(Not : Ali Osman Özdilek’in Kişisel Verilerin Korunması Kanunu ile ilgili son yazısını Gerçek Dünyada Kişisel Verilerin Korunması Kanunu (KVKK) Uyum Süreci linkinden okuyabilirsiniz.)
Mart 2016’da yürürlülüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde kurulan “Kişisel Verileri Koruma Kurulu” çalışmalarını sürdürüyor. Bu çalışmalardan bir tanesi de, geçtiğimiz hafta bankacılık sektörüne yönelik çalıştay idi. Bu çalıştaya ait notları turk-internet.com okuyucuları için Avukat Ali Osman Özdilek raporladı.
15.09.2017’de Kişisel Verileri Koruma Kurumu ile Türkiye Bankalar Birliği’nin ev sahipliğinde bankacılık sektörü biraraya geldi. Kurum adına çalıştaya Kurum Başkanı Prof. Dr. Faruk Bilir katıldı. Çalıştaydan aldığım sektöre özel olan hususlar dışındaki konulara dair bazı notlarım aşağıdadır:
- Kurum’un yeni binası hazırlandı, çok yakında yeni binaya taşınacakları belirtildi.
- Yönetmeliklerin tamamlandığı, yayın için Başbakanlığa gönderildiği belirtildi.
- Daha önce yayınlanan broşürlerin güncellemelerinin olduğu ve bunların bir ay içinde tamamlanacağı belirtildi.
- Açık rızanın hangi yollarla alınabileceğine dair kurul kararı çıkacağı belirtildi.
- Veri sahibi talepleri yerine getirilirken veri sorumluları tarafından bir ücret alınması gerekiyorsa Kurul’un belirleyeceği tarife üzerinden bu ücret alınacak. Bu tarifenin hazırlandığı belirtildi.
- İstisnalara – hem açık rıza istisnası hem de 28. madde istisnaları- ilişkin Kurul görüşlerinin yakında yayınlanacağı belirtildi.
- Açık rızanın alınmasında tam ehliyetsizlerde vekil ve vasiden açık rıza alınabileceği, sınırlı ehliyetsizler bakımından ise şahsa sıkı sıkıya bağlı haklardan olan kişisel verilerle ilgili velinin veya vasinin açık rıza verebilmesi için özel yetkiye gereksinim duyulabileceği yönünde bir görüşlerinin var olduğu belirtildi.
- Yurtdışı veri aktarımına dair taahhüt metninin hazırlandığı, yakında kurul kararı olarak yayınlanacağı belirtildi.
- Güvenli ülke listesi üzerinde çalışmaların yürütüldüğü belirtildi.
- Silme, yoketme ve anonimleştirme ile ilgili rehber hazırlandığı ve yakında yayınlanacağı belirtildi.
- VERBİS’in 1 Ocak 2018 itibarı ile devreye alınmasının planlandığı belirtildi.
Tarafımca söz alınarak, verinin silinmiş sayılması ve arşivleme için, akredite edilmiş kurumlara, VERBİS’e beyan edilen sürelerin dolmasından sonra arşivlerin teslim edilmesi ve akredite kuruluşlar tarafından arşivlenen verilerin bozulmadıklarının garanti edilerek ve gerektiğinde ulaşılabilir/okunabilir halde yargı organlarına veya idari organlara verilmesinin uygulamada yaşanabilecek çeşitli sıkıntıları çözebileceği belirtilmiş olup, Başkan tarafından bu husus Kurum tarafından ele alınacak bir tavsiye olarak not alınmıştır.
Yine tarafımca Başkan’a; Kurum’un Almanya, Fransa, Belçika gibi ülkelerin veri koruma kurullarınca hazırlandığı gibi bir kişisel veri envanteri formatı hazırlayıp hazırlamayacağı sorulmuş, Kurum’un bu yönde bir çalışması olmadığı bilgisi Başkan tarafından verilmiştir.
Son olarak Kanun’dan kaynaklanan denetleme veya denetlettirme yükümlülüğüne ilişkin olarak denetimin kapsamını çizecek bir kılavuz yayınlayıp yayınlamayacakları, keyfiliğin önüne geçmek adına bilgi güvenliği ve risk yönetimine ilişkin uluslararası standartlara, endüstri en iyi uygulamalarına atıf yapıp yapmayacakları tarafımca sorulmuş, Başkan tarafından bu yönde bir çalışma olmadığı yönünde cevap verilmiştir.