Özel Bölüm
Kişisel Verilerin Korunması Kanunu (KVKK)
Hazırlayan: Vatansever Bilişim Kişisel Verilerin Korunması Kanunu (KVKK) Çözümleri
Mevcut Durum
Kişisel Verileri Koruma Kurumu faaliyetlerine başlamış, Kişisel Verilerin Korunması Kanunu’nun (KVKK) ihlali nedeniyle idari para cezası ile karşı karşıya kalmak mümkün hale gelmiştir. 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin KVKK’ya uyum için verilen süre 7 Nisan 2018 tarihi itibariyle sona ermiştir.
KVKK’nın yorumlanması konusunda sıkıntılar ve ilgisiz çözümlere yönelme gibi durumlarla karşılaşılmaktadır. Uyumlu hale gelmek ve cezalarla karşı karşıya kalmamak için hızlı aksiyon alınması önerilmektedir.
Kamuoyu Duyuruları (Veri İhlali Bildirimleri)
- 18 Ekim 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Premierdc Veri Merkezi A.Ş.
- 18 Ekim 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – EDS Enjeksiyon Dök.San.Tic.AŞ.
- 26 Eylül 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Zynga Game Ireland Limited
- 26 Eylül 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Gardrops Elektronik Hizmetler ve Ticaret Anonim Şirketi
- 18 Eylül 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Furtrans Denizcilik Ticaret ve San. A.Ş.
- 12 Eylül 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – FER Gayrimenkul Geliştirme ve İnş. A.Ş.
- 12 Eylül 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Türkiye İş Bankası A.Ş.
- 1 Ağustos 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – DenizBank A.Ş.
- 17 Temmuz 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Türk Ekonomi Bankası A.Ş.
- 1 Temmuz 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Pizza Restaurantları A.Ş. (Domino’s Pizza)
- 18 Haziran 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Metro Grosmarket Bakırköy Alışveriş Hiz.Tic.Ltd.Şti.
- 18 Haziran 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Bartu Turizm Yatırımları A.Ş.
- 18 Haziran 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Vodafone Telekomünikasyon A.Ş.
- 10 Mayıs 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Microsoft Corporation
- 19 Mart 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Hunko Motorlu Araçlar San. Ve Tic. Ltd. Şti.
- 19 Mart 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ASF Otomotiv A.Ş.
- 19 Mart 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Kaya Seyehat Turizm San. Ve Dış. Tic. Ltd. Şti.
- 8 Mart 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Turmobil Turizm Rent a Car Taşımacılık ve Nakliyat San. Tic. Ltd. Şti.
- 5 Mart 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Adnan Özen İnşaat Taah. En. Turz. Tiç. ve San. A.Ş.
- 2 Mart 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ING Bank A.Ş.
- 25 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Garanti Filo Yönetim Hizmetleri A.Ş.
- 25 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Borlease Otomotiv A.Ş.
- 25 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Derindere Turizm Otomotiv San. ve Tic. A.Ş.
- 14 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Arkas Otomotiv Servis ve Ticaret A.Ş. (“Arkas Otomotiv”)
- 14 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Clickbus Seyahat Hizmetleri A.Ş. (Nereden Nereye)
- 14 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Enterprise (“Yes Oto”)
- 6 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Holiday Inn İstanbul – Şişli
- 6 Şubat 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Hedef Araç Kiralama ve Servis A.Ş. (HedefFilo)
- 25 Ocak 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş. (OPTİMUM)
- 25 Ocak 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ALD Automotive Turizm Ticaret A.Ş. (ALD AUTOMOTIVE)
- 25 Ocak 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – TEB Arval Araç Filo Kiralama A.Ş.(TEB ARVAL)
- 24 Ocak 2019: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – ANIMOTO Inc. (Animoto)
- 5 Aralık 2018: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Marriott International, Inc.
- 30 Ekim 2018: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Cathay Pacific Airways Limited
- 29 Haziran 2018: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Ticketmaster UK
- 4 Mayıs 2018: Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Careem Networks Teknoloji A.Ş.
Kişisel Verileri Korunması Kanunu’nun amacı nedir?
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel Verileri Korunması Kanunu’nun kapsamı nedir?
Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel veri örnekleri nelerdir?
- T.C. kimlik numarası
- Cep telefonu numarası
- Kredi kartı bilgileri
- Banka hesap bilgileri
- E-posta adresi
- Tebligat adres bilgisi
- Fotoğraf
- Sertifika
- SGK işe giriş ve çıkış bildirgesi
- Ad, soyad, cinsiyet, doğum yeri ve tarihi
- Sabit iş telefon numarası
- Kimlik bilgileri (nüfus cüzdanı, ehliyet)
- SGK numarası
- Mezuniyet belgesi
- Diploma
- Özgeçmiş bilgisi
- Öğrenci belgesi
- Hobiler
- Tercih ve beğeniler
- Fiziksel özellikler
- Gezinti alışkanlıkları
Veri Sorumlusu
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri Sorumlusunun Yükümlülükleri
1. Aydınlatma Yükümlülüğü
Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 11. maddede sayılan diğer hakları.
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.
Bkz. Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar.
2. Veri Güvenliğine İlişkin Yükümlülükler
Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
ile yükümlüdür.
Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.
Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından Kişisel Veri Güvenliği Rehberi hazırlanmıştır.
3. Veri Sorumluları Siciline Kayıt Yükümlülüğü
3.1. Veri Sorumluları Sicili Nedir?
Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir. İlgili Yönetmelik için tıklayınız.
3.2. Veri Sorumluluğu Siciline Kayıt İstisnaları
Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir.
Bununla birlikte, Kanunun 28. maddesinin 2. fıkrasında sayılan hallerde, Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri uygulanmayacaktır.
Ayrıca, Kanunda Kurula, sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Söz konusu istisnanın uygulanmasında; işlenen kişisel verinin niteliği, sayısı, veri işlemenin Kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmaktadır.
Sicile kayıt olma konusundaki yükümlülük; kişisel verilerin işlenmesi faaliyetleri bakımından açıklık sağlanması ve veri sorumlarının mevzuata uyumlu hareket etmeleri konusunda daha güvenli bir ortam oluşturulması amacını taşımaktadır.
3.3. Veri Sorumluları Siciline Kayıt Bildiriminin Kapsamı
Veri Sorumluları Siciline kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Söz konusu bilgiler şunlardır:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir. Böylelikle, Sicilin güncelliğinin sağlanması hedeflenmiştir.
4. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.
Kurulca belirlenen tarifeye Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğde yer verilmiştir. Söz konusu Tebliğ için tıklayınız.
Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
5. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.
Kişisel Verilerin İşlenmesi
1. Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
2. Kişisel Verilerin İşlenme Şartları
2.1. Kişisel Veriler
Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel verilerin işlenmesi Kanunun 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;
- İlgili kişinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.
Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.
Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.
2.2. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.
Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenebilir.
Ayrıca Kanunda ile özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı için tıklayınız.
Bkz. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır.
Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe ulaşmak için tıklayınız.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Ayrıca, Yönetmeliğe dayanarak söz konusu işlemlerin nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) hazırlanmıştır.
Kişisel Verilerin Aktarılması
1. Yurtiçi Aktarım
Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.
Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de Kanunun 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir.
Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
- İlgili kişinin açık rızasının alınması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
- İlgili kişinin açık rızasının alınması halinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
2. Yurtdışına Aktarım
Kanunun 9. maddesine göre yurtdışına veri aktarımı;
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
- Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması
durumlarında gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
A) Yeterli korumanın bulunması halinde
Kişisel veriler;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde yurtdışına aktarılabilmektedir.
Özel nitelikli kişisel veriler ise,
- Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
- Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.
B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;
- Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
- Kurulun izninin bulunması
gerekmektedir.
Açık Rıza Alırken Dikkat Edilecek Hususlar
Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.
Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
- Belirli bir konuya ilişkin olması,
- Rızanın bilgilendirmeye dayanması,
- Özgür iradeyle açıklanması.
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.
Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
Bkz. AÇIK RIZA
İlgili Kişi
İlgili Kişi Kimdir?
Kanunda kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.
Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.
İlgili Kişinin Hakları
Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
İlgili Kişinin Hak Arama Yöntemleri
1. Başvuru Hakkı
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.
Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
Kanunda, kişilik hakları ihlal edilen ilgililerin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Başka bir ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur.
Veri sorumlusuna yapılacak başvuruların şekli konusunda Kanunda iki temel hüküm bulunmaktadır. Bunlardan ilki yazılı başvurudur. Yazılı başvuru, genel hükümler gereği ıslak imza içeren belge ile yapılan başvuru anlamına gelmektedir. Buna ek olarak güvenli elektronik imza ile imzalanan belgeler de yazılı şekil şartını sağlayacaktır.
Yazılı başvuru haricindeki diğer başvuru yöntemlerinin belirlenmesi konusunda Kanun, Kişisel Verileri Koruma Kurulunu yetkilendirmektedir. Kurul, çıkardığı ikincil düzenlemelerle veri sorumlusuna yapılacak başvuruların yöntemini belirlemiştir.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ için tıklayınız.
2. Şikayet Hakkı
İlgili kişinin şikayet yoluna başvurulabilmesi için ilk olarak veri sorumlusuna Kanunun 13. maddesi uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin veri sorumlusuna başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.
Kişisel verilerinin işlenmesi kapsamında kişilik hakları ihlal edilen ilgili kişilerin, genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır.
İlgili kişinin Kurula şikayette bulunmasında öngörülen süre, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gündür. Fakat Kurulun inceleme yapabilmesi için mutlaka ilgilinin şikayetine ihtiyaç yoktur. Kurulun ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda da resen harekete geçerek görev alanına giren konularda gerekli incelemeyi yapması yetkisi dahilindedir.
Kanunun 15. maddesiyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmiştir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme, şikâyete ya da resen öğrenilen ihlal iddiasına münhasır olacaktır.
Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmamaktadır.. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kurula 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmüş, şikâyet tarihinden itibaren altmış gün içinde herhangi bir cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmıştır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.
Kurulun, şikâyet üzerine yapacağı inceleme ile ilgili olarak altmış günlük süre içerisinde bir cevap vermesi öngörülmüş ise de, resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemiştir. Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir. Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, Kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır.
Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmiştir. İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür.
Kişisel Verileri Koruma Kurumu
Tarihçe
24 Mart 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu Türkiye Büyük Millet Meclisinde kabul edilmiştir.
7 Nisan 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanmıştır.
5 Ekim 2016: 6698 sayılı Kişisel Verilerin Korunması Kanununun 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 3 üye 5 Ekim 2016 tarih ve 1129 sayılı Türkiye Büyük Millet Meclisi Genel Kurulunun Kararı ile seçilmişlerdir.
11 Ekim 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 2 üye Bakanlar Kurulunun 11 Ekim 2016 tarih ve 2016/9597 sayılı kararı ile seçilmişlerdir.
15 Aralık 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 2 üye Cumhurbaşkanlığının 15 Aralık 2016 tarihli kararları ile seçilmişlerdir.
4 Ocak 2017: 6698 sayılı Kişisel Verilerin Korunması Kanununun 21. maddesi hükümlerine göre Kişisel Verileri Koruma Kurulunda boş bulunan 2 üye 4 Ocak 2017 tarih ve 1135 sayılı Türkiye Büyük Millet Meclisi Genel Kurulunun Kararı ile seçilmişlerdir.
12 Ocak 2017: 6698 sayılı Kişisel Verilerin Korunması Kanununun Kişisel Verileri Koruma Kurulu başlıklı 21. maddesinin dokuzuncu fıkrası hükmüne göre Seçilen Kişisel Verileri Koruma Kurulu Üyeleri, Yargıtay Birinci Başkanlık Kurulu huzurunda yemin etmiştir.
30 Ocak 2017: 6698 sayılı Kişisel Verilerin Korunması Kanununun Kişisel Verileri Koruma Kurulu başlıklı 21. maddesinin yedinci fıkrası hükmüne göre Kişisel Verileri Koruma Kurulunda aşağıda isimleri verilen Başkan ve İkinci Başkan seçilmiştir.
- Prof. Dr. Faruk BİLİR Başkan
- Cabir BİLİRGEN İkinci Başkan
6698 sayılı Kişisel Verilerin Korunması Kanununun Geçici 1. maddesinin altıncı fıkrası hükmüne göre Kişisel Verileri Koruma Kurulunda 6 yıl süre ile görev yapacak olan ve aşağıda isimleri verilen 2 üye kura yöntemi ile belirlenmiştir.
- Şaban BABA
- Dr. Cengiz PAŞAOĞLU
Misyon
Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak.
Vizyon
Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak.
Temel İlke ve Değerler
- Özel hayatın gizliliğini koruma
- Temel hak ve özgürlüklere saygı
- Tarafsızlık
- Bağımsızlık
- Güvenilirlik
- Hukuka ve etik ilkelere uygunluk
- Şeffaflık ve hesap verilebilirlik
- Hızlı, doğru ve objektif karar alma
- İşbirliği ve katılımcılık
- Ulusal ve uluslararası düzeyde hizmet verme
Kişisel Verilerin Korunması Kanunu
- 7 Nisan 2016: Kişisel Verilerin Korunması Kanunu
Yönetmelikler
- 17 Mayıs 2019: Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği
- 5 Mayıs 2018: Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme ve Ünvan Değişikliği Yönetmeliği
- 26 Nisan 2018: Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği
- 9 Şubat 2018: Kişisel Verileri Koruma Uzmanlığı Yönetmeliği
- 30 Aralık 2017: Veri Sorumluları Sicili Hakkında Yönetmelik
- 16 Kasım 2017: Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
- 28 Ekim 2017: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kurul Kararları
1. Kurul Kararları
- 15 Ekim 2019: Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı
- 7 Ekim 2019: Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi ile ilgili Kişisel Verileri Koruma Kurulunun 23/07/2019 tarih ve 2019/225 sayılı Kararı
- 7 Eylül 2019: “VERBİS Kayıt Sürelerinin Uzatılması” hakkında 03/09/2019 tarihli ve 2019/265 sayılı Kurul Kararı
- 11 Haziran 2019: “Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” hakkındaki 02/05/2019 tarihli ve 2019/125 sayılı Kurul Kararı
- 18 Şubat 2019: “Sağlık verilerini Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı
- 18 Şubat 2019: “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı
- 18 Şubat 2019: “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı
- 15 Şubat 2019: KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARINA İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 24.01.2019 TARİH VE 2019/10 SAYILI KARARINA İLİŞKİN DUYURU
- 13 Şubat 2019: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih ve 2019/9 Sayılı Kararı
- 1 Kasım 2018: “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi ” ile ilgili Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı
- 18 Ağustos 2018: “Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı
- 18 Ağustos 2018: “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı
- 18 Ağustos 2018: “Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulmasına İlişkin ” ile ilgili Kişisel Verileri Koruma Kurulunun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı
- 18 Ağustos 2018: “Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında Görüş Talebi” ile ilgili Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/68 Sayılı Kararı
- 4 Temmuz 2018: “Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi ile ilgili Kişisel Verileri Koruma Kurulunun 31/05/2018 Tarihli ve 2018/63 Sayılı İlke Kararı
- 15 Mayıs 2018: “Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı
- 7 Mart 2018: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı
- 25 Ocak 2018: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı
- 25 Ocak 2018: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/61 Sayılı İlke Kararı
2. Kurul Karar Özetleri
- 6 Kasım 2019: “Sevinç Eğitim Kurumlarının kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesi” hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 Tarihli ve 2019/276 sayılı Karar Özeti
- 6 Kasım 2019: “Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/296 Sayılı Karar Özeti
- 6 Kasım 2019: “Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında Kişisel Verileri Koruma Kurulunun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti
- 6 Kasım 2019: “Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” hakkında Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/227 Sayılı Karar Özeti
- 2 Ekim 2019: Bir turizm şirketi hakkında Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/255 sayılı Karar Özeti
- 2 Ekim 2019: S Şans Oyunları A.Ş hakkında Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı Karar Özeti
- 1 Ekim 2019: Facebook hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Karar Özeti
- 29 Ağustos 2019: Dubsmash Inc. hakkında Kişisel Verileri Koruma Kurulunun 17/07/2019 Tarihli ve 2019/222 Sayılı Karar Özeti
- 2 Ağustos 2019: “Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kuruma yaptığı başvuru” ile ilgili Kişisel Verileri Koruma Kurulunun 08/07/2019 Tarihli ve 2019/204 Sayılı Karar Özeti
- 19 Temmuz 2019: Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında Kişisel Verileri Koruma Kurulunun 01/07/2019 Tarihli ve 2019/188 Sayılı Karar Özeti
- 17 Temmuz 2019: İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/166 Sayılı Karar Özeti
- 17 Temmuz 2019: Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti
- 17 Temmuz 2019: Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin Kişisel Verileri Koruma Kurulunun 31.05.2019 Tarihli ve 2019/162 Sayılı Karar Özeti
- 17 Temmuz 2019: Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/159 Sayılı Karar Özeti
- 17 Temmuz 2019: Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar Özeti
- 25 Haziran 2019: Cathay Pasific Airway Limited hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Karar Özeti
- 25 Haziran 2019: Marriott International Inc. hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Karar Özeti
- 25 Haziran 2019: Clickbus Seyahat Hizmetleri A.Ş. hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Karar Özeti
- 27 Mayıs 2019: “Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında” Kişisel Verileri Koruma Kurulunun 14/02/2019 tarihli ve 2019/23 sayılı Karar Özeti
- 27 Mayıs 2019: “Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında” Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/82 sayılı Karar Özeti
- 27 Mayıs 2019: “Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında” Kişisel Verileri Koruma Kurulunun 01/03/2019 tarihli ve 2019/47 sayılı Karar Özeti
- 27 Mayıs 2019: “İlgili kişinin yaptığı başvuruyu cevaplandırmayan ve internet sitesi üzerinden yayımladığı aydınlatma metni mevzuatta düzenlenen şartları taşımayan T.C. Ziraat Bankası A.Ş. hakkında” Kişisel Verileri Koruma Kurulunun 02/05/2019 tarihli ve 2019/122 sayılı Karar Özeti
- 10 Mayıs 2019: Facebook hakkında Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı Karar Özeti
- 16 Nisan 2019: “Veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru” Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 Sayılı Karar Özeti
- 3 Nisan 2019: “Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında” Kişisel Verileri Koruma Kurulunun 24/12/2018 tarihli ve 2018/156 sayılı Karar Özeti
- 3 Nisan 2019: “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı Karar Özeti
- 3 Nisan 2019: “Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/11/2018 tarihli ve 2018/131 sayılı Kararı Özeti
- 3 Nisan 2019: “Kurul Kararının gereğinin süresi içinde yerine getirilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/118 sayılı Karar Özeti
- 3 Nisan 2019: “Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında” Kişisel Verileri Koruma Kurulunun 13/09/2018 tarihli ve 2018/106 sayılı Karar Özeti
- 3 Nisan 2019: “Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Karar Özeti
- 18 Şubat 2019: “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Karar Özeti
- 18 Şubat 2019: “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Karar Özeti
- 18 Şubat 2019: “Sağlık verilerini Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 Tarihli ve 2018/143 Sayılı Karar Özeti
- 2 Ağustos 2018: Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması
- 2 Ağustos 2018: Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)
- 2 Ağustos 2018: Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması
- 2 Ağustos 2018: İlgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi
- 2 Ağustos 2018: Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi
- 2 Ağustos 2018: İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)
- 2 Ağustos 2018: Açık Rızanın Hizmet Şartına Bağlanması
- 2 Ağustos 2018: Kişisel Veri Güvenliği İhlalinin Geç Bildirimi
- 2 Ağustos 2018: İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması
- 2 Ağustos 2018: Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması
- 2 Ağustos 2018: Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi
Tebliğler
- 10 Mart 2018: Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
- 10 Mart 2018: Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
Taahhütnameler
- 16 Mart 2018: ” 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi kapsamında, yurtdışına veri aktarımında veri sorumlularınca hazırlanacak taahhütnamede yer alacak asgari unsurlar.
Yayınlar
Rehberler
- Kişisel Veri İşleme Envanteri Hazırlama Rehberi
- Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi
- 100 Soruda Kişisel Verilerin Korunması Kanunu
- Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi
- Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi
- Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular
- Anayasal Bir Hak Olarak Kişisel Verilerin Korunmasını İsteme Hakkı
- Veri Sorumlusu ve Veri İşleyen
- Veri Sorumluları Sicili
- İlgili Kişinin Hak Arama Yöntemleri
- Kanun Kapsamındaki Hak ve Yükümlülükler
- Kişisel Verilerin İşlenme Şartları
- Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
- Açık Rıza
- 6698 Sayılı Kanun’da Yer Alan Temel Kavramlar
- 6698 Sayılı Kanun’da Yer Alan Terimler
- 6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı ve Kapsamı
- Kişisel Verilerin Korunması Alanında Uluslararası ve Ulusal Düzenlemeler
- Kişisel Verilerin Korunması Kanununa Duyulan İhtiyaç
- Özel Nitelikli Kişisel Verilerin İşlenme Şartları
- Kişisel Verilerin Yurtdışına Aktarılması
- Kişisel Verileri Koruma Kurulu’nun Yapısı ve Görevleri
Diğer Dokümanlar
- Örneklerle Kişisel Verilerin Korunması
- Veri Sorumluları Sicil Bilgi Sistemi Kılavuzu
- Data Protection in Turkey
- Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü
- KVKK KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
- SORULARLA VERBİS
KVKK’ya Uyum Kapsamında Alınacak Yazılımlar İçin Önerilen Şartname Maddeleri
KVKK’ya uyum kapsamında alınacak yazılımlar için önerilen şartname maddeleri yazılımlar bazında aşağıdaki gibidir.
Kişisel Veri Yönetimi Yazılımında Olması Önerilen Özellikler
- Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
- Ürün PDF, Şifrelenmiş PDF, Microsoft Word, Microsoft Excel, CSV, TXT, TIFF dahil olmak üzere çeşitli resim dosyaları vb. dosyalar içerisinde işletim sisteminden bağımsız olarak T.C. Kimlik Numarası, cep telefonu numarası, kredi kartı bilgileri gibi Kişisel Verileri -gerektiğinde OCR yaparak- tarayıp bulabilmeli ve raporlayabilmelidir. Bulduğu dosyaları KVKK’ya uygun olarak silebilmelidir (istenirse öncelikle başka bir dizine taşıyabilmelidir). Yapılan tüm bu işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalıdır.
- Ürün Microsoft SQL, Oracle, MySQL, PostgreSQL veri tabanları ve bunları kullanan uygulamalarda işletim sisteminden bağımsız olarak T.C. Kimlik Numarası, cep telefonu numarası, kredi kartı bilgileri gibi Kişisel Verileri tarayıp bulabilmeli ve raporlayabilmelidir. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmelidir.
- PST/OST dosyalarında bulduğu e-mailleri raporlayabilmelidir.
- Kelime bazlı, regex bazlı tarama yapabilmelidir. Aynı anda birden fazla kelime, aynı anda birden fazla regex tarama yapabilmelidir.
- T.C. Kimlik Numarası keşfini algoritmik olarak yapabilmelidir.
- Kolay kullanıcı arayüzüne sahip olmalıdır.
- Kullanıcı bazlı yetkilendirmeye sahip olmalıdır.
- Admin paylaşımları ile uzaktan tarama (Administrative Shares) yapabilmelidir.
- Komut satırından çalışabilmelidir.
- Microsoft Task Scheduler ile çalıştırılabilmelidir.
Güvenlik Bilgi ve Olay Yönetimi (SIEM) Yazılımında Olması Önerilen Özellikler
- Ürün hem Microsoft Windows hem de Linux işletim sistemine sanallaştırmaya gerek duymadan kurulabilmelidir (İşletim sistemi bağımsızlığını sağlamak için).
- Ürün, ileri seviye tehdit tespiti için makine öğrenmesi modülüne sahip olmalıdır.
- Ürün, tehditlerin anında yakalanabilmesi için in-memory korelasyon yapabilmelidir.
- Ürün aşağıdaki tarzda tespit yapılarını desteklemelidir:
- Ürün, firewall tarafından bloklanan bir port ve IP ile bu olaydan önceki 20 dakika içerisindeki aynı IP ve port ile haberleşen (bloklanmayan) başka aktiviteleri tespit edebilmeli ve uyarabilmelidir.
- Ürün, aynı anda aynı kullanıcı hem başarılı hem de başarısız oturum açarsa uyarmalıdır (Bir insan o kadar hızlı login ve logout yapamaz).
- Ürünün KVKK desteği olmalıdır:
- SIEM ürünü veri keşfi ürünleri ile entegre olmalıdır.
- SIEM ürünü log’ların içerisinde T.C. Kimlik Numarası, cep telefonu veya kredi kartı bilgisi geçerse haber vermelidir.
- Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, SonicWall SSL-VPN cihazları ile entegre olarak kredi kartı bilgisi tespit edebilmelidir.
KVKK’ya Özel SIEM Senaryoları ve Kuralları Hizmetleri
KVKK Teknik Tedbirler arasında yer alan Yetki Matrisi ve Yetki Kontrolü kapsamında KVKK’ya özel SIEM senaryolarının belirlenmesi ve çalışır hale getirilmesi gerekmektedir. 3,5 yıllık KVKK knowhow’ımızla KVKK’ya özel olarak hazırladığımız 300 adet senaryoyu SIEM müşterilerimize opsiyonel hizmet olarak sunuyoruz. Hali hazırda kullanılan farklı bir SIEM yazılımı varsa, 300 adet senaryonun knowhow olarak satın alınabilmesi ve kullanılan SIEM yazılımının desteklediği ölçüde hayata geçirilebilmesi için de hizmet veriyoruz. Senaryoların kalitesi konusunda fikir vermesi için 30 adet SIEM senaryosunu aşağıda paylaşıyoruz.
SIEM yazılımımız ile aşağıdaki anormallikleri (anomaly) gerçek zamanlı olarak anında tespit edebilir (detect), ilgili kişilere bildirim gönderilmesini sağlayabilir (notify), aksiyon aldırabilir (take action) ve engelleyebilirsiniz (block).
- Bankacılık sektöründe Bireysel Bankacılık, KOBİ Bankacılığı, Kurumsal ve Ticari Bankacılık, Yatırım Bankacılığı Hizmetleri, Krediler, Hazine, Bilgi Teknolojileri, İnsan Kaynakları vb. bir gruba dahil olan bir kullanıcı veri tabanında ya da bankacılık sisteminde dahil olduğu gruba göre anormal sayıda sorgulama yaparsa
- Bir kullanıcının son 72 saat içerisinde kişisel veri kaynaklarına (sunucu, dosya, veri tabanı vb.) erişiminde anormallik varsa
- Veri Sorumlusu olmayan bir kullanıcı ayın en az 10 günü kişisel veri kaynaklarının (sunucu, dosya, veri tabanı vb.) %10’undan fazlasına erişirse
- Dosya sunucusunda erişilen dosyaların adında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
- Veri tabanından çekilen SQL sorgularında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
- Gönderilen e-mailin konu kısmında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
- Gönderilen e-mailin eklentisindeki dosya adında T.C. Kimlik Numarası ya da kredi kartı bilgileri varsa
- Enterasys Dragon IDS, Cisco Nexus, Citrix NetScaler, Sonicwall SSL VPN cihazları da entegre ederek kredi kartı bilgisi tespit edilirse
- Bir kullanıcı son 20 dakika içerisinde internet üzerinden bir şey indirdiyse (download ettiyse) ve yetkisinin olmadığı ve kişisel veri içeren sunucuya ya da veri tabanına 2 defa oturum açmayı denerse
- Bir kullanıcı son 6 aydır hiç login olmadığı ve yetkisi dahilinde olan kişisel veri içeren bir makinaya erişirse ve son 20 dakika içerisinde aynı kullanıcı internet erişimi yaptıysa
- Veri Sorumlusu dahil olmak üzere bir kullanıcı aynı anda hem kişisel verilere erişiyor hem de internete çıkıyorsa
- Bir kullanıcı kişisel verilerin bulunduğu ve yetki matrisi çerçevesinde erişim yapabileceği tablolardan birine öğle yemeği sırasında 1 defa yanlış şifre girişi yapıp bırakırsa ve bunu arka arkaya 2 gün tekrarlarsa
- Bir kullanıcı son 1 gün içerisinde kişisel veri içeren sunuculara ya da veri tabanlarına yaptığı başarısız oturum sayısı başarılı oturum sayısının %10’unu aşarsa
- Bir kullanıcı son 1 hafta içerisinde kişisel veri içeren sunuculara ya da veri tabanlarına yaptığı başarısız oturum sayısı başarılı oturum sayısının %10’unu aşarsa
- VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makineye RDP yaptıktan sonra o makineden kişisel veri içeren 2. bir makinaya RDP denemesi yaparsa
- VPN yapan bir kullanıcı, yetkisi dahilinde olan bir makineye RDP yaptıktan sonra o makineden kişisel veri içeren 2. bir makinaya RDP denemesi yapar ve bu makinede çalıştırmaması gereken bir program çalıştırırsa
- Aynı IP ve kullanıcı adı ile 1 ay içerisinde birden fazla local firewall ya da firewall tarafından engellenen IP ve kullanıcı yetki matrisi dışına çıkmaya çalışırsa
- Bir kullanıcı kişisel veri kaynaklarına (sunucu, dosya, veri tabanı vb.) 24 saatte birden fazla yetkisiz erişim denerse
- Veri Sorumlusu olmayan bir kullanıcı günde birden fazla sayıda kişisel veri içeren ve yetkisi dahilinde olmayan kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişirse ya da erişmeyi denerse
- Bir kullanıcı son 1 haftada 2 ya da daha fazla sayıda yetkisi olmayan kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişmeye çalışırsa
- Veri Sorumlusu olmayan bir kullanıcı yetki matrisinde tanımlanan yetkileri dahilinde dahi olsa aynı anda 2 farklı kişisel veri içeren sunucuya ya da veri tabanına erişirse
- Veri Sorumlusu olmayan 2 farklı kullanıcı aynı anda aynı kişisel veriye erişirse
- Bir kullanıcı 30 gün içerisinde 10 farklı kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişirse
- Bir kullanıcı 30 gün içerisinde 5 farklı kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) erişmeyi dener ve başarısız olursa
- Admin grubunda olmayan bir kullanıcı, herkes tarafından erişilen ortak makineler haricinde 24 saat içinde 2. makineye başarısız oturum denemesi yaparsa
- Yetkisi artırılan bir kullanıcı olursa
- Bir kullanıcı 15 dakikada birden fazla ya da en az 30 dakika ara ile günde birden fazla ya da en az 24 saat arayla haftada birden fazla şifre değiştirirse
- Bir kullanıcı en az yarım saat ara ile günde birden fazla şifre değiştirirse
- Bir kullanıcı 72 saat içerisinde aynı kişisel veri kaynağına (sunucu, dosya, veri tabanı vb.) aynı kullanıcı adı ile farklı IP’lerden erişirse
- Kişisel veri erişimi yapan bir kullanıcı, bu işlemi yaptığı kullanıcı ve IP ile 24 saat içerisinde birden fazla farklı hedef IP için engellenirse
Not: Kişisel Verilerin Korunması Kanunu (KVKK) Özel Bölümü Vatansever Bilişim Kişisel Verilerin Korunması Kanunu (KVKK) Çözümleri tarafından hazırlanmaktadır.
Comments are closed.