KVKK Açık Rıza Onay Yönetimi

Açık Rıza Alma Şartları Nelerdir?

• Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul edilir.
• Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.
• Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.
• İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının "evet/onay/kabul" şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.
• İşletmeciler, abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.

Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1. Aktarılacak verinin kapsamı,
2. Aktarılacak tarafın adı ve açık adresi,
3. Aktarma amacı ve süresi,
4. Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı,

şeklindeki bilgiler verilerek ayrıca açık rıza alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.

• İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.

AÇIK RIZA UNSURLARI NEDİR?

6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre açık rızanın üç unsuru vardır:

Belirli bir konuya ilişkin olma:

Açık rıza beyanı genel nitelikte değil, belirli bir duruma mahsus olmalıdır. Veri sorumlusu tarafından açık rıza beyanının hangi konuyla ilgili olarak talep edildiğinin net bir şekilde ortaya konulması gerekmektedir.

Örneğin; tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz, tarzında alınan açık rıza belirli bir konuyla ilgili olmadığı genel olduğu için geçerli değildir.

Ayrıca veri sorumlusu, veriyi kullandıktan sonra yurtdışına veri aktarımı gibi işlemler gerçekleştirecekse ayrıca açık rıza alması gerekmektedir. Bu durum, verinin işlenme gayesinin değişmesi durumunda da geçerlidir.

Bilgilendirmeye dayanma:

Kişinin özgür olarak rıza vermesi için neye rıza gösterdiğini bilmesi gerekir. Bu nedenle kişiye yapılacak bilgilendirme, muhakkak veri işlenmeden önce yapılmalı ve veri işleme ile ilgili tüm konular açık ve anlaşılır bir biçimde gerçekleştirilmelidir.

Toplanacak kişisel verilerin ne maksatlarla kullanılacağı açıkça belirtilmeli, kişinin anlamakta zorlanacağı kelimeler veya okumakta zorlanacağı (yazılı bilgilendirme yapıldığında) boyutta küçük puntolar kullanılmamalıdır.

Özgür iradeyle açıklanmış olma:

Bir irade beyanı olan açık rıza beyanının kişinin hür iradesini etkileyecek durumlarda alınmaması gerekmektedir. Örneğin, bir hizmetin sağlanmasının alınacak açık rızaya bağlanması ya da hile ile açık rıza alınması gibi. Zor kullanma, tehdit, hata, hile vb. durumlarda, kişinin hür olarak karar vermesi imkansızdır. Bu tarz durumlarda özgür bir iradeden söz edilemez.

Ayrıca tarafların eşit koşullarda olmadığı ya da taraflardan birinin diğeri üzerinde etkili olduğu hallerde rızanın hür iradeyle verilip verilmediğinin özenle değerlendirilmesi gerekmektedir.
Bilhassa çalışan ve işveren ilişkisinde, çalışana rıza göstermeme olanağının etkin bir şekilde sunulmadığı ya da rıza göstermemenin çalışan bakımından olası bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeyle alındığı kabul edilemez.

Diğer taraftan, ilgili kişinin açık rızasının alınması, bir ürün ya da hizmetin sağlanmasının ön şartı olarak ileri sürülmez.

KVKK Açık Rıza Aranmayan Durumlar Nelerdir?

Aşağıdaki koşullardan herhangi birinin olması durumunda, ilgili kişinin açık rızası olmaksızın kişisel veriler işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili olanaksızlık sebebiyle rızasını ifade edemeyecek durumda olan ya da rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması ya da yerine getirilmesiyle direkt ilgili olması şartıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin lüzumlu olması,
• Veri sorumlusunun yasal sorumluluğunu yerine getirebilmesi için zorunlu olması,
• İlgili kişi tarafından alenileştirilmiş olması,
• Bir hakkın kuruluşu, kullanılması ya da muhafazası için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla, veri sorumlusunun yasal çıkarları için veri işlenmesinin zorunlu olması,

Açık rıza geri alınabilir mi?

Açık rıza vermek, kişiye bağlı bir hak olduğu için verilen açık rıza elbette geri alınabilir. Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır.

Fakat söz konusu kişisel verilerin saklanmasını gerektiren farklı bir hukuki neden varsa, veri sorumlusu tarafından yalnızca bu maksatla sınırlı olmak kaydıyla saklanabilir.

Açık rıza hakkında detaylı bilgi almak için Açık Rıza Nedir? Açık Rıza Alma Şartları Nelerdir? yazımızı okuyabilirsiniz...

2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, kişilerin kendisiyle alakalı kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak güvence altına alındı.

Kişisel veriler, 2010 yılına kadar genel hukuki düzenlemelerde var olan hükümlerle korunmaktaydı. Örneğin Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar gibi.

2010 yılında Anayasanın 20. maddesine ilave edilen;

"Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."

maddesi ile kişisel verilerin korunması ilk defa anayasal bir hak statüsüne kavuştu. Bununla birlikte söz konusu hakkın korunmasıyla ilgili usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakıldı.

Kişisel Verileri Koruma Kanunu ne zaman yürürlüğe girdi?

24 Mart 2016'da kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi.

KİŞİSEL VERİLERİ KORUMA KANUNU MEVZUAT

KVKK Kanunu

KVKK kanununa ulaşmak için tıklayınız.

KVKK Tebliğler

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe ulaşmak için tıklayınız.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe ulaşmak için tıklayınız.

KVKK Yönetmelikler

• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik'e ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Uzmanlığı Yönetmeliğine ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğine ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme ve Unvan Değişikliği Yönetmeliğine ulaşmak için tıklayınız.
• Veri Sorumluları Sicili Hakkında Yönetmelik'e ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliğine ulaşmak için tıklayınız.

Kişisel Veri Nedir?

Kişisel veri, kimliği belli veya belirlenebilir mahiyetteki gerçek kişiyle ilgili her çeşit bilgidir. Bir bilginin kişisel veri kabul edilebilmesi için verinin gerçek kişiye ait olması ve bu kişinin belirli veya belirlenebilir durumda olması gerekmektedir. Bu kapsamda bir verinin kişisel veri olarak değerlendirilmesi için gerçek kişiye ait olması, kişiyi belirlenebilir kılması ve her çeşit bilgiyi içinde barındırması gerekir.

Mevzuatta hangi bilgilerin kişisel veri sayılacağıyla ilgili sınırlı sayım yoluna gidilmediği için kapsamın genişletilmesi muhtemeldir.

Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye aittir, tüzel kişilerle ilgili veriler kişisel veri kapsamında değildir. Bu nedenle bir firmanın ticaret unvanı, adresi, faaliyet alanı vb. bilgiler tüzel kişiliğe ait bilgiler olması sebebiyle kişisel veri sayılmazlar.

Kişiyi belirli ya da belirlenebilir kılması: Kişisel veri, ilgili kişinin kimliğini direkt olarak işaret edebilir ya da ilgili kişinin herhangi bir kayıtla ilişkilendirilmesi neticesinde kişinin tespit edilmesine yarayan bütün bilgileri de kapsar.

Her türlü bilgi: Kişisel veri sadece gerçek kişinin kimliğini açıklayan bilgiler değildir. Kişiyi direkt veya dolaylı olarak belirlenebilir kılan bütün veriler kişisel veridir.

KİŞİSEL VERİLER NELERDİR?

Gerçek kişinin;

• Adı soyadı,
• Doğum tarihi,
• Doğum yeri,
• TC kimlik numarası,
• Telefon numarası,
• Motorlu taşıt plakası,
• Sosyal güvenlik numarası,
• Pasaport numarası,
• Özgeçmiş,
• Resim,
• Görüntü
• Ses kayıtları,
• Parmak izi,
• IP adresi
• e-Posta adresi,
• Hobiler,
• Tercihler,
• Etkileşimde bulunulan kişiler,
• Grup üyelikleri,
• Aile bilgileri,
• Sağlık bilgileri,
• Raporlar (müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları),
• Belgeler (özgeçmişler, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri),
• Yazılar (mektuplar, davet yazıları),

gibi kişiyi doğrudan ya da dolaylı olarak tespit edilebilir duruma getiren bütün bilgiler kişisel veridir.

Bir verinin kişisel veri olup olmadığı her somut olayın özelliğine göre "kişiyi tanımlayabilme" kabiliyeti dikkate alınarak değerlendirilmelidir.

Kişisel sağlık verisi nedir? Sağlık verisi ne tür bir kişisel veridir?

Kimliği belirli veya belirlenebilir gerçek kişiye ait her çeşit sağlık verisi kişisel sağlık verisidir. Kişisel sağlık verisi özel nitelikli kişisel veri olarak kabul edilmektedir. Bu nedenle özel nitelikli kişisel verilerin işlenme koşullarına tabidir. Örneğin; tahlil sonuçları, geçirilen hastalıklar, kullanılan ilaçlar vb. veriler kişisel sağlık verisidir.

Hassas kişisel veriler nelerdir?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik bilgileri hassas kişisel verilerdir.

Özel nitelikli kişisel veriler hakkında ayrıntılı bilgi almak için Özel Nitelikli Kişisel Veri Nedir? Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir? yazımızı okuyabilirsiniz.

Lakap veya takma isim kişisel veri midir?

Takma isimler tek başına ya da başka verilerle bir araya getirildiği zaman kişiyi tanımlamayı sağlayabilecek mahiyette ise bu tarz veriler de kişisel veri sayılmaktadır.

Fotoğraf kişisel veri midir?

Evet, gerçek kişiye ait olan bir fotoğraf kişisel veridir.

TC kimlik numarası kişisel veri midir?

Evet, TC kimlik numarası kişisel veridir.

IP adresi kişisel veri midir?

Evet, IP adresi kişisel veridir.

e-Posta adresi kişisel veri midir?

Evet, e-Posta adresi kişisel veridir.

Telefon numarası kişisel veri sayılır mı?

Evet, telefon numarası kişisel veridir.

Ses kaydı kişisel veri midir?

Evet, ses kaydı kişisel veridir.

Kişisel Verilerin İşlenmesi Nedir?

Kişisel verilerin toplanması, kayıt edilmesi, depolanması, korunması, değiştirilmesi, tekrar düzenlenmesi, açıklanması, gönderilmesi, teslim alınması, elde edilebilir duruma getirilmesi, bölümlere ayrılması veya kullanılmaz hale getirilmesi gibi veriler üstünde gerçekleştirilen her türlü işlemdir.

Kişisel verilerin işlenmesinde öncelikle yasadaki temel ilkelere uygun hareket edilmelidir. Mevzu bahis kurallar, kişisel veri işleme faaliyetlerinin özünü teşkil etmeli ve bütün veri işleme çalışmaları bu kurallara göre yapılmalıdır.

Kişisel verilerin işlenmesi esnasında uyulması gereken genel kurallar aşağıdaki gibidir:

• Hukuka ve dürüstlük ilkelerine uygunluk,
• Güncel ve doğru olma,
• Belirli, açık ve meşru maksatlar için işlenme,
• Sınırlı ve ölçülü olma (işlendikleri amaçla bağlantılı olarak)
• Kanunda belirlenen ya da işlendikleri gaye için lüzumlu olan zaman içinde saklanma,

Kişisel Verilerin İşlenme Şartları Nelerdir?

Özel nitelikli olmayan kişisel verilerin hangi koşullarda işlenebileceği Kanundaki ilkelere göre düzenlenmiştir. Söz konusu koşullardan birinin bulunması genel nitelikli kişisel verilerin işlenmesi için yeterlidir.

• Kişinin açık rızasının olması,
• Kanunlarda açıkça belirtilmesi,
• Fiili imkânsızlık sebebiyle iznini belirtemeyecek halde olan ya da rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya başkasının hayatı veya vücut bütünlüğünün korunması için mecburi olması,
• Bir sözleşmenin kurulması veya ifasıyla direkt olarak ilgili olması şartıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin lüzumlu olması,
• Veri sorumlusunun yasal sorumluluğunu ifa edebilmesi için zorunlu olması,
• Kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesis edilebilmesi, kullanılması ya da muhafazası için veri işlemenin zorunlu olması,
• Kişinin temel hak ve özgürlüklerine zayiat vermemek şartıyla, veri sorumlusunun yasal çıkarları için veri işlenmesinin mecburi olması,

KİŞİSEL VERİLERİN AÇIK RIZA HARİCİNDE İŞLENME ŞARTLARI NEDİR?

Şartlar - Kapsam - Örnek

• Kanun Hükmü - Vergi, İş, Türk Ticaret Kanunu vs. - Çalışana ait özlük bilgilerinin yasa gereği tutulması,
• Sözleşmenin İfası - İş Akdi, Satış, Taşıma, Eser Sözleşmesi vs. - Teslimat yapılması için şirketin adres bilgilerinin kayıt altına alınması,
• Fiili İmkânsızlık - Fiili imkânsızlık sebebiyle rıza veremeyecek olan veya ayırt etme gücü olmayan kişi - Bilinci kapalı kişinin kişisel sağlık bilgisi. Kaçırılan veya kayıp kişinin konum bilgisi
• Veri Sorumlusunun Hukuki Sorumluluğu - Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum - Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması,
• Aleniyet Kazandırma - İlgili kişinin kendisine ait bilgileri kamunun bilgisine sunması - Otomobilini satmak isteyen kişinin, ilanında iletişim bilgisine yer vermesi,
• Hakkın Tesisi, Korunması, Kullanılması - Dava açılması, tescil işlemleri, her türlü tapu işlemi vs. işlerde kullanılması zorunlu bilgiler - İşten ayrılan bir çalışanla ilgili lüzumlu bilgilerin dava zaman aşımı süresinde muhafaza edilmesi,
• Meşru Menfaat - Söz konusu kişinin temel haklarına zarar vermemek şartıyla, veri sorumlusunun meşru menfaati için zorunlu olması durumunda veri işlenmesi - Çalışan bağlılığını artıran ödül ve prim uygulanması maksadıyla veri işlenmesi

Kişisel veri işlemede açık rıza alınması nedir?

Açık rıza, kişisel veri işleme koşullarından biridir. Veri sorumlusunca, veri işleme çalışmaları yapılmasında öncelikle diğer veri işleme koşullarından birine dayanılıp dayanılamayacağı araştırılmalı, bunlardan herhangi biri yoksa kişinin açık rızası alınmalıdır.

Açık rıza alma şartları hakkında ayrıntılı bilgi için Açık Rıza Nedir? Açık Rıza Alma Şartları Nelerdir? yazımızı okuyabilirsiniz.

Kişisel sağlık verileri işleme şartları nedir?

• Kişinin açık rızasının olması,
• Sır saklama sorumluluğu altında olan kişiler ya da yetkili kurum ve kuruluşlarca; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi maksadıyla ilgili kişinin açık rızası olmadan Kurul tarafından belirlenen tedbirlerin de alınması, koşuluyla kişisel sağlık verileri işlenebilir.

Kişisel verilerin işlenme şartları hakkında ayrıntılı bilgi almak için tıklayınız.

Kişisel verilerin silinmesi nedir?

Bahsi geçen kişisel verilerin ilgili kullanıcılar tarafından herhangi bir biçimde erişilemez ve kullanılamaz duruma getirilmesidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılarca ulaşılamaz ve kullanılamaz olması için her türlü teknik ve idari önlemleri almakla yükümlüdür.

Kişisel verilerin imhası nedir?

Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesine kişisel verilerin imhası denilmektedir.

Kişisel verilerin silinmesi hangi aşamalardan oluşur?

• Kişisel veriler belirlenir,
• İlgili kullanıcılar belirlenir,
• Kullanıcıların erişim yöntemleri belirlenir,
• Son olarak da veriler silinir.

Kişisel verilerin yok edilmesi nedir?

Kişisel verilerin yok edilmesi, kişisel verilerin herhangi bir biçimde erişilemez, geri getirilemez ve yeniden kullanılamaz duruma getirilmesidir. Veri sorumluları kişisel verilerin yok edilmesiyle alakalı her türlü teknik ve idari önlemleri almakla sorumludur.

Kişisel verilerin yok edilmesi işlemi nasıl yapılır?

Kişisel verilerin yok edilmesi için verilerin olduğu bütün kopyalar belirlenir ve verilerin bulunduğu sistemlerin çeşidine göre manyetize etme, fiziksel olarak yok etme, üstüne yazma vb. metotlar kullanılır.

Kişisel verilerin anonim hale getirilmesi nedir?

Kişisel verilerin diğer verilerle eşleştirilse bile herhangi bir şekilde kimliği belirli ya da belirlenebilir bir gerçek kişiyle bağdaştırılamayacak duruma getirilme işlemidir. Veri üzerinden bir izleme yapılarak diğer verilerle eşleştirme ve desteklemenin ardından verinin kime ait olduğu belirleniyorsa, bu veri anonim olarak kabul edilmez. Anonim hale getirilen veri, kişisel veri vasıflarını yitirdiğinden, Kanun hükümleri çerçevesinde değerlendirilmez.

Kişisel veriler hangi koşullarda silinir, imha edilir veya anonim hale getirilir?

Kişisel veriler, işlenmesini gerektiren nedenlerin ortadan kalkması durumunda, doğrudan ya da ilgili kişinin isteği üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

KİŞİSEL VERİLERİ ANONİM HALE GETİRME YÖNTEMLERİ NELERDİR?

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri:

• Değişkenleri Çıkartma
• Kayıtları Çıkartma
• Alt ve Üst Sınır Kodlama
• Bölgesel Gizleme
• Örnekleme

Değer düzensizliği sağlayan anonim hale getirme yöntemleri:

• Mikro-Birleştirme
• Veri Değiş-Tokuşu
• Gürültü Ekleme
• Tekrar Örnekleme

Anonim hale getirmeyi kuvvetlendirici istatistik yöntemleri:

• K-Anonimlik
• L-Çeşitlilik
• T-Yakınlık

Kişisel veriler kaç yıl süreyle saklanır? Kişisel veriler ne zaman silinir?

• Periyodik imhanın yapılacağı tarih, veri sorumlusunca kişisel veri saklama ve imha politikasında açıklanır. Söz konusu süre altı aydan fazla olamaz.
• Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumlusu, kişisel verileri silme, yok etme ya da anonim hale getirme yükümlülüğünün oluştuğu tarihten itibaren üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
• Kurul, telafisi zor ya da olanaksız zararların meydana gelmesi ve aleni şekilde hukuka aykırılık olması durumunda, söz konusu süreleri kısaltabilir.

Kişisel verileri ilgili kişinin istemesi halinde silme ve yok etme süresi ne kadar?

• Kişisel verileri işleme koşulları ortadan kalkmış ise; veri sorumlusu talebe mevzu verileri imha eder. Veri sorumlusu, talebi en geç otuz gün içinde sonuçlandırmak ve ilgili kişiye bilgi vermek zorundadır.
• Kişisel verileri işleme koşulları ortadan kalkmış ve talebe mevzu olan verileri üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını sağlamak zorundadır.
• Kişisel verileri işleme koşullarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusu tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak veya elektronik ortamda bildirilmek zorundadır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e ulaşmak için tıklayınız.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberine ulaşmak için tıklayınız.

Veri sorumlusu kimdir? Veri sorumlusu ne demek?

Veri sorumlusu, kişisel verilerin işleme maksatlarını ve araçlarını tespit eden, veri kayıt sisteminin kurulumundan ve yönetiminden sorumlu olan gerçek veya tüzel kişilerdir.

Kimler veri sorumlusu olabilir?

Gerçek kişiler veya kamu kurumları, şirketler, dernekler, vakıflar vb. tüzel kişiler veri sorumlusu olabilir. Tüzel kişiler, kişisel verileri işleme konusunda hukuki sorumluluğu üstlenirler. Hukuki ve cezai yükümlülük bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanmaktadır.

Veri sorumlusu kimdir örnek vermek gerekirse; çalışanlarının maaşlarını ödemek maksadıyla personeliyle ilgili ad soyad, iletişim bilgisi, banka hesap numarası vb. kişisel bilgileri veri tabanında tutan bir demir çelik fabrikası, kişisel veri işleme amacını ve veri işleyebilmek için araç ve metodunu belirleyerek bir veri kayıt sistemi oluşturduğu için veri sorumlusu olarak kabul edilmektedir.

Veri sorumlusunu belirlerken dikkat edilmesi gereken konular nelerdir?

Veri sorumlusunun belirlenmesi için;

• Kişisel verilerin işlenmesi,
• Kişisel verilerin işlenme amacı,
• İşlenecek kişisel veri çeşitleri,
• İşlenen verilerin hangi amaçlarla kullanılacağı,
• Hangi kişilerin kişisel verilerinin işleneceği,
• Kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı,
• Verinin ne kadar süreyle saklanacağı,
• İlgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı,

vb. konulara kimin karar verdiği dikkate alınmalıdır.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?

• Kişisel veri işleme faaliyetinde bulunan kişiler, 6698 sayılı Kanun kapsamında hukuka ve dürüstlük kaidelerine uygun olma, doğru ve güncel olma, belirli, açık ve meşru maksatlar için işlenme, işlendikleri gaye ile bağlantılı, sınırlı ve mutedil olma, yasada açıklanan ya da işlendikleri amaç için lüzumlu olan zaman kadar saklanma ilkelerine uygun davranmalıdır.
• Veri sorumluları tarafından kişisel veriler, Kanunda yer alan düzenlemelere uygun olarak, özel nitelikli kişisel veriler ise Kişisel Verileri Koruma Kurulu tarafından belirlenecek gerekli tedbirler alınmak koşuluyla işlenmelidir.
• Kişisel verilerin mevzuata göre işlenmiş olmasına karşın, işlenmesini gerektiren unsurların ortadan kalkması durumunda veriler resen ya da ilgili kişinin isteği doğrultusunda veri sorumlusunca silinmeli, yok edilmeli ya da anonim hâle getirilmelidir.
• Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. maddelerinde açıklanan düzenlemelere uygun davranılmalıdır.
• Veri güvenliğini sağlamak için bütün teknik ve idari önlemler alınmalıdır.
• İlgili kişilerin bilgilendirilmesi zaruridir.
• İlgili kişilerin veri sorumlularına ilettiği başvuru ve şikayetler Kanunun 13. maddesinde açıklandığı şekilde en geç 30 gün içinde cevaplanmak zorundadır.
• Son olarak da veri sorumluları, VERBİS (Veri Sorumluları Sicili)'e kayıt olmak zorundadır.

Aydınlatma yükümlülüğü nedir?

Yasa, kişisel verileri işlenen ilgili kişilere, verilerinin kim tarafından, ne maksatla ve hukuki nedenlerden ötürü işlenebileceği, kimlere ne maksatla aktarılabileceği konusunda bilgi edinme hakkı tanımıştır. İlgili kişilerin bilgi edinme hakkı, veri sorumlusunun aydınlatma sorumluluğu kapsamında değerlendirilmektedir.

Veri sorumlusu, ilgili kişiyi kişisel verisinin işlendiği her durumda aydınlatmakla yükümlüdür.

Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı nedir?

Veri sorumlusu, kişisel verilerin toplanması esnasında şahsen ya da yetkilendirdiği kişi vasıtasıyla aşağıdaki bilgileri ilgili kişiye sunmak zorundadır.

• Veri sorumlusunun veya temsilcisinin kimliğini,
• Kişisel verilerin ne maksatla işleneceği,
• İşlenen verilerin kimlere, ne maksatla aktarılabileceği,
• Veri toplamanın metodu ve hukuki nedeni,
• Ayrıca Kanunun 11. maddesinde açıklanan diğer haklarıyla ilgili bilgi vermekle yükümlüdür.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu ya da faaliyetin mevzuattaki başka koşullar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü bulunmaktadır. Kısaca ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Veri sorumlusu tüzel kişilik içinde veri işleme faaliyetlerinden sorumlu olan kişi midir?

Veri sorumlusu, tüzel kişiliğin kendisi olduğu için tüzel kişiliğin içerisinde veri işleme çalışmalarından sorumlu olan gerçek kişiler veri sorumlusu kabul edilmezler.

Veri işleyen kimdir? Veri işleyen nedir?

Veri sorumlusunun verdiği yetkiyle, veri sorumlusu adına kişisel verileri işleyen gerçek ya da tüzel kişiye veri işleyen denir.

Veri işleyene örnek vermek gerekirse, veri sorumlusundan aldığı yetkiyle, veri sorumlusu namına faaliyette bulunan, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir firma bu faaliyeti kapsamında veri işleyendir.

Burada kritik nokta, veri işleyenin, veri işleme çalışmalarını veri sorumlusunun talimatları doğrultusunda gerçekleştirmesidir.

Gerçek veya tüzel kişinin hem veri sorumlusu hem de veri işleyen olması mümkün müdür?

Herhangi bir gerçek ya da tüzel kişi gerçekleştirdiği farklı çalışmaları sebebiyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Örneğin, bir çağrı merkezi kendi çalışanlarına ait tuttuğu verilerle ilgili olarak veri sorumlusu kabul edilir. Ancak müşterisi olan firmalarla ilgili tuttuğu veriler açısından veri işleyen olarak değerlendirilmektedir.

Veri Sorumlusu Sicili nedir?

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

Veri Sorumluları Sicil Bilgi Sistemi hakkında ayrıntılı bilgi almak için VERBİS Nedir? Ne İşe Yarar? VERBİS'e Kayıt Zorunluğu Nedir? yazımızı okuyabilirsiniz.

KVKK hapis cezaları nedir?

• Kişilerin özel hayatının gizliliğini ihlal eden kimse, 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.
• Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse 2 yıldan 5 yıla kadar hapis cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.
• Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir.
• Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında artırılır.
• Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
• Yukarıdaki maddelerde açıklanan suçların; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır.
• Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.
• Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

6698 sayılı Kişisel Verileri Koruma Kanunu'na ulaşmak için tıklayınız.

5237 sayılı Türk Ceza Kanunu'na ulaşmak için tıklayınız.

Aydınlatma yükümlülüğü, veri sorumluları için getirilmiş bir yükümlülüktür. Verisi işlenecek kişinin açık rızasının veya diğer kişisel veri işleme koşullarının olması halinde veri sorumlusu, aydınlatma yükümlülüğünü ifa etmek durumundadır.

KVKK aydınlatma metni nedir? Aydınlatma yükümlülüğü nedir?

KVKK'nın 10'maddesi ile veri sorumluları için kişisel verisini işlediği kişileri aydınlatma yükümlülüğü getirilmiştir. Kişisel verilerin toplanması esnasında veri sorumlularının verisi işlenen kişileri bilgilendirmeleri gerekmektedir. Veri sorumlusu veya yetkilendirdiği kişinin ilgili kişileri aşağıdaki konularda bilgilendirmesine aydınlatma yükümlülüğü denir. KVKK kapsamında ilgili kişiyi bilgilendirmek için hazırlanan metne de KVKK aydınlatma metni denilmektedir.

• Veri sorumlusunun veya varsa temsilcisinin kimliği,
• Verilerin ne maksatla işleneceği,
• Verilerin kimlere ve ne maksatla aktarılabileceği,
• Veri toplamanın metodu ve yasal nedeni,
• İlgili kişinin KVKK'nın 11'inci maddesinde belirtilen diğer hakları.

AYDINLATMA YÜKÜMLÜLÜĞÜNDE UYULMASI GEREKEN USUL VE ESASLAR NELERDİR?

Aydınlatma yükümlülüğünü yerine getirmek için uyulması gereken usul ve esaslar aşağıdaki gibidir:

• Veri işlenen her koşulda aydınlatma yükümlülüğü yerine getirilmelidir.
• Kişisel veri işlemenin amacının değişmesi halinde, veri işlemeye başlamadan evvel söz konusu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
• Veri sorumlusuna bağlı olan farklı ünitelerde kişisel veriler başka gayelerle işleniyorsa aydınlatma yükümlülüğü her ünite için ayrıca uygulanmalıdır.
• VERBİS'e kayıt yükümlülüğünün olması halinde, verisi işlenen kişiye verilen bilgiler, Sicile açıklanan bilgilerle aynı olmalıdır.
• Aydınlatma yükümlülüğünün ifası, verisi işlenecek kişinin isteğine bağlı değildir.
• Aydınlatma yükümlülüğünün uygulandığının kanıtlanması veri sorumlusuna aittir.
• Kişisel veri işlemenin açık rıza koşuluna bağlı olarak yapılması durumunda, aydınlatma yükümlülüğü ve açık rıza alma işlemleri ayrı ayrı uygulanmalıdır.
• Aydınlatma yükümlülüğünde açıklanması gereken kişisel veri işleme maksadı belli, açık ve yasalara uygun olmalıdır.
• Genel ve karışık ifadeler kullanılmamalıdır.
• Olası farklı gayeler için kişisel verilerin işlenebileceği kanısını gösteren tabirler kullanılmamalıdır.
• Anlaşılır, açık ve sade bir dil kullanılmalıdır.
• İlgili kişileri yanıltabilen, yanlış veya eksik bilgilere yer verilmemelidir.
• Yasal nedenin açık bir şekilde belirtilmesi gerekmektedir.
• Kişisel veriler aktarılacaksa, aktarılma gayesi ve aktarılacak alıcılar izah edilmelidir.
• Verilerin, otomatik olarak veya otomatik olmayan metotlardan hangisiyle toplandığı belirtilmelidir.

Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğünü yerine getirmek için uyulması gereken usul ve esaslar aşağıdaki gibidir:

• Kişisel verilerin toplanmasından başlayarak uygun bir süre içinde,
• Kişisel verilerin ilgili kişi ile iletişim maksadıyla kullanılacak olması halinde, ilk iletişim kurulması sırasında,
• Veriler aktarılacaksa, verinin ilk defa aktarımının yapılacağı sırada,

ilgili kişinin aydınlatılması gerekmektedir.

Aydınlatma metni hazırlarken dikkat edilmesi gereken konular nelerdir?

• Aydınlatma metinlerinde açık, kolay anlaşılır ve mümkün olduğunca sade bir dil kullanılmalıdır.
• Anlam kargaşası yaşanmaması ve bütünüyle teknik bilgi ve terminoloji içermemesi gerekir.
• İlgili kişilerden alınan geri bildirimler doğrultusunda aydınlatma metni yeniden değerlendirilmeli, değişen şartlara göre güncellenerek yanlış veya herhangi bir eksik varsa giderilmelidir.

KVKK aydınlatma metni nasıl hazırlanır?

• Veri sorumluları evvela, hangi çeşit verileri işlediklerini belirlemelidir.
• Veri sorumlularının işledikleri kişisel verileri, ne maksatla işlediklerini, kişisel veri bazında tespit ederek aydınlatma metinlerinde açık bir şekilde belirtmeleri gerekmektedir.
• Veriler yurt içi ve yurt dışına aktarımı yapılacak ise, aktarımın maksadı aydınlatma metninde belirtilmelidir. Hatta aktarımın yapılacağı gerçek ya da tüzel kişilerin kimler olacağı açıklanmalıdır.
• Veri sorumlularının, yasanın hangi maddesine dayanarak veri topladığını aydınlatma metninde belirtmesi zorunludur.
• Veri toplama yöntemi de mutlaka belirlenmelidir.
• Son olarak da veri sorumlularının ilgili kişiye, kanuni haklarını uygun bir biçimde açıklamaları gerekmektedir.

Aydınlatma metni örnekleri

Aydınlatma metni örneklerinin yer aldığı Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine ulaşmak için tıklayınız.

KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ NASIL YERİNE GETİRİLİR?

• Aydınlatma yükümlülüğünün hangi metotla yapılacağı belirlenir.
• Aydınlatma yükümlülüğü sürecinde görev alacak kişi veya kişiler görevlendirilir.
• Kişisel veri işleme envanteri düzenlenir.
• Aydınlatma metni hazırlanır.

Aydınlatma metni hazırlanmasıyla ilgili ayrıntılı bilgi almak için KVKK Aydınlatma Metni Nasıl Hazırlanır? Aydınlatma Metni Hazırlarken Dikkat Edilmesi Gereken Konular Nelerdir? yazımızı okuyabilirsiniz.

Aydınlatma yükümlülüğünün istisnası var mı?

Aydınlatma yükümlülüğünden istisna olan durumlar KVKK'nın 28. maddesinde açıklanmıştır. Aydınlatma yükümlülüğünün uygulanmayacağı haller aşağıdaki gibidir:

• Verilerin, 3'üncü kişilere verilmeden ve veri güvenliğiyle ilgili sorumluluklara uymak koşuluyla gerçek kişilerce kendisiyle ya da aynı evde yaşayan aile bireyleriyle alakalı faaliyetler kapsamında işlenmesi.
• Resmi istatistikle anonimleştirilerek araştırma, planlama, istatistik vb. gayelerle işlenmesi.
• Kişisel verilerin sanat, tarih, edebiyat ya da bilimsel maksatlarla veya ifade özgürlüğü çerçevesinde işlenmesi.
• Kamu kurum ve kuruluşlarınca gerçekleştirilen önleyici, koruyucu ve istihbari çalışmalar çerçevesinde işlenmesi.
• Verilerin soruşturma, kovuşturma, yargılama ya da infaz işleriyle ilgili olarak yargı ya da infaz mercilerince işlenmesi.
• Veri işlemenin suçun önlenmesi ya da soruşturması için lüzumlu olması.
• Verisi işlenen kişinin, kendisince aleni hale getirilmiş kişisel verilerin işlenmesi.
• Veri işlemenin mevzuat kapsamında, kamu kurum ve kuruluşları ya da meslek kuruluşları tarafından denetleme ya da düzenleme görevlerinin icrası ile disiplin soruşturma veya kovuşturması için lüzumlu olması.
• Veri işlemenin bütçe, vergi ve finansal mevzularla ilgili olarak Devletin ekonomik ve mali menfaatlerinin muhafazası için lüzumlu olması.

Aydınlatma yükümlülüğünün ispatı kime aittir?

Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Aydınlatma yükümlülüğü yerine getirilirken ne zorunludur?

KVKK'ya göre veri sorumlularının işledikleri kişisel veriler hakkında ilgili kişileri aydınlatma metni ile bilgilendirmeleri zorunludur.

AYDINLATMA YÜKÜMLÜLÜĞÜ NE ZAMAN YERİNE GETİRİLİR?

Kişisel verilerin direkt olarak ilgili kişiden elde edilmesi durumunda:

• Kişisel verilerin ilgili kişiden elde edilmesi esnasında aydınlatma yükümlülüğünün ifası zorunludur.

Kişisel verilerin direkt olarak ilgili kişiden elde edilmemesi durumunda:

• Kişisel verilerin elde edilmesinden itibaren uygun bir süre içinde aydınlatma yükümlülüğünün ifası zorunludur.
• Kişisel veriler ilgili kişi ile iletişim kurmak amacıyla kullanılacaksa, ilk iletişim kurulması sırasında aydınlatma yükümlülüğünün ifası zorunludur.
• Kişisel verilerin aktarılacak olması durumunda, kişisel verilerin ilk kez aktarımının yapıldığı sırada aydınlatma yükümlülüğünün ifası zorunludur.

Aydınlatma yükümlülüğü hangi yöntemle yapılır?

Veri sorumlusu ya da yetkilendirdiği kişi tarafından;

• Sözlü,
• Yazılı,
• Ses kaydı,
• Çağrı merkezi,

gibi fiziksel ya da elektronik ortam kullanılarak aydınlatma yükümlülüğü yerine getirilebilir.

Aydınlatma yükümlülüğü yerine getirilmezse ne olur? Aydınlatma yükümlülüğünün cezası nedir?

Aydınlatma yükümlülüğünün yerine getirilmediği durumlarda KVKK'nın 18. maddesinde belirtilen yaptırım uygulanır. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.

Mysoft Dijital Dönüşüm A.Ş. aydınlatma metnine ulaşmak için tıklayınız.