+90 532 235 6223
info@leylekveri.com

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Veri sorumlusunun 6 temel yükümlülüğü vardır. Bunlar Aydınlatma Yükümlülüğü, Açık Rıza , Veri Güvenliğine İlişkin Yükümlülükler, İlgili Kişilerin Başvurularına Cevap Yükümlülüğü, Verbis”e Kayıt Yükümlülüğü, Bildirim Yükümlülüğüdür.

veri sorumlusunun yükümlülükleri 01 01

1) Veri Sorumlusunun Aydınlatma Yükümlülüğü

Veri sorumlusu, kişisel verilerinin belirlenecek kişilerce, sadece belirlenecek amaç ile işleneceğini, sadece belirtilen kişilere aktarılacağının bilgilendirmesini ilgili kişi talep etmese dahi kendisine yapmak zorundadır. Bununla beraber kişisel verileri toplama yöntemini de aydınlatma metninde ilgili kişiye aktarmak zorundadır. İlgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

10 Mart 2018 Günü resmi gazetede yayınlanan AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ İLE aydınlatma yükümlülüğünün nasıl yerine getirileceği düzenlenmiştir. 

https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm

İlgili kanunun 4 maddesi Aydınlatma Yükümlülüğünün yerine getirilmesi sırasında aydınlatmanın kapsamında asgari olarak bulunması gereken konuları düzenlemiştir. Bunlar ; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemidir.

Yukarıda sayılan maddelerden herhangi birisinin eksikliği dahi aydınlatmayı hukuka uygun olmaktan çıkartır. Her ne kadar aydınlatma yükümlülüğü yazılı olarak yerine getirilmek zorunda değilse de yükümlülüğün yerine getirildiğini veri sorumlusu ispatlamak zorunda olduğu için yazılı olarak yapılmasında fayda vardır.

2) Veri Sorumlusunun Açık Rıza Alması

Belirli bir konuya ilişkin, yeterli bilgilendirmeye dayalı olarak özgür irade ile açıklanan irade beyanıdır. Burada en önemli nokta özgür irade ile verilmiş olmasıdır. Açık rıza hiçbir şart ve koşul ileri sürülerek alınamaz. Bir hizmeti alma karşılığı ön koşul olarak alınmış açık rızalar özgür irade ile verilmiş sayılamaz.

3 temel unsuru vardır ki bunlar kanunda da sayılan Belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanmasıdır. Belirli bir konu ile sınırlandırılmayan açık rızalar, kişilsel verilerin korunması kurumu tarafından “battaniye rızalar” olarak kabul edilmektedir. Battaniye rızalar hukuken geçersizdir. Yine aydınlatma yükümlülüğü gibi açık rızanın da yazılı olarak yerine getirilmesine gerek olmamakla birlikte ispat yükünün veri sorumlusunda olması nedeniyle yazılı olması veri sorumlusunun lehine olacaktır.

3) Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe ulaşmak için tıklayınız. https://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm

Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi

Veri sorumlusu; kişisel verilerini hukuka uygun şekilde işlemiş olsa bile , işlenmesini gerektiren sebebin ortadan kalkması halinde bu veriler resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir. Bu “UNUTULMA HAKKI” nın olağan getirisidir. Unutulma hakkı bireyin geçmişteki bilgilerinin üzerinden belli bir zaman geçtikten sonra görünürlüğünün tamamen kaldırılarak unutulmasını talep etme hakkıdır. Unutulma hakkı, Anayasamızın “insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamaya çalışmak” ve “kişinin manevi bütünlüğü bağlamında şeref ve itibarının korunması hakkı” kapsamında önemli bir haktır.

Verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüğüdür. Bunun için ilgili kişinin verilenin silinmesi yönünde talebi beklenmeden “kişel veri saklama ve imha politikası” hazırlamış olan veri sorumlusu bu işlemi gerçekleştirmelidir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK

KİŞİSEL VERİLERİN SİLİNMESİ

MADDE 8 – (1)Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

KİŞİSEL VERİLERİN YOK EDİLMESİ

MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

MADDE 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

(2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe ulaşmak için tıklayınız. https://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm

4) Veri Sorumlusunun İlgili Kişilerin Başvurularına Cevap Yükümlülüğü

Veri sorumluları, kişisel verileri işlenen ilgili kişilerin kendilerine yaptığı yazılı başvuruları en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Ancak İlgili kişinin başvurusuna yazılı olarak cevap verilecekse 10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Ancak ilgili kişi başvurusunda haklı ise alınan ücret iade edilir.

10 Mart 2018 CUMARTESİ günü 30356 sayısı ile resmi gazetede Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğde yer verilmiştir.

İlgili kişinin başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verilerin Koruma Kurumuna şikâyette bulunabilir.

başvuru 01as

5) Veri Sorumlusunun VERBİS’e Kayıt Yükümlülüğü

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları ve yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının Veri Sorumluları Siciline Kayıt Yükümlülüğü bulunmaktadır.

PEKİ YILLIK 50 ÇALIŞAN SAYISI NASIL HESAPLANIR? Tamamlanmış bir yıl bulunmadan yıllık 50 çalışan sayısı olup olmadığı dikkate alınamaz. Yıl tamamlandıktan sonra dikkat edilmesi gereken husus tamamlanmış yıl içindeki 12 aydan en az 7’sinde (ardışık olmasına gerek olmaksızın) aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısı 50 nin üzerinde ise veri sorumluları siciline kayıt olmakla yükümlüdür.

Veri sorumluları siciline kayıt olmakla yükümlü kişi sicile kayıt süresinin geçmesinden sonraki bir tarihte kayıt yükümlüsü olmuş ise kayıt yükümlülüğünü kazandığı tarihten itibaren 30 günlük sürede kayıt olmak zorundadır. Bu sürenin hesabında sadece iş günleri değil, hafta sonları da hesaba dahil edilecektir.

Hangi Tarihler Arasında Veri Sorumluları Siciline Kayıt Olunmalıdır?

4VERBİS TABLO 01

VERBİS’E KAYIT YÜKÜMLÜLÜĞÜNÜN İSTİSNALARI NELERDİR?

Kişisel Verileri Koruma Kurumu kararları ile veri sorumluları için Sicile kayıt yükümlülüğüne bazı istisna getirilmiştir. LİNKLE  TAM METİNLERİ PAYLAŞILMIŞ KURUL KARARLARI UYARINCA VERİ SORUMLULARI SİCİLİNE KAYIT ZORUNLULUĞUNDAN İSTİSNA TUTULANLAR ŞUNLARDIR:

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
  7. Gümrük müşavirleri,
  8. Arabulucular,
  9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.

https://www.kvkk.gov.tr/Icerik/4233/2018-32

https://www.kvkk.gov.tr/Icerik/5269/2018-68

https://www.kvkk.gov.tr/Icerik/5270/2018-75

https://www.kvkk.gov.tr/Icerik/5271/2018-87

1) “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı

Karar Tarihi : 19/07/2018
Karar No : 2018/87
Konu Özeti : Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

2)“Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması” ile ilgili Kişisel Verileri Koruma Kurulunun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı

Karar Tarihi : 05/07/2018
Karar No : 2018/75
Konu Özeti : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

3)“Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında Görüş Talebi” ile ilgili Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/68 Sayılı Kararı

Karar Tarihi : 28/06/2018
Karar No : 2018/68
Konu Özeti : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

4) “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı

Karar Tarihi : 02/04/2018
Karar No : 2018/32
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

6) Veri Sorumlusunun Bildirim Yükümlülüğü

Veri ihlali , işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesidir. Kişisel Verileri Koruma Kanunu 12/5f. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” Şeklinde düzenleme ile veri sorumlusuna gerekli tüm idari ve teknik tedbirleri alsa dahi veri ihlali oldu ise en kısa sürede ilgilisine ve kurula bildirimle sorumlu tutmuştur. Peki nedir en kısa süre? Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararında en kısa süreyi açıklamış

“En kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,” karar vermiştir.

https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi

Kişisel verilerin aktarılması

Veri işleme türlerinden birisi olan kişisel verilerin aktarılması yasada diğer veri işleme türlerinden ayrı olarak düzenlenmiştir.

Kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:

  • İlgili kişinin açık rızasının alınması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Bununla beraber Yurt İçi Aktarım ve Yurt Dışı Aktarım da farklı ek şartlara da tabi tutulmuştur.

YURT İÇİ AKTARIM

Veri sorumlusu tarafında hukuka uygun olarak işlenen kişisel verilerin, kişisel verileri koruma kanunu 8. Maddesi gereğince “ilgili kişinin açık rızası alınmak suretiyle“ üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Bununla beraber kişisel verileri koruma kurumu kişinin açık rızası aranmaksızın üçüncü kişilere aktarılabileceği şartları da belirlemiştir. KVKK’nin 6.maddesinde belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel veriler dışında kalan, kişisel verilerin yurt içinde aktarılabileceği düzenlenmiştir. Bunlar ;

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması
  6. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  7. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

Kanun özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaklamışsa da ; “Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

YURT DIŞI AKTARIM

Kişisel Verilerin Korunması Kanunu, ilgili kişinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılamayacağı belirtildikten açık rıza almaksızın yurt dışına aktarılmasını ancak

İlgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmesi için

1) Yeterli korumanın bulunması,

Yeterli korumanın bulunmaması durumunda ise;

2) Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

Yeterli korumanın bulunup bulunmadığını kişisel verileri koruma kurulu belirleyecektir. Ancak şuana kadar kurulun belirlemiş olduğu yeterli korumanın bulunduğu(GÜVENLİ ÜLKE) mevcut değildir.