| Okuma Süresi: 9 Dakika

VERİ OTORİTELERİ BÜLTENİ – MAYIS

MGC LEGAL

Birleşik Krallık 

5 Mayıs 2020

ICO, COVID-19 Kapsamında Yeni Önceliklerini Belirledi

Birleşik Krallık Veri Koruma Otoritesi, COVID-19 ve sonrasında veri koruma alanına yönelik yeni öncelikler belirledi. ICO Başkanı Elizabeth Denham geçen ay yayımladığı yazısında salgına ilişkin  düzenleyici bir yaklaşım sergilerken bu ayki yazısında bundan sonraki yaklaşımlarının nasıl olacağını açıkladı. Buna göre hedeflerinin kamu yararını korumak, verilerin güvenliğini sağlamak ve müdahaleci/yıkıcı teknolojiyi izlemek başlıkları çerçevesinde şekillendiğini belirten Denham, vatandaşlarının gizliliğinin korunması için çalışmaya devam edeceklerini, ekonominin  ve dijitalleşmenin büyümesi için gerekli desteği göstereceklerini, COVID-19 sebebiyle yapılan izlemelerin orantılı olmasını sağlayacaklarını, şeffaflığı koruyacaklarını ve iş sürekliliğinin saklanması için yeni çalışma yolları geliştireceklerini duyurdu.

7 Mayıs 2020

ICO, Adtech Reklam Şirketi Hakkındaki Soruşturmayı Durdurma Kararı Aldı

ICO, son zamanlardaki önceliklerinin kaynaklarını yeniden değerlendirmek ve  düzenleyici bir yaklaşım sergilemek olduğu belirterek  geçtiğimiz aylarda Adtech reklam şirketi hakkında başlattığı soruşturmasını durdurma kararı aldı. Açıklamada Adtech hakkında endişelerinin devam ettiğini ancak pandemi süreci boyunca hiçbir sektör üzerinde baskı kurmak istemedikleri bu nedenle soruşturmanın durdurularak doğru bir zamanda yeniden başlatılacağı belirtildi.

7 Mayıs 2020

ICO, Ulusal Sağlık Hizmetleri Tarafından Geliştirlen Kişi İzleme Sistemlerine Karşı Etki Değerlendirmesi (DPIA) Yapacak

ICO, Ulusal Sağlık Hizmetleri Tarafından geliştirilen kişi izleme sistemleri hakkında GDPR m.35 uyarınca veri koruma etki değerlendirmesi (DPIA) yaptıklarını açıkladı. Sisteme ilişkin geri dönüşlerini olabildiğince hızlı bir şekilde yapacaklarını belirten ICO, deneme sürümündeki tecrübelerini göz önüne alacaklarını de ekledi. GDPR m.35’de düzenlenen DPIA’ler kuruluşlar tarafından bir projenin veri koruma risklerini tanımlamalarına ve en aza indirmelerine yardımcı olmak için kullanılmaktadır. İngiltere yasaları uyarınca veri sorumluları yalnızca DPIA’ler ile sonuca vardıramadıkları hususlara ilişkin ICO’ya danışma ve tavsiye alma hakkına sahiptir.

10 Mayıs 2020

ICO, Yeni Normalde İşverenlerin Dikkat Etmesi Gereken Konulara İlişkin Rehber Yayımladı

ICO, yeni normalde işyerine dönen çalışanlara yönelik işverenlerce yapılmak istenen sağlık testlerini kişisel verilerin korunması hukuku bakımından değerlendirerek işverenlerin sorularını yanıtladığı bir rehber yayımladı. Rehbere göre işverenler, işyerine geri dönen işçilere sağlık durumlarıyla ilgili olarak test uygulamayacağını, sağlık verilerinin GDPR ve Veri Koruma Yasası kapsamında özel nitelikli kişisel veri olarak sınıflandırıldığını bu nedenle maksimum seviyede korunması gerektiği, bu nedenle söz konusu testlerin ancak kanunlarda  öngörülen işleme koşullarına uygun olarak gerçekleştirebileceği belirtildi. İşverenlerin söz konusu testleri uygulamayı gerçekleştirmelerinde hesap verilebilirlik ilkesine bağlı olarak her işyerinin kendi çalışma şekli amacı ve politikalarına bağlı olarak Kanun’da yer alan görevin ifası için mecburi olması veya veri sorumlusunun meşru menfaati hukuka uygunluk sebeplerine dayandırabileceklerini belirtti. Sağlık verileri özel nitelikli kişisel veri grubunda yer aldığı için işverenlerin ayrıca Veri Koruma Yasası’nın 9. maddesindeki istihdam koşulunu da dikkate almaları gerektiği hatırlatıldı.

10 Mayıs 2020

ICO, İşverenlerin COVID-19 Pozitif Çıkan Çalışanlarının Listesini Tutabileceğini Duyurdu

ICO, yeni normal sürecine ilişkin işverenler için yayımladığı soru-cevap rehberinde işverenlerin, COVID-19 pozitif çıkan çalışanların listesini tutabileceğini açıkladı. Buna göre işverenlerin çalışanlara ait sağlık verilerini toplaması gerekiyorsa belirttikleri amaç kapsamında gerekli olduğunu ispatlamaları gerektiği belirtildi. Ayrıca verilerin güvenliğine ve gizliliğine ilişkin önlemler alınması ve işverenin bu veriler nedeniyle çalışanlar arasında ayrımcılığa neden olacak uygulamalar benimsememesi gerektiği önemle hatırlatıldı.

İrlanda 

1 Mayıs 2020

DPC İrlanda İşveren ve Çalışanların Veri İhlallerinin Önüne Geçebilmelerini Sağlayacak İpuçlarını Paylaştı

DPC İrlanda, veri ihlallerinin önüne geçebilmek için işverenlerin ve çalışanların  uygulayabileceği ipuçlarını paylaştı. DPC,  COVID-19 salgını sebebiyle zorlu koşullara uyum sağlamak ve normal işlevleri mümkün olduğunca sürdürebilmek için hızlı bir şekilde veri toplanması ve paylaşılması gerekebildiğini bu nedenle yaşanabilecek ihlallere ilişkin alınabilecek bir dizi tedbire dikkat çekti. Bu tedbirler şu şekilde sıralandı:  Sıkça kullandığınız sosyal medya platformlarını kullanmadan önce güvenlik kontrollerinin yapılması ve yalnızca belirli verilerin paylaşılması, mevcut doküman yönetim sisteminizde yeni bir belge oluştururken gerekli tüm güvenlik önlemlerinin alınması, kişisel veri toplamak için kullanılan şablon formları daima boş bir şablon üzerinden doldurulması, şifre yöneticisi kullanarak karmaşık şifreler tercih edilmesi, iş gereği işlenen verilerin gizliliğine her zamanki kadar dikkat edilmesi, evden çalışma esnasında da işlenen verilerin mahremiyetine aynı önemin verilmesi, eczaneler gibi fiziksel olarak çalışma alanını düzenlemek zorunda kalan işyerlerinin bu düzenlemeler sonrasında veri işleme faaliyetlerini kamuya açık hale getirmemeleri ve mahremiyete aynı önemin gösterilmesine devam edilmesi.

14 Mayıs 2020

DPC İrlanda «Sıkça Yapılan Hatalar»  Rehberi Yayımladı

DPC İrlanda internet sitesi üzerinden son zamanlarda karşılaştığı sıkça yapılan hataları ve bunlara karşı sunduğu çözümlerini paylaştı. Hatalar arasında; insan hatasından kaynaklı yanlış kişiye e-mai gönderilmesi, otomatik doldurma nedeniyle yanlış kişiye e-posta gönderilmesi, e-postaya yanlış bilgi veya belgenin eklenmesi, e-postasının istenmeyen/yetkisiz bir alıcıya iletilmesi veya e-posta “gizli” alanı yerine “alıcı” veya “bilgi” alanın doldurularak e-postanın birden çok alıcıya gönderilmesinden kaynaklı veri ihlalleri. Bu tarz hataları azaltmak için kullanıcıların e-postayı göndermeden önce gönderecekleri kişiyi ve ekleri son bir kez kontrol etmelerini önerdi. Bunun yanı sıra kör karbon kopya (BCC) kullanımına ilişkin bir bilgilendirme yayınlayan DPC, veri sorumlularının alıcıların e-posta adreslerini gizli tutarak birden fazla alıcıya mail göndermesi gereken hallerde BBC tercih etmelerini önerdi. Mail gönderirken direkt olarak “Kime” veya “Bilgi” kısımlarının kullanılmasının alıcıların kendileri tarafından paylaşmayı tercih etmeyecekleri verileri -muhtemelen hassas nitelikli verileri- paylaşmaya sebep olabileceğini hatırlattı.

17 Mayıs 2020

DPC İrlanda İlk Kez Bir Kamu Kurumunu İdari Para Cezasına Çarptırdı 

Tusla (Çocuk ve Aile Ajansı), İrlanda’da GDPR ihlali nedeniyle ceza verilen ilk kamu kurumu oldu. Çocukların verilerinin yetkisiz kişilere hataen ifşa edildiği gerekçesiyle 3 ayrı dosya üzerinden yürütülen soruşturma neticesinde Tusla’ya 75.000-€ para cezası verildi. İlk olayda bir anne ve çocuğunun, iletişim ve konum bilgileri istismarcı olduğu iddia edilen bir kişiyle paylaşıldığı, diğer iki olayda ise koruyucu ailede bulunan çocuklar hakkındaki verilerin (bir vakada hapiste bulunan baba dahil olmak üzere), kan bağı bulunan akrabalarına uygunsuz şekilde açıklandığı belirtildi.

24 Mayıs 2020

DPC İrlanda, Twitter’ın GDPR m 33/1 ve 33/5’e Uyumluluğunun Denetimi İle İlgili 60. Madde Kapsamında Taslak Kararını Sundu

DPC Twitter Hakkındaki Soruşturmasında İlgili Diğer Avrupa Veri Otoritelerine Taslak Kararını Sundu. İrlanda Veri Koruma Kurulu (DPC), GDPR’nin 60. Maddesi uyarınca, İrlanda merkezli bir veri sorumlusu olan Twitter International Company’ye ilişkin tamamladığı soruşturmayla ilgili olarak diğer Veri Koruma Otoritelerine taslak kararını sundu. Kararda Twitter’ın veri ihlallerini bildirme ve belgeleme konusunda GDPR’ın ilgili maddelerine (m.33/1 ve33/3) uyumluğunun üzerinde duruldu. Daha önce de Facebook, Instagram ve Whatsapp gibi sosyal medya uygulamalarına ilişkin çeşitli soruşturmalar yürüten DPC, 16 Temmuz’da Avrupa Adalet Divanı tarafından karara bağlanacak DPC v Facebook Ireland Limited, Maximillian Schrems  ( Dava C-311/18 ) davasının, bu ve bunun gibi diğer uluslararası veri transferi davalarına emsal teşkil etmesini beklendiklerini açıkladı.

Avrupa Birliği 

8 Mayıs 2020

EDPB, 26. Genel Kurul Toplantısı’nda Polonya Seçimlerindeki Veri İhlaline İlişkin Karar Verdi 

EDPB 26. genel kurul toplantısında Polonya vatandaşlarının ad-soyad, adres ve kimlik numarası gibi kişisel verilerinin Bakanlıklar ‘dan biri tarafından Polonya Posta Kurumu ile paylaşılması hakkında tartışıldı. EDPB, kişisel verilerin bu şekilde bir kuruluştan diğerine aktarılabilmesi için her zaman AB Veri Koruma mevzuatına göre yasal bir dayanak bulunması gerektiğinin altını çizdi. Ancak EDPB, GDPR’ın uygulanmasının ulusal denetim makamlarına ait olduğunu EDPB’nin tek başına bir veri koruma otoritesi olmadığını, bu makamların sahip olduğu yetki ve otoritelere sahip olmadığını belirterek demokratik seçimlere yönelik veri işleme faaliyetleri konusunda Polonya Denetim Otoritesini desteklemeye hazır olduğunu belirtti.

9 Mayıs 2020

Hollanda Veri Koruma Kurumu TikTok Hakkında Soruşturma Başlattı 

Hollanda Veri Kurumu tarafından duyuruda; her gün dünya genelinden milyonlarca çocuk ve genç sosyal medya uygulamaları üzerinden sayısız yaratıcı videoları paylaştığı, TikTok isimli platformunda bu video paylaşım sitelerinden biri olduğu, ancak Hollanda Hukuku ve GDPR kapsamında özellikle çocuklara yönelik bir koruma sağlamayan bu uygulamanın kişisel verilerin korunması bakımından çeşitli tehlikelere sebep olabileceği bu nedenle uygulama tarafından kişisel verilerinin nasıl toplandığı, işlendiği ve kullandığı,, çocuklara kolayca anlaşılır ve yeterli bilgi sunulup sunulmadığını, toplanan verilerin nasıl depoladığı ve kullandığı kişisel çocuk verileri için ebeveyn rızası gerekip gerekmediğine ilişkin konularda kontroller gerçekleştireceklerini duyurdu.

13 Mayıs 2020

EDPB’nin web sitesinde yer alan habere göre İsveç’in Örebro Bölgesi’ndeki Sağlık Komitesi, adli psikiyatri kliniğine başvuran bir hastaya ait hassas verileri bölgenin web sitesinde yayımladı. İsveç Veri Koruma Otoritesi tarafından yapılan araştırma sonucunda söz konusu verilerin yanlışlıkla paylaşılmadığı, kişisel verilerin paylaşılmasını meşru kılacak aydınlatma veya çık rıza beyanlarının sitede yer almadığı ve verilerin kamuoyuna açık olduğu tespit edilmiştir. Kurum,  Örebro Sağlık Komitesi’nin  veri yönetiminin mevzuata uygun olarak düzenlemesi talimatlandırılarak 11.000 Euro idari para cezasına hükmetti. Söz konusu belge bölgenin web sitesinden kaldırıldı.

15 Mayıs 2020

Danimarka Veri Koruma Kurumu, JobTeam Şirketi’nin 5.000 Euro İdari Para Cezasına Çarptırılması için Polise İhbarda Bulundu

Danimarka Veri Koruma Kurunu erişim hakkı ile ilgili bir davada Danimarka işe alım şirketi JobTeam’in GDPR’a uygun olarak veri işlemediğine dair görüş bildirerek  akabinde  en az 50.000 DDK para cezasına çarptırılması gerektiğine dair polise ihbarda bulundu. Polis tarafından suçlamanın gerekçesi araştırılıp, tespit edildiği takdirde mahkemeye sevk edilecek ve herhangi bir mali ceza verilmesine mahkeme karar verecektir.

18 Mayıs 2020

Rumen Veri Koruma Kurumu,  Banca Comercială Română SA Şirketi’ni 5.000 Euro İdari Para Cezasına Çarptırdı

Şikayet üzerine başlatılan soruşturma devamında Rumen Veri Koruma Kurumu, Banca Comerciala Romana SA ‘nın veri işleme faaliyetleri esnasında uygun güvenlik seviyesini sağlamak adına yeterli teknik ve idari tedbirleri almadığını tespit etmiştir. Olay, bankanın bir çalışanının kişisel telefonunda, bireysel müşterilerin kimlik belgelerinin kopyalarını tutması ve bu belgelerin, dahili çalışma prosedürlerini ihlal edecek şekilde Banka’ya Whatsapp uygulaması yoluyla aktarılması ile vuku bulmuştur.

27 Mayıs 2020

Finlandiya Veri Koruma Kurumu, 3 Farklı Şirkete Yönelik Yürüttüğü Soruşturma Sonucunda Toplamda 128.500 Euro Para Cezasına Hükmetti 

Şikayet üzerine başlatılan soruşturma devamında Rumen Veri Koruma Kurumu, Banca Comerciala Romana SA ‘nın veri işleme faaliyetleri esnasında uygun güvenlik seviyesini sağlamak adına yeterli teknik ve idari tedbirleri almadığını tespit etmiştir. Olay, bankanın bir çalışanının kişisel telefonunda, bireysel müşterilerin kimlik belgelerinin kopyalarını tutması ve bu belgelerin, dahili çalışma prosedürlerini ihlal edecek şekilde Banka’ya Whatsapp uygulaması yoluyla aktarılması ile vuku bulmuştur.

İtalya

4 Mayıs 2020

İtalyan Veri Koruma Kurumu, Uzaktan Eğitim Risklerinin Minimalize Edilmesini Talep Ediyor

İtalyan Veri Koruma Kurumu Başkanı Antonello Soro, okulların kişisel verilerinin korunması bakımından yeterli garantileri sunamayan tedarikçilerin teknolojik çözümlerini kullandıklarını, özellikle pandemi süreci ile birlikte çevrimiçi eğitiminin öneminin artması üzerine sızma gibi risklerin minimuma indirilmesi için sektör disiplinin geliştirilmesi gerektiği üzerine Eğitim Bakanı Lucia Azzolina’ya mektup yazdı.

14 Mayıs 2020

İtalyan Veri Koruma Kurumu Açıkladı: İşveren Çalışanlara «Bizzat» Serolojik Test Uygulayamaz

İtalyan Veri Koruma Otoritesi okullar, işverenler, sağlık sektörü ve yerel yetkililer için yeni normale uyum sürecinde  soru cevap rehberi yayımladı. Rehberde yer alan bilgilere göre işverenlerin, kesinlikle çalışanlara bizzat serolojik test uygulayamayacak. İşverenlerin bu gibi testler için işyerinde doktor bulundurmalarını ve bu testlerle elde edilecek sağlık verilerinin yalnızca doktor tarafından işlenip aktarılabileceğini önemle hatırlattı. Çalışanların bu testlere yalnızca gönüllü olarak katılabileceğini işverenin serolojik testleri zorunlu kılmasının mümkün olmayacak.

21 Mayıs 2020

İtalyan Veri Koruma Kurumu, Ulusal Dijital Ajansı’nı (AGID) Mevzuata Uygun Veri Olarak İşlemesi için Uyardı

DPA, İtalya Dijital Ajansı’nı  (AGID) tözel kişilere yönelik olarak verildiği hizmetler sona erdiğinde hizmete yönelik bilgi ve belgelerin kişisel verilerin korunması mevzuatına uygun olarak muhafaza veya imha etmeleri için kesin kurallar koyması konusunda uyardı. DPA bu uyarıyı, ajans tarafından yayımlanan koruma hizmetinin sona ermesine ilişkin rehberlerin taslağında yer alan bazı hükümlere binen yaptığını duyurdu.

Fransa 

1 Mayıs 2020

CNIL, Maske Dağıtımı için Konut Vergisi Verilerinin Kullanılmasında Sakınca Bulmadıklarını Açıkladı

Fransa’da vatandaşlara dağıtılacak maskeler için konut vergi dosyasında yer alan verilerin kullanılmasını tavsiye etti. Maskelerin gönderilmesi esnasında bu verilerin kullanılmasında yasak olarak engel bulunmadığı kanaatinde olan CNIL, söz konusu verilerin dağıtım işlemleri sonunda GDPR kapsamında imha edilmesi gerektiğini belirtti.

13 Mayıs 2020

CNIL, Fransa’da COVID-19 Hastalarının Takibi İçin Kullanılacak Bilgi Sistemi Uygulaması Hakkındaki Taslak Kararnameye İlişkin Görüşünü Sundu

CNIL, Fransa’da COVID-19 hastalarının takibi için kullanılacak bilgi sistemi uygulaması hakkındaki taslak kararnameye ilişkin görüşünü sundu. Hükümet tarafından geliştirilen COVID-19 tarama ve anket politikası planladı. CNIL, söz konusu sistemin genel hatları ile GDPR ile uyumlu olduğunu belirtti. Anketlere katılımın gönüllülük esasına dayanması, sistem içerisinde kullanılan sağlık verilerinin sınırlandırılması ve kullanıcıların aydınlatılması yönünden sistemin GDPR ile uyumlu olduğunu ancak uygulamanın  tam uyumlu hale gelebilmesi için; erişimi sınırlandıran teknik önlemlere daha kesin çerçeveler çizilmesi, hastaya bilgi verilmeksizin hasta yakınlarının bilgilendirilmemesi, veri saklama sürelerinin 3 ay ile sınırlandırılması ve  hasta adının temas vakalarından saklanması gerektiğini belirtti.

18 Mayıs 2020

CNIL, İçişleri Bakanlığı ile Birlikte İnsansız Hava Araçlarını Denetliyor

CNIL, son bir kaç haftadır ülke genelinde kullanılan insansız hava gözetleme araçlarına (drone) yönelik İçişleri Bakanlığı ile birlikte kontrollerini sürdürmektedir. En son Danıştay, Paris Polis Merkezi tarafından kullanılan droneların kişisel verileri koruma mevzuatına uygun olduğunu ancak özel hayatın gizliliğine saygı hakkının açıkça ihlal edildiğini bu nedenle uygulamanın sonlandırılması gerektiğine karar verdi. CNIL, konuya ilişkin izlemelerine devam ederek konuya ilişkin aksiyon alacaklarını internet sitesinden belirtti.

26 Mayıs 2020

CNIL,  «StopCovid» Uygulaması Hakkındaki Görüşlerini Açıkladı

Tüm dünyada COVID-19’a karşı alınan tedbirler kapsamında Hükümetler tarafından geliştirilen lokasyon takip uygulamaları kişisel verilerin korunması hukuku bağlamında tartışmalara neden olmaktadır. Fransa tarafından geliştirilen StopCovid uygulaması da kullanıcıların lokasyon verilerini işleyerek haritalama yapmaktadır. Bu uygulama CNIL tarafından GDPR ve Fransa Kişisel Verilerin Korunması Kanunu kapsamında değerlendirdi. 20 Nisan tarihinde kullanıcıların mahremiyetinin korunması ve salgının önlenmesi amacıyla sınırlı kalmak şartıyla böyle bir uygulamanın kullanılabileceğini ifade eden CNIL, uygulamanın geliştirilmesinde tavsiye edilen esasların dikkate alındığını tespit ettiklerini belirtti. CNIL, uygulamanın hassasiyeti dikkate alındığında; kullanım koşullarında yer alan kişisel veri silinmesi yöntemlerinin iyileştirilmesi, küçükler ve ebeveynleri için özel bilgi sunma olanağı tanınması, kayıt edilmiş bulanıklaştırılmış verinin silme hakkının teyidi ve uygulamanın kaynak koduna ücretsiz erişim sağlanmasını tavsiye etti.  Uygulama piyasaya sürüldükten sonra da takibini sıkı bir şekilde sağlayacaklarının da ayrıca altı çizildi.

28 Mayıs 2020

CNIL, İnternet Sitelerine Erişimin Engellenmesi Hakkındaki Kontrollerine Yönelik 5. Faaliyet Raporunu Sundu

CNIL, internet sitelerine erişimin engellenmesi hakkındaki kontrollerine yönelik 5. faaliyet raporunu sundu. Rapor, terör eylemlerine özendiren veya çocuk pornografisi yayımlayan sitelere yönelik idari engelleme kararlarını denetlemek üzere görevlendirilen Alexandre Linden tarafından sunuldu. Rapor 2 Şubat – 31 Aralık 2019 tarihleri arasını kapsamaktadır. Raporda yer alan erişim engellemelerinin %68’inin çocuk pornografi içeriği yayımlayan sitelere yönelik yapılmıştır. Rapora konu edilen terörist içeriğinin hacmi doğrudan ulusal toprakları hedef alan terörist gruplarının faaliyetlerine yönelik olduğu tespit edildi. Linden, raporda İçişleri Bakanlığı’na toplamda 11 tavsiyede bulundu.

İçerik

Türkiye

7 Mayıs 2020

Kişisel Verileri Koruma Kurumu “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” Hakkındaki Kararını Yayımladı

Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular  yapılan değerlendirme sonucunda; sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesine karar verdi.

7 Mayıs 2020

KVKK, YURT Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Hususlara ilişkin Duyuru Yayımladı

Kişisel Verileri Koruma Kurumu Nisan ayında hayata geçirdiği bağlayıcı şirket kuralları kapsamında hazırlanacak taahhütnamelerde dikkat edilmesi gereken hususları yayımladı. Usul ve esas yönünden ayrı değerlendirmeler yapılan yazıya Kurum’un web sitesi üzerinden ulaşmak mümkün.

12 Mayıs 2020

Kişisel Verileri Koruma Kurumu, «Doğru Bilinen Yanlışlar» Rehberi Yayımladı

Kişisel Verileri Koruma Kurumu internet sitesi üzerinden “Doğru Bilinen Yanlışlar” başlıklı rehber doküman yayımladı. Rehberde uygulamada en çok rastlanan hatalara ve bu hataların doğrularına yer verildi. Rehberde bir kağıt parçası üzerine gelişigüzel yazılan ad soyad ve telefon numarası verilerinin Kanun kapsamında veri işleme faaliyeti olarak nitelendirilemeyeceği, ancak bu verilerin bir fihriste kaydedilmesi halinde veri kayıt sistemi parçası haline getirildiği için veri işleme faaliyetinin söz konusu olabileceği belirtildi.