tr

7.Bölüm-Veri Sorumlusuna İlişkin Açıklamalar

7.Bölüm-Veri Sorumlusuna İlişkin Açıklamalar

Grup şirketi ve bağlı ortaklıklarda kimler veri sorumlusudur?

Bir gruptaki her şirket, kişisel verilerin işlenme amaçlarını kendisinin belirlediği ve veri kayıt sisteminin tutulmasından kendisinin sorumlu olduğu hallerde Kanun gereğince “veri sorumlusu” sıfatına sahip olacaktır.

Veri sorumlusunun yükümlülükleri nelerdir?

Kişisel veri işleme faaliyetinde bulunan herkes Kanunun 4. maddesi gereğince aşağıdaki ilkelere uygun hareket etmek zorundadır:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Veri sorumluları tarafından,

  • Kişisel veriler, Kanunun 5. maddesinde yer alan düzenlemelere uygun olarak işlenmelidir.
  • Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenecek yeterli önlemler alınarak, Kanunun 6. maddesinde yer alan düzenlemelere uygun olarak işlenmelidir.
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
  • Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. maddelerinde yer alan düzenlemelere uygun olarak hareket edilmelidir.
  • Kanunun 10. maddesine uygun olarak veri sahipleri aydınlatılmalıdır.
  • Kanunun 12. maddesine uygun olarak veri güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbir alınmalıdır.
  • Veri sahiplerinin kendilerine yönelttiği başvurular Kanunun 13. maddesine uygun olarak cevaplanmalıdır.
  • Kanunun 16. maddesi gereğince veri sorumluları siciline kayıt yükümlülüğü yerine getirilmelidir.

Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı nedir ve ne şekilde yerine getirilecektir?

Veri sorumlusunun aydınlatma yükümlülüğü Kanunun 10. maddesinde düzenlenmiştir. Buna göre, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Maddede sayılan diğer hakları

konusunda bilgi vermekle yükümlüdür.

Aydınlatma yükümlülüğü yerine getirilirken dikkat edilmesi gereken hususlar nelerdir?

Kişisel veri elde edilen her aşamada aydınlatma yapmak gereklidir. Kişisel verilerin toplanmasının yöntemi ve hukuki sebebi kişisel verilerin elde edildiği aşamaya göre değiştikçe aydınlatma metni de ona göre değişmelidir. Bununla birlikte aydınlatma yükümlülüğünü yerine getirirken ilgili kişiye (veri sahibine) verilecek bilgiler, veri sorumlusu siciline açıklanan bilgilerle uyumlu ve kategorik şekilde olmalıdır.

Aydınlatma yükümlülüğünü yerine getirmenin bir şekli var mıdır?

Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Aydınlatma yükümlülüğünün yerine getirilmesi ilgi kişinin (veri sahibinin) onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Veri sorumlusunun aydınlatma yükümlülüğü kapsamında amaca ilişkin bilgilendirme yapılırken söz konusu olabilecek “katmanlı bilgilendirme” nasıl yapılır?

Katmanlı bilgilendirme, amaca ilişkin bilgilendirilme yapılırken, önce kısa ve kolay anlaşılır bir metin sunup, metin vasıtasıyla, daha ayrıntılı açıklama talep edenlere yönelik detaylı açıklamalara işaret edilmesi durumudur.

Kamera kaydı gerçekleştirilen bir işletmede, kamera kayıtlarının tutulmasına ve kayıtların ne amaçlarla kullanılacağına ilişkin bilgilendirme yapılırken, şu yöntemin izlenmesi tavsiye edilir:

Ziyaretçi ve çalışanların görebileceği yerlere, kamera kaydı yapıldığına ilişkin işaret ve yazılar yerleştirilmesi ve veri işleme ve saklama amaçlarının detaylı olarak yer verildiği politikanın (i) çalışanlar için elektronik posta ya da internet yoluyla (ii) ziyaretçiler için ise internet sitesinde erişime açılması.

Kişisel veri işleme faaliyeti gerçekleştiren bir web sitesinin ya da uygulamanın, herkes tarafından kolayca okunabilecek ve sadece esaslı noktaları içeren bir metni, kullanıcılarının açıkça görebileceği şekilde sunması.

Kişisel verilerin aktarımı söz konusu ise aydınlatma yükümlülüğü yapılırken veri sorumlusunun aktarım yapacağı kişilerin ismini belirtmesi gerekli midir?

Kişisel verilerin aktarılabileceği kişi grubu ismen değil, faaliyet konularına göre belirtilmelidir.

Temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerde verisi işlenen kişi ile ilgili olarak aydınlatma yükümlülüğünün hangi aşamada yerine getirilmesi gerekir?

Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemler, asil tarafından yapılmış kabul edilir. Dolayısıyla bahsedilen kişilere yapılan bilgilendirme ile aydınlatma yükümlülüğü yerine getirilmiş sayılır.

Veri sorumlularının, veri güvenliğini sağlamaya yönelik yükümlülükleri nelerdir?

Veri güvenliğinin sağlanması konusunda veri sorumlusuna düşen yükümlülükler Kanunun 12. maddesinde belirtilmiştir. Buna göre veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca;

  • Veri sorumlusu, kendi kurum veya kuruluşunda, 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
  • Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri sorumluları tarafından kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin alınması yükümlülüğü kapsamında uygun güvenlik düzeyi nasıl belirlenecektir?

6698 sayılı Kanunun 12. maddesine göre, veri sorumlusu kişisel verilerin güvenliğinin sağlanması amacıyla gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kanunun 22. maddesinin 1. fıkrasının (f) bendi uyarınca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak Kurul’un yetki ve görevleri arasında yer almaktadır. Bununla birlikte Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere her sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olacaktır.

Kendisine yapılacak başvuru konusunda veri sorumlusu tarafından uyulması gereken usul ve esaslar nelerdir?

Veri sorumlusuna başvuru konusunda, uyulması gereken usul ve esaslar Kanunun 13. maddesinde belirtilmiştir. İlgili kişinin Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle veri sorumlusuna iletmesi üzerine, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir

İlgili kişi veri sorumlusunu Kurul’a şikayet edebilir mi? Bu konudaki usul ve esaslar nelerdir?

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi (veri sahibi), veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikayette bulunabilir. İlgili kişi tarafından veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulamaz. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Kişisel verilerin saklama süreleri nasıl belirlenecektir?

Kanunun 16. maddesinin (f) bendinde, veri sorumlusu tarafından sicile kayıt başvurusunda kişisel verilerin işlendikleri amaç için saklanacağı azami sürenin belirtilmesi gerektiği hükme bağlanmıştır. Bu çerçevede, ilgili mevzuatta ayrıca bir süre öngörülmeyen hallerde, saklama süresi işleme amacına bağlı olarak veri sorumlusu tarafından belirlenebilecektir.

ETİKETLER:
Whatsapp
Data Vekili
Data Vekili
Merhaba, Data Vekili'ne hoş geldiniz.
Size nasıl yardımcı olabiliriz?