Kişisel Veri Hangi Şartlarda İşlenebilir?

Yorum bırakın / Yazan /

En son şu tarihte güncellendi: 20 Haziran 2023

Günümüzde kişisel veri kavramını sık bir şekilde duymaktayız. Bu kavramın hayatımıza girmesine vesile olan mevzuat ise, 07.04.2016 tarihinde resmi gazetede yayımlanarak yürürlüğe giren 6698 sayılı ‘’Kişisel Verilerin Korunması Kanunu’’ dur. 

İlgili kanunla birlikte, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir. Anlaşılacağı üzere işbu kanun ile kişisel verilerimizin (özel hayatın gizliliği ve temel hak ve hürriyetlerimiz ihlal edilmeyecek şekilde) hangi şartlarda işlenebileceği-aktarılabileceği, veri sorumlusunun yükümlülükleri, söz konusu hükümlere uyulmaması halinde meydana gelebilecek suç ve kabahatler ile uygulanacak yaptırımlara ilişkin hususlar hüküm altına alınmıştır. 

Daha önceki yazımızda KVKK Kurul kararlarına karşı gidebileceğiniz hukuki yolları detaylıca ifade etmiştik. Bu yazımızda bu hususlardan ziyade kişisel verilerinin neler olduğu, kişisel verilerimizin ne şekilde işlenmesi gerektiği, veri işlenmesi için gereken şartlardan detaylıca söz edeceğiz.

Eğer ki web siteniz var ve ürün yahut hizmet satışı yapıyorsanız bunun için örnek gizlilik sayfası, KVKK sayfası yazdırmak istiyorsanız linke göz atabilirsiniz.

Kişisel Veri Kavramı Neyi İfade Etmektedir?

Mevzuatımızda yer alan tanım uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin HER TÜRLÜ BİLGİYİ ihtiva eder. Daha açık bir dille ifade etmemiz gerekirse aslında kişisel verilerimiz bizleri tanımlayan, bizlere ilişkin her türlü bilgi anlamına gelmektedir. 

Yukarıdaki tanım doğrultusunda bizi tanımlayan ad ve soyadlarımız, doğum tarihimiz, doğum yeri bilgilerimiz, fiziki-ailevi-ekonomik ve diğer özelliklerimize ilişkin bilgiler, telefon numaramız, sosyal güvenlik numaramız, pasaport numaramız gibi bizi diğer insanlar içerisinde ayırt edilmemizi sağlayacak türde bilgiler kişisel verilerimizi oluşturmaktadır. 

Ancak önemle ifade edelim ki her bilgi kişisel veri olarak kabul edilmemektedir. Kişisel verilerin; bireylerin ekonomik, fiziksel, kültürel, sosyal veya psikolojik kimliğini ifade eder şekilde somut bir nitelik taşıması veya bireylerin kimlik bilgileri, vergi numaraları, sigorta numaraları gibi kendilerini bir kayıtla ilişkili hale getiren, kişilerin somut bir şekilde belirlenmesini sağlayacak nitelikte özelliklere sahip olması gerekmektedir. 

Bizlerin kişisel verileri; 6698 sayılı KVKK ‘nun 3. maddesinin 1. fıkrasının h bendinde tanımlanan ‘’veri kayıt sistemi’’ne işlenebilmektedir. Nedir bu veri kayıt sistemi derseniz; kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi anlamına gelmektedir. Bu veri kayıt sistemi fiziki olarak oluşturulabileceği gibi, elektronik yolla da oluşturulmuş olabilir. Burada veri kayıt sisteminde önemli olan husus elektronik veya fiziki yolla oluşturulmuş olmasından ziyade, kişisel verilerin erişimini kolaylaştıracak şekilde belli kriterlere göre tasarlanmış olmasıdır.

Kişisel Veriler Nasıl İşlenir?

Kişisel verilerin işlenmesi aslında, kişisel verilerimizin tamamen veya kısmen otomatik bir yolla ya da veri kayıt sisteminin parçası olmakla birlikte otomatik olmayan bir yöntemle elde edilmesi, bu elde edilen bilgilerin kaydedilmesi, muhafaza edilmesi, değiştirilmesi, açıklanması, düzenlenmesi, aktarılması, elde edilebilir bir hale getirilmesi, sınıflandırılması veya kullanımının engellenmesi gibi veriler üzerinde yapılan bu tarz işlemler anlamına gelmektedir. 

Kişisel verilerin işlenmesinden kanunumuzda yapılan tanım uyarınca veri sorumlusu sorumludur. Veri sorumlusu; kişisel verilerin işlenme amaçlarını ve yolunu takdir eden, veri kayıt sistemlerinin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerden oluşmaktadır. Görüldüğü üzere veri sorumlusu aslında kişisel verilerin hangi amaçla işlendiği, kişisel verilerin işlenme yöntemini belirleyen, verilerin işlenmiş olduğu veri kayıt sisteminin yönetiminden sorumlu olan , bizlerin kişisel verilerine dair süreçlerde asıl rolü oynayan şahıslardan oluşmaktadır. 

Veri işleyen kavramı ile veri sorumlusu kavramının aynı olduğu gibi bir düşünce akla gelse de kanunumuz her iki kavramı birbirinden ayrık tutmuştur. Veri işleyen; veri sorumlusunun verdiği yetkiyle birlikte onun adına kişisel verileri işleyen gerçek veya tüzel kişilerden oluşmaktadır. Buradan da anlayacağınız üzere gerçek veya tüzel kişiler, hem veri sorumlusu hem de veri işleyen olabilmekle birlikte her veri işleyen kişi veri sorumlusu değildir.  

Bizler bu sürecin neresindeyiz derseniz kanuni tanımda kişisel verileri işlenen gerçek kişiler, ilgili kişi olarak tanımlanmaktadır. Bakın burada mutlaka gerçek kişi olma koşulu olduğunu göz ardı etmeyelim. Kanun, kişisel verileri işlenen GERÇEK KİŞİLERİ korumaktadır. Bununla birlikte tüzel kişiye ait kişisel veriyle birlikte herhangi bir gerçek kişi belirlenebiliyorsa veya belirlenebilir bir hal alıyorsa, artık burada da gerçek bir kişiyi ilgilendiren bir durum oluşacağından, bu veriler de KVKK kapsamında koruma altına alınmaktadır. 

Kişisel verilerin işlenmesi öncelikle Kişisel Verilerin Korunması Kanunu (KVKK)’ya uygun gerçekleştirilmelidir. Kişisel Verilerin mevzuatta düzenlenen usul ve esaslara aykırı olarak işlenmesi halinde daha önceki yazımızda da bahsettiğimiz üzere farklı nitelikte cezai yaptırımlar gündeme gelecektir.

Kişisel Veriler İşlenirken Nelere Dikkat Edilmelidir?

Kişisel veriler işlenirken, aşağıda bahsedeceğimiz hususlara uyulması zorunludur.

Öncelikli olarak kişisel veriler işlenirken; kişisel verilerin korunması kanununa ve diğer tüm mevzuatımıza uygun bir şekilde hareket edilmesi gerekmektedir. Bu sebeple kişisel verilerin işlenirken mevzuata uygunluğuna önemle dikkat edilmelidir. 

İkinci olarak bir diğer önemli husus işlenecek verilerin belirli, açık ve meşru bir amaç sebebiyle işlenmesi gerekmektedir. Yani yukarıda da bahsettiğimiz üzere veri işlerken sadece kanun hükümlerine uygun davranmak yetmemekte, ayrıca işlediğimiz verilerin belirli ve meşru bir amaç için işleniyor olması gerekmektedir. Burada meşru amacı şöyle düşünebiliriz bir alışveriş yaparken adınız ve soyadınıza dair bilgilerin istenmesi gayet normaldir. Bu sizin alışveriş yapma süreciniz için gerekli olarak vermeniz gereken bilgiler olup, meşru bir amaçla kişisel verileriniz işlenmektedir. Ancak alışveriş yaparken göz rengi bilgilerinizin istenmesi düşünülemez. Burada artık göz renginizi, boy uzunluğunuza dair kişisel verilerinizin işlenmesi artık meşru bir amaç taşımayacak olup, verileriniz hukuka aykırı olarak işlenmiş olacaktır. 

Üçüncü olarak işlenen veriler; doğru ve güncel bilgilerden oluşmalıdır. Daha açık bir ifade ile işlenen kişisel verilerileriniz, o konu hakkında doğru ve güncel bilgilerden oluşmalıdır. 

Dördüncü olarak ise işlenen kişisel verilerinizin işlenme amacıyla bağlantılı ve ölçülü olması gerekmektedir. Aslında burada da meşru amaçla aynı bir anlam çıkmakta olup işlenecek olan kişisel verileriniz, işlenme amacına uygun olarak alınmalı ve amaçla alakasız kişisel verileriniz istenmemeli ve işlenmemelidir. Yani kargo şirketine kargo verirken kimse sizden evli olup olmadığınıza dair bilgiyi içeren bir kişisel verinizi isteyemeyecek olup, bu tarz bir verinizin işlenmesi halinde işlenen amaca aykırı bir durum oluşmuş olacaktır. 

Beşinci ve bizce en önemli nokta ise kişisel verileriniz, belli bir süreyle sınırlı olarak muhafaza edilmelidir. Yani işlenen kişisel veriler mevzuatta öngörülen, işlendikleri amaç için gerekli olan süre kadar kayıtlı kalmaya devam edecektir. Burada mevzuatımızca işlenen verilerin belirli bir süreyle muhafaza edileceğini hüküm altına almış olabilir. Burada verileriniz artık bu süre boyunca muhafaza edilecektir. Eğer belirli bir süreyle sınırlı bir işleme olgusu yoksa; işlenen kişisel verilerin amacına uygun süreyle sınırlı olarak (bu amaca uygun süre net bir ifade olmadı farkındayım ancak işlenme amacının gerçekleşmesi için gerekli olan makul süre olarak tanımlayabiliriz) muhafaza edilmesi gerekecektir. Bu da her somut olay açısından makul sürenin dikkate alınarak göz önünde bulundurulması gerekmektedir.

Kişisel Veriler Hangi Şartlar Altında İşlenir? 

Öncelikle ve önemle ifade etmemiz gerekirse;  kişisel verilerin işlenmesi için ilgili kişinin AÇIK RIZASININ BULUNMASI ŞARTTIR. Bu tabi ki genel kural olmakla birlikte istisnalar da düzenlenmiştir. Ancak tekrar ifade edelim ki genel kural, kişisel verilerinizin işlenmesi için açık rızanızın alınmış olmasıdır. Şimdi istisnai durumlara geçelim;

Aşağıda sayacağımız durumlarda Kişisel Verilerin Korunması Kanunu, veri işlenmesi için ilgili kişinin açık rızasının aranma zorunluluğunun bulunmadığını, açık rızası olmasa dahi bu durumlarda kişisel verilerin işlenebileceğini ifade etmiştir. Buna göre;

  • Kişisel verisi işlenecek kişi, fiili imkansızlık sebebiyle rızasını açıklayamayacak bir durumda bulunabilir veya rızasını açıklasa bile rızası geçerli olmayacak türde bir kişi olabilir. Bu durumda bu verilerin işlenmesi kendisi veya bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu bir durumda ise bu kişilerin açık rızası olmasa dahi kişisel verileri işlenebilecektir. 
  • Bazı durumlarda kanun açıkça belli durumlarda kişinin açık rızası aranmaksızın veri işlenebileceğini öngörmüş olup, bu tarz bir durum var ise açık rızanız alınmaksızın kişisel veriniz işlenebilecektir.
  • Bazı kişisel veriler ilgili şahıs tarafından aleni bir şekilde etrafa açıklanmış olabilir. Artık bu durumda sizlerin aleni olan kişisel verilerinizin işlenmesi için açık rızanızın aranmasına gerek yoktur zira kendiniz kişisel verinizi aleni bir şekilde sunmuşsunuz.
  • Yukarıda da anlattığım üzere veri sorumlusunun birçok hukuki yükümlülüğü bulunmaktadır. İşte bu veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için sizlerin kişisel verinizi işlemek zorunda kalmışsa, artık açık rızanız bu durumda aranmayacaktır. Ancak tekrar önemle ifade edelim ki veri sorumlusunun bu durumda zorunlu olarak verinizi işlemek durumunda kalması gerekmektedir. 
  • Veri işlenmesi bir hakkın kullanılması, korunması veya tesisi için zorunlu ise artık açık rıza şartı aranmamaktadır.
  • Sözleşmenin kurulması veya ifa edilmesi için sözleşmenin tarafıyla alakalı bir kişisel veriye ihtiyaç varsa, bu durumda açık rıza aranmaksızın sözleşmenin tarafının kişisel verisi işlenebilir.

Tekrar tekrar ifade edelim ki yukarıda saydığımız durumlar dışında kişisel verilerinizin işlenmesi için açık rızanızın bulunması şarttır. 

Verilerin İşlenmesi İçin Gereken Açık Rıza 

Açık rızanın net bir tanımını yapmamız mümkün olmamakla birlikte aslında burada anlamamız gereken; kişisel verilerinin işlenmesine izin veren kişinin, konuyla alakalı yeterli şekilde bilgi sahibi olarak , tereddüte yer vermeyecek şekilde açık bir şekilde hür iradesiyle verdiği, sadece o işlemle sınırlı olan onayı anlamına gelmektedir.

Yani burada açık rızada aranan aslında; 

1-Konu hakkında yeterli bir bilgilendirmenin yapılmasıyla birlikte

2-Belli bir konuya ilişkin verilmiş

3- Özgür ve sınırlı onay beyanı

Burada sınırlılıktan kasıt her türlü işlemler için rıza veriyorum diyemezsiniz. Burada belli bir konu ile sınırlandırılmış rıza olmadığından rıza beyanınız geçersizdir. 

Ayrıca oldukça önemli bir noktadan söz edersek; VERMİŞ OLDUĞUNUZ AÇIK RIZANIZI HER ZAMAN GERİ ALMA HAKKINIZ BULUNMAKTADIR.  

Veri Sorumlusunun Aydınlatma Yükümlülüğü 

Veri sorumlularına, kişisel verilerini işleyeceği kişilere işlenecek olan verilerin kim tarafından, hangi amaçlarla, hangi hukuki gerekçeye dayalı olarak işleneceğini ve bu işlenen verilerin kimlere, hangi maksatla aktarılabileceğine dair bilgilendime yapma yükümlülüğü yüklenmiştir.

Veri sorumlusu bu aydınlatma yükümlülüğünü kişisel verilerin elde edilmesi sırasında bizzat yerine getirebileceği gibi, yetkilendirdiği bir kişi aracılığıyla da gerçekleştirebilir. Bahsedilen aydınlatma yükümlülüğü, açık rızanızın alınması gereken durumlarda dahi sizlere yapılmalıdır.

Aydınlatma yükümlülüğü yerine getirilirken mutlaka bu işlemi gerçekleştiren veri sorumlusu veya yetkilendirdiği temsilcinin kimliği hakkında sizlere bilgilendirme yapılmalı, akabinde işlenecek verilerinizin hangi amaçla işleneceğinden söz edilmeli, bu kişisel verilerin hangi yöntemle veya hangi hukuki sebeplere dayalı toplandığına, toplanan bu verilerin kimlere ve hangi amaçla aktarılabileceğine ilişkin aydınlatmanın yapılmış olması gerekmektedir.

Özel Nitelikli Kişisel Veriler Nelerdir? Özel Nitelikli Kişisel Veriler Hangi Şartlar Altında İşlenebilir?

Özel nitelikli kişisel veri; bireylerin dini, etnik kökeni, ırkı, sağlığı, biyometrik verileri, siyasi düşüncesi, cinsel hayatı, genetik verileri, sendika-vakıf veya dernek üyelikleri, mezhebi veya diğer inançları, felsefi inancı, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgilerinden oluşmaktadır. Saydığımız hususlar özel nitelikli verileri oluşturmakta olup, kanun sınırlı bir şekilde bunları saymış olduğundan bu hususları genişletmek mümkün değildir. 

Özel nitelikli kişisel verilerin işlenmesi için, diğer kişisel verilerimizin işlenme sürecinde olduğu gibi açık rızanın alınması şarttır. Tabi yukarıda bu açık rıza koşulunun istisnasının bulunduğunu ve bu istisnalardan söz etmiştik. Burada da elbette bazı istisnai durumlar bulunmakta olup, aşağıda saymış olduğumuz durumlarda özel nitelikli kişisel verilerin işlenmesi halinde açık rıza bulunmasa dahi bu veriler işlenebilecektir. 

Bu durumlar;

  • SAĞLIK VE CİNSEL HAYATA DAİR KİŞİSEL VERİLERİN DIŞINDAKİ ÖZEL NİTELİKLİ KİŞİSEL VERİLER, yukarıda saymış olduğumuz istisnai durumlar halinde ilgili kişinin açık rızası olmaksızın işlenebilecektir. SAĞLIK VE CİNSEL HAYATA İLİŞKİN KİŞİSEL VERİLER İSE SADECE; Kamu sağlığının korunması, tıbbi teşhis, tedavi, koruyucu hekimlik, sağlık hizmetleri ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanının planlanması ve yönetilmesi amacıyla; SIR SAKLAMA YÜKÜMLÜLÜĞÜ BULUNAN KİŞİLER VEYA YETKİLİ KURUM VEYA KURULUŞLAR TARAFINDAN ; ilgilinin açık rızası aranmaksızın işlenebilecektir. Bu tarz kişisel verilerin işlenmesi halinde, kişisel verilerin korunması kurulu gerekli önlemleri almak zorundadır. 

Görüldüğü üzere sağlık ve cinsel hayata dair kişisel verilerin işlenmesinde açık rızanın aranmaması durumu daha kısıtlı hallerde gerçekleşmekte olup, bu veriler herkes tarafından işlenememekte sadece sır saklama yükümlülüğü bulunan kişiler veya yetkili kurum veya kuruluşlar tarafından işlenebilmektedir.

Kişisel Veriler Hangi Durumlarda Aktarılabilir?

Kişisel verilerin aktarılması, kişisel verilerin işlenmesi süreciyle benzer ilerlemektedir. Daha açık bir ifade ile kişisel verilerinizin aktarılması için açık rızanızın bulunması şarttır. Ancak elbette bunun da istisnası bulunmakta olup, kanunun 6.maddesinin 3. fıkrasındaki hallerde yeterli önlemler de alınmış ise artık açık rızanız aranmaksızın kişisel verileriniz aktarılabilecektir. 

Kişisel verilerin aktarılması noktasında yurtdışına aktarım hususu aklınıza takılmış olabilir. Bu husus KVKK’nın 9.maddesinde düzenlenmiş olup kişisel verilerinizin yurtdışına aktarılması için; öncelikli olarak veri aktarılacak ülke ile Türkiyenin taraf olduğu bir uluslararası sözleşme var mı buna bakılacaktır. Eğer böyle bir uluslararası sözleşme varsa evet verileriniz yurt dışına aktarılabilir.

Bununla birlikte bu tarz bir uluslararası sözleşme yoksa açık rızanızın olup olmamasına bakılır. Açık rızanız varsa verileriniz yurtdışına aktarılabilir. Ancak açık rızanız yoksa KVKK ‘nun 5.maddesinin 2.fıkrası ve 6.maddesinin 3. Fıkrasındaki şartlar sağlanmış mı buna bakılır. Bu şartlar sağlanmamışsa verileriniz yurtdışına aktarılmaz. Eğer bu şartlar sağlanmış ise veri aktarılacak ülke, Kurul tarafından güvenli ülke olarak kabul edilen ülkelerden mi diye bakılır. Eğer cevap evet ise verileriniz bu ülkeye aktarılabilecektir. Ancak güvenli ülke listesinde değilse veri aktarılacak ülkenin, yeterli koruma sağlayacağına ilişkin yazılı bir taahhütün bulunup bulunmadığına bakılacaktır. Bu tarz bir taahhüt de yoksa verileriniz yurtdışına aktarılmaz. Ancak yazılı bir taahhüt varsa akabinde kurulun izninin bulunup bulunmadığı hususuna bakılır . Kurul izni de varsa verileriniz bu şekilde yurtdışına aktarılabilecektir.

İşlenen Kişisel Veriler Hangi Durumlarda Silinip Yok Edilir?

Burada işlenmiş bir kişisel verinin silinip yok edilmesi için mutlaka hukuka aykırı şekilde işlenmiş olması gerekir gibi bir algı içine girmeyelim. Bir kişisel veri, hukuka uygun bir şekilde işlenmiş olsa dahi çeşitli durumlarda silinmesi, yok edilmesi veya anonim hale getirilmesi (anonim hale getirme; kişisel verilerinizin artık kimliği belli veya belirlenebilir bir kişiyle ilişkilendirilemeyecek hale getirilmesi anlamına gelmektedir) gerekmektedir.

Hangi durumlarda silinip yok edilecek veya anonim hale getirilecektir derseniz; öncelikle yukarıda kişisel veriler işlenirken dikkat edilecek noktalardan söz etmiştik. Bu temel ilkeler olarak adlandırılan hususlara aykırı bir işleme eylemi gerçekleştirilmiş ise işlenmiş kişisel veriniz artık silinip yok edilmeli veya anonim hale getirilmelidir.

Bunun yanı sıra yine yukarıda bahsettiğimiz üzere kişisel veriler belli süreler için işlenmektedir. İşte o işlenme süresi dolmuş ise artık kişisel verinizin işlendiği yerden silinmesi, yok edilmesi gerekecektir. 

Silinme ve yok edilme veya anonim hale getirmenin bir diğer ifadesi imha işlemidir. Bu imha işlemi yapılırken; söz konusu işlenmiş kişisel verilerin hiçbir yolla geri getirilmeyecek şekilde gerçekleştirilmesi gerekmektedir. Anlaşıldığı üzere bu işlem büyük önem arz etmekte olduğundan yapılan imha işlemine ilişkin kayıtlar en az 3 yıl saklanmalıdır.

Verileri İşlenen Kişilerin Hakları Nelerdir?

Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde; ilgili kişilerin her zaman veri sorumlusuna başvurabileceği ve belli taleplerde bulunabileceği düzenlenmiştir.  Veri sorumlusuna yapılan başvuru yazılı olarak yapılabileceği gibi , Kurul tarafından belirlenen yöntemlerle de gerçekleşebilir. Buna göre;

  • Veri sorumlusuna başvurarak kişisel verilerinizin işlenip işlenmediğini, işlenmiş ise bu duruma ilişkin tarafınıza bilgi verilmesini talep edebilirsiniz.
  • İşlenmiş kişisel verilerinizin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığına dair bilgi talep edebilirsiniz.
  • Yurt içinde veya yurt dışında kişisel verileriniz aktarılmış ise kime aktarıldığına ilişkin bilgi verilmesini talep edebilirsiniz. 
  • İşlenen kişisel verileriniz eksik veya yanlış işlenmiş ise bunların düzeltilmesini talep edebilirsiniz.
  • İşlenmiş olan kişisel verilerinizin silinmesini veya yok edilmesini talep edebilirsiniz.
  • Kişisel verileriniz kanuna aykırı bir şekilde işlenmiş ve zarara uğramış iseniz, zararın giderilmesini veri sorumlusuna başvurarak talep edebilirsiniz.

Veri sorumlusuna yapmış olduğunuz taleplere ilişkin cevap, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde cevaplanır. Yapılan başvuru üzerine veri sorumlusu talebi kabul ederek yerine getirebileceği gibi gerekçesini açıklayarak  talebinizi reddedebilir. 

Başvurunun veri sorumlusu tarafından reddedilmesi halinde; verilen cevap yetersiz ise veya süresi içerisinde cevap verilmemiş ise ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten 30 ve her halde veri sorumlusuna yaptığı başvurunun tarihinden itibaren 60 gün içerisinde Kurula şikayette bulunma hakkına sahiptir. 

Kurul şikayet üzerine veya veri ihlali iddiasını öğrenmesi halinde re’sen, görev alanına giren konularla ilgili gerekli incelemeyi yapacaktır.

Veri İhlali Halinde Ne Yapılır?

Önemle belirtelim ki veri sorumlusu, işlenen verilerin güvenliğini sağlamakla yükümlüdür. Veri sorumlusu kişisel verilerin kendi adına başka bir kişiye işletmesi halinde dahi (veri işleyene) belli tedbirleri alması noktasında veri işleyenle birlikte müşterek sorumlu olmaya devam eder.

Öncelikli olarak işlenen kişisel veriler hukuka uygun olmayan yollarla başkaları tarafından ele geçirilmişse (veri ihlali gerçekleşmiş ise) veri sorumlusu bu durumu en kısa sürede hem verisi işlenen kişiye, hem de Kişisel Verileri Koruma Kurulu’na bildirmek zorundadır. Buradaki en kısa süre ifadesi 72 saat olarak yorumlanmaktadır. Yani veri sorumlusu veri ihlali durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde durumu Kurula bildirmek zorundadır. Kurula yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu kullanılır. Kurul bu veri ihlali durumunu gerekli görürse kendi internet sitesinde ya da başka bir yöntemle ilan etmekle yükümlüdür. 

Veri işleyen tarafından işlenmiş kişisel veriler kanuni olmayan yollarla başkaları tarafından ele geçirilmiş ise veri işleyen herhangi bi gecikme olmaksızın veri sorumlusuna bu durumu bildirmelidir. 

Veri sorumlusu, kişisel verisi hukuka uygun olmayan yollarla başkaları tarafından ele geçirilen ilgili kişiye ihlal bildirimi yapmak zorundadır. Bu ihlal bildirimi açık ve sadece dille olmalı; ihlalin ne zaman gerçekleştiği, hangi kişisel verilerin ihlalden etkilendiğini, kişisel veri ihlalinin olası sonuçları, bu veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınacak tedbirlere ilişkin hususları içermesi gerekmektedir.

İlgili İçerikler

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top