Kişisel Verilerin Korunması Kanunu

KİŞİSEL VERİLERİ KORUMA POLİTİKASI

Bu kitap([1]), aşağıdaki tabloda dökümü verilen VERİ SORUMLUSU’na ait işyeri ve işletmelerinde Kişisel Verileri Koruma Politikası (KVK Politikası) ilkelerini içermektedir:

AMAÇ

 Bu politikanın amacı, başta KVK Kanunu olmak üzere ulusal ve uluslararası hukuki düzenlemelerin gerektirdiği kurallar çerçevesinde kişisel veri işleyicisi KİŞİSEL VERİ SORUMLUSU ’nun,   ilgili kişilere ait kişisel verilerin işlenmesi sırasında, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya, kişisel verilerin işlenmesi sürecinde KİŞİSEL VERİ SORUMLUSU ’nun ve VERİ SORUMLUSU ile hukuki, ticari ve finansal ilişkiler içerisine giren tüm özel ya da kamu kurum kuruluşlarıyla gerçek ve tüzel kişilerin edimlerini, yükümlülüklerini, sorumluluklarını, uyulacak olan usule ve esasa ilişkin kuralları ve  politikaları belirlemektir.

KAPSAM

 Bu politika, KVK Kanunu başta olmak üzere ulusal ve uluslararası kanun, tüzük, yönetmelik, genelge, düzenleyici ve denetleyici kurum ve kuruluş kararları, direktifler, uluslararası anlaşmalar, sözleşmeler ve  KİŞİSEL VERİ SORUMLUSU ile  iletişim, etkileşim, işbirliği, çözüm ortağı veya her ne isim altında olursa olsun, resmi, gerçek ya da tüzel kişiliğe sahip tüm kişi, kurum ve kuruluşlar, VERİ SORUMLUSU ’nun ortakları, müşterileri, çalışanları, tedarikçileri, ile yapılan ya da yapılacak olan hukuki, ticari, finansal her türlü sözleşmeler ve sözleşme ekleri çerçevesinde, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen KİŞİSEL VERİ SORUMLUSU  hakkında uygulanır.

TERİMLER VE KAVRAMLAR

İşbu politikada yer alan;

108 No’lu Sözleşme;   Avrupa Konseyi tarafından hazırlanan ve imzalanan 01.10.1985 tarihinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireyleri Korunması Sözleşmesi’ni,

95/46/EC Sayılı Direktif;     Avrupa Parlamentosu ve Konseyi tarafından 1995 yılında kabul edilen Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’ ni,

Açık rıza;    Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

AİHS;      Avrupa Konseyi tarafından hazırlanan, 03.09.1953 tarihinde yürürlüğe giren Avrupa İnsan Hakları Sözleşmesi’ni,

Alıcı grubu;     KİŞİSEL VERİ SORUMLUSU tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Anonim hâle getirme;   Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

AYYGE Tebliğ;     KVKK tarafından 10.03.2018 tarihli RG Yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” i,

DHKD Kanun;    Dilekçe Hakkının Kullanılmasına Dair Kanunu,

Etkileşim ve iletişim ;   KİŞİSEL VERİ SORUMLUSU’ nun yazılı ya da sözlü, mesafeli ya da mesafesiz olarak hukuki, ticari, finansal, akdi vb açılardan oluşan sorumluluk ve yükümlülük doğuran her türlü ilişkiyi, 

GDPR;     95/46/EC sayılı direktifi 25.05.2018 tarihinde yürürlükten kaldıran 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nü,

İlgili kişi;     kişisel veri sorumlusu tarafından kişisel verisi işlenen, veri sahibi olan   gerçek kişiyi,

İrtibat kişisi;    Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili               olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen ve veri sorumlusunu temsil yetkisi bulunmayan gerçek kişiyi,

Kişisel veri;     Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel veri sorumlusu;  İş bu politikada kişisel verilerle ilgili veri sorumlusu olan şirketi ile şirketin yönetimi ve işletmesini, 

Kişisel verilerin işlenmesi;    Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,               depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri işleme envanteri; Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

KVKK;     Kişisel Verileri Koruma Kurumu’nu,

KVK Kanunu;     24.03.2016 tarihinde kabul edilen ve 07.04.2016 tarihinde 29677 sayılı RG de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

KVK Kurulu;     KVKK kurumu nezdindeki yetkili kurulu,

KVK Politikası;    KİŞİSEL VERİ SORUMLUSU tarafından kabul edilen ve yürütülen işbu Kişisel Verileri Koruma Politikasını,

KVSİ Politikası;   KVSYH Yönetmelik kapsamında hazırlanan Kişisel Veri Saklama ve İmha Politikasını,

KVSYH Yönetmelik;    KVK Kanunu kapsamında çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik,                              

KVYDAY    Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik

Otomatik işleme;    İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen kişisel veri işleme faaliyetini,

Otomatik olmayan işleme ;  İnsan müdahalesi ya da yardımı yoluyla yani elle yapılan kişisel veri işleme faaliyetini,

Özel nitelikli kişisel veri;  Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri , (Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiş olan ve kıyas yoluyla genişletilmesi mümkün olmayan veri türü)

Özet metin;    KİŞİSEL VERİ SORUMLUSU tarafında hazırlanan ve düzenlenen detaylı ve içerikli metinler, kitaplar, kitapçıklar yerine geçerli olmak üzere, bu metinlerin kısa bir özetinin yer aldığı aynı hizmete, amaca ve hedefe yönelik metin, yazı ve direktifleri, 

Periyodik imha;     Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden               aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

RG;     Resmi Gazeteyi,

Sicil;      KVKK Başkanlığı tarafından tutulan veri sorumlular sicilini,

Silme;      Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

TCK;      5237 sayılı Türk Ceza Kanunu’nu,

TMK;      4721 sayılı Türk Medeni Kanunu’nu,    

VERBİS;     Veri sorumluları sicil bilgi sistemi olarak bilinen veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, KVKK Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini,

Veri aktaran;    Kişisel verileri, kendi sisteminden başka bir veri sorumlusuna transfer eden, aktaran gerçek veya tüzel kişiyi,

Veri alıcısı;    Başka bir veri sorumlusu tarafından kendi sistemine kişisel veri aktarılan gerçek veya tüzel kişiyi, 

Veri envanteri;   Kişisel veri işleme envanteri olarak da isimlendirilen  KİŞİSEL VERİ SORUMLUSU’ nun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Veri işleyen;     Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi;     Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği elektronik ya da fiziki ortamda oluşturulabilen kayıt sistemini,

Veri sorumlusu   Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Veri sorumlusu temsilcisi;   Türkiye’de yerleşik olmayan veri sorumlularını asgari olarak (a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,  (b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme, (c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin KVK Kanunu’nun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme, (ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere KVK Kanunu’nun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme, (d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma gibi konularda asgari temsile yetkili olmak üzere temsilci kılınan Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,

VSBUH Tebliğ;     KVKK tarafından çıkarılan ve 10.03.2018 tarihli RG yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği,

VSSH Yönetmelik;   KVK Kanunu kapsamında çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik,                           

Yeterlilik Kararı   KVK Kurulu tarafından belirli şartların oluşması halinde, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına ilişkin verdiği kararı

Yok etme;     Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

ifade eder.

 Bu maddede bulunmayan terimler ve kavramlar için ilgili mevzuattaki terim ve kavram tanımları geçerlidir.

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER

Genel Olarak

 KİŞİSEL VERİ SORUMLUSU, işyeri ya da işletmelerinde, her türlü kişisel veriyi, şeffaf, ahlaka, ulusal ve uluslararası hukuk  kurallarına bağlı olarak, dürüstlük kuralları  içerisinde, açıklık, erişilebilirlik, hesap verebilirlik ilkelerini benimseyerek işlemeyi, bunu yaparken, amaca uygun, sınırlı, ölçülü ve tarafsız bir şekilde, objektif kriterlere uygun davranmayı, kişisel veri sorumlusu  ile etkileşim ve iletişim içinde bulunan ilgili kişilere ait kişisel verilerin doğruluğunu, güncelliğini ve bütünlüğünü korumak ve sürdürmek suretiyle, bu kişisel verilerin işleme amacına ve mevzuata uygun sürelerde  ve güncel teknolojik koşullarda güvenli bir şekilde ticari ve mesleki etik kuralları ile kişisel mahremiyet ve özel hayatın gizliliği başta olmak üzere uluslararası ve ulusal hukuk kuralları ile teminat altına alınmış temel insan hak ve  özgürlüklere saygı çerçevesinde korumayı ve saklamayı, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ettikten sonra silmeyi, yok etmeyi veya anonim hale getirmeyi Kişisel Verileri Koruma Politikasının temel ilkeleri olarak kabul etmektedir. 

Hukuki İlkeler

1. Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi

KİŞİSEL VERİ SORUMLUSU, KVK Kanunu çerçevesinde kişisel verilerin işlenmesi sürecinde ulusal ve uluslararası alanda yürürlükte bulunan mevzuata,  hukuk düzeni içerisinde yer alan ve TMK’nın 2nci maddesinde düzenlenen dürüstlük kuralına uygun hareket etmenin bir gereklilik ve zorunluluk olduğunun bilinci ile hareket etmektedir.

Dürüstlük kuralına uygun olma ilkesi uyarınca  KİŞİSEL VERİ SORUMLUSU, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerinin dikkate alınması gerektiğini, kişisel verisi işlenen kişinin  beklemediği ya da kendisinden beklenmesinin mümkün olmadığı  sonuçların ortaya çıkmasını önleyici   şekilde hareket etmenin,  söz konusu veri işleme faaliyetinin açık ve anlaşılır olması yanında ilgili kişiyi bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerektiğini kabul, taahhüt ve beyan etmektedir. 

KİŞİSEL VERİ SORUMLUSU ayrıca dürüstlük kurallarına uygun davranırken, kişisel verilerin işlenmesine dair öngörülen haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde, kendisine verilen hakkın sınırları içinde ve amacına uygun şekilde davranmayı da bir görev ve sorumluluk olarak kabul etmektedir.

2. Doğru ve Gerektiğinde Güncel Olma İlkesi

Anayasa ve KVK Kanunu ile de koruma altında bulunan ilgili kişinin kendisine ait verilerinin düzeltilmesi hakkına saygılı bir politika izleyen KİŞİSEL VERİ SORUMLUSU, bu politikaya uygun ve uyumlu olarak, işlediği kişisel verilerin doğru ve güncel bir şekilde tutulmasında, işleme sürecinin her aşamasında ve gerektiğinde güncel olmasının sağlanmasında, ilgili kişinin bilgilerinin doğru ve güncel olmasını sağlayacak kanalların açık tutulmasında, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle ilgili kişinin maddi ve manevi açıdan zarar görmesi halinde bunun tazminle sonuçlanacağı hususunda bilinçli, özenli ve  dikkatli davranmayı beyan, kabul ve taahhüt etmektedir.

Diğer yandan KİŞİSEL VERİ SORUMLUSU, bu ilke doğrultusunda hareket etmenin,  özel hayatın gizliliği başta olmak üzere ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gerekli olduğuna inanmaktadır.  

Böyle bir bakış açısı ile hareket etmenin,  kişisel veri sahibinin haklarının korunması yanında, kendi menfaatlerini de  koruduğunu  bilen ve öngören KİŞİSEL VERİ SORUMLUSU, kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli ya da belirlenebilir olmasına, bu kaynakların doğruluğunun ve güvenilirliğinin test ve teyit edilmesine dikkat ederek kişisel verilerin doğru olmamasından kaynaklı talepleri göz önünde bulundurarak, işbu politika ile  mevzuat kapsamında makul önlemleri almayı ilke edinmiştir.

3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi

KİŞİSEL VERİ SORUMLUSU, KVK Politikası kapsamında işbu ilkenin konuluş amacına uygun olarak;

1. Veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasına,
2. Veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin kolayca tespit edilmesine,
3. Veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayların ortaya konulmasına,

imkan sağlayacak şartları oluşturmayı beyan ve kabul etmektedir.

Bu ilke doğrultusunda KİŞİSEL VERİ SORUMLUSU, ilgili kişiye ait kişisel verilerin yasada öngörülen ve bu politikanın temelini oluşturan kurallara uygun, sunmuş olduğu iş ve hizmetlerle bağlantılı ve bunlar için gereksinim duyulması nedeniyle belirlenmiş, açık, kesin ve meşru amaçlar için işlendiğini ve işleneceğini bir politika olarak beyan ve kabul etmektedir.

Yine belirlilik ve açıklık ilkesinin gereği olarak KİŞİSEL VERİ SORUMLUSU, kişisel veri işleme amaçlarının açıklandığı etkileşim ve iletişim içinde bulunulan kişilerle  ilgili hukuki iş, işlemlerde ve metinlerde (açık rıza, aydınlatma metni, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline başvuru, sözleşme vb belgelerde) uygun düzenlemelerin yapıldığını, düzenlemeler yapılırken herkes tarafından anlaşılamayan teknik ve hukuki terminoloji kullanılmamasına özen gösterildiğini ve güncel halde tutulduğunu, ilgili kişiye beyan edilen amaçlar dışında onaysız ya da izinsiz veri işlenmeyeceğini, başka amaçlarla veri işlenmesi halinde, bu fiillerinden dolayı hukuki ve  cezai sorumlulukların ortaya çıkacağını KVK Politikası olarak benimsemiş ve kabul etmiştir.

4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi

KİŞİSEL VERİ SORUMLUSU, etkileşim ve iletişim içinde bulunduğu kişilere ait verilerin, daha önceden belirlenen ve açıklanan amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgisi olmayan veya gereksinim duyulmayan kişisel verilerin işlenmesinden kaçınılması gerektiğini, sonradan ortaya çıkması olası gereksinimlerin karşılanmasına yönelik olarak veri işleme yoluna gidilemeyeceği bilinci ile hareket etmektedir.

Yine buna paralel olarak KİŞİSEL VERİ SORUMLUSU, olası gereksinimlere yönelik veri işlenmesinin, yeni bir veri işleme faaliyeti anlamına geleceğini, böyle bir  durumda, KVK Kanunu 5. maddesinde düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerektiğini ya da gerekeceğini,  ayrıca işlenen verinin, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacağını, amaç için gerekli olanın dışında veri işlenmesinin, sınırlı tutulma ilkesine aykırılık teşkil edeceğini KVK Politikasının bir gereği olarak görmektedir.

KİŞİSEL VERİ SORUMLUSU, bu madde çerçevesinde ele alınan ölçülülük ilkesinin de, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına geldiğini,  diğer bir anlatımla veri işlemenin, veri işleme amacına uygun ve onunla uyumlu bir ölçüde gerçekleşmesi gerektiğini bilmekte ve buna göre hareket etmektedir.

5. Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi

KİŞİSEL VERİ SORUMLUSU, KVK Politikasının en önemli prensiplerinden birisi olan  “amaçla sınırlılık ilkesi” nin bir gereği olarak, kişisel veriyi işlediği  amaç için gerekli olan süreye uygun bir şekilde, ulusal ya da uluslararası mevzuatta yer alan hükümler çerçevesinde zamanaşımı ve hak düşürücü süreleri de dikkate alarak muhafaza etmeyi, böyle bir kanuni süre öngörülmemiş ise işlendikleri amaç için gerekli olan makul süre kadar saklamayı, verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde o verinin silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda gerekli hukuki ve idari tedbirleri almıştır ve almaktadır. 

Bir yandan bu sürelere uygun muhafaza edilme ilkesinin gereğini yerine getirirken,  diğer yandan da KVK Kanunu’nun 12. maddesinde yer alan hüküm çerçevesinde KİŞİSEL VERİ SORUMLUSU,  kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesine engel olmak ve kişisel verilerin muhafazasını sağlamak amacıyla uygun fiziksel ve teknolojik güvenlik düzeyini güvenli ve güncel halde tutmaktadır.

Bu maddede değinilen amaç doğrultusunda ve işbu politika kapsamında KİŞİSEL VERİ SORUMLUSU tarafından, kişisel veri saklama ve imha politikası ve esasları oluşturulmuş, saklama süreleri ve muhafaza edilmesi için gereken teknik ve idari tedbirleri belirlenmiş, kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamak üzere gerekli hukuki, idari, fiziki ve teknolojik önlemler uygulamaya konulmuştur.

KİŞİSEL VERİ SORUMLUSU, KVK Kanunu’nun 16. maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi VSSH Yönetmeliğin 9. Maddesini de dikkate alarak tespit etmekte, bu süreyi beyan etmekte, sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan ve mevzuatta öngörülen azami saklama sürelerini;    bu süreler ile mevzuatta öngörülen süreler farklı olabileceği için ya da zaman aşımı  süreleri söz konusu olabileceği saklamak için zamanaşımı sürelerinin veya  en uzun sürenin  esas alınmasını öngörerek sicile bildirimde bulunmaktadır.

Son olarak hem KİŞİSEL VERİ SORUMLUSU’ nun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen süreler, hem de zamanaşımı süreleri de dikkate alınarak KİŞİSEL VERİ SORUMLUSU tarafından belirlenen ve bildirilen saklama sürelerinin dolması durumunda, kişisel veriler KİŞİSEL VERİ SORUMLUSU tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ ŞARTLAR

1. Açık Rıza

KVK Kanunu’nun 5 inci maddesi çerçevesinde KİŞİSEL VERİ SORUMLUSU,   etkileşim ve iletişim içinde bulunduğu kişilerin verilerini işleme faaliyetine başlamadan önce, aşağıda belirtilen ve mevzuatta yer alan diğer veri işleme şartlarından birine dayanılıp dayanılamayacağı hususunda bir değerlendirme yapmakta, bu değerlendirme sonucunda veri işleme ilgili diğer şartlardan hiç birisinin bulunmaması halinde ilgili kişinin açık rızasını alma yoluna gitmektedir.

İşte bu amaçla KİŞİSEL VERİ SORUMLUSU ile etkileşim ve iletişim içinde bulunan kişilere ait verilerin yer aldığı fiziki ve elektronik ortamlar,  tüm hukuki iş, işlemler ve metinler (açık rıza, aydınlatma metni, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline başvuru, form, beyan, sözleşme vb belgelerde ) düzenlemelere gidilmiş, tüm süreç mevzuata uygun ve uyumlu hale getirilmiştir. 

2. Kanunlarda Açıkça Öngörülmesi

KİŞİSEL VERİ SORUMLUSU, her alanda olduğu gibi KVK Politikası kapsamında da ulusal ve uluslararası mevzuatta öngörülen hüküm ve kurallara uygun hareket eden, kanuna saygılı bir kurumdur.              

KVK Kanunu kapsamında KİŞİSEL VERİ SORUMLUSU,  mevzuatta açıkça öngörülen veri işleme şartlarından birinin oluşması veya kişisel verinin işlenmesi için emredici bir kuralın bulunması durumunda ilgili kişinin açık rızasına gerek duymaksızın kişisel verileri işleme faaliyetinde bulunmaktadır.

3. Fiili İmkânsızlık

 Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya hak ehliyetine sahip olup da fiil ehliyetine herhangi bir nedenle sahip olmayan ya da olamayan veya başkaca nedenlerle rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumlarında KİŞİSEL VERİ SORUMLUSU,  ilgili kişinin açık rızasını almadan kişisel verilerini işleyebilir.

4. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması

KİŞİSEL VERİ SORUMLUSU, içinde bulunduğu sektörün gerektirdiği hizmet ve ürünler ile ilgili faaliyette bulunabilmek için kendisi ile etkileşim ve iletişim içinde bulunan gerçek veya tüzel kişilerle sözleşmeler yapmakta, bu sözleşmeler kapsamında karşılıklı yükümlülük ve sorumluluklar altına girmektedir.  

İşte bu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda,  bu amaçla sınırlı olmak üzere ilgili kişilerin verilerini işlemektedir. Bu kapsamda yapılan veri işleme faaliyeti nedeniyle KİŞİSEL VERİ SORUMLUSU, ilgili kişinin açık rızasına gerek duymamaktadır. 

5. KİŞİSEL VERİ SORUMLUSU’ nun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

KİŞİSEL VERİ SORUMLUSU, KVK Kanunu başta olmak üzere ulusal ya da uluslararası mevzuatın öngördüğü başkaca mevzuat hükümleri çerçevesinde bir hukuki sorumluluk ya da yükümlülüğün gereği olarak veya resmi kurum ve kuruluşların, savcılık, mahkeme ya da başkaca devlet dairelerinin istemleri doğrultusunda ilgili kişinin açık rızasına başvurmadan kişisel verilerini işleyebilir. Bu kurumlarla paylaşabilir.

6. Kişisel Verinin İlgili Kişi Tarafından Alenileştirilmiş Olması

KİŞİSEL VERİ SORUMLUSU, etkileşim ve iletişimde bulunduğu ilgili kişinin kamuya açıkladığı, ilan ettiği üçüncü kişilerin erişimine açık şekilde paylaştığı, kendisi tarafından açık ve özgür iradesi ile alenileştirdiği kişisel verilerini öngörülen amaç çerçevesinde veri işleme faaliyetine tabi tutabilir. Böyle bir durumda ilgili kişinin açık rızasına başvuruda bulunmaya gerek duymamaktadır.

7. Kişisel Verinin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması

KİŞİSEL VERİ SORUMLUSU, kendisi lehine ya da aleyhine yürütülen bir soruşturmanın belgelendirilmesi, davanın ispatı, yasal takiplerle ilgili fatura, sözleşmelerin resmi işlemler için kullanılması için belgelerin zamanaşımı süresince saklanması gibi bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerini işlemektedir. Böyle bir durumda ilgili kişinin açık rızasına başvuruda bulunmaya gerek duymamaktadır.

8. Veri İşlemenin İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla KİŞİSEL VERİ SORUMLUSU’ nun Meşru Menfaatleri İçin Zorunlu Olması

KVK Kanunu çerçevesinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile KİŞİSEL VERİ SORUMLUSU’ nun meşru menfaatleri için veri islenmesinin zorunlu olması durumunda, ilgili kişinin kişisel verilerinin işlenmesi mümkündür.  Böyle bir durumda ilgili kişinin açık rızası aranmaz.

Diğer bir anlatımla ilgili kişinin temel hak ve özgürlüklerinin korunması karşısında, KİŞİSEL VERİ SORUMLUSU’ nun meşru, yeterli düzeyde etkin, hali hazırda mevcut bir menfaatinin bulunması,  bu menfaatin mevzuatın ruhuna ve amacına uygun olması, kişisel veri işleme faaliyetinin, güncel aktivitelerin yerine getirmesini zorunlu kılması halinde KİŞİSEL VERİ SORUMLUSU’ nun ilgili kişiye ait kişisel verileri işlemesinde herhangi bir hukuki engel bulunmamaktadır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

 Hassas veriler olarak da adlandırılan özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya aşırı mağduriyete neden olabilecek nitelikte oldukları için mevzuat ve işbu KVK Politikası kapsamında diğer kişisel verilere oranla çok daha sıkı şekilde ve özel yöntemlerle korunmaları gerekmektedir.

6698 sayılı KVK Kanunu 6 maddesinde ilgili kişilere ait ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veridir.

Normal şartlar altında işlenmesi yasak olan bu verileriniz KVK Kanunu 6. maddesinde sayılan aşağıda belirtilen durumların varlığı halinde KİŞİSEL VERİ SORUMLUSU tarafından işlenmesi söz konusudur. KİŞİSEL VERİ SORUMLUSU,

1. İlgili kişinin açık rızasının olması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle ilgili kişinin rızasını açıklayamayacak durumda bulunması veya açık rızaya hukuki geçerlilik tanınmayan hallerde, ilgili kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. İlgili kişi tarafından alenileştirilen kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
7. KİŞİSEL VERİ SORUMLUSU’ nun, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerini yerine getirilmesi için zorunlu olması,
8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

halinde mümkün olduğunu bilmekte ve veri işleme faaliyetlerini bu çerçevede yürütmektedir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ

VEYA

ANONİM HALE GETİRİLMESİ

KVK Kanunu’nun 7. Maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hükmüne göre, kişisel verilerin hukuka uygun olarak islenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, re’sen veya ilgili kişinin talebi üzerine KİŞİSEL VERİ SORUMLUSU tarafından silinmekte, yok edilmekte veya anonim hâle getirilmektedir.

Buna göre KİŞİSEL VERİ SORUMLUSU;

1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
2. KİŞİSEL VERİ SORUMLUSU’ nun etkileşim ve iletişim içinde bulunduğu gerçek veya tüzel kişiler arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi aşamalarından sonra işleyen zamanaşımı süresinin dolması,
3. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
4. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
5. Kişisel verileri işlemenin sadece açık rıza şartına bağlı olarak gerçekleştiği durumlarda, ilgili kişinin rızasını geri alması,
6. İlgili kişinin, KVK Kanunu “İlgili kişinin hakları” başlıklı 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun KİŞİSEL VERİ SORUMLUSU tarafından kabul edilmesi,
7. KİŞİSEL VERİ SORUMLUSU’ nun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVK Kanununda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurulu’na şikâyette bulunulması ve bu talebin KVK Kurulu tarafından uygun bulunması,
8. Kişisel verilerin saklanmasını gerektiren azami sürenin ya da zaman aşımı süresinin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
9. KVK Kanunu’nun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması

gibi hallerde kişisel verileri silebilir, yok edebilir ya da anonim hâle getirebilir.

Yukarıda sayılan şartlardan birinin varlığı halinde kişisel verileri silmek, yok etmek veya anonim hale getirmek, ilgili kişinin başvurusuna gerek duyulmaksızın KİŞİSEL VERİ SORUMLUSU’nun yükümlülüğü ve sorumluluğundadır. Ancak ilgili kişi de, şartları oluşmuş ise KİŞİSEL VERİ SORUMLUSU’ ndan   kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini talep etme hakkına sahiptir.

Öte yandan KİŞİSEL VERİ SORUMLUSU tarafından, KVSYH Yönetmeliğinin 7 inci ve devamı maddelerinde öngörülen hükümler çerçevesinde KVSİ Politikası düzenlenmiştir. KİŞİSEL VERİ SORUMLUSU tarafından işlenen kişisel verilerin, saklanması,  silinmesi, yok edilmesi veya anonim hale getirilmesi işbu politika ile ilişkili KVSİ Politikasındaki esaslar çerçevesinde yerine getirilmektedir. 

KİŞİSEL VERİ SORUMLUSU tarafından KVK Kanunu’nun yürürlüğe girmeden önce veya varsa kanun değişikliğinden önce işlenen verilerin kanuna uygun ve güncel hale getirilmesi, gerekirse silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili durumlar için de KVSİ Politikasında yer alan ilkeler uygulanır.

KİŞİSEL VERİLERİN AKTARILMASI

 KVK Kanunu başta olmak üzere ulusal ve uluslararası mevzuat hükümleri çerçevesinde KİŞİSEL VERİ SORUMLUSU, işlediği kişisel verileri yurt içinde ya da yurt dışına aktarabilir. Transfer işlemlerine tabi tutabilir.  Bu işlemler sırasında KVK Kanunu 8 ve 9 uncu maddeleri ile 95/46/EC Sayılı Direktif ve bu direktifi yürürlükten kaldıran GDPR hükümleri dikkate alınmaktadır.  KİŞİSEL VERİ SORUMLUSU, kişisel verilerin yurt içinde ve dışına aktarımı konusunda yukarıda belirtilen kanun maddeleri ile direktiflerin öngördüğü şartları yerine getirmiştir.

1. Kişisel Verilerin Yurt İçinde Aktarılması

KİŞİSEL VERİ SORUMLUSU, KVK Kanunu’nun 8 inci maddesinin verdiği yetki ve işbu politika çerçevesinde ilgili kişinin açık rızasını almak suretiyle, işlediği verileri üçüncü kişilere aktarabilir.

Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:

1. İlgili kişinin açık rızasının alınması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. KİŞİSEL VERİ SORUMLUSU’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, KİŞİSEL VERİ SORUMLUSU’nun meşru menfaatleri için veri işlenmesinin zorunlu olması,

KİŞİSEL VERİ SORUMLUSU açısından,  özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması ve bu konuda yeterli önlemlerin alınması gerekmektedir. Şöyle ki ;

1. İlgili kişinin açık rızasının olması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

üçüncü kişilere aktarılabilmesi kanunen mümkündür.

Diğer yandan, KİŞİSEL VERİ SORUMLUSU, açık rızanın bulunmadığı durumlarda özel nitelikli kişisel verilerin aktarılması için kanun ve yönetmeliklerin öngördüğü yeterli önlemleri almış ve almaktadır. Kişisel verilerin yurtiçinde aktarılmasında diğer kanunlarda yer alan hükümler saklıdır. 

İşbu KVK Politikası kapsamında herhangi bir Veri İşleyen’in söz konusu olması halinde, Veri İşleyen ile KİŞİSEL VERİ SORUMLUSU arasındaki kişisel veri transferlerinde KVK Kanunu’nun 8 inci madde hükümleri uygulanır. Hemen belirtmek gerekir ki;  Veri sorumlusu bünyesinde gerçekleşen, ONUN tüzel kişiliği çerçevesinde faaliyet gösteren işletme, işyeri çalışanlar ve farklı departmanlar arasındaki veri aktarımı, KVK Kanunu’nun 8. maddesi çerçevesinde aktarım olarak kabul edilmemektedir. Ancak KİŞİSEL VERİ SORUMLUSU ile iş birliği veya çözüm ortağı olarak faaliyet gösteren ayrı tüzel kişiliğe sahip olanlarla gerçekleşen veri aktarımları,  KVK Kanunu 8 inci ve 9 uncu madde ile işbu KVK Politikası kapsamında veri transferi olarak değerlendirilmektedir.

2. Kişisel Verilerin Yurt Dışına Aktarılması

KİŞİSEL VERİ SORUMLUSU veya veri işleyen,  kişisel verileri, aşağıda belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarabilir.

Yeterlilik kararının bulunmaması halinde ise KİŞİSEL VERİ SORUMLUSU veya veri işleyen

1. İlgili kişinin açık rızasının alınması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. KİŞİSEL VERİ SORUMLUSU’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, KİŞİSEL VERİ SORUMLUSU’nun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Özel nitelikli kişisel veriler söz konusu olduğunda;

1. İlgili kişinin açık rızasının olması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve KVK Kurulu tarafından aktarıma izin verilmesi, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve KVK Kurulu tarafından onaylanan bağlayıcı şirket kurallarının varlığı, KVK Kurulu tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı veya yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve KVK Kurulu tarafından aktarıma izin verilmesi gibi uygun güvencelerden birinin taraflarca sağlanması halinde yurt dışına aktarılabilir. Standart sözleşme imzalandıktan itibaren beş iş günü içinde VERİ SORUMLUSU veya veri işleyen tarafından KVK Kurumuna bildirilir.

Yeterlilik kararının bulunmaması veya yukarıda sayılan uygun güvencelerden herhangi birinin sağlanamaması durumunda KİŞİSEL VERİ SORUMLUSU, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
2. Aktarımın, ilgili kişi ile VERİ SORUMLUSU arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
4. Aktarımın üstün bir kamu yararı için zorunlu olması.
5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

KİŞİSEL VERİ SORUMLUSU, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da KVK Kanununda, KVYDAY yönetmelikte ve yukarıda yer alan güvenceleri sağlamayı ve buna uygun davranmayı taahhüt ve kabul etmektedir.

KİŞİSEL VERİ SORUMLUSU’ NUN

VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

6698 sayılı KVK Kanunu 12. Maddesi çerçevesinde VERİ SORUMLUSU;

1. Kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek,
2. Kişisel verilerinize hukuka aykırı olarak erişilmesini önlemek,
3. Kişisel verilerinizin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olup, bu noktada yer alan idari ve teknik tedbirleri almıştır. Almaktadır.

Diğer taraftan KİŞİSEL VERİ SORUMLUSU, kişisel verilerin kendisi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen idari ve teknik tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğunu, kendi kurum veya kuruluşunda, mevzuat hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlü olduğunu, VERİ SORUMLUSU ile veri işleyenlerin, öğrendikleri kişisel verileri yine mevzuat hükümlerine aykırı olarak başkasına açıklayamayacağını ve işleme amacı dışında kullanamayacağını, bu yükümlülüklerin görevden ayrılmalarından sonra da devam edeceğini, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, kendisinin bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlü olduğunu, KVK Kurulunun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceğini kabul etmektedir.

Ayrıca, KVKK tarafından veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla çıkarmış olduğu düzenleyici işlemlerin gereğini yapmaktadır. Teknik ve idari tedbirlere ilişkin ayrıntılar ile KVK Kurulu tarafından belirlenen asgari kriterler alınmak sureti ile sektör bazında işlenen ve ayrıştırılan kişisel veriler KVK Politikası kapsamında hazırlanan tablo, şema ve grafiklerde gösterilmiştir.

KİŞİSEL VERİ SORUMLUSU, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde yani bir veri işleyenin söz konusu olması halinde yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğunu bilmekte ve kabul etmektedir.

KİŞİSEL VERİ SORUMLUSU, bizzat kendisi, temsilcisi ya da tayin edeceği bir üçüncü kişi vasıtası ile   kendi kurum veya kuruluşunda, bu KVK Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlüdür.  Buna ek olarak veri işleyen kişiler, öğrendikleri kişisel verileri bu KVK Kanunu hükümlerine aykırı olarak başkasına açıklamaz ve işleme amacı dışında kullanmaz. Bu durum görevden ayrılmalar halinde dahi devam eder.

KİŞİSEL VERİ SORUMLUSU’NUN

AYDINLATMA YÜKÜMLÜLÜĞÜ

KİŞİSEL VERİ SORUMLUSU,  KVK Kanunu’nun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

1. VERİ SORUMLUSU’ nun ve isteğe bağlı olarak varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. KVK Kanunu 11. Madde kapsamında ilgili kişiye tanınan kişisel verilere ilişkin hakların kullanımına dair diğer hakların ne olduğu

Diğer taraftan KİŞİSEL VERİ SORUMLUSU, KVKK tarafından aydınlatma yükümlülüğü kapsamında Veri Sorumlularının uyması gereken usul ve esaslar konusunda yayınlamış olduğu AYYGE Tebliğ’in 5 ve 6 ıncı maddeleri kapsamında aşağıdaki yükümlülüklere uygun davranmayı ilke edinmiştir. 

KİŞİSEL VERİ SORUMLUSU ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esasları kabul etmiş bulunmaktadır :

1. KİŞSEL VERİ SORUMLUSU, ilgili kişinin açık rızasına veya KVK Kanunu’ndaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünü yerine getirmektedir.
2. Kişisel veri işleme amacı değiştiğinde KİŞİSEL VERİ SORUMLUSU, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünü yerine getirmektedir.
3. Kişisel verilerin farklı birimlerde farklı amaçlarla işlenmesi halinde KİŞİSEL VERİ SORUMLUSU, aydınlatma yükümlülüğünü her bir birim nezdinde ayrıca yerine getirmektedir.
4. Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde KİŞİSEL VERİ SORUMLUSU tarafından ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu bir şekilde tutulmaktadır.
5. KİŞİSEL VERİ SORUMLUSU aydınlatma yükümlülüğünün yerine getirilmesi hususundaki yükümlülüğün, ilgili kişinin talebine bağlı bulunmadığını bilmekte ve bu işlemi re’sen yapmaktadır.
6. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı KİŞİSEL VERİ SORUMLUSU ’na aittir.
7. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde KİŞİSEL VERİ SORUMLUSU, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmektedir.
8. KİŞİSEL VERİ SORUMLUSU, aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerektiğini bilmektedir. KİŞİSEL VERİ SORUMLUSU tarafından bu yükümlülük yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemekte, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanmamaktadır.
9. KİŞİSEL VERİ SORUMLUSU, aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimi anlaşılır, açık ve sade bir dil kullanarak gerçekleştirmektedir.
10. KİŞİSEL VERİ SORUMLUSU, aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebi, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları, bu verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açıkça belirtilmektedir.

Aynı yönetmeliğin 6 ıncı maddesine göre,  kişisel verilerin ilgili kişiden elde edilmemesi yani üçüncü bir kişiden elde edilen kişisel verilerin bulunması halinde KİŞİSEL VERİ SORUMLUSU, aydınlatma yükümlülüğü kapsamında

1. Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
2. Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
3. Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

ilgili kişiyi bilgilendirmektedir.

İLGİLİ KİŞİLER TARAFINDAN YAPILAN BAŞVURULARIN CEVAPLANMASI

VE

KARARLARIN YERİNE GETİRİLMESİ YÜKÜMLÜLÜĞÜ

KVK Kanunu’nun 13. maddesine ve bu maddeye istinaden 10.03.2018 tarihli RG yayımlanan VSBUH Tebliğine göre, ilgili kişiler tarafından yazılı olarak veya bahse konu Tebliğ’de yer verilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından KİŞİSEL VERİ SORUMLUSU’nun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik olarak KİŞİSEL VERİ SORUMLUSU tarafından geliştirilmiş bir yazılım ya da uygulama vasıtasıyla yapılan kişisel veriler hakkındaki başvurular, niteliklerine göre  yine KİŞİSEL VERİ SORUMLUSU tarafından en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılır.

Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, KİŞİSEL VERİ SORUMLUSU, KVK Kurulunca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteme hakkına sahiptir.

KİŞİSEL VERİ SORUMLUSU, ilgili kişinin başvuru talebini kabul eder ise veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruya konu talebin kabul edilmesi durumunda bu talebin gereği KİŞİSEL VERİ SORUMLUSU tarafından en kısa süre içinde yerine getirilir. Yapılan başvuru KİŞİSEL VERİ SORUMLUSU’nun hatasından kaynaklanmış ise alınan ücret ilgiliye iade edilir.

Başvurunun KİŞİSEL VERİ SORUMLUSU tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, KİŞİSEL VERİ SORUMLUSU’nun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kuruluna şikâyette bulunma hakkına sahiptir.

VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ

KİŞİSEL VERİ SORUMLUSU, KVK Kanunu’nun 16. maddesine göre, KVKK tarafında kamuya açık olarak tutulan VERBİS sitemine kayıtlı bir kuruluş olarak,  VSSH Yönetmeliğinde belirlenen ve KVK Kurulu tarafından aşağıda sayılan ve belirlenen kişisel verileri işleme ve aktarma kriterlerine uygun davranmayı ilke edinmiştir.

 Buna göre söz konusu kriterler:

1. Kişisel verinin niteliği.
2. Kişisel verinin sayısı.
3. Kişisel verinin işlenme amacı.
4. Kişisel verinin işlendiği faaliyet alanı.
5. Kişisel verinin üçüncü kişilere aktarılma durumu.
6. Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
7. Kişisel verilerin muhafaza edilmesi süresi.
8. Veri konusu kişi grubu veya veri kategorileri.

BİLDİRİM YÜKÜMLÜLÜĞÜ

KİŞİSEL VERİ SORUMUSU işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve KVK Kurulu’na bildirmektedir.

KVK Kurulu, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan etme hak ve yetkisine sahiptir.

İLGİLİ KİŞİNİN HAKLARI

KVK Kanunu’ nun 11. maddesi çerçevesinde ilgili kişi her zaman KİŞİSEL VERİ SORUMLUSU’na başvurarak,  kendisi ile ilgili;

      Kişisel verilerinin işlenip işlenmediğini öğrenme,

      Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

      Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

      Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

      Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

      Kişisel verilerin silinmesini veya yok edilmesini isteme,

      Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

      İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

      Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

İLGİLİ KİŞİNİN HAK ARAMA USULÜ

İlgili kişiler,  KİŞİSEL VERİ SORUMLUSU tarafında tutulan kişisel verileri ile ilgili haklarının korunması için doğrudan yargı yoluna başvurmanın yanı sıra KVK Kanunu 13, 14 ve 15 inci madde hükümleri ile getirilen aşağıdaki hak arama yöntemlerini kullanabilirler.

KVK Kanunu’nun 11. maddesine göre ilgili kişilerin, KİŞİSEL VERİ SORUMLUSU’na  başvurarak; kendileriyle  ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunlara ilişkin bilgi talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini, anonim hale getirilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları vardır.

İlgili kişilerin, sahip oldukları şikayet haklarını kullanabilmeleri için öncelikle KİŞİSEL VERİ SORUMLUSU’na başvurmaları zorunludur. Bu yol tüketilmeden KVK Kurulu’na şikâyet yoluna gidilememektedir. Şikayet yoluna başvurmak istemeyen ilgili kişiler, doğrudan doğruya yargı yoluna gidebilirler.

İlgili kişinin talebi, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde KİŞİSEL VERİ SORUMLUSU tarafından cevaplandırılır.

Başvurusu reddedilen veya verilen cevabı yetersiz bulan, yahut süresinde başvurusuna cevap verilmeyen ilgili kişiler bu aşamadan sonra KVK Kurulu’na şikâyet hakkını kullanabilir ya da doğrudan yargı yoluna başvurabilir.

İlgili kişilerin tazminat talep hakları saklıdır.

İlgili kişi, kişisel verileri konusunda, KİŞİSEL VERİ SORUMLUSU’nun yukarıda ilk sayfada belirtilen adres ve iletişim kaynaklarına yazılı ya da e-posta yoluyla başvuru yapabilir.

İlgili kişi,  kişisel verileri hakkında KİŞİSEL VERİ SORUMLUSU’na yazılı ve ıslak imzalı bir belge ile ya da güvenli elektronik imzayla ya da mobil imza kullanarak başvuruda bulunabilir.

Bu başvurular, KİŞİSEL VERİ SORUMLUSU’na, ilgili kişiler tarafından yazılı olarak veya VSBUH Tebliğ’de yer verilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından KİŞİSEL VERİ SORUMLUSU’nca daha önce bildirilen ve VERBİS’de kayıtlı bulunan e-posta adresini kullanmak suretiyle veya başvuru amacına yönelik olarak geliştirilmiş bir yazılım ya da uygulama vasıtasıyla da yapılabilir.  KİŞİSEL VERİ SORUMLUSU,  yapılan başvuruları niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır.

KİŞİSEL VERİ SORUMLUSU, kendisine yöneltilen talepleri kabul edebileceği gibi gerekçesini açıklayarak reddetme hak ve yetkisine sahiptir. 

KİŞİSEL VERİ SORUMLUSU tarafından   kendisine yöneltilen talebin kabul edilmesi halinde, bu talebin gereklerini doğrudan ve derhal yerine getirilir. Talebin kabul edilmesine rağmen, gereklerinin yerine getirilmemesi,  KİŞİSEL VERİ SORUMLUSU tarafından bu talebin reddedildiği anlamına gelir.

KİŞİSEL VERİ SORUMLUSU tarafından ilgili kişinin başvurusunun reddedilmesi, verdiği cevabın yetersiz bulunması ya da süresinde cevap vermemesi hallerinde ilgili kişi KVK Kurulu’na başvuruda bulunabilir.

KİŞİSEL VERİ SORUMLUSU,  KVK Kanunu 13. maddesi gereğince, ilgili kişilerin başvuru taleplerini ücretsiz olarak karşılamaktadır.  Ancak yapılacak olan işlemin ayrıca bir maliyet gerektirmesi halinde KVK Kurulu tarafından belirlenmiş olan tarifeye göre ilgili kişiden ücret talep edebilmesi mümkündür.

Bu tarifeye göre; KİŞİSEL VERİ SORUMLUSU tarafından ilgili kişinin başvurusuna yazılı olarak cevap verilecekse 10 sayfaya kadar ücret alınmaz, 10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınır. başvuruya verilecek olan cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde KİŞİSEL VERİ SORUMLUSU tarafından talep edilebilecek ücret,  söz konusu kayıt ortamının maliyetini geçemez.

İlgili kişinin,  KVK Kanunu uygulanmasına dair istemde bulunduğu talebe ilişkin konuda KİŞİSEL VERİ SORUMLUSU’nun hatalı olması durumunda alınan ücret ilgili kişiye iade edilir.

KİŞİSEL VERİ SORUMLUSU’na yaptığı başvurusu reddedilen, verilen cevabı yetersiz bulan veya yahut süresinde başvurusuna cevap verilmeyen ilgili kişiler KVK Kurulu’na şikâyet hakkını kullanabilir.

Kişisel verilerin hukuka aykırı olarak işlenmesi halinde yani herhangi bir ihlal halinde KVK Kanun’nun 15. maddesi gereği KVK Kurulu’nun inceleme yapma yetkisi bulunmaktadır.

KVK Kurulu bu yetkisini, şikâyet üzerine ya da şikayet olmaksızın kendiliğinden kullanabilir.

 KVK Kurulu’na yapılacak ihbar ve şikâyetlerin işleme konulabilmesi için, 3071 sayılı DHKD Kanun’un 6. maddesinde belirtilen hükümlere uygun olarak sunulması ve aşağıdaki şartları birlikte taşıması gerekir.

      Dilekçe belirli bir konuyu içermelidir.

      Dilekçe yargı mercilerinin görevlerine giren konularla ilgili olmamalıdır.

      Dilekçede dilekçe sahibinin adını-soyadını, imzasını ve iş ya da ikametgâh adresleri bulunmalıdır. 

      KVK Kurulu’na şikâyette bulunmanın önce KİŞİSEL VERİ SORUMLUSU’na başvuruda bulunulmalıdır.

İlgili kişi KİŞİSEL VERİ SORUMLUSU’na başvurduktan sonra ayrıca şikâyette bulunabilmek için ilgili kişinin belirli bazı süre sınırlamalarına da uyması gerekir. Buna göre ilgili kişi, KİŞİSEL VERİ SORUMLUSU’nun cevabını öğrendiği tarihten itibaren otuz gün içerisinde KVK Kurulu’na şikâyette bulunabilir.  Her durumda KİŞİSEL VERİ SORUMLUSU’na başvuru tarihinden itibaren altmış gün içinde ilgili kişinin KVK Kurulu’na şikâyette bulunabilmesi mümkündür.

KVK Kurulu, ilgili kişi tarafından gönderilen talepleri incelerken KİŞİSEL VERİ SORUMLUSU’ndan gerekli tüm bilgi ve belgeleri talep edebilme, yerinde inceleme, yerinde inceleme amacıyla imkân sağlama, devlet sırrı niteliğindeki belgeler hariç olmak üzere istediği belgelerin kendisine on beş gün içinde gönderilmesini talep etme hak ve yetkisine sahiptir.

KVK Kurulu, inceleme süreci sonuçlandırılmadan önce telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hallerinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına da karar verebilir.

KVK Kurulu’nun altmış günlük süre içinde ilgili kişiye bir cevap vermesi gerekir. Söz konusu süre boyunca başvurana bir cevap verilmezse, talep reddedilmiş sayılır. Söz konusu

KVK Kurulu’nun resen başlattığı incelemelerde herhangi bir süre sınırlaması yoktur.

KVK Kurulu , şikâyet üzerine ya da resen başlattığı inceleme sonucunda bir karar vermektedir. KVK Kanunu kapsamında ilgili kişinin şikayet tarihinden itibaren altmış gün içinde herhangi bir cevap verilmezse ilgili kişinin şikayeti ve şikayete konu talebi reddedilmiş sayılmaktadır.

KVK Kurulu, yaptığı inceleme sonucunda kişisel verilerin korunması ile ilgili hakkın ihlal edildiği sonucuna varması halinde tespit ettiği hukuka aykırılıkların KİŞİSEL VERİ SORUMLUSU tarafından giderilmesine karar vererek bu kararı hem KİŞİSEL VERİ SORUMLUSU’na hem de ilgili kişiye tebliğ eder.

KİŞİSEL VERİ SORUMLUSU, KVK Kurulu tarafından verilen ve kendisine gönderilen kararın gereklerini tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirir. 

KVK Kurulu tarafından alınan ilke kararlarına hem ilgililer hem de emsal olaylarda ilgili diğer kişiler tarafından uyulması zorunludur.