6698 Sayılı Kanun’a Göre Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü

SÜRÜM : 1

TARİH : 24.05.2017

İÇİNDEKİLER

I. Tanımlar. 3

II. Başvurunun Alınması 4

A. Başvurunun Şekli 4

B. Başvurunun İçeriği 4

C. Diğer Durumlar. 6

1. Vekil veya Yasal Temsilci Tarafından Yapılan Başvuru.. 6

2. Toplu Başvuru Yapılması 6

3. Başvuru Ücreti 6

III. Başvuru Değerlendirme Süreci 7

A. Başvuruların Değerlendirme Süreleri 7

B. Örnek Değerlendirme Süreçleri 8

1. Kanun m. 11/1 (a), (b), (c), (ç) uyarınca gelen başvurular. 8

2. Kanun m. 11/1 (d) uyarınca gelen başvurular. 8

3. Kanun m. 11/1 (e) uyarınca gelen başvurular. 9

4. Kanun m. 11/1 (f) uyarınca gelen başvurular. 9

5. Kanun m. 11/1 (g) uyarınca gelen başvurular. 9

6. Kanun m. 11/1 (ğ) uyarınca gelen başvurular. 10

IV. Başvuruların Yanıtlanması 10


I. Tanımlar

Kısaltma

Açıklama

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu

Prosedür

6698 Sayılı Kanun’a Göre Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü

Başvuru Formu

Veri Sahibi’nin Kanun m.13 uyarınca gerçekleştireceği başvurularda kullanılmak üzere Prosedür’ün eklerinde sunulan ya da bu ekler temel alınarak Şirket tarafından kaleme alınan form

Kurum

Kişisel Verileri Koruma Kurumu

Kurul

Kişisel Verileri Koruma Kurulu

Çalışanlar

Şirket Çalışanları

Şirket

[Elektronik Bilgi Güvenliği A.Ş.]

Veri İşleyen

Tedarikçiler, danışman şirketler, taşeron şirketler dâhil fakat bunlarla sınırlı olmamak üzere Kanunda tanımlı şekilde, APOLLOin verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sahibi

Kişisel verisi işlenen gerçek kişi

Kişisel Veri

Kanun kapsamında bulunduğu sürece, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Ön Değerlendirme Ekibi

Şirket’e iletilen başvuruların ilk olarak yönlendirileceği ekip

Başvuru Yanıtlama Birimi

Başvuruların yanıtlanmasından sorumlu ekip

Veri Kategorizasyonu

Veri Envanteri içerisinde yer verilmiş olan veri sahibi, kişisel veri ve paylaşılan taraf bilgilerine ilişkin kategori bilgileri

Veri Envanteri

Şirket’in tüm veri işleme süreçleri ve amaçlarının envanterinin tutulduğu E-GÜVEN ortak server alanında yer alan doküman

Süreç

Veri Envanteri’nde yer alan her bir veri işleme faaliyeti

II. Başvurunun Alınması

A. Başvurunun Şekli

Yazılı Başvuru . Kanun 13’üncü maddesi, başvurunun “yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle” yapılacağını öngörmüştür. Kurul tarafından belirlenmesi gereken diğer başvuru yöntemleri henüz belirlenmemiştir dolayısıyla “yazılı olan” kanallar üzerinden başvuru süreci tesis edilmelidir.

Yazılı şekle uyulması için aşağıda önerilen yöntemler kullanılabilir:

  • Fiziksel başvuru : Başvuruların şirket içerisinde elden alınabileceği süreçler kurgulanır.
  • Noter kanalıyla başvuru : Noter kanalıyla başvurunun resmi kanallardan yapılması sağlanır.
  • Elektronik ortamda “güvenli elektronik imzalı” başvuru : Kanun yazılı başvuru ifadesini kullandığından «güvenli elektronik imza» kullanarak da elektronik ortamda yazılılık şartı sağlanabilecektir.

Bu noktada başvuruların kayıt altına alınması ve ilgili kişiye gecikmeksizin ulaştırılabilmesi için Şirket içinde muhatap kişinin belirlenmesi, bu yönde gelecek başvuruların muhaberat tarafından hızlıca ilgisine iletebilmesi için ilgili prosedürün kurgulanması önerilmektedir.

B. Başvurunun İçeriği

Başvuranın Kimliğinin Tespiti: Veri Sahibi taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin, Şirket nezdinde işlenen kişisel verilerin sahibi olup olmadığı tespit edilir.

· Başvuruyu işleme alabilmek ve doğru kişiye sonucu iletebilmek için başvuranın kimlik bilgileri (Veri Sahibi’nin adı, soyadı, TC Kimlik numarası, iş veya ikametgâh adresi) tespit edilir.

· Elektronik ortamdan yapılan başvurularda yazılılık şartını sağlamak üzere, Veri Sahibi’nin başvurularında 5070 Sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza kullanılmalıdır. Güvenli elektronik imzaya dayalı nitelikli elektronik sertifika ile de başvurucunun kimliği hukuken tespit edilebilecektir.

· Şirket’in başvuruları almak için standart bir form kullanması önerilmektedir (Ek-1 ve Ek-2’de başvuru formu önerileri sunulmaktadır.).

Şarta bağlı olan taleplerle [1] ilgili bu şartın nasıl gerçekleştiği yolunda veri sahibinden (örneği başvuru formunda gösterildiği şekilde) ekstra bilgi istenmeli ve bu iddiasını kanıtlayacak vesikalar Kanun uyarınca geçerli olmayan kanallardan da (örn. Call center, internet sitesi, mail v.b.) başvurular alınabilir. Bu kanallardan başvuru alındığı takdirde veri sahibi Prosedür uyarınca tasarlanan geçerli başvuru kanallarına yönlendirecek uyarı ve yönlendirme metinleri dizayn edilmelidir.

Prosedürde belirlenen yollarla alınmayan başvurular için

  • eğer başvurucunun kimliği tespit edilmiş ve
  • formla istenen bilgiler sağlanmış ise

bu tür yolarla yapılan başvurular da değerlendirmeye alınabilir.

Bu niteliği taşımayan başvurular da değerlendirilerek formda istenen bilgiler elde edilene kadar başvurucu ile iletişimde bulunulmalı; usule uyulmadığı gerekçesiyle başvurunun reddedildiği belirtilmelidir.

Yukarıda sayılan kanallar vasıtasıyla başvuru gerçekleştirilmesi halinde, Şirket bünyesinde hangi süreçlerin işletilmesi gerektiğine ilişkin örnek uygulama önerilerini Ek-3’te bulabilirsiniz.

C. Diğer Durumlar

1. Vekil veya Yasal Temsilci Tarafından Yapılan Başvuru

Kanun’da Veri Sahibi’nin Veri Sorumlusu’na talepte bulunabileceği belirtilmiş olsa dahi başvuruyu Veri Sahibi’nin vekili veya kanuni temsilcinin yapmasını engelleyen bir kural bulunmamaktadır. Bu nedenle, bazı başvurular Veri Sahibi tarafından doğrudan yapılmayabilir.

Böyle bir durumda, başvuruda bulunan kişinin başvuruda bulunma yetkisinin varlığı kontrol edilmelidir. Örneğin başvuru, Veri Sahibi’nin avukatı tarafından gönderilebilir. Böyle bir durumda, avukatın yetkisini teyit etmek amacıyla avukattan vekaletname sureti talep edilmelidir.

Çocukların Kişisel Veri’lerini ilgilendiren talepler için başvuru yasal temsilci tarafından yapılabilecektir. Böyle bir durumda da mutlaka yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilmelidir.

2. Toplu Başvuru Yapılması

Şirket’in yapısına veya ticari niteliğine göre işlenen Kişisel Veri’lere ilişkin olarak birden fazla Veri Sahibi tarafından topluca başvuru iletilmesi mümkün olabilir. Örneğin, bir vekaletname ile birkaç kişinin Kişisel Veri’si hakkında başvuruda bulunabilecektir.

Toplu başvuru durumunda Şirket’in her bir kişi için başvuruyu ayırarak ayrı ayrı değerlendirme yapması önerilmektedir. Böyle bir durumda aşağıdaki aksiyonlar alınmalıdır:

Veri Sahibi kişilerin adına başvuru yapan üçüncü kişinin yetkisinin teyit edilmesi,

  • Veri Sahibi’nin kimliğinin teyit edilmesi.

3. Başvuru Ücreti

Kanun’da Veri Sorumlusu’nun kendisine iletilen talebi ücretsiz olarak sonuçlandırması öngörülmüştür. Ancak, işlemin ayrıca bir maliyeti gerekmesi halinde Kurul’un belirleyeceği esaslar doğrultusunda bir ücretlendirme yapılmasının da mümkün olabileceği ifade edilmiştir.

Kurul tarafından Prosedür’ün hazırlandığı tarihi itibariyle henüz bir ücret tarifesi belirlenmemiştir. Bu kapsamdaki gelişmelerin takip edilmesi önerilmektedir.

III. Başvuru Değerlendirme Süreci

Veri Sahibi tarafından yapılan başvurularda yer alan taleplerde sunulması gereken arasında eksik bilgi olabilir, üçüncü kişilere ait bilgilere yer verilebilir veya çeşitli sebeplerle başvurunun reddedilmesi gerekebilir. Bu itibarla, tüm bu olasılıkların Şirket tarafından değerlendirilmesi gerekmektedir.

Üçüncü kişilere ait kişisel verileri paylaşmadan bilgi edinme talebinin yanıtlanması mümkün olmayan durumlarda aşağıdaki üç adımlı değerlendirme süreci uygulanabilecektir:

· Bilgi edinme talebinin, üçüncü kişiye ait kişisel verileri paylaşmadan yanıtlanması mümkün mü? (ör: 3. Kişiye ait bilginin üstünün kapatılması veya silinmesi gibi)

· Üçüncü kişi kendisi hakkında kişisel veri paylaşılmasına açık rıza vermiş midir?

· Üçüncü kişinin açık rızası alınamıyor ise, açık rıza alınmadan kişisel veri paylaşılması makul müdür?

Öncelikle, Kişisel Veri’si açıklanmak durumunda kalınan Veri Sahibi’nden açık rıza alınması yoluna başvurulur.

Üçüncü kişi verilerinin paylaşılmasına rıza vermiyorsa, üçüncü kişinin bilgileri tamamen ayıklanarak başvuru yanıtlanır.

Eğer Kişisel Veri’si açıklanacak üçüncü kişi Verisi Sahibi’ne ulaşmak mümkün değilse, üçüncü kişi kişisel verisi içeren bilginin paylaşılması konusunda hassas davranılmalıdır. Gerekli olması halinde, üçüncü kişi Kişisel Veri’si içeren bilgiler de paylaşılabilecektir.

A. Başvuruların Değerlendirme Süreleri

Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekmektedir.

Başvuruların zamanında cevaplandırılabilmesi için Şirket içerisinde taleplerin işlenmesine ilişkin prosedürler geliştirilir. Bu prosedürlerde asgari olarak aşağıdaki sürelerin öngörülmesi gerekmektedir:

· Bir başvuru geldikten sonra, başvurunun ilgili departmanlara gönderilmesi için azami 3 günlük süre

· Gönderilen departmanların gelen talebe ilişkin yanıt vermesi için azami 1 hafta süre

B. Örnek Değerlendirme Süreçleri

1. Kanun m. 11/1 (a), (b), (c), (ç) uyarınca gelen başvurular

i. Gelen başvuru Ön Değerlendirme Ekibi tarafından kaydedilerek incelemeye alınır.

ii. Kişinin kimlik bilgileri kontrol edilerek başvuru yapmaya yetkili olup olmadığı tespit edilir.

iii. Başvuru Formu’nun 2 numaralı bölümünde yer alan bilgilerden hareketle Veri Envanteri’ndeki ilgili “Süreç” tespit edilir. İlgili “Süreç” tespit edilirken Veri Envanteri’ndeki Veri Kategorizasyonu ile Başvuru Formu’nda verilen bilgiler karşılaştırılır. Veri Kategorizasyonu ve Veri Sahibi Kategorizasyonu’ndan ilgili kategorilerde bulunan Süreç’lere sorgu indirgenir. Bu süreçte yer alan veri işleme amaçları ve paylaşılan taraflar bilgileri cevabın oluşturulmasında kullanılır.

iv. Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan Veri Sahibi bilgileri Şirket veri tabanları üzerinde aratılarak gerçek test uygulanır. Gerçek test sonuçları ile iii. adımında belirtilen Veri Envanteri adımları karşılaştırılır, gerçek test sonucunda Veri Envanteri’nde yer almama ihtimali bulunan veriler tespit edilmesi durumunda Veri Envanteri güncellenerek iii. adımındaki sorgu tekrarlanır.

v. Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’nin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa «Başvuru sahibi ile ilgili kişisel veri kaydı yoktur; başvuru sahibi hakkında kişisel veri işlenmemektedir cevabı», Başvuru Yanıtlama Birimi’ne dönülür.

vi. Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’nin başvuru formunda belirttiği kişisel verilere rastlanıyorsa; Veri Sahibi’nin talebi doğrultusunda, iii. başlıklı adımda belirtilen şekilde Veri Envanteri’nde yer alan veri işleme amacı, paylaşılan taraf ve paylaşma amacı bilgilerinden uygun olanlarına cevap metni içerisinde yer verilir.

vii. Yukarıda anılan aşamalarda, yapılan işlemler, işlem ve zaman olguları, oluşan olay kayıtları, evraklar ve sorgu sonuçları Başvuru Değerlendirme Ekibi tarafından kayıt altına alınır ve bu konuda oluşturulan elektronik dizinde saklanır.

2. Kanun m. 11/1 (d) uyarınca gelen başvurular

viii. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.

ix. Veri Sahibi’nin ya da temsilcisinin sağladığı Kişisel Veriler ve bunları tevsik eden belgeler, Şirket kayıtlarında yer alan bilgilerle bilgiler karşılaştırılır ve talep kapsamında hatalı ya da eksik olduğu belirtilen bilgiler incelenir.

x. Eğer sağlanan Kişisel Veri’ler ve tevsik edici belgelerdeki bilgiler MERNİS ve Adres Kayıt Sistemi gibi yerlerdeki bilgilerle de uyuşuyorsa kayıtların düzeltilmesi notu alınır. Gerekli düzeltmenin yapılması için veri tabanından sorumlu olan birime konu iletilir.

xi. Bu aşamada “Başvurunuzun incelenerek başvurunuzda belirttiğiniz bilgi ve belgelere dayalı olarak kişisel verileriniz güncelleştirilmiştir” notu Başvuru Yanıtlama Birimi’ne gönderilir.

xii. Yukarıda yer alan 1. (vi) numaralı adım izlenir.

3. Kanun m. 11/1 (e) uyarınca gelen başvurular

i. Yukarıda yer alan 1 (i) (ii) ve (iii) numaralı adımlar izlenir.

ii. Veri Envanteri’nde hangi Süreç’lerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.

iii. Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise «Talebiniz üzere Şirketimiz nezdindeki kişisel verileriniz silinmiş ve/veya anonimleştirilmiştir» cevabı hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir ve paralelde kişisel verilerin silinmesi ve anonimleştirilmesi işlemi başlatılır.

iv. Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise “Yapmış olduğunuz başvuru neticesinde gerekli incelemeler yapılarak […] kişisel veri işleme faaliyetlerinin kişisel veri işlemeye temel olan hukuki amacın ortadan kalkmasından dolayı gerçekleştirilmediğini tespit ettiğimizi bildirmek isteriz. Bu çerçevede ilgili iş birimlerimizin de hukuki amacı ortadan kalkan veri işleme faaliyetinde bulunmaması için gerekli tedbirler alınmıştır. Bununla birlikte kişisel verileriniz Şirketimiz kanuni yükümlükleri çerçevesinde […] Amaçlarla ilgili mevzuatlarda öngörülen sürelerle işlenmek, saklanmak ve talep vukuunda açıklanmak zorunda olup; ancak bu yükümlülüğünü ortaya koyan mevzuatlar kapsamında yetkili kurum ve kuruşlardan gelen resmi taleplerin yanıtlanması ve/veya şirketimizin kanuni yükümlülükleri yerine getirmek amacıyla işlenecektir. Bu nedenle bahsi geçen amaçlar çerçevesinde kişisel verilerinizin işlenmesi kanuni yükümlülüğümüz olduğundan dolayı kişisel verilerinizin silinmesi veya anonimleştirilmesi talebinizi yerine getiremediğimizi ancak yukarıda belirttiğimiz şekilde sadece bu amaçlarla işleneceğini bildirmek isteriz” notu Başvuru Yanıtlama Birimi’ne gönderilir.

v. Yukarıda yer alan 1. (vi) numaralı adım izlenir.

4. Kanun m. 11/1 (f) uyarınca gelen başvurular

i. Yukarıda yer alan 1 (i) (ii) (iii) ve (iv) numaralı adımlar izlenir.

ii. İndirgenen süreç’lerde Süreç Kartı’nın paylaşılan kişiler bölümünden kategorik halde paylaşılan kişiler tespit edilir.

iii. Eğer silme veya anonimleştirme talebi kabul görmüşse; ilgili üçüncü kişilerden bu talebin yerine getirilmesi talep edilir. Paralelde veri sahibine iletilmek üzere «Uygun bulunan silme veya anonimleştirme talebinize istinaden kişisel verilerinizin aktarıldığı kişilerdeki kişisel verileriniz silinmiş veya anonimleştirilmiştir» cevabı hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir.

iv. Yukarıda yer alan 1. (vi) numaralı adım izlenir.

5. Kanun m. 11/1 (g) uyarınca gelen başvurular

i. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.

ii. Veri Sahibi’nin ya da temsilcisinin sağladığı bilgi ve belgelerle, münhasıran otomatik sistemler vasıtasıyla gerçekleştirilen ve Veri Sahibi’nin aleyhine sonuç doğurduğu iddia ettiği süreç incelemeye alınır.

iii. Yapılan inceleme neticesinde otomatik Süreç’te ve bu Süreç içerisinde işlenen Kişisel Veri’lerde herhangi bir eksiklik ve hata olmadığı tespit ediliyorsa «Yapılan incelemeler neticesinde; Şirketimiz nezdindeki kişisel verileriniz kullanılarak oluşturulan raporlarda bir eksiklik ve yanlışlık tespit edilmemiş olduğunuzdan itirazınız reddedilmiştir.» cevabı hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir.

iv. Eğer kişinin sağladığı bilgiler mevcut değerlendirme sürecindeki verilerde; dolayısıyla otomatik olarak oluşturulan sonuçta bir değişiklik yaratıyor ve kişi lehine bir sonuç yaratıyorsa bu sonuç cevap yapılarak, kişinin itirazının değişen sonuca göre kayıt altına alındığı ve sistemlerin bu şekilde güncellendiği bilgisi hazırlanarak Başvuru Yanıtlama Birimi’ne gönderilir.

v. Yukarıda yer alan 1. (vi) numaralı adım izlenir.


6. Kanun m. 11/1 (ğ) uyarınca gelen başvurular

i. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.

ii. Veri Sahibi’nin ya da temsilcisinin sağladığı bilgiler ışığında zarar talebi, hukuk ve ilgili birimlerin katılımıyla incelemeye alınır.

iii. Bu inceleme neticesinde ortaya çıkan sonuç ve cevap tanzim edilerek Başvuru Yanıtlama Birimi’ne gönderilir.

iv. Yukarıda yer alan 1. (vi) numaralı adım izlenir.

IV. Başvuruların Yanıtlanması

Tüm başvurular, Başvuru Yanıtlama Birimi tarafından yanıtlanır.

30 Gün İçinde Cevap Verilmesi: Şirket çalışan tarafından yapılan başvuruda yer alan talepleri inceler. Talebin niteliğine göre Şirket, en kısa sürede veya her halde en geç otuz (30) gün içinde talebi yerine getirmekle yükümlüdür. Bu süre içerisinde herhangi bir cevabın verilmemesi halinde başvuru sahibi Kurul’a şikâyette bulunabilecektir.

Şirket Cevabında Bulunması Gereken Bilgiler:

  • Talebi Yapan Kişi
  • Talepler
  • Talepler Neticesinde Sağlanan Bilgi ve Belgeler
  • Talebin Alınma tarihi

· Taleple ilgili ekstra bilgi ve belge talep edilmiş ise; bu taleplerin tarihi ve ilgili cevapların alınması tarihi

  • Taleple ilgili yapılan işlemler
  • Taleplere Karşı Şirketin Cevapları
  • Talep Yanıtlama Tarihi
  • Yetkili İmza

Noter kanalıyla yapılan başvurulara verilen yanıtlar: Cevap, Şirket antetli kağıda basılarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetki olarak atadığı kişi tarafından iki nüsha imzalanır. Cevap posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.

Elektronik imza ile verilen yanıtlar : Cevap Şirket antetli ve elektronik imzalı olarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetkili olarak atadığı kişi tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.

İlgili başvuruyla ilişkin oluşan olay kayıtları, evraklar ve sonuçları bu konuda oluşturulan elektronik dizinde saklanır. Yazılı gönderi kaydının da arşivde kopyası saklanır.



[1] «Şarta» bağlı talepler aşağıda belirtildiği gibidir;

Kanun m. 11/1 […]