Türkiye Barolar Birliğine ve İstanbul Barosuna, bilgi edinme hakkı kapsamında kişisel veriler uyumluluk çalışmalarını sorduk. Her iki kurumdan da cevap geldi. Cevaplara göre, ne İstanbul Barosunda ne de Türkiye Barolar Birliğinde, kişisel verilere ilişkin bir uyumluluk ve politika hazırlık çalışmaları henüz yapılmamış görünüyor.

Her iki kuruma ayrı ayrı yönelttimiz sorular:

İstenen Bilgi ve Belgeler: Kurumunuzun 6698 sayılı kanun kapsamında bir takım yükümlülükleri bulunmaktadır. Bu sebeple:

1- Veri sorumlusu olarak kurumunuzun: kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebinin neler olduğu, verisi işlenen kişilerin (avukatlar, stajyer avukatlar, çalışanlar, tedarikçiler vs) haklarını içeren Aydınlatma Yükümlülüğünün yerine getirilip getirilmediği,

2- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için hangi “teknik ve idari tedbirlerin” alındığı ve kanunun işleyişi ile ilgili gerekli denetimlerin yapılıp yapılmadığı,

3- Kişisel Veri İşleme Envanteri ile kurumsal politikaların (Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha vb.) hazırlanıp hazırlanmadığı, ayrıca kurumlarla ve tedarikçilerle yapılan sözleşmelerde veri işleme maddelerinin revize edilip edilmediği, kurum içi ve kurum dışı gizlilik taahhütnamelerinin alınıp alınmadığı,

4- Kurum içi risk analizlerinin yapılıp yapılmadığı, kurumsal iletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) planının hazırlanıp hazırlanmadığı, ayrıca personel için eğitim ve farkındalık çalışması yapılıp yapılmadığı,

Konularında Bilgi Edinme Hakkı kanunu kapsamında “baro mensubu” sıfatıyla tarafıma bilgi verilmesini saygılarımla rica ederim. 04.05.2021

İSTANBUL BAROSUNUN CEVABI: (19.05.2021)

Bilgi Edinme Birimi

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun28. maddesi uyarınca çeşitli muafiyetleri bulunan İstanbul Barosu, baro mensupları başta olmak üzere, kişisel verilerini işlemekte olduğu ilgili kişilerin söz konusu verilerinin adı geçen kanun ve ilgili mevzuat kapsamında korunması ve öngörülen ilkeler çerçevesinde işlenmesinin temini amacıyla yasadan kaynaklanan yükümlülüklerini gereği gibi yerine getirmek için tüm çalışmaları yapmaktadır. Bu yöndeki çalışmalar, Avrupa Birliği standartlarına uygun şekilde yürütülmesi amacıyla hali hazırda devam etmektedir.

Bununla birlikte, baro kapsamındaki idari tedbirlere ilişkin olarak veri işleme, saklama ve imhaya yönelik usul ve şartlar, kimlik ve erişimin belirlenmesine yönelik yetki matrisleri, yasaya hakim ilkelerin baro adına veri işleme faaliyetinde bulunan çalışanlar ve ilgili üçüncü taraflarca da doğru bir şekilde tatbiki adına farkındalık eğitimleri düzenlenmesi ve bu kapsamdaki hukuki metinlerin tanzimi de dahil olmak üzere, bu yöndeki çalışmaların iyileştirilmesi ve son dönem Kişisel Verileri Koruma Kurulu kararları ile uyumlu hale getirilmesine yönelik çalışmalar da devam etmektedir. Adı geçen iyileştirme çalışmalarının 2021 yılı içerisinde tamamlanması hedeflenmiştir.

Baro bünyesinde işlenen kişisel verilerin korunması amacıyla teknik tedbirler kapsamında, bilgi işlem birimimiz tarafından baro dahilindeki tüm kişisel veri işleme faaliyetlerinin siber güvenlik açısından emniyetini sağlamak amacıyla ISO 27001 uyum süreçleri yürütülmektedir.

Bilgilerinizi rica ederiz.
Saygılarımızla,
İstanbul Barosu

TÜRKİYE BAROLAR BİRLİĞİNİN CEVABI (21.05.2021)

Sayın Av. ……..,
04.05.2021 tarihli bilgi edinme başvurunuzda belirtilen hususlara ilişkin olarak ilgili birimlerden alınan bilgiler aşağıdaki gibidir.

1- 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verileri işlenen gerçek kişilerin Anayasa tarafından da korunan özel hayatın gizliliği de dahil olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek için düzenlenmektedir. Anılan Kanunun amacı doğrultusunda, kamu kurumu niteliğinde meslek kuruluşu olarak faaliyet göstermekte olan Türkiye Barolar Birliği, Avukatlık Kanunundan kaynaklanan görev ve yükümlülüklerini yerine getirebilmek amacı ile meslek mensupları ile çalışanlarının ve meslek mensubu adayları ve çalışmaya aday olanların, Birliğimizin işbirliği içinde olduğu kurum ve kuruluşlar ile kişisel verilerinin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır. Bu amaçla Kanunda belirtilmiş olan tüm Aydınlatma Metinleri de hazırlanmıştır.

2- Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı erişimleri önlemek ve muhafazasını sağlamak amacı ile tüm idari ve teknik tedbirler alınmış olup, standartların daha da üzerinde olan koruma önlemleri sürekli denetim altındadır.

3- Kişisel Veri İşleme Envanteri ve Kurum Politikası hazırlanmış olup, Kurumlarla ve Tedarikçilerle veri işleme Gizlilik Sözleşmeleri ile Gizlilik Taahhütnameleri yapılmıştır.

4- Kurum içi risk analizleri yapılarak oluşturulan Kurul ve görevlendirmeler ilgililere tebliğ edilmiş, iş akış süreçleri belirlenerek, personelin bilgilendirme ve farkındalık eğitimleri yapılmıştır. KVKK tarafından COVID-19 salgını nedeniyle VERBİS’e kayıt yükümlülüğünün yerine getirilmesinde zorluklar yaşandığı gerekçesiyle sicile kayıt sürelerinin 31.12.2021 tarihine kadar uzatıldığı belirtilmiş olup, kayıt yükümlüğü yerine getirildiğinde mevzuata uygun hazırlanan dökümanlar web sayfamızda yayınlanacaktır.

Bilgilerinize saygılarımızla sunarız.