ARTICLE AND REASON
WITH YOUR PERSONAL DATA
PROTECTION LAW
(INFORMATION NOTE)
AND PERSONAL DATA
REGARDING THE PROTECTION
GLOSSARY OF TERMS
January 2019
PERSONAL DATA WITH ITS ARTICLE AND REASON
PROTECTION LAW (INFORMATION NOTE) AND
REGARDING THE PROTECTION OF PERSONAL DATA
GLOSSARY OF TERMS
KVKK PUBLICATIONS
March 2019, Ankara
Personal Data Protection Authority
Address: Nasuh Akar Mahallesi 1407. Sokak No: 4
Balgat/Çankaya/ANKARA/TURKEY
Phone: +90 312 216 50 50
Web: www.kvkk.gov.tr
Place of Publication : Güngörler Matbaacılık San. Trade Ltd. Sti
Address: İvedik Mah. 1323. Cad. No:28/4 Yenimahalle/Ankara
Phone: +90 312 394 28 82
5
PERSONAL WITH ITS ARTICLE AND REASON
DATA PROTECTION LAW
7
First part
Purpose, Scope and Definitions
13
Second part
Processing of Personal Data
29
Third part
Rights and Obligations
55
Chapter Four
Application, Complaint and Data Controllers Registry
71
Chapter Five
Offenses and Misdemeanors
75
Chapter Six
Personal Data Protection Authority and Organization
97
Chapter Seven
Miscellaneous Provisions
103 GLOSSARY OF TERMS
ARTICLE AND REASON
WITH YOUR PERSONAL DATA
PROTECTION LAW
(INFORMATION NOTE)
In this study, the Law on Protection of Personal Data No. 6698 and article
reasons and secondary regulations are discussed together and put into practice.
in more detail at first glance,
It is aimed to be seen and to provide working practice.
6
FIRST PART
Purpose, Scope and Definitions
1. Purpose
In Article 1 of the Law, the purpose of the Law is stated.
Accordingly, the purpose is to discipline the processing of personal data.
protection of fundamental rights and freedoms. Also, the person
protection of the right to privacy and the right to information security.
evaluated in scope. In addition, their personal data
The obligations and the procedure to be followed by real and legal persons operating
and regulation of principles are also among the purposes of the Law.
takes.
Accordingly, the purpose of the Law is:
a.
b.
c.
D.
Disciplining the processing of personal data,
Protection of fundamental rights and freedoms,
The right to privacy and the right to information security
preservation
Natural and legal persons processing personal data
obligations and procedures and principles to be followed.
is arrangement.
7
2. Scope
In Article 2 of the Law, the scope of the Law is determined.
Accordingly, the Law protects the real persons whose personal data are processed and these data.
It will be applied to real and legal persons. In law,
in terms of private law legal persons and public law legal persons
no distinction is made. Therefore, the procedure and
principles for both private and public institutions.
will be applied. Automatic or any data of personal data
by non-automatic means, provided that they are part of the registration system
No difference is foreseen in terms of processing.
Data recording system, in a way that facilitates access to personal data and
refers to the registration system structured according to a certain criterion.
Data recording system that can be qualified as a filing system
that should be created only in digital or electronic environment.
It's not a system. Data recording system records created in the physical environment
also applies to
It should be noted that personal data processed by non-automatic means
under the Law if the data is not part of a data recording system
will not be evaluated. However, this provision
regarding such data, since it will not affect the quality of personal data.
illegal acts pursuant to the Turkish Penal Code No. 5237
will continue to be a criminal offence. In addition, for legal persons
Since the information does not fall under the definition of personal data, it is within the scope of the Law.
also not included.
In summary, within the scope of the Law;
a.
Natural persons whose personal data are processed,
b.
whose personal data is fully or partially automated
natural and legal persons operating in ways,
c.
personal data as part of any data recording system
real, operating by non-automatic means, provided that
and legal entities
is located.
8
3. Definitions
In Article 3 of the Law, certain major
terms have been defined. According to this;
Personal data relating to an identified or identifiable natural person
represents all kinds of information. Name only, surname, birth
information that provides a definitive diagnosis of the person, such as date and place of birth
not to the person's physical, familial, economic, social and other characteristics.
Related information is also personal data. specific or identifiable of a person
that the available data is in any way related to a natural person.
making that person identifiable by associating
means. This situation affects the person's physical, economic, cultural, social
or carry a concrete content that expresses its psychological identity
or any record such as ID, tax, insurance number
as a result of the association, all the
covers situations.
Processing of personal data, in whole or in part
be part of an automated or data recording system
to be obtained, recorded by non-automatic means,
storage, preservation, modification, reuse
arrangement, disclosure, transfer, acquisition, acquisition
making it accessible, classifying or using
all kinds of activities carried out on the data, such as blocking
represents the process. In other words, obtaining personal data for the first time
all operations performed on the data, starting with the
Transactions are data processing activities.
The person concerned is the natural person whose personal data is processed.
Data controller, the purposes and means of processing personal data
from the establishment and management of the data recording system
are the ones responsible. Natural persons, public institutions, companies,
Legal entities such as associations or foundations can be data controllers.
The data processor receives personal data on behalf of the data controller.
are natural or legal persons operating within the framework of the instructions given.
Any natural or legal person can also
The controller can be both a data processor. For example, an accounting
9
data in relation to the data the company holds regarding its personnel.
data it holds regarding the companies that are its customers.
shall be considered as data processor.
Data recording system, personal data according to certain criteria
It refers to the recording system in which it is structured and processed. It
systems can be created electronically or physically. This
According to the data recording system, personal data, name, surname or identity
As it can be classified by the number of credit debt
The classification to be created for non-payers is also within this scope.
will be evaluated.
Explicit consent to the data processing of the data subject, freely,
having sufficient knowledge of the subject and limited to that transaction only.
as a declaration of consent.
Anonymization of personal data, data with other data
cannot be identified or identified in any way, even by matching
means that it cannot be associated with a natural person.
is doing. In this context, a monitoring on the remaining data
after matching with other data and supporting
If it can be understood who the data belongs to, this data will be anonymized.
received is unacceptable.
The President is the President of the Personal Data Protection Authority.
The Board is the Personal Data Protection Board.
The Authority is the Personal Data Protection Authority.
10
11th
12
SECOND PART
Processing of Personal Data
4. General Principles:
Compliance for the processing of personal data in accordance with the law
The general principles required are regulated in Article 4 of the Law.
Which should always be observed in personal data processing activities
these principles;
a.
Compliance with the law and the rules of honesty,
b.
Being accurate and up-to-date when necessary,
c.
Processing for specific, explicit and legitimate purposes,
c.
Being connected, limited and restrained with the purpose for which they are processed,
D.
For the purpose for which they are processed or stipulated in the relevant legislation
retained for as long as necessary
are listed as.
Principle of compliance with the law and honesty rules:
Compliance with the law, data processing activity, Law and other relevant
is not contrary to legal regulations. Integrity, the person concerned
not to collect personal data in any way without his knowledge, and
Failure to process the personal data will result in an injustice for the person concerned.
not to be used in a way that opens the door, to meet the reasonable expectation
and the purpose of meeting is not exceeded.
The principle of being in compliance with the law and the rule of honesty, as well as other principles
It has an inclusive feature. Legality, in general
compliance with legal norms and universal legal principles.
The scope of compliance with the law is broad, and compliance with the law is also
13
this is included. For example, an illegal practice can also
entails illegality.
Compliance with the rules of integrity; Civil Code in our law
The honesty rule regulated in article 2, personal data
is not violated while processing. While this policy is processing personal data,
to comply with the prohibition against abuse of right
requires. The rule of honesty is when people use their rights.
in accordance with the rules of trust and as expected of a reasonable person
means to behave. The limits of the rule of honesty, every concrete
determined according to the behavior to be expected from an objective person in the event,
The subjective status of individuals is not taken into account. Integrity rule
In cases where there is a violation, the person uses his right
and acts within the limits of this right, but not for the purpose of the right.
acts inconsistently.
In terms of the protection of personal data, the honesty rule
law that authorizes or orders them to process data
the acts they perform on the basis of the rules of this law,
processing the least possible amount of data according to its purpose,
as people do not act in ways that they cannot predict
requires behavior.
The interests and reasonable expectations of data controllers
their consideration is a requirement of the honesty rule. a legitimate reason
without violating the privacy and dignity of the person concerned
Processing data in such a way that it will undoubtedly constitute a violation of this principle.
will. For example, within the framework of privacy, reasonable
requesting data that is not available from the data subject or
processed by the responsible person in violation of the rules of honesty
this is against the principle.
Integrity rule, through other principles of data protection
embodied. Data processing without complying with these principles
data processing in accordance with the rule of honesty and therefore lawful
will be inconsistent.
14
The principle of being accurate and up-to-date when necessary:
Emphasizing the importance of the accuracy and timeliness of personal data
with this principle, the correction of the data of the data subject, which is foreseen in the Law,
the right to demand is compatible. Accurate and up-to-date personal data
as it is in the interest of the data controller,
in terms of protecting the fundamental rights and freedoms of the person concerned.
is necessary. Ensure that personal data is accurate and up-to-date when necessary
active duty of care to ensure data controller
if it creates a conclusion about the person concerned based on this data
applies (for example, lending transactions). Apart from that, data
The responsible person always has the correct and up-to-date information of the person concerned.
It should keep the channels open to ensure that
Outdated or incorrectly kept personal data of individuals
may result in material and moral damage. for example
the correctness of a phone number registered in the system of the data controller.
is not available or is no longer used by the person concerned. o
erroneous results as they do not reflect real data about the person.
may cause it to occur. Again, address information
timely notifications of a wrongly registered person
In case of failure to receive or the notification is made to the wrong person
The person concerned may suffer material and moral damage. With this principle,
the rights of the data subject and the interests of the data controller.
protection is observed.
In order to keep personal data accurate and up-to-date; personal
The sources from which the data is obtained should be specific, personal data should be
The accuracy of the source from which it is collected should be tested, personal data should be
demands arising from the absence of
In this context, reasonable precautions should be taken.
Principle of processing for specific, explicit and legitimate purposes:
Clearly and precisely, the data controller's purpose of data processing
and that this purpose must be legitimate.
Data processing by data controllers other than the stated purposes
In the event of such acts, they will be liable for their actions. your purpose
be legitimate; the data processed by the data controller,
in connection with the work or service it provides and for
15
means necessary. For example, a garment
store's processing of customers' identity and contact information
It is legitimate for blood groups to operate when they are within the scope of a legitimate purpose.
will not be considered within the scope of the purpose.
The purposes of processing personal data are specific, clear and legitimate
principle;
•
A clear statement of personal data processing activities by the person concerned
be understandable,
•
Which legal processing conditions are subject to personal data processing activities?
to be determined based on
•
Personal data processing activity and the realization of this activity
to be presented in detail that will ensure the specificity of its purpose.
provides.
Personal data processing purposes only by the data controller.
Knowing or being predictable is against this principle. Personal
In legal transactions and texts explaining the data processing purposes
(explicit consent, clarification, answering the applications of the person concerned, data
in compliance with the principle of certainty and clarity)
should be sensitive, the use of technical and legal terminology should be avoided.
should be avoided. Acting on this principle is also honesty.
It is also important in terms of compliance with the principle.
Personal data, in connection with the purpose for which they are processed, limited and measured
The principle of being:
The personal data processed can be used for the realization of the determined purposes.
is convenient, unrelated to the achievement of the purpose, or
avoiding the processing of unnecessary personal data
requires. future needs
In order for the data to be processed to meet the
processing conditions will also need to be met. Again
processed data, only with what is necessary for the realization of the purpose
will be limited.
The principle of proportionality, the intended purpose of data processing
means to strike a reasonable balance between So
16
means that the data processing is to the extent that it fulfills the purpose.
For example, from the credit card applicant
information about their preferences for life and social activities.
request would be contrary to the principle of proportionality.
Personal data can only be processed as stipulated in the relevant legislation or
storage for as long as is necessary for the purpose for which they are processed.
to be:
According to this principle, the provisions stipulated in the relevant legislation for data storage.
If there is a period, data controllers will comply with this period, such
If there is no regulation, data controllers can only use the data for the purpose for which they are processed.
can be stored for as long as necessary. a personal
there is no valid reason for further storage of the data
data controller will delete or destroy the data in question.
or anonymized. possibility of future use
Data cannot be stored on the basis of its existence. data controller,
Application for registration in accordance with Article 16 of the Law
the maximum necessary for the purpose for which personal data is processed.
must report the deadline.
As a requirement of the "limitation of purpose principle" of personal data,
storage in accordance with the period required for the purpose for which they are processed.
must be done. In this regard, the data controller, administrative and technical
responsible for taking measures. Article 12 of the Law
data controller as stated; personal data illegal
to prevent the processing of personal data as unlawful
prevent access and protect personal data
necessary to ensure the appropriate level of security in order to
must take all kinds of technical and administrative measures.
In this regard, the data controller, personal data storage and destruction
policy and principles, retention periods and
to determine the technical and administrative measures to be implemented and to
ensure that data is maintained in accordance with these principles.
liable.
17
5. Terms of Processing Personal Data
Conditions of processing personal data with Article 5 of the Law
are held. Pursuant to this regulation, as a rule, personal
The processing of data without the explicit consent of the person concerned is prohibited.
In paragraph (2) of the article, without the explicit consent of the person concerned,
Even the cases where personal data can be processed are foreseen.
According to this;
a.
clearly stipulated in the law,
b.
Incapable of expressing consent due to actual impossibility
whose consent is not given legal validity
one's own or someone else's life or body
necessary for the preservation of its integrity,
c.
directly by the conclusion or performance of a contract.
personal property of the parties to the contract, provided that
it is necessary to process the data,
c.
Legal liability of the data controller
mandatory to bring
D.
The person concerned has been made public by himself,
to.
Data for establishment, exercise or protection of a right
processing is mandatory
f.
Not to harm the fundamental rights and freedoms of the person concerned
for the legitimate interests of the data controller, provided that
mandatory to process
instead
personal data without the explicit consent of the person concerned.
processing is possible.
18
In cases expressly stipulated in the laws, without seeking explicit consent
personal data can be processed. For example, a crime by law enforcement
Police Duties and Powers numbered 2559 due to the investigation
In accordance with Article 5 of the Law, the fingerprints of the suspects
In accordance with the Criminal Records Law No. 5352, the Ministry of Justice
such as processing the data of individuals regarding criminal convictions
express consent is not required.
In cases where the consent cannot be explained or is not valid, the persons
necessary for the preservation of life or bodily integrity
provided that personal data can be processed. for example
the person is unconscious or mentally ill
life or death in a situation where his consent is not valid due to
medical intervention in order to preserve bodily integrity
During the process, personal data may be processed. freedom again
for the purpose of rescuing a restrained person, himself or herself or
phone, computer, credit card, bank
locating via card or other technical means
Personal data may be processed for the purpose of processing.
directly related to the conclusion or performance of a contract
Personal data may be processed, provided that For example, a made
the creditor's account for the payment of the money in accordance with the contract.
number can be obtained. Another loan agreement with a bank
the bank's payroll of that person at the time of its execution,
obtaining the title deed records, the document stating that there is no enforcement debt.
scope will be evaluated.
In order to fulfill its legal obligation, the data controller
will be able to process the mandatory data even without the consent of the person concerned.
For example, in order for a company to pay an employee a salary, a bank
account number, whether he is married, his dependents
such as whether the spouse is working or not, social security number
data processing will be evaluated in this context.
In other words, made public by the person concerned
personal data that has been made public in any way
may be processed without express consent. Here,
It is accepted that the legal interest that needs to be protected has disappeared.
is being done.
19
Data processing for the establishment, exercise or protection of a right
personal data without express consent
data can be processed. In this context, a company's own employee
use some data for proof in a lawsuit filed by
or guardian to protect the rights of a restricted person.
It is lawful for the trustee to keep the financial information of the restricted person.
will be counted.
Provided that it does not harm the fundamental rights and freedoms of the person concerned,
Data processing is mandatory for the legitimate interests of the data controller.
personal data without seeking explicit consent.
can be processed. Accordingly, for example, a company owner's employees
provided that they do not harm their fundamental rights and freedoms,
regulating promotions, salary increases or social benefits
may process personal data for such purposes. In this case,
complying with the basic principles regarding the protection of personal data and
Observing the balance of interests of the data controller and the person concerned
required.
20
6. Processing of Private Personal Data
Conditions
In paragraph (1) of Article 6 of the Law; people's race,
ethnic origin, political opinion, philosophical belief, religion, sect or
other beliefs, dress, association, foundation or union membership,
health, sexual life, criminal conviction and security measures.
personal data of special nature, as well as biometric and genetic data
is organized as Here, the personal data counted, others
the person concerned may become a victim if it is learned by the
or that may result in discrimination
data are taken into account and therefore such data
considered as sensitive data.
As a rule, in accordance with paragraph (2) of the article, special qualifications
It is forbidden to process personal data without the explicit consent of the person concerned.
In accordance with paragraph (3) of the article, health and sexual life
Other special categories of personal data other than
In such cases, it can be processed without seeking the explicit consent of the person concerned. This
according to the law, even without the consent of the person concerned,
special categories of personal data other than health and sexual life
can be processed. Personal data on health and sexual life
but; public health protection, preventive medicine, medical
diagnosis, treatment and care services, health services
secrecy for the purpose of planning and managing the financing of
persons or authorized institutions and
It can be processed by organizations without seeking the explicit consent of the person concerned.
For example, the Ministry of Health, health institutions or Social Security
held by the Institution for the purposes written in paragraph (3), and
The data they process will be evaluated in this context.
In any case, in accordance with paragraph (4) of the Article,
in the processing of personal data, also determined by the Board
Adequate precautions must be taken. In this context, “Special Qualified
Receipt of Personal Data by Data Controllers in Processing
Protection of Personal Data on “Adequate Measures Required”
Board of Directors' decision dated 31.01.2018 and numbered 2018/10 07.03.2018
It was published in the Official Gazette dated 30353.
21
7. Deletion, Destruction of Personal Data
or Anonymization
Deletion and destruction of personal data with Article 7 of the Law
or anonymized. According to this,
In accordance with the provisions of Law No. 6698 and other relevant laws
Although it has been processed, the reasons that require processing are eliminated.
has been removed, the personal data in question ex officio or at the request of the person concerned.
will be deleted, destroyed, or anonymized.
Deletion of personal data in accordance with paragraph (2) of the article,
other related to the destruction or anonymization of
the provisions of the laws are reserved. Accordingly, for example, the Judicial Registry
regulating the deletion or destruction of data in the Law
provisions will be applied with priority according to the Law.
Deletion of personal data in paragraph (3) of the article,
procedures and principles regarding the anonymization or anonymization of
specified in the regulation. In this context, Personal
Deletion, Destruction or Anonymization of Data
Official Regulation No. 30224 dated 28.10.2017
It was published in the newspaper and entered into force.
According to paragraph (1) of Article 8 of the Regulation, personal
deletion of data, no personal data for the relevant users.
It is the process of making it inaccessible and unusable again.
According to paragraph (1) of Article 9 of the Regulation, personal
destruction of data, personal data
inaccessible, irretrievable and unusable.
delivery process. Finally, Article 10 of the Regulation
Anonymization of personal data in accordance with paragraph (1),
Even if personal data is matched with other data, in no way
cannot be associated with a specific or identifiable natural person.
is to be made.
22
8. Transfer of Personal Data
Pursuant to Article 8 of the Law, personal data is transferred to third parties.
transfer is arranged. Article 3 of the Law
The general nature defined in subparagraph (d) of paragraph (1)
personal data and the items listed in paragraph (1) of Article 6
sensitive personal data within the scope of this article
transferable data. The title of Article 9 of the Law is “personal
8th since it is regulated as “transferring the data abroad”
the third parties specified in the article as domestic persons,
The transfer to be made is the data transfer to be made within the country.
should be understood as
In paragraph (1) of the article, as a rule, personal data
cannot be transferred to third parties without the explicit consent of the person concerned.
edited.
In paragraph (2) of the article, the express consent of the person concerned
situations in which personal data can be transferred without seeking
edited. According to this;
a.
listed in paragraph (2) of Article 5 of the Law.
presence of at least one of the processing conditions,
b.
6 of the Law, provided that adequate precautions are taken.
from the conditions specified in paragraph (3) of the Article
finding someone;
•
Special categories of personal data other than health and sexual life
stipulated in laws,
•
In terms of personal data regarding health and sexual life
protection of public health, preventive medicine, medical diagnosis,
execution of treatment and care services, health services
for the purpose of planning and managing its financing
persons or authorized persons under the obligation to keep
in case of processing by institutions and organizations
Transfer of personal data without seeking the explicit consent of the person concerned
possible.
23
With subparagraph (e) of paragraph (1) of Article 3 of the Law,
acts of transfer or acquisition of personal data data processing
activity of personal data, here too
for the processing of either paragraph (1) of Article 5 of the Law.
the explicit consent of the person concerned, or
Paragraph (2) of Article 5 and (3) of Article 6
One of the data processing conditions regulated in paragraph no.
the presence of at least one of them and sufficient in terms of special quality data.
measures need to be taken.
Pursuant to paragraph (3) of the article, personal data
Provisions in other laws regarding the transfer are reserved.
24
9. Transfer of Personal Data Abroad
Transfer of personal data abroad with Article 9 of the Law
are held. Article 3 of the Law numbered (1)
Personal data of general nature defined in subparagraph (d) of the paragraph
with special qualifications listed in paragraph (1) of Article 6
(sensitive) personal data may be transferred within the scope of this article.
are data.
In paragraph (1) of the article, as a rule, the person concerned
Personal data cannot be transferred abroad without consent.
edited. However, in paragraph (2) of the article
express consent of the person concerned, provided that the specified conditions are met
the possibility of transferring personal data abroad without seeking
is known. According to this;
a.
listed in paragraph (2) of Article 5 of the Law.
presence of at least one of the processing conditions,
b.
6 of the Law, provided that adequate precautions are taken.
from the conditions specified in paragraph (3) of the Article
finding someone;
•
Special categories of personal data other than health and sexual life
stipulated in laws,
•
In terms of personal data regarding health and sexual life
protection of public health, preventive medicine, medical diagnosis,
execution of treatment and care services, health services
for the purpose of planning and managing its financing
persons or authorized persons under the obligation to keep
processing by institutions and organizations
c.
Availability of adequate protection
c.
In the absence of adequate protection,
and a sufficient level of data controllers in the relevant foreign country
undertake to protect in writing and that the permission of the Board
provided there is
Personal data are exported abroad without seeking the explicit consent of the person concerned.
transferable.
25
There is sufficient protection in paragraph (3) of the article.
countries will be determined and announced by the Board.
Henüz Kurul tarafından böyle bir belirleme yapılmadığından,
gerçekleştirilecek aktarımlarda tüm ülkeler yeterli korumanın
bulunmadığı ülke statüsündedir.
Maddenin (4) numaralı fıkrasında, yabancı ülkede yeterli koruma
bulunup bulunmadığına ve yeterli korumanın bulunmaması
durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri
durumunda Kurulun verilerin yurtdışına aktarılmasına izin verirken
hangi kriterleri dikkate alacağı düzenlenmektedir. Buna göre, Kurul,
kişisel verilerin yurtdışına aktarılmasında yeterli önlemlerin bulunup
bulunmadığı ile yeterli korumanın bulunmaması durumunda
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir
korumayı yazılı olarak taahhüt etmeleri durumunda;
a.
Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b.
Kişisel veri talep eden ülke ile Türkiye arasında veri
aktarımına ilişkin karşılıklılık durumunu,
c.
Her somut kişisel veri aktarımına ilişkin olarak, kişisel
verinin niteliği ile işlenme amaç ve süresini,
ç.
Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı
ve uygulamasını,
D.
Kişisel verinin aktarılacağı ülkede bulunan veri
sorumlusu tarafından taahhüt edilen önlemleri
değerlendirmek ve ihtiyaç duyması hâlinde ilgili kurum
ve kuruluşların görüşünü de almak suretiyle
karar verir.
26
​Kurulun 02.04.2018 tarihli ve 2018/33 sayılı kararı ile yurtdışına
veri aktarımında veri sorumlularınca hazırlanacak taahhütnamede
yer alacak asgari unsurlar belirlenmiş olup 16.05.2018 tarihinde
Kurumun internet sitesinde ilan edilmiştir.
Maddenin (5) numaralı fıkrasında; uluslararası sözleşme hükümleri
saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi
şekilde zarar göreceği durumlarda ancak ilgili kamu kurum veya
kuruluşunun görüşü alınarak Kurulun izniyle kişisel verilerin yurt
dışına aktarılabileceği düzenlenmiştir.
Maddenin son fıkrası gereğince, kişisel verilerin yurt dışına
aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının
Önlenmesi Hakkında Kanunun uluslararası bilgi değişimi
konusunda Malî Suçları Araştırma Kurulu Başkanına yetki veren
12 ve 19 uncu maddeleri öncelikli olarak uygulanacaktır.
27
28
​ÜÇÜNCÜ BÖLÜM
Haklar ve Yükümlülükler
10. Veri Sorumlusunun Aydınlatma Yükümlülüğü
Kanunun 10 uncu maddesi veri sorumlusunun aydınlatma
yükümlülüğünü düzenlemektedir. According to this; veri sorumlusu
veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında
veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme
amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11
inci maddesinde sayılan diğer hakları konusunda ilgili kişiyi
bilgilendirecektir.
Bu madde uyarınca veri sorumluları veya yetkilendirdiği kişilerce
yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında
uyulacak usul ve esasları belirlemek üzere hazırlanan Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
Hakkında Tebliğ 10.03.2018 tarihli ve 30356 sayılı Resmi Gazetede
yayımlanmıştır.
29
​11. İlgili Kişinin Hakları
Kanunun 11 inci maddesinde kişisel verisi işlenen kişinin Kanunun
ifadesiyle ilgili kişinin hakları sayılmaktadır. Buna göre, herkes veri
sorumlusuna başvurarak kendisiyle ilgili;
a.
Kişisel verilerinin işlenip işlenmediğini öğrenme,
b.
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c.
Kişisel verilerin işlenme amacını ve bunların amacına
uygun kullanılıp kullanılmadığını öğrenme,
ç.
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı
üçüncü kişileri bilme,
D.
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme,
to.
Kanunun 7. maddesinde öngörülen şartlar çerçevesinde
kişisel verilerin silinmesini veya yok edilmesini isteme,
f.
Maddenin (d) ve (e) bentlerinde belirtilen düzeltme,
silme ve yok etme talepleri doğrultusunda yapılan
işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
g.
İşlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h.
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
30
​12. Veri Güvenliğine İlişkin Yükümlülükler
Kanunun 12 nci maddesi ile veri sorumlusunun, veri güvenliğinin
sağlanmasına ilişkin yükümlülükleri düzenlenmektedir.
Maddenin (1) numaralı fıkrası gereğince veri sorumlusu, kişisel
verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı
olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak
için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almakla yükümlü tutulmaktadır.
Maddenin (2) numaralı fıkrasında; kişisel verilerin kendi adına
başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda,
veri sorumlusunun maddenin (1) numaralı fıkrasında belirtilen
tedbirlerin alınması hususunda bu kişilerle birlikte müştereken
sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusunun
şirketine ilişkin kayıtların bir muhasebe şirketi tarafından tutulması
örneğinde, (1) numaralı fıkrada sayılan kişisel verilerin işlenmesine
ilişkin tedbirlerin alınması hususunda veri sorumlusu, muhasebe
şirketiyle birlikte müştereken sorumlu olacaktır.
Maddenin (3) numaralı fıkrasında, Kanun hükümlerinin
uygulanmasını sağlama ve kişisel verilerin Kanunda öngörülen usul
ve esaslara uygun olarak işlenmesi amacıyla veri sorumlusunun
kendi kurum veya kuruluşunda gerekli denetimleri yapma veya
yaptırma yükümlülüğü düzenlenmektedir.
Maddenin (4) numaralı fıkrasında, veri sorumlusu ve veri işleyenin
sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri
sorumlusu ile veri işleyenler, öğrendikleri kişisel verileri Kanun
hükümlerine aykırı olarak başkalarına açıklayamayacak veya şahsi
çıkarları için kullanamayacaklardır. Bu yükümlülük, söz konusu
kişilerin görevlerinden ayrılmalarından sonra da devam edecektir.
Maddenin (5) numaralı fıkrasında ise işlenen kişisel verilerin
kanuni olmayan yollarla başkaları tarafından elde edilmesi
halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine
ve Kurula bildireceği düzenlenmektedir. Kurul, gerekmesi halinde
bu durumu, kendi internet sitesinde ya da uygun göreceği başka
bir yolla ilan edebilecektir. Bu fıkra kapsamında yapılacak veri ihlal
bildirimine ilişkin olarak, kişisel veri ihlali bildirim usul ve esaslarına
ilişkin 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı, Kurumun
internet sitesinde duyurulmuştur.
31
​Kişisel Veri İhlali Bildirim Usul ve Esaslarına
İlişkin Kişisel Verileri Koruma Kurulu Kararı
Karar Tarihi : 24/01/2019
Karar No
: 2019/10
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
(Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;
•
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
•
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
•
Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında
ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından
elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede
ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun,
gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun
göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim
yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya
çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza
indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte
yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC
sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri
ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer
verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar
arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada
bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma
Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;
•
32
Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi
hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve
Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72
saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun
bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72
saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri
ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere
​de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine
ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi
web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim
yapılmasına,
•
Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat
içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte
gecikmenin nedenlerinin de Kurula açıklanmasına,
•
Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal
Bildirim Form”unun kullanılmasına,
•
Formda yer alan bilgilerin aynı anda sağlanmasının mümkün

olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin
aşamalı olarak sağlanmasına,
•
Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin
ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine
hazır halde bulundurulmasına,
•
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu
konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna
bildirimde bulunmasına,
•
Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması
halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri
etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de
faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı
esaslar çerçevesinde Kurula bildirimde bulunulmasına,
•
Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi
nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak
bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi
hususunda, kendi nezdindeki sorumluluğun kimde olduğunun
belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı
hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine
karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
33
​Bu maddenin (5) numaralı fıkrası kapsamında
bugüne kadar ilan edilen veri ihlal bildirimleri:
14 Şubat 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) – Arkas Otomotiv Servis ve Ticaret
A.Ş. (“Arkas Otomotiv”)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Arkas Otomotiv Servis ve Ticaret A.Ş.
(“Arkas Otomotiv”) unvanlı şirket tarafından Kurumumuza gönderilen
06.02.2019 tarihli yazıda özetle;
Arkas Otomotiv ile Optimum Otomotiv Satış sonrası Çözümleri Tic. A.Ş.
(OPTİMUM) arasında iş ilişkisinin bulunduğu,
OPTİMUM sunucularına yetkisiz şifre girişi ile siber saldırı yapıldığı,
Siber saldırı neticesinde veri kopyalama yapılıp yapılmadığı, yapıldı ise
hangi verilerin kopyalandığına ilişkin OPTİMUM tarafından veri sorumlusu
ile bilgi paylaşılmadığı ve hâlihazırda belirgin olmadığı,
bilgilerine yer verilmiştir.
Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma
Kurulunun 14.02.2019 tarih ve 2019/27 sayılı Kararı ile bu aşamada söz
konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar
verilmiştir.
Kamuoyuna saygıyla duyurulur.
34
​14 Şubat 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) – Clickbus Seyahat Hizmetleri A.Ş.
(Nereden Nereye)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Clickbus Seyahat Hizmetleri A.Ş.
(“ClickBus”) unvanlı şirket tarafından Kurumumuza gönderilen 07.02.2019
tarihli yazıda özetle;
Ekim ve Kasım 2018 tarihlerinde ClickBus sunucularında bazı olağan dışı
faaliyetler gerçekleştiği,
Yapılan incelemede, 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen
dönemde ClickBus’ı kullanan müşterilerinin bilgilerinin yer aldığı bilgi
sistemlerine izinsiz erişim sağladığı yönünde kanıtlar tespit edildiği,
Veri ihlalinden 67.519 kişinin etkilenmiş olabileceği,
Veri ihlaline konu olan veriler içerisinde; Ödeme Anahtarı, Yolculuk
Numarası, Sepet Numarası, Sipariş Numarası, Toplam Tutar, Seyahat
Türü, Her Yolcunun Kimlik Bilgileri (Cinsiyet, Ad, TCKN, Doğum tarihi,
Kalkış/varış yer ve saati, Yolcu başına ücret, Referans numarası ve Yolcu
türü), İletişim Bilgileri (Cep telefonu ülke kodu, Cep telefonu numarası,
Sabit hat ülke kodu, Sabit hat numarası, Sabit hat uzantısı/dahilisi, E-posta
adresi, Sms gönderi izni, Ticari elektronik ileti izni), Ödeme Bilgileri (Kart
üzerinde yazan isim, Kart numarası, Kartın son kullanma tarihindeki ay/
yıl, Kartın güvenlik kodu, Taksit bilgisi, İndirim kodu, Seyahat sigortası
alınıp alınmadığına ilişkin bilgi, Site kullanım koşullarını kabul bilgisi),
Segmentler, Ödeme Seçenekleri, Hata Sebebi, Oturum Kimliği (Session
35
​ID), Oturum simgesi (Session token) gibi kişisel verilerin olduğu,
ClickBus tarafından herhangi bir kişisel verinin kötüye kullanıldığına dair
bir kanıta rastlanmadığı
bilgilerine yer verilmiştir.
Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma
Kurulunun 14.02.2019 tarih ve 2019/29 sayılı Kararı ile bu aşamada söz
konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar
verilmiştir.
Kamuoyuna saygıyla duyurulur.
36
​14 Şubat 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) – Enterprise (“Yes Oto”)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Yes Oto Kiralama ve Turizm Yatırımları A.Ş.
(Enterprise - Yes Oto) unvanlı şirket tarafından Kurumumuza gönderilen
31.01.2019 tarihli yazıda özetle;
Enterprise (Yes Oto ) ile Optimum Otomotiv Satış sonrası Çözümleri Tic.
A.Ş. (OPTİMUM) arasında iş ilişkisinin bulunduğu,
OPTİMUM’un siber saldırıya uğradığı,
Müşteri ve evrak bilgilerinin yetkisiz kişiler tarafından alındığı,
Siber saldırı neticesinde Enterprise (Yes Oto ) şirketine ait herhangi
bir verinin alınıp alınmadığına dair OPTİMUM tarafından net bir ifade
kullanılmadığı
bilgilerine yer verilmiştir.
Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma
Kurulunun 14.02.2019 tarih ve 2019/28 sayılı Kararı ile bu aşamada söz
konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar
verilmiştir.
Kamuoyuna saygıyla duyurulur.
37
​06 Şubat 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) - Holiday Inn İstanbul – Şişli
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Şişli Turizm Yatırımları İnşaat San. ve Tic.
A.Ş. (Holiday Inn İstanbul - Şişli) unvanlı şirket tarafından Kurumumuza
gönderilen 05.02.2019 tarihli yazıda özetle;
Şişli Turizm Yatırımları İnşaat San. ve Tic. A.Ş. tarafından işletilen ve 19
Mayıs Mahallesi, Halaskargazi Cd. No:206 34360 Şişli/İstanbul adresinde
mukim otelin (Holiday Inn İstanbul - Şişli) 1 Ocak 2019 tarihinde siber
saldırıya maruz kaldığı,
Siber saldırı sonrasında ilgili yedek verilerin saldırıyı yapan kişiler
tarafından silindiği,
Siber saldırıya ilişkin şirket teknik ekibi tarafından detaylı bir rapor
çalışmasına başlandığı
bilgilerine yer verilmiştir.
Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma
Kurulunun 06.02.2019 tarih ve 2019/20 sayılı Kararı ile bu aşamada söz
konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar
verilmiştir.
Kamuoyuna saygıyla duyurulur.
38
​06 Şubat 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) - Hedef Araç Kiralama ve Servis A.Ş.
(HedefFilo)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Hedef Araç Kiralama ve Servis A.Ş.
(HedefFilo) unvanlı şirket tarafından Kurumumuza gönderilen 25.01.2019
tarihli yazıda özetle;
Hedef Araç Kiralama ve Servis A.Ş. ile Optimum Otomotiv Satış sonrası
Çözümleri Tic. A.Ş. (OPTİMUM) arasında iş ilişkisinin bulunduğu,
OPTİMUM sunucularına yetkisiz şifre ile siber saldırı yapıldığı,
Siber saldırının HedefFilo tüzel kişi müşterilerinin gerçek kişi çalışanlarını
kapsayıp kapsamadığının henüz belirlenmemiş olduğu
bilgilerine yer verilmiştir.
Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma
Kurulunun 06.02.2019 tarih ve 2019/17 sayılı Kararı ile bu aşamada söz
konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar
verilmiştir.
Kamuoyuna saygıyla duyurulur.
39
​25 Ocak 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) - Optimum Otomotiv Satış Sonrası
Çözümleri Tic. A.Ş. (OPTİMUM)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
OPTİMUM OTOMOTİV SATIŞ SONRASI ÇÖZÜMLERİ TİC. A.Ş.
(OPTİMUM) unvanlı şirket tarafından Kurumumuza gönderilen 23.01.2019
tarihli yazıda;
Aralık 2018 tarihinde sunucu (server) sistemlerine yetkisiz şifre girişi ile
yapılan siber saldırının bilgi işlem uzmanları tarafından tespit edildiği,
Gerçekleştirilen siber saldırıya ilişkin hangi kişisel verilerin ele geçirildiği
ve kimlere ait olduğu hakkında şirket teknik ekibi tarafından detaylı bir
rapor çalışmasına başlandığı ancak konunun teknik boyutu nedeniyle
çalışmanın henüz sonuçlanmadığı,
Siber saldırının hangi müşterileri ve veri gruplarını etkilediğinin kesin
olarak belirlenemediği,
Siber saldırıdan kendi çalışanlarının verilerinin de etkilenmiş olabileceği
bilgilerine yer verilmiştir.
Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/16 sayılı
Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan
edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
40
​25 Ocak 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) - ALD Automotive Turizm Ticaret A.Ş.
(ALD AUTOMOTIVE)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
ALD AUTOMOTIVE TURİZM TİCARET A.Ş. (ALD AUTOMOTIVE) unvanlı
şirket tarafından Kurumumuza gönderilen 22.01.2019 tarihli yazıda;
Veri sorumlusu sıfatını haiz olan ALD AUTOMOTIVE’in müşterilerine
kiralık olarak kullandırdığı araçlar ve süreçler ile ilgili Optimum Otomotiv
Satış sonrası Çözümleri Tic. A.Ş. (OPTİMUM) şirketinden Hasar Yönetim
Sistem Desteği, Yedek Parça Tedarik Sistem Hizmeti, Anlaşmalı Servis
Yönetim Sistem Desteği, Hasar Uzmanı Outsource Hizmeti, Mekanik
Bakım Onarım Sistem Hizmeti, Sistem Entegrasyonu, İkame Araç
Modülü, Servis Network Yönetimi hizmetlerini aldığı,
OPTİMUM tarafından yönetilen sistemde veri sorumlusu ve çalışanları,
veri sorumlusu müşterileri ve çalışanları, veri sorumlusu araç kullanıcıları,
veri sorumlusu servis tedarikçileri ve çalışanları, veri sorumlusu sigorta
hizmetlerini gören sigorta şirketleri ve çalışanları, veri sorumlusunun
araçlarının karıştığı kazalarda karşı taraf sürücüleri ve diğer bütün ilgili
kişiler hakkındaki kişisel verilerin işlendiği,
OPTİMUM şirketinin web sitesine yasa dışı yollarla (siber saldırı) girilmiş
olduğu ve bu vesile ile sunucu (server) sistemine ulaşıldığına ilişkin
OPTİMUM tarafından ALD AUTOMOTIVE’e detay verilmeden 14.01.2019
tarihinde telefon ile 15.01.2019 tarihinde ise e-posta ortamında bilgi
verildiği,
Siber saldırı neticesinde birçok kişi, şirket, kurum kuruluşa ait kişisel
verilerin kopyalanmış olabileceği,
41
​Siber saldırı sonucunda veri kopyalama yapılıp yapılmadığı, yapıldı
ise hangi verilerin kopyalandığına ilişkin ALD AUTOMOTIVE ile bilgi
paylaşılmadığı ve halihazırda belirgin olmadığı,
Siber saldırı ile ele geçirildiği belirtilen veriler ile ilgili kesin bir durumun
olmadığı,
Veri ihlali sebebiyle ele geçirilen veri olup olmadığı, varsa bu verilerin
hangi firmanın müşterisi olduğu veya kimlerin verilerinin ele geçirildiğinin
tespit edilmeye çalışıldığı
bilgilerine yer verilmiştir.
Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/14 sayılı Kararı
ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine
karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
42
​25 Ocak 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) - TEB Arval Araç Filo Kiralama A.Ş.
(TEB ARVAL)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
TEB ARVAL ARAÇ FİLO KİRALAMA A.Ş. (TEB ARVAL) unvanlı şirket
tarafından Kurumumuza gönderilen 21.01.2019 tarihli yazıda;
TEB ARVAL şirketinin müşterilerine kiraladığı araçların hasar ve kaza
süreçlerini yönetmek amacıyla Optimum Otomotiv Satış Sonrası
Çözümleri Tic. A.Ş.’den (“OPTİMUM”) taraflar arasında 13 Eylül 2013
tarihinde imzalanan sözleşme kapsamında dış kaynak destek hizmeti
aldığı,
TEB ARVAL şirketinin OPTİMUM şirketine ait Optimum Çözüm
uygulamasını kendi operasyonlarında yürütmede kullandığı,
Optimum Çözüm uygulamasının temel olarak hasar veya kaza
durumlarında onarım ve ödeme süreçlerinin yürütülmesi ve takibi
amacıyla kullanıldığı,
Optimum Çözüm uygulamasının müşteri, sürücü, tedarikçi ve üçüncü kişi
bilgilerini içerebildiği,
Optimum Çözüm uygulamasının yazılım, geliştirme, barındırma hizmetleri
ve işletilmesinin bizzat OPTİMUM şirketi tarafından sağlandığı,
11.01.2019 tarihinde, bilinmeyen kişiler tarafından TEB ARVAL kurumsal
internet sitesinde yer alan müşteri iletişim formu kullanılarak; Optimum
Çözüm uygulamasına yetkisiz şekilde erişildiği ve şirketlerine ait verilerin
ele geçirildiği mesajı iletildiği, bu mesajın alınmasını müteakip konunun
veri güvenliği ve diğer ilgili birimler tarafından incelenmeye başlandığı,
43
​Optimum Çözüm uygulamasının kullanılmaya başlandığı 13 Eylül 2013
tarihinden itibaren TEB ARVAL’den Optimum Çözüm uygulamasını
kullanarak hasar ve kaza yönetimi hizmeti almış olan müşteriler,
sürücüler, tedarikçiler ve TEB ARVAL’e ait araçların dahil olduğu kazaya
karışmış olan üçüncü şahısların söz konusu veri sızıntısından etkilenmiş
olabileceğinin değerlendirildiği,
OPTİMUM şirketinden alınan hizmetin kapsamı gereği, veri sızıntısına
konu kişisel verilerin temel olarak; ehliyet, nüfus cüzdanı, pasaport, kaza
tespit tutanağı, kaza beyanı, araç ruhsatı, polis/jandarma kaza tutanakları,
trafik sigortası ve diğer ilgili sigorta poliçeleri, kazalı araçların ve olay yerini
fotoğrafları, varsa sağlık raporu, sigorta eksperi raporları, hasar onarım ve/
veya yedek parça faturaları, hasar veya kaza ile ilgili varsa diğer belgeler
ile sürücülerin e-posta adresleri olduğunun değerlendirildiği,
bilgilerine yer verilmiştir.
Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/15 sayılı
Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan
edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
44
​24 Ocak 2019 Yayın Tarihli Kamuoyu Duyurusu (Veri
İhlali Bildirimi) - ANIMOTO Inc. (Animoto)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
ANIMOTO Inc. (Animoto) unvanlı şirket adına Kurumumuza gönderilen
15.01.2019 tarihli yazıda;
Animoto’nun 10 Temmuz 2018 tarihinde sunucularında alışılmışın dışında
ağ trafiği farkettiği,
6 Ağustos 2018 tarihinde Animoto’nun veri ihlali yaşanmış olabileceği
ihtimalini tespit ettiği,
Veri ihlalinden dünya çapında 22 milyon kişinin etkilenmiş olabileceği,
Türkiye’de veya başka bir şekilde coğrafi olarak Türkiye içinde
konumlandırılmış yaklaşık 90.000 kişinin veri ihlalinden etkilenmiş
olabileceği,
Animoto’nun, Türkiye’de tam fatura adresi bilgisine sahip olduğu yaklaşık
1.500 abonesinin bulunduğu,
Veri ihlalinden etkilenmiş olabilecek verilerin müşterinin adı soyadı,
kullanıcı adı (e-posta adresi), özetlenmiş (hashed) ve tuzlanmış (salted)
şifreler, yüksek seviye coğrafi konum bilgisi (şehir ve ülkeye denk gelecek
şekilde), cinsiyet ve doğum tarihi olduğu,
Saldırganların şifre tuzuna (salt) erişmiş olabileceği,
Türkiye’de yerleşik Animoto kullanıcılarının kişisel verilerinin ele
geçirildiğine ilişkin kesin bir tespitin yapılmadığı,
Yetkisiz veri sızıntısını gösteren kesin bir delil olmadığı,
45
​bilgilerine yer verilmiştir.
Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun
24.01.2019 tarih ve 2019/13 sayılı Kararı ile ANIMOTO Inc. nezdinde
gerçekleşen söz konusu veri ihlalinin Kurumun internet sayfasında ilan
edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
46
​5 Aralık 2018 Yayın Tarihli Kamuoyu Duyurusu
(Veri İhlali Bildirimi) - Marriott International, Inc.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
ABD merkezli otel zinciri olan Marriott International, Inc. (Şirket) unvanlı
şirketten alınan 04.12.2018 tarihli yazıda;
8 Eylül 2018 tarihinde, kurum içi güvenlik aracından Starwood konuk
rezervasyon veri tabanına erişim girişimi ile ilgili uyarı aldıkları,
Yaptıkları inceleme sırasında 2014 yılından itibaren Starwood ağına
yetkisiz erişim olduğu,
Yetkisiz erişim yapan tarafın bilgileri kopyalayarak şifrelediği,
19 Kasım 2018 tarihinde Şirket tarafından bilgilerin şifresinin çözüldüğünü
ve içeriğin Starwood konuk rezervasyon veri tabanından alındığı,
20 Eylül 2018 tarihinde veya öncesinde bir Starwood tesisinde
rezervasyon yapmış olan ve sayıları yaklaşık 500 milyonu bulan konuğa
ilişkin bilgilerin yer aldığı,
Bu konuklardan yaklaşık 327 milyonuna ilişkin bilgiler arasında ad soyad,
posta adresi, telefon numarası, e-posta adresi, pasaport numarası,
Starwood Tercih Edilen Konuk (“SPG”) hesabı bilgileri, doğum tarihi,
cinsiyet, varış ve ayrılış bilgileri, rezervasyon tarihi ve iletişim tercihlerinin
çeşitli kombinasyonlarının yer aldığı,
Bazı kişilere ilişkin bilgiler arasında İleri Şifreleme Standardı ile şifrelenmiş
ödeme yapılan kartların numaraları ve bu kartların son kullanma tarihlerinin
bulunduğu, ancak bu şifrelerin çözülüp çözülemediğini söyleyemedikleri,
Starwood markalı; W Hotels, St. Regis, Sheraton Hotel & Resorts, Westin
47
​Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection,
Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton
and Design Hotels ve devremülk tesisleri olduğu,
bilgilerine yer verilmiştir.
Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun
05.12.2018 tarih ve 2018/147 sayılı Kararı ile Marriott International, Inc. and
bağlı kuruluşları nezdinde gerçekleşen söz konusu veri ihlalinin Kurumun
internet sayfasında ilan edilmesine karar verilmiştir.
Öte yandan, konuya ilişkin sorular için info.starwoodhotels.com internet
sitesinin ziyaret edilmesi mümkün bulunmaktadır.
Kamuoyuna saygıyla duyurulur.
48
​30 Ekim 2018 Yayın Tarihli Kamuoyu Duyurusu
(Veri İhlali Bildirimi)-Cathay Pacific Airways Limited
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Hong Kong merkezli havayolu şirketi Cathay Pacific Airways Limited
(Şirket) unvanlı şirketten alınan 25.10.2018 tarihli yazıda;
13 Mart 2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren
bilgi sistemlerine yetkisiz erişim sağlandığı, (Şirket tarafından yapılan
inceleme sonucunda konuya ilişkin tespitlerin 7 Mayıs 2018 tarihinde
ortaya çıktığı)
Bahse konu veri ihlalinden Cathay Pacific Airways Limited yolcularının
kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong Dragon Airlines
Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel
verilerinin de etkilendiği,
Şirket tarafından yapılan incelemede Türkiye’de 1.286 kişinin söz konusu
ihlalden etkilendiği, diğer taraftan Türkiye’de 155 kişinin pasaport
numarasına erişildiği,
Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu,
doğum tarihi, telefon numarası, elektronik posta adresi, pasaport
numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri
hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan
erişilen kişisel veri türü ve sayısının etkilenen her yolcu özelinde değişiklik
gösterdiği
bilgisine yer verilmiştir.
Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun
30.10.2018 tarih ve 2018/124 sayılı Kararı ile Cathay Pacific Airways
49
​Limited ve bağlı kuruluşları nezdinde gerçekleşen söz konusu veri
ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Öte yandan, konuya ilişkin sorular için infosecurity.cathaypacific.com
internet sitesinin ziyaret edilmesi veya infosecurtiy@cathaypacific.com
e-posta adresi üzerinden destek alınması mümkün bulunmaktadır.
Kamuoyuna saygıyla duyurulur.
50
​29 Haziran 2018 Yayın Tarihli Kamuoyu Duyurusu
(Veri İhlali Bildirimi)-Ticketmaster UK
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Ticketmaster UK (Ticketmaster İngiltere) adına Biletix Bilet Dağıtım Basım
ve Tic. A.Ş. (Biletix A.Ş.) tarafından 28.06.2018 tarihinde Kurumumuza
yapılan bildirimde;
23 Haziran 2018 tarihinde Ticketmaster İngiltere firmasına dış kaynaklı
hizmet sunan Inbenta Technologies tarafından sağlanan ve müşteri
destek hizmetleri için kullanılan ürün üzerinde kötü amaçlı bir yazılım
tespit edildiği,
Inbenta Technologies tarafından sunulan bu ürünün tüm Ticketmaster
International web sitelerinde kullanılmış olması sebebiyle bazı müşterilerin
kişisel verilerine ve ödeme bilgilerine tanımlanmamış üçüncü kişiler
tarafından izinsiz olarak erişilmiş olabileceği,
Türkiye’de kredi kartı ve debit kart numaralarına ilişkin potansiyel bir
tehlike olup olmadığının tespit edilmesi için Ticketmaster İngiltere
tarafından adli müfettişlerle gerçekleştirilen çalışmaların devam ettiği,
Bu anlamda, Türkiye’de Biletix A.Ş. aracılığıyla bilet almış veya almayı
denemiş kullanıcıların verilerine erişildiğine ilişkin herhangi bir kanıt
bulunmamakla birlikte, Eylül 2017 ile 23 Haziran 2018 tarihleri arasında
işlem yapan kullanıcılara azami tedbiri almak adına bir bilgilendirme maili
gönderildiği
bilgisine yer verilmiştir.
Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma
Kurulunun 29.06.2018 tarih ve 2018/72 sayılı Kararı ile bu aşamada
51
​Biletix A.Ş. kullanıcılarının söz konusu yetkisiz erişimden etkilenip
etkilenmediği hususunda kesin bir bilgi bulunmamakla birlikte, Biletix
A.Ş.’nin de Ticketmaster İngiltere ile aynı yazılımı kullandığı göz önüne
alındığında, ilgili kişiler açısından olası bir güvenlik riskine karşın bilgi
sahibi olunabilmesini ve Biletix A.Ş. tarafından yapılan yönlendirmeler
çerçevesinde gerekli tedbirlerin alınabilmesini teminen Ticketmaster
İngiltere nezdinde gerçekleşen ve Türkiye’deki Biletix A.Ş. kullanıcılarının
da etkilenmiş olabileceği söz konusu yetkisiz erişimin 6698 sayılı Kişisel
Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrası
çerçevesinde Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Öte yandan, konuya ilişkin sorular için https://guvenlik.biletix.com
internet sitesinin ziyaret edilmesi veya fan.help@biletix.com e-posta adresi
üzerinden destek alınması mümkün bulunmaktadır.
Kamuoyuna saygıyla duyurulur.
52
​4 Mayıs 2018 Yayın Tarihli Kamuoyu Duyurusu
(İhlal Bildirimi)-Careem Networks Teknoloji A.Ş.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun
“Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5)
numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa
sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilir.” hükmünü amirdir.
Araç çağırma hizmeti sunmak üzere Türkiye’deki faaliyetlerini Careem
Networks Teknoloji A.Ş. aracılığıyla yürüten Dubai merkezli Careem Inc.
(Şirket) unvanlı şirketten alınan 18.04.2018 tarihli yazıda;
Müşteri ve sürücü bilgilerinin tutulduğu bilgisayar sistemlerine 14.01.2018
tarihinde yetkisiz üçüncü kişilerce erişim sağlandığı, (yapılan inceleme
sonucunda konuya ilişkin tespitlerin 21.03.2018 tarihinde ortaya çıktığı,)
Şirket tarafından adli bilişim incelemesi başlatıldığı ve önde gelen bir
siber güvenlik şirketinin konu ile ilgili görevlendirildiği,
Söz konusu yetkisiz erişimden Türkiye’de mukim 103.337 müşteri ile 900
araç sürücüsünün etkilendiği,
Yetkisiz erişim sağlanmış olan kişisel veriler arasında müşterilerin isim,
telefon numarası, kredi kartı bilgisi, e-posta adresi, kayıtlı konum bilgisi
ve yolculuk özeti bilgisi ile araç sürücülerine ait isim telefon numarası,
araç modeli, plaka numarası, yolculuk özeti, uluslararası banka hesap
numarası, T.C. kimlik numarası ve ehliyet numarası bilgilerinin olabileceği
bilgisine yer verilmiştir.
Yapılan değerlendirmeler neticesinde, Kişisel Verileri Koruma Kurulunun
02.05.2018 tarih ve 2018/45 sayılı Kararı ile Careem Inc. nezdinde
gerçekleşen söz konusu yetkisiz erişimin Kurumun internet sayfasında
ilan edilmesine karar verilmiştir.
Öte yandan, konuya ilişkin sorular için https://blog.careem.com/security
internet sitesinin ziyaret edilmesi veya infosupport@careem.com e-posta
adresi üzerinden destek alınması mümkün bulunmaktadır.
Kamuoyuna saygıyla duyurulur.
53
54
​DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili
13. Veri Sorumlusuna Başvuru
Kanunun 13 üncü maddesinde, ilgili kişinin veri sorumlusuna başvuru
yolu düzenlenmektedir.
Maddenin (1) numaralı fıkrasına göre, ilgili kişilerin Kanunun
uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri
zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya
da Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân
sağlanmaktadır.
Bu kapsamda, veri sorumlusuna başvuru usul ve esasları ile işlemin ayrıca
bir maliyet gerektirmesi hâlinde alınacak ücret ile ilgili esasları belirlemek
üzere hazırlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ 10.03.2018 tarihli ve 30356 sayılı Resmi Gazetede yayımlanarak
yürürlüğe girmiştir.
Maddenin (2) numaralı fıkrasında, talebi alan veri sorumlusunun;
ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde,
Kurul tarafından belirlenen tarifeye göre, alacağı ücret mukabilinde en
kısa sürede ve en geç otuz gün içinde talebi incelemesi, kabul veya
gerekçesini açıklayarak reddetmesi, ayrıca cevabın ilgili kişiye bildirmesi
öngörülmektedir. Veri sorumlusunun gerçek kişi veya özel hukuk tüzel
kişisi de olabileceği ve bu sayılanların 7201 sayılı Tebligat Kanununa
tabi olmamaları dikkate alınarak, veri sorumlusunun cevabını ilgili kişiye
“bildirmesi” hükme bağlanmaktadır. Bu bildirim, bir ispat sorunu olup
gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi
kurum ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca
resmi tebligat yoluyla yapacakları ise açıktır.
Maddenin (3) numaralı fıkrası gereğince, veri sorumlusu talebi kabul
eder veya gerekçesini açıklayarak reddeder. Veri sorumlusu cevabını ilgili
kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan
talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.
Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde
alınan ücret ilgiliye iade edilir.
55
​14. Kurula Şikâyet
Kanunun 14 üncü maddesi ile Kurula şikâyet yolu
düzenlenmektedir. According to this; Kanunun 13 üncü maddesi
kapsamında yapılan başvurunun reddedilmesi, verilen cevabın
yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hallerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten
itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün
içinde Kurula şikâyette bulunabilir.
Maddenin (2) numaralı fıkrasında, Kanunun 13 üncü maddesinde
düzenlenen başvuru müessesesinin zorunlu bir başvuru yolu
olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği
hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir
kısmının veri sorumluları tarafından giderilmesi ve bu suretle
Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi
amaçlanmaktadır. Başvuru yoluna gitmenin zorunlu, şikâyet
yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen
veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette
bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna
gidebilmesi mümkün olacaktır.
Maddenin (3) numaralı fıkrası ile kişilik hakları ihlal edilenlerin,
genel hükümlere göre tazminat hakkının saklı tutulduğu
düzenlenmektedir. Bu kapsamda, veri sorumlusunun hukuki
statüsüne göre ilgililer adli ya da idari yargıda dava açabileceklerdir.
56
​15. Şikâyet Üzerine veya Resen İncelemenin
Usul ve Esasları
Kanunun 15 inci maddesi ile Kurul tarafından yapılacak incelemenin
usul ve esasları düzenlenmektedir.
Maddenin (1) numaralı fıkrası gereğince, Kurul, şikâyet üzerine veya
ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda
gerekli incelemeyi yapar. Bu inceleme şikâyete ya da resen öğrenilen
şikâyet konusuna münhasır olacaktır. Kurulun resen genel inceleme
yetki ve görevi bulunmamaktadır.
Maddenin (2) numaralı fıkrası gereğince, 01.11.1984 tarihli ve
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6
ncı maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler
incelemeye alınmayacaktır.
Maddenin (3) numaralı fıkrası gereğince, veri sorumluları, devlet sırrı
niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri
Kurula on beş gün içinde göndermek veya gerektiğinde yerinde
inceleme yapılmasına imkân sağlamak zorundadır.
Maddenin (4) numaralı fıkrası gereğince, şikâyet üzerine Kurul talebi
inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış
gün içinde cevap verilmezse talep reddedilmiş sayılır. According to this,
şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari
yargıda dava açma süresi başlayacaktır. Kurulun, şikâyet üzerine
yapacağı inceleme için altmış günlük süre öngörülmüş ise de resen
yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir.
Maddenin (5) numaralı fıkrası gereğince, şikâyet üzerine veya resen
yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde
Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından
giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden
itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Maddenin (6) numaralı fıkrası gereğince, şikâyet üzerine veya resen
yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi
hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul,
ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve
kuruluşların görüşlerini de alabilir.
Maddenin son fıkrası ile telafisi güç veya imkânsız zararların doğması
ve açıkça hukuka aykırılık olması hâlinde, Kurula, veri işlenmesinin
veya verinin yurt dışına aktarılmasının durdurulmasına karar verme
yetkisi tanınmıştır.
57
​Bu maddenin (6) numaralı fıkrası kapsamında
Kurulun aldığı ilke kararları:
Kişisel Verileri Koruma Kurulunun
16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı
Karar Tarihi
: 16/10/2018
Karar No
: 2018/119
Konu Özeti
: Veri sorumluları ve veri işleyenler tarafından ilgili
kişilerin e-posta adreslerine veya SMS ya da çağrı
ile cep telefonlarına reklam bildirimleri/aramaları
yönlendirilmesinin önüne geçilmesini teminen ilke
kararı alınması
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine
aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine
veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları
geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal
eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler
çerçevesinde ulaşılan tespitler dikkate alınarak;
58
•
İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin
(2) numaralı fıkrasında hüküm altına alınan işleme şartlarını
sağlamadan, telefon numaralarına SMS göndermek, arama yapmak
veya e-posta adreslerine posta göndermek suretiyle reklam içerikli
ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam
içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla
ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri
işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci
maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,
•
Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere
hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin
​muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya
tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması
hususunda bu kişilerle birlikte müştereken sorumlu olduğu,
•
Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları
hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem
tesis edileceği,
•
Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde
edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza
Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme”
başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında
gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza
Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili
Cumhuriyet Başsavcılığına bildirileceği
hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının
Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile
karar verilmiştir.
59
​Veri sorumlusu nezdindeki kişisel verilere erişim
yetkisi bulunan personelin yetkisi ve amacı
dışında söz konusu verileri işlemesi hususunun
değerlendirilmesine ilişkin 31/05/2018 tarih ve
2018/63 sayılı ilke kararı
Karar Tarihi
: 31/05/2018
Karar No
: 2018/63
Konu Özeti
:Veri sorumlusu nezdindeki kişisel verilere erişim
yetkisi bulunan personelin yetkisi ve amacı dışında söz
konusu verileri işlemesi hususunun değerlendirilmesi
Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle
kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve
işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma
intikal eden ihbar ve şikâyetlere ilişkin yapılan değerlendirme sonucunda,
uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;
•
Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev
itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri
aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara
veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel
verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci
maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu
kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca
uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik
ve idari tedbirin alınması gerektiği hususunda veri sorumlularının
bilgilendirilmesine,
•
Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan
bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde
yayımlanmasına
oy birliği ile karar verilmiştir.
60
​Rehberlik Hizmeti Veren İnternet Sitelerinde/
Uygulamalarda Kişisel Verilerin Korunmasına
Yönelik Kişisel Verileri Koruma Kurulunun
21/12/2017 Tarihli ve 2017/61 Sayılı İlke Kararı
Karar Tarihi
: 21/12/2017
Karar No
: 2017/61
Konu Özeti
: Rehberlik Hizmeti Veren İnternet Sitelerinde/
Uygulamalarda Kişisel Verilerin Korunması
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı
olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası
veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti
veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri
Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan
değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya
sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin
paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine,
telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının
telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda
hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit
edilmiştir.
Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak
düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için
öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından
birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin
yerine getirilmesi gerekmektedir.
61
​Bu kapsamda;
•
Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin
iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil
uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin
Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal
durdurulması gerektiği,
•
Belirtilen şekilde söz konusu faaliyetlerde bulunan internet
sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi
edinilmesi halinde bu internet sitelerine/uygulamalara erişimin
engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara
başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı
olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk
Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele
Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/
uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun
Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren
Cumhuriyet Başsavcılığına bildirileceği
hususlarında kamuoyunun bilgilendirilmesine,
•
Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan
bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde
yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci
maddesi kapsamında işlem yapılacağına
oy birliği ile karar verilmiştir.
62
​Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel
Verilerin Korunmasına Yönelik Kişisel Verileri
Koruma Kurulunun 21/12/2017 Tarihli ve 2017/62
Sayılı İlke Kararı
Karar Tarihi
: 21/12/2017
Karar No
: 2017/62
Konu Özeti
: Banko, Gişe, Masa gibi Hizmet Alanlarında
Kişisel Verilerin Korunması
Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan
kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma
Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme
sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini
teminen;
•
Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan
ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri,
turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri,
çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve
nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör
kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması
Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin
korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi
olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın
konumda hizmet alanların birbirlerine ait kişisel verileri duymasını,
görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte
gerekli teknik ve idari tedbirleri almasına,
•
Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan
bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde
yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci
maddesi kapsamında işlem yapılacağına
oy birliği ile karar verilmiştir.
63
​16. Veri Sorumluları Sicili
Kanunun 16 ncı maddesi ile veri sorumlularının kaydedileceği
Veri Sorumluları Sicili düzenlenmektedir. Maddenin (1) numaralı
fıkrasına göre, Veri Sorumluları Sicili, Kurulun gözetiminde,
Başkanlık tarafından kamuya açık olarak tutulur.
Maddenin (2) numralı fıkrası, kişisel verileri işleyen gerçek ve
tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları
Siciline kaydolmaları zorunluluğunu getirmiştir. Ancak işlenen
verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması
veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından
belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile
kayıt zorunluluğuna Kurul tarafından istisna getirilebilmektedir.
Bu kapsamda, Kurul kararları ile Veri Sorumluları Siciline kayıt
yükümlülüğünden istisna tutulacak veri sorumluları belirlenmiş
olup bugüne kadar konu ile ilgili verilen kararlar şöyledir:
Kurulun 02/04/2018 tarih ve 2018/32 sayılı kararı ile Veri
Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak
veri sorumluları;
64
a.
Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
b.
18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca
faaliyet gösteren noterler,
c.
04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre
kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı
Vakıflar Kanuna göre kurumuş vakıflardan ve 18/10/2012
tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi
Kanununa göre kurulmuş sendikalardan yalnızca ilgili
mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve
sadece kendi çalışanlarına, üyelerine, mensuplarına ve
bağışçılarına yönelik kişisel veri işleyenler,
ç.
22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa
göre kurulmuş siyasi partiler,
D.
19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca
faaliyet gösteren avukatlar,
to.

1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali
Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca
faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve
Yeminli Mali Müşavirler.
Kurulun 28/06/2018 tarih ve 2018/68 sayılı kararı ile Veri
Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak
veri sorumluları:
a.
4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren
Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri.
Kurulun 05/07/2018 tarih ve 2018/75 sayılı kararı ile Veri
Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak
veri sorumluları:
a.
Arabulucular
Kurulun 19/07/2018 tarih ve 2018/87 sayılı kararı ile Veri
Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak
veri sorumluları:
a.
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı
25 milyon TL’den az olan gerçek veya tüzel kişi veri
sorumlularından ana faaliyet konusu özel nitelikli kişisel veri
işleme olmayanlar.
Maddenin (3) numaralı fıkrasında Sicile kayıt başvurusunun bir
bildirimle yapılacağı ve bu bildirimin hangi hususları içereceği
düzenlenmektedir. Buna göre veri sorumluları tarafından;
a.
Veri sorumlusu ve varsa temsilcisinin kimlik ve adres
bilgileri,
b.
Kişisel verilerin hangi amaçla işleneceği,
c.
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri
kategorileri hakkındaki açıklamalar,
65
​ç.
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
D.
Yabancı ülkelere aktarımı öngörülen kişisel veriler,
to.
Kişisel veri güvenliğine ilişkin alınan tedbirler,
f.
Kişisel verilerin işlendikleri amaç için gerekli olan azami
time
Sicile kayıt başvurusunda bildirilecektir.
Maddenin (4) numaralı fıkrası gereğince, veri sorumlusu tarafından
bildirilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa
bildirilir.
Maddenin (5) numaralı fıkrası ile Veri Sorumluları Siciline ilişkin
diğer usul ve esasların yönetmelikle düzenleneceği belirtilmiştir.
Veri Sorumluları Sicili Hakkında Yönetmelik, 30.12.2017 tarihli ve
30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
Bu Yönetmeliğin amacı, 6698 sayılı Kanun gereğince Kurulun
gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak
olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri
Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve
esasları belirlemek ve uygulanmasını sağlamaktır.
18.08.2018 tarihli ve 30513 sayılı Resmi Gazetede yayımlanan
“Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” ile ilgili Kişisel
Verileri Koruma Kurulunun 19.07.2018 tarihli ve 2018/88 sayılı
kararı ile bu madde hükmü ve Geçici 1 inci maddenin (2) numaralı
fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen
ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak
zorundadır.” hükmü göz önünde bulundurularak;
•
66
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı
25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç
tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu
veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin
kabulüne,
•
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için
Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin
01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri
sorumlularına 30.09.2019 tarihine kadar süre verilmesinin
kabulüne,
•
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı
25 milyon TL’den az olmakla birlikte ana faaliyet konusu
özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri
sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü
başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt
yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine
kadar süre verilmesinin kabulüne,
•
Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları
Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019
olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına
30.06.2020 tarihine kadar süre verilmesinin kabulüne
karar verilmiştir.
67
​Kişisel Verileri Koruma Kurulunca
6698 Sayılı Kanunun Geçici 1 inci maddesine (*)
Göre İlan Edilen Veri Sorumluları Siciline Kayıt Tarihleri
Record
yükümlülüğü
başlangıç
historical
Kayıt için
verilen süre
Kayıt için
son tarih
Yıllık çalışan sayısı
50’den çok veya yıllık
mali bilanço toplamı 25
milyon TL’den çok olan
gerçek ve tüzel kişi veri
sorumluları
01.10.2018
12 ay
30.09.2019
Yurtdışında yerleşik
gerçek ve tüzel kişi veri
sorumluları için
01.10.2018
12 ay
30.09.2019
01.01.2019
15 ay
31.03.2020
01.04.2019
15 ay
30.06.2020
Veri Sorumluları
Yıllık çalışan sayısı 50’den
az ve yıllık mali bilanço
toplamı 25 milyon TL’den
az olup ana faaliyet
konusu özel nitelikli kişisel
veri işleme olan gerçek ve
tüzel kişi veri sorumluları
Kamu kurum ve kuruluşu
veri sorumluları
(*)GEÇİCİ MADDE 1- (2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen
süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.
68
69
70
​BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler
17. Suçlar
Kanunun 17 nci maddesinin (1) numaralı fıkrasında, kişisel verilere
ilişkin suçlar ve cezai yaptırımlar bakımından 26.09.2004 tarihli
ve 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135140) atıf yapılarak bu suçlar bakımından söz konusu hükümlerin
uygulanacağı düzenlenmektedir.
Maddenin (2) numaralı fıkrası ile Kanunun 7 nci maddesi
hükmüne aykırı olarak kişisel verileri silmeyen veya anonim hâle
getirmeyenlerin ise 5237 sayılı Kanunun 138 inci maddesine göre
cezalandırılacağı hüküm altına alınmıştır.
71
​18. Kabahatler
Kanunun 18 inci maddesi ile Kanunda öngörülen yükümlülüklere
aykırı davranılması halinde uygulanacak idari yaptırımlar
düzenlenmektedir. Bu kapsamda; aydınlatma ve veri güvenliğini
sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim
yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek
idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul
tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari
yargı yolu açıktır.
Maddenin (1) numaralı fıkrasına göre Kanunun;
a.
10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü
yerine getirmeyenler hakkında 5.000 Türk lirasından
100.000 Türk lirasına kadar,
b.
12 nci maddesinde öngörülen veri güvenliğine ilişkin
yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk
lirasından 1.000.000 Türk lirasına kadar,
c.
15 inci maddesi uyarınca Kurul tarafından verilen kararları
yerine getirmeyenler hakkında 25.000 Türk lirasından
1.000.000 Türk lirasına kadar,
ç.
16 ncı maddesinde öngörülen Veri Sorumluları Siciline
kayıt ve bildirim yükümlülüğüne aykırı hareket edenler
hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına
kadar
idari para cezası verilir.
Bu miktarlar, her takvim yılı başından geçerli olmak üzere yeniden
değerleme oranında artırılarak uygulanır.
72
​Madde ile kabahatler karşılığında öngörülen idari para cezalarının
alt ve üst sınırları arasındaki makas bilinçli olarak geniş tutulmuştur.
Kurul karar verirken, kabahatler hususunda genel kanun niteliğinde
olan 30.03.2005 tarihli ve 5326 sayılı Kabahatler Kanununun 17
nci maddesinin (2) numaralı fıkrasında belirtildiği üzere kabahatin
haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate
alacaktır. Burada amaçlanan, kabahatlerin farklı ekonomik güce
sahip gerçek ve tüzel kişiler hakkında uygulanacak olması
nedeniyle, yaptırım uygulanmasında hakkaniyeti sağlamaktır.
Buna göre, küçük ölçekli bir aile şirketiyle ülke çapında faaliyet
gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda
uygulanacak idari para cezasının miktarının belirlenmesinde,
kabahatin niteliği de göz önünde bulundurulmak suretiyle,
farklılıklar olacağı kesindir.
Maddenin (2) numaralı fıkrasında, idari para cezalarının veri
sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında
uygulanacağı düzenlenmektedir.
Maddenin (3) numaralı fıkrası gereğince; kabahat kapsamında
sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu
niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde,
Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve
kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile
kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar
hakkında disiplin hükümlerine göre işlem yapılacak ve sonucu
Kurula bildirilecektir.
73
74
​ALTINCI BÖLÜM
Kişisel Verileri Koruma Kurumu ve Teşkilat
19. Kişisel Verileri Koruma Kurumu
Kanunun 19 uncu maddesinin (1) numaralı fıkrası ile Kanunla
verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe
sahip, kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu
kurulmuştur.
Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin
95/46/EC sayılı Direktifi, kişisel verilerin işlenmesine ilişkin ilkelerin
uygulanmasını izlemek ve yönlendirmek üzere fonksiyonel olarak
bağımsız bir şekilde görev yapacak otoritelerin oluşturulmasını
öngörmektedir. Avrupa Birliği üyesi tüm ülkelerde veri koruma
kurulları görevlerinde bağımsız otoriteler şeklinde yapılandırılmıştır.
Mehaz kanunlar ve mukayeseli hukuk uygulamaları göz önüne
alınmak suretiyle Kişisel Verileri Koruma Kurumu da bağımsız bir
idari otorite olarak kurulmuştur.
Kurum, Cumhurbaşkanının görevlendireceği bakan ile ilişkilidir.
Kurumun merkezi Ankara’dadır. Kurum, Kurul ve Başkanlıktan
oluşmakta olup Kurumun karar organı Kuruldur.
75
​20. Kurumun Görevleri
Kanunun 20 nci maddesi ile Kurumun görevleri düzenlenmektedir.
According to this;
a.
Görev alanı itibarıyla, uygulamaları ve mevzuattaki
gelişmeleri takip etmek, değerlendirme ve önerilerde
bulunmak, araştırma ve incelemeler yapmak veya
yaptırmak,
b.
İhtiyaç duyulması hâlinde, görev alanına giren konularda
kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek
örgütleri veya üniversitelerle iş birliği yapmak,
c.
Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve
değerlendirmek, görev alanına giren konularda uluslararası
kuruluşlarla iş birliği yapmak, toplantılara katılmak,
ç.
Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük
Millet Meclisi İnsan Haklarını İnceleme Komisyonuna
sunmak,
D.
Kanunlarla verilen diğer görevleri yerine getirmek
Kişisel Verileri Koruma Kurumunun başlıca görevleridir.
76
​21. Kişisel Verileri Koruma Kurulu
Kanunun 21 inci maddesi ile Kişisel Verileri Koruma Kurulu
düzenlenmektedir.
Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin
95/46/EC sayılı Direktifine uygun şekilde Kurul bağımsız olarak
kurgulanmıştır.
Maddenin (1) numaralı fıkrasında; Kurulun, Kanunla ve diğer
mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında,
bağımsız olarak yerine getireceği ve kullanacağı, görev alanına
giren konularla ilgili olarak hiçbir organ, makam, merci veya kişinin
Kurula emir ve talimat veremeyeceği hüküm altına alınmaktadır. It
hüküm, Kurulun, görevini bağımsız bir şekilde yerine getirebilmesi
bakımından önem arz etmektedir.
Maddenin (2) numaralı fıkrasında; Kurulun dokuz üyeden
oluşacağı, beş üyenin Türkiye Büyük Millet Meclisi, dört üyenin
Cumhurbaşkanı tarafından seçileceği düzenlenmiş olup bu
durum Kurulun demokratik meşruiyetini güçlendirmektedir.
Maddenin (3) numaralı fıkrası ile Kurula üye olabilmek için aranan
şartlar düzenlenmektedir. Bunlar; Kurumun görev alanındaki
konularda bilgi ve deneyim sahibi olmak, Devlet memuru olmaya
ilişkin genel şartları taşımak, herhangi bir siyasi parti üyesi
olmamak, en az dört yıllık lisans düzeyinde yükseköğrenim
görmüş olmaktır.
Maddenin (5) numaralı fıkrası gereğince Türkiye Büyük Millet
Meclisi, Kurula üye seçimini aşağıdaki usulle yapar:
a.
Seçim için, siyasi parti gruplarının üye sayısı oranında
belirlenecek üye sayısının ikişer katı aday gösterilir ve
Kurul üyeleri bu adaylar arasından her siyasi parti grubuna
düşen üye sayısı esas alınmak suretiyle Türkiye Büyük
Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti
gruplarında, Türkiye Büyük Millet Meclisinde yapılacak
seçimlerde kime oy kullanılacağına dair görüşme yapılamaz
ve karar alınamaz.
77
​b.
Kurul üyelerinin seçimi, adayların belirlenerek ilanından
sonra on gün içinde yapılır. Siyasi parti grupları tarafından
gösterilen adaylar için ayrı ayrı listeler hâlinde birleşik
oy pusulası düzenlenir. Adayların adlarının karşısındaki
özel yer işaretlenmek suretiyle oy kullanılır. political party
gruplarının ikinci fıkraya göre belirlenen kontenjanlarından
Kurula seçilecek üyelerin sayısından fazla verilen oylar
geçersiz sayılır.
c.
Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan
boş üyelik sayısı kadar aday seçilmiş olur.
ç.
Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde
herhangi bir sebeple boşalma olması hâlinde, boşalma
tarihinden veya boşalma tarihinde Türkiye Büyük Millet
Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde
aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin
siyasi parti gruplarına dağılımı, ilk seçimde siyasi parti
grupları kontenjanından seçilen üye sayısı ve siyasi parti
gruplarının hâlihazırdaki oranı dikkate alınmak suretiyle
yapılır.
Maddenin (6) numaralı fıkrası gereğince Cumhurbaşkanı
tarafından seçilen üyelerden birinin görev süresinin bitiminden
kırk beş gün önce veya herhangi bir sebeple görevin sona
ermesi hâlinde durum, on beş gün içinde Kurum tarafından,
Cumhurbaşkanlığına bildirilir. Üyelerin görev süresinin dolmasına
bir ay kala yeni üye seçimi yapılır. Bu üyeliklerde, görev süresi
dolmadan herhangi bir sebeple boşalma olması hâlinde ise
bildirimden itibaren on beş gün içinde seçim yapılır.
Maddenin (7) numaralı fıkrası gereğince, Kurul, üyeleri arasından
Başkan ve İkinci Başkanı seçer. Kurulun Başkanı, Kurumun da
başkanıdır.
Maddenin (8) numaralı fıkrası ile Kurul üyelerinin görev süresi
dört yıl olarak düzenlenmiştir. Süresi biten üye yeniden seçilebilir.
Görev süresi dolmadan herhangi bir sebeple görevi sona eren
üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini
tamamlar.
78
​Maddenin (9) numaralı fıkrası gereğince, seçilen üyeler Yargıtay
Birinci Başkanlık Kurulu huzurunda yemin ederler. Yargıtay’a
yemin için yapılan başvuru acele işlerden sayılır.
Maddenin (10) numaralı fıkrası gereğince, Kurul üyeleri özel bir
kanuna dayanmadıkça, Kuruldaki resmî görevlerinin yürütülmesi
dışında resmî veya özel hiçbir görev alamaz, dernek, vakıf,
kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle
uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik
ve bilirkişilik yapamazlar. Ancak, Kurul üyeleri, asli görevlerini
aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve
konferans verebilir ve bunlardan doğacak telif hakları ile ders ve
konferans ücretlerini alabilirler.
Maddenin (11) ve (12) numaralı fıkraları gereğince, üyelerin
görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin
soruşturmalar 02/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer
Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır
ve bunlar hakkında soruşturma izni Cumhurbaşkanı tarafından
verilir. Kurul üyeleri hakkında yapılacak disiplin soruşturması ve
kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.
Maddenin (13) numaralı fıkrası gereğince, Kurul üyelerinin süreleri
dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul
üyelerinin;
a.
Seçilmek için gereken şartları taşımadıklarının sonradan
anlaşılması,
b.
Görevleriyle ilgili olarak işledikleri suçlardan dolayı
haklarında verilen mahkûmiyet kararının kesinleşmesi,
c.
Görevlerini yerine getiremeyeceklerinin sağlık kurulu
raporuyla kesin olarak tespit edilmesi,
ç.
Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on
beş gün ya da bir yılda toplam otuz gün süreyle devam
etmediklerinin tespit edilmesi,
D.
Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl
içinde toplam on Kurul toplantısına katılmadıklarının tespit
edilmesi
hâllerinde Kurul kararıyla üyelikleri sona erer.
79
​Maddenin son fıkrası gereğince; Kurul üyeliğine seçilenlerin
Kurulda görev yaptıkları sürece önceki görevleri ile olan ilişikleri
kesilir. Kamu görevlisi iken üyeliğe seçilenler, memuriyete giriş
şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona ermesi
veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde
eski kurumlarına başvurmaları durumunda atamaya yetkili makam
tarafından bir ay içinde mükteseplerine uygun bir kadroya atanır.
Atama gerçekleşinceye kadar, bunların almakta oldukları her
türlü ödemelerin Kurum tarafından ödenmesine devam olunur.
Bir kamu kurumunda çalışmayanlardan üyeliğe seçilip yukarıda
belirtilen şekilde görevi sona erenlere herhangi bir görev veya işe
başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum
tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona
erenlere Kurum tarafından yapılacak ödeme üç ayı geçemez.
Bunların Kurumda geçirdiği süreler, özlük ve diğer hakları
açısından önceki kurum veya kuruluşlarında geçirilmiş sayılır.
80
​22. Kurulun Görev ve Yetkileri
Kanunun 22 nci maddesinde, Kurulun görev ve yetkileri
düzenlenmektedir. Buna göre Kurulun görev ve yetkileri;
a.
Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde
işlenmesini sağlamak,
b.
Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin
şikâyetlerini karara bağlamak,
c.
Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda
resen görev alanına giren konularda kişisel verilerin
kanunlara uygun olarak işlenip işlenmediğini incelemek ve
gerektiğinde bu konuda geçici önlemler almak,
ç.
Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli
önlemleri belirlemek,
D.
Veri Sorumluları Sicilinin tutulmasını sağlamak,
to.
Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda
gerekli düzenleyici işlemleri yapmak,
f.
Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla
düzenleyici işlem yapmak,
g.
Veri sorumlusunun ve temsilcisinin görev, yetki ve
sorumluluklarına ilişkin düzenleyici işlem yapmak,
h.
Bu Kanunda öngörülen idari yaptırımlara karar vermek,
i.
Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere
ilişkin hüküm içeren mevzuat taslakları hakkında görüş
bildirmek,
j.
Kurumun; stratejik planını karara bağlamak, amaç ve
hedeflerini, hizmet kalite standartlarını ve performans
kriterlerini belirlemek,
k.
Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak
hazırlanan bütçe teklifini görüşmek ve karara bağlamak,
l.
Kurumun performansı, mali durumu, yıllık faaliyetleri ve
ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını
onaylamak ve yayımlamak,
m.
Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri
görüşüp karara bağlamak,
n.
Kanunlarla verilen diğer görevleri yerine getirmektir.
81
​23. Kurulun Çalışma Esasları
Kanunun 23 üncü maddesi ile Kurulun çalışma esasları
düzenlenmiş olup (1) numaralı fıkra gereğince Kurulun toplantı
günlerini ve gündemini Başkan belirler. Başkan gereken hâllerde
Kurulu olağanüstü toplantıya çağırabilir.
Maddenin (2) numaralı fıkrası gereğince, Kurul, başkan dâhil en
az altı üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar
alır. Kurul üyeleri çekimser oy kullanamaz.
Maddenin (3) numaralı fıkrası ile Kurul üyelerinin kendilerini,
üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın
hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile
eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılmaları
yasaklanmıştır.
Maddenin (4) numaralı fıkrasında, Kurul üyelerinin sır saklama
yükümlülükleri düzenlenmiştir. Buna göre, Kurul üyeleri
çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri
sırları bu konuda kanunen yetkili kılınan mercilerden başkasına
açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük
görevden ayrılmalarından sonra da devam eder.
Maddenin (5) numaralı fıkrası ile Kurulda görüşülen işlerin tutanağa
bağlanacağı belirtilmiştir. Kararlar ve varsa karşı oy gerekçeleri
karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul,
gerekli gördüğü kararları kamuoyuna duyurur.
Maddenin (6) numaralı fıkrası gereğince, aksi kararlaştırılmadıkça,
Kurul toplantılarındaki görüşmeler gizlidir.
Maddenin son fıkrasına göre, Kurulun çalışma usul ve esasları
ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenir.
Bu kapsamda, Kişisel Verileri Koruma Kurulu Çalışma Usul ve
Esaslarına Dair Yönetmelik 16.11.2017 tarihli ve 30242 sayılı Resmî
Gazetede yayımlanarak yürürlüğe girmiştir.
82
​Bu maddenin (5) numaralı fıkrasının son cümlesi
kapsamında kamuoyuna duyurulan Kurul
kararları:
Karar Tarihi : 28/06/2018
Karar No
: 2018/69
Konu Özeti : Sicil Dosyalarındaki Kişisel Verilerin
İmha Edilmesi Hakkında
Devlet memurlarının, memuriyet döneminde haklarında açılmış incelemesoruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri
sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma
yapılan başvuru hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde
“(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu
tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin
silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer
kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.
Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası”
başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası”
başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının
tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri;
varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül
ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne;
Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise
görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının
kurumlarınca saklanacağı hükmüne yer verilmiştir.
Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede
yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında
Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin
•
(a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını
83
​ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya
üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup,
birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül
eden ve onlar tarafından muhafazası gereken, Türk Milletinin
geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak
intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası
hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler
bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî
estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu
aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin
ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü
yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf,
film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,
84
•
(b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü
belge ve malzemeden zaman bakımından henüz arşiv malzemesi
vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl
geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel
kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği
ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu
ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu
kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları
gibi belgeleri”,
•
(c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri
sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli
birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve
günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre
saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı
kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,
•
(d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları
içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim
arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,
•
(e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve
Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok
Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek
Hakkında Kanunun 1 inci maddesinde sayılan kurum ve

3473 sayılı
Edilmesi
Kabulü
kuruluşları”

​şeklinde tanımlanmıştır.
Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve
Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin
Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1
inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle
(saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak
kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay
Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000
- 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli
idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar,
kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve
teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik
malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok
edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair
usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan
hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık
da mükellef olarak değerlendirilmektedir.
Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve
Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre
saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre
saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini
kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde
1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin
Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini
tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar
şeklinde ayrılacağı hüküm altına alınmıştır.
Devlet memurlarının, memuriyet döneminde haklarında açılmış incelemesoruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri
sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma
yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel
bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış
inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla
söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında
saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre
özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi
bir şekilde sona eren memurların özlük dosyalarının kurumlarınca
85
​saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son
işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları
içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7
inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren
sebeplerin de henüz ortadan kalkmaması dolayısıyla şikâyetçinin
talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna
karar verilmiştir.
86
​Karar Tarihi : 26/07/2018
Karar No
: 2018/91
Konu Özeti : Kişisel Verilere Hukuka Aykırı
Erişilmesini Önleme Hakkında
Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş
yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi
kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan
üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda
bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini,
ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla
paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini
talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde
Kuruma yapılan başvuru hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1)
Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu
tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin
silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer
kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.
Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı
fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7
nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini
veya yok edilmesini isteme hakları düzenlemektedir.
Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı
12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka
aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.
Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş
yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi
87
​kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan
üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda
bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini,
ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla
paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini
talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde
Kuruma yapılan başvuru kapsamında;
• Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan
bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri
sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan
savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte
haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit
edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka
müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin
alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin
açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen
mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası
kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere
hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini
temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı
sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi
uyarınca idari para cezası uygulanmasına,
• Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi,
yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka
bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok
edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler
hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci
maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren
30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına
karar verilmiştir.
88
​Karar Tarihi : 05/12/2018
Karar No
: 2018/143
Konu Özeti
: Sağlık Verilerinin Kanunun 6 ncı
Maddesinde Yer Alan İşleme
Şartlarından Birine Dayanmadan
Üçüncü Kişilere Aktarımı Hakkında
Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık
verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme
şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma
yapılan şikâyet başvurusu hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli
kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı
fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu
belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli
kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış
bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık
rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık
verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık
rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin
aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel
verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme
bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel
verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci
maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına
atıfta bulunmak suretiyle belirlenmiştir.
Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri
sorumlusunun;
•
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
•
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
•
Kişisel verilerin muhafazasını sağlamak
89
​amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir.
Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen
kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak
başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı
hükmüne yer verilmiştir.
Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile
ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından
6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde
sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12
nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri
sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari
para cezası uygulanmıştır.
90
​24. Başkan
Kanunun 24 üncü maddesi ile Kurum Başkanının görevleri
düzenlenmektedir. Bu kapsamda Başkan, Kurul ve Kurumun başkanı
sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata,
Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine
ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet
birimleri arasında koordinasyonu sağlar.
Maddenin (2) numaralı fıkrası gereğince Başkan, Kurumun genel
yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının
düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve
gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
Maddenin (3) numaralı fıkrasında Başkanın görevleri düzenlenmiştir.
Buna göre Başkanın görevleri şunlardır:
a.
Kurul toplantılarını idare etmek,
b.
Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin
kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek,
c.
Başkan Yardımcısını, daire başkanlarını ve Kurum personelini
atamak,
ç.
Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula
sunmak,
D.
Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları
doğrultusunda insan kaynakları ve çalışma politikalarını
oluşturmak,
to.
Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak
Kurumun yıllık bütçesi ile mali tablolarını hazırlamak,
f.
Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir
biçimde çalışması amacıyla koordinasyonu sağlamak,
g.
Kurumun diğer kuruluşlarla ilişkilerini yürütmek,
h.
Kurum Başkanı adına imzaya yetkili personelin görev ve yetki
alanını belirlemek,
i.
Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine
getirmek.
Maddenin son fıkrasında, Kurum Başkanının yokluğunda İkinci Başkanın
vekalet edeceği belirtilmiştir.
91
​25. Başkanlığın Oluşumu ve Görevleri
Kanunun 25 inci maddesi, Kişisel Verileri Koruma Kurumu
Başkanlığının oluşumu ve görevlerini düzenlemektedir.
Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile sekretarya
hizmetlerini yerine getirecektir. Başkanlık; Başkan Yardımcısı ve
daire başkanlıkları şeklinde teşkilatlanan hizmet birimlerinden
oluşmaktadır. Maddeyle, Başkan Yardımcısı ve Daire Başkanlarının
nitelikleri ve atanma usulü ile Başkanlığın görevleri ayrıntılı olarak
düzenlenmektedir. Hizmet birimleri ile bu birimlerin çalışma usul
ve esasları, 6698 sayılı Kanunda belirtilen faaliyet alanı, görev ve

yetkilere uygun olarak Kurumun teklifi üzerine Cumhurbaşkanınca
yürürlüğe konulan yönetmelikle belirlenir.
Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği, 26.04.2018
tarihli ve 30403 sayılı Resmî Gazetede yayımlanarak yürürlüğe
girmiştir. Bu Yönetmelik ile Kişisel Verileri Koruma Kurumunun
teşkilat yapısı, hizmet birimlerinin görev, yetki ve sorumlulukları ile
çalışma usul ve esasları belirlenmektedir.
Bu madde kapsamda Başkanlığın görevleri şöyledir;
92
a.
Veri Sorumluları Sicilini tutmak,
b.
Kurumun ve Kurulun büro ve sekretarya işlemlerini
yürütmek,
c.
Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar
vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya
ettirmek, hukuk hizmetlerini yürütmek,
ç.
Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini
yürütmek,
D.
Kanunlarla mali hizmet ve strateji geliştirme birimlerine
verilen görevleri yapmak,
to.
Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim
sisteminin kurulmasını ve kullanılmasını sağlamak,
​f.
Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan
konularda rapor taslaklarını hazırlamak ve Kurula sunmak,
g.
Kurumun stratejik plan taslağını hazırlamak,
h.
Kurumun personel politikasını belirlemek, personelin
kariyer ve eğitim planlarını hazırlamak ve uygulamak,
i.
Personelin atama, nakil, disiplin, performans, terfi, emeklilik
ve benzeri işlemlerini yürütmek,
j.
Personelin uyacağı etik kuralları belirlemek ve gerekli
eğitimi vermek,
k.
10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve
Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her
türlü satın alma, kiralama, bakım, onarım, yapım, arşiv,
sağlık, sosyal ve benzeri hizmetleri yürütmek,
l.
Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak,
m.
Kurul veya Başkan tarafından verilen diğer görevleri
make.
93
​26. Kişisel Verileri Koruma Uzmanı ve
Uzman Yardımcıları
Kanunun 26 ncı maddesi ile Kurum görevlerinin etkin şekilde
yerine getirilebilmesini teminen, bu görevlerin, konusunda
uzmanlaşmış kişiler tarafından yürütülmesi ve bu kapsamda
Kurumda Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma
Uzman Yardımcısı istihdam edilmesi düzenlenmektedir.
Kişisel Verileri Koruma Uzman Yardımcılarının mesleğe alınmalarını,
yetiştirilmelerini, Kişisel Verileri Koruma Uzmanlığına atanmalarına
ilişkin usul ve esaslar ile Kişisel Verileri Koruma Uzman ve Uzman
Yardımcılarının görev, yetki ve sorumluluklarını düzenlemek üzere
Kişisel Verileri Koruma Uzmanlığı Yönetmeliği, 09.02.2018 tarihli
ve 30327 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
94
​27. Personele ve Özlük Haklarına
İlişkin Hükümler
Kanunun 27 nci maddesi ile Kurul, Başkan ve üyeler ile Kurum
personelinin mali ve sosyal hakları düzenlenmektedir. Also,
başka kurum ve kuruluşlarda çalışanlardan uzmanlığına ihtiyaç
duyulanların Kurumda görevlendirilmesine ilişkin düzenlemeler
ile Kurumda istihdam edilecek personele ilişkin kadro unvan ve
sayıları da belirlenmektedir.
95
​96
​YEDİNCİ BÖLÜM
Çeşitli Hükümler
28. İstisnalar
Kanunun 28 inci maddesi ile Kanunun kapsamı dışında tutulan
hususlar düzenlenmektedir.
Maddenin (1) numaralı fıkrasında, Kanun hükümlerinin hangi
durumlarda uygulanmayacağı, diğer bir ifade ile tamamen
Kanun kapsamı dışında tutulan hususlar düzenlenmektedir.
Buna göre aşağıda belirtilen durumlarda bu Kanun hükümleri
uygulanmayacaktır;
a.
Kişisel verilerin, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya aynı
konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında
işlenmesi,
b.
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla
işlenmesi,
c.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel
hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya
bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi,
ç.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki verilmiş
kamu kurum ve kuruluşları tarafından yürütülen önleyici,
koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
D.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya
infaz işlemlerine ilişkin olarak yargı makamları veya infaz
mercileri tarafından işlenmesi.
97
​Bu kapsamda; Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin
milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve
ekonomik güvenliği sağlamaya yönelik faaliyetleri kapsamında işlediği
veriler Kanunun uygulama alanı dışında tutulmaktadır. Aynı şekilde
belirtilen amaçlarla, suç gelirlerinin aklanması, terörizmin finansmanının
önlenmesi ve mali suçların araştırılması konusunda yetkili birimler
tarafından, yürütülen faaliyetler kapsamında işlenen veriler de bu
istisna kapsamındadır. Bu konulardaki yetkili birimin; milli savunmayı,
milli güvenliği kamu güvenliğini, kamu düzenini ve ekonomik güvenliği
sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat
elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer
bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve
ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışında
tutulmaktadır.
Maddenin (2) numaralı fıkrasında, kısmen Kanun kapsamı dışında kalan
hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan
haller Kanun hükümlerine tabi olmakla birlikte, yalnızca maddenin
(2) numaralı fıkrasında belirtilen yükümlülükler bakımından istisna
tutulmaktadır. Bu fıkra kapsamında; veri sorumlusunun aydınlatma
yükümlülüğünü düzenleyen 10 uncu madde, zararın giderilmesini talep
etme hakkı hariç olmak üzere ilgili kişinin haklarını düzenleyen 11 inci
madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı
madde hükümlerinin belirtilen durumlar bakımından uygulanmayacağı
ifade edilmektedir. Ancak her durumda bu kapsamda gerçekleşen veri
işleme faaliyetinin, Kanunun diğer hükümlerine ve temel ilkelerine uygun
ve orantılı olması aranacaktır.
Buna göre, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak
şartı ile Kanunun 10, 11 ve 16 ncı maddelerinden muaf tutulan durumlar
şunlardır;
98
a.
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması,
b.
İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi,
c.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli
ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki
meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin
yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
to be,
ç.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak
Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
​29. Kurumun Bütçesi ve Gelirleri
Kanunun 29 uncu maddesi ile Kurumun bütçesi ve gelirleri
düzenlenmektedir. Buna göre, Kurumun bütçesi, 5018 sayılı
Kanunda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir.
Kurumun gelirleri; genel bütçeden yapılacak hazine yardımları,
Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler, alınan
bağış ve yardımlar, gelirlerinin değerlendirilmesinden elde edilen
gelirler ve diğer gelirlerdir.
30. Değiştirilen ve Eklenen Hükümler
(1) (10/12/2003 tarihli ve 5018 sayılı Kanun ile ilgili olup yerine
işlenmiştir.)
(2) ila (5) - (26/9/2004 tarihli ve 5237 sayılı Kanun ile ilgili olup
yerine işlenmiştir.)
(6) (7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu
ile ilgili olup yerine işlenmiştir.)
(7) (11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı
Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde
Kararname ile ilgili olup yerine işlenmiştir.)
31. Yönetmelik
Kanunun 31 inci maddesi ile Kanunun uygulanmasına ilişkin
yönetmeliklerin Kurum tarafından yürürlüğe konulacağı
öngörülmektedir.
99
​32. Geçiş Hükümleri
Geçici Madde 1
Kanunun Geçici 1 inci maddesinin (1) numaralı fıkrasıyla, Kanunun
yayımı tarihinden itibaren altı ay içinde Kurul üyelerinin seçilmesi,
Başkanlığın kurulması ve teşkilatlanmasının tamamlanması
düzenlenmektedir.
Maddenin (2) numaralı fıkrasında, veri sorumlularının Kurul
tarafından belirlenecek ve ilan edilecek süre içinde Veri
Sorumluları Siciline kayıt olmaları öngörülmektedir. It
düzenlemeyle Kurumun, Sicile yönelik gerekli fiziki ve teknik
altyapıyı tamamlaması amaçlanmıştır. Kurum tarafından söz
konusu çalışmalar tamamlanarak Veri Sorumluları Sicil Bilgi
Sistemi oluşturulmuş olup Sicile kayıt tarihleri ilan edilmiştir.
Maddenin (3) numaralı fıkrası ile Kanunun yürürlüğe girdiği tarihten
önce işlenmiş olan kişisel verilerin iki yıl içinde Kanunda öngörülen
usul ve esaslara uygun hale getirilmesi öngörülmektedir. Law
hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl
silinecek, yok edilecek veya anonim hâle getirilecektir. Ancak bu
Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış
rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması
hâlinde, bu Kanuna uygun olarak kabul edilecektir.
Maddenin (4) numaralı fıkrasında, Kanunda öngörülen
yönetmeliklerin bir yıl içinde yürürlüğe konulması, (5) numaralı
fıkrasında kamu kurum ve kuruluşlarında bu Kanunun
uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey
bir yönetici belirlenerek Başkanlığa bildirilmesi gerektiği
düzenlenmektedir.
Maddenin (6) numaralı fıkrası gereğince, ilk seçilen Başkan, ikinci
Başkan ve kura ile belirlenen iki üye altı yıl; diğer beş üye ise dört
yıl görev yapacaktır.
Maddenin (7) numararlı fıkrasında, Kuruma bütçe tahsis
100
​edilene kadar; Kurumun giderlerinin Başbakanlık bütçesinden
karşılanacağı, Kurumun hizmetlerini yerine getirmesi amacıyla
bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek
hizmetlerinin Başbakanlıkça sağlanacağı düzenlenmektedir. Yine
(8) numaralı fıkrada, Kurumun hizmet birimleri faaliyete geçinceye
kadar sekretarya hizmetlerinin Başbakanlık tarafından yerine
getirileceği düzenlenmektedir.
Geçici Madde 2
Bu madde ile Kuruma naklen uzman alımı düzenlenmektedir.
According to this; en az dört yıllık lisans öğrenimi veren siyasal bilgiler,
iktisadi ve idari bilimler, iktisat, hukuk ve işletme fakültelerinden,
mühendislik fakültelerinin elektronik, elektrik-elektronik, elektronik
ve haberleşme, bilgisayar, bilişim sistemleri mühendisliği
bölümlerinden ya da bunlara denkliği Yükseköğretim Kurulu
tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim
kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı
ile girilen ve belirli süreli meslek içi eğitimden ve özel bir yeterlik
sınavından sonra 657 sayılı Kanunun 36 ncı maddesinin “Ortak
Hükümler” başlıklı bölümünün (A) fıkrasının (11) numaralı bendinde
belirtilen unvanlara ilişkin kurumların merkez teşkilatlarına ait
kadrolara atanmış ve bu kadrolarda aylıksız izin süreleri hariç en az
iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında bulunanlar,
Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan
almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış
olmak kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir
yıl içinde Kişisel Verileri Koruma Uzmanı olarak atanabilirler. It
şekilde atanacakların sayısı on beşi geçemez.
101
​(Metinde 6698 sayılı Kişisel Verilerin Korunması Kanunu
kısaca “6698 sayılı Kanun” olarak ifade edilmektedir.)
​TERİMLER SÖZLÜĞÜ
​Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve
özgür iradeyle açıklanan rıza.
Açık Rızanın Geri Alınması: İlgili kişinin, veri sorumlusuna belirli
bir konuda, bilgilendirmeye dayanarak ve özgür iradesi ile verdiği
rızasını ileriye etkili olmak üzere geri çekmesi.
Aktarım: Veri sorumlusu tarafından elde edilen kişisel verilerin
yurt içindeki veya yurt dışındaki bir gerçek veya tüzel kişiye, kamu
kurum ve kuruluşlarına veya diğer organlara açıklanması.
Aktif Rıza Yöntemi (Opt-in): İlgili kişinin aktif bir hareketini
gerektiren ve hareketsiz kalmanın rıza gösterilmediği anlamına
gelen rıza yöntemi.
Alenileştirme: Kişisel verilerin ilgili kişi tarafından bilerek ve
isteyerek herhangi bir şekilde açıklanması.
Alıcı/Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin
aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek
dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesi.
Anonimleştirme: Bkz. Anonim Hale Getirme
Aydınlatma: Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel
verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere
ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi
ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu
konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu
veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme.
104
​Bağlayıcı Şirket Taahhüdü: Çokuluslu grup şirketlerde veya
şirketler topluluğunda, yeterli korumanın bulunmadığı ülkelerde
kurulu şirketlere yapılacak kişisel verilerin aktarımında yeterli
bir korumanın yazılı olarak taahhüt edilmesinde kullanılan veri
koruma politikaları.
Başvuru Hakkı: İlgili kişinin, 6698 sayılı Kanunun uygulanmasıyla
ilgili taleplerini yazılı olarak veya Veri Sorumlusuna Başvuru Usul
ve Esasları Hakkında Tebliğ ile düzenlenen diğer yöntemlerle veri
sorumlusuna iletme hakkı.
Battaniye Rıza: Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle
sınırlı olmayan genel nitelikteki rıza.
Biyometrik Veri: Yüz görüntüleri veya daktiloskopik veriler gibi
benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve
teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal
özelliklerine ilişkin spesifik teknik işlemlerden kaynaklanan kişisel
veriler.
Bulut Bilişim: Düşük seviyede yönetim çabası ya da hizmet
sağlayıcı etkileşimi ile hızlı bir şekilde sağlanıp serbest bırakılabilen
bilgisayar ağları, sunucular, depolama, uygulamalar ve servisler
gibi ayarlanabilir bilişim kaynaklarının müşterek havuzuna her
yerden elverişli bir şekilde istenildiğinde ağa erişim sağlayan bir
model.
105
​De-Manyetize Etme: Manyetik medyanın özel bir cihazdan
geçirilerek çok yüksek değerde bir manyetik alana maruz
bırakılması ile üzerindeki kişisel verilerin okunamaz biçimde
bozulması işlemi.
Denetim: Veri sorumlusunun Kanun hükümlerinin uygulanmasını
sağlamak amacıyla kendi kurum veya kuruluşunda yapacağı veya
yaptıracağı denetim.
Denge Testi: Birden fazla hak ve menfaatin yarıştığı durumlarda
hangi hak ve menfaatin daha üstün geldiğini değerlendirmek için
kullanılan test.
Doğrudan Tanımlayıcılar: Tek başlarına ilişki içinde oldukları
kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan
tanımlayıcılar.
Dolaylı Tanımlayıcılar: Diğer betimleyiciler ile bir araya gelerek
ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir
kılan tanımlayıcılar.
Düzeltme Hakkı: İlgili kişinin, eksik veya yanlış işlenmiş olan kişisel
verilerinin düzeltilmesini veri sorumlusundan talep etme hakkı.
106
​Elektronik Ortam: Verilerin sayısallaştırılarak
saklanması ve iletilmesinin sağlandığı ortam.
işlenmesi,
107
​Fiziksel Yok Etme: Optik veya manyetik medyayı eritmek, yakmak,
toz haline getirmek ya da bir metal öğütücüden geçirmek gibi
işlemlerle kişisel verilerin fiziksel olarak erişilmez kılınması.
108
​Genetik Veri: Bir gerçek kişinin fizyolojisi veya sağlığı ile ilgili
benzersiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden
alınan bir biyolojik numunenin analizinden elde edilen, kişinin
kalıtım yoluyla veya sonradan edindiği özelliklerine ilişkin veriler.
Gereklilik Testi: İlgili kişinin kişisel verilerinin, veri sorumlusu
tarafından veri işleme şartlarının açık rıza dışında kalan diğer hukuki
dayanakları çerçevesinde işlenmesinin gerekip gerekmediği
hususunun değerlendirilmesi için kullanılan test.
109
​Hassas Veri: Bkz. Özel Nitelikli Kişisel Veri
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek
veya tüzel kişi.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi.
İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişi veri sorumluları ile
Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcilerinin
6698 sayılı Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil
düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum
ile kurulacak iletişim için veri sorumlusu tarafından Veri Sorumluları
Siciline kayıt esnasında bildirilen gerçek kişi.
İşleme Şartı: Veri sorumlusunun kişisel verileri işleme faaliyetine
dayanak yaptığı, 6698 sayılı Kanunda belirtilen durumlar.
110
​Karartma: Kişisel verilerin bütününün, kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde
üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.
Katmanlı Bilgilendirme: Veri sorumlusu tarafından ilgili
kişiye, kişisel verilerinin işlenmesine ilişkin olarak yapılacak
bilgilendirmenin, çoklu kanallardan ve mecralardan istifade
edilerek gerçekleştirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin üzerine kaydedilip saklandığı her
türlü ortam.
Kayıt Yükümlülüğü: Veri Sorumluları Sicili Hakkında Yönetmelik
uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülük.
Kişisel Sağlık Verisi: Kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü sağlık bilgisi.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine
bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme
faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi,
aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli
olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel
verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdıkları envanter.
111
​Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Saklama Süresi: 6698 sayılı Kanun ve diğer kanun
hükümlerine uygun olarak işlenmiş kişisel verilerin muhafaza
edilebileceği ilgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan azami süre.
Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının,
kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi
belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi
için dayanak yaptıkları politika.
112
​Log: Bilişim sistemlerinin ürettiği olay kayıtlarının zaman damgalı
olarak tutulması.
113
​Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde
silinmesi, üstünün çizilmesi, boyanması ve yıldızlanması gibi
işlemler.
Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla gerçekleştirecek işleme faaliyetinde, veri
sorumlusunun elde edeceği faydanın meşru, etkin, belirli ve
mevcut bir menfaatine ilişkin olması.
114
​Otomatik Yolla İşleme: İnsan müdahalesini ve çabasını en aza
indirgeyerek, kişisel verilerin, dijital ortamda elektronik veya
bilişim sistemleriyle belirli ölçütlere göre yapılandırılmasıyla
gerçekleştirilen işleme.
115
​Ölçülülük: İşlenen kişisel verinin, veri işleme amacının
gerçekleştirilmesi için gerekli olanla sınırlı tutulması, işlenen veri
ile veri işleme amacı arasında makul bir dengenin bulunması.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık
ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri.
116
​Pasif Rıza Yöntemi (Opt-out): Özel olarak belirtilmesi halinde
kişisel verilerin işlenmeyeceği, aksi halde ilgili kişinin aktif bir
hareketi gerekmeksizin kişisel verilerin işlenebildiği rıza yöntemi.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması durumunda kişisel verileri
saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilecek silme, yok etme veya anonim hale getirme
işlemi.
Profilleme: Kişisel verilerin münhasıran otomatik sistemler
vasıtasıyla işlemek suretiyle, ilgili kişinin işteki performansı,
ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği,
davranışları, konumu veya hareketlerine ilişkin hususların analiz
edilmesi veya tahmin edilmesi başta olmak üzere söz konusu
kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi şeklindeki
kişisel veri işleme biçimi.
117
​Sır Saklama Yükümlülüğü: Veri sorumlusu veya veri işleyenin
öğrendikleri kişisel verileri 6698 sayılı Kanun hükümlerine
aykırı olarak başkalarına açıklamama ve işleme amacı dışında
kullanmama yükümlülüğü.
Silme: Kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
118
​Şikâyet: İlgili kişinin; veri sorumlusuna yaptığı başvurunun
reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde
başvuruya cevap verilmemesi hâllerinde, veri sorumlusunun
cevabını öğrendiği tarihten itibaren Kişisel Verileri Koruma
Kurulu’na yapacağı başvuru.
119
​Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik
medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler
yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.
120
​Veri Güvenliği: Kişisel verilerin hukuka aykırı olarak işlenmesini
önleme, kişisel verilere hukuka aykırı olarak erişilmesini engelleme
ve kişisel verilerin muhafazasını sağlamaya yönelik her türlü teknik
ve idari tedbirlerle kişisel verilerin korunması.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun
adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri İhlali Bildirimi: Veri sorumlusu tarafından işlenen kişisel
verilerin, kanuni olmayan yollarla başkaları tarafından elde
edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede
ilgilisine ve Kurula bildirmesi.
Veri Kategorisi: Kişisel verilerin ortak özelliklerine göre
gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel
veri sınıfı.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre
yapılandırılarak işlendiği kayıt sistemi.
Veri Konusu Kişi Grubu: Veri sorumlularının kişisel verilerini
işledikleri ilgili kişi kategorisi.
Veri Minimizasyonu: Veri sorumlusunun Kanunda belirtilen
işleme şartları ve bu şartları gerçekleştirmeye yönelik amaçlarıyla
sınırlı, ölçülü ve bağlantılı olarak veri toplaması ve işlemesi.
Veri Sahibi: Bkz. İlgili Kişi
Veri Sızıntısı: Kişisel verilerin, elektronik veya fiziksel yöntemlerle,
bir organizasyonun içinden harici bir hedefe veya alıcıya izinsiz
olarak aktarılması.
121
​Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişi.
Veri Sorumluları Sicili: Kanuna göre veri sorumlularının
kaydolmak zorunda olduğu, Kişisel Verileri Koruma Kurumu
Başkanlığı tarafından ve Kurulun gözetiminde kamuya açık olarak
tutulması öngörülen kayıt sistemi.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının
Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları,
internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu
Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemi.
Veri Sorumlusu Temsilcisi: Türkiye’de yerleşik olmayan veri
sorumlularını Veri Sorumluları Sicili hakkında Yönetmeliğin 11 inci
maddesinde belirtilen konularda asgari temsile yetkili Türkiye’de
yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi.
Veri Süjesi: Bkz. İlgili Kişi
122
​Yeterli Önlem: Özel nitelikli kişisel verilerin işlenebilmesi için
veri sorumlusu tarafından alınması gereken ve Kurul tarafından
belirlenen önlemler.
Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
işlemi.
123
​Notlar:
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
124
​Notlar:
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
125
​Notlar:
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
126
​Notlar:
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
127
​Notlar:
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
128

