Kişisel Verilerin Korunması Kanunu (KVKK) Çözümleri

 

Kişisel Verilerin Korunması Kanunu’nun (KVKK) ihlali nedeniyle idari para cezası ile karşı karşıya kalmak mümkün hale gelmiştir. Uyum için verilen süre 7 Nisan 2018 tarihi itibariyle sona ermiştir.

 

Vatansever Bilişim olarak stratejik iş ortaklarımız ile beraber KVKK kapsamındaki tüm idari ve teknik tedbirler için anahtar teslimi çözümler sağlıyoruz.

 

Vatansever Bilişim KVKK Hizmet Kapsamı

KVKK Çözüm KapsamıTürÜrünEk Açıklama
KVKK – İdari TedbirlerHukuk & Süreç
  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Hukuk & Süreç Danışmanlığı
  • Yazılım
Kişisel Veri Yönetimi ÇözümleriHukuk Bürosu ile
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında)
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Gizlilik Taahhütnameleri
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Risk Analizleri
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
  • Hukuk & Süreç Danışmanlığı
Hukuk Bürosu ile
KVKK – Teknik TedbirlerTeknik
  • Yetki Matrisi
  • Süreç Danışmanlığı
  • Yazılım
Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri
  • Yetki Kontrol
  • Yazılım
Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri
  • Erişim Logları
  • Yazılım
Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri
  • Kullanıcı Hesap Yönetimi
  • Yazılım
  • Ağ Güvenliği
  • Yazılım & Donanım
  • Uygulama Güvenliği
  • Yazılım
  • Şifreleme
  • Yazılım
  • Sızma Testi
  • Hizmet
  • Saldırı Tespit ve Önleme Sistemleri
  • Yazılım
Güvenlik Bilgi ve Olay Yönetimi (SIEM) ÇözümleriGüvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri standart teklifi içerisinde saldırı tespiti vardır. Saldırı önleme için ayrıca Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri ek modül fiyat teklifi alınmalıdır. Saldırı önleme için ek olarak IPS/IDS gereklidir.
  • Log Kayıtları
  • Yazılım
Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri
  • Veri Maskeleme
  • Yazılım
  • Veri Kaybı Önleme Yazılımları
  • Yazılım
Güvenlik Bilgi ve Olay Yönetimi (SIEM) ÇözümleriEk olarak DLP gereklidir.
  • Yedekleme
  • Yazılım & Donanım
  • Güvenlik Duvarları
  • Yazılım & Donanım
  • Güncel Anti-Virüs Sistemleri
  • Yazılım
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Yazılım
Kişisel Veri Yönetimi Çözümleri
  • Anahtar Yönetimi
  • Yazılım

 

İstanbul Barosu’ndan 01.11.2019 Tarihli Kamuoyu Duyurusu

“6698 Sayılı Kişisel Verilerin Korunması Kanunu ve alt mevzuatının yürürlüğe girmesini takiben bir takım “danışmanlık” firmalarının bu kanunun uygulanması ve uyumluluk çalışmaları ile ilgili olarak hukuki danışmanlık hizmetleri verdiği; bu kanuna uyum süreci ile ilgili evraklar, aydınlatma metinleri, taahhütler ve sözleşmeler düzenlediği tespit edilmiştir.

1136 Sayılı Avukatlık Kanunu’nun 35. Maddesinde yalnızca avukatların yapabileceği işler açıkça belirtilerek; kanun işlerinde ve hukuki meselelerde mütalaa verme, bu işlere ait bütün evrakı düzenleme işlerinin yalnız baroda yazılı avukatlara ait olduğu ve hukuki danışmanlık faaliyetlerinin yalnızca avukatlar tarafından yapılabileceği hükme bağlanmıştır. Avukatlık Kanunu’nun 63. Maddesinde ise 35. Madde hükmüne aykırı olarak avukatlara ait yetkileri kullananlar bir yıldan üç yıla kadar hapis ve bin güne kadar adlî para cezası ile cezalandırılacağı belirtilmiştir.

Teknik ve yazılımsal uyumluluk çalışmaları yapan şirketler haricinde, Avukat olmamasına rağmen Kişisel Verilerin Korunması Kanunu ile diğer kanunlara uyum işlerinin danışmanlığını üstlendiğini belirten gerçek ve tüzel kişiler, Avukatlık Kanunu’na aykırı olarak hukuki danışmanlık veremezler, kanuna uyum süreci ile ilgili evraklar, aydınlatma metinleri, taahhütler ve sözleşmeler düzenleyemezler. Bu şekilde çalışan gerçek ve tüzel kişilerin tespiti halinde baromuzca suç duyurusunda bulunulacaktır.

Önemle belirtiriz ki, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve alt mevzuatına göre bünyesindeki kişisel nitelikli verileri uyumlu hale getirmek ve bu yöndeki politikalarını oluşturmak isteyen kurumlar ve şirketlerin, zarar görmemek için hukuki danışmanlık hizmetlerini sadece avukatlardan talep etmek ve avukat olmayan kişilerden uyum hizmetleri almaktan kaçınmaları gerekmektedir.

Kamuoyuna saygı ile duyurulur.”

Bkz. Kamuoyu Duyurusu

KVKK’ya Uyum Kapsamında Alınacak Yazılımlar İçin Önerilen Şartname Maddeleri

KVKK’ya uyum kapsamında alınacak yazılımlar için önerilen şartname maddeleri yazılımlar bazında aşağıdaki gibidir.

Kişisel Veri Yönetimi Yazılımında Olması Önerilen Özellikler

  • Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
  • Ürün PDF, Şifrelenmiş PDF, Microsoft Word, Microsoft Excel, CSV, TXT, TIFF dahil olmak üzere çeşitli resim dosyaları vb. dosyalar içerisinde işletim sisteminden bağımsız olarak T.C. Kimlik Numarası, cep telefonu numarası, kredi kartı bilgileri gibi Kişisel Verileri -gerektiğinde OCR yaparak- tarayıp bulabilmeli ve raporlayabilmelidir. Bulduğu dosyaları KVKK’ya uygun olarak silebilmelidir (istenirse öncelikle başka bir dizine taşıyabilmelidir). Yapılan tüm bu işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalıdır.
  • Ürün Microsoft SQL, Oracle, MySQL, PostgreSQL veri tabanları ve bunları kullanan uygulamalarda işletim sisteminden bağımsız olarak T.C. Kimlik Numarası, cep telefonu numarası, kredi kartı bilgileri gibi Kişisel Verileri tarayıp bulabilmeli ve raporlayabilmelidir. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmelidir.
  • PST/OST dosyalarında bulduğu e-mailleri raporlayabilmelidir.
  • Kelime bazlı, regex bazlı tarama yapabilmelidir. Aynı anda birden fazla kelime, aynı anda birden fazla regex tarama yapabilmelidir.
  • T.C. Kimlik Numarası keşfini algoritmik olarak yapabilmelidir.
  • Kolay kullanıcı arayüzüne sahip olmalıdır.
  • Kullanıcı bazlı yetkilendirmeye sahip olmalıdır.
  • Admin paylaşımları ile uzaktan tarama (Administrative Shares) yapabilmelidir.
  • Komut satırından çalışabilmelidir.
  • Microsoft Task Scheduler ile çalıştırılabilmelidir.

Bkz. Kişisel Veri Yönetimi Çözümleri

Güvenlik Bilgi ve Olay Yönetimi (SIEM) Yazılımında Olması Önerilen Özellikler

  • Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
  • Ürün, ileri seviye tehdit tespiti için makine öğrenmesi modülüne sahip olmalıdır.
  • Ürün, tehditlerin anında yakalanabilmesi için in-memory korelasyon yapabilmelidir.
  • Ürün aşağıdaki tarzda tespit yapılarını desteklemelidir:
    • Ürün, firewall tarafından bloklanan bir port ve IP ile bu olaydan önceki 20 dakika içerisindeki aynı IP ve port ile haberleşen (bloklanmayan) başka aktiviteleri tespit edebilmeli ve uyarabilmelidir.
    • Ürün, aynı anda aynı kullanıcı hem başarılı hem de başarısız oturum açarsa uyarmalıdır (Bir insan o kadar hızlı login ve logout yapamaz).
  • Ürünün KVKK desteği olmalıdır:
    • SIEM ürünü veri keşfi ürünleri ile entegre olmalıdır.
    • SIEM ürünü log’ların içerisinde T.C. Kimlik Numarası, cep telefonu veya kredi kartı bilgisi geçerse haber vermelidir.
    • Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, SonicWall SSL-VPN cihazları ile entegre olarak kredi kartı bilgisi tespit edebilmelidir.

Bkz. Güvenlik Bilgi ve Olay Yönetimi (SIEM) Çözümleri

KVKK’ya Özel SIEM Senaryoları ve Kuralları Hizmetleri

KVKK Teknik Tedbirler arasında yer alan Yetki Matrisi ve Yetki Kontrolü kapsamında KVKK’ya özel SIEM senaryolarının belirlenmesi ve çalışır hale getirilmesi gerekmektedir. 3,5 yıllık KVKK knowhow’ımızla KVKK’ya özel olarak hazırladığımız 300 adet senaryoyu SIEM müşterilerimize opsiyonel hizmet olarak sunuyoruz. Hali hazırda kullanılan farklı bir SIEM yazılımı varsa, 300 adet senaryonun knowhow olarak satın alınabilmesi ve kullanılan SIEM yazılımının desteklediği ölçüde hayata geçirilebilmesi için de hizmet veriyoruz. Senaryoların kalitesi konusunda fikir vermesi için 30 adet SIEM senaryosunu aşağıda paylaşıyoruz.

SIEM yazılımımız ile aşağıdaki anormallikleri (anomaly) gerçek zamanlı olarak anında tespit edebilir (detect), ilgili kişilere bildirim gönderilmesini sağlayabilir (notify), aksiyon aldırabilir (take action) ve engelleyebilirsiniz (block).

  1. Bankacılık sektöründe Bireysel Bankacılık, KOBİ Bankacılığı, Kurumsal ve Ticari Bankacılık, Yatırım Bankacılığı Hizmetleri, Krediler, Hazine, Bilgi Teknolojileri, İnsan Kaynakları vb. bir gruba dahil olan bir kullanıcı veri tabanında ya da bankacılık sisteminde dahil olduğu gruba göre anormal sayıda sorgulama yaparsa
  2. Bir kullanıcının son 72 saat içerisinde kişisel veri kaynaklarına (sunucu, dosya, veri tabanı vb.) erişiminde anormallik varsa
  3. Veri Sorumlusu olmayan bir kullanıcı ayın en az 10 günü kişisel veri kaynaklarının (sunucu, dosya, veri tabanı vb.) %10’undan fazlasına erişirse
  4. Dosya sunucusunda erişilen dosyaların adında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
  5. Veri tabanından çekilen SQL sorgularında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
  6. Gönderilen e-mailin konu kısmında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
  7. Gönderilen e-mailin eklentisindeki dosya adında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
  8. Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, Sonicwall SSL VPN cihazları da entegre ederek kredi kartı bilgisi tespit edilirse
  9. Bir kullanıcı son 20 dakika içerisinde internet üzerinden bir şey indirdiyse (download ettiyse) ve yetkisinin olmadığı ve kişisel veri içeren sunucuya ya da veri tabanına 2 defa oturum açmayı denerse
  10. Bir kullanıcı son 6 aydır hiç login olmadığı ve yetkisi dahilinde olan kişisel veri içeren bir makinaya erişirse ve son 20 dakika içerisinde aynı kullanıcı internet erişimi yaptıysa
  11. Veri Sorumlusu dahil olmak üzere bir kullanıcı aynı anda hem kişisel verilere erişiyor hem de internete çıkıyorsa
  12. Bir kullanıcı kişisel verilerin bulunduğu ve yetki matrisi çerçevesinde erişim yapabileceği tablolardan birine öğle yemeği sırasında 1 defa yanlış şifre girişi yapıp bırakırsa ve bunu arka arkaya 2 gün tekrarlarsa
  13. Bir kullanıcı son 1 gün içerisinde kişisel veri içeren sunuculara ya da veri tabanlarına yaptığı başarısız oturum sayısı başarılı oturum sayısının %10’unu aşarsa
  14. Bir kullanıcı son 1 hafta içerisinde kişisel veri içeren sunuculara ya da veri tabanlarına yaptığı başarısız oturum sayısı başarılı oturum sayısının %10’unu aşarsa
  15. VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makineye RDP yaptıktan sonra o makineden kişisel veri içeren 2. bir makinaya RDP denemesi yaparsa
  16. VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makineye RDP yaptıktan sonra o makineden kişisel veri içeren 2. bir makinaya RDP denemesi yapar ve bu makinede çalıştırmaması gereken bir program çalıştırırsa
  17. Aynı IP ve kullanıcı adı ile 1 ay içerisinde birden fazla local firewall ya da firewall tarafından engellenen IP ve kullanıcı yetki matrisi dışına çıkmaya çalışırsa
  18. Bir kullanıcı kişisel veri kaynaklarına (sunucu, dosya, veri tabanı vb.) 24 saatte birden fazla yetkisiz erişim denerse
  19. Veri Sorumlusu olmayan bir kullanıcı günde birden fazla sayıda kişisel veri içeren ve yetkisi dahilinde olmayan kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişirse ya da erişmeyi denerse
  20. Bir kullanıcı son 1 haftada 2 ya da daha fazla sayıda yetkisi olmayan kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişmeye çalışırsa
  21. Veri Sorumlusu olmayan bir kullanıcı yetki matrisinde tanımlanan yetkileri dahilinde dahi olsa aynı anda 2 farklı kişisel veri içeren sunucuya ya da veri tabanına erişirse
  22. Veri Sorumlusu olmayan 2 farklı kullanıcı aynı anda aynı kişisel veriye erişirse
  23. Bir kullanıcı 30 gün içerisinde 10 farklı kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişirse
  24. Bir kullanıcı 30 gün içerisinde 5 farklı kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişmeyi dener ve başarısız olursa
  25. Admin grubunda olmayan bir kullanıcı, herkes tarafından erişilen ortak makineler haricinde 24 saat içinde 2. makineye başarısız oturum denemesi yaparsa
  26. Yetkisi artırılan bir kullanıcı olursa
  27. Bir kullanıcı 15 dakikada birden fazla ya da en az 30 dakika ara ile günde birden fazla ya da en az 24 saat arayla haftada birden fazla şifre değiştirirse
  28. Bir kullanıcı en az yarım saat ara ile günde birden fazla şifre değiştirirse
  29. Bir kullanıcı 72 saat içerisinde aynı kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) aynı kullanıcı adı ile farklı IP’lerden erişirse
  30. Kişisel veri erişimi yapan bir kullanıcı, bu işlemi yaptığı kullanıcı ve IP ile 24 saat içerisinde birden fazla farklı hedef IP için engellenirse

Bkz. KVKK’ya Özel SIEM Senaryoları ve Kuralları Hizmetleri

 

Firmalar/Kurumlar, KVKK çözümleri demosu ve fiyat teklifi için Vatansever Bilişim ile iletişime geçebilir.

 

Teknoloji ve Hukuk Firmaları, KVKK çözümleri “İş Ortaklığı” için Vatansever Bilişim ile iletişime geçebilir.

 

Kişisel veri nedir?

 

Mevcut Durum

Kişisel Verileri Koruma Kurumu faaliyetlerine başlamış, Kişisel Verilerin Korunması Kanunu’nun (KVKK) ihlali nedeniyle idari para cezası ile karşı karşıya kalmak mümkün hale gelmiştir. 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin KVKK’ya uyum için verilen süre 7 Nisan 2018 tarihi itibariyle sona ermiştir.

KVKK’nın yorumlanması konusunda sıkıntılar ve ilgisiz çözümlere yönelme gibi durumlarla karşılaşılmaktadır. Uyumlu hale gelmek ve cezalarla karşı karşıya kalmamak için hızlı aksiyon alınması önerilmektedir.

Kamuoyu Duyuruları (Veri İhlali Bildirimleri)

Kişisel Verileri Korunması Kanunu’nun amacı nedir?

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kişisel Verileri Korunması Kanunu’nun kapsamı nedir?

Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel veri örnekleri nelerdir?

  • T.C. kimlik numarası
  • Cep telefonu numarası
  • Kredi kartı bilgileri
  • Banka hesap bilgileri
  • E-posta adresi
  • Tebligat adres bilgisi
  • Fotoğraf
  • Sertifika
  • SGK işe giriş ve çıkış bildirgesi
  • Ad, soyad, cinsiyet, doğum yeri ve tarihi
  • Sabit iş telefon numarası
  • Kimlik bilgileri (nüfus cüzdanı, ehliyet)
  • SGK numarası
  • Mezuniyet belgesi
  • Diploma
  • Özgeçmiş bilgisi
  • Öğrenci belgesi
  • Hobiler
  • Tercih ve beğeniler
  • Fiziksel özellikler
  • Gezinti alışkanlıkları

 

Veri Sorumlusu

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri Sorumlusunun Yükümlülükleri

1. Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11. maddede sayılan diğer hakları.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Bkz. Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak  usul ve esaslar.

2. Veri Güvenliğine İlişkin Yükümlülükler

Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

ile yükümlüdür.

Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.

Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.

Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından Kişisel Veri Güvenliği Rehberi hazırlanmıştır.

3. Veri Sorumluları Siciline Kayıt Yükümlülüğü

3.1. Veri Sorumluları Sicili Nedir?

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.

Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir. İlgili Yönetmelik için tıklayınız.

3.2. Veri Sorumluluğu Siciline Kayıt İstisnaları

Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir.

Bununla birlikte, Kanunun 28. maddesinin 2. fıkrasında sayılan hallerde, Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri uygulanmayacaktır.

Ayrıca, Kanunda Kurula, sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Söz konusu istisnanın uygulanmasında; işlenen kişisel verinin niteliği, sayısı, veri işlemenin Kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmaktadır.

Sicile kayıt olma konusundaki yükümlülük; kişisel verilerin işlenmesi faaliyetleri bakımından açıklık sağlanması ve veri sorumlarının mevzuata uyumlu hareket etmeleri konusunda daha güvenli bir ortam oluşturulması amacını taşımaktadır.

3.3. Veri Sorumluları Siciline Kayıt Bildiriminin Kapsamı

Veri Sorumluları Siciline kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Söz konusu bilgiler şunlardır:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir. Böylelikle, Sicilin güncelliğinin sağlanması hedeflenmiştir.

4. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.

Kurulca belirlenen tarifeye Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğde yer verilmiştir. Söz konusu Tebliğ için tıklayınız.

Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

5. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

Kişisel Verilerin İşlenmesi

1. Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler

Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

2. Kişisel Verilerin İşlenme Şartları

2.1. Kişisel Veriler

Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel verilerin işlenmesi Kanunun 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.

Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

2.2. Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.

Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

işlenebilir.

Ayrıca Kanunda ile özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı için tıklayınız.

Bkz. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır.

Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe ulaşmak için tıklayınız.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Ayrıca, Yönetmeliğe dayanarak söz konusu işlemlerin nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) hazırlanmıştır.

Kişisel Verilerin Aktarılması

1. Yurtiçi Aktarım

Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.

Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de Kanunun 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir.

Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:

  • İlgili kişinin açık rızasının alınması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.

  • İlgili kişinin açık rızasının alınması halinde,
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.

2. Yurtdışına Aktarım

Kanunun 9. maddesine göre yurtdışına veri aktarımı;

  • İlgili kişinin açık rızasının bulunması,
  • Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
  • Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması

durumlarında gerçekleştirilebilir.

Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.

İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.

A) Yeterli korumanın bulunması halinde

Kişisel veriler;

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

halinde yurtdışına aktarılabilmektedir.

Özel nitelikli kişisel veriler ise,

  • Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
  • Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.

Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.

B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;

  • Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
  • Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
  • Kurulun izninin bulunması

gerekmektedir.

Açık Rıza Alırken Dikkat Edilecek Hususlar

Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır.

Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.

Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.

Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Bkz. AÇIK RIZA

 

İlgili Kişi

İlgili Kişi Kimdir?

Kanunda kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.

Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.

İlgili Kişinin Hakları

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

İlgili Kişinin Hak Arama Yöntemleri

1. Başvuru Hakkı

İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.

Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

Kanunda, kişilik hakları ihlal edilen ilgililerin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Başka bir ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur.

Veri sorumlusuna yapılacak başvuruların şekli konusunda Kanunda iki temel hüküm bulunmaktadır. Bunlardan ilki yazılı başvurudur. Yazılı başvuru, genel hükümler gereği ıslak imza içeren belge ile yapılan başvuru anlamına gelmektedir. Buna ek olarak güvenli elektronik imza ile imzalanan belgeler de yazılı şekil şartını sağlayacaktır.

Yazılı başvuru haricindeki diğer başvuru yöntemlerinin belirlenmesi konusunda Kanun, Kişisel Verileri Koruma Kurulunu yetkilendirmektedir. Kurul, çıkardığı ikincil düzenlemelerle veri sorumlusuna yapılacak başvuruların yöntemini belirlemiştir.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ için tıklayınız.

2. Şikayet Hakkı

İlgili kişinin şikayet yoluna başvurulabilmesi için ilk olarak veri sorumlusuna Kanunun 13. maddesi uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin veri sorumlusuna başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.

Kişisel verilerinin işlenmesi kapsamında kişilik hakları ihlal edilen ilgili kişilerin, genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır.

İlgili kişinin Kurula şikayette bulunmasında öngörülen süre, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gündür. Fakat Kurulun inceleme yapabilmesi için mutlaka ilgilinin şikayetine ihtiyaç yoktur. Kurulun ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda da resen harekete geçerek görev alanına giren konularda gerekli incelemeyi yapması yetkisi dahilindedir.

Kanunun 15. maddesiyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmiştir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme, şikâyete ya da resen öğrenilen ihlal iddiasına münhasır olacaktır.

Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmamaktadır.. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kurula 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmüş, şikâyet tarihinden itibaren altmış gün içinde herhangi bir cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmıştır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.

Kurulun, şikâyet üzerine yapacağı inceleme ile ilgili olarak altmış günlük süre içerisinde bir cevap vermesi öngörülmüş ise de, resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemiştir. Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir. Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, Kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır.

Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmiştir. İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür.

 

Kişisel Verileri Koruma Kurumu

Tarihçe

24 Mart 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu Türkiye Büyük Millet Meclisinde kabul edilmiştir.

7 Nisan 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanmıştır.

5 Ekim 2016: 6698 sayılı Kişisel Verilerin Korunması Kanununun 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 3 üye 5 Ekim 2016 tarih ve 1129 sayılı Türkiye Büyük Millet Meclisi Genel Kurulunun Kararı ile seçilmişlerdir.

11 Ekim 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 2 üye Bakanlar Kurulunun 11 Ekim 2016 tarih ve 2016/9597 sayılı kararı ile seçilmişlerdir.

15 Aralık 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 2 üye Cumhurbaşkanlığının 15 Aralık 2016 tarihli kararları ile seçilmişlerdir.

4 Ocak 2017: 6698 sayılı Kişisel Verilerin Korunması Kanununun 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 2 üye 4 Ocak 2017 tarih ve 1135 sayılı Türkiye Büyük Millet Meclisi Genel Kurulunun Kararı ile seçilmişlerdir.

12 Ocak 2017: 6698 sayılı Kişisel Verilerin Korunması Kanununun Kişisel Verileri Koruma Kurulu başlıklı 21. maddesinin dokuzuncu fıkrası hükmüne göre Seçilen Kişisel Verileri Koruma Kurulu Üyeleri, Yargıtay Birinci Başkanlık Kurulu huzurunda yemin etmiştir.

30 Ocak 2017: 6698 sayılı Kişisel Verilerin Korunması Kanununun Kişisel Verileri Koruma Kurulu başlıklı 21. maddesinin yedinci fıkrası hükmüne göre Kişisel Verileri Koruma Kurulunda aşağıda isimleri verilen Başkan ve İkinci Başkan seçilmiştir.

  1. Prof. Dr. Faruk BİLİR Başkan
  2. Cabir BİLİRGEN İkinci Başkan

6698 sayılı Kişisel Verilerin Korunması Kanununun Geçici 1. maddesinin altıncı fıkrası hükmüne göre Kişisel Verileri Koruma Kurulunda 6 yıl süre ile görev yapacak olan ve aşağıda isimleri verilen 2 üye kura yöntemi ile belirlenmiştir.

  1. Şaban BABA
  2. Dr. Cengiz PAŞAOĞLU

Misyon

Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak.

Vizyon

Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak.

Temel İlke ve Değerler

  • Özel hayatın gizliliğini koruma
  • Temel hak ve özgürlüklere saygı
  • Tarafsızlık
  • Bağımsızlık
  • Güvenilirlik
  • Hukuka ve etik ilkelere uygunluk
  • Şeffaflık ve hesap verilebilirlik
  • Hızlı, doğru ve objektif karar alma
  • İşbirliği ve katılımcılık
  • Ulusal ve uluslararası düzeyde hizmet verme

Kişisel Verilerin Korunması Kanunu

Yönetmelikler

Kurul Kararları

1. Kurul Kararları

2. Kurul Karar Özetleri

Tebliğler

Taahhütnameler

 

Yayınlar

Rehberler

Diğer Dokümanlar

Comments are closed.