KVKK Kapsamında İlgili Kişinin Hakları, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Aktarılması

KVKK Kapsamında İlgili Kişinin Hakları, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Aktarılması - Kayseri Avukat - Av. Zülküf Arslan Hukuk Bürosu

KVKK Kapsamında İlgili Kişinin Hakları ve Kişisel Verilerin Silinmesi

İlgili Kişi

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.

Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.

İlgili Kişinin Hakları

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

Kişisel verilerinin işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

Kişisel verilerin silinmesini veya yok edilmesini isteme,

Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

İlgili Kişinin Hak Arama Yöntemleri

Başvuru Hakkı

Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre ilgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.

İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.

Bu kapsamda ilgili kişilerin, 6698 sayılı Kanun (KVKK)’un uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda, kişilik hakları ihlal edilen ilgililerin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Başka bir ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur.

Veri sorumlusuna yapılacak başvuruların şekli konusunda 6698 sayılı Kanun (KVKK)’da iki temel hüküm bulunmaktadır. Bunlardan ilki yazılı başvurudur. Yazılı başvuru, genel hükümler gereği ıslak imza içeren belge ile yapılan başvuru anlamına gelmektedir. Buna ek olarak güvenli elektronik imza ile imzalanan belgeler de yazılı şekil şartını sağlayacaktır.

Yazılı başvuru haricindeki diğer başvuru yöntemlerinin belirlenmesi konusunda Kanun, Kişisel Verileri Koruma Kurulunu yetkilendirmektedir. Kurul, çıkardığı ikincil düzenlemelerle veri sorumlusuna yapılacak başvuruların yöntemini belirlemiştir.

Başvuru usulü

İlgili kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

Başvuruda;

Ad, soyad ve başvuru yazılı ise imza,

Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

Tebligata esas yerleşim yeri veya iş yeri adresi,

Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

Talep konusu bulunması zorunludur.

Konuya ilişkin bilgi ve belgeler başvuruya eklenir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.

Başvuruya cevap

Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Cevap yazısının;

Veri sorumlusu veya temsilcisine ait bilgileri,

Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,

Talep konusunu,

Veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunludur.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.

Başvuru Ücreti

İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.

Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

Şikayet Hakkı

İlgili kişinin şikayet yoluna başvurulabilmesi için ilk olarak veri sorumlusuna 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 13. maddesi uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir.

İlgili kişilerin veri sorumlusuna başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.

Kişisel verilerinin işlenmesi kapsamında kişilik hakları ihlal edilen ilgili kişilerin, genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır.

İlgili kişinin Kurula şikayette bulunmasında öngörülen süre, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gündür. Fakat Kurulun inceleme yapabilmesi için mutlaka ilgilinin şikayetine ihtiyaç yoktur. Kurulun ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda da resen harekete geçerek görev alanına giren konularda gerekli incelemeyi yapması yetkisi dahilindedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesiyle, Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmiştir. Buna göre, Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme, şikâyete ya da resen öğrenilen ihlal iddiasına münhasır olacaktır.

3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmamaktadır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kurula 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

6698 sayılı Kanun (KVKK)’da Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmüş, şikâyet tarihinden itibaren altmış gün içinde herhangi bir cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmıştır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.

Kurulun, şikâyet üzerine yapacağı inceleme ile ilgili olarak altmış günlük süre içerisinde bir cevap vermesi öngörülmüş ise de, resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemiştir. Kurul, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, Kanuna aykırı uygulamanın yaygın olduğunun Kurul tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır.

Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmiştir. İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür.

KVKK Kapsamında Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır.

Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik’e sitemizden ulaşabilirsiniz.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Veri Saklama ve İmha Politikası

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

Kişisel veri saklama ve imha politikasının kapsamı

Kişisel veri saklama ve imha politikası asgari olarak;

Kişisel veri saklama ve imha politikasının hazırlanma amacına,

Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,

Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,

Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,

Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,

Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,

Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,

Saklama ve imha sürelerini gösteren tabloya,

Periyodik imha sürelerine,

Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsar.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine ilişkin İlkeler

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun  5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde 6698 sayılı Kanun (KVKK)’un 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.

Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri

İlgili kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca 6698 sayılı Kanun (KVKK)’un 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi

6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başlıca yöntemlerin açıklaması, söz konusu işlemlerin nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ne sitemizden ulaşabilirsiniz.

Anılan Rehberde; silme ve yok etme yöntemleri kişisel verilerin işlendiği ve bulunduğu ortam dikkate alınarak ayrı ayrı açıklanmış, anonim hale getirme yöntemleri ve anonimliğin bozulması ise uygulama örnekleri ile birlikte detaylı olarak açıklanmıştır. 

Kişisel Verilerin Aktarılması

Yurtiçi Aktarım: Kişisel Verilerin Üçüncü Kişilere Aktarılması

6698 sayılı Kanun (KVKK)’da belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.

Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de 6698 sayılı Kanun (KVKK)’un 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir. Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:

İlgili kişinin açık rızasının alınması,

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

İlgili kişinin kendisi tarafından alenileştirilmiş olması,

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.

İlgili kişinin açık rızasının alınması halinde,

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,

Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. 

Yurtdışına Aktarım

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9 uncu maddesine göre kişisel verinin yurt dışına aktarılabilmesi için aşağıdaki durumlardan birinin varlığı gerekir:

İlgili kişinin açık rızasının bulunması,

Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanun (KVKK)’un 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması,

Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanun’un 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması bakımından aynı şartları aramakla birlikte kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür. Buna göre, kişisel verilerin yurtdışına aktarılması için Kanun’da belirlenmiş şartlar maddeler halinde aşağıda detaylandırılmıştır.

1- İlgili kişinin açık rızasının bulunması

İlgili kişinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür.

Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır.

6698 sayılı Kanun (KVKK) çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.

Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

Belirli bir konuya ilişkin olması,

Rızanın bilgilendirmeye dayanması,

Özgür iradeyle açıklanması.

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.

Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

2- Yeterli korumanın bulunması

Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Buna göre;

a) Aktarılacak veri özel nitelikli kişisel veri değilse;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

İlgili kişinin kendisi tarafından alenileştirilmiş olması,

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

b) Aktarılacak veri özel nitelikli kişisel veri ise;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde, 

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde

yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.

3- Yeterli korumanın bulunmaması halinde

Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda kişisel veri işleme şartlarının mevcut olması ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında;

Kişisel veri özel nitelikli kişisel veri değilse 6698 sayılı Kanun’un 5 inci maddesinin 2 nci fıkrasında , özel nitelikli kişisel veri ise aynı Kanun’un 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı.

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.

Veri Aktaran Veri Sorumlusunun Yükümlülükleri

Veri aktaran veri sorumlusu (bundan sonra “veri aktaran” olarak anılacaktır), aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder:

Kişisel veriler, 6698 sayılı Kanun (KVKK) ve ilgili diğer mevzuata uygun olarak işlenmiş ve aktarılmış olacaktır.

Veri aktaran; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalı ve veri alıcısı olan veri sorumlusu (bundan sonra “veri alıcısı” olarak anılacaktır) tarafından da bu tedbirlerin alındığından emin olmalıdır.

Veri aktaran, veri alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun (KVKK) ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirir.

Veri aktaran, veri alıcısına, tabi olduğu 6698 sayılı Kanun (KVKK) ve ilgili diğer veri koruma düzenlemeleri hakkında bilgi verir.

Veri aktaran; veri alıcısına, aktarılan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede kendisine bildirmek zorunda olduğu hakkında bilgi verir. Veri aktaran bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kuruluna (bundan sonra “Kurul” olarak anılacaktır) ve söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri aktaran, veri alıcısından aldığı bildirimleri, ilgili mevzuat hükümleri çerçevesinde Kurula iletir.

Veri aktaran, bu sözleşmede yer alan hükümlerin veri alıcısı tarafından yerine getirilmesi ile ilgili ortaya çıkan sorunlar hakkında en kısa sürede Kurula derhal bilgi verir.

Veri aktaran; veri alıcısının, ilgili kişilerden ve Kuruldan gelen sorulara cevap vereceği konusunda anlaşmaya varılmış olmasına rağmen cevap vermesinin mümkün olmaması halinde, elinde bulunan tüm bilgi ve belgeler ışığında makul bir süre içerisinde ilgili kişi veya Kurula cevap verir.

Veri aktaran; veri alıcısının bu sözleşmede belirtilen yükümlülüklerini ihlâl etmesi halinde, söz konusu ihlâl düzeltilene dek veri aktarımını askıya alabilir ya da sözleşmeyi feshedebilir.

Veri aktaran, veri aktarımının askıya alınması ya da sözleşmenin feshedilmesi halinde bu durumu en kısa sürede Kurula bildirir.

Veri aktaran; veri alıcısının, bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu taahhüt eder.

Veri aktaran, 6698 sayılı Kanun gereğince veri aktarımına başlamadan önce,  gerekli taahhütnameyi Kurula onaylatır.

Veri Alıcısının Yükümlülükleri

Veri alıcısı, aşağıda belirtilen yükümlülükleri yerine getirdiğini ve getireceğini taahhüt eder:

Veri alıcısı; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alır.

Veri alıcısı, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri işleyenler de dâhil olmak üzere veri alıcısının yetkisi altında faaliyet gösteren kişiler, kişisel verileri ancak ve sadece veri alıcısından aldıkları talimatlara uygun olarak işlemekle yükümlüdür. 

Veri alıcısı; kişisel verileri 6698 sayılı Kanun (KVKK)’a ve veri aktaranla arasındaki sözleşmeye uygun olarak işler, herhangi bir sebeple Kanuna ve sözleşmeye uygunluk sağlanamazsa, veri aktaranı konu ile ilgili derhal bilgilendirir. Bu durumda veri aktaranın veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

Veri alıcısı, sözleşmeye istinaden aktarılacak kişisel verilere ilişkin olarak, sözleşmeye aykırı herhangi bir ulusal düzenleme olmadığını kabul, beyan ve taahhüt eder. Sözleşme süresince veri alıcısının, sözleşmede yer alan taahhütlerini yerine getirmesini etkilemesi muhtemel bir mevzuat değişikliği yapılması hallerinde, durumu veri aktarana derhal bildirir ve bu durumda veri aktaranın veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.

Veri alıcısı; aktarılan kişisel verilere ilişkin olarak adli bir makamdan gelen talepleri, derhal veri aktarana bildirir. Bu durumda veri aktaranın talebin niteliğine göre sözleşmeyi askıya alma veya feshetme hakkına sahip olacağını kabul eder.

Veri alıcısı, sözleşme kapsamında veri aktarandan gelen soruları mümkün olan en kısa sürede usulüne uygun olarak cevaplandırır ve aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve görüşlerine uyar.

Veri alıcısı, veri aktaranın, taahhüt ve yükümlülüklerin yerine getirilip getirilmediğine yönelik denetim yapma ve yaptırma yetkisine sahip olduğunu kabul eder ve bu yönde gerekli kolaylığı sağlar.

Veri alıcısı; bu sözleşmenin feshedilmesi veya yürürlük süresinin sona ermesi halinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğini ya da kişisel verileri tamamen yok edeceğini, mevzuatta veri alıcısının bu yükümlülüğü yerine getirmesini engelleyen hükümler varsa, aktarıma konu kişisel verilerin gizliliğini güvence altına almak için gerekli idari ve teknik tedbirleri alacağını ve veri işleme faaliyetini durduracağını kabul eder.

Veri alıcısı, bu maddelerden doğan yükümlülüklerini yerine getirebilecek idari ve teknik yeterliliğe sahip olduğunu kabul eder.

Veri alıcısı sözleşme konusu hizmeti ifa ederken, sözleşmeye konu kişisel verileri, bir alt işverene aktarması gereken hallerde, veri aktaranı ispat edilebilir şekilde bilgilendirmeli ve onayını almalıdır. Veri alıcısının alt işveren ile yapacağı sözleşmenin, asgari olarak veri aktaran ile veri alıcısı arasındaki sözleşme ve bu taahhütnamedeki hükümleri içermesi şarttır.

Veri aktaran ve veri alıcısı, işledikleri kişisel verileri, 6698 sayılı Kanun (KVKK) hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Veri aktaran ve veri alıcısı için bu yükümlülük herhangi bir süre ile sınırlı değildir.

Kişisel Verilerin Korunması

Alanında yetkin Kayseri avukat kadrosu ve 15 yılı aşkın deneyimi ile Zülküf Arslan Hukuk Büromuz; hukuk davalarında ve ceza yargılamalarında savunma hakkını ve hak arama özgürlüğünü temin ederek taraflara avukatlık ve hukuki danışmanlık hizmeti vermektedir.

Kişisel verilerinizin korunması, işlenmesi, aktarılması, silinmesi veya yok edilmesi ile ilgili gerekli başvuru veya itirazların zamanında ve usulüne uygun yapılması açısından alanında uzman avukatlardan hukuki yardım alınması faydalı olacaktır. Herhangi bir mağduriyete ve hak kaybına uğramamak için güncel mevzuat ve yargı kararlarının takip edilmesi önem arz etmektedir. 

Alanında yetkin Kayseri Avukat kadrosu ve 15 yılı aşkın deneyimi ile Zülküf Arslan Hukuk Büromuz, savunma hakkını ve hak arama özgürlüğünü temin ederek Anayasa Mahkemesi (AYM), Avrupa İnsan Hakları Mahkemesi (AİHM) ve Tazminat Komisyonuna başvuru sürecinde de taraflara avukatlık ve hukuki danışmanlık desteği sunmaktadır. Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi (AİHM) başvuru sürecinde herhangi bir mağduriyete veya hak kaybına uğramamak için gerekli başvuruların zamanında ve usulüne uygun yapılması büyük önem arz etmektedir. Bu süreçte, alanında uzman bir avukattan hukuki yardım alınması faydalı olacaktır. Zülküf Arslan Hukuk Bürosu olarak; Yalçınkaya Kararı başta olmak üzere AİHM kararlarının Türkçe çevirilerini yapan Eski AİHM Hukukçusu Dr. Orhan Arslan koordinatörlüğünde müvekkillerimize Anayasa Mahkemesi ve AİHM başvurusunun yanı sıra emsal AYM ve AİHM Kararları çerçevesinde yeniden yargılama başvurusu hususunda da hukuki destek vermekteyiz.

Kişisel verilerinizin, korunması işlenmesi, aktarılması, silinmesi veya yok edilmesi ile ilgili bilgi almak için deneyimli bir avukat arıyorsanız 15 yılı aşkın deneyimi ile avukat kadromuzdan dava süreci, hukuki statünüz, haklarınız ile başvuru ücret ve masrafları konusunda ön bilgi alabilir; detaylı bilgi ve tüm sorularınız için bizimle iletişime geçebilir veya yüz yüze görüşmek için Zülküf Arslan Hukuk Büromuzu ziyaret edebilirsiniz.