Yeni - Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi

miş olmasına rağmen işlenmesini gerektiren sebeplerin orta- dan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya ano- nim hâle getirilir. Buna göre; • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hü- kümlerinin artık kişisel verilerin işlenmesine dayanak oluş- turmayacak şekilde değiştirilmesi veya ilgası, • Taraflar arasındaki sözleşmenin hiç kurulmamış sayılması, sözleşmenin geçerli olmaması, sözleşmenin sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi, • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalk- ması, • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına ay- kırı olduğunun tespit edilmesi, • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, • İlgili kişinin, 6698 sayılı Kanun’un 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri -- 95 of 220 -- 94 94 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan baş- vuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya 6698 sayılı Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, • Kişisel verilerin saklanmasını gerektiren azami sürenin geç- miş olmasına rağmen kişisel verileri daha uzun süre sakla- mayı haklı kılacak herhangi bir şartın mevcut olmaması, • 6698 sayılı Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların tamamının ortadan kalkması gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da ano- nim hâle getirilmesi gerekir. İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde ki- şisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihlali durumunda ilgili kişinin kişisel verilerinin silinmesini veya yok edilmesini talep etme hakkı bulunmaktadır. Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Ano- nim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yü- -- 96 of 220 -- 95 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 95 kümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir. Not: Kurul tarafından hazırlanarak Kurum internet sayfasında yayınlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Ano- nim Hale Getirilmesi Rehberi”nde, kişisel verilerin işlendiği ve bulunduğu ortam dikkate alınarak silme ve yok etme yöntem- leri ayrı ayrı açıklanmış, anonim hale getirme yöntemleri ve anonimliğin bozulması ise uygulama örnekleri ile birlikte de- taylı olarak açıklanmıştır. Ayrıca, Kurul’un “Sicil dosyalarındaki kişisel verilerin, işlen- melerini gerektiren sebeplerin ortadan kalkmaması sebebiy- le, imha edilmemesi gerektiği hakkında” 28.06.2018 tarihli ve 2018/69 sayılı karar özeti de dikkate alınmalıdır. Öte yandan, 6698 sayılı Kanun’un yayımı tarihinden önce işlen- miş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir, 6698 sayılı Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 4. maddesinde “ilgili kullanıcı”; “Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorum- lusundan aldığı yetki ve talimat doğrultusunda kişisel verileri -- 97 of 220 -- 96 96 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ işleyen kişiler.” olarak tanımlanmıştır. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kul- lanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse ta- rafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin anonim hale getirilmesi, kişisel verilerin baş- ka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale ge- tirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafın- dan geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun teknik- lerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili ge- rekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Belirtmek gerekir ki; işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekliliği kişisel verilerin işlen- mesine hâkim olan genel ilkelerin doğal bir sonucudur. Yuka- rıda da belirtildiği üzere; 6698 sayılı Kanun’un 4. maddesinde kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlen- -- 98 of 220 -- 97 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 97 dikleri amaç için gerekli olan süre kadar muhafaza edilebilece- ği öngörülmüştür. Kişisel verilerin muhafazası için herhangi bir meşru amaç kalmadığında bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi bir zorunluluktur. 6698 sayılı Kanun’un 7. maddesinin 2. fıkrasında ise kişisel ve- rilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı tutulmuştur. Bu kapsamda, örneğin 5352 sayılı Adli Sicil Kanunu’nda bulunan ve kişisel verilerin silinmesini veya yok edilmesini düzenleyen hü- kümler 6698 sayılı Kanun’a göre öncelikli olarak uygulanacaktır. H. KİŞİSEL VERİLERİN AKTARILMASI Kişisel verilerin aktarılması, 6698 sayılı Kanun’da iki başlık altında ele alınmış olup bu Kanun’un 8. maddesinde kişisel verilerin yurt içinde aktarılmasına ilişkin hükümlere, 9. madde- sinde ise kişisel verilerin yurt dışına aktarılmasına ilişkin hü- kümlere yer verilmiştir. Belirtilen maddeler kapsamında hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler yer almaktadır. 6698 sayılı Kanun’da yer alan düzen- lemelere istinaden kişisel verilerin hukuka uygun bir şekilde aktarılabilmesi için belirtilen maddelerde yer alan şartların bulunması gerekmektedir. 1. Kişisel Verilerin Yurt İçinde Aktarılması 6698 sayılı Kanun’da belirtilen işleme şartları ile genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, bu Kanun’un 8. maddesi uyarınca ilgili kişinin açık rızası alınmak -- 99 of 220 -- 98 98 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ suretiyle yurt içinde üçüncü kişilere aktarılabilmesi mümkün- dür. 6698 sayılı Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir. Diğer taraftan belirtmek gerekir ki; kişisel verilerin yurt içinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarıla- bileceği anlamına gelmemektedir. Yani, aktarım için de 6698 sayılı Kanun’un 5. ve 6. maddelerindeki şartların ayrıca aran- ması gerekmektedir. Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hal- lerden birinin bulunması gerekmektedir: • İlgili kişinin açık rızasının alınması. • Kanunlarda açıkça öngörülme. • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlü- ğünün korunması için zorunlu olması. • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel ve- rilerin işlenmesinin gerekli olması. • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebil- mesi için zorunlu olması. • İlgili kişinin kendisi tarafından alenileştirilmiş olması. -- 100 of 220 -- 99 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 99 • Bir hakkın tesisi, kullanılması veya korunması için veri işle- menin zorunlu olması. • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri iş- lenmesinin zorunlu olması. Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir: • İlgili kişinin açık rızasının olması. • Kanunlarda açıkça öngörülme. • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlü- ğünün korunması için zorunlu olması. • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileş- tirme iradesine uygun olması. • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması. • Sır saklama yükümlülüğü altında bulunan kişiler veya yet- kili kurum ve kuruluşlarca, kamu sağlığının korunması, ko- ruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması. • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hiz- metler ve sosyal yardım alanlarındaki hukuki yükümlülük- lerin yerine getirilmesi için zorunlu olması. -- 101 of 220 -- 100 100 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşum- ların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklan- mamak kaydıyla; mevcut veya eski üyelerine ve mensupları- na veyahut bu kuruluş ve oluşumlarla düzenli olarak temas- ta olan kişilere yönelik olması. Öte yandan, özel nitelikli kişisel verilerin aktarılmasında veri sorumlusu tarafından yeterli önlemlerin de alınmış olması ge- rekmektedir. Not: Bu önlemler hakkında, “Özel Nitelikli Kişisel Verilerin İşlen- mesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlem- ler” ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı kararı incelenerek bilgi edinilebilecektir. Ayrıca 6698 sayılı Kanun’da, kişisel verilerin yurt içinde akta- rılmasında diğer kanunlarda yer alan hükümlerin saklı olduğu belirtilmektedir. Yurt içinde kişisel veri aktarımı ile ilgili ortaya çıkabilecek bazı hususlar şu şekildedir: Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesi içeri- sinde gerçekleşen kişisel veri aktarımı, 6698 sayılı Kanun’un 8. maddesi çerçevesinde aktarım olarak değerlendirilemez. Tü- zel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında kişisel verilerin el değiştirmesi, bu anlamda aktarım sayılmaz. -- 102 of 220 -- 101 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 101 Bir şirketler topluluğu altında yer alan farklı şirketler arasında kişisel veri aktarımı gerçekleştirilmesi ise 6698 sayılı Kanun’un 8. maddesi kapsamında kişisel veri aktarımı anlamına gelmek- tedir. Bir tüzel kişi bünyesinde farklı birimler arasında kişisel veri paylaşılmasının aksine, aynı şirketler topluluğu bünyesin- de yer alan farklı tüzel kişiler arasında kişisel veri aktarımı ger- çekleştirilmesi, 6698 sayılı Kanun’un 8. maddesi kapsamında kişisel verilerin yurt içinde aktarımı sayılacaktır. Kamu kurum ve kuruluşları arasında ve/veya kamu kurum ve kuruluşları ile gerçek kişiler ve özel hukuk tüzel kişileri arasında gerçekleşecek kişisel veri aktarımları da 6698 sayılı Kanun’un 8. maddesi kapsamında değerlendirilecektir. Kamu kurum ve kuruluşları tarafından, kanunların kendilerine verdiği görev ve yetkileri çerçevesinde, gerek kamu kurumlarından gerek özel hukuk kişilerinden çeşitli kişisel veriler toplanmaktadır. Bu çerçevede gerçekleştirilen kişisel veri aktarımları da 6698 sayılı Kanun’un 8. maddesinin uygulama alanına girmektedir. Örneğin; kadrolara uygunluğun değerlendirilmesi, tayin işlem- lerinin gerçekleştirilmesi ya da emeklilik işlemlerinin gerçek- leştirilmesi için başkaca kurum ve kuruluşlardan kişisel veri talep edilmesi gibi. 2. Kişisel Verilerin Yurt Dışına Aktarılması Yurt dışına kişisel veri aktarılabilmesi için aşağıdaki şartlardan birinin varlığı gereklidir: • Yeterlilik kararı bulunması. -- 103 of 220 -- 102 102 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ • Yeterlilik kararının bulunmaması durumunda, uygun güven- celerden birinin sağlanması. • Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda istisnai (arızi) hallerden birinin varlığı. Veri sorumlusu ve veri işleyenler tarafından, yurt dışına ak- tarılan kişisel verilerin sonraki aktarımları ile uluslararası ku- ruluşlara aktarılması bakımından da 6698 sayılı Kanun’da yer alan güvencelerin sağlanması gerekmekte olup sadece kişisel verilerin yurt dışına ilk defa aktarılmasında değil kişisel veriler yurt dışına aktarıldıktan sonra gerçekleştirilecek başkaca ak- tarımlarda da 6698 sayılı Kanun’un 9. maddesi uygulanacaktır. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şe- kilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına akta- rılabilir. 6698 sayılı Kanun’un 9 uncu maddesinde kişisel veri- lerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler ise saklı tutulmuştur. a. Yeterlilik Kararı 6698 sayılı Kanun’un 9. maddesine göre; 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya ulus- lararası kuruluşlar hakkında yeterlilik kararı bulunması halin- de, veri sorumluları ve veri işleyenler tarafından yurt dışına -- 104 of 220 -- 103 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 103 kişisel veriler aktarılabilmektedir. Yeterlilik kararı, Kurul tara- fından verilir ve Resmî Gazete ile Kurumumuzun resmi inter- net sitesinde yayımlanır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. Kurul tarafından yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır: • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. • Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygu- laması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar. • Kişisel verilerin aktarılacağı ülkede veya uluslararası kuru- luşun tâbi olduğu bağımsız ve etkin bir veri koruma kuru- munun varlığı ile idari ve adli başvuru yollarının bulunması. • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuru- luşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleş- melere taraf veya uluslararası kuruluşlara üye olma durumu. • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuru- luşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluş- lara üye olma durumu. • Türkiye’nin taraf olduğu uluslararası sözleşmeler. -- 105 of 220 -- 104 104 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Kurul, yukarıda sayılanların dışında ek hususlar belirlemeye yetkili olup yeterlilik kararıyla ilgili yapacağı değerlendirmede ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü alabilecektir. b. Uygun Güvenceler Yeterlilik kararının bulunmaması durumunda ise; • 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen şart- lardan birinin varlığı, • İlgili kişinin aktarımın yapılacağı ülkede de haklarını kullan- ma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına kişisel veriler aktarılabilecektir. Kişisel verilerin yurt dışına aktarılmasına ilişkin uygun güven- celer aşağıdaki şekilde düzenlenmiştir: • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında ya- pılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünye- sindeki şirketlerin uymakla yükümlü oldukları, kişisel ve- rilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. -- 106 of 220 -- 105 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 105 • Kurul tarafından ilan edilen ve veri kategorileri, veri aktarı- mının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. i. Uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı Kişisel verilerin yurt dışına aktarılması için; uluslararası söz- leşme niteliğinde olmayan anlaşmada yer verilecek kişisel ve- rilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki mes- lek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşla- rı veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilmektedir. Söz konusu anlaşma, kişisel veri aktarımının tarafları arasında akdedilecek olup bu anlaşmanın müzakere süreçlerinde Ku- rul’un görüşüne başvurulmalıdır. Anlaşmaya istinaden kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafın- dan Kurul’a izin başvurusunda bulunulur. Yapılacak başvuru kapsamında anlaşma metninin nihai hâli ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurul’a sunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır. -- 107 of 220 -- 106 106 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içermelidir: • Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi. • 6698 sayılı Kanun ve ilgili mevzuata uygun olarak temel kav- ramlara ilişkin tanımlar. • 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt. • İlgili kişilerin anlaşma ve anlaşma kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar. • Kişisel verileri aktarılan ilgili kişilerin 6698 sayılı Kanun’un 11. maddesinde belirtilen haklarının kullandırılmasına yö- nelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar. • Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik ta- ahhüt. • Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul ta- rafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt. • Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar. • Anlaşmada yer verilecek kişisel verilerin korunmasına yö- nelik hükümlerin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri. -- 108 of 220 -- 107 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 107 • Anlaşmada yer verilecek kişisel verilerin korunmasına yöne- lik hükümlerin uygulanmasına ilişkin denetim mekanizması. • Veri alıcısının, anlaşmada yer verilecek kişisel verilerin ko- runmasına yönelik hükümlere uygunluk sağlayamaması hâ- linde veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme. • Veri alıcısının anlaşmanın feshedilmesi veya yürürlük süre- sinin sona ermesi hâlinde, veri aktaranın tercihine bağlı ola- rak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt. ii. Bağlayıcı şirket kurallarının varlığı Kişisel verilerin yurt dışına aktarılabilmesi için; ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları kişisel verilerin korunmasına yö- nelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağ- lanabilmektedir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’a onay başvuru- sunda bulunulması gerekmekte olup yapılacak başvuru kap- samında bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Ku- rul’a sunulmalıdır. Bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisinin de başvuruya eklenmesi gerekmekte olup bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi hâlin- -- 109 of 220 -- 108 108 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ de Türkçe metin esas alınmaktadır. Kişisel verilerin yurt dışına aktarılmasına, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlanacaktır. Kurul tarafından bağlayıcı şirket kuralları onaylanırken özellik- le aşağıdaki hususlar dikkate alınır: • Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünye- sindeki ilgili her üye bakımından hukuken bağlayıcı ve uy- gulanabilir olması. • Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabi- leceğine dair taahhütte bulunulması. • Bağlayıcı şirket kurallarının asgari olarak barındırması gere- ken hususları içermesi. Bağlayıcı şirket kurallarının barındırması gereken asgari hu- suslar ise şunlardır: • Ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri. • Kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülke veya ülke- ler başta olmak üzere bağlayıcı şirket kuralları kapsamında gerçekleştirilecek aktarımlara ilişkin hususlar. • Ortak ekonomik faaliyette bulunan teşebbüs grubunun hem iç ilişkisinde hem de diğer hukuki ilişkilerinde bağlayıcı şir- ket kurallarının hukuken bağlayıcı olduğuna yönelik taahhüt. -- 110 of 220 -- 109 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 109 • 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uyum, kişisel verilerin işlenme şartları, özel nitelikli kişisel verilerin işlenme şartları, veri güvenliğinin sağlanmasına yö- nelik teknik ve idari tedbirler, özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli önlemler ve kişisel verilerin sonraki aktarımına yönelik kısıtlamalar gibi veri koruma ön- lemleri. • Kişisel verileri aktarılan ilgili kişilerin 6698 sayılı Kanun’un 11. maddesinde belirtilen hakları ile 6698 sayılı Kanun’un 14. maddesinde öngörülen usul ve esaslara uygun olarak Ku- rul’a şikâyette bulunma hakkının kullandırılmasına yönelik taahhüt ve bu hakların kullanımına ilişkin usul ve esaslar. • Türkiye’de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye’de yerleşik bir veri sorumlusunun ve/veya veri işleyenin ihlalden kaynak- lanan sorumluluğu üstleneceğine dair taahhüt. • 6698 sayılı Kanun’un 10. maddesi uyarınca aydınlatma yü- kümlülüğü kapsamında ilgili kişilere bilgi verilen konulara ilave olarak Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 13. maddesinin 1. fıkrasının (ç), (d) ve (e) bentlerinde belirtilenler başta olmak üzere bağlayıcı şirket kurallarına ilişkin hususlarda ilgili kişi- lere ne şekilde bilgi verileceğine ilişkin açıklamalar. • Çalışanlara kişisel verilerin korunması konusunda verilecek eğitime ilişkin açıklamalar. -- 111 of 220 -- 110 110 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ • İlgili kişi başvurularının sonuçlandırılması faaliyetleri dâhil olmak üzere, teşebbüs grubunun bağlayıcı şirket kurallarına uyumunun takibinden sorumlu olan kişilerin veya birimlerin görevleri. • İlgili kişilerin haklarının korunmasına yönelik düzeltici faa- liyetlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemleri başta olmak üzere bağlayıcı şirket kurallarına uyumun teşebbüs grubu içinde denetlenmesi ve doğru- lanmasına yönelik mekanizmaları ve bunların sonuçları- nın Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 13. maddesinin 1. fıkrasının (ğ) bendinde belirtilen kişi veya birime ve ilgili teşebbüs grubu bünyesindeki hâkim şirketin yönetim kuruluna ve ta- lebi üzerine Kurul’a sunulacağına dair taahhüt. • Bağlayıcı şirket kurallarına ilişkin değişikliklerin raporlan- ması ve kaydedilmesi ile bu değişikliklerin Kurul’a bildiril- mesine ilişkin mekanizmalar. • Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 13. maddesinin 1. fıkrasının (h) bendinde belirtilen denetim ve doğrulama faaliyetinin sonuçlarının sunulması başta olmak üzere teşebbüs grubu- nun üyeleri tarafından bağlayıcı şirket kurallarına uyumun sağlanması amacıyla Kurumumuz ile iş birliği yükümlülüğü. • Bağlayıcı şirket kuralları kapsamında aktarılacak kişisel ve- rilere ilişkin olarak, teşebbüs grubu üyelerinin aktarımın ya- pılacağı ülkede veya ülkelerde bağlayıcı şirket kurallarının -- 112 of 220 -- 111 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 111 sağladığı güvencelere aykırı herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söz konusu güvenceler üzerinde olumsuz bir etki yaratması muhtemel bir mevzuat değişikliği yapılması hâlinde durumu Kurul’a bildirmeye yönelik me- kanizmalar. • Kişisel verilere sürekli veya düzenli olarak erişimi bulunan personele yönelik uygun veri koruma eğitimlerinin verile- ceğine dair taahhüt. Kurul, bağlayıcı şirket kurallarında bulunması gereken ve yuka- rıda sayılanlara ek olarak başkaca hususlar belirlemeye yetkili olup bağlayıcı şirket kuralları başvurusunda kullanılacak bel- geler Kurul tarafından belirlenmektedir. iii. Standart sözleşmenin varlığı Kişisel verilerin yurt dışına aktarılması için; kişisel veri kate- gorileri, kişisel veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme vasıtasıyla uygun güvence sağ- lanabilmekte olup standart sözleşme, Kurul tarafından belir- lenerek Kurumumuzun resmi internet sitesinde ilan edilmiştir. Bu noktada önemle belirtmek gerekir ki; standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kul- lanılması zorunludur. Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınmaktadır. Standart sözleşme, kişisel veri aktarımının tarafları arasında akdedilir ve -- 113 of 220 -- 112 112 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ bu sözleşmenin aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur. Bu noktada belirtmek gerekir ki; gerek 6698 sayılı Kanun’un 9. maddesi gerek Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 14. maddesi uyarınca standart sözleşmenin, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntem- lerle Kurumumuza bildirilmesi gerekmektedir. Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kim tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kuru- mumuza bildirilecektir. Yapılacak bildirime, standart sözleşme- yi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenmelidir. Standart sözleşme taraflarında veya standart sözleşme içeri- ğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişik- lik olması veya standart sözleşmenin sona ermesi hâlinde de yukarıda belirtilen usule uygun olarak Kurumumuza bildirim yapılması gerekmektedir. Ayrıca belirtmek gerekir ki; Kurulca ilan edilen standart sözleş- me metninde değişiklik yapılması veya standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması hâlinde 6698 sayılı Kanun’un 15. maddesi uya- rınca Kurul tarafından inceleme yapılacaktır. -- 114 of 220 -- 113 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 113 iv. Yazılı bir taahhütnamenin varlığı Kişisel verilerin yurt dışına aktarılması için; aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilir. Taahhütnameye istinaden kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulur ve yapılacak başvuru kap- samında taahhütname metni ve Kurul tarafından yapılacak de- ğerlendirme için gerekli diğer bilgi ve belgeler Kurul’a sunulur. Taahhütnamenin yabancı dilde de akdedilmesi hâlinde Türk- çe metin esas alınır. Kişisel verilerin yurt dışına aktarılmasına ise ancak Kurul tarafından taahhütnameye izin verilmesinden sonra başlanabilir. Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içermelidir: • Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi. • 6698 sayılı Kanun ve ilgili mevzuata uygun olarak temel kav- ramlara ilişkin tanımlar. • 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt. • İlgili kişilerin taahhütname ve taahhütname kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar. -- 115 of 220 -- 114 114 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ • Kişisel verileri aktarılan ilgili kişilerin 6698 sayılı Kanun’un 11. maddesinde belirtilen haklarının kullandırılmasına yö- nelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar. • Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik ta- ahhüt. • Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul ta- rafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt. • Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar. • Taahhütnamenin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri. • Veri alıcısının aktarıma konu kişisel verilerin işlenmesi hu- susunda Kurul’un karar ve görüşlerine uyacağına yönelik taahhüt. • Veri alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal düzenlemenin bulunmadığına ve buna yol açabilecek muhtemel bir mevzuat değişikliğini veri akta- rana en kısa sürede bildireceğine dair taahhüt ile bu durumda veri aktaranın kişisel veri aktarımını askıya alma ve taahhüt- nameyi feshetme hakkına sahip olacağına yönelik düzenleme. • Veri alıcısının taahhütnameye uygunluk sağlayamaması hâ- linde veri aktaranın kişisel veri aktarımını askıya alma ve -- 116 of 220 -- 115 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 115 taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme. • Veri alıcısının taahhütnamenin feshedilmesi veya yürürlük süresinin sona ermesi hâlinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tama- men yok edeceğine yönelik taahhüt. • Taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuş- mazlık hâlinde Türk mahkemelerinin görevli ve yetkili oldu- ğuna yönelik düzenleme ile veri alıcısının Türk mahkemele- rinin yargı yetkisini tanımayı kabul ettiğine yönelik taahhüt. Not: Yurtdışına kişisel veri aktarımında veri sorumlularınca imzalanarak Kurul’un onayına sunulması gereken taahhütna- melere ilişkin Kamuoyu duyurusuna “https://www.kvkk.gov.tr/ Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLA- NACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HU- SUSLARA-ILISKIN-DUYURU” internet adresinden erişilebilir. c. İstisnai Aktarım Halleri Kişisel veriler, yeterlilik kararının bulunmaması ve yukarıda açıklanan uygun güvencelerden herhangi birinin sağlanama- ması durumunda, arızi olmak kaydıyla sadece istisnai aktarım hâllerinden birinin varlığı durumunda yurt dışına aktarılabilir. Bu noktada belirtmek gerekir ki; düzenli olmayan, tek veya bir- kaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir. -- 117 of 220 -- 116 116 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ İstisnai aktarım hâlleri ise şunlardır: • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleş- menin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir ger- çek veya tüzel kişi arasında yapılacak bir sözleşmenin kurul- ması veya ifası için zorunlu olması. • Aktarımın üstün bir kamu yararı için zorunlu olması. • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durum- da bulunan veya rızasına hukuki geçerlilik tanınmayan kişi- nin kendisinin ya da bir başkasının hayatı veya beden bü- tünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartla- rın sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kay- -- 118 of 220 -- 117 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 117 dıyla yurt dışına kişisel verilerin aktarılması halinde aşağıdaki usul ve esaslara uyulması zorunludur: • Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirile- mez. • Meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir. Önemle belirtmek gerekir ki; kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetleri kapsamında kişisel verilerin; “İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kay- dıyla, aktarıma açık rıza vermesi.”, “Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanma- sı için zorunlu olması.” ve “Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapıla- cak bir sözleşmenin kurulması veya ifası için zorunlu olması.” şartlarına istinaden yurt dışına aktarılması mümkün değildir. Not: Kişisel verilerin yurt dışına aktarılmasına ilişkin detay- lı açıklamaların yer aldığı "Kişisel Verilerin Yurt Dışına Ak- tarılması Rehberi"ne Kurumun internet sitesi üzerinden, “https://www.kvkk.gov.tr/Icerik/8143/Kisisel-Verilerin-Yurt-Di- sina-Aktarilmasi-Rehberi” adresinden erişilebilir. -- 119 of 220 -- 118 118 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ -- 120 of 220 -- 119 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 119 I. 6698 SAYILI KANUN KAPSAMINDAKİ HAK VE YÜKÜMLÜLÜKLER 1. Veri Sorumlusunun Yükümlülükleri 6698 sayılı Kanun’un 3. maddesinde veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.” olarak tanımlanmıştır. Veri sorumlusu, kişisel verileri bizzat işleyebileceği gibi kişisel veri işleme faaliyetini gerçekleştirmek üzere üçüncü bir kişiyi de yetkilendirebilir. Veri sorumlusunun verdiği yetkiye daya- narak onun adına kişisel verileri işleyen bu tür gerçek veya tüzel kişiler, 6698 sayılı Kanun’un 3. maddesinin 1. fıkrasının (ğ) bendinde “veri işleyen” olarak adlandırılmıştır. 6698 sayılı Ka- nun’da kişisel verilerin korunmasına ilişkin bazı yükümlülükler, veri sorumluları ile birlikte veri işleyenler için de getirilmiştir. Veri sorumlusunun 6698 sayılı Kanun kapsamında pek çok yükümlülüğü bulunmakla birlikte bunlardan bazıları aşağıda ayrıntılı olarak açıklanmaktadır: a. Aydınlatma Yükümlülüğü Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlene- bileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlu- sunun aydınlatma yükümlülüğü kapsamında ele almaktadır. -- 121 of 220 -- 120 120 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Buna göre veri sorumlusu, 6698 sayılı Kanun’un 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili ki- şiye sağlamakla yükümlüdür: • Veri sorumlusunun ve varsa temsilcisinin kimliği. • Kişisel verilerin hangi amaçla işleneceği. • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği. • Kişisel veri toplamanın yöntemi ve hukuki sebebi. • İlgili kişinin, 6698 sayılı Kanun’un 11. maddesinde sayılan diğer hakları. Öte yandan 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Teb- liğ” ile aydınlatma yükümlülüğü kapsamında veri sorumlula- rınca uyulması gereken usul ve esaslara ilişkin olarak düzenle- me yapılmış olup veri sorumlularınca aydınlatma yükümlülüğü yerine getirilirken bu hususlara da dikkat edilmesi gerekmek- tedir. Not: Aydınlatma yükümlülüğünün yerine getirilmesi konusun- da veri sorumlularına rehberlik etmek ve iyi uygulama örnek- leri göstermek amacıyla “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” hazırlanmış olup bu rehbere Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden “Yayınlar” bö- lümündeki “Rehberler” adımından ulaşılabilir -- 122 of 220 -- 121 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 121 Önemle belirtmek gerekir ki; kişisel veri işleme faaliyetinin hem ilgili kişinin açık rızasına istinaden hem de 6698 sayılı Kanun’da- ki diğer bir işleme şartı kapsamında gerçekleştirilmesi halinde veri sorumlusunun ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği ve kişisel veri işleme amacının değiştiği her durumda aydınlatılmalıdır. Veri Sorumluları Sicili’ne kayıt yükümlülüğünün bulunması durumunda aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicil’e açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin ta- lebine ve/veya onayına tabi değildir. Veri sorumlusu tarafından tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getiri- lebilir ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. b. Veri Güvenliğine İlişkin Yükümlülükler 6698 sayılı Kanun’un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu; • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, • Kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. -- 123 of 220 -- 122 122 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Not: Veri sorumlularının alması gereken teknik ve idari tedbir- ler konusunda veri sorumlularına rehberlik etmek amacıyla “Kişisel Veri Güvenliği Rehberi” hazırlanmış olup bu rehbere, Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden “Ya- yınlar” bölümündeki “Rehberler” adımından ulaşılabilir Ayrıca belirtmek gerekir ki; veri güvenliğine ilişkin yükümlü- lükleri belirlemek amacıyla düzenleyici işlem yapmak Kurul’un yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir. 6698 sayılı Kanun’un 12. maddesinin devamında, veri sorum- lusunun, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştere- ken sorumlu olduğu belirtilmiştir. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülü- ğü altındadır. Buna göre örneğin; veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyor ve bu kapsamda şirketin müşterilerine/çalışanlarına vb. ilişkin kişi- sel veriler işleniyorsa, 6698 sayılı Kanun’un 12. Maddesinin 1. fıkrasında belirtilen veri güvenliği tedbirlerinin alınması husu- sunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. 6698 sayılı Kanun’da, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorum- -- 124 of 220 -- 123 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 123 lusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Görüldüğü üzere 6698 sayılı Kanun, denetimin veri sorumlusu tarafından yapılması gerektiğini ön- görmektedir. Veri sorumlusu bu denetimi kendisi gerçekleşti- rebileceği gibi bir üçüncü kişi vasıtasıyla da gerçekleştirebilir. Öte yandan, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak baş- kasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmek zorun- dadır. Kurul, gerekmesi hâlinde bu durumu, kendi internet si- tesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Not: Veri ihlal bildirimleri ile ilgili olarak Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararında; Kurul’a ve ihlalden etkilen- miş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak olduğu belirtilmiştir. Ayrıca 6698 sayılı Kanun’a kaynak teşkil eden AB’nin 95/46/EC sayılı Direktif’ini ilga eden GDPR’da veri ihlal bildirimlerine iliş- kin olarak söz konusu Direktif’in aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal -- 125 of 220 -- 124 124 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ verilmemesi ve uygulamada bir standartlaşma sağlanabilme- sini teminen; 6698 sayılı Kanun’un 12. Maddesinin 5. fıkrasın- da bulunan; “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” şeklindeki hükümde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu duru- mu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirmesine karar verildiği belirtilmiştir. Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorum- lusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenme- sinde şirketin büyüklüğü veya mali bilançosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir. Örneğin; küçük ölçekli olmakla birlikte özel nitelikli kişisel veri işleyen veri sorumlusunun daha yüksek standart- larda koruma önlemi alması gerekmektedir. c. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü 6698 sayılı Kanun’un 13. maddesine ve bu maddeye istinaden 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlana- rak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre veri sorumluları, ilgili kişiler tarafından yazılı olarak veya bahse konu Tebliğ’de yer verilen kayıtlı elekt- ronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya -- 126 of 220 -- 125 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 125 da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yö- nelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla yapılan başvuruları niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir. Veri sorumlusu, ya talebi kabul edip gereğini yerine getirir ya da gerekçesini açıklayarak talebi reddeder ve cevabını ilgili ki- şiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafın- dan bu talebin gereği yerine getirilir. Başvurunun veri sorum- lusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumun- da resen görev alanına giren konularda yapacağı inceleme so- nucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek kararı -- 127 of 220 -- 126 126 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ ilgililere tebliğ eder. Veri sorumlusu, Kurul kararını, tebliğ tari- hinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır. ç. Veri Sorumluları Siciline Kayıt Yükümlülüğü 6698 sayılı Kanun’un 16. maddesine göre, Kurul’un gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacaktır ve yine bu maddeye göre kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce Sicil’e kaydolmak zorundadır. Ancak, 6698 sayılı Kanun’un 16. maddesinin 2. fıkrasında; iş- lenen kişisel verinin niteliği, sayısı, kişisel veri işlemenin ka- nundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Sicili’ne kayıt zo- runluluğuna istisnalar getirilebileceği belirtilmiştir. Bu hükme istinaden Kurul tarafından söz konusu kriterler be- lirlenmiş ve Veri Sorumluları Sicili Hakkında Yönetmelik’te bu kriterler sayılmış olup söz konusu kriterler; a) Kişisel verinin niteliği, b) Kişisel verinin sayısı, c) Kişisel verinin işlenme amacı, ç) Kişisel verinin işlendiği faaliyet alanı, d) Kişisel verinin üçüncü kişilere aktarılma durumu, e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması, -- 128 of 220 -- 127 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 127 f) Kişisel verinin muhafaza edilmesi süresi, g) Veri konusu kişi grubu veya veri kategorileri, ğ) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bi- lanço toplamı bilgisi şeklindedir. d. Bildirim Yükümlülüğü Veri sorumlusunun diğer bir yükümlülüğü de; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Ku- rul’a bildirmektir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Not: Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı kararında; 6698 sayılı Kanun’un 12. maddesinin 5. fıkrasında bulunan; “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa süre- de ilgilisine ve Kurula bildirir….” şeklindeki hükümde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun veri ihlalini öğrendiği tarih- ten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bil- dirmesine karar verildiği belirtilmiştir. 2. İlgili Kişinin Hakları 6698 sayılı Kanun’un 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili; -- 129 of 220 -- 128 128 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ • Kişisel verilerinin işlenip işlenmediğini öğrenme, • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, • Kişisel verilerinin işlenme amacını ve bunların amacına uy- gun kullanılıp kullanılmadığını öğrenme, • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, • Kişisel verilerin silinmesini veya yok edilmesini isteme, • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • İşlenen kişisel verilerin münhasıran otomatik sistemler vası- tasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle za- rara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. 3. İlgili Kişinin Hak Arama Yöntemleri 6698 sayılı Kanun, ilgili kişilerin bu Kanun’un uygulanması- na ilişkin taleplerini iletebilmeleri ve kişisel verilerine ilişkin haklarını korumaları için birtakım hak arama yöntemleri ge- tirmektedir. Böylelikle ilgili kişiler, kişisel verilerinin korunma- -- 130 of 220 -- 129 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 129 sına ilişkin haklarını kullanmak adına doğrudan yargı yoluna başvurmanın yanı sıra 6698 sayılı Kanun’la getirilen diğer hak arama yöntemlerini de kullanabileceklerdir. 6698 sayılı Kanun ile getirilen hak arama yöntemlerinden ilki bu Kanun’un 13. maddesinde düzenlenen veri sorumlusuna başvuru yöntemi- dir. İkincisi ise 6698 sayılı Kanun’un 14. ve 15. maddelerinde düzenlenen Kurul’a şikâyettir. a. Veri Sorumlusuna Başvuru 6698 sayılı Kanun’un 11. maddesine göre ilgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin iş- lenip işlenmediğini öğrenmek, işlenmişse bunlara ilişkin bilgi talep etmek, kişisel verinin içeriğinin eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlem- lerin kişisel verilerin açıklandığı üçüncü kişilere bildirilmesini ve kişisel verilerin 6698 sayılı Kanun’a aykırı olarak işlenmesi sebebiyle uğranılan zararların giderilmesini talep etme hakları bulunmaktadır. 6698 sayılı Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilme- den Kurul’a şikâyet yoluna gidilemez. İlgili kişinin talebinin, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde veri sorumlusu tarafından cevap- -- 131 of 220 -- 130 130 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ landırılması gerekmektedir. Başvurusu reddedilen veya verilen cevabı yetersiz bulan yahut süresinde başvurusuna cevap ve- rilmeyen ilgili kişiler Kurul’a şikâyet hakkını kullanabilecektir. Ayrıca 6698 sayılı Kanun’da, kişilik hakları ihlal edilen ilgili ki- şilerin genel hükümlere göre tazminat hakları saklı tutulmuş- tur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu dolaylı olarak veya açıkça reddedilen ilgili kişinin bir yandan Kurul’a şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebil- mesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki; ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bu- lunmamaktadır. Başka bir ifadeyle; konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurulması sadece konunun Kurul’a iletilmesinden önce uyulması gereken bir zorunluluktur. Not: 6698 sayılı Kanun’un 13. maddesine istinaden Kurul ta- rafından hazırlanan ve 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” ve Kurumumuz resmi internet sitesinde yayımlanan "Kurula İletilen Şikâyet ve İhbarlarda Sık Yapılan Hatalar" kitapçığı incelenerek konu hakkında detaylı bilgi edinilebilir. -- 132 of 220 -- 131 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 131 i. Başvuru ve Cevap Yöntemine İlişkin Kurallar Veri sorumlusuna yapılacak başvuruların şekli konusunda 6698 sayılı Kanun’da iki temel hüküm bulunmaktadır ve bunlardan ilki yazılı başvurudur. Yazılı başvuru, genel hükümler gereğince ıslak imza içeren belge ile yapılan başvuru anlamına gelmekte- dir. Buna ek olarak güvenli elektronik imza ile imzalanan bel- geler de yazılı şekil şartını sağlayacaktır. Yazılı başvuru haricindeki diğer başvuru yöntemlerinin be- lirlenmesi konusunda 6698 sayılı Kanun, Kurul’u yetkilendir- mektedir ve buna istinaden Kurul tarafından 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile veri sorumlusuna yapılacak başvuruların yöntemleri belirlen- miştir. Buna göre veri sorumluları, ilgili kişiler tarafından yazılı olarak veya bahse konu Tebliğ’de yer verilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik pos- ta adresini kullanmak suretiyle veya başvuru amacına yöne- lik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla yapılan başvuruları, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Veri sorumlusu, kural olarak kendisine yöneltilen talepleri en kısa sürede cevaplandırmak zorundadır ancak bu süre en fazla 30 gün ile sınırlandırılmıştır. -- 133 of 220 -- 132 132 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Veri sorumlusu, kendisine yöneltilen talepleri kabul edebi- leceği gibi gerekçesini açıklayarak reddedebilir. Ret kararının gerekçeli olmasının mecburi tutulması suretiyle ilgili kişilerin haklarının daha etkili korunması hedeflenmektedir. Zira ret kararının gerekçeli olması zorunluluğu, veri sorumlularının ret kararlarına ilişkin mutlaka bir hukuki gerekçe göstermeleri gerekliliğini beraberinde getirmektedir. Veri sorumlusu kendisine yöneltilen talebi kabul etmesi ha- linde, talebin gereklerini derhal yerine getirmek zorundadır. Talebin kabul edilmesine rağmen gereklerinin yerine getiril- memesi halinde, veri sorumlusunun talebi reddettiğini varsay- mak gerekir. Zira 6698 sayılı Kanun, sadece veri sorumlusunun ilgili kişinin başvurusunu reddetmesi, verdiği cevabın yetersiz bulunması ya da süresinde cevap vermemesi hallerinde ilgili kişiye Kurul’a şikâyette bulunma hakkı vermektedir. Bu durum, ilgili kişinin Kurul’a şikâyette bulunmasına imkân vermek açı- sından önemli bir konudur. 6698 sayılı Kanun, veri sorumlusunun kendisine yapılan baş- vurulara dair kararını bildirmesine ilişkin izlenebilecek yöntem konusunda yazılı bildirim ya da elektronik ortamda bildirim hü- kümlerine yer vermiştir. Dolayısıyla ilgili kişi tarafından, veri so- rumlusuna gerek yazılı olarak gerek Kurul’un belirleyeceği diğer yöntemlerle başvurulduğunda, veri sorumlusunun cevabı mut- laka ya yazılı olarak ya da elektronik ortamda gönderilmelidir. Kendisine başvuru yapılan veri sorumlusunun, kamu kurum ya da kuruluşu olması hali üzerinde özellikle durulması gerek- mektedir. Zira kamu kurum ve kuruluşlarının yapacağı bildirim- -- 134 of 220 -- 133 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 133 ler 7201 sayılı Tebligat Kanunu ile düzenlenmektedir. Tebligat Kanunu’nun da elektronik tebligata imkân verdiği göz önüne alındığında, kamu kurum ve kuruluşu olan veri sorumlularının da ilgili mevzuata uyarak hem yazılı hem elektronik ortamda bildirimde bulunabilmeleri mümkün olacaktır. ii. Veri Sorumlusuna Başvurunun Maliyetine İlişkin Kurallar 6698 sayılı Kanun’un 13. maddesi gereğince; veri sorumluları tarafından ilgili kişilerin taleplerinin ücretsiz olarak karşılan- ması gerekmektedir ancak yapılacak işlemin ayrıca bir maliyeti gerektirmesi halinde veri sorumlularınca bir ücret alınabile- cektir. Bu ücretin belirlenmesi konusunda ise; Kurul yetkilen- dirilmiştir. Buna istinaden Kurulca, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile; ilgili kişinin başvurusuna yazılı olarak cevap verilecekse 10 sayfaya kadar ücret alınma- yacağı, 10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabileceği, başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücretin söz konusu kayıt ortamının maliye- tini geçemeyeceği belirlenmiştir. Bununla birlikte, ilgili kişinin 6698 sayılı Kanun’un uygulanma- sıyla ilgili talebine konu olan hususta veri sorumlusu hatalıysa, alınan ücretin ilgili kişiye iade edilmesi gerekmektedir. b. Şikâyet Veri sorumlusuna başvurusu reddedilen, verilen cevabı yeter- siz bulan veya süresinde başvurusuna cevap verilmeyen ilgili kişiler Kurul’a şikâyet hakkını kullanabilecektir. -- 135 of 220 -- 134 134 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ i. Kişisel Verileri Koruma Kurulu’nun İnceleme Yapması 6698 sayılı Kanun’un 15. maddesi gereğince ihlal halinde Ku- rul’un inceleme yapma yetkisi bulunmaktadır. Kurul bu yetki- sini, şikâyet üzerine ya da resen kullanabilmektedir. ◊ Resen İnceleme: Kurul’un inceleme başlatma konusunda re- sen yetkili olması, Kurul’un haberdar olduğu bir ihlal durumun- da kendiliğinden harekete geçerek inceleme başlatabileceği anlamına gelmektedir. Diğer bir ifadeyle; Kurul’un inceleme başlatabilmesi için kendisine şikâyette bulunulmasına ihtiyaç yoktur. Bu durum, ilgili kişilerin şikâyette bulunmamasına ve hatta ilgili kişilerin ihlalden haberlerinin dahi olmamasına rağmen Kurul’un hak ihlallerini engelleyebilmesini sağlamak- tadır. Dolayısıyla ilgili kişilerin hakları daha etkin bir şekilde korunabilmektedir. Kurul’un inceleme başlatmaya resen yetkili oluşunun bir diğer sonucu da kendisine gelen ihbarları de- ğerlendirme ve gerekiyorsa inceleme başlatma yetkisine sahip olmasıdır. ◊ Şikâyet Üzerine İnceleme: İlgili kişilerin haklarını kullanma- sı için öncelikle veri sorumlularına başvurmaları zorunludur. Veri sorumlusunun bu başvuruyu reddetmesi, verdiği cevabın yetersiz olması veya süresinde cevap vermemesi halinde ilgili kişinin konu hakkında Kurul’a şikâyette bulunma hakkı doğ- maktadır. Yapılacak şikâyet ile konu, Kurul’a taşınmakta ve Ku- rul’un incelemesi sonucunda karara bağlanmaktadır. -- 136 of 220 -- 135 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 135 ii. Kurul’a Yapılacak İhbar ve Şikâyetlerin Taşıması Gereken Şartlar Kurul’a yapılacak ihbar ve şikâyetlerin işleme konulabilmesi için, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen hükümlere uygun olmaları gerekmek- tedir. Anılan madde kapsamında belirtilen şartlardan ilki; veri- lecek dilekçenin belirli bir konuyu içermesidir. İkinci şart ise dilekçenin yargı mercilerinin görevlerine giren konularla ilgili olmamasıdır. Örneğin; ilgili kişinin uğradığı za- rarın giderilmesini veri sorumlusundan talep etme hakkı, 6698 sayılı Kanun’un 11. maddesinin 1. fıkrasının (ğ) bendi gereğince bulunmakta olup veri sorumlusunun bu talebi yerine getirme- mesi halinde, ilgili kişinin Kurul’a şikâyette bulunması da söz konusu olabilecektir. Ayrıca ilgili kişinin zararlarının tazmini için, genel hükümler çerçevesinde yargı mercilerine başvurma- sı da mümkündür. Buna göre, TCK’yı ilgilendiren talepleri içeren dilekçeler, yargı mercilerinin görev alanına girmesi nedeniyle bu madde kapsamında değerlendirmeye alınmayacaktır. Şikâyet veya ihbar dilekçelerinde uyulması gereken son şart ise bu dilekçelerin, dilekçe sahibinin adını-soyadını, imzasını ve iş ya da ikametgâh adreslerini içermesidir. Dolayısıyla Ku- rul’a isimsiz olarak ihbar ya da şikâyette bulunmak söz konusu olmayacaktır. İlgili kişilerin haklarını kullanma konusunda veri sorumlusuna başvuru yapmadan şikâyette bulunmaları mümkün değildir. Bu nedenle Kurul’a şikâyette bulunmanın ön şartlarından biri de veri sorumlusuna başvuru yapmak olarak kabul edilmektedir. -- 137 of 220 -- 136 136 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Veri sorumlusuna başvurduktan sonra şikâyette bulunabil- mek için ilgili kişinin belirli süre sınırlamalarına uyması ge- rekmektedir. Buna göre ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içerisinde Kurul’a şikâyette bulunabilecektir. Her durumda veri sorumlusuna başvuru tari- hinden itibaren altmış gün içinde ilgili kişinin Kurul’a şikâyette bulunabilmesi mümkündür. iii. Kurul’un İnceleme Süreci Konusundaki Yetki ve Yükümlü- lükleri Kurul, kendisine gelen talepleri incelerken veri sorumlula- rından gerekli tüm bilgi ve belgeleri talep edebilme yetkisine sahiptir. Kurul’un ayrıca yerinde inceleme yapma yetkisi de bulunmaktadır. Bu kapsamda veri sorumlularının, yerinde in- celeme yapılmasına imkân sağlama ve talep edilen bilgiler ile belgeleri on beş gün içerisinde Kurul’a gönderme yükümlülük- leri bulunmaktadır. 6698 sayılı Kanun’da veri sorumlularının bilgi ve belge sun- ma yükümlülüklerine ilişkin bir istisna getirilmiştir. Buna göre; devlet sırrı niteliğindeki bilgi ve belgelerin veri sorumlusu ta- rafından Kurul’a sunulmasına izin verilmemektedir. Kurul’a 6698 sayılı Kanun tarafından tanınan bir diğer yetki de inceleme süreci sonuçlandırılmadan önce telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, kişisel veri işlenmesinin veya kişisel verinin yurt dı- şına aktarılmasının durdurulmasına karar verilmesidir. Yargı -- 138 of 220 -- 137 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 137 organlarındaki ihtiyati tedbir kurumuna benzeyen bu yetki sa- yesinde olası zarar ve hak ihlallerinin hızlı bir şekilde önüne geçilmesi mümkün olabilecektir. Kurul’un altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür. Eğer söz konusu süre boyunca Kurul, başvu- rana bir cevap vermezse, talep reddedilmiş sayılacaktır. Söz konusu altmış günlük süre sınırlaması, ilgili kişilerden Kurul’a gelen taleplere uygulanmaktadır. Kurul’un resen başlattığı in- celemelerde herhangi bir süre sınırlaması öngörülmemiştir. iv. Kurul’un Yapacağı İncelemenin Sonuçlandırılması Kurul, şikâyet üzerine ya da resen başlattığı inceleme sonucun- da bir karar verebilir. Ancak, şikâyet tarihinden itibaren altmış gün içinde bir cevap verilmezse talep reddedilmiş sayılır. Kurul, yaptığı inceleme neticesinde kişisel verilerin korunması hakkı- nın ihlal edildiği sonucuna varması halinde tespit ettiği huku- ka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek bu kararı taraflara tebliğ edecektir. Böyle bir kararın gereklerinin de kararın tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmesi gerekmektedir. Kurul’un yapacağı inceleme sonucunda ayrıca ilke kararı ala- bilme yetkisi de bulunmaktadır. İlke kararları, inceleme ko- nusu ihlalin yaygın olduğunun tespiti halinde alınmakta ve yayımlanmaktadır. İlke kararları, Kurul’un karar konusu olaya yaklaşımını ve sonraki inceleme ve şikâyetlerdeki tutumunu göstereceği için tüm ilgililer açısından uyulması son derece -- 139 of 220 -- 138 138 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ önemli hukuki metinlerdir. Ayrıca, ilke kararları kişisel verilerin korunmasına ilişkin mevzuatın uygulamasının yeknesaklaştı- rılması açısından da önem arz etmektedir. Zira ilke kararları sa- yesinde mevzuata ilişkin farklı yorumlar ve bunlardan doğacak farklı uygulamaların önüne geçilebilecektir. 4. Veri İşleyenin Yükümlülükleri Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu kişiler, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Kişisel verilerin veri sorumlusunun verdiği yetkiye dayanarak ve onun adına veri işleyen tarafından işlenmesi hâlinde, kişi- sel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik dü- zeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda veri işleyen, veri sorumlusu ile birlikte müştereken sorumludur. Ayrıca, veri işleyenler öğrendikleri kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklamama ve iş- leme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri işleyenin görevinden ayrılmasından sonra da devam etmektedir. -- 140 of 220 -- 139 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 139 İ. VERİ SORUMLULARI SİCİLİ 6698 sayılı Kanun’un 16. maddesine göre; Kurul’un gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Si- cili tutulması gerekmektedir. 6698 sayılı Kanun, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başla- madan önce Veri Sorumluları Siciline kaydolmalarını zorunlu kılmaktadır. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunma- sı hakkının daha etkin şekilde kullanılması hedeflenmektedir. Sicil’e ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelik’te belirlenmiştir. 1. Veri Sorumluları Sicili’nin Nitelikleri Veri Sorumluları Sicili, 6698 sayılı Kanun kapsamında kamuya açık olarak tutulmak zorundadır. Kamuya açıklık kavramı, iste- yen kişinin Sicil üzerinde inceleme yapabilmesi anlamına gel- mektedir ve kamuya açıklık ilkesi, kişisel verilerin korunması açısından önemlidir. Zira veri sorumlularının kamu tarafından bilinebilir olması, ilgili kişilerin hak ihlallerine karşı daha etkili şekilde mücadele etmesine imkân verecektir. 2. Veri Sorumluları Sicili’ne Kayıt Zorunluluğu ve İstisnaları Kural olarak, tüm veri sorumlularının Veri Sorumluları Sicili’ne kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, kişi- sel veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir. -- 141 of 220 -- 140 140 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Bununla birlikte, 6698 sayılı Kanun’un 28. maddesinin 1. ve 2. fıkrasında sayılan hallerde, bu Kanun’un Veri Sorumluları Si- cili’ne kayıt yükümlülüğünü düzenleyen 16. maddesi uygulan- mayacaktır. Ayrıca 6698 sayılı Kanun’un 16. maddesinde Kurul’a, Sicil’e ka- yıt zorunluluğuna istisna getirme yetkisi verilmiş olup buna istinaden Kurul tarafından söz konusu kriterler belirlenmiş ve 30.12.2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik’te bu kriterler aşa- ğıdaki gibi sayma yoluyla belirlenmiştir: a) Kişisel verinin niteliği. b) Kişisel verinin sayısı. c) Kişisel verinin işlenme amacı. ç) Kişisel verinin işlendiği faaliyet alanı. d) Kişisel verinin üçüncü kişilere aktarılma durumu. e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklan- ması. f) Kişisel verilerin muhafaza edilmesi süresi. g) Veri konusu kişi grubu veya veri kategorileri. h) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi. Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicil’e kayıt yükümlülüğüne istisna getirilmiştir. -- 142 of 220 -- 141 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 141 Not: 6698 sayılı Kanun’un 16. maddesinin 2. fıkrasının verdiği yetkiye dayanarak Kurulca bazı veri sorumluları için Sicil’e kayıt yükümlülüğüne istisna getirilmiş olup söz konusu istisna geti- ren Kurul kararları 15.05.2018, 18.08.2018, 24.06.2021, 25.07.2023 ve 12.01.2024 tarihli Resmî Gazete’lerde yayımlanmıştır. Kurulca 6698 sayılı Kanun’un 16. maddesine göre Veri Sorumluları Sicili’ne kayıt yükümlülüğüne istisna getirilen veri sorumluları Veri Sorumluları Kurul Kararı Resmî Gazete’de Yayım Tarihi Tarihi Sayısı 1 Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler 2.04.2018 2018/32 15.05.2018 2 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler 2.04.2018 2018/32 15.05.2018 3 2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler 2.04.2018 2018/32 15.05.2018 4 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar 2.04.2018 2018/32 15.05.2018 5 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler 2.04.2018 2018/32 15.05.2018 6 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri 28.06.2018 2018/68 18.08.2018 -- 143 of 220 -- 142 142 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ 7 Arabulucular 5.07.2018 2018/75 18.08.2018 8 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” 9.06.2021 2021/571 24.06.2021 9 Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar 6.07.2023 2023/1154 25.07.2023 10 Köy kamu tüzel kişilikleri 14.12.2023 2023/2135 12.01.2024 Not: Veri Sorumluları Sicili’ne kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kanun’dan da istisna olmak anlamına gelmemektedir. Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır. Kurulca 6698 sayılı Kanun’un 16. maddesine göre Veri Sorumluları Sicili’ne kayıt yükümlülüğüne istisna getirilen veri sorumluları Veri Sorumluları Kurul Kararı Resmî Gazete’de Yayım Tarihi Tarihi Sayısı -- 144 of 220 -- 143 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 143 3. Veri Sorumluları Siciline Kayıt Bildirimi 6698 sayılı Kanun’un geçici 1. maddesinde, bu Kanun’un yürür- lüğe girmesinin akabinde veri sorumlularınca yerine getirile- cek hususlar belirlenmiştir. Anılan maddenin 2. fıkrasında; “Veri sorumluları, Kurul tara- fından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Bu kapsamda Kurulca kayıt yükümlülüğü için başlangıç ve bitiş tarihleri belirlenerek ilan edilmiştir. 6698 Sayılı Kanun’un geçici 1. maddesine göre Kurulca belirlenen Veri Sorumluları Sicili’ne kayıt yükümlülüğü tarihleri Veri Sorumluları Kayıt yükümlülüğü başlangıç tarihi Kayıt için son tarih 1 Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları 1.10.2018 31.12.2021 2 Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları 1.10.2018 31.12.2021 3 Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 1.01.2019 31.12.2021 4 Kamu kurum ve kuruluşu veri sorumluları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları 1.04.2019 31.12.2021 -- 145 of 220 -- 144 144 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ Veri Sorumluları Sicili’ne kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Söz konusu bilgiler şunlardır: • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. • Kişisel verilerin hangi amaçla işleneceği. • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri ka- tegorileri hakkındaki açıklamalar. • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. • Yabancı ülkelere aktarımı öngörülen kişisel veriler. • Kişisel veri güvenliğine ilişkin alınan tedbirler. • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin meydana geldiği tarihten itibaren en geç 7 gün içerisinde VERBİS üzerinden derhal Ku- rumumuza bildirilmesi gerekmektedir. Böylelikle, Sicil’in gün- celliğinin sağlanması hedeflenmiştir. Not: Veri Sorumluları Sicili Hakkında Yönetmelik’in 13. mad- desine göre veri sorumluları, Sicil’de kayıtlı bilgilerde değişik- lik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kurumumuza bildirmelidir. -- 146 of 220 -- 145 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 145 J. CEZA HÜKÜMLERİ (SUÇLAR VE KABAHATLER) 6698 sayılı Kanun’un 17. maddesinde kişisel verilere ilişkin suç- lar bakımından TCK’nın ilgili maddelerine atıfta bulunulurken 18. maddesinde ise kabahat niteliğini haiz fiiller düzenleme altına alınmıştır. Buna göre; kişisel verilerin işlenmesine ilişkin hukuka aykırılıkları suçlar ve kabahatler olarak iki başlık altın- da incelemek mümkündür: 1. Suçlar 6698 sayılı Kanun’un 17. maddesinde; “(1) Kişisel verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Ka- nununun 135 ila 140’ıncı madde hükümleri uygulanır. (2) Bu Ka- nunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri sil- meyen veya anonim hale getirmeyenler Türk Ceza Kanununun 138’inci maddesine göre cezalandırılır.” hükmü bulunmaktadır. Kişisel verilere ilişkin suçlar, TCK’nın “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar” bölümü içerisinde ele alınmıştır. TCK’nın 135. maddesinin 1. fıkrasında; “Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.” hükmü bulunmakta olup 6698 sayılı Kanun’da ve TCK’nın ilgili maddesinin gerekçesinde; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımla- nan kişisel verilerin hukuka aykırı şekilde kaydedilmesi, suçun oluşması için yeterlidir. Burada suçun oluşumunun ön şartının hukuka aykırılık olarak belirlendiğine dikkat çekmek gerekir. -- 147 of 220 -- 146 146 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ TCK’nın 135. maddesinin 2. fıkrasında ise; “Kişisel verilerin, kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” hükmü yer almaktadır. TCK’nın 136. maddesinde; “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü bulunmakta olup TCK’nın 135. maddesindeki düzenlemeye benzer şekilde kişisel verilerin üçüncü bir kişiye verilmesi, yayılması ya da ele geçirilmesi suçlarının hukuka aykırılık ön şartına bağlandığı görülmektedir. TCK’nın nitelikli hallerin düzenlendiği 137. maddesinde ise; “Yu- karıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötü- ye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yarar- lanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.”. TCK’nın 138. maddesine göre; “(1) Kanunların belirlediği sürele- rin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıl- dan iki yıla kadar hapis cezası verilir. (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olma- sı hâlinde verilecek ceza bir kat artırılır.” hükmü yer almaktadır. -- 148 of 220 -- 147 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 147 TCK’nın 139. maddesinde ise şikâyet usulü düzenlenmektedir. Buna göre; kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır. TCK’nın 140. maddesinde, yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacağı belirtilmektedir. 2. Kabahatler 6698 sayılı Kanun’un 18. maddesinde; “(1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yüküm- lülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasın- dan 1.000.000 Türk Lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen karar- ları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, d) (Ek:2/3/2024-7499/35 md.) 9 uncu maddenin beşinci fıkrasın- da öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. -- 149 of 220 -- 148 148 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ (2) (Değişik:2/3/2024-7499/35 md.) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlu- su, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) (Ek:2/3/2024-7499/35 md.) Kurulca verilen idari para cezala- rına karşı, idare mahkemelerinde dava açılabilir. (4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesin- de işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek ku- ruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü yer almaktadır. Söz konusu maddenin 1. fıkrasında yer verilen idari para cezalarına ait alt ve üst sınırlar, 5326 sayılı Kabahatler Kanunu’nun 17. maddesinin 7. fıkrası gereğince her yıl yeniden değerleme oranında artırılmaktadır. Bahse konu maddede aydınlatma, veri güvenliğini sağlama, Kurul kararlarını yerine getirme, Veri Sorumluları Sicili’ne ka- yıt ve bildirim ile 6698 sayılı Kanun’un 9 uncu maddesinden kaynaklanan bildirim yükümlülüklerine aykırı davranılması kabahat olarak düzenlenmiş ve Kurul tarafından belirlenecek idari para cezası şeklinde yaptırıma bağlanmıştır. Aydınlatma, veri güvenliğini sağlama, Kurul kararlarını yerine getirme, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülü- -- 150 of 220 -- 149 KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ | 149 ğünün yerine getirilmemesine yönelik idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hak- kında uygulanacak olup 6698 sayılı Kanun’un 9 uncu maddesin- den kaynaklanan bildirime ilişkin idari para cezaları hem veri sorumluları hem veri işleyenler için uygulanabilmektedir. Anılan maddede kabahat olarak düzenlenen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurul’un yapacağı bildirim üze- rine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır. İlgili kurumlar yaptıkları soruşturmanın sonuçları hakkında Kurul’a bilgilendirme yapmak zorundadır. K. GEÇİŞ HÜKÜMLERİ 6698 sayılı Kanun’un yayımı tarihinden önce işlenmiş olan ki- şisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. 6698 sayılı Kanun hükümle- rine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak 6698 sayılı Kanun’un yayımı tarihinden önce hukuka uy- gun olarak alınmış rızalar, bir yıl içinde aksine bir irade beya- nında bulunulmaması hâlinde, bu Kanun’a uygun kabul edilir 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi ve Bazı Kanunlarda Değişiklik Ya- pılmasına Dair Kanun’un 36 ncı maddesi ile kişisel verilerin -- 151 of 220 -- 150 150 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ yurt dışına aktarılmasına ilişkin olarak ilgili kişilerden açık rıza alınmasına ilişkin uygulamanın 1 Eylül 2024 tarihine kadar devam edeceği hükme bağlanmıştır. Ayrıca ilgili maddede, 1 Haziran 2024 tarihi itibariyle Sulh Ceza Hakimliklerinde görül- mekte olan başvuruların, bu Hakimliklerce görülmeye devam edileceği düzenleme altına alınmıştır. Uyuma ilişkin bir başka konu da; mevcut sektörel mevzuat kap- samında işlenen kişisel verilerin, 6698 sayılı Kanun’un yürür- lüğünden sonraki durumudur. Bilhassa elektronik haberleşme ve finans sektörü gibi yürürlükte bulunan ve kişisel verilerin işlenmesine ilişkin konuları düzenleyen mevzuat olmasına karşılık, 6698 sayılı Kanun kişisel verilerin korunması ve işlen- mesi hususunda çerçeve bir düzenleme niteliği taşıdığından, sektörel düzenlemelerin bu Kanun ile uyumlu hale getirilmesi gerekmektedir. -- 152 of 220 -- 151 -- 153 of 220 -- 152 152 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ EKLER

men otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır.

desinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrası- nın (e) bendine dayanılarak hazırlanmıştır. -- 154 of 220 -- 153

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin akta- rıldığı gerçek veya tüzel kişi kategorisini, b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korun- ması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultu- sunda kişisel verileri işleyen kişileri, c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Ko- runması Kanununu, d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulun- duğu her türlü ortamı, e) (Değişik:RG-28/4/2019-30758) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştir- mekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluş- turdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere ak- tarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri, -- 155 of 220 -- 154 154 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, g) Kurul: Kişisel Verileri Koruma Kurulunu, ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini, ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapı- landırılarak işlendiği kayıt sistemini, i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vası- talarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. (2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir. -- 156 of 220 -- 155

rumluları Siciline kayıt olmakla yükümlü olan veri sorum- luları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. (2) Kişisel veri saklama ve imha politikası hazırlanmış olma- sı; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. (3) Kişisel veri saklama ve imha politikası hazırlama yüküm- lülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

olarak; a) Kişisel veri saklama ve imha politikasının hazırlanma amacına, b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına, -- 157 of 220 -- 156 156 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hu- kuki, teknik ya da diğer sebeplere ilişkin açıklamaya, d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, f) Kişisel verileri saklama ve imha süreçlerinde yer alanla- rın unvanlarına, birimlerine ve görev tanımlarına, g) Saklama ve imha sürelerini gösteren tabloya, ğ) Periyodik imha sürelerine, h) Mevcut kişisel veri saklama ve imha politikasında gün- celleme yapılmış ise söz konusu değişikliğe, ilişkin bilgileri kapsar. -- 158 of 220 -- 157

alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararla- rına ve kişisel veri saklama ve imha politikasına uygun ha- reket edilmesi zorunludur. (3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç ol- mak üzere en az üç yıl süreyle saklanır. (4) (Değişik: RG-28/4/2019-30758) Veri sorumlusu, kişisel ve- rilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prose- dürlerinde açıklamakla yükümlüdür. (5) Veri sorumlusu, Kurul tarafından aksine bir karar alın- madıkça, kişisel verileri resen silme, yok etme veya anonim -- 159 of 220 -- 158 158 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ hale getirme yöntemlerinden uygun olanını seçer. İlgili ki- şinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanı- lamaz hale getirilmesi işlemidir. (2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

hiç kimse tarafından hiçbir şekilde erişilemez, geri getirile- mez ve tekrar kullanılamaz hale getirilmesi işlemidir. (2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili ge- rekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

şisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilen- dirilemeyecek hale getirilmesidir. (2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi -- 160 of 220 -- 159

lamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veri- leri siler, yok eder veya anonim hale getirir. (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politika- sında belirlenir. Bu süre her halde altı ayı geçemez. (3) Kişisel veri saklama ve imha politikası hazırlama yüküm- lülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. (4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belir- lenen süreleri kısaltabilir. -- 161 of 220 -- 160 160 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

28/4/2019-30758) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; a) Kişisel verileri işleme şartlarının tamamı ortadan kalk- mışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalk- mış ve talebe konu olan kişisel veriler üçüncü kişilere akta- rılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalk- mamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün için- de yazılı olarak ya da elektronik ortamda bildirilir. -- 162 of 220 -- 161

ğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gider- meye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli dü- zenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

girer.

-- 163 of 220 -- 162 162 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ -- 164 of 220 -- 163

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Ku- rulun gözetiminde, Başkanlık tarafından kamuya açık ola- rak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen ka- yıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.

larını ve vasıtalarını belirleyen, veri kayıt sisteminin kurul- masından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsar. -- 165 of 220 -- 164 164 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fık- rasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır.

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını, ç) (Değişik:RG-28/4/2019-30758) İrtibat kişisi: Türkiye’de yer- leşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafın- dan, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi, d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu, e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlula- rının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi, f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilme- si gereken kayıt ile ilgili yükümlülüğü, g) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına -- 166 of 220 -- 165

susunda aşağıdaki ilke, usul ve esaslara uyulur: a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. b) Türkiye’de yerleşik olmayan veri sorumluları, veri işleme- ye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır. c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisna- larını belirleme yetkisini haizdir. ç) (Değişik:RG-28/4/2019-30758) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır. d) Kanunun 10 uncu maddesinde veri sorumluları için belir- tilen aydınlatma yükümlülüğünde, Kanunun 13 üncü mad- desinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamı- nın belirlenmesinde kişisel veri işleme envanterine daya- lı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır. -- 169 of 220 -- 168 168 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bil- gilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz. f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirti- len objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz. g) Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir. ğ) (Değişik:RG-28/4/2019-30758) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlen- dikleri amaç için gerekli olan azami muhafaza edilme süresi; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülükleri- nin yerine getirilmesinde esas alınır.

kanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutul- ması ve muhafaza edilmesi amacıyla; VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır. (2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri Yönetimi Dairesi Başkanlığıdır. -- 170 of 220 -- 169

rul kararları uyarınca belirlenecek uygun yöntemlerle ka- muya açıklar. (2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya açıklanır: a) (Değişik: RG-28/4/2019-30758) Veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi, b) Kişisel verilerin hangi amaçlarla işlenebileceği, c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri, ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları, d) Yabancı ülkelere aktarımı öngörülen kişisel veriler, e) Sicile kayıt tarihi ile kaydın sona erdiği tarih, f) Kişisel veri güvenliğine ilişkin alınan tedbirler, g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. -- 171 of 220 -- 170 170 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

madan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. (2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yü- kümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar. (3) Kayıt yükümlülüğü altında bulunan veri sorumluları, her- hangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

gileri içerir: -- 172 of 220 -- 171

bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. (2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belir- tildiği üzere kendilerine ek süre verilmiş olan veri sorum- luları, bu süre tamamlanmadan kayıt başvurusunu tamam- lamak zorundadır. -- 175 of 220 -- 174 174 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

ğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorum- lusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi ta- rafından alınacak kararın tasdikli örneği, kayıt başvurusu sı- rasında veri sorumlusu temsilcisi tarafından Kuruma sunulur. (3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağı- da belirtilen hususları kapsayacak şekilde düzenlenir: a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme, b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek ce- vabı Kuruma iletme, c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci -- 176 of 220 -- 175

tarafından veri sorumlusuyla kurulacak her türlü iletişim; a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kim- lik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel kişi, b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kim- lik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek kişi, -- 177 of 220 -- 176 176 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi, vasıtasıyla gerçekleştirilir.

(1) Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerin- den Kuruma bildirir.

ilişkin olarak VERBİS üzerinden Kuruma başvurur. (2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da or- tadan kalkarsa, sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur. (3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı ol- duğu dönemdeki yükümlülüklerini ortadan kaldırmaz. -- 178 of 220 -- 177

yetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel ve- rilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu ku- rumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

durarak kayıt yükümlülüğüne istisna getirebilir: a) Kişisel verinin niteliği. b) Kişisel verinin sayısı. -- 179 of 220 -- 178 178 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ c) Kişisel verinin işlenme amacı. ç) Kişisel verinin işlendiği faaliyet alanı. d) Kişisel verinin üçüncü kişilere aktarılma durumu. e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklan- ması. f) Kişisel verilerin muhafaza edilmesi süresi. g) Veri konusu kişi grubu veya veri kategorileri. ğ) (Ek: RG-28/4/2019-30758) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi. (2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirle- nen istisnaların kapsamı ile uygulama usul ve esaslarını be- lirlemek amacıyla karar alma yetkisini haizdir. Kurul bu ka- rarlarını uygun yöntemlerle yayımlayarak kamuya duyurur. -- 180 of 220 -- 179

kümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır. (2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne ay- kırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünye- sinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümle- rine göre işlem yapılır ve sonucu Kurula bildirilir.

ğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gider- meye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli dü- zenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir. -- 181 of 220 -- 180 180 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

girer.

6698 sayılı Kişisel Verilerin Korunması Kanununun kişisel verilerin yurt dışına aktarılmasını düzenleyen 9 uncu mad- desinin uygulanmasına ilişkin usul ve esasları belirlemektir.

9 uncu maddesi uyarınca gerçekleştirilecek yurt dışına kişi- sel veri aktarımına taraf veri sorumluları ve veri işleyenler hakkında uygulanır.

maddesinin on birinci fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır. -- 184 of 220 -- 183

a) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu, ç) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, d) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sistemi- nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, akta- rılması, devralınması, elde edilebilir hâle getirilmesi, sınıf- landırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, e) Kişisel verilerin yurt dışına aktarılması: Kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesini, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, -- 185 of 220 -- 184 184 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ ğ) Veri aktaran: Kişisel verileri yurt dışına aktaran veri so- rumlusu veya veri işleyeni, h) Veri alıcısı: Veri aktarandan kişisel verileri alan yurt dı- şındaki veri sorumlusu veya veri işleyeni, ı) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve va- sıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. (2) Bu Yönetmelikte yer almayan tanımlar bakımından Kanun ve ilgili mevzuatında yer alan tanımlar esastır. -- 186 of 220 -- 185

tarafından ancak Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Kişisel verilerin veri işleyen tarafından aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur. (2) Birinci fıkra hükmü, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanır. (3) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer ka- nunlarda yer alan hükümler saklıdır.

delerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına akta- rılabilir: a) Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması. b) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili -- 187 of 220 -- 186 186 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması. (2) Yeterlilik kararının bulunmaması ve 10 uncu maddede be- lirtilen uygun güvencelerden birinin taraflarca sağlanama- ması durumunda kişisel veriler, arızi olmak kaydıyla sadece 16 ncı maddede belirtilen istisnai hâllerden birinin varlığı hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. (3) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dı- şına aktarılabilir.

dışına aktarılması hâlinde veri işleyen; veri sorumlusu ta- rafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafaza- sını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. -- 188 of 220 -- 187

ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir. Yeterlilik kararı verilir- ken öncelikle aşağıdaki hususlar dikkate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektör- ler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uy- gulaması ile kişisel verilerin aktarılacağı uluslararası kuru- luşun tâbi olduğu kurallar. c) Kişisel verilerin aktarılacağı ülkede veya uluslararası ku- ruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kuru- munun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuru- luşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleş- melere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. (2) Kurul, birinci fıkrada belirtilenler dışında ek hususlar be- lirlemeye yetkilidir. -- 190 of 220 -- 189

ğerlendirilir. İlgili yeterlilik kararında, yeniden değerlendirme dönemleri açıkça belirlenir. Kurul, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koru- ma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. (2) Kurul, birinci fıkrada belirtilen yeniden değerlendirme dö- nemi ile bağlı olmaksızın gerekli gördüğü takdirde, yeterlilik kararını gözden geçirerek ileriye etkili olmak üzere değişti- rebilir, askıya alabilir veya kaldırabilir. (3) Kurul, birinci veya ikinci fıkra uyarınca yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına neden olan durumun düzeltilmesi amacıyla ilgili ülke veya uluslararası kuruluşun yetkili makamlarıyla görüşebilir. (4) Yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına ilişkin olarak verilen kararlar Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır. -- 191 of 220 -- 190 190 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

ması durumunda, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım ta- raflarınca sağlanması hâlinde yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslara- rası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasın- da yapılan uluslararası sözleşme niteliğinde olmayan an- laşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bün- yesindeki şirketlerin uymakla yükümlü oldukları, kişisel ve- rilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarı- mının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. -- 192 of 220 -- 191

anlaşmada yer verilecek kişisel verilerin korunmasına yö- nelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve ku- ruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya ulusla- rarası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir. Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir. (2) Anlaşmanın müzakere sürecinde Kurulun görüşüne başvu- rulur. (3) Anlaşmada yer verilecek kişisel verilerin korunmasına yö- nelik hükümler özellikle aşağıdaki hususları içerir: a) Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi. b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar. c) Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt. ç) İlgili kişilerin anlaşma ve anlaşma kapsamında yapılacak -- 193 of 220 -- 192 192 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar. d) Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvu- ruya ilişkin usul ve esaslar. e) Uygun veri güvenliği düzeyini temin etmeye yönelik ge- rekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt. f) Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt. g) Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar. ğ) Anlaşmada yer verilecek kişisel verilerin korunmasına yö- nelik hükümlerin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri. h) Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin uygulanmasına ilişkin denetim meka- nizması. ı) Veri alıcısının, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlere uygunluk sağlayamaması hâlinde veri aktaranın veri aktarımını askıya alma ve anlaş- mayı feshetme hakkına sahip olacağına yönelik düzenleme. i) Veri alıcısının anlaşmanın feshedilmesi veya yürürlük sü- resinin sona ermesi hâlinde, veri aktaranın tercihine bağlı -- 194 of 220 -- 193

grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kural- ları vasıtasıyla uygun güvence sağlanabilir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarıla- bilmesi için Kurula onay başvurusunda bulunulur. (2) Yapılacak başvuru kapsamında bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için ge- rekli diğer bilgi ve belgeler Kurula sunulur. Bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenir. Bağlayıcı şirket kuralları metninin yabancı dilde de düzen- lenmesi hâlinde Türkçe metin esas alınır. -- 195 of 220 -- 194 194 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ (3) Kurul tarafından bağlayıcı şirket kuralları onaylanırken özel- likle aşağıdaki hususlar dikkate alınır: a) Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması. b) Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanı- labileceğine dair taahhütte bulunulması. c) Bağlayıcı şirket kurallarının asgari olarak 13 üncü madde- de belirtilen hususları içermesi. (4) Kişisel veri aktarımına, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlanır.

daki hususları içerir: a) Ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri. b) Kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülke veya ülkeler başta olmak üzere bağlayıcı şirket kuralları kapsa- mında gerçekleştirilecek aktarımlara ilişkin hususlar. c) Ortak ekonomik faaliyette bulunan teşebbüs grubunun hem iç ilişkisinde hem de diğer hukuki ilişkilerinde bağla- -- 196 of 220 -- 195

alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme va- sıtasıyla uygun güvence sağlanabilir. (2) Standart sözleşme, Kurul tarafından belirlenerek ilan edilir. (3) Standart sözleşme metninin, üzerinde herhangi bir değişik- lik yapılmaksızın kullanılması zorunludur. Standart sözleş- menin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır. (4) Standart sözleşme, kişisel veri aktarımının tarafları arasın- da akdedilir. Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur. (5) Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta -- 199 of 220 -- 198 198 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ (KEP) adresi ya da Kurul tarafından belirlenen diğer yön- temlerle Kuruma bildirilir. Aktarım tarafları standart söz- leşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kuruma bildirilir. (6) Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenir. (7) Kurulca ilan edilen standart sözleşme metninde değişiklik yapılması veya standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması hâlinde Kanunun 15 inci maddesi uyarınca Kurul tarafından incele- me yapılır. (8) Standart sözleşme taraflarında veya standart sözleşme içe- riğinde taraflarca yer verilen bilgi ve açıklamalarda bir deği- şiklik olması veya standart sözleşmenin sona ermesi hâlinde beşinci fıkrada belirtilen usule uygun olarak Kuruma bildirim yapılır.

bir taahhütnamede yer verilecek kişisel verilerin korunması- na yönelik hükümler vasıtasıyla uygun güvence sağlanabilir. (2) Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içerir: -- 200 of 220 -- 199

ması ve 10 uncu maddede öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece ikinci fıkrada belirtilen istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, sürek- lilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir. (2) İstisnai aktarım hâlleri şunlardır: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir söz- leşmenin ifası veya ilgili kişinin talebi üzerine alınan söz- leşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. -- 203 of 220 -- 202 202 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak du- rumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılması- nın zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şart- ların sağlanması ve meşru menfaati olan kişinin talep etme- si kaydıyla aktarım yapılması. (3) İkinci fıkranın (f) bendi uyarınca yapılacak aktarımlarda aşağıdaki usul ve esaslara uyulur: a) Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleşti- rilemez. b) Meşru menfaati bulunan kişilerin erişimine açık siciller- den yapılacak aktarımlar yalnızca bu kişilere veya bu kişi- lerin talebi üzerine gerçekleştirilebilir. (4) İkinci fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuru- luşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz. -- 204 of 220 -- 203

cak tereddütleri gidermeye ve bu Yönetmelikte yer almayan konularda, ilgili mevzuat hükümleri çerçevesinde karar ver- meye Kurul yetkilidir.

girer.

Koruma Kurumu Başkanı yürütür.

sayılı Kişisel Verilerin Korunması Kanununun 10 uncu mad- desi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsa- mında uyulacak usul ve esasları belirlemektir.

ması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, -- 207 of 220 -- 206 206 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu, ç) Kurul: Kişisel Verileri Koruma Kurulunu, d) Kurum: Kişisel Verileri Koruma Kurumunu, e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sici- lini, f) (Değişik: RG-28/4/2019-30758) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği ka- yıt sistemini, g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve va- sıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ğ) (Değişik: RG-28/4/2019-30758) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanan Veri So- rumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti va- tandaşı gerçek kişiyi, ifade eder. (2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır. -- 208 of 220 -- 207

lerin elde edilmesi sırasında veri sorumluları veya yetkilen- dirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmekte- dir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir: a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

fından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yüküm- lülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. b) Kişisel veri işleme amacı değiştiğinde, veri işleme faali- yetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. -- 209 of 220 -- 208 208 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ c) (Mülga: RG-28/4/2019-30758) ç) Sicile kayıt yükümlülüğünün bulunması durumunda, ay- dınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili ki- şinin talebine bağlı değildir. e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı ola- rak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapı- lacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) ben- dinde yer alan “hukuki sebep” ten kasıt, aydınlatma yü- kümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı -- 210 of 220 -- 209

halinde; a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi ge- rekir. -- 211 of 220 -- 210 210 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ

Yürütme

Kurumu Başkanı yürütür. -- 212 of 220 -- 211

min ayrıca bir maliyet gerektirmesi hâlinde alınacak ücret ile ilgili usul ve esasları belirlemek üzere hazırlanmıştır.

sel Verilerin Korunması Kanununun 13 üncü maddesi ve 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine daya- nılarak hazırlanmıştır.

a) Başvuru: Kanunun 13 üncü maddesi kapsamında yapılan başvuruyu, b) Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güven- -- 213 of 220 -- 212 212 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ li elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağ- layan elektronik imzayı, c) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, ç) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu, d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulun- duğu her türlü ortamı, e) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın ni- telikli şeklini, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Mobil imza: Mobil bir cihaz kullanılarak oluşturulan elekt- ronik imzayı ifade eder. (2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır. -- 214 of 220 -- 213

lusuna başvuru hakkına sahiptir. (2) İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.

len hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvu- ru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir. (2) Başvuruda; a) Ad, soyad ve başvuru yazılı ise imza, b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numa- rası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, c) Tebligata esas yerleşim yeri veya iş yeri adresi, ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, d) Talep konusu, bulunması zorunludur. -- 215 of 220 -- 214 214 | KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ (3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir. (4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine ev- rakın tebliğ edildiği tarih, başvuru tarihidir. (5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.

tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her tür- lü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açık- layarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elekt- ronik ortamda bildirir. (4) Cevap yazısının; a) Veri sorumlusu veya temsilcisine ait bilgileri, b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriye- ti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numara- sını, tebligata esas yerleşim yeri veya iş yeri adresini, var- sa bildirime esas elektronik posta adresini, telefon ve faks numarasını, c) Talep konusunu, ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını, içermesi zorunludur. -- 216 of 220 -- 215

verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. (2) Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebi- lecek ücret kayıt ortamının maliyetini geçemez.

Yürütme

Kurumu Başkanı yürütür. -- 217 of 220 -- -- 218 of 220 -- -- 219 of 220 -- Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu -- 220 of 220 --