Kişisel Verilerin Korunmasına Uyum Sürecinde Yanınızdayız

Kişisel Verilerin Korunması Bilgilendirme ve Eğitim

Veri sorumlularını bekleyen süreçte her çalışanın sürecin farkında olması ve bulunduğu pozisyona göre sorumluluklarını bilmesi gerekir
Kişisel verilerin korunması konusunda Kişisel Verileri Koruma Görevlisi (Data Protection Office) atanmalı ve gerekli eğitimleri almalıdır. Mevzuata uyum sürecinde ve sonrasında süreç değişikliklerinde mevzuatın gözetilmesi, başvuruların cevaplanması, Kurum ile yapılacak iletişimin koordine edilmesinde merkezde olacaktır.
Kişisel verileri toplayan çalışanların kişisel verilerin toplanması sürecinde ne yapmaları ya da ne yapmamaları konusunda bilgilendirilmesi gerekir. Kendi hakları konusunda bilgi sahibi olan çalışan işvereninin haklarını koruma konusunda da daha başarılı olacaktır.
İnsan kaynaklarında işe başvuru, işe alınma, çalışma hayatı ve işten ayrılma dönemlerinde her zaman kişisel veri işlenmektedir. Türk yargısı ve AİHM içtihadlarına uygun olacak şekilde kişisel verilerin işlenmesi uzun vadede çalışanlarınızın memnuniyetini arttıracak ve toplam maliyetinizi azaltacaktır.
Yönetim kademesi çalışanları kişisel verilerin işlenmesi ile ilgili kararlar alırken kılı kırk yarmaları gerekir. Adli ve idari yaptırımlar hem kurumlara itibar kaybettirir hem de para. Doğru kararları almak için doğruları öğrenmek gerekir.

Kişisel Veri İşleme Sürecinin Planlanması

Her veri sorumlusu işlediği kişisel verilerin toplama kararının alınmasından silinmesine kadar olan süreci planlamalıdır
Kişisel verilerin işlenmesi, tüm iş süreçlerinde olduğu gibi bir amaç ve kararla başlar. İstenilen amaca ulaşmak için gerektiği kadar kişisel veri gerekli yöntemlerle toplanmalı, gerekli olan süre kadar saklanmalı ve sonrasında da silinmelidir. Kişisel verilerin korunmasındaki en önemli prensiplerden biri gerektiği kadar yani yeterli olacak kadar kişisel verinin işlenmesidir. Fazlası çok farklı sorunlara yol açabilecektir.
Gerçek iş ortamında çeşitli projelerde edindiğimiz tecrübelerle her aşamada gerekli olan sınırın tespit edilmesini ve sürecin her aşamasının mevzuata ve ihtiyaçlarınıza uygun geliştirilmesinde yardımcı oluyoruz.

Kişisel Veri İşleme Envanterinin Hazırlanması

Mevzuata göre veri sorumlusu 1 Ocak 2018'den itibaren işlemiş olduğu kişisel verilerin envanterini çıkarmak zorundadır.
Her ne kadar Veri Sorumluları Sicili Hakkında Yönetmelik'le getirilen Kişisel Veri İşleme Envanteri düzenlemesinin hukuka aykırı olduğunu düşünsek de gereksiz olmadığını biliyoruz ve gücü yeten veri sorumlularına oluşturmalarını öneriyoruz.
Kişisel veri işleme envanteri salt teknik bir envanter değildir. İşlenen kişisel veri kategorilerinin tespiti ile işlem bitmemekte asıl sorun işlenen kişisel verilerin ne kadar süre ile saklanacağına, nasıl silineceğine ya da nasıl anonim hale getirileceğine karar vermekten geçiyor.
Kişisel veri işleme envanteri salt hukuki bir metin de değildir. Azami saklama sürelerinin tespitinde meşru menfaatlerin tespiti yapılan işin ve tutulan verinin yapılan iş ile ilgisinin tespiti ile sağlanabilir. Bazı durumlar o kadar zordur ki bir hukukçu ile bir veri uzmanının konuşması bile sorunu çözemeyebilir. En zor şeyin soru sormak olduğu akıldan çıkartılmamalıdır. Neyi sorması gerektiğini bilmeyen doğru cevaba da ulaşamaz. Biz iki farklı bilgi havuzu arasında iletişim sağlamıyoruz. Tüm bilgilerimiz tek havuzda tamamen kaynaşmış durumda. Soru sorma ihtiyacımız yok çünkü soruyu da cevabı da biliyoruz.

VERBİS'e Kayıt

Veri Sorumluları Sicili'ne kayıttan muaf tutulmayan veri sorumluları süresi içinde kayıt olmak zorundadır.
VERBİS sistemi henüz hazır değil. Hazır olduğunda biz de hazır olacağız.
VERBİS'e kayıt veri sorumlularının veya varsa temsilcilerinin yapması gereken bir işlem. VERBİS'e kayıdı sizin adınıza yapamayacağız ama nasıl yapacağınızı söylüyor olacağız. Hatta gerekirse kayıt sırasında da yanınızda olacağız.
Unutmamak gerekir ki VERBİS'e kayıtla ilgili hatalarda Kurul'un bir milyon TL'ye kadar adli para cezası verme tehlikesini unutmamak gerekir.

Aydınlatma Yükümlülüğünün Yerine Getirilmesi

Veri sorumluları açık rıza almak zorunda olmasalar da aydınlatma yükümlülüğünü yerine getirmek zorundadırlar
Kanun, veri sorumlularını çok az durumda aydınlatma yükümlülüğünden muaf tutmuştur. Mevzuata uygun işlediğiniz kişisel veriler için açık rıza almanız gerekmeyen bir çok durumda bile aydınlatma yükümlülüğü bulunmaktadır.
Aydınlatma metinleri bankalarla imzalanan sözleşmeler gibi olmamalıdır. Bir paragrafın mevzuata uygun olması ama bir okuyuşta anlaşılmaması için hukukçuların günlerce uğraştığı metinler veri sorumlularını, basit ve açıklayıcı cümlelerden oluşan bir metinden daha fazla koruyamaz. Hatta muhatabın bilgi eksikliğinden yararlanma amacı sebebiyle dürüstlük kuralına aykırı bile kabul edilebilir.
Biz basit, herkesin bir okuyuşta anlayabileceği, ağdalı cümleler içermeyen ama veri sorumlusunun haklarını sonuna kadar koruyan metinler düzenliyoruz. Bu yöntem sonuçta başvuruların azalmasına, ihlal iddialarında veri sorumlusunun elinin güçlenmesine, yargı aşamasında hakimlerin güvenini kazanmasına sebep olur. Ve nihayetinde de maliyetinizi azaltırsınız.

Açık Rızanın Alınması

Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez
Açık rızanın alınmasında en büyük sorun veri sorumlusuna düşen ispat yüküdür. Açık rızanın alınmasında hangi yöntemin kullanılacağı ve ispat gücü doğru değerlendirilmelidir. Veri sorumlusuna gereksiz maliyetler yüklemek nasıl yanlışsa ucuz yöntemlerle veri sorumlusunun ispat gücünü düşürmek de o kadar yanlıştır. İlgili kişinin konumuna, yaşına, bilgisine göre doğru açık rıza yönteminin tercih edilmesi gerekir. Rıza alınırken ilgili kişinin zaaflarından yararlanacak yöntemler alınan rızayı da geçersiz kılacaktır. Bu konudaki kararın teknik ve hukuki bir değerlendirme sonucu alınması gerekir.
Bilgi ve deneyimimizle sizin için doğru yöntemleri öneriyoruz ve hayata geçirilmesi sürecinin her aşamasında da yanınızda oluyoruz.

Kişisel Verilerin Paylaşılması

Veri sorumluları kişisel verileri başkaları ile paylaşırken hem kişisel verilerin hem de kendisinin güvenliğini düşünmelidir.
Kişisel verilerin başkaları ile paylaşılmasının gerekliliği yadsınamaz. Ancak bu paylaşımların ilgili kişilerin haklarını ihlal etmeden ve veri sorumlusunun çıkarlarını koruyarak yapılması gerekir.
Veri sorumlusu-veri sorumlusu ve veri sorumlusu-veri işleyen ilişkilerinde kişisel verileri karşı tarafa ileten veri sorumlusu hem muhatabını seçerken hem de kişisel verilerin paylaşımı ile ilgili sözleşme yaparken çok dikkatli olmak zorundadır. Gereksiz kişisel veri paylaşımları gereksiz riskler doğuracaktır. Saklanan kişisel verilerin ilgili kişilerin korunması gereken menfaati olduğu unutulmadan azami güvenlik tedbirleri ile paylaşılmalı ve olabilecek sorunlar konusunda sözleşmede ayrıntılı düzenlemeler yapılmalıdır. Bazı teknik cümleler taraflardan birinin menfaatini beklemediği şekilde etkileyebilir.
Sözleşmelerin düzenlenmesinde ve kişisel verilerin paylaşımındaki faydaların ve olabilecek zararların tespitinin uzmanlarca yapılması gerekir. Bazen hiç bir sözleşmenin veri sorumlusunu koruyamayacağı unutulmamalıdır. Bu durumda doğru olan risk almak yerine paylaşmamaktır.
Veri paylaşmanız gerektiğinde riskler konusunda sizi uyarıyoruz ve paylaşımın yöntemini ve kapsamını belirlemenizde yardımcı oluyoruz. Sözleşmelerde de maksimum koruma sağlıyoruz.

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi

İşlenme şartları ortadan kalkan kişisel veriler artık veri sorumlusu tarafından işlenemez.
Kişisel veriler sonsuza kadar saklanamaz. Bir mevzuat gereği, sözleşmenin ifası gereği ya da ilgili kişinin açık rızası ile işlenen kişisel veriler için bu şartların ortadan kalkması durumunda işlenmesinin durdurulması gerekir. En basit yöntem silmek ise de bazı durumlarda silme işlemi gerçekleştirilemez. Örneğin tek yazımlık CD veya DVD ortamlarındaki kişisel veriler silinemez. Ya da kağıt ortamında tutulan formlar ve listeler de silinemez. Bunların yok edilmesi gerekir. Bazı kişisel veriler ise ilgili kişi ile olan bağlantısı kopartılarak kullanılabilir. Anonim hale getirme denilen bu yöntemde anonim hale getirilen verinin hiç kimse tarafından kimle ilgili olduğunun tespit edilememesi gerekir.
Kişisel Verileri Saklama ve İmha Politikası yönetmelikle getirilen zorunlu bir belgedir. Azami saklama süreleri ve imha politikaları bu belgede bulunmak zorundadır. Kişisel Veri İşleme Envanteri'ne sadık kalarak hazırlanması gereken teknik ve hukuki bir belgedir.
Hangi yönteme karar verilmesi iş süreçlerini etkileyen teknik ve hukuki değerlendirme ile yapılmalıdır.
Silme, yok etme ve anonim hale getirilmesi kararlarının yöntemleri ve sonuçları hakkında size yardımcı oluyoruz.

Başvuruların Yönetilmesi

İlgili kişi Kanun'da yazan haklarını kullanmak için veri sorumlusuna başvurabilir. Veri sorumlusu en kısa sürede ve en çok 30 gün içinde cevap vermelidir.
Kişisel Verilerin Korunması Kanunu'nun amacı kişilerle ilgili verilerin korunmasıdır. Bunun doğal sonucu olarak işlenen kişisel verilerin ilgili olduğu kişinin hakları vardır ve bu hakları kullanma usulü Kanun'da düzenlenmiştir. İlgili kişinin haklarını kullanmasının ilk aşaması veri sorumlusuna başvurmasıdır. Başvurudan sonra veri sorumlusunun cevaplama mekanizmasının çalışmaya başlaması gerekir. Doğru ve yeterli cevabı verebilmek için hem teknik hem de hukuki bilgi gerekir. Yapılan kişisel veri işlemeler teknik de olsa sonuçları hukukidir. Başvuruya verilecek cevabın ilgili kişi tarafından yetersiz bulunması ya da yanlış yorumlanması kişinin Kurum'a şikayet etmesine sebep olabilir.
Kişisel verilerin işlenmesinde mevzuata uymak ana ilke olsa da bazı durumlarda hukuka aykırılığın gerçekleşmesi mümkündür. Bu durumda tek seçenek Kurum'a şikayetin beklenilmesi ve buna göre pozisyon alınması değildir. İlgili kişinin tatmin edilmesi şikayeti de ceza ihtimalini de ortadan kaldıracaktır. Ancak tüm bunlara rağmen Kurum'a şikayet edildiğinde veri sorumlusunun savunmasının makul ve kabul edilebilir olmasını sağlamak gerekir.
Hukuk ve teknik bilgi kapasitemizle oluşabilecek daha sorunlar için baştan uyarıyoruz ancak sorun gerçekleştiğinde de en az zararla atlatabilmeniz için yardımcı oluyoruz.

Alınacak Hizmetin Kapsamına Göre Makul ve Farklı Ücretlendirme Politikası

Her veri sorumlusunun kişisel veri büyüklüğü ve mali gücü aynı değil. Bunun farkındayız.
Veri sorumlusunun gerçek ihtiyaçlarına göre yapılacak işler listesi çıkardıktan sonra veri sorumlusunun talep ettiği hizmetler için talep edilecek tutarı belirliyoruz. Veri sorumlusunun faaliyet alanı, kişisel verilerin işlenmesindeki amaçlar ve ilgili kişilerin durumlarına göre maliyet ayarlaması yapıyoruz. Kamu yararına çalışan kurumlar için kar amacı gütmüyoruz. Bazı kurumlar için maliyetin bir kısmına da biz katlanıyoruz.
Verilen hizmetin yerinde olmasına, e-posta ya da telefonla verilmesine göre de fiyat ayarlaması yapıyoruz. İstenirse hizmeti proje bazında, aylık ya da çağrı başına da fiyatlandırıyoruz.
Unutmamak lazım ki bazen en ucuz görünen seçenek uzun vadede an pahalı seçin olabilir.

Hemen şimdi bizimle iletişime geçin ve durumunuzu değerlendirip doğru çözümü minimum maliyetle önerelim.