İnşaat sektöründe Kişisel Verilerin Korunması Kanunu Uygulamaları Semineri 09 Aralık 2019 tarihinde Sendikamız ve Kişisel Verileri Koruma Kurumu iş birliğinde Ankara’da gerçekleşti.

 Sektör temsilcilerine kişisel verileri koruma mevzuatı ve Kurumun uygulamalarının tanıtılması ve uygulamada karşılaşılan sorunların karşılıklı değerlendirilmesi amacıyla 9 Aralık 2019 tarihinde The Ankara Otel’de İnşaat Sektöründe Kişisel Verilerin Korunması Kanunu Uygulamaları Semineri gerçekleşti. Toplantıya İNTES üye firmaların hukuk, insan kaynakları, bilgi işlem sorumluları,  kamu kurumu temsilcileri, akademisyenler, Kişisel Verileri Korumu Kurumu bürokratlarıözel sektör insan kaynakları ve hukuk temsilcileri katıldı.

Açış konuşmaları İNTES Yönetim Kurulu Başkan Vekili Deha Emral ve Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir tarafından gerçekleştirilen seminer konunun güncel olması nedeniyle yoğun bir katılımla gerçekleşti. Katılımcılar toplantı sonunda Kurum uzmanlarına uygulamada karşılaştıkları sorunları aktardılar.

Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir kurum çalışmalarına ve Kişisel Verilerin Korunması Kanunu’nun önemine değinerek “Kişisel Verilerin Korunması Kanunu Türkiye’de veri işlemeyi disipline eden bir kanun, gerçek kişiler kanun kapsamına giriyor ancak kişisel verilerin işlenmesi hem gerçek hem tüzel kişilerin sorumluluğunda” dedi.

Kanun’un amacını birinci yönüyle kişilerin temel hak ve özgürlüklerini, kişisel verilerin işlenmesi sırasında korumak ve bu alanı regüle etmek, disipline etmek olarak aktaran Prof. Dr. Bilir kanun için kişisel verileri işlenen gerçek kişilerden bahsettiğini, tüzel kişilerin bu Kanun’dan faydalanamamakta olduğunu anlattı. Kanun’un getirdiği haklardan gerçek kişilerin, Kanun’un getirdiği yükümlülükler olarak da gerçek veya tüzel kişilerin bu Kanun’un kapsamında olduğunu söyledi.

Bilir, kanunun şirketlere bazı yaptırımlar getirdiği için ilgililerin uyum sağlaması gerektiğini belirterek “Firmaların bilinçlenmesi adına kanunu anlatmaya çaba gösteriyoruz. İki buçuk yıldır kanunun tanıtımı için yoğun eğitim faaliyetlerinde bulunuyoruz. Artık Türkiye’de kişisel verilerin korunması keyfi değildir. Kanuna uyum bazı hükümler dışında bir defaya mahsus olmayacak. Kişisel veriler kültürü oluşturacağız” ifadelerini kullandı.

Kanun’a uyum sürecinin hem hukuki yönü hem de teknik boyutları olan bir süreç olduğuna dikkati çeken Prof. Dr. Bilir “Yani tek başına ne hukuki bir süreç ne tek başına teknik bir süreç. Aslında ikisini birden içinde barındıran bir süreç olduğunu da özellikle söylemek isterim.” dedi.

Prof. Dr. Bilir Kanun’a uyumun VERBİS’e kayıt olmaktan daha fazlasını gerektirdiğini aktararak  VERBİS’e kayıtların Kanun’da getirilen yükümlülüklerden bir tanesi olduğunu bunun dışındaki yükümlülükler de olduğunu aktardı.

Kanun’un 7 Nisan 2016’da yürürlüğe girdiğini belirten Prof. Dr. Bilir iki yıllık bir geçiş dönemi öngörüldüğünü, bu dönemin de sona erdiğini hatırlattı. Sözlerinin devamında sadece Kurul’un VERBİS’e, Veri Sorunları Sicil Bilgi Sistemi’ne kimlerin kayıt olacakları veya kimlerin istisna olacaklarıyla ilgili bir karar aldığını ve bu karar çerçevesinde de aslında bir tarih aralığı belirlendiğini, bu belirlenen tarih aralıklarından birisinin yurt dışında yerleşik veri sorunları ve Türkiye’de bazı veri sorunları için çalışan kişi sayısı ve ciro bakımından bir sınır belirlediğini anlatarak bu sınırın üstünde kalanların 31 Aralık 2019 tarihine kadar kayıt yaptıracaklarına vurgu yaptı.

Seminerde İNTES adına Yönetim Kurulu Başkan Vekili Deha Emral söz aldı. Kişisel Verilerin Korunması kapsamında proje bazlı çalışan bir sektör olması sebebiyle inşaat sektörünün farklı zorluklarla karşılaştığını belirten Emral “Sektörümüz proje bazlı çalışıyor. Her proje kendi içinde farklı yapım aşamalarından oluşuyor. Her aşama için yeni bir yapılanma gerekiyor. Türkiye’nin her köşesinde çalışıyoruz. Dağ başında, şehir merkezinde, yer altında, yer üstünde çalışıyoruz. Dünyanın her coğrafyasında, 126 farklı ülkede çalışıyoruz. Çalıştığımız ülke sayısı kadar hukuk sistemine uyum sağlamaya çalışıyoruz. İş alabilmek için yurt dışında kurduğumuz şirketler var. Projeleri genellikle tek şirket olarak yapmıyoruz. İş ortaklıkları ve konsorsiyumlar olarak yapıyoruz. Proje bittiğinde bu ortaklıklar da sona eriyor.” dedi.

Kanuna ilişkin çalışma ve düzenlemelerde inşaat gibi çok değişkenli bir sektörün sisteme uyum sağlama zorluklarının dikkate alınması gerektiğinin altını çizen Emral, “Çalıştığımız yerler, işçiler, tedarikçilerimiz, alt işverenlerimiz, işveren idarelerimiz sürekli değişiyor. Her şeyin sürekli değiştiği bir sektörde, kişisel veriler gibi entegre sistemlere uyum sağlamak kolay değildir.” dedi.

Emral sözlerini “Çalışmalarınızda ve düzenlemelerinizde inşaat gibi çok değişkenli bir sektörün sisteminize uyum sağlama zorluklarını dikkate almanızı diliyorum.” ifadesi ile noktaladı.

 Seminerde Kişisel Verilerin Korunmasında Tüzel Kişiliklerin Yükümlülükleri ve Verilerin Yurt Dışına Aktarılması, Veri Sorumluları Siciline Kayıt Yükümlülüğü ve İnsan Kaynakları Uygulamaları Kapsamında Kişisel Veriler Mevzuatı konuları kurum uzmanları tarafından değerlendirildi.

6698 Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusunun Yükümlülükleri ve Yurt Dışına Aktarım konusunda KVKK İnceleme Daire Başkan Yardımcısı V. Seçil Koyuncu sunum yaptı.

Koyuncu kişisel verilerin korunmasını, aslında kişilerin verilerinin yetkisiz olarak başkaları tarafından elde edilmesine, kullanılmasına ya da paylaşılmasına karşı sahip oldukları bir hak olarak tanımladı.  Bu hakkın tesisi açısından Kişisel Verilerin Korunması Kanunu’na bakıldığında, bir tarafta ilgili kişilerin hakları düzenlenirken diğer taraftan da veri sorumlularının yükümlülüklerinin düzenlendiğinin görülmekte olduğunu açıkladı.

Kanun’da kamu ya da özel sektör ayrımı bulunmamakta olduğunu hatırlatan Koyuncu tüm kamu ve özel sektörde faaliyet gösteren kurum ve kuruluşların kanun çerçevesindeki yükümlülüklere uymak zorunda olduğunu belirtti.

 Koyuncu temel kavramlardan söz ederek kişisel verilere konu olan unsurları sıraladı.

Kişisel veriyi kimliği belirli ya da belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlayan Koyuncu, Kanun’da bunu sınırlı sayma yoluna gidilmediğini, her türlü bilgi; doğum tarihi, kişilerin yaşları, e-posta bilgileri, telefon numaraları gibi kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilginin Kanun kapsamında kişisel veri olduğunu aktardı.

Koyuncu bazı verilerin başkaları tarafından öğrenilmesi hâlinde mağduriyet yaratabilecek ya da ilgili kişinin ayrımcılığa maruz kalmasına neden olabilecek nitelikte olabileceğini söyleyerek hassas veriler olarak adlandırılan bu verilerin etnik köken, siyasi düşünce, felsefi inanç, din ve mezhep, vakıf ve sendika üyeliği, ceza mahkûmiyeti, kılık kıyafet, biyometrik veriler, genetik veriler, sağlık bilgileri, cinsel hayata ilişkin tüm bilgiler olabileceğini aktardı.

 Kişisel verilerin işlenmesi, aşamaları, genel ilkeleri, şartlarına değinen Koyuncu konuya ilişkin “Aslında kişisel verilerin elde edilmesinden silinmesi aşamasına kadar gerçekleştirilen her türlü işlem bizim için kişisel verilerin işlenmesi faaliyeti. Elde etme, kaydetme, değiştirme, sınıflandırma, silme dahi birer kişisel veri işleme faaliyeti.” ifadeleriyle açıklamada bulundu.

 Açık rızaya ilişkin bilgi veren Koyuncu, veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarımının, üçüncü kişiye yapılan aktarım olarak değerlendirilmeyeceğini belirtti.

Koyuncu kişisel verilerin işlenmesinin genel ilkelerini hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işleme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme olarak sıraladı.

Aydınlatma yükümlülüğü, hukuka uygunluk gibi veri sorumlusunun yükümlülüklerine ve veri güvenliğine ilişkin yükümlülüklere açıklama getirdi. Veri sorumlusunun yükümlülüklerinden olan silme, yok etme veya anonim hâle getirme yükümlülüğünün ayrımını şu şekilde açıkladı: “Silme, kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirmesi işlemidir. Silme işlemi gerçekleştiğinde kişisel veriler tamamen ortadan kalkmamakta, bu verilerin muhafaza edilmesinden, yedeklenmesinden ya da korunmasından sorumlu kişiler sadece ulaşabilmektedir. Yok etmede ise bilgilerin saklandığı veri saklamaya elverişli tüm kayıt ortamlarının ortadan kaldırılması ve tekrar geri getirilemeyecek hâle gelmesidir. Örneğin bir CD’de saklanan verilerin CD’nin kırılması şeklinde parçalara ayrılması yok etme yöntemidir. Anonim hâle getirme ise kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hâle getirilmesidir.”

 Koyuncu son olarak yasaya ilişkin yaptırımlar hakkında bilgi verdi.

 Veri Sorumluları Siciline Kayıt Yükümlülüğü konusunda KVKK Veri Yönetimi Daire Başkanı Mustafa Erbilli sunum yaptı.

 Erbilli Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’in içeriğine ilişkin bilgi verdi. VERBİS’in Veri Sorumluları Sicil Bilgi Sistemi anlamına geldiğini belirterek sicile başvuru ve ilgili işlemlerde kullanılan,  internet üzerinden erişilebilen, başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi olarak tanımladı.

Kurumun çağrı merkezine ciddi sorular geldiğini ve birçok veri sorumlusunda envanter hazırlama çalışmalarının süratle devam ettiğinin anlaşıldığını aktaran Erbilli “Bu da, en azından bu konuda farkındalığın oluştuğunun göstergesi olarak karşımıza çıkıyor.” dedi.

Erbilli Kurum sayfasından sisteme erişim ile ilgili bilgiler paylaşarak VERBİS sistemimin internet üzerinden kullanımına ilişkin ayrıntıları aktardı. Konuya ilişkin şu açıklamalarda bulundu: “İki farklı giriş yöntemimiz var. Birisi, Kurumumuzun web sayfası, www.kvkk.gov.tr’den. Sağ üst tarafta

“VERBİS” diye bir butonumuz var, bu buton aracılığıyla giriş yapıyoruz. Veya e-Devlet üzerinden “Kamu kurumları” bölümü var, “Kişisel Verileri Koruma Kurumu Başkanlığı” linkine tıkladığımızda gelen ekranlar yine VERBİS’e giriş yapılabilen ekranlar.”

Sözlerinin devamında VERBİS’e nasıl giriş yapılacağıyla ilgili örnek ekran görüntüleriyle birlikte hazırlanmış bir kılavuz olduğunu açıklayan Erbilli şirketlerin bünyelerinde görevlendireceği ekip ile birlikte VERBİS’e kayıtlarını kılavuzları takip ederek kendilerince yürütülebileceğini belirtti.

Erbilli Türkiye’de Yerleşik Tüzel / Gerçek Kişilerin VERBİS’ten irtibat kişisi ataması, irtibat kişisi; veri sorumlusu ile Kurum arasında iletişim sağlaması, irtibat kişisinin veri sorumlusunun Kanun uyarınca sorumluluğunu ortadan kaldırmayacağından söz etti.

 Yurt Dışında Yerleşik Tüzel / Gerçek Kişilerin ise Veri Sorumlusu Temsilcisi ataması, atamaya ilişkin belgenin tasdikli örneğinin Kuruma iletilmesi, belgede, veri sorumlusu adına sicil işlemleri yapma yetkisi olduğunun belirtilmesi gerektiğini söyledi.

Erbilli VERBİS’e girilecek bilgilerin içeriklerini anlatarak kayıt yükümlüsü veri sorumlularının Kişisel Veri İşleme Envanteri hazırlaması gerektiğine dair açıklamalarda bulundu.

İnsan Kaynakları Uygulamaları Kapsamında Kişisel Veriler Mevzuatı konusunda ise KVKK Hukuk Daire Başkan Yardımcısı V. Tuğba Yiğit sunum yaptı.

Yiğit İnsan Kaynakları Uygulamalarında Kişisel Verilerin İşlenmesi sürecine ilişkin bilgiler verdi ve kişisel veri işleme süreçlerini anlattı. İşe alım sürecinde, iş sözleşmesi süresince, iş sözleşmesi sona erdikten sonra insan kaynakları tarafından kişisel verilerin işlendiğini belirtti.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kapsam ve tanımlarından söz eden Yiğit, ilgili kişi veri sorumlusu ve veri işleyen kavramının Kişisel Verileri Koruma Kanunu’nu belirli kılan aktörler olduğunu anlattı. Yiğit, 6698 sayılı Kanun’un kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağını açıkladı.

Veri sorumlusunu, işleme faaliyetinin neden ve nasıl yapılacağının cevabını verecek kişi olarak tanımlayan Yiğit, bir şirketler topluluğunu oluşturan her bir şirketin tüzel kişiliğe sahip olmasından dolayı, bu şirketlerin her birinin ayrı veri sorumlusu sıfatına haiz olacağını belirtti.

 Ticari sırların bu Kanun kapsamı içerisinde olmadığını belirten Yiğit, tüzel kişilere ait veriler gerçek kişiyi belirli ya da belirlenebilir kılıyorsa, yine 6698 sayılı Kanun’un kapsamından bahsedilebileceğini söyledi.

 Açık rızanın, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade ettiğini belirten Yiğit, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğundan söz ederek Özel Nitelikli Kişisel Veri İşleme Şartlarını ve bunun kapsamını anlattı. Yiğit, kişisel verilerin işlenmesinde özel nitelikli kişisel verilerin çok daha sıkı şartlarla korunacağına  vurgu yaparak, sağlık ve cinsel hayat dışındaki kişisel verilerin ya açık rızayla ya da kanunlarda öngörülmeleri hâlinde işlenebileceğini hatırlattı.

 Yiğit, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler olarak tanımlanan veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğundan söz etti.

 Veri Güvenliğine İlişkin Yükümlülüklerin neler olduğunu sıralayan Yiğit,  kişisel veri güvenliğinin sağlanması için çalışanların eğitilmesi ve farkındalık çalışmaları yapılmasının önemine değindi.

 

Toplantının soru-cevap bölümünde katılımcılar firmalarında karşılaşabilecekleri sorunları Kurum uzmanlarına aktararak soruları hakkında aydınlatıcı bilgiler edindiler.

Toplantı İNTES Hatıra Ormanında uzmanlar adına dikilen fidan sertifikası takdimi ile son buldu.