background

Sıkça Sorulan Sorular

Kişisel Verileri Koruma Kanunu (KVKK)

backgrounds
Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?

Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Kanununun Kapsamı Nedir?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

Kişisel Veri Nedir?

Kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre:


a) Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı, adresi, vergi kimlik numarası, MERSİS numarası ve cirosu gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.


b) Gerçek kişiyi belirli veya belirlenebilir kılması: Kişisel veri, T.C. kimlik numarasında olduğu üzere ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte araç plaka numarasında olduğu üzere herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.


c) Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin sadece kimliğini ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler de kişisel veri olarak kabul edilmektedir. Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esası benimsenmediğinden, kişisel verilerin kapsamının genişletilmesi mümkündür. Önemli olan, verinin herhangi bir gerçek kişi ile ilişkilendirilebiliyor olması ya da o gerçek kişiyi tanımlayabilmesidir.

Özel Nitelikli Kişisel Veri (Hassas Veri) Nedir?

Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir. Bu veriler Kanunda sınırlı sayıda belirlenmiş olduğundan bunların genişletilmesi mümkün değildir.

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat veri sorumlusu olup, ilgili düzenlemelerde belirtilen hukuki sorumluluğu üstlenecektir. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.


Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.


Herhangi bir hukuki düzenlemenin, kişisel veri işleme amaçlarını ve vasıtalarını belirlemesi durumunda, bu hukuki düzenleme kapsamında belirlenen görevleri yerine getirecek gerçek veya tüzel kişiler veri sorumlusu olarak kabul edilmelidir.

Kişisel Verilerin İşlenmesindeki Temel İlkeler Nelerdir?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:


1) Hukuka ve dürüstlük kurallarına uygun olma

2) Doğru ve gerektiğinde güncel olma

3) Belirli, açık ve meşru amaçlar için işlenme,

4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

5) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.


Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Kişisel Verilerin İşlenmesinde Amaçların Detaylandırılması Ne Anlama Gelir?

Kişisel verilerin işlenmesinde amaçların detaylandırılması, kişisel verilerin işleneceği amaçların bildirilmesi bakımından ne seviyede bir detay beklendiğinin her bir olay özelinde ayrı ayrı ele alınmasıdır.


Dar bir çevreye yönelik mal ve hizmet sunan küçük ölçekli bir işletme ile bir perakende zinciri tarafından sunulan veri işleme amaçlarının aynı detayda olması beklenemez. Bir market zinciri bakımından çok farklı araçlar vasıtasıyla ve amaçlarla (sadakat programı ya da çapraz satış vb. gibi) veri işleneceği için tüm bu amaçların detaylandırılması gerekmektedir.


Aynı anda birbirinden çok farklı hizmetler sunan bir web sitesinin (e-ticaret, sosyal platform vb. gibi) amaçlarını bildirirken genel ifadelerden kaçınması ve hedef kitlenin niteliklerine uygun düşen bir dil ve terminolojiyle makul bir detay seviyesinde bilgi sunması gerekir.


Özel nitelikli kişisel verilerin işlendiği alanlarda, veri işleme amaçlarının diğer alanlara nazaran daha detaylı olarak sunulması gerekmektedir. Örneğin, özel nitelikli bir kişisel verinin işlenme amacının insan kaynakları faaliyetlerini yerine getirmek gibi genel bir kişisel veri işleme amacına işaret etmesi, bu noktada yeterli detayın verilmesini sağlamamaktadır.


Ancak, özlük dosyasının oluşturulması amacıyla özel nitelikli kişisel verinin işlenmesi daha detaylı ve belirliliği sağlayacak şekilde kişisel veri işleme amacını ortaya koymaktadır.

Kişisel Verilerin İşlenme Şartları Nelerdir?

Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır.


Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır:


  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.


Veri işleme, Kanunda bulunan ilgili kişinin açık rızası dışındaki veri işleme şartlarından en az birine dayanıyorsa, bu durumda veri sorumlusu tarafından ilgili kişiden açık rıza alınması yoluna gidilmemelidir.

Özel Nitelikli Kişisel Veriler Kanunda Sınırlı Sayıda mıdır?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir.


Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.

Özel Nitelikli Kişisel Veriler Hangi Durumlarda İşlenebilir?

Özel nitelikli kişisel veriler ilgili kişinin açık rızasına dayalı olarak işlenebilir. Ancak Kanun, bazı istisnai durumlarda açık rıza aranmaksızın özel nitelikli kişisel verilerin işlenmesine izin vermiştir. Buna göre; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda açıkça öngörülmüş olması halinde; sağlık ve cinsel hayata ilişkin kişisel veriler de ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması gerekmektedir.

İlgili Kişinin Hakları Arasında Sayılan “Kişisel Verileri İşlenmişse Bunlara İlişkin Bilgi Talep Etme Kavramı” Ne Şekilde Uygulanacaktır?

İlgili kişinin Kanunda tanımlı haklarını kullanırken dürüstlük kuralına uygun davranmak şartıyla veri sorumlusuna yapacağı başvurularla alakalı olarak ilgili kişiye verilecek cevaplar, Veri Sorumluları Siciline açıklanacak bilgiler çerçevesinde ve kategorik şekilde olmalıdır. Veri Sorumluları Siciline açıklanan bilgilerle ilgili kişiye verilecek bilgiler arasında uyum olmalıdır.


Bu kapsamda verilecek bilgiler, temel olarak kişilerin hangi verilerinin işlendiğine dair bilgilerdir.

İlgili Kişilerin Haklarına İlişkin Talepleri Veri Sorumlusu Tarafından Ne Kadar Sürede Cevaplanmalıdır?

İlgili kişinin Kanunda tanımlı haklarını kullanırken dürüstlük kuralına uygun davranmak şartıyla veri sorumlusuna yapacağı başvurularla alakalı olarak ilgili kişiye verilecek cevaplar, Veri Sorumluları Siciline açıklanacak bilgiler çerçevesinde ve kategorik şekilde olmalıdır. Veri Sorumluları Siciline açıklanan bilgilerle ilgili kişiye verilecek bilgiler arasında uyum olmalıdır.

Bu kapsamda verilecek bilgiler, temel olarak kişilerin hangi verilerinin işlendiğine dair bilgilerdir.

İlgili Kişilerin Haklarına İlişkin Talepleri Konusunda Kişisel Verileri Koruma Kuruluna Şikâyet Hakkı Var mıdır?

İlgili kişi, Kanunun 14. maddesi gereğince haklarına ilişkin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; veri sorumlusu tarafından verilen cevabı öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kuruluna şikâyette bulunabilir.

İlgili Kişinin Şikâyetinin Kabul Edilmesinin Sonuçları Nelerdir?

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kişisel Verileri Koruma Kurulu, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, bu kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir.


Kişisel Verileri Koruma Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.


Ayrıca, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kişisel Verileri Koruma Kurulu, bu konuda ilke kararı alır.

Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli veya Anonim Hale Getirilmelidir?

Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Başka bir ifade ile Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Veri sorumlularının yükümlülükleri Kanunda belirtilmiştir. Buna göre;

1) Kişisel veri işleme faaliyetinde bulunan herkes, Kanun gereği hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkelerine uygun hareket etmelidir.


2) Veri sorumluları tarafından kişisel veriler, Kanunda yer alan düzenlemelere uygun olarak, özel nitelikli kişisel veriler ise Kişisel Verileri Koruma Kurulu tarafından belirlenecek yeterli önlemler alınmak şartıyla Kanunda yer alan düzenlemelere uygun olarak işlenmelidir.


3) Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir.


4) Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. maddelerinde yer alan düzenlemelere uygun olarak hareket edilmelidir.


5) Kanunun 10. maddesine uygun olarak ilgili kişiler aydınlatılmalıdır.


6) Kanunun 12. maddesine uygun olarak veri güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirler alınmalıdır.


7) İlgili kişilerin veri sorumlularına yönelttiği başvurular Kanunun 13. maddesine uygun olarak cevaplandırılmalıdır.


8) Kanunun 16. maddesi gereğince Veri Sorumluları Siciline kayıt olunmalıdır

Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir?

Veri sorumlusunun aydınlatma yükümlülüğü Kanunun 10. maddesinde düzenlenmiştir.


Buna göre, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;


1) Veri sorumlusunun ve varsa temsilcisinin kimliği,


2) Kişisel verilerin hangi amaçla işleneceği,


3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,


4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,


5) Kanunun 11. maddesinde sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.


Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir.


Öte yandan kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.

Veri Sorumlularının Veri Güvenliğini Sağlamaya Yönelik Yükümlülükleri Nelerdir?

Veri güvenliğinin sağlanması konusunda veri sorumlusuna düşen yükümlülükler Kanunun 12. maddesinde sayılmıştır. Buna göre veri sorumlusu;


a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,


b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,


c) Kişisel verilerin muhafazasını sağlamak,


amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.


Ayrıca; veri sorumluları, kendi kurum veya kuruluşlarında, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.


İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumluları bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerektiği hallerde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri Sorumluları Sicili Nedir?

Veri Sorumluları Sicili, veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.


Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak Kanunun 16 ncı maddesiyle Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirme yetkisi Kurula verilmiş olup buna istinaden Kurulca hazırlanarak 30.12.2017 tarihli Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. Maddesinde istisna getirmeye yönelik objektif kriterler aşağıdaki şekilde belirlenmiştir.


a) Kişisel verinin niteliği.


b) Kişisel verinin sayısı.


c) Kişisel verinin işlenme amacı.


ç) Kişisel verinin işlendiği faaliyet alanı.


d) Kişisel verinin üçüncü kişilere aktarılma durumu.


e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.


f) Kişisel verilerin muhafaza edilmesi süresi.


g) Veri konusu kişi grubu veya veri kategorileri.


Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

Veri Sorumluları Siciline Kayıt Başvurusu Nasıl Yapılır?

Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:


a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,


b) Kişisel verilerin hangi amaçla işleneceği,


c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,


ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,


d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,


e) Kişisel veri güvenliğine ilişkin alınan tedbirler,


f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli veya Anonim Hale Getirilmelidir?

Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Başka bir ifade ile Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kanunun Yürürlüğe Girmesi Akabinde Veri Sorumlularınca Neler Yapılmalıdır?

Veri sorumluları için 6698 sayılı Kanunda ve Veri Sorumluları Sicili Hakkında Yönetmelikte bazı yükümlülükler getirilmiştir.


6698 sayılı Kanun kapsamında veri sorumluları hakkında getirilmiş olan yükümlülükler;

  • Kanunun Geçici 1. maddesinin 2 nci fıkrasına göre veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır.
  • Kanunun 16 ncı maddesi 2 nci fıkrasında, Kurul tarafından Veri Sorumluları Siciline (Sicil) kayıt zorunluluğuna istisna getirilebileceği hükmü yer almaktadır. Bu kapsamda Kurulca kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilmesi gerekmektedir. Kararın ilan edilmesiyle birlikte kayıt yükümlüsü veri sorumluları da belirlenmiş olacaktır.
  • Kanunun 16 ncı maddesi 1 inci fıkrasında, Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda Veri Sorumluları Sicili Bilgi Sisteminin (VERBİS) hazırlanarak hizmete açılması akabinde veri sorumluları için kayıt yükümlülüğü başlayacaktır. Kanunun Geçici 1 inci maddesinin 3 üncü fıkrasına istinaden, daha önce işlenmiş olan kişisel veriler Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanunun 4. maddesindeki ilkelere aykırı olarak veya 5 ve 6. maddelerinde sayılan işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli, getirilemiyorsa derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
  • Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Kişisel Verileri Koruma Kurumuna bildirilmelidir. Yönetmelikle veri sorumluları hakkında getirilmiş olan yükümlülükler;
  • Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir.
  • Kamu kurumunun istisna kapsamında olmaması halinde ve Kurulca kayıt yükümlülüğü başlangıç tarihinin belirlenerek VERBİS’in hizmete açılması akabinde Kanunun Geçici 1. maddesine istinaden kamu kurum ve kuruluşlarınca Başkanlığımıza bildirilen üst düzey yönetici tarafından Yönetmeliğin 11 inci maddesi gereği irtibat kişisi olarak VERBİS’e kayıt yapılması gerekmektedir.