Kişisel Veriler

Türkiye ve Dünyada

Bu bölümde 838 doküman yer almaktadır.

REHBERLER
Kişisel Verileri Koruma Kurumu Rehberleri
28 Rehber
RAPORLAR
Dünyada ve AB Ülkelerinde Kişisel Veriler
94 Rapor
DÜZENLEMELER
AB KVK Mevzuatı
46 Düzenleme ve Rapor
RAPORLAR
EDPB ve DPWP Raporları
290 Rapor
RAPORLAR
ICO Raporları
12 Rapor
RAPORLAR
Uluslararası Raporlar
23 Rapor
Standartlar
Standartlar
6 Standart
AKADEMİK
Yüksek Lisans ve Doktora Tezleri
111 + 20 Tez
DÜZENLEMELER
Türkiye Kişisel Veri Mevzuatı
115+37 Düzenleme
2 Mevzuat Kitabı
İÇTİHAT
Yargıtay Kararları
34 Karar
RAPORLAR
Yayınlanan Diğer Raporlar
--- Rapor
ÇOKLU ORTAM
Videolar
11 Video
Eğitimler
6 Eğitim Programı
Diğer Kaynaklar
1 Rapor
Slider

KVKK

KVKK REHBERLERİ

KVKK İSTATİSTİKLER 

  • 08.05.2019 Tarihli İstatistikler (*1)
  • Toplam Para Cezası: ~5.000.000 TL + 1.650.000 TL (Facebook: 10.05.2019)
  • VERBİS'e Kayıtlı Veri Sorumlusu: 4.000
  • Veri İhlal Bildirimi: 72
  • Derdest Dosya Sayısı: ~850
  • ALO 198: Aylık 8.000 Çağrı
  • 07.02.2019 Tarihli İstatistikler  (*2)
  • Toplam Başvuru: 395
    • Şikayet: 201
    • İhbar: 35
    • Veri İhlali: 34
  • Yurt dışı Başvuru: 774
    • Sonuçlanan: 233
  • Kurul Kararı: 161
  • İlke Karar: 4
  • Veri İhlali: 40
    • Yayımlanan: 10

(*1): 08.05.2019 tarihli Kurum Başkanı Açıklaması

(*2): 2. Kişisel Verilerin Korunması Sempozyumu'ndaki Açıklamalar

İLGİLİ ÇALIŞMALAR

YENİ   28.02.2019: Kosova Cumhuriyeti Veri Koruma Ajansı (Genel Müdür Bujar Sadiku) ile KVKK arasında işbirliği sözleşmesi imzalandı.

Syber Security - World

DÜNYADA KİŞİSEL VERİLERİ KORUMA MEVZUATI

Brazil

Brazil

Brazilian Privacy Bill (14.08.2018)   **NEW**

Click here for "Brazilian Privacy Bill "

 

India

India

India Privacy Bill (27.07.2018)   **NEW**

Click here for "Indian Privacy Bill "

Click here for "Data Protection Committee Report: "A Free and Fair Digital Economy :Protecting Privacy, Empowering Indians"

 

Kenya

Kenya

Kenya Privacy Bill (03.07.2018)   **NEW**

Click here for "Kenya Privacy Bill "

 

New-Zealand

New Zealand

New Zealand Privacy Bill (20.03.2018) 

Click here for "Privacy Bill of New Zealand"

"Much has changed in the world since the Law Commission reported in 2011. New Zealand’s once world leading privacy law has slipped behind developments in a number of jurisdictions we compare ourselves to. Better privacy and data protection regulation is a growing trend in OECD countries which include Britain, Canada and Singapore. Australia has already reformed its Privacy Act and in Europe, the General Data Protection Regulation (GDPR) is set to take effect in May this year.

The new Bill includes moves in that direction by:

  • empowering my office to issue a compliance notice in the event of a breach of the Act;
  • empowering my office to issue a determination when a person has requested access to personal information and has been refused; and
  • the introduction of mandatory reporting of harmful privacy breaches – bringing New Zealand into line with international best practice."

Click here for more information.

AB (üye ve aday) ÜLKELERİNDE KİŞİSEL VERİLERİ KORUMA MEVZUATI

Albania

Albania

Albania Law No 9887 on Protection of Personal Data (10.03.2018)

Click here for "Albania Privacy Bill "

Austria

Austria

Data Protection Act (2000)

The Austrian Data Protection Act (Datenschutzgesetz 2000; DSG 2000, Federal Law Gazette I No. 165/1999) came into effect on 1 January 2000. In implementation of the Directive on Data Protection 95/46/EC, the act provides for a fundamental right to privacy with respect to  the  processing  of  personal  data  which  entails  the  right  to  information,  rectification  of incorrect data and removal of unlawfully processed data. It regulates the pre-conditions for the  lawful  use  and  transfer  of  data,  including  mandatory  notification  and  registration obligations with the Data Protection Commission. Furthermore, it provides for judicial remedy in case of breach of its provisions.

Belgium

Belgium

Law on the protection of private life with regard to the processing of personal data (1992)

The 'Privacy Law' of December 1992 is intended to protect citizens against the abusive use of  personal  data.  The  law  defines the  rights and  duties of both  the  data  subject  and  the processor. It moreover provides legal basis for the creation of an independent body in charge of overseeing the correct use of personal data, namely the Commission for the Protection of Privacy. Since its promulgation, this law has been significantly modified in 1998 in order to transpose the EU Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Directive 95/46/EC). This law is now available in its ‘consolidated version’ dated August 2007.

In addition, it is worth noting that a specific law containing provisions relating to spamming was adopted on 24 August 2005, so as to transpose the related article of the EU Directive 2002/58/EC on privacy and electronic communications (the ‘ePrivacy Directive’).

Bulgaria

Bulgaria

Law for Protection of Personal Data (2002)

Adopted  in  January  2002  and  last  amended  in  October  2016,  the  Law  for  Protection  of Personal  Data  has  been  modelled  on  the  EU  Directive  95/46/EC  on  the  protection  of individuals  with  regard  to  the  processing  of  personal  data  and  on  the  free  movement  of such  data.  It  applies  to  the  protection  of  individuals  with  regard  to  the  processing  of personal data, granting them the right to access and correct information held about them by  public  and  private  bodies.  It  defines  lawful  grounds  for  the  collection,  storage  and processing  of  the  personal  data  of  individuals.  Application  of  the  Act  is  overseen  by  the Commission for Personal Data Protection, an independent supervisory authority.

Croatia

Croatia

Law on Personal Data Protection (NN 106/12)

The Law on Personal Data Protection was adopted in June 2003, implementing the relevant EU  Directive  (95/46/EC).  It  foresees  that  personal  data  may  be  transferred  cross-border and  processed  in  another  jurisdiction,  to  the  extent  that  this  jurisdiction  can  ensure  an adequate level of protection. The law was amended once on 20 October 2006 (NN 118/06), while the last amendment took place on 3 April 2008 (NN 41/08).

Cyprus

Cyprus

The Processing of Personal Data (Protection of Individuals) Law (2001)

The 'Processing of Personal Data (Protection of Individuals) Law' (138(I)/2001) entered into force  in  November  2001,  and  was  amended  by  Law  37(I)/2003.  It  is  compliant  to  the acquis communitaire, and especially, the European Directive 95/46/EC on Data Protection. On  31  December  2007,  the  'Retention  of  Telecommunication  Data  for  Purposes  of Investigation of Serious Criminal Offences Law' of 2007 (Law 183(I)/2007) was introduced harmonising  Cypriot  legislation  with  EU  Directive  2006/24/EC  of  15  March  2006.  The  law regulates  the  terms  under  which  the  retention  of  personal  data  for  the  purpose  of  crime investigation, detection and prosecution is legal.

Czech-Republic

Czech Republic

Act on the Protection of Personal Data (2000, last amendment: 2011)

The Data Protection Act (No. 101/2000) was adopted in April 2000 with the aim to protect the citizens’ right to privacy. (Click HERE for Consolidated version of the Personal Data Protection Act) To this end, it regulates the rights and obligations regarding the processing of personal data and specifies the conditions under which personal data may be transferred to other countries. Furthermore, it allows individuals to access and correct their personal information held by public and private bodies. It is enforced by the Office for Personal Data Protection. It was last amended in 2011.

Denmark

Denmark

Act on Processing of Personal Data (2000)

This act entered into force on 1 July 2000 in order to implement Directive 95/46/EC on the protection  of  individuals  with  regard  to  the  processing  of  personal  data  and  on  the  free movement  of  such  data,  allowing  individuals  to  access  their  records  held  by  public  and private bodies. The Act, which was amended in 2007, is enforced by the Datatilsynet (Data Protection  Agency).  Other  laws  regulating  the  processing  of  personal  information  by  the public  sector  include  the  Public  Administration  Act  of  1985,  the  Publicity  and  Freedom  of Information Act of 1985, the Public Records Act of 1992 and the National Registers Act of 2000. These laws set out basic data protection principles and determine which data should be available to the public and which data should be kept confidential.

Act on Electronic Communications Networks and Services (2014)

Providers of electronic networks and services are required to notify the competent body for eGovernment in cases of data breaches that have significant consequences on the provision of services or concern person-identifiable information. This legal requirement implements in part Directives 2009/140/EC and 2009/136/EC. The Act has been amended several times and amendments have been consolidated in the Amendment Act of 2014.

Act on Marketing Practices (2013)

In June 2003, an amendment to the Marketing Practices Act was adopted to implement the Directive  on  ‘privacy  and  electronic  communications’  2002/58/EC.  This  transposition entailed a change to Denmark's legal data protection framework on spam. According to the Directive, people who have already given their address to businesses can be spammed with advertisements for 'similar services' ('soft opt-in'), which the Danish legislation Act had not allowed  until  then.  Amendments  have  been  consolidated  in  the  Consolidated  Marketing Practices Act (2013).

Estonia

Estonia

Consumer Protection Act (2004)

This  Act  entered  into  force  on  15  April  2004  and  it  regulates  the  offering  and  sale,  or marketing  in  any  other  manner,  of  goods  and  services  to  consumers  by  traders. Furthermore, it determines the rights of consumers as the purchasers or users of goods or services,  and  provides  for  the  organisation  and  supervision  of  consumer  protection  and liability for violations of this Act. Some minor amendments were included and entered into force on 1 January 2015 (proceedings and punishments for legal persons).

Personal Data Protection Act (1996)

The first Personal Data Protection Act (PDPA) entered into force on 19 July 1996. The Act was amended in 2003, to be made fully compliant with the EU Data Protection Directive 95/46/EC, and  once  again  amended  in  January  2008.  The  Act  protects  the  fundamental rights  and  freedoms  of  persons  with  respect  to  the  processing  of  their  personal  data,  in accordance  with  the  right  of  individuals  to  obtain  freely  any  information  that  is disseminated for public use.

The 2008 version of the Act introduced several changes. Firstly, the previous classification of personal data into three groups (non-sensitive personal data, private personal data and sensitive personal data) has been replaced by two data categories: (1) 'personal data' and (2)  'sensitive  personal  data',  the  latter  being  the  sub-class  under  special  protection. Secondly, all processed personal data are protected and registered by Chief processors (i.e. controllers)  with  the  Data  Protection  Inspectorate,  the  data  protection  supervision authority.  Moreover,  the  new  PDPA  Act  extends  all  general  principles  applying  to  the processing  of  personal  data  and  to  the  processing  of  the  personal  identification  code (the unique number assigned to every Estonian citizen and resident).

From  1  January  2015  the  Data  Protection  Inspectorate  may  submit  reports  concerning significant  matters  which  have  an  extensive  effect  or  need  prompt  settlement  which become  known  in  the  course  of  supervision  over  compliance  with  the  Act  to  the Constitutional Committee of the Riigikogu and the Legal Chancellor. The current version can be found in this web address.

System of Security Measures for Information Systems (2008)

This Regulation entered into force on 1 January 2008 and establishes the system of security measures for information systems used for processing the data contained in state and local government databases and for information assets related therewith. The system consists of the  procedure  for  the  specification  of  security  measures  and  the  description  of organisational, physical and IT security measures to protect data. However, it is underlined that  this  Regulation  does  not  apply  to  security  of  information  systems  processing  state secrets.

Finland

Finland

Personal Data Act (1999)

The Personal Data Act, which came into force on 1 June 1999, replaced the Personal Data File Act of 1988, which was the  first law concerning data protection in Finland, aiming at preventing violations of integrity at all stages of data processing. The functional objective was to promote the development of and compliance with good data processing practices. The main principles of the protection of privacy remained largely unchanged in the 1999 Act. It accommodates the constitutional reform and the EU Data Protection Directive (95/46/EC).  The  basic  rights  and  freedoms  of  individuals  are  even  more  strongly  emphasised  in  the processing of personal data. It is overseen and enforced by the Data Protection Ombudsman.  Other legal documents contain special provisions regarding the processing of personal data. The Act on the Openness of Government Activities (1999) controls access to public registers. The protection of privacy in electronic communications is also regulated by the Information Society Code (2014).

France

France

Law on ‘Informatics and Liberty' (2004)

The Law on ‘Informatics and Liberty’ was adopted on 6 January 1978. The Law provides a legal framework for the use of identifiers in databases and the processing of personal data by  public  and  private  sector  organisations.  The  Law  created  a  National  Commission  for Informatics  and  Liberty  (CNIL),  which  is  in  charge  of  overseeing  its  implementation  and observance.  The  CNIL  also  has  an  advisory  role  in  the  planning  of  administrative  data systems.  The  Law  on  Informatics  and  Liberty  was  amended  by  law  no. 2004-801 of  6 August 2004 implementing the EU Data Protection Directive (95/46/EC).

Macedonia

Macedonia (FYROM)

Law on Personal Data Protection (2005, 2008)

Harmonisation  of  legislation  in  the  area  of  personal  data  protection  has  been  one  of  the government’s  priority  activities  since  2002.  A  new  law  on  personal  data  protection, amended  to  include  EC  recommendations,  was  drafted  in  2004,  adopted  on  25  January 2005 and modified to comply fully with the European Directive  95/46/EC in 2008 (Official Gazette no. 7/2005 and 103/2008). The law represents a 'lex generalis' in the area of data protection in the country.

According to the law, personal data shall be: fairly and lawfully processed; collected for specified, explicit and legitimate purposes; processed in a manner which is consistent and proportionate  with  these  purposes;  accurate  and  complete;  kept  for  no  longer  than  the necessary time frame for fulfilling the above mentioned purposes. Further amendments to the law were made in 2010, 2011, 2014 and 2015.

Law on Electronic Management (2009)

The Law on Electronic Management (Official Gazette, no. 105, 21/08/2009), adopted on 21 August  2009,  regulates  the  work  of  ministries  and  other  government  authorities  in  the exchange of data and documents in electronic format, in relation to the implementation of administrative services  by electronic means. Seven bylaws were adopted in June 2010 to enable  implementation,  as  well  as  that  of  electronic  workflow  procedures  and  electronic document exchanges. Those acts regulate issues such as environment and communication; certification  of  information  systems;  format  and  content  of  administrative  services  by electronic  means  such  as  electronic  documents;  standards  and  regulations  for  electronic communication;  technical  requirements;  security  of  information  systems;  format  and contentof administration of data bases and others.

Further amendments to the law were made in 2011.

Germany

Germany

Federal Data Protection Act (2003) 

Germany has one of the strictest data protection laws in the European Union. The world's first  data  protection  law  was  passed  in  the  German  Land  of  Hessen  in  1970.  In  1977,  a Federal Data Protection Law followed, which was replaced in 1990, amended in 1994 and 1997. An additional revision took place in August 2002 to align German legislation with the EU Data Protection Directive (95/46/EC). The general purpose of this law is 'to protect the individual against violations of his personal rights by handling person-related data.'

Greece

Greece

Law on the Protection of Individuals with regard to the Processing of Personal Data (1997)

Law 2472/1997 on the Protection of Individuals with regard to the Processing of Personal Data  was  adopted  in  April  1997. It  establishes the  terms  and  conditions under  which  the processing of personal data is to be carried out so as to protect the fundamental rights and freedoms  of  natural  persons  and  in  particular  their  right  to  privacy.  It  also  allows  any person  to  obtain  their  personal  information  held  by  government  departments  or  private entities. The law is enforced by the Hellenic Data Protection Authority. It is complemented by Law 2774/1999 on the Protection of Personal Data in Telecommunications, and by  Law 3115/2003 that establishes the Hellenic Authority for the Information and Communication Security and Privacy in order to protect the secrecy of mailing, the free correspondence or communication in any possible way, as well as the security of networks.

Law  on  the  Protection  of  Personal  Data  and  Private  Life  with  regard  to  Electronic Telecommunications (2006)

Law 3471/2006 was adopted on 28/06/2006, revising Law 2472/1997, and intending to the enactment  of  preconditions  with  regard  to  the  personal  data  processing  and  for  the assurance  of  the  confidentiality  in  telecommunications.  Law  3471/2006  was  amended  by Law 3917/2011 and Law 4070/2012.

Law  on  Strengthening  the  Institutional  Framework  to  Safeguard  Privacy  of  Telephone Communications (2008)

Law 3674/2008 sets out the obligations of the service provider for the security of telephone services.  According  to  these  provisions,  the  provider  is  responsible  for  security  matters under  the  supervision  of  premises,  facilities,  connections  and  hardware  systems  and software.  To  this  end  the  provider  has  an  obligation  to  take  appropriate  technical  and organisational measures and to use hardware and software that ensure the confidentiality of communications and the detection of breach, or attempted breach, of confidentiality of communications.

Hungary

Hungary

Act on Informational Self-determination and Freedom of Information

Act  No.  CXII  of  2011.  on  Informational  Self-determination  and  Freedom  of  Information (also available in English) is a combined Data Protection and Freedom of Information Act. This  Act  sets  rules  and  safeguards  the  processing  of  personal  data  of  public  and  private bodies.  Its  application  is  overseen  by  the  National  Data  Protection  and  Freedom  of Information Authority.

Iceland

Iceland

Act on the Protection of Privacy as regards the Processing of Personal Data, No. 77/2000

The  Act  on  the  Protection  of  Privacy  as  regards  the  Processing  of  Personal  Data (No. 77/2000)  was  passed  in  2000  and  came  into  effect  on  1  January  2001.  The  act implements the EC Data Protection Directive (95/46/EC) and deals with how the protective principle relates to data quality, and presents criteria for the legitimacy of data processing. The  act  applies  to  any  automated  processing  of  personal  data  and  to  manual processing of such data if it is, or is intended to become, a part of a file.

Ireland

Ireland


Data Protection Act (24.May.2018)  NEW !

An Act to establish a body to be known as An Coimisiún um Chosaint Sonraí or, in the English language, the Data Protection Commission; to give further effect to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 20161 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation); to give effect to Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 20162 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA; to give further effect to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data done at Strasbourg on the 28th day of January 1981 and for those and other purposes to amend the Data Protection Act 1988; to provide for the consequential amendment of certain other enactments; and to provide for related matters.

Data Protection Strategy 2014 - 2016

The mission of the strategy is to protect the individual’s right to data privacy by enabling people  to  know,  and  to  exercise  control  over,  how  their  personal  information  is  used,  in accordance with the Data Protection Acts and related legislation.

Data Protection (Amendment) Act (2003) 

The Data Protection Act of 1988 was amended in 2003 to ensure full compliance with the EU  Data  Protection  Directive  (95/46/EC).The  aim  of  the  Directive  is to  establish  common standards of data protection across Member States in order to protect personal privacy and to ensure the  smooth  operation of the internal market, while ensuring adequate levels of data protection in countries outside the European Economic Area to facilitate and encourage international  trade  (Department  of  Justice  and  Law  Reform).  The  Data  Protection Commissioner oversees and enforces the Act.

Copyright and Related Rights Act (2000).

This Act affects a total reform of Irish copyright and related rights law, bringing it fully into line with the requirements of EU and international law in this area. It places Ireland among world leaders in terms of standards for copyright protection.

Italy

Italy

Data Protection Code (2004)

The  Data  Protection  Code  entered  into  force  on  1  January 2004.  It  replaces the  previous Data  Protection  Law  (Law  no. 675/1996),  as  well  as  a  number  of  other  legislative  and regulatory provisions.

The  Data  Protection  Code  updates,  completes  and  consolidates  Italy's  data  protection legislation (1996) by introducing important innovations and conforming national legislation to  European  regulations,  in  particular  the  Data  Protection  Directive  (95/46/EC)  and  the Directive  on  privacy  and  electronic  communications  (2002/58/EC).The  code  aims  to strengthen the data protection rights of individuals, allowing them to exercise their rights and instigate proceedings more easily. The Code was lastly amended on 4 November 2010.

The  Data  Protection  Commissioner  ('Garante  Privacy')  is  in  charge  of  supervising  and enforcing the application of the Data Protection Code. In an effort to simplify the complaint process, the Commissioner has published a complaints' form on its website.

Latvia

Latvia

Personal Data Protection Law (2000)

The Law on Personal Data Protection was adopted by Parliament on 23 March 2000. It is based  on  standard  fair  information  practices  and  is  fully  compliant  with  the  EU  Data Protection Directive (95/46/EC). The aim of this Law is to protect the fundamental human rights  and  freedoms  of  natural  persons,  in  particular  the  inviolability  of  private  life  with respect to the processing of personal data. Application of the Law is overseen by the State Data Inspectorate, which is also responsible for spam supervision.

Information Technologies Security Law (2011)

The Information Technologies Security Law came into force on 1 February 2011. It aims to improve  information  technologies  security  by  defining  the  key  requirements  for organisations to guarantee the security of essential electronic services. The law provides for the  identification  and  protection  of  critical  infrastructure,  the  establishment  and organisation  of  an  IT  Security  Incident  Response  Institution  (national  CERT),  the determination  of  conduct  in  information  technology  security  incidents,  the  setup  of minimum security requirements for state and municipal institutions and the implementation of Directive 2009/140/EC by electronic communications service providers.

Liechtenstein

Liechtenstein

Data Protection Act

The Data Protection Act of 14 March 2002 provides for the rights and obligations of private individuals and State authorities, implementing into national law the EU Directive 95/46/EC on  the  protection  of  individuals  concerning  the  processing  of  personal  data  and  the  free exchange of data. The Act (register number 235.1) was supplemented by two regulations in July  2002  (register  number  235.11)  and  February  2006  (register  number  235.111).  The latter  concerns  the  use  of  personal  data  by  the  police  for  cases  related  to  terrorism, national  security  and  crime  prevention.  In  September  2008,  the  Parliament  adopts  a partial revision of the Data Protection Act bringing the law into line with EU agreements regarding the connection to European database systems, such as the Schengen Information System (SIS), or the Eurodac service. The revised law focuses on the independence of data  protection  from  the  Executive  and  underlines  its  main  role  in  ensuring  the  protection  of personal rights and the respect for privacy.

Lithuania

Lithuania

Law on Legal Protection of Personal Data (1996)

The  law  on  Legal  Protection  of  Personal  Data  was  adopted  on  11  June  1996  and  last amended on 1 January 2009. Its main purpose is the protection of an individual’s right to privacy with regard to the processing of personal data. The law is fully compliant with the EU Data Protection Directive (95/46/EC).

Luxemburg-flag

Luxemburg

Data Protection Act (2007) 

The Data Protection Act, which implements Directive 95/46/EC regarding the protection of personal  data  of  2  August  2002  and  which  was  amended  by  the  law  of  27  July  2007 governs the processing and use of personal data in Luxembourg.

The Data Protection Act of 2002 governs the processing and use of personal data, and goes beyond  the  framework  of  the  EU  Directive  by  covering  not  only  natural,  but  also  moral persons.  It  contains  specific  provisions  on  the  processing  of  medical  data  by  health services, the processing of personal data for surveillance purposes and in the workplace. The  Data  Protection  Act  applies  to  "data  controllers"  ("a  natural  or  legal  person,  public authority,  agency,  or  any  other  body  which  solely  or  jointly  with  others  determines  the purposes and methods of processing personal data") and "data processors" ("any natural or legal person, public authority, administrative body or other entity that processes personal data on behalf of the controller" excluding any of the data controller's employees).

The  law  also  created  a  new  data  protection  authority,  the  Commission  nationale  pour  la protection  des  données  (CNPD)  in  December  2002.  The  CNPD  is  an  independent  agency whose  task  is  to  regulate  the  processing  of  personal  data  in  Luxembourg  and  ensure compliance with data protection regulations. The Data Protection Act has also provided for an online public data processing register, which makes it possible to check if an authority, company,  association,  professional,  or  self-employed  worker  is  likely  to  hold  information about an individual and if they have declared as much to the CNPD.

Processing of Personal Data in the Electronic Communications Sector Act (2011)

The 'Processing of Personal Data in the Electronic Communications Sector Act',  which was adopted on 28 July, 2011 and which entered into force on 1 August, 2011, transposes the EU  Directive  on  privacy  and  electronic  communications  (Directive  2009/136/EC)  into Luxembourgish  law  and  forms  part  of  Luxembourg’s  legislative  'telecom  package'  (cf. below).  It  aims  at  protecting  the  privacy  of  Internet  users  (including  protection  against unsolicited commercial communications or 'spam') and users of added value services, such as  GPS.  The  National  Commission  for  Data  Protection  (CNPD),  which  was  created  by  the 2002  Data  Protection  Act,  is  competent  for  checking  the  legality  of  personal  data processing.

Malta

Malta

Data Protection Act (2001)

The Data Protection Act was passed on 14 December 2001 and came fully into force in July 2003. It was introduced in order to render Maltese law compatible with EU Data Protection Directive (95/46/EC), even though Malta was not yet an EU Member State at that time, this was a prerequisite prior to joining the EU. It outlines principles of ‘good information/ data handling’  to  guarantee  the  protection  of  personal  information.  Data  Controllers,  such  as educational  institutions,  employers  and  banks,  are  obliged  to  inform  individuals  of  the reasons for collecting information about them. Furthermore, individuals are to be assured that the data collected will not be used for any other reason than for the purpose it was collected  and  are  granted  rights  of  access  to  the  personal  information  held  by  the  data controller.  The  Act  provides  grounds  for  processing  “personal  data”  but  makes  special provision for processing “sensitive personal data”, a sub-set of personal data, in very specific stipulated circumstances.

Regulation 2016/679/EU will eventually supersede this Act on the protection of natural living persons with regard to the processing of personal data and on the free movement of such data, generally known as the General Data Protection Regulation. This Regulation will come into force in its entirety in all EU Member States from 25 May 2018.

Netherlands

Netherlands

Personal Data Protection Act (2000)

The EU Data Protection Directive (95/46/EC) adopted in 1995 regulates the processing of personal  data  within  the  European  Union.  The  Dutch  Personal  Data  Protection  Act  was adopted by the Dutch Parliament in July 2000 and came into force on 1 September 2001. It sets the rules for recording and using personal data, and ensured the transposition in Dutch law  of  the  European  Directive.  The  Act  is  overseen  and  enforced  by  the  Data  Protection Authority (DPA).

The EU General Data Protection Regulation (EU) 2016/679 of the European Parliament and of  the  Council  of  27  April  2016  on  the  protection  of  natural  persons  with  regard  to  the processing of personal data and on the free movement of such data better known as the General Data Protection Regulation is repealing the Directive 95/46/EC. The regulation will enter into force on 25 May 2018.

Norway

Norway

Personal Data Act (2000)

The  purpose  of  Act  No. 31  of  14  April  2000  relating  to  the  processing  of  personal  data (Personal  Data  Act)  is  to  protect  natural  persons  from  violation  of  their  right  to  privacy through  the  processing  of  personal  data.  It  ensures  that  personal  data  is  processed  in accordance with fundamental respect for the right to privacy, including the need to protect personal integrity and private life, and that personal data is of adequate quality. This Act transposes  the  Directive  95/46/EC  of  the  European  Parliament  and  of  the  Council  of  24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data into Norwegian law.

Personal Data Regulations

The  regulations on  the processing  of personal data  (Personal  Data  Regulations)  were  laid down by the Royal Decree of 15 December 2000 pursuant to Act No. 31 of 14 April 2000 on the processing of personal data (Personal Data Act), as amended on 23 December 2003.

Poland

Poland

Act on the Protection of Personal Data (1997)

The Act on the Protection of Personal Data was adopted on 29 August 1997 and has been amended a few times so far. This Act follows the rules established by European Union's Directive 95/46/EC on the protection of individuals with regard to the processing of personal data. The Inspector General for the Protection of Personal Data supervises the observance of the Act. In case of breach of the provisions on personal data protection, the Inspector General, ex officio, or upon a motion of a person concerned, by means of an administrative decision, shall order to restore the proper legal state.

Regulation on the Preparation and Provision of Electronic Documents and making available forms, samples and copies of electronic documents (2011)

The Regulation focuses on how to share copies of electronic documents and forms under conditions of safety. Accordingly, it clarifies the form of official certification of receipt of electronic documents by the recipient, the ways to safely share electronic copies of documents and safety conditions for forms and templates of shared documents. It has been amended twice so far.

Portugal

Portugal

Law on the Protection of Personal Data

Law no. 41/2004, of 18 August transposes into national law Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector, except for Article 13 which concerns unsolicited communications. This legislation applies to the processing of personal data within the context of publicly available electronic communications services and networks, while complementing the provisions of Law no. 67/98 of 26 October (Law on the Protection of Personal Data). Its provisions shall ensure protection of the legitimate interests of subscribers who are legal entities to the extent that such protection is consistent with their nature.

Romania

Romania

Law no. 677/2001 on the Protection of Persons concerning the Processing of Personal Data and the Free Circulation of such Data

The law allows individuals to access and correct personal information held by public or private bodies. It was complemented by recent additions such as Law no. 55, (OJ. no. 244/23.03.2005), which ratifies the Additional Protocol to The Convention for the Protection of Individuals with regard to automatic processing of personal data, referring to control authorities and cross-border data flow. Furthermore, a National Supervisory Authority for Personal Data Processing was established in 2005 by Law no. 102/2005 (O.J. no. 391/09.05.2005). All of the data protection files previously kept by the Ombudsman have now been handed over to the Authority, which supervises and controls the legality of the personal data processing under Law no. 677/2001.

Law no. 506/2004 on the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector

This Law on the processing of personal data and the protection of privacy in the electronic communications sector replaced Law no. 676 of 21 November 2001 on the Processing of Personal Data and the Protection of Privacy in the Telecommunications Sector. It closely follows Directive 2002/58/EC on personal data processing and privacy protection in the electronic communications sector.

Slovakia

Slovakia

Draft Cyber Security Act

The National Security Authority is working on drafting the Act on Cyber Security to comprehensively cover cyber and information security, introduce basic security requirements and other measures critical for coordinating the protection of information, communication and management systems. At the same time, the European NIS Directive on network and information security is being transposed into the Slovak legislative.

Act No. 122/2013 on Personal Data Protection as amended by Act no. 84/2014

This legislation (1 July 2013) implements the principles set in the EU's Data Protection Directive (95/46/EC). Under this Act, individuals can Access and correct personal informationheld by public and private bodies. The Act is enforced by the Office for Personal

Data Protection. This Act regulates:

  1. a) Protecting the rights of natural persons against wrongful interference with their private life in connection with the processing of their personal data
  2. b) Rights, duties and liability in connection with personal data processing
  3. c) Establishment of the scope of the powers and organisation of the Office for Personal Data Protection of the Slovak Republic.
Slovenia

Slovenia

Personal Data Protection Act

The Personal Data Protection Act (Official Gazette of the Republic of Slovenia No. 94/07), currently applicable, was adopted in July 2004 and came into force on 1 January 2005. It replaced a previous version, adopted in 1999, and transposed the EU Directive 95/46/EC on data protection into Slovenian Law.

The main goal of the Act is to prevent illegal and unwarranted violations of personal privacy in the course of data-processing, and to ensure the security of personal databases and their use. Until 1 January 2006, the Inspectorate for Personal Data Protection was in charge of overseeing the application of the Act. Since then, such responsibility has been transferred to the Information Commissioner (Information Commissioner Act, adopted in December 2005). The last amendment of the Personal Data Protection Act was performed in 2013.

Spain

Spain

Law on the Protection of Personal Data

The Organic Law 15/1999 of 13 December 1999 on the Protection of Personal Data brought Spanish law in line with the EU Data Protection Directive 95/46/EC.

This law regulates the processing of personal data in the public and private sectors. It grants citizens with the right to access and correct their personal information in the records held by public and private bodies. Personal information may only be used or disclosed to a third party with the consent of the individual, and only for the purposes that it was collected. Additional protections are provided for sensitive data. The Law is enforced by the Spanish Data Protection Agency.

Technical Security Instruction of the Report of the Security Status

The resolution of this Instruction from the 7 October 2016, establishes the conditions for the gathering and communication of data about the status of security. This will allow to know the main variables regarding the security of the information from the systems included in the scope of the National Security Framework. Moreover, it will help to elaborate a general profile for the state of cybersecurity in the public sector.

Technical Security Instruction on the Compliance with the National Security Framework

The resolution of this Instruction from 13 October 2016, establishes the criteria and procedure to determine the compliance with the National Security Framework and determines the mechanism to obtain and publish the declaration of compliance and security credentials.,.

Law 39/2015 on the Common Administrative Procedure Public Administration

The article 17 of the new Law 39/2015 on the Common Administrative Procedure Public Administration, states that each administration shall implement a single Digital Archive System for the long term preservation of documents belonging to resolved procedures. The article also requires the application of adequate security and privacy protection measures as required by the NSS and law on data protection.

Sweden

Sweden

Personal Data Act (1998)

The  Personal  Data  Act  came  into  force  on  24  October  1998.  The  Personal  Data  Act  was adopted  to  bring  Swedish  law  into  compliance  with  the  requirements  of  the  EU  Data Protection Directive 95/46/EC, which aims to prevent the violation of personal integrity in the  processing  of  personal  data.  The  Act  lists  certain  fundamental  requirements concerning  the  processing  of  personal  data.  These  demands  include,  inter  alia,  that personal  data  may  only  be  processed  for  specific,  explicitly  stated  and  justified  purposes and  if  the  person  registered  gives  his/her  consent.  Exemptions  to  this  rule  include  the exercise  of  official  powers,  or  the  fulfilment  of  a  legal  obligation  by  the  controller  of personal  data.  In  many  areas  of  the  administration  there  are  special  registry  laws  to supplement or replace the provision in the Personal Data Act.

Switzerland

Switzerland

Federal Act on Data Protection (2002)

The  Act,  approved  on  19  June  1992  and  entered  into  force  on  1  July  1993,  aims  to protect the privacy and the fundamental rights of persons when their data is processed. It applies to the processing of data pertaining to natural persons and legal entities by federal bodies and private persons.

For the first time in Switzerland, the public and private sectors are subject to the same rules.  In  the  public  sector,  the  Act  only  covers  the  activities  of  authorities  at  federal level.  However,  the  majority  of  Swiss  cantons  have  introduced  similar  legislation  to govern  public  sector  data  collection  and  processing  in  their  respective  localities.  The Swiss law was granted adequacy approval by the EU in 2000.

The Federal Council’s update of the Ordinance on Data Protection entered into force on 1 November 2016. The ordinance envisages that certain procedures and products used for processing personal data can be better certified and thereby data protection can be improved.

Ordinance  of  the  Federal  Department  of  Finance  on  Electronic  Data  and  Information (2009)

This  Ordinance  regulates  the  technical,  organisational  and  procedural  requirements concerning  the  evidential  value  and  control  of  data  and  information  (electronic  data) produced electronically or in a comparable manner in accordance with Articles 122–124 of the VAT Ordinance (VATO) of 27 November 2009.

Turkey

Turkey

Turkish Constitution (1982)

Section  5  of  the  1982  Turkish  Constitution  is  entitled,  'Privacy  and  Protection  of  Private Life'.  Article  20  of  the  Turkish  Constitution  addresses  the  issue  of  'Privacy  of  the Individual’s Life', and states: "Everyone has the right to demand respect for their private and family life. Privacy of individual and family life cannot be violated. Unless there exists a decision duly passed by a judge in cases explicitly defined by law…neither the person nor the  private  papers,  nor  belongings  of  an  individual  shall  be  searched  nor  shall  they  be seized".  With  the  2010  amendment  of  the  Constitution,  citizens  are  granted  the  right  to request  the  protection  of  their  personal  data.  They  have  the  right  to  be  informed  about their own personal data, accessing these data, requesting to be corrected  or deleted and learning whether it has been used for the purposes that the data were obtained in the first place.  Thus  individual  data  can  be  processed  only  as  foreseen  by  the  law  or  with  the consent of the person, as mentioned in Article 22.

Law on the Protection of Personal Data (2016)

After  the  2010  amendment  of  the  Constitution,  citizens  are  granted  the  right  to  request protection of their personal data. Hereinafter, individual data can be processed only in the circumstances envisaged in the law or with the express consent of the person. According to the regulation, relevant procedures and principles will be codified by law, namely the ‘Law on Protection of Personal Data’, which was published in the Official Gazette on 7 April 2016 numbered 29677.

This law regulates the conditions of processing and transfer of the personal data, rights and obligations, obligations of the data supervisor or the related person regarding data security to the institution and the board of the protection of the personal data.

 By-Law on Electronic Communication Security (2008)

The  By-Law,  which  was  adopted  on  5  November  2008,  identifies  the  obligations  of operators  with  respect  to  ensuring  security  of  electronic  communications  networks.  It covers  the  principles  and  basis  of  measures  to  be  taken  in  order  to  eliminate  the  risks stemming  from  threats  and  vulnerabilities  with  the  aim  of  ensuring  physical  data, hardware-software  and  personnel  security.  It  explicitly  states  that  personal  information processing and protection of privacy are not under its scope.

By-Law  on  the  Personal  Information  Processing  and  Privacy  in  the Telecommunications Sector (2004)

The By-Law on the Personal Information Processing and Privacy in the Telecommunications Sector was adopted on 6 February 2004 to define the procedures and principles related to guaranteeing  personal  information  processing  and  protection  of  privacy  in  the telecommunications sector.

Council of Europe's Convention on Cybercrime

Turkey became party to the Council of Europe Convention on Cybercrime (CETS No. 185), adopted in order to ensure international cooperation combating with cybercrimes efficiently. Subsequent  to  making  legislation  for  the  protection  of  personal  data,  approval  studies  of Conventions No. 108 and 181 aiming at the protection of individuals in case of processing these data to an automatic operation, will be launched.

*** Click HERE  for all legislation
about Personal Data Protection in Turkey
***

United-Kingdom

United Kingdom

Digital Economy Act (2010)

The Act concerns the online infringement of copyright. It creates a system which aims to increase the ease of tracking down and suing persistent infringers, and after a minimum of one year permit the introduction of 'technical measures' to reduce the quality of, or potentially terminate those infringers' Internet connections. It furthermore creates a new ex-judicial process to handle appeals.

Data Protection Act (1998)

The Data Protection Act 1998 received Royal Assent in July 1998 and came into force on 1 March 2000, giving effect to the EU Data Protection Directive (95/46/EC). It lays down rules for the way organisations have to treat personal data and information that apply to paper-based and electronic records. These rules are mandatory for all organisations that hold or process personal data, in the public as well as the private and voluntary sectors. The Act contains eight data protection principles, which state that all data has to be: processed fairly and lawfully; obtained and used only for specified and lawful purposes; adequate, relevant and not excessive; accurate, and where necessary, kept up to date; kept for no longer than necessary; processed in accordance with an individual's rights; kept secure; and transferred only to countries that offer adequate protection.

EU European Union

AVRUPA BİRLİĞİ'NDE KİŞİSEL VERİLERİ KORUMA MEVZUATI ve DİĞER ULUSLARARASI BELGELER

AVRUPA BİRLİĞİ - RAPORLAR

AB EUROBAROMETER RAPORLARI

AB ENISA (AVRUPA BİRLİĞİ AĞ ve BİLGİ GÜVENLİĞİ AJANSI) RAPORLARI

SONUÇLARI veya ETKİLERİ BAKIMINDAN İLGİLİ ENISA RAPORLARI

EU-EDPS-Logo

EUROPEAN DATA PROTECTION SUPERVISOR

EDPB Logo

AVRUPA BİRLİĞİ VERİ KORUMA KURULU (EDPB)

EDPB tarafından onaylanan DPWP Rehberleri

  • WP 265: Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, WP 265
  • WP 264: Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data, WP 264
  • WP 263: Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR, WP 263 rev.01
  • WP 260: Guidelines on transparency under Regulation 2016/679, WP260 rev.01
  • WP 259: Guidelines on consent under Regulation 2016/679, WP259 rev.01
  • WP 257: Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, WP 257 rev.01
  • WP 256: Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP 256 rev.01
  • WP 254: Adequacy Referential, WP 254 rev.01
  • WP 253: Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679, WP 253
  • WP 251: Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01
  • WP 250: Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01
  • WP 248: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, WP248 rev.01
  • WP 244: Guidelines for identifying a controller or processor's lead supervisory authority, WP244 rev.01
  • WP 243: Guidelines on Data Protection Officers ('DPO'), WP243 rev.01
  • WP 242: Guidelines on the right to data portability under Regulation 2016/679, WP242 rev.01
  • Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR

VERİ KORUMA ÇALIŞMA GRUBU (DPWP) ÇALIŞMA RAPORLARI

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000

1999

1998

1997

DİĞER RAPORLAR (Tasnif Edilmemiş)

DPWP: Data Protection Working Party:  95/46/EC Sayılı Direktifin 29. maddesi uyarınca kurulan "Veri Koruma Çalışma Grubu"  (The Working Party on the Protection of Individuals with Regard to the Processing of Personal Data)

international

DİĞER ULUSLARARASI RAPORLAR ve REHBERLER

academic

YÜKSEK LİSANS ve DOKTORA TEZLERİ

TÜRKİYE

2019

2018

2017

  • "Privacy management in online social networks", Nadin KÖKCİYAN, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017, Doktora Tezi, (123 s.)
  • "Veri bulutlarında mahremiyet korumalı arama ve veri getirme yontemi", Mohanad DAWOUD, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017, Doktora Tezi, (134 s.)
  • "Hiyerarşik Verilerde Mahremiyetin Korunması", İsmet ÖZALP, Sabancı Üniversitesi Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Bilimleri ve Mühendisliği Anabilim Dalı, Doktora Tezi, 2017 (103 s.)
  • "Sosyal medyada mahremiyet algısının çöküşü: Instagram örneği", Nurten SEPETCİ, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (134 s.)
  • "Çevrimiçi sosyal ağlarda gönderi paylaşımına dair mahremiyet ve fayda temelli karar alma", Tarık Berkant KEPEZ, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (104 s.)
  • "Üniversite öğrencisi sosyal medya kullanıcılarının mahremiyet algısı", İsmail KAPLAN, Anadolu Üniversitesi Sosyal Bilimler Enstitüsü İletişim Tasarımı ve Yönetimi Anabilim Dalı, 2017 (158 s.)
  • "Çevrimiçi sosyal ağlarda mahremiyet korunumu için müzakere yöntemleri", Dilara KEKÜLLÜOĞLU, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı Bilgisayar Mühendisliği Bilim Dalı, 2017 (79 s.)
  • "Pratik kullanıma yönelik mahremiyet korumalı açık anahtar deposu", Ramin ARMANFAR, Sabancı Üniversitesi Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (86 s.)
  • "Bilgi güvenliği, kişisel verilerin korunması ve biyometrik verilerin işlenmesine ilişkin öneriler", Göksu Hazar ERDİNÇ, İstanbul Teknik Üniversitesi Bilişim Enstitüsü Bilişim Uygulamaları Anabilim Dalı, 2017 (164 s.)
  • "Kişisel Sağlık Verilerinin Kaba Güç Saldırılarına Karşı Güvenli Saklanması ve İşlenmesi", Saharnaz Esmaeilzadeh DILMAGHANI, İhsan Doğramacı Bilkent Üniversitesi Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (75 s.)
  • "Üniversite Öğrencisi Sosyal Medya Kullanıcılarının Mahremiyet Algısı", İsmail KAPLAN, Anadolu Üniversitesi Sosyal Bilimler Enstitüsü İletişim Tasarımı ve Yönetimi Anabilim Dalı, 2017 (158 s.)
  • "Gen Analizlerinde Kişilik Haklarının Korunması", Ramazan BOZAT, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı, 2017 (218 s.)
  • "Biyometrik Sistemlerin Bilgi Güvenliği", Abubakr RAKHIMOV, Ankara Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 [05.06.2019 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Medya psikolojisi bağlamında internet kullanıcılığı ile oluşan endişeler: Mahremiyet endişesi", Fehime Elem YILDIRIM, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Radyo Televizyon ve Sinema Anabilim Dalı İletişim Bilimleri Bilim Dalı, Doktora Tezi, 2017 (323 s.) [03.02.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Kişisel Verilerin Ceza Hukuku Kapsamında Korunması", İbrahim KORKMAZ, Ankara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı Ceza ve Ceza Usul Hukuku Bilim Dalı Doktora Tezi, 2017 [04.02.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "p-Kazanım: Mahremiyet Korumalı Fayda Temelli Veri Yayınlama Modeli", Yılmaz VURAL, Hacettepe Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, Doktora Tezi, 2017 [12.07.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Türk Sözleşme Hukukunda Kişisel Verilerin Korunması", Furkan Güven TAŞTAN, Yıldırım Beyazıt Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk (Medeni Hukuk) Anabilim Dalı, 2017 [12.06.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Sosyal ağlarda bilginin yayılımı ve mahremiyet konularının analizi", Burcu SAYİN , İzmir Yüksek Teknoloji Enstitüsü Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (71 s.) [04.01.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Elektronik Ticaret Mevzuatı Uygulamaları", Yaren ERDEM, İstanbul Bilgi Üniversitesi Sosyal Bilimler Enstitüsü Bilişim ve Teknoloji Hukuku Anabilim Dalı Hukuk Bilim Dalı, 2017 [07.07.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "İnsan Hakları Hukukunda Unutulma Hakkı", Eren SÖZÜER, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, 2017 [30.01.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Bilgi Kuramsal Mahremiyet ve Haberleşme Kanalının Bilgi Kuramsal Mahremiyete Etkisi", Mehmet Özgün DEMİR,  İstanbul Teknik Üniversitesi Fen Bilimleri Enstitüsü Elektronik ve Haberleşme Mühendisliği Anabilim Dalı Telekomünikasyon Mühendisliği Bilim Dalı, 2017 [Bu tezin yayın izni bulunmamaktadır.]
  • "Bilgi kuramsal mahremiyet ve haberleşme kanalının bilgi kuramsal mahremiyete etkisi", Mehmet Özgün DEMİR, İstanbul Teknik Üniversitesi Fen Bilimleri Enstitüsü Elektronik ve Haberleşme Mühendisliği Anabilim Dalı Telekomünikasyon Mühendisliği Bilim Dalı, 2017 (131 s.)  [Bu tezin yayın izni bulunmamaktadır.]
  • ♦  "Sosyal Medya Üzerinden Elde Edilen İstihbaratın Güvenlik Maksatlı Kullanılması", Selami BALTACI, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Uluslararası İlişkiler Anabilim Dalı, 2017 (191 s.)
  • ♦  "Kişisel Medikal Görüntüleme Raporlarının Sayısal Ortamda Güvenli İletimi ve Saklanması", Çağla AKSOY, Gazi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (73 s.)

2016

  • "Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması", Ayşe Çiğdem AYÖZGER,  İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı Doktora Tezi 2016 (297 s.)
  • "Kişisel Sağlık Kaydı Sistemlerinin Kullanılabilirliği,, Yaser Abdulhaleem ALMADANI, Çankaya Üniversitesi Fen Bilimleri Enstitüsü Matematik Bilgisayar Anabilim Dalı, 2016 (94 s.)
  • "İşçinin Kişisel Verilerinin Korunması Hakkı", İlke GÜRSEL, Dokuz Eylül Üniversitesi / Sosyal Bilimler Enstitüsü / Özel Hukuk Anabilim Dalı Doktora Tezi 2016 (495 s.)
  • "İşçinin Kişiliğinin ve Verilerinin Korunması", Erbil BEYTAR, Kocaeli Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı, 2016 [13.06.2019 tarihine kadar kullanım yazar tarafından kısıtlanmıştır]
  • "Kişisel Verilerin Korunması ve 6698 Sayılı Kanun", Kerim KILIÇ, Atatürk Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, 2016 [05.09.2019 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Unutulma Hakkı", Can YAVUZ, Yeditepe Üniversitesi Sosyal Bilimler Enstitüsü Hukuk Anabilim Dalı, 2016 [16.05.2019 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • ♦  "Türk Askeri İstihbarat Yapısı ve Hukuksal Düzenlemeleri Hakkında Bir Öneri: ABD Örneği ", Fatih GÜDÜK, Kara Harp Okulu Komutanlığı Savunma Bilimleri Enstitüsü Güvenlik Bilimleri Anabilim Dalı, 2016 (169 s.)

2015

2014

2013

2012

2011

2010

2009

2008

  • "Kişisel Verilerin Korunması", Hüseyin Can AKSOY,  Ankara Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk (Medeni Hukuk) Anabilim Dalı Medeni Hukuk Bilim Dalı, 2008

2006

2005

  • "Veri Koruma ve Türk İlaç Sanayiindeki Etkileri Üzerinde Bir Çalışma", Oğuzhan GÜRSON, Ankara Üniversitesi Sağlık Bilimleri Enstitüsü, 2005 [Bu tezin yayın izni bulunmamaktadır.]

2003

  • "Kişilik Hakkının Korunması Sorunu Çerçevesinde Kişisel Verilerin Korunması ve Saklanması", Nilgün BAŞALP, İstanbul Üniversitesi / Sosyal Bilimler Enstitüsü, 2003 [Bu tezin yayın izni bulunmamaktadır.]

 

NOT: Başlığında "♦" işareti bulunan çalışmalar, içeriği bakımından kişisel veriler ile ilgili tezlerdir.

YURTDIŞI

DERGİLERDE YAYINLANAN MAKALELER

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU - KURUL KARARLARI

Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buraya tıklanarak erişilebilir. Ayrıca Kurul tarafından yayımlanan karar ve karar özetleri için buraya tıklayınız.

Kurul Kararları:

27.05.2019: "Kişisel Verileri Koruma Kurulunun 05/03/2019 tarihli ve 2019/52 sayılı Kararı"
Karar Tarihi: 05/03/2019
Karar No: 2019/52
Konu Özeti:Kurul kararının yerine getirilmemesi hakkında

 

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

  • Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
  • Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

  • 2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 - 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 - 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 - 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

16/10/2018 - 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

Yayım Tarihi: 01.11.2018

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 - 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 - 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 - 2018/75: Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Yayım Tarihi: 18.08.2018

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 - 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

Yayım Tarihi: 18.08.2018

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

31/05/2018 - 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

Yayım Tarihi: 04.07.2018

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

-      Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

-      Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 - 2018/32: 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

Yayım Tarihi: 15.05.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
31/01/2018 - 2018/10: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

Yayım Tarihi: 07.03.2018

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

21/12/2017 - 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

Yayım Tarihi: 25.01.2018

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

21/12/2017 - 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

Yayım Tarihi: 25.01.2018

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

Karar Özetleri:

27.05.2019: "İlgili kişinin yaptığı başvuruyu cevaplandırmayan ve internet sitesi üzerinden yayımladığı aydınlatma metni mevzuatta düzenlenen şartları taşımayan T.C. Ziraat Bankası A.Ş. hakkında"
Karar Tarihi: 02/05/2019
Karar No: 2019/122
Konu Özeti:İlgili Kişinin T.C. Ziraat Bankası A.Ş.’ye Yaptığı Başvurunun Cevaplandırılmaması Ve Veri Sorumlusu Tarafından İnternet Üzerinden Yayımlanan Aydınlatma Metninin Mevzuatta Düzenlenen Şartları Taşımaması Hakkında

 

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinde belirtilen hakları kapsamındaki taleplerini içeren kayıtlı elektronik posta (KEP) aracılığıyla veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye (Banka) başvuran ancak, Kanunda düzenlenen otuz günlük süre içerisinde başvurusu cevaplandırılmayan ilgili kişinin gerek bu konuda gerekse veri sorumlusunun, internet sitesi üzerinden yayımladığı aydınlatma metninin mevzuatta düzenlenen şartları taşımadığı hususunda Kuruma yapılan şikâyet başvurusu hakkında;

  • Şikâyete konu hususlarda açıklamalarına başvurmak üzere Bankaya gönderilen Kurum yazısının “İŞYERİNDE AMİRİNE TESLİM” açıklamasıyla Bankaya teslim edildiği görülmekle birlikte, söz konusu Kurum yazısına bugüne kadar herhangi bir cevap vermeyen Banka nezdinde, Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde ihlale sebebiyet veren sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına,
  • İlgili kişinin Kanunun uygulanmasına yönelik taleplerine ilişkin başvurusuna Banka tarafından cevap verilmesi; ayrıca, mevzuat hükümlerine uyumda azami dikkat ve özen göstermesi hususunda Bankanın talimatlandırılmasına,
  • Bankanın internet sitesinde yer alan aydınlatma metninde, Bankanın kişisel veri işleme amaçlarının, ilgili kişilerin kişisel verilerinin Kanunun 5 inci ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğine yönelik hukuki sebep açıkça belirtilmeksizin sıralandığı; kişisel veri işleme amaçları sıralandıktan sonra metin içerisinde yer verilen “gibi amaçlar kapsamında işlenmektedir” ifadesinin ise, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandırır nitelikte olduğu; bu çerçevede söz konusu aydınlatma metninin “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in (Tebliğ) 5 inci maddesinin birinci fıkrasının (g) ve (h) bentlerinde yer verilen hükümlere uygun hazırlanmaması nedeniyle, Bankanın internet sitesinde yer alan aydınlatma metninin yeniden gözden geçirilerek Tebliğ hükümlerine uygun hale getirilmesi yönünde talimatlandırılmasına

karar verilmiştir.

27.05.2019: "Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında"
Karar Tarihi: 25/03/2019
Karar No: 2019/82
Konu Özeti:Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında

 

  • Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde “….. Kart avantajlarından faydalanmaya devam edebilmek için Kişisel Verilerin Korunması Kanunu kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” ya da …. Kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalara yer verildiği, bu anlamda açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet,
  • Buna ilaveten Kuruma söz konusu market tarafından düzenlenen perakende satış fişlerinde, sadakat kart kullanımı ile ilgili Kanun kapsamında müşterilerden açık rıza alınması esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL hizmet bedeli alındığı yolunda Kuruma intikal eden ihbarlar
  • Öte yandan, yukarıda yer verilen hususlara ilişkin olarak yapılan değerlendirme esnasında söz konusu sadakat karta ilişkin olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgilerinin (Alışveriş bilgisi, isim, soyisim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi) ve elektronik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin, Program kapsamında mal ve hizmetlerini tanıtmak, üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek, kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla ….. Ailesi ile “yurtiçinde ve yurtdışında ilgili yasal mevzuatın öngördüğü azami süreleri aşmamak üzere paylaşılmasına ve işlenmesine izin verir. …… Ailesi olarak bahsedilen kurumlar, Yönetim Hissedarları, Yönetim Hissedarlarının ve Şirket’in bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri, Şirketin her türlü temsilcisi, hizmet sağlayıcısı ve/veya alt yüklenicisi ve bağlı şirketleri, GSM Operatörleri /Sosyal Paylaşım Siteleri ile Şirketin hak ve/veya görevlerini devretmeyi teklif ettiği her türlü kişilerdir.” gibi genel nitelikte ifadeler

birlikte incelenmiş ve yapılan inceleme neticesinde,

  • Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına,
  • Şirketten alınan savunmada, öncelikle Kanuna uygun üyelik onayları teyit edilemeyen müşterilere özel olarak 07.04.2018 tarihine kadar çeşitli kanallardan duyuru yapılan kişilerin daha öncesinde rızalarının alınmadığı değil, yıpranmış, eksik, imzasız vs. gibi durumlar ile karşılaşılması nedeniyle ileride doğabilecek hukuki ihtilaflarda ispat külfeti kapsamında söz konusu rızaların yenilenmesi yoluna gidildiğinin ifade edildiği, bu çerçevede, Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşruiyet kazandırılması için ilgili kişilerden açık rıza alınması şeklinde bir yola başvurulmadığı, aksine daha önce kişisel verilerin işlenmesine yönelik alınan rızalara ilişkin matbu formlardaki muhtelif eksiklik ya da tahrifatlar nedeniyle bu rızaların iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesinin amaçlandığı dikkate alındığında, Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrası çerçevesinde Kurulca yapılacak bir işlem bulunmadığına,
  • “Aydınlatma Metni”nin incelenmesinden ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıklar bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,

Ayrıca, aydınlatma metninde Şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, Şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, Şirkete ait tüm işyerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve Şirketin Aydınlatma Metninin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda Şirketin talimatlandırılmasına,

  • Öte yandan, Şirketin savunmasında kişisel verilerin anonim hale getirilerek sosyal paylaşım sitelerine aktarıldığı ifadelerine yer verildiğinin görüldüğü, bununla birlikte Kanunun 3 üncü maddesinde anonim hale getirmenin: kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi olarak tanımlandığı, bu kapsamda, anonim veriler diğer bir ifade ile kişiler ile ilişkilendirilemeyecek veriler üzerinden kişiye özel bir pazarlamanın gerçekleştirilemeyeceği göz önüne alındığında, Şirket uygulamasının Kanunda yer alan anonimleştirme tanımı ile bağdaşmadığına bu nedenle anonimleştirmenin Kanuna uygun olarak gerçekleştirilmesi gerektiği yönünde Şirketin talimatlandırılmasına,
  • Son olarak, Şirket tarafından düzenlenen perakende satış fişlerinde, “Veri İzni Alma Uygulaması” altında 0,01 TL hizmet bedeli alındığı iddiaları kapsamında Şirketten alınan savunmada, müşterilere kasada alışveriş yaparken gerekli bilgiyi vermek ve dilerse açık rızasını verebileceği üyelik linkini SMS gönderebilmek için alışveriş kasalarına bilgi teknolojileri sistemi kurulduğu, bir teknik problem nedeni ile bazı fişlerde çalışmadığı ve müşterilere sehven 1 kuruşluk bir bedel yansıdığı, bilgi teknolojileri hatası nedeni ile gerçekleşen bu olayda müşterilerden toplamda 91.502 fişte 910,52 TL’lik ücret alındığı ancak bu ödemelerin telafisi olarak müşterilerin kartına aynı tutarda indirim yüklendiği ve sistemsel bir hatadan kaynaklanan bu durumun derhal telafi edildiği hususları dikkate alındığında, konuya ilişkin Kanun kapsamında Kurumca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: "Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında"
Karar Tarihi: 01/03/2019
Karar No: 2019/47
Konu Özeti:Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında

 

Başvuranın, …. isimli şahsın (şikayet edilen) kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı, bahse konu bilgilere İcra Müdürlükleri kanalıyla usulsüzce ulaştığı iddiası hakkında Kuruma yaptığı başvurusunun incelenmesi neticesinde,

  • Şikayet edilen şahsın, başvuranın ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı iddiaları ile ilgili olarak, kişisel verilerin paylaşımının muhtelif mercilere yazılan dilekçelerden oluştuğu ve bu anlamda şikayet edilen tarafından kısmen ya da tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen bir kişisel veri işleme faaliyetine rastlanılmadığı, bu çerçevede şikayet edilenin veri sorumlusu olarak nitelendirilmesinin mümkün bulunmadığı, diğer taraftan şikayet edilen tarafından başvuran ve ailesine ait kişisel verilerin hukuka aykırı bir şekilde elde edildiği iddiasının Türk Ceza Kanunu kapsamında bir suç niteliği taşıdığı göz önüne alındığında söz konusu iddiaya ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Öte yandan, şikayet dilekçesinde şikayet edilenin, başvuranın kişisel verilerine İcra Müdürlükleri kanalıyla ulaştığı düşüncesinde olduğu iddiasının ilgili kişinin şahsi kanaatine dayandığı ve bu durumu tevsik edici herhangi somut bir bilgi veya belgeyle de tevsik edilmediği dikkate alındığında, söz konusu iddia ile ilgili olarak Kurulca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: "Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında"
Karar Tarihi: 14/02/2019
Karar No: 2019/23
Konu Özeti:Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbar hakkında

 

Teknik servis hizmeti veren veri sorumlusu firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği yolundaki ihbarın incelenmesi neticesinde,

  • Veri sorumlusundan alınan bilgide, ilgili internet adresi üzerinden kişilerin servise bıraktıkları cihazları ile ilgili olarak yapılan sorgulamada cihaz sahiplerinin kişisel verilerine erişimin mümkün olmadığının belirtilmesine rağmen yapılan incelemede söz konusu internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin de sorgulamalar yapılabildiği, söz konusu sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak, anılan Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numarala fıkrasına aykırı olarak kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle, söz konusu aykırılığın Karar tarihi itibariyle yapılan sorgulamalarda devam ettiği de göz önünde bulundurulduğunda, veri sorumlusu hakkında Kanunun 18 inci maddesi çerçevesinde 150.000 TL idari para cezası uygulanmasına,
  • Öte yandan, söz konusu aykırılığın giderilmesi yönünde veri sorumlusunun talimatlandırılmasına ve Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca, söz konusu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının durdurulmasına

karar verilmiştir.

03.04.2019: “Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında” Kişisel Verileri Koruma Kurulunun 24/12/2018 tarihli ve 2018/156 sayılı Kararı Özeti
Karar Tarihi: 24/12/2018
Karar No: 2018/156
Konu Özeti:Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında

 

İlgili kişinin, adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumların ve paylaşımların yapıldığı hususu ile ilgili Kişisel Verileri Koruma Kurumuna yaptığı başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 15 inci maddenin (1) numaralı fıkrasında Kurulun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen;

a) Belli bir konuyu ihtiva etmeyen,

b) Yargı mercilerinin görevine giren konularla ilgili olan,

c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan

ihbar veya şikâyetlerin incelemeye alınmayacağı hükme bağlanmıştır.

Diğer yandan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır.

Bu kapsamda, kişinin ad-soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak çeşitli içerikli internet sitelerinde hakkında yorumların ve paylaşımların yapılmasına ilişkin şikayetini içeren ve yargıya intikal etmiş olan başvurunun değerlendirilmesi neticesinde;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddenin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan” ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,
  • Öte yandan kişiye verilecek cevapta Kişisel Verilerin Korunması Kanunu kapsamında Kuruma yapılacak başvurularda izlenilmesi gereken yolun hatırlatılmasına

karar verilmiştir.

03.04.2019: “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı Kararı Özeti
Karar Tarihi: 05/12/2018
Karar No: 2018/142
Konu Özeti:Kişisel Verilerin Silinmesi Talebi Hakkında

 

Veri sorumlusu bir Bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin ancak “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza” edilebileceği hükme bağlanmıştır.

Diğer yandan Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümleri yer almaktadır.

5411 sayılı Bankacılık Kanununun 42 nci maddesi, alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağı hükmünü haizdir.

Ayrıca Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 17 nci maddesinin (1) numaralı fıkrasında da “Bankaların, müşterilerinden ve Resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dâhil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve Resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmüne yer verilmiştir.

Bu kapsamda, veri sorumlusu banka nezdinde bulunan kişisel verilerin silinmesi ile ilgili Kuruma yapılan başvuru hakkında; 6698 sayılı Kanunun ilgili maddesi ile 5411 sayılı Bankacılık Kanununun 42 nci maddesi göz önünde bulundurulduğunda; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği dikkate alındığında, şikayetçinin talebine yönelik Kurumumuzca yapılacak bir işlem bulunmadığına

karar verilmiştir.

03.04.2019: “Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/11/2018 tarihli ve 2018/131 sayılı Kararı Özeti
Karar Tarihi: 19/11/2018
Karar No: 2018/131
Konu Özeti:Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında

 

Bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından Kişisel Verileri Koruma Kurumuna (Kurum) yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı belirtilmiş, “Tanımlar” başlıklı 3 üncü maddesinin (d) bendinde de kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu sebeple, gerçek kişilere ait veriler Kanun kapsamında bulunurken, tüzel kişilere ait veriler ise Kanun kapsamında bulunmamaktadır.

Kanunun ilgili kişilerin haklarının düzenlendiği 11 nci maddesine göre ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme ve kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkı bulunmaktadır. Ayrıca söz konusu madde metninden de bu hakların, gerçek kişiye ait kişisel verileri kapsadığı ve bu hakkın da bizzat ilgili kişi veya yasal temsilcisi tarafından kullanılabileceği anlaşılmaktadır.

Bu çerçevede,

  • Kurumumuza intikal eden söz konusu başvuruda yer alan, tüzel kişiliğe ait verilere erişilmesi yönündeki talebin Kanunun 2 nci maddesi gereğince Kanun kapsamında değerlendirilemeyeceğine,
  • Şirket ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil Şirket tüzel kişiliği tarafından talep edilmesi sebebiyle söz konusu başvurunun Kanunun 11 ve 13 inci maddeleri kapsamında değerlendirilemeyeceğine

karar verilmiştir.

03.04.2019: “Kurul Kararının gereğinin süresi içinde yerine getirilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/118 sayılı Kararı Özeti
Karar Tarihi: 16/10/2018
Karar No: 2018/118
Konu Özeti:Kurul Kararlarının Kanunun 15 inci Maddesi Uyarınca 30 Günlük Süre İçerisinde Yerine Getirilmemesi Hakkında

 

İlgili kişinin, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna yaptığı başvuruya tatminkar bir cevap alamaması üzerine Kişisel Verileri Koruma Kurumuna (Kurum) yaptığı başvuru neticesinde, konu ile ilgili Kurul tarafından alınan kararın ilgili veri sorumlusu tarafından süresinde yerine getirilmemesi hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15 inci maddesinin (5) numaralı fıkrası, şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurulun, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edeceği, bu kararın da tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirileceği hükmünü haizdir.

Kanunun “Kabahatler” başlıklı 18 inci maddesinin (1) numaralı fıkrasının (c) bendinde ise Kanunun 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği (3) numaralı fıkrasında ise birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceği hüküm altına alınmıştır.

Şikâyetçinin Kurula yapmış olduğu başvurunun incelenmesi neticesinde alınan Kurul Kararı 02.07.2018 tarihinde veri sorumlusuna tebliğ edilmiştir. Bu kapsamda veri sorumlusunun, Kurul Kararı kapsamında 16.08.2018 tarihinde şikâyetçiye bilgi verdiği, bu hususun da 17.08.2018 tarihli yazı ile Kurula bildirildiği görülmekte olup, Şirket tarafından ilgili mevzuat hükümleri çerçevesinde en geç 01.08.2018 tarihinde yapılması gereken işlemin 16.08.2018 tarihinde yapıldığı; diğer yandan şikâyetçinin, veri sorumlusu nezdinde bulunan kişisel verilerinden asgari saklama süresi tamamlanmış olanlarının Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesinin (1) numaralı fıkrası gereğince ilk periyodik imha işleminde, kalanların da yasal saklama yükümlülüğünün dolmasını müteakiben yapılacak periyodik imha işlemi dönemlerinde silinmesine ve gerçekleşecek silme işlemleri hakkında Şikâyetçiye bilgi verilmesi ayrıca, söz konusu kişisel verilerin saklama amacı dışında işlenmemesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiş olmasına rağmen Şirketin şikâyetçiyi muhatap 16.08.2018 tarihli yazısında Kurul Kararının bu maddelerine ilişkin herhangi bir açıklamada bulunmadığı tespit edilmiştir.

Bu çerçevede kamu kuruluşu olarak değerlendirilen veri sorumlusuna tebliğ edilen Kurul Kararının gereğinin Kanunun 15 inci maddesinin (5) numaralı fıkrasında belirtilen 30 günlük yasal süre içerisinde yerine getirilmemesi ve şikayetçiye gönderilen bilgilendirme yazısında Kurul Kararında belirtilen hususlara yer verilmemiş olması nedenleriyle;

  • Şirket hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde işlem tesis edilmesine,
  • Şikâyetçinin, Şirket nezdinde saklanmakta olan verileri ile ilgili olarak Kurul Kararı kapsamında yapılacak iş ve işlemler hakkında bilgilendirilmesi hususunda Şirkete talimat verilmesine

karar verilmiştir.

03.04.2019: “Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında” Kişisel Verileri Koruma Kurulunun 13/09/2018 tarihli ve 2018/106 sayılı Kararı Özeti
Karar Tarihi: 13/09/2018
Karar No: 2018/106
Konu Özeti:Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği

 

İlgili kişinin görevi nedeniyle imzalamış olduğu evrakın kimliği belirsiz kişi/kişilerce internet ortamında paylaşılması üzerine Kuruma yapmış olduğu başvuru hakkında,

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kapsam” başlıklı 2 nci maddesinde, Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı ile “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği belirtilmektedir.

Bu kapsamda;

Şikâyetçinin başvurusu incelendiğinde, kişinin görevi nedeniyle imzalamış olduğu bir evrakın hukuka aykırı bir şekilde elde edilip kimliği belirsiz kişi veya kişilerce internet ortamında paylaşıldığı ve aynı kullanıcı ismiyle Şikâyetçinin isim ve soy isminin baş harflerinin yazılarak kişi hakkında bir takım iftira içerikli metinlere yer verildiği anlaşılmış olup, kimliği belirsiz kişi veya kişilerin veri sorumlusu olarak tanımlanamayacağı

Kanunun “Suçlar” başlıklı 17 nci maddesinin (1) numaralı fıkrası gereği, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı

hususlarından hareketle, şikâyete konu olayın Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırması ve konuya ilişkin gerekli hukuki işlemlerin tesisini teminen konunun Şikâyetçi tarafından yargıya intikal ettirilmiş olması nedenleriyle Şikâyetçi hakkında ilgili uygulama üzerinden yapılan paylaşımlar kapsamında Kurumca yapılacak bir işlem bulunmadığına karar verilmiştir.

03.04.2019: “Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı Özeti
Karar Tarihi: 26/07/2018
Karar No: 2018/90
Konu Özeti:Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili

 

Online platformda iş başvurusu alan veri sorumlusu şirketler topluluğunun kişisel veri işleme süreçlerinin Kurul tarafından re’sen incelenmesini teminen yapılan başvuru neticesinde,

Online platformda iş başvurusunda bulunurken üyelik kaydı yapılmasının zorunlu olduğu, üyelik kaydı yapılması sırasında ise, aynı kutucuğun işaretlenmesi yoluyla hem aydınlatma metninin okunduğuna, hem de kişisel verilerin işlenmesi hususunda açık rıza verildiğine ilişkin onay alınması yoluna gidildiği tespit edilmiştir.

Bu kapsamda;

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği hükme bağlanmıştır

Ayrıca, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya bağlı değildir. Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise, veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, ilgili kişi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir.

Tüm bu hususlar bir arada değerlendirildiğinde; söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde yer alan hükme uygun olmadığı, bu itibarla aydınlatma metninin okunduğuna ilişkin geri bildirim alınması ile ilgili kişilerin kişisel verilerinin işlenmesi hususunda gerekli seçimlik haklarının da tanındığı açık rıza metninin onaylandığının ispatını sağlayacak mekanizmaların ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

18.02.2019: “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı Özeti
Karar Tarihi: 28/06/2018
Karar No: 2018/69
Konu Özeti: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

 

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

18.02.2019: “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı Özeti
Karar Tarihi: 26/07/2018
Karar No: 2018/91
Konu Özeti:Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

 

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

02.08.2018: Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren e-posta adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)

Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;

- İlgili mevzuatta yer almaması

- Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle

Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurulca Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması

a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;

Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.

02.08.2018: lgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi

Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine;

Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi

İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;

Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

- Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

- Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Açık Rızanın Hizmet Şartına Bağlanması

Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;

- Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

- Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;

Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

b) Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

Bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususu da dikkate alınarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğu değerlendirildiğinden 6698 sayılı Kişisel Verilerin Korunması Kanununun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, ilgili kişinin söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak Kurulca yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

YAYIMLANAN KİTAPLAR

Kitap001-KisiselVerilerMevzuat_KAPAK-small

Türkiye Bilişim Mevzuatı Serisi - Kişisel Veriler Mevzuatı

Yayım Tarihi: Nisan 2018

Yazar: Mustafa Afyonluoğlu

vkh-2016

Veri Koruma Hukuku: Mevzuat & İçtihat

Yayım Tarihi: Ekim 2016

Yazarlar: Dr. Mehmet Bedii Kaya, Furkan Güven Taştan

ictihat

İÇTİHAT

BU BÖLÜM İLE İLGİLİ DERLENEN  34 İÇTİHAT METNİ İÇİN YAYIN İZİN SÜRECİ DEVAM ETMEKTEDİR

youtube-logo

VİDEOLAR

edu

KİŞİSEL VERİLER İLE İLGİLİ ÜCRETSİZ ÇEVRİMİÇİ SERTİFİKALI EĞİTİMLER

OFFICE of the PRIVACY COMMISSIONER - NEW ZEALAND
E-LEARNING SITE for PRIVACY

Privacy 101: Introduction to the Privacy Act

Privacy 101: Introduction to the Privacy Act

  • The Privacy Act-1993
  • What the Act Covers?
  • Who the Act Protects?
  • 12 Principles of the Act
  • Information Life Cycle
  • Industry Codes of Practice
  • Personal Information
  • Privacy Officers
  • Official Information Act
  • Privacy Act and OIA Scnario
  • P1: Purpose for Collection
  • P2: Source of Information
  • P2: Exceptions
  • P3: Collection Statement
  • P4: Manner of Collection
  • P5: Storage and Security
  • P6: Access
  • P6: Procedural Provisions
  • P6:  Witholding Grounds
  • P7: Correction
  • P8: Accuracy
  • P9: Retention
  • P10: Use
  • P11: Disclosure
  • P12: Unique Indetifiers

Certification Exam

An A to Z of Approved Information Sharing Agreements (AISAs)

An A to Z of Approved Information Sharing Agreements (AISAs)

  • Section 1: What is an AISA?
  • Section 2: How Do I Build the Case for an AISA?
  • Section 3: How Do I Develop ana AISA?
  • Section 4: How Do I Get an AISA Approved?

Certification Exam

Introduction to the Credit Reporting Privacy Code (CRPC)

Introduction to the Credit Reporting Privacy Code (CRPC)

  • Unit 1: Introduction to Credit Reporting 
  • Unit 2: The Credit Reporting Privacy Code
  • Unit 3: Obtaining Credit Reports
  • Unit 4: Credit Report Information
  • Unit 5: Access to your Credit Report
  • Unit 6:  Correcting your Credit Report
  • Unit 7: Suppressing Credit Reports
  • Unit 8: Complaints Process

Certification Exam

Employment and Privacy

Employment and Privacy

  • Unit 1: Assessing applicants
  • Unit 2: Surveillance and monitoring of employees
  • Unit 3: Social media and technology
  • Unit 4: Drug testing and biometrics
  • Unit 5: Security of information
  • Unit 6: Disclosing information about staff
  • Unit 7: Workplace disputes
  • Unit 8: End of employment

Certification Exam

A Guide to Privacy Impact Assessments (PIAs)

A Guide to Privacy Impact Assessments (PIAs)

  • Section 1: What is a PIA Good For?
  • Section 2: When It Is Necessary to Do a Full PIA?
  • Section 3: What Do You Need to Consider When Scoping a PIA?
  • Section 4: What are the Key Steps in a PIA?
  • Section 5: Understanding Risks and Mitigations

Certification Exam

Health 101: An Introduction to the Health Information Privacy Code

Health 101: An Introduction to the Health Information Privacy Code

  • Same Sections as Privacy 101, specific to the Health sector

Certification Exam

EĞİTİM MATERYALLERİ

Kayıt olunan eğitim paketi için, aynda gösterilen gibi eğtim materyalleri ve diğer kaynaklar için bağlantılar sağlanmaktadır. Eğitim materyallerini indirmek için derse kayıt olmak gerekmektedir. Sisteme ve derslere kayıt ücretsiz ve süresizdir.

BİTİRME SERTİFİKASI

Kayıt olunan eğitim paketindeki tüm dersleri tamamlayan ve ara sorular ile eğitim sonundaki sınavı tamamlayan katılımcılara yandaki şekilde bir sertifika belgesi verilmektedir.

resources

DİĞER KAYNAKLAR


Yorum Yaz