ETİD Kişisel Verilerin Korunması Kanunu Workshop SunumuETİD
16 Ocak'ta ETİD tarafından Kişisel Verileri Koruma Kanunu hakkında düzenlenen workshop'ta Okan Üniversitesi’nden Yrd. Doç. Dr. Cansu Topal’ın kapsamlı sunumu
Sunum İçeriği
Mevzuat
II. Genel Bilgi ve Temel
Kavramlar
III. Açık Rıza
IV. Uygun Adım Testi
V. Haklar ve Yükümlülükler
VI. Uyum Proje Planı
Kişisel verilerin toplanmasına hangi bilişim sistemlerinin kullanılacağı,
Kişisel verilerin nasıl saklanacağı,
Veri güvenliğinin sağlanmasının detayları,
Kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem,
Veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem,
Kişisel verilerin silinmesinde kullanılacak yöntem.
Kişisel Verilerin Korunması Kanunu (KVKK)MGC Legal
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.
California Consumer Privacy Act (CCPA): Countdown to ComplianceTinuiti
What is CCPA? The California Consumer Privacy Act increases the transparency of the collection and selling of physical and digital data, while providing California residents with more control over what happens to their personal information that companies collect. CCPA is approaching with a compliance deadline of January 2020. With the countdown to compliance less than 6 months away it’s critical to know how this can potentially impact your business in order to avoid violation fines. Join our webinar as we unpack the key requirements and considerations to keep in mind in order to stay compliant. See how CCPA impacts all advertisers, not just Californians.
ETİD Kişisel Verilerin Korunması Kanunu Workshop SunumuETİD
16 Ocak'ta ETİD tarafından Kişisel Verileri Koruma Kanunu hakkında düzenlenen workshop'ta Okan Üniversitesi’nden Yrd. Doç. Dr. Cansu Topal’ın kapsamlı sunumu
Sunum İçeriği
Mevzuat
II. Genel Bilgi ve Temel
Kavramlar
III. Açık Rıza
IV. Uygun Adım Testi
V. Haklar ve Yükümlülükler
VI. Uyum Proje Planı
Kişisel verilerin toplanmasına hangi bilişim sistemlerinin kullanılacağı,
Kişisel verilerin nasıl saklanacağı,
Veri güvenliğinin sağlanmasının detayları,
Kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem,
Veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem,
Kişisel verilerin silinmesinde kullanılacak yöntem.
Kişisel Verilerin Korunması Kanunu (KVKK)MGC Legal
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.
California Consumer Privacy Act (CCPA): Countdown to ComplianceTinuiti
What is CCPA? The California Consumer Privacy Act increases the transparency of the collection and selling of physical and digital data, while providing California residents with more control over what happens to their personal information that companies collect. CCPA is approaching with a compliance deadline of January 2020. With the countdown to compliance less than 6 months away it’s critical to know how this can potentially impact your business in order to avoid violation fines. Join our webinar as we unpack the key requirements and considerations to keep in mind in order to stay compliant. See how CCPA impacts all advertisers, not just Californians.
This Presentation explains what GDPR is and the impact it'll have for Companies who process data of EU Citizens.
This Guide explains the principles of GDPR, Consent, User Rights and also explains how to implement GDPR in your organization.
Originally appeared at
http://backlinkme.net/definitive-guide-for-general-data-protection-regulation-gdpr-compliance/
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
Whether you’re an event or hospitality professional in a small, medium or large organization, the General Data Protection Regulation (GDPR) is going to affect you. Get prepared with Cvent and Debrah Harding of Market Research Society before the 25th May deadline. GDPR is a new EU regulation, designed for the digital age. GDPR will strengthen an individual's rights and increase business accountability for data privacy and holding personal information. Organizations found breaching the regulations can face fines of up to 20 million Euros or up to 4% of annual global turnover. At Cvent we are already on track to becoming GDPR compliant and we want to advise our industry partners on how to become compliant too.
25th May 2018 marks the enforcement date of EU’s General Data Protection Regulation. This new regulation strives to increase privacy for individuals and penalize businesses in breach. The complexity organizations face in managing consumer data is driving the growth of privacy tech solutions that decisively address a slew of privacy compliance challenges.
Accountability under the GDPR: What does it mean for Boards & Senior Management?IT Governance Ltd
This webinar provides an overview of:
- The principle of accountability and what it means
- Applying the principle of accountability
- Developing policies and procedures that comply with the Regulation
- Raising GDPR awareness and providing employees with training
- The board's responsibility to appoint a dedicated data privacy team of DPO
- The requirement to conduct data privacy audits and impact assessments
A recording of this webinar is available here:
https://www.youtube.com/watch?v=6KGeMwz7jro&feature=youtu.be
An Overview of the new GDPR regulations including:
• Data Protection Frame Work
• GDPR – Responsibilities
• GDPR – Changes
• GDPR - Exemptions
• GDPR – Rights
• Penalty
• Ten High Level Steps
With GDPR coming into effect, we can see a lot of changes in the privacy policies of companies doing business online. The presentation is a description of GDPR and its implications in India and worldwide. The main aim of the presentation is to identify the key issues of data privacy and the rights available to the consumer who's data is to be shared.
Norfolk Chamber delivered a morning conference based around the European General Data Protection Regulation (GDPR), which will come into force on May 25 2018. Delegates heared from a variety of GDPR expert speakers from legal, marketing, IT and Data Protection perspectives.
Privacy-ready Data Protection Program ImplementationEryk Budi Pratama
Presented at CDEF 16th Meetup at 18 August 2022.
Title:
Privacy-ready Data Protection Program Implementation
Topics:
- Why data protection is important
- Data Privacy Program Domain
- Operationalize Data Privacy Program
- Privacy-aligned Information Security Framework
- Roadmap to Protect Personal Data
- Privacy Management Technology
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
According to Technavio's latest market research report, the data security market value will grow by $2.85 Billion during 2021-2025.
To secure their data, organizations can use the CIA triad, a data security model developed to help the data security market and people deal with various IT security parts.
The webinar covers
• Overview Of CIA
• Description of Data Governance vs Information Security vs Privacy
• Relationship of CIA to Data Governance
• Relationship of CIA to Information Security
• Relationship of CIA to Privacy
• How to Implement and Maintain the CIA model (e.g., PDCA, etc.)
Presenters:
Anthony English
Our presenter for this webinar is Anthony English, one of the top cybersecurity professionals in Atlantic Canada with extensive Canadian and International experience in cybersecurity covering risk assessment, management, mitigation, security testing, business continuity, information security management systems, architecture security reviews, project security, security awareness, lectures, presentations and standards-based compliance.
Date: November 17, 2021
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/whitepaper/iso-27001-information-technology--security-techniques-information-security--management-systems---requirements
https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27701
Webinars: https://pecb.com/webinars
Articles: https://pecb.com/article
Whitepapers: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
Youtube video: https://youtu.be/eA8uQhdLZpw
Website link: https://pecb.com/
MWLUG - 2017
Tim Clark & Stephanie Heit
Tim & Steph explain the basics of GDPR and give some recommendations about what you can do to be ready.
Data sources are in the final slides.
For more information about how BCC can help you get your Domino data ready for GDPR please contact us here.
http://bcchub.com/bcc-domino-protect/
This is a slightly modified version of a presentation that I gave to fellow lawyers last week. It explains what GDPR is, the policy of data protection and the evolution of data protection legislation from the OECD Guidelines and Council of Europe Convention to the GDPR. It explores the regulation focusing on the data protection principles and, in particular, the lawfulness requirement and the validity of consent. The presentation mentions the Law enforcement data protection directive, the Data Protection Bill and the arrangements post Brexit. Finally, it considers the preparations recommended by the Information Commissioner for small busiesses
This Presentation explains what GDPR is and the impact it'll have for Companies who process data of EU Citizens.
This Guide explains the principles of GDPR, Consent, User Rights and also explains how to implement GDPR in your organization.
Originally appeared at
http://backlinkme.net/definitive-guide-for-general-data-protection-regulation-gdpr-compliance/
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
Whether you’re an event or hospitality professional in a small, medium or large organization, the General Data Protection Regulation (GDPR) is going to affect you. Get prepared with Cvent and Debrah Harding of Market Research Society before the 25th May deadline. GDPR is a new EU regulation, designed for the digital age. GDPR will strengthen an individual's rights and increase business accountability for data privacy and holding personal information. Organizations found breaching the regulations can face fines of up to 20 million Euros or up to 4% of annual global turnover. At Cvent we are already on track to becoming GDPR compliant and we want to advise our industry partners on how to become compliant too.
25th May 2018 marks the enforcement date of EU’s General Data Protection Regulation. This new regulation strives to increase privacy for individuals and penalize businesses in breach. The complexity organizations face in managing consumer data is driving the growth of privacy tech solutions that decisively address a slew of privacy compliance challenges.
Accountability under the GDPR: What does it mean for Boards & Senior Management?IT Governance Ltd
This webinar provides an overview of:
- The principle of accountability and what it means
- Applying the principle of accountability
- Developing policies and procedures that comply with the Regulation
- Raising GDPR awareness and providing employees with training
- The board's responsibility to appoint a dedicated data privacy team of DPO
- The requirement to conduct data privacy audits and impact assessments
A recording of this webinar is available here:
https://www.youtube.com/watch?v=6KGeMwz7jro&feature=youtu.be
An Overview of the new GDPR regulations including:
• Data Protection Frame Work
• GDPR – Responsibilities
• GDPR – Changes
• GDPR - Exemptions
• GDPR – Rights
• Penalty
• Ten High Level Steps
With GDPR coming into effect, we can see a lot of changes in the privacy policies of companies doing business online. The presentation is a description of GDPR and its implications in India and worldwide. The main aim of the presentation is to identify the key issues of data privacy and the rights available to the consumer who's data is to be shared.
Norfolk Chamber delivered a morning conference based around the European General Data Protection Regulation (GDPR), which will come into force on May 25 2018. Delegates heared from a variety of GDPR expert speakers from legal, marketing, IT and Data Protection perspectives.
Privacy-ready Data Protection Program ImplementationEryk Budi Pratama
Presented at CDEF 16th Meetup at 18 August 2022.
Title:
Privacy-ready Data Protection Program Implementation
Topics:
- Why data protection is important
- Data Privacy Program Domain
- Operationalize Data Privacy Program
- Privacy-aligned Information Security Framework
- Roadmap to Protect Personal Data
- Privacy Management Technology
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
According to Technavio's latest market research report, the data security market value will grow by $2.85 Billion during 2021-2025.
To secure their data, organizations can use the CIA triad, a data security model developed to help the data security market and people deal with various IT security parts.
The webinar covers
• Overview Of CIA
• Description of Data Governance vs Information Security vs Privacy
• Relationship of CIA to Data Governance
• Relationship of CIA to Information Security
• Relationship of CIA to Privacy
• How to Implement and Maintain the CIA model (e.g., PDCA, etc.)
Presenters:
Anthony English
Our presenter for this webinar is Anthony English, one of the top cybersecurity professionals in Atlantic Canada with extensive Canadian and International experience in cybersecurity covering risk assessment, management, mitigation, security testing, business continuity, information security management systems, architecture security reviews, project security, security awareness, lectures, presentations and standards-based compliance.
Date: November 17, 2021
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/whitepaper/iso-27001-information-technology--security-techniques-information-security--management-systems---requirements
https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27701
Webinars: https://pecb.com/webinars
Articles: https://pecb.com/article
Whitepapers: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
Youtube video: https://youtu.be/eA8uQhdLZpw
Website link: https://pecb.com/
MWLUG - 2017
Tim Clark & Stephanie Heit
Tim & Steph explain the basics of GDPR and give some recommendations about what you can do to be ready.
Data sources are in the final slides.
For more information about how BCC can help you get your Domino data ready for GDPR please contact us here.
http://bcchub.com/bcc-domino-protect/
This is a slightly modified version of a presentation that I gave to fellow lawyers last week. It explains what GDPR is, the policy of data protection and the evolution of data protection legislation from the OECD Guidelines and Council of Europe Convention to the GDPR. It explores the regulation focusing on the data protection principles and, in particular, the lawfulness requirement and the validity of consent. The presentation mentions the Law enforcement data protection directive, the Data Protection Bill and the arrangements post Brexit. Finally, it considers the preparations recommended by the Information Commissioner for small busiesses
Kişisel Verilerin Korunması Kanunu hakkında merak edilen, tartışılan konuları yalın ve net bir dille açıklayan bir SSS (Sıkça Sorulan Sorular) dokümanı.
Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlandı. 7 Ekim 2016 tarihinden itibaren tüm maddeleri ile yürürlüğe girecek olan kanun hem gerçek hem tüzel kişileri yakından ilgilendiren hükümlere yer veriyor.
6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına İlişkin Kanun ile birtakım değişikliklere uğradı.
Detayları dokümanımızda bulabilirsiniz.
1. KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)
ZAMAN DARALIYOR – PEKİ SİZ HAZIR MISINIZ?
Son Tarih 07.04.2018
DOÇ. DR. MURAT VOLKAN DÜLGER
AVUKAT / ÖĞRETİM ÜYESİ
2. Ajanda
1. Veri Neden Önemli
2. Kanunun Künyesi
3. Kanundaki Tanımlar
4. Veri Sahibinin Hakları
5. Verileri Yok etme/Silme/Anonimleştirme
6. Verilerin Aktarılması
7. Uyumluluk Süreci
8. Cezai Sorumluluk
9. Karşılaştırmalı Veri Koruma Mevzuatı
10. Soru ve Cevap
3. 1981 tarihli 108
Sayılı Sözleşme
95/46/EC Veri
Koruması Direktifi
GDPR( General Data
Protection Regulation)
SOX ve daha fazlası
PCI DSS
HIPAA
Uluslararası Düzenlemeler
8
Veri Koruma Mevzuatları
4. Chile
Protection of Personal
Data Act
Argentina
Personal Data Protection Act,
Information Confidentiality Law
South Africa
Electronic Communications
and Transactions Act
Australia
National Privacy
Principals, State Privacy
Bills, Email Spam and
Privacy Bills
New Zealand
Privacy Amendment Act
Philippines
Propose Data Privacy Law
Canada
PIPEDA, FOIPPA, PIPA
US States
Breach notification in 46 states
Taiwan
Computer-Processed Personal
Data Protection
Hong Kong
Personal Data Privacy Ordinance
Japan
Personal Information
Protection Act
South Korea
Network Utilization and
Data Protection Act
European Union
EU Data Protection Directive,
State Data Protection Laws
India
Information Technology Act
United Kingdom
ICO Privacy and Electronic
Communications Regulations
USA Federal
CALEA, CCRA, CIPA, COPPA, EFTA,
FACTA, ECPA, FCRA, FISMA, FERPA,
GLBA, HIPAA, HITECH, PPA, RFPA,
Safe Harbor, US PATRIOT Act
Brazil
Article 5 of Constitution
Colombia
Data Privacy Law 1266
Mexico
Personal Data
Protection Law
Morocco
Data Protection Act
Thailand
Official Information Act
B.E. 2540
Europe
Privacy laws in 28 countries
Singapore
Personal & Financial
Data Protection Acts
TÜRKİYE
Kişisel Verilerin
Korunması Kanunu
Aruba, Curaçao
Data Protection Acts
Kaynak: *CipherCloud sunumundan alıntıdır.
Ülkeler Bazında Kişisel Verilerin Koruması
5. 07/04/2016 tarihinde 29677 sayılı Resmi
Gazete ’de yayınlanarak kanunlaştı
24/03/2016 tarihinde 6698
sayılı kanun TBMM’de kabul edildi.
17/02/2016 tarihinde Uygun bulunma kanunu
Resmi Gazete ’de yayınlanarak 108 sayılı sözleşme
iç hukukumuzda kabul görmüştür
28/01/1981 yılında 108 sayılı «Kişisel Verilerin
Otomatik İşleme Tabi Tutulması Karşısında
Bireylerin Korunması Sözleşmesi» Türkiye’nin de
dahil olduğu Avrupa Konseyi üye ülkeleri
tarafından imzalandı.
2.Kanun Künyesi
7. 02
01
03
04
İsim, Soy isim
Kimlik No, Pasaport No,
Ehliyet No, Telefon No
Özgeçmiş, Meslek Bilgisi,
Medeni Durumu
Adres vb.
8
Kişisel Veri Nedir ?
8. Irk, Etnik köken, Siyasi
Düşüncesi, Felsefi İnancı
Dernek, Vakıf ya da Sendika
üyeliği
Dini, Mezhebi veya diğer
inançları
Kılık ve kıyafeti, Sağlığı, Cinsel
Hayatı
Ceza Mahkumiyeti ve Tedbirler,
Biyometrik ve Genetik Veriler
Özel Nitelikli Kişisel Veri Nedir ?
9. Özgür İradeyle Açıklanmış Olma
ü Ön Şart sunulmamalı,
ü Özgür bir irade beyanı olmalı.
Bilgilendirmeye Dayanma
ü Verilerin hangi amaca dayanacağı açıkça belirtilmeli,
ü Aydınlatma yükümlülüğünün yerine getirilmeli.
Belirli Bir Konuya İlişkin Olma
ü Genel Nitelikle olmamalı,
ü Belirli bir konu için verilmeli.
ü Teknoloji Danışmanlığı
Açık Rıza Nedir ?
10. üKaydedilmesi
üDepolanması
üMuhafaza Edilmesi
üDeğiştirilmesi
üYeniden Düzenleme
üAçıklanması
üAktarılması
üSınıflandırılması Vb.
ü Veri sorumlusu, kişisel
verilerin işleme
amaçlarını ve
vasıtalarını belirleyen,
veri kayıt sisteminin
kurulmasından ve
yönetilmesinden
sorumlu olan gerçek
veya tüzel kişidir.
ü Veri işleyen, veri
sorumlusu adına
verileri işleyen gerçek
ve tüzel kişilerdir.
Örneğin;
• Çağrı merkezi şirketleri
• Pazar araştırma
şirketleri
• Kuryeler vb.
VERİ İŞLEME
VERİ
SORUMLUSU
VERİ İŞLEYEN
Veri İşleme, Veri Sorumlusu, Veri İşleyen
11. Kişisel verileri işlemek için ana kural kişiden
verilerinin toplanacağına/işleneceğine dair açık
rıza almaktır.
Açık rıza gerektirmeyen durumlar:
Ø Kanunda ön görülmüş olma
Ø Fiili imkansızlık
Ø Sözleşmenin kurulması /ifasıyla ilgili gerekli
olma
Ø Veri sorumlusu için zorunlu olma
Ø Veri sahibinin alenileştirmiş olması
Ø Hakkın tesisi, kullanılması veya korunması için
zorunluluk
Ø Veri sorumlusunun meşru menfaatleri
12
KİŞİSEL VERİLERİ
YASAL ŞEKİLDE
İŞLEMEYE DEVAM
ETMEK İÇİN NE
YAPILMALIDIR?
Verinin İşlenmesi
12. Veri sorumlusunun meşru menfaatlerinin kapsamı çok geniş...
Hakkın kullanılması (ü ör: basın özgürlüğü)
Sa@ş ve Pazarlama için Reklam yapılmasıü
Çalışanların Takip Edilmesiü
Kamu menfaaJü
Veriü güvenliğinin sağlanması
Araü ş@rma ya da istaJsJk oluşturma amacı
Meü şru menfaaJn varlığı yeterli değil, önemli olan menfaatler
dengesinin sağlanması
13
MENFAAT KİME
GÖRE VE NEYE
GÖRE?
Veri Sorumlusunun Meşru
Menfaati
13. Görevleri;
ØVerinin hukuka aykırı işlenmesini önlemek
ØVerilere hukuka aykırı erişilmesini önlemek
ØVerilerin muhafazasını sağlamak amacıyla her türlü
teknik ve idari tedbiri almak
Kişisel verilerin kendi adına başka bir gerçek veya
tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen
tedbirlerin alınması hususunda bu kişilerle birlikte müştereken
sorumludur.
VERBİS, veri sorumlularının Sicile başvuru ve Sicille ilgili diğer
işlemlerde kullanacakları internet üzerinden erişilebilen
bilişim sistemini ifade eder.
GÖREVİ VE
SORUMLUKLARI
NELERDİR?
Veri Sorumlusu
14. Veri sahibini bilgilendirme
ØVeri sorumlusunun kimliği
ØKişisel verilerin hangi amaçla işlendiği
Øİşlenen verilerin kimlere aktarılabileceği
ØKişisel verilerin nasıl toplandığı ve hukuki sebebi
ØVeri sahibinin hakları konularında veri sahibi
bilgilendirilecektir.
DİĞER
YÜKÜMLÜLÜKLER
Aydınlatma Yükümlülüğü
15. İşlenmesini gerektiren sebeplerin ortadan kalkması
halinde;
ü Re’sen veya
ü Veri sahibinin talebi üzerine
ü Veri sorumlusu tarafından yapılacak
Kişisel verilerin silinmesine, yok edilmesine veya
anonim hâle getirilmesine ilişkin usul ve esaslar
yönetmelikle düzenlenmiştir.
Taslaktan Dikkat Çeken Detaylar;
• Saklama ve İmha Politikaları
• Talepten itibaren 30 gün içinde
• Fiziksel Ortamdan dahil silinmesi
KİŞİSEL VERİLERİN
SİLİNMESİ,
YOK EDİLMESİ
VEYA ANONİM
HALE
GETİRİLMESİ
5. Verileri Yok Etme, Silme
veya Anonimleştirme
16. Kural, Veri sahibinin açık rızası olmaksızın üçüncü kişilere
aktarılamamasıdır. Bunun istisnası ise madde 5 ve madde 6’dır.
Kim Bu üçüncü Kişiler?
Bir şirketler topluluğu altında yer alan farklı şirketler arasında, veri
transferi gerçekleştirilmesi, üçüncü kişiye veri transferi yapılması
anlamına gelmektedir.
İstisnası;
-Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde
gerçekleşen veri transferleri, üçüncü kişiye yapılan transferler olarak
değerlendirilemez. Örneğin, çalışanlar vb.
Üçüncü şahıslara ve özellikle üçüncü ülkelere veri transferi
sıkı koşullara bağlanmıştır.
ÜÇÜNCÜ
ŞAHISLARA
&
ÜÇÜNCÜ ÜLKERE
KİŞİSEL VERİ
TRANSFER
EDEBİLİR MİYİZ?
6. Verileri Aktarma
17. Üçüncü şahıslara ve özellikle üçüncü ülkelere veri transferi
sıkı koşullara bağlanmıştır.
Madde 9, veri sahibinin açık rızası olmaksızın verilerin
yurtdışına çıkarılması yasaktır. Şayet yurtdışında yeterli
koruma var ise Madde 5 ve Madde 6 buna istisnasıdır.
Yurtdışında yeterli koruma yok ise;
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının
yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun
izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın
kişisel verilerin yurt dışına aktarılmasına imkân verilmektedir.
Yabancı ülkelerde yeterli koruma bulunup bulunmadığı
Kurulca belirlenerek ilan edilecektir.
ÜÇÜNCÜ
ŞAHISLARA
&
ÜÇÜNCÜ ÜLKERE
KİŞİSEL VERİ
TRANSFER
EDEBİLİR MİYİZ?
6. Verileri Yurtdışına
Aktarma
18. ü Yayım tarihinden itibaren 6 ay sonra
yükümlülükler başlıyor (yeni kaydedilen veriler
için).
ü Hali hazırda olanlar ise iki yıl içinde uyumlu
hale gelmek zorunda (Geçici Madde 1: Bu
Kanunun yayımı tarihinden önce işlenmiş olan
kişisel veriler, yayımı tarihinden itibaren iki yıl
içinde bu Kanun hükümlerine uygun hale
getirilir.)
SORUMLULUK NE
ZAMAN BAŞLAR
7. Uyumluluk Süreci
21. Kişisel verilerle ilişkili departmanların temsilcilerinden oluşur:
ü Yönetim
ü Hukuk
ü İnsan Kaynakları
ü Bilgi Sistemleri
ü Pazarlama
ü Denetim/Kalite
ü İş Birimleri
BAŞARI İÇİN
YÖNETİM
DESTEĞİ ÖNEMLİ
Organizasyon ve Görev
Planı
23. a. Kişisel Veri Envanterinin Çıkarılması
b. Boşluk Analizi
c. Uyum Danışmanlığı
BAŞARI, DOĞRU
BAŞLANGIÇ İLE
BİR ADIM UZAKTA
Politika ve Prosedürler
24. ü Veri giriş yöntemi
ü Hassas kişisel veri/kişisel veri ayrımı
ü Veri elde ediliş yöntemi
ü Veri sahibi izin ihtiyacı
ü Veri işleme gerekçeleri
ü Veri koruma ilkeleri uyum durumu
ü Erişim yetkili kişiler
ü Transfer bilgisi
SAHİP OLUNAN
TÜM KİŞİSEL
VERİLERİN TESPİTİ
Kişisel Veri Envanteri
26. ü Organizasyon ve Yönetim
ü Veri Koruma İlkeleri
ü Veri Sahiplerinin Hakları
ü Veri Güvenliği Kontrolleri
ü İşlenmesi
ü Erişimi
ü Muhafazası
ü Silinmesi, yok edilmesi veya anonim hale getirilmesi
ü Aktarılması, yurt dışına aktarılması
ü Veri Koruma Kurulu ile ilişkiler
VERİNİN YAŞAM
DÖNGÜSÜNÜN
TESPİTİ
Boşluk Analizi
27. ü Kurumsal Veri Koruma Politikası oluşturulması
ü Kurumsal Veri Koruma Sistemi tesis edilmesi
ü Gerekli BT süreç ve kontrollerinin oluşturulması
ü Kişisel Veri Koruma Komitesi ile toplantılar
ü Veri Sahibi Onay Formları
ü Veri Sahibi Bilgilendirme Formları
ü Çerçeve Sözleşmeler
ü Veri İşleyen Sözleşmeleri
ü Kişisel Veri Koruma Kurulu bilgilendirme ve yazışmaları
ü Veri Sorumlusu Kimliğinin belirlenmesi
ü Veri Sorumluları Siciline Kayıt
ü Arşiv Verilerinin Yapılandırılması
ü Personel Farkındalık Eğitimi
UYUM SÜRECİ
YAŞAYAN BİR YAPI
HALİNE
DÖNÜŞMELİ
Uyum Danışmanlığı
29. ü İş̧lenme amacı ile sınırlı olma (purpose limita4on)
Gereü ğinden uzun süre saklamama
Hukuka uygunluk (ü lawful processing)
Doü ğruluk ve güncellik (quality of data)
Belirliü açık ve meşru amaçlar için işlenme (propor4onality)
UYUM SÜRECİ
YAŞAYAN BİR YAPI
HALİNE
DÖNÜŞMELİ
Uyulması Gereken
Eylemler
31. Veri sorumlusuna tanımlanan görevlerin yapılmaması halinde;
15.000 TL’den-1.000.000 TL’ye kadar
Aydınlatma yükümlülüğüne aykırılık halinde;
5.000 TL’den – 100.000 TL’ye kadar Kurulun inceleme yapmak için taleplerinin yerine
getirilmemesi halinde;
25.000 TL’den-1.000.000 TL’ye kadar
Veri sorumluları siciline kayıt ve bildirim
yükümlülüğüne aykırılık halinde;
20.000 TL’den-1.000.000 TL’ye kadar
36
8.Cezai Müeyyide – İdari Para Cezası
32. • Kişisel veri güvenliği ihlalinin geç bildirimi
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından
en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;
Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin
Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5)
numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18
inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
• Açık rızanın hizmet şartına bağlanması
Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin
taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin
dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;
- Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış
yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,
- Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,
dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun
olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle,
KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI
33. • İşlenme amacının gerektirdiğinden fazla kişisel veri işlenmesi/aktarılması
Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun
gereğinden fazla kişisel veri aktarımında bulunmasının;
- Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı
fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında
değerlendirilemeyeceği,
- Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve
ölçülü olma ilkesine aykırılık teşkil ettiği,
• Veri sorumlusu tarafından Kanunda belirlenen süre içerisinde
İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına
rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;
Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili
olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde
cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda
veri sorumlusunun talimatlandırılmasına karar verilmiştir.
KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI
34. • İlgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesi
Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan
talebini yerine getirmemesi üzerine;
Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi
zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü
maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde
veri sorumlusunun talimatlandırılmasına karar verilmiştir.
• Kişisel veri güvenliğinin sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari
ve teknik tedbirlerinin alınmaması,
a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip
başka bir kişiye gönderilmesinin;
Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci
maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari
tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına
karar verilmiştir.
b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini,
kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle
KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI
35. • Kanunda yer alan genel ilkelere aykırı kişisel veri işlenmesi,
Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından
işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;
- İlgili mevzuatta yer almaması
- Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle
Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına
uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık
teşkil ettiği dikkate alınarak,
• Kanuna aykırı şekilde kişisel verilerin işlenmesi
Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri
sorumlusu tarafından, işveren e-posta adresi kısmına şirketin adresinin yazılması gerekirken,
Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket
adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında
Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI
36. ü TCK 135
ü TCK 136
ü TCK 137
ü TCK 138
ü TCK 139
ü TCK 140
v Şirket/Kurum itibarını zedelemeye yol açabilecek Hukuka
aykırı veri işleyen Şirket/Kurumların İLAN edilmesi
v 5237 Sayılı Türk Ceza Kanunu uyarınca sorumluluk;
YAPTIRIMLAR
37. Kişisel verilerin kaydedilmesi
Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine,
cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca
verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla
kadar hapis cezası ile cezalandırılır.
Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü
olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri
olması hâlinde verilecek ceza bir kat artırılır.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN CEZA
HUKUKU NORMLARI
38. «TCK 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel
verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü
bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında…»
YCGK E.2012/12-514 K.2014/312 T.10.06.2014
YCGK E.2012/12-1510 K.2014/331 T.17.6.2014
39. KİŞİSEL VERİLER: «Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri”
kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir
çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil
kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu,
medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik
kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi
toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü
bilginin anlaşılması gerekir. (…)
Y.12.CD. E.2013/9669 K.2014/3760 T.17.2.2014
Y.12.CD. E.2015/4349 K.2016/5349 T.30.3.2016
Y.12.CD. E.2016/2168 K.2016/5860 T.6.4.2016
Y.12.CD. E.2016/9332 K.2016/13355 T.14.12.2016
40. (DEVAMLA) Herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal
anlamda “kişisel veri” olarak kabul edilmekte ise de, anılan maddenin uygulama alanının amaçlanandan fazla
genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için,
maddenin uygulamasında, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir
hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun
bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda
olduğunun da ayrıca tespit edilmesi gerekir.
Y.12.CD. E.2013/9669 K.2014/3760 T.17.2.2014
Y.12.CD. E.2015/4349 K.2016/5349 T.30.3.2016
Y.12.CD. E.2016/2168 K.2016/5860 T.6.4.2016
Y.12.CD. E.2016/9332 K.2016/13355 T.14.12.2016
41. HABERLEŞME DÖKÜM BİLGİLERİ: «…arama kaydı dökümlerini katılanın akrabalarına göndermesi eyleminde, arama kaydı
dökümlerinin, aramalara ilişkin numara, tarih, saat ve süre bilgilerini içermesi, konuşma ve mesajlaşma içeriklerine dair
bilgi bulunmaması karşısında, sanığın eyleminin haberleşmenin gizliliğini ihlal suçunu değil, TCK m.136/1’deki verileri
hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu gözetilmeden…»
Y.12.CD. E.2014/22994 K.2015/2630 T.16.2.2015
42. HESAP HAREKETİ BİLGİLERİ: «…şikâyetçiye ait hesap hareketinin telefonla yapılan talep üzerine düzenlenip şüphelinin
müdür olarak çalıştığı bankadan, şirkete gönderildiğinin anlaşılmasına göre, şüpheliler hakkında 136/1.maddesinde
tanımlanan suçtan soruşturma yapılması için yeterli delil bulunduğu…»
Y.12.CD. E.2016/9332 K.2016/13355 T.14.12.2016
43. Tüzel kişilere ait bilgiler: Y. 12.CD. E.2015/10456 K.2016/12769 T.16.11.2016
Özel hayata ilişkin görüntü ve sesler:
1. Çıplak fotoğraflar kişisel veridir (Y.4.CD. 3972/9894 T.16.5.2016)
2. Özel hayata ilişkin görüntü, fotoğraf veya ses TCK m.135 anlamında kişisel veri değildir (Y.12.CD. E.2012/17703
K.2012/18222 T.11.9.2012)
3. Özel hayata ilişkin görüntü veya ses «kuşkusuz» kişisel veridir ama TCK m.135 veya 136 olmaz TCK m.134/1 ve 2
uygulanır (Y.12.CD. E.2013/9669 K.2014/3760 T.17.2.2014)
4. Çıplak görüntüler kişisel veri değildir TCK m.134 uygulanmalıdır (Y.12.CD. E.2014/11530 K.2015/584 T.19.1.2015)
Özel hayata ilişkin olmayan Facebook profil fotoğrafı: Y.12.CD. E.2015/4349 K.2016/5349 T.30.3.2016
NELER KİŞİSEL VERİ DEĞİLDİR ?
44. “Sanığın müştekinin Facebook sayfasında yer alan fotoğraflarını ele geçirmesi…” Y.4.CD. E.2016/9597 K.2016/14441
T.16.11.2016 (2),
“kişinin fotoğrafını kullanarak Facebook hesabı açmak ve kullanmaya devam etmek…” Y.18.CD. E.2015/11457
K.2016/7247 T.7.4.2016
“savcılığa yapılacak bildirim öncesi bankadan kişinin hesap dökümünün telefonla istenmesi ve alınması…” Y.12.CD.
E.2016/9332 K.2016/13355 T.14.12.2016
“görüşme içerikleri olmaksızın arama kaydı dökümlerinin üçünü kişilere gönderilmesi…” Y.12.CD. E.2014/22994
K.2015/2630 T.16.2.2015
KONUYLA İLGİLİ YARGI KARARLARI
45. “kişinin gazetede sürekli yayınlanan fotoğrafının başkaca gerçek bir bilgi verilmeden bir arkadaşlık sitesine konması…”
YCGK E.2012/12-510 K.2014/331 T.16.6.2014
“Kişinin yaptığı doğuma ilişkin raporu hastaneden alıp idari şikâyet için kullanmak…” YCGK E.2012/12-1514 K.2014/312
T.10.06.2014
«banka ve kredi kartı bilgilerinin kopyalanması…”
Y. 8.CD. E.2015/11729 K.2016/4287 T.31.3.2016
Y. 8.CD. E.2016/2018 K.2016/8043 T.16.6.2016
Y. 8.CD. E.2016/1453 K.2016/9153 T.28.9.2016
KONUYLA İLGİLİ YARGI KARARLARI
46. a) 0 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından
100.000 Türk lirasına kadar,
b) 2 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk
lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından
1.000.000 Türk lirasına kadar,
d) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler
hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
6698 SAYILI KANUN M.18
İDARİ PARA CEZALARI
47. ü Genel hatlarıyla %4’e kadar (azami 20 milyon Euro olmak üzere) ceza
gerektiren haller:
ü Temel ilkeler ve açık rıza alınması
ü Veri sahibinin haklarına ilişkin yükümlülüklere aykırılık
ü Uluslararası veri transferine ilişkin yükümlüklerle aykırılık
ü Veri otoritesinin kararlarına uymamak
ü Genel hatlarıyla %2’ye kadar (azami 10 milyon Euro olmak üzere) ceza
gerektiren haller:
ü Çocuklara ilişkin verilerin işlenmesine özel rızanın alınması
ü Mahremiyet odaklı tasarım (“Privacy by Design”) ve veri koruma
ilkelerini gözetmeksizin gerçekleştirilen teknik uygulamalar
ü AB’de temsilci bulundurmayan yabancı veri sorumlusu ve veri
işleyenler
ü Teknik ve organizasyonel yükümlülükleri yerine getirmemek
PARA CEZASI
9. GDPR GENEL BAKIŞ
48. ÜLKELERE GÖRE
DEĞİŞKENLİK
GÖSTERİYOR
Ülke Kontrol Birimi
Almanya Federal Veri Koruması Görevlisi ( Federal Data Protection Commissioner - Bundesbeauftragter für den Datenschutz )
Avusturya Veri Koruması Komisyonu (Data Protection Commission - Datenschutzkommission)
Belçika
Özel Hayatın Korunması Komisyonu ( Commission for the Protection of Privacy - Commissie voor de bescherming van de
persoonlijke levenssfeer )
Danimarka Veri Koruması Ajansı (Data Protection Agency - Datatilsynet)
Finlandiya Veri Koruması Ombudsmanı (Office of the Data Protection Ombudsman -Tietosuojaviranomaiset)
Fransa
Medeni Haklar ve Enformasyon Teknolojisi Ulusal Komisyonu (National Commission on Information Technology and
Civil Liberties - Commission Nationale de l'Informatique et des Libertés , CNIL)
Hollanda Veri Koruması Otoritesi (Data Protection Authority - College Bescherming Persoonsgegevens, CBP )
İngiltere Bilgi Görevlisi (Office of the Information Commissioner )
İrlanda Veri Koruması Görevlisi (Data Protection Commissioner)
İspanya Veri Koruması Ajansı (Data Protection Agency - Agencia de Protección de Datos )
İsveç Veri Araştırma Heyeti (Data Inspection Board - Datainspektionen )
İtalya
Kişisel Verileri Koruma Otoritesi (Regulatory Authority for the Protection of Personal Data - Garante per la protezione dei
dati personali )
Lüksemburg
Veri Koruması Ulusal Komisyonu (National Data Protection Commission - Commission Nationale pour la Protection des
Données )
Norveç Veri Araştırmacısı (Data Inspectorate - Datatilsynet )
Portekiz
Ulusal Veri Koruması Komisyonu (National Data Protection Commission - Comissão Nacional de Protecção dos Dados ,
CNPD)
ULUSLARARASI KONTROL
MERKEZLERİ