması mekanizmasına karar verilmesi gerekmektedir. Bu onay mekanizması için farklı üretici ve çözümler bulunmaktadır. Veri sorumlusunun müşteri sayısına bağlı olarak e-mail yada SMS yolu ile doğrulama yapılabilir. GDPR makul teknolojik araçlar kullanarak temel ilkelere uygun prosesslerinizi yönetin demektedir. Bu kapsamda bir yöntem belirlenmesi gerekir.
Türkiye'de hangi şirketlerin GDPR yükümlülüğü var?
Türkiye’de bulunan yerli firmalar GDPR kapsamındaki firmalara ile iş yapıyor ise GDPR kapsamına girmektedir. Avrupa birliği ülkelerine ürün ve hizmet pazarlayan tüm firmalarımızın bu kapsamda yükümlülükleri bulunmaktadır.
GDPR’nin uygulama alanı Tüzük’ün 3. maddesi ile düzenlenmiş olup AB sınırları içerisinde faaliyet gösteren veri kontrolörleri ile işleyicilerinin faaliyetleri kapsamında gerçekleştirdikleri kişisel veri işlemeleri bakımından, işlemenin birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, GDPR hükümleri uygulanmaktadır.
Erdem Eriş
CyberArts
Kurucu & CEO
Hakan Hasşerbetçi
GDPR ve DPO Eğitmeni
Gülhan Coşkun
CyberArts
Kıdemli Danışman
