-
- Aydınlatma Metni
KVKK
Bu prosedürün amacı, Üniversitemiz tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu doğrultusunda hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmaktır.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 1 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
1. AMAÇ ve KAPSAM
Bu prosedürün amacı, Üniversitemiz tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu
doğrultusunda hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin
korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmaktır. Bu kapsamda,
öğrencilerimiz, mezunlarımız, çalışanlarımız, çalışan adaylarımız, yetkililerimiz, ziyaretçilerimiz, işbirliği
içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ve ü.üncü kişiler başta olmak üzere
kişisel verileri Üniversitemiz tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamak
amaçlanmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Kapsam” başlıklı 2. maddesinde kanunun kapsamı
düzenlenmiştir. Buna göre, İstanbul Üniversitesi-Cerrahpaşa Kişisel Verilerin İşlenmesi ve Korunması
Prosedürü öğrencilerimizin, mezunlarımızın, çalışanlarımızın, çalışan adaylarımızın, yetkililerimizin,
ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve
ü.üncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Prosedürün uygulama kapsamı, yukarıda belirtilen kategorilerde yer alan kişisel veri sahiplerinin tamamı
olabileceği gibi (örn. ziyaretçimiz de olan mezunlarımız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca
ziyaretçilerimiz gibi) olabilecektir.
2. SORUMLULAR
Bu prosedürden Bilgi İşlem Daire Başkanlığı ve İÜC Kişisel Verilerin İşlenmesi ve Korunması Komisyonu,
uygulatılmasından Rektör sorumludur.
3. TANIMLAR ve KISALTMALAR
AB: Avrupa Birliği.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve .zgür iradeyle açıklanan rıza.
Aday çalışan: Üniversitemize herhangi bir yolla iş veya staj başvurusunda bulunmuş ya da özgeçmiş ve
ilgili bilgilerini Üniversitemizin incelemesine açmış olan gerçek kişiler.
Anayasa: 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete' de yayımlanan; 7 Kasım 1982 tarihli ve 2709
sayılı Türkiye Cumhuriyeti Anayasası.
Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içerecek,
prosedür kapsamında yukarıda bağlantı sağlanan başvurunun yöntemini açıklayan "6698 Sayılı Kişisel
Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusu'na
Yapılacak Başvurulara İlişkin Başvuru Formu”.
Çalışan: İstanbul Üniversitesi-Cerrahpaşa bünyesinde çalışmakta olan akademik ve idari personel.
İÜC: İstanbul Üniversitesi-Cerrahpaşa
İş ortağı: Üniversitemizin faaliyetlerini yürütürken iş ortaklığı kurduğu taraflar.
İşbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri: Üniversitemizin her türlü iş
ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan,
bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
KEP: Kayıtlı elektronik posta
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 2 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; öğrenciler, mezunlar
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; ad-soyad, TCKN,
e-posta, adres, doğum tarihi, kredi kartı numarası vb. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi
kanun kapsamında değildir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem.
KVK Kanunu: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete'de yayımlanan, 24 Mart 2016 tarihli ve
6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu: Kişisel Verileri Koruma Kurumu bünyesinde oluşturulmuş kurul.
KVK Kurumu: Kişisel Verileri Koruma Kurumu.
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, demek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Prosedür: İstanbul Üniversitesi-Cerrahpaşa Kişisel Verilerin Korunması ve İşlenmesi Prosedürü.
Tedarikçi: Üniversitemizin faaliyetlerini yürütürken Üniversitemizin emir ve talimatlarına uygun olarak
sözleşme temelli olarak Üniversitemize hizmet sunan taraflar.
Türk Borçlar Kanunu: 4 Şubat 2011 tarihli ve 27836 sayılı Resmi Gazete'de yayımlanan; 1 1 Ocak 2011
tarihli ve 6098 sayılı Türk Borçlar Kanunu.
Türk Ceza Kanunu: 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli
ve 5237 sayılı Türk Ceza Kanunu.
Türk Ticaret Kanunu: 14 Şubat 2011 tarihli ve 27846 sayılı Resmi Gazete'de yayımlanan; 13 Ocak 2011
tarihli ve 6102 sayılı Türk Ticaret Kanunu.
..üncü kişi: Prosedür kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri prosedür
kapsamında işlenen gerçek kişiler (Örn. Kefil, refakatçi, aile bireyleri ve yakınlar).
Üniversite yetkilisi: Rektör.
Üniversitemiz: İstanbul Üniversitesi-Cerrahpaşa.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel
kişi. Örneğin, Üniversitemizin verilerini tutan bulut bilişim firması, scriptler çerçevesinde arama yapan
call-center firması vb.
Veri sorumlusu: 6698 Sayılı KVKK'da görev tanımı verilen, kişisel verilerin işlenme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişidir. İstanbul Üniversitesi-Cerrahpaşa veri sorumlusu İÜC Kişisel Verilerin İşlenmesi ve Korunması
Komisyonudur.
Ziyaretçi: Üniversitemizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan, etkinliklerimize
katılan veya internet sitelerimizi ziyaret eden gerçek kişiler.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 3 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
4. UYGULAMA
4.1. TemeI İlkeler
1- Kişisel verilerin korunması, Üniversitemizin öncelikli konuları arasında yer almaktadır. Bu konunun
en önemli noktasını Kişisel Verilerin İşlenmesi ve Korunması Prosedürü ile yönetilen; öğrenci
adaylarının, öğrencilerimizin, mezunlarımızın, çalışanlarımızın, çalışan adaylarımızın,
yetkililerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve
yetkililerinin ve ü.üncü kişilerin kişisel verilerinin işlenmesi ve korunması oluşturmaktadır.
2- Türkiye Cumhuriyeti Anayasası uyarınca, herkes, kendisi ile ilgili kişisel verilerin korunmasını talep
etme hakkına sahiptir. Anayasal bir hak olan kişisel verilerin korunması hususunda Üniversitemiz,
bu politika ile yönetilen; öğrencilerimizin, mezunlarımızın, çalışan adaylarımızın, yetkililerimizin,
ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve
ü.üncü kişilerin kişisel verilerinin korunması konusunda gereken hassasiyeti göstererek bunu bir
Üniversite politikası haline getirmektedir.
3- Bu kapsam doğrultusunda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması amacıyla
Üniversitemiz tarafından gerekli teknik ve idari tedbirler alınmaktadır.
4- Prosedürün Türk.e metni ile çevrildiği yabancı dil/diller arasında bir çelişki olması durumunda
Türk.e metin esas alınacaktır.
5- Bu prosedürde, kişisel verilerin işlenmesinde Üniversitemizin benimsediği ve aşağıda belirtilen ana
ilkelere ait detaylı açıklamalarda bulunulacaktır;
• Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve .l.ülü işleme,
• Kişisel verileri ilgili mevzuatta .ng.rülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza etme,
• Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
• Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
• Kişisel verilerin muhafazasında gerekli tedbirleri alma,
• Kişisel verilerin işleme amacının gereklilikleri doğrultusunda ü.üncü kişilere aktarılmasında,
ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
• Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
4.2. Yöntem
4.2.1. Prosedürün ve İlgili Mevzuatın Uygulanması
6- Kişisel verilerin işlenmesi ve korunması hususunda yürürlükte bulunan ilgili kanuni düzenlemeler
öncelikli olarak uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve politika arasında bir
uyumsuzluk bulunması durumunda, Üniversitemiz yürürlükte bulunan mevzuatın uygulama alanı
bulacağını kabul etmektedir.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 4 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
7- Prosedür, ilgili mevzuatın ortaya koyduğu kuralların Üniversitemiz uygulamaları kapsamında
somutlaştırılarak düzenlenmesi ile oluşturulmuştur. Üniversitemiz, KVK Kanunu'nda .ng.rülen
yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.
4.2.2. Kişisel Verilerin Korunmasına İlişkin Hususlar
4.2.2.1. Kişisel Verilerin Güvenliğinin Sağlanması
8- Üniversitemiz, veri güvenliği konusuna üst düzeyde dikkat ve özen göstermekte olup aşağıda
belirtilen hususlarda veri güvenliği konusunda gerekli teknik, idari ve hukuki tedbirleri almaktadır.
9- Üniversitemiz tarafından KVK Kanunu'nun 12. maddesi uyarınca veri güvenliğini sağlamaya yönelik
olarak alınan faaliyet ve tedbirler aşağıda belirtilmektedir;
• Üniversitemiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek, kişisel verilerin hukuka uygun
işlenmesini sağlamak için, teknolojik imkanlar ve uygulama maliyetine göre teknik ve idari
tedbirler almaktadır.
• Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak bir başkasına
açıklayamayacağını, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden
ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda
kendilerinden gerekli taahhütler alınmaktadır.
• Üniversitemiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin
niteliği, teknolojik imkanlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
• Üniversitemiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka
aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması
konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar
nezdinde farkındalıkları arttırmaktadır.
• Üniversitemizin veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu
yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu
Üniversitemizin tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara
veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde sözleşmesel
olarak yükletilmektedir.
• Üniversitemiz, KVK Kanunu'nun 12. maddesine uygun olarak, kendi bünyesinde gerekli
denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Üniversitenin iç işleyişi
kapsamında konu ile ilgili b.lüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli
faaliyetler yürütülmektedir.
• Üniversitemiz, KVK Kanunu'nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni
olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili
kişisel veri sahibine ve KVK Kurulu'na bildirilmesini sağlayan sistemi yürütmektedir.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 5 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
4.2.2.2. Veri Sahibinin Haklarının Gözetilmesi;
10- Üniversitemiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine
gereken bilgilendirmenin yapılması için KVK Kanunu'nun 13. maddesine uygun bir şekilde gerekli
kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
11- Kişisel veri sahipleri, haklarına ilişkin taleplerini, aşağıda belirtilen yöntemlerle Üniversitemize
iletmeleri durumunda Üniversitemiz, talebin niteliğini dikkate alarak talebi en kısa sürede ve en
geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyeti
gerektirmesi halinde, Üniversitemiz tarafından KVK Kurulunca belirlenen tarifedeki ücret
alınacaktır.
Bu kapsamda kişisel veri sahipleri kendileri ile ilgili;
• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı ü.üncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemlerin, kişisel verilerin aktarıldığı ü.üncü kişilere bildirilmesini isteme,
• KVK Kanunu'nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
KVK Kanunu'nun 7. maddesinde belirtilen hükümler çerçevesinde işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve
bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı ü.üncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme, haklarına sahiptir.
12- KVK Kanunu'nun 13. Maddesinin 1. fıkrası gereğince, yukarıda belirtilen hakları kullanmak ile ilgili
talebi, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza
ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde
kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik
geliştirilmiş bir yazılım ya da uygulama vasıtasıyla Üniversitemiz veri sorumlusuna
iletebileceklerdir.
Yukarıda belirtilen haklarını kullanmak isteyen kişisel veri sahipleri başvuruda;
• Ad, soyad ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası, yabancılar için uyruğu, pasaport
numarası veya varsa kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusu bulunması zorunludur. Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 6 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
13- Başvurular ile ilgili, 10.3.2018 tarih ve 30356 sayılı Resmi gazetede yayımlanan "Veri Sorumlusuna
Başvuru Usul ve Esasları Hakkında Tebliğ” 6. maddesi (Başvuruya Cevap) hükmüne istinaden işlem
yapılacaktır.
İnternet Adresi: www.istanbulc.edu.tr
Adres: İstanbul Üniversitesi-Cerrahpaşa Rektörlüğü Merkez Kampüsü 34320 Avcılar / İstanbul
14- Yukarıda belirtilen açık adrese bizzat elden iletebilir, noter kanalıyla veya KVK Kanunu'nda
belirtilen diğer yöntemler ile gönderebilir veya ilgili formu istanbulc@hs01.kep.tr adresine güvenli
elektronik imzalı olarak iletebilirsiniz.
4.2.2.3. Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması
15- KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine
veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.
16- Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet, demek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
17- Üniversitemiz tarafından, KVK Kanunu ile "özel nitelikli” olarak belirlenen ve hukuka uygun olarak
işlenen özel nitelikli kişisel verilerin korunmasında hassasiyet gösterilmektedir.
18- Bu kapsamda, Üniversitemiz tarafından, kişisel verilerin korunması için alman teknik ve idari
tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler
sağlanmaktadır.
4.2.2.4. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
19- 10.03.2018 tarih ve 30356 sayılı Resmi Gazetede yayımlanan "Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümleri doğrultusunda kişisel veri
sahibinin aydınlatılması ve bilgilendirilmesi işlemleri yapılmaktadır.
20- 28.10.2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanan "Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”te belirtilen politikalara uygun
işlemler yapılmaktadır.
4.2.3. Kişisel Verilerin İşlenmesine İlişkin Hususlar
4.2.3.1. Kişisel Verilerin Mevzuatta .ng.rülen İlkelere Uygun Olarak İşlenmesi
21- Üniversite kişisel verileri, KVK Kanunun 4. Maddesinde yer alan aşağıdaki kişisel veri işleme ilkelere
uygun şekilde işlemektedir:
• Hukuka ve Dürüstlük Kuralına Uygun İşleme: Üniversitemiz; kişisel verilerin işlenmesinde
hukuki düzenlemelerle getirilen ilkeler ve dürüstlük kuralı ile genel güven ilkelerine uygun
davranmaktadır. Bu kapsamda kişisel verilerin işlenmesinde orantılılık gereklilikleri dikkate
alınmakta ve kişisel veriler, yalnızca ilgili amacın gerektirdiği .l.üde işlenmektedir.
• Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Üniversitemiz; kişisel veri
sahiplerinin temel hak ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve
güncel tutulması için idari ve teknik mekanizmalar ile gerekli tedbirleri almaktadır.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 7 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
• Belirli, Açık ve Meşru Amaçlarla İşleme: Üniversitemiz, meşru ve hukuka uygun olan kişisel
veri işleme amacım kişisel veri işleme faaliyeti başlamadan önce açık ve kesin olarak
belirlemektedir. Üniversitemiz, kişisel verileri yalnızca sunmakta olduğu hizmetle bağlantılı ve
bunlar için gerekli olanı işlemektedir.
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve .l.ülü Olma: Üniversitemiz tarafından
gerçekleştirilen kişisel veri işleme faaliyeti, toplama amacını gerçekleştirme için gerekli olan
kişisel verilerin işlenmesi ile sınırlandırılmaktadır. Bu sebeple sonradan ortaya çıkması
muhtemel ihtiyaçların karşılanmasına yönelik kişisel verilerin işlenmesi gibi mevcut durumda
amaçla ilişkili olmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
• İlgili Mevzuatta .ng.rülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza
Etme: Üniversitemiz, kişisel verileri ilgili mevzuatta belirlenen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza etmektedir. Bu sürenin dolması ile birlikte kişisel veriler
silinmekte, yok edilmekte veya anonimleştirilmektedir.
4.2.3.2. Kişisel Verilerin, KVK Kanunu'nun 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarından Bir
veya Birkaçına Dayalı ve Bu Şartlarla Sınırlı Olarak İşleme
22- Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın
yalnızca Anayasa'nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla
sınırlanabilir.
23- Anayasa'nın 20. maddesinin ü.üncü fıkrası gereğince, kişisel veriler ancak kanunda .ng.rülen
hallerde veya kişinin açık rızasıyla işlenebilecektir. Üniversitemiz bu doğrultuda ve Anayasa'ya
uygun bir biçimde; kişisel verileri, ancak kanunda .ng.rülen hallerde veya kişinin açık rızasıyla
işlemektedir.
24- Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün
kılan hukuki dayanaklardan yalnızca bir tanesidir.
25- Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler
işlenebilir.
26- Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu
şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
27- İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda yer alan şartlar uygulanır.
28- Üniversitemiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse
de, her türlü kişisel veri işleme faaliyetinde KVK Kanunu'nun 4. maddesinde belirtilen genel ilkelere
uygun olarak hareket edilmektedir.
• Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri
sahibinin açık rızasıdır. Üniversitemiz tarafından kişisel veriler, veri sahibinin .zgür iradesi ile
kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olduğunu, tereddüde yer bırakmayacak
şekilde ve hangi amaca yönelik işlemlerle sınırlı olarak onay verdiğini beyan etmesi halinde
işlenebilmektedir. Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak
işlenmesi için, öğrenci, öğrenci aday, mezun, çalışan, çalışan aday, yetkili ve ziyaretçilerden
ilgili yöntemler ile açık rızaları alınmaktadır.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 8 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
• Kanunlarda Açıkça .ng.rülmesi: Üniversitemiz tarafından veri sahibinin kişisel verileri,
kanunda açıkça .ng.rülmesi halinde, veri sahibinin açık rızası olmadan, hukuka uygun olarak
işlenebilecektir.
• Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda olması veya rızası hukuken geçerli olmayan kişinin kişisel
verisi, kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için
işlenmesinin zorunlu olması halinde işlenebilecektir.
• Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması: Bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekliliği halinde kişisel verilerin işlenmesi mümkündür.
• Üniversitenin Hukuki Yükümlülüğünü Yerine Getirme: Üniversitemizin, veri sorumlusu olarak
hukuki yükümlülüklerini yerine getirmesi için, söz konusu yükümlülüğün sınırları dahilinde ve
veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
• Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisinin kendisi
tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
• Bir Hakkın Tesisi veya Korunması İçin Veri işlemenin Zorunlu Olması: Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.
• Üniversitemizin Meşru Menfaati için Veri işlemenin Zorunlu Olması: Kişisel veri sahibinin
temel hak ve .zgürlüklerine zarar vermeksizin Üniversitemizin meşru menfaatleri için veri
işlemesinin zorunlu olduğu durumlarda veri sahibinin kişisel verileri rızası olmaksızın
işlenebilecektir.
4.2.4. Özel Nitelikli Verilerin İşlenmesi
29- Üniversitemiz, KVK Kanunu ile "özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK
Kanunu'nda .ng.rülen düzenlemelere uygun davranmaktadır.
30- KVK Kanunu'nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri "özel nitelikli” olarak belirlenmiştir. Bu
veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet, demek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
31- KVK Kanunu'na uygun bir biçimde Üniversitemiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu
tarafından belirlenmiş olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda
işlenmektedir:
• Kişisel veri sahibinin açık rızası var ise veya
• Kişisel veri sahibinin açık rızası yok ise;
o Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda
.ng.rülen hallerde,
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 9 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
o Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmektedir.
4.2.5. Kişisel Verilerin Aktarılması
32- Üniversitemiz hukuka uygun şekilde, kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini ü.üncü
kişilere (ü.üncü kişi şirketlere, grup şirketlerine, ü.üncü gerçek kişilere) aktarabilmektedir.
Üniversitemiz bu doğrultuda KVK Kanunu'nun 8. maddesinde .ng.rülen düzenlemelere uygun
hareket etmektedir.
4.2.5.1. Kişisel Verilerin Yurtdışına Aktarılması
33- Üniversitemiz hukuka uygun şekilde, kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini ü.üncü
kişilere aktarabilmektedir.
34- Üniversitemiz tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan
edilen yabancı ülkelere ("Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın
bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir
korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu'nun izninin bulunduğu yabancı ülkelere ("Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke") aktarılmaktadır.
35- Üniversitemiz bu doğrultuda KVK Kanunu'nun 9. Maddesinde .ng.rülen düzenlemelere uygun
hareket etmektedir.
4.2.6. Bina, Kampüs Girişleri ile Binalar ve Kampüs İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri
ile İnternet Sitesi Ziyaretçileri
36- Üniversitemiz tarafından; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak,
Üniversitenin, ziyaretçilerin ve diğer kişilerin güvenliğini sağlamak ve ziyaretçilerin aldıkları hizmete
ilişkin menfaatlerini korumak amacıyla, Üniversitemiz binaları ve kampüsleri güvenlik kamerasıyla
izlenmekte ve g.rüntüler kayıt altına alınmaktadır.
37- Güvenlik kameralarının izlenerek misafir giriş çıkışlarının kayıt altına alınması ve takibinin
sağlanmasıyla kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Bu kapsamda Üniversitemiz
yürütülen kamera ile izleme faaliyetini; Anayasa, KVK Kanunu, 5188 sayılı Özel Güvenlik
Hizmetlerine Dair Kanun ve ilgili diğer mevzuatlara uygun olarak faaliyetlerini sürdürmektedir.
38- Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca yetkili personelin erişimi
bulunmaktadır. Canlı kamera g.rüntülerini ise, dışarıdan hizmet alınan güvenlik görevleri
izleyebilmektedir. Kayıtlara erişimi olan yetkili kişiler, gizlilik taahhütnamesi ile eriştiği verilerin
gizliliğini koruyacağını beyan etmektedir.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 10 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
39- Üniversitemiz tarafından KVK Kanunu'nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti
sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler
alınmaktadır.
40- Yukarıda belirtilen kamerayla kayıt dışında Üniversitemiz tarafından; güvenliğin sağlanması ve bu
prosedürde belirtilen amaçlarla, Üniversitemiz binalarında ve tesislerinde misafir giriş çıkışlarının
takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
4.2.7. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları
41- Türk Ceza Kanunu'nun 138. maddesinde ve KVK Kanunu'nun 7. maddesinde düzenlendiği üzere,
kişisel verilerin ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması durumunda, Üniversitemizin kendi kararına istinaden veya
kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.
42- Bu kapsamda Üniversitemiz ilgili yükümlülüğünü yerine getirmek için hukuki, teknik ve idari
mekanizmalar geliştirir ve bu mekanizmaları işletir. Bu konuda ilgili idari ve akademik personele
eğitim verir.
43- Misafir olarak Üniversitemiz binalarına gelen kişilerin isim ve soyadları elde edilirken ya da
Üniversite nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla
söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi
yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte veya ilgili kişisel veriler fiziki
ortamda veri kayıt sistemine kaydedilmektedir.
44- Üniversitemiz tarafından güvenliğin sağlanması ve bu prosedürde belirtilen amaçlarla;
Üniversitemiz tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden
ziyaretçilerimize internet erişimi sağlanabilmektedir.
45- Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 sayılı İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında
Kanun ve bu kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına
alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya
Üniversite içinde gerçekleştirilecek denetim süre.lerinde ilgili hukuki yükümlülüğümüzü yerine
getirmek amacıyla işlenmektedir.
46- Bu çerçevede elde edilen log kayıtlarına yalnızca yetkili kişilerin erişimi bulunmaktadır. Bahsi geçen
kayıtlara erişimi olan Üniversite çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan
gelen talep veya denetim süre.lerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle
paylaşmaktadır. Kayıtlara erişimi olan yetkili kişiler gizlilik taahhütnamesi ile eriştiği verilerin
gizliliğini koruyacağını beyan etmektedir.
47- Üniversitemiz sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki
ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine
özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek
maksadıyla teknik vasıtalarla (Örn. çerezler-cookie gibi) site içerisindeki internet hareketlerini
kaydetmektedir.
48- Üniversitemizin yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine
ilişkin detaylı açıklamalar ilgili internet sitelerinin "İnternet Sitesi Gizlilik Politikası” metinleri
içerisinde yer almaktadır.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 11 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
4.2.8. Üniversite Kişisel Verilerin Korunması ve İşlenmesi Prosedürünün Diğer Süre.lerle Olan İlişkisi
49- Üniversitemiz, bu prosedür ile ortaya koymuş olduğu esasları; ilgili esasların icrasına yönelik ortaya
koyduğu politika, prosedür ve uygulama rehberleri ile Üniversite içerisinde uygulanmasını
sağlamaktadır. Kişisel verilerin korunması konusunda ortaya konulan prosedür ve uygulama
rehberleri ile Üniversitemizin diğer alanlarda yürüttüğü temel politikalar, prosedürler ve uygulama
rehberiyle de bağlantılı olarak, Üniversitenin benzer amaçlarla farklı politika esaslarıyla işlettiği
süre.ler arasında uyumluluk da sağlanmaktadır.
4.2.9. Üniversite Kişisel Verilerin İşlenmesi ve Korunması Prosedürü Yönetim Yapısı
50- Üniversite bünyesinde işbu prosedür ve bu prosedüre bağlı ve ilişkili diğer politikaları, prosedürleri
ve uygulama rehberlerini yönetmek üzere, Üniversite üst yönetiminin kararı gereğince "İÜC Kişisel
Verilerin İşlenmesi ve Korunması Komisyonu” oluşturulmuştur. Bu komisyonun görevleri aşağıda
belirtilmektedir:
• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili prosedürü ve gerektiğinde değişiklikleri
hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin prosedürün uygulanması ve denetiminin nasıl
yerine getirileceğine karar vermek ve bu çerçevede Üniversite içi görevlendirmede bulunmak
ve koordinasyonu sağlama konularını üst yönetimin onayına sunmak.
• Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması
gerekenleri tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak;
uygulanmasını ve koordinasyonunu sağlamak.
• Kişisel Verilerin Korunması ve İşlenmesi konusunda Üniversite içerisinde ve Üniversitenin iş
ortakları eşliğinde farkındalığı sağlamak ve arttırmak.
• Üniversitenin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli
önlemlerin alınmasını sağlamak; iyileştirme önerilerini üst yönetimin onayını sunmak.
• Kişisel verilerin korunması ve prosedürün uygulanması konusunda eğitimler tasarlamak ve
gerçekleştirilmesini sağlamak.
• Kişisel veri sahiplerinin başvurularına yapılacak olan bilgilendirmeleri en üst düzeyde karara
bağlamak. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda
bilgilenmelerini sağlamak üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
• Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu
gelişmelere ve düzenlemelere uygun olarak Üniversite içinde yapılması gerekenler konusunda
üst yönetime tavsiyelerde bulunmak.
• Kişisel Verileri Koruma Kurumu ve Kurulu ile olan ilişkileri koordine etmek.
• Üniversite üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri
yerine getirmek.
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI PROSEDÜRÜ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13PR 20.04.2021 00 00.00.0000 12 / 12
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
4.3. Prosedürün Yürürlüğü ve Gözden Geçirme
51- Bu b.lümde uygulamalar Doküman Yönetimi Prosedürü (211.1PR)’ne uygun olarak yapılır.
52- Bu dokümanın gözden geçirilmesi ve güncelleştirilmesi sorumluluğu İÜC Kişisel Verilerin İşlenmesi
ve Korunması Komisyonu'na aittir. Yapılan değişiklik ve güncellemeler Rekt.rlük onayı ile
yayımlanır. Gözden geçirme her yıl Ekim ayında yapılır.
5. KAYITLAR
53- Aksi belirtilmedikçe tüm kayıtlar, Kayıtların Kontrolü Prosedürü (212.1PR)’ünde tanımlandığı
şekillerde muhafaza edilir.
6. İLGİLİ DOKÜMANLAR
• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• Türkiye Cumhuriyeti Anayasası
• 6098 sayılı Türk Borçlar Kanunu
• 5237 sayılı Türk Ceza Kanunu
• 6102 sayılı Türk Ticaret Kanunu
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
• 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen
Suçlarla Mücadele Edilmesi Hakkında Kanun
• Doküman Yönetimi Prosedürü (211.1PR)
• Kayıtların Kontrolü Prosedürü (212.1PR)
7. REVİZYON TAKİBİ
REVİZYON NO TARİH AÇIKLAMA
00 20.04.2021 -
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI (KVK) KANUNU
AYDINLATMA METNİ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13.1F 20.04.2021 00 00.00.0000 1 / 2
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
İstanbul Üniversitesi-Cerrahpaşa ("Üniversite") olarak, kişisel verilerinizin güvenliği ve mahremiyeti hususuna azami
özeni göstermekteyiz. Bu bilinçle, Üniversite olarak, Üniversite ile ilişkili tüm şahıslara ait her türlü kişisel verilerin
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVK Kanunu”)'na uygun olarak işlenerek, muhafaza edilmesine
büyük önem vermekteyiz. Üniversitemiz, KVK Kanunu kapsamında tanımlanmış "Veri Sorumlusu” sıfatı ile kişisel
verilerinizi aşağıda açıklandığı şekilde ve mevzuata uyarlı olarak, belirlenmiş sınırlar çerçevesinde işlemektedir.
Amacımız, 6698 sayılı " Kişisel Verilerin Korunması Kanunu” gereğince Üniversitemiz tarafından hukuka uygun
olarak yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik olarak benimsenen sistemler
hususunda açıklamalarda bulunmak, verileri Üniversitemiz tarafından işlenen kişileri bilgilendirerek şeffaflığı
sağlamaktır.
1. Kişisel Verilerin Toplanması, İşlenmesi ve İşleme Amaçları
Tüm paydaşlarımıza ait kişisel veriler, doğrudan ya da dolaylı yöntemlerle, üniversitemiz birimleri, internet sitesi,
sosyal medya, mobil uygulamalar ve benzeri vasıtalarla s.zlü, yazılı ya da elektronik olarak toplanabilir. Kişisel
veriler, kişinin üniversitemiz ile ilişkisi devam ettiği müddet.e KVK Kanunu'nun 5.ve 6. maddelerinde belirtilen
kişisel veri işleme şartları ve amaçları dâhilinde işlenebilecektir.
Öğrencilerimizin kişisel verileri öğrencilik ve mezun statüsü kapsamında, açık rızası alınarak işlenebileceği gibi KVK
Kanunun 5/2 maddesinde açık rızası olmaksızın da, kimliğin tespiti ve akademik programlar, etkinlikler, teklifler ve
eğitim süreci hakkında bilgi verilmesi amacıyla ad, soyad, doğum tarihi, adres, cep telefonu, e-posta adresi,
öğrencilik statüsü ile ilgili diğer bilgiler gibi kişisel veriler işlenebilecektir.
Yükseköğretim Kanunu ve ilgili ikincil mevzuat uyarınca hukuksal yükümlülüklerimizin ifa edilmesi, elektronik veya
kâğıt ortamında işleme amacı doğrultusunda tüm kayıt ve belgelerin düzenlenmesi; mevzuat, ilgili düzenleyici
kurumlar ve diğer otoritelerce .ng.rülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak amacıyla
kişisel verileriniz toplanmaktadır.
Üniversitemizin ve Üniversitemiz paydaşlarının hukuki ve fiziki güvenliğinin temini (Universitemiz tarafından
iletişime yönelik olarak yürütülen idari operasyonlar, Üniversitemize ait lokasyonların fiziksel güvenliğini ve
denetimini sağlamak, hukuki uyum süreci, mali işler vb.), üniversitemizin stratejilerinin belirlenmesi, uygulanması
ve insan kaynakları politikalarının yürütülmesinin sağlanması amacıyla KVK Kanunu'nun 5. ve 6. maddelerinde
belirtilen kişisel veri işleme şartları dâhilinde işlenecektir.
2. İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Yukarıda belirtilen amaçlarla, kişisel verilerin aktarılabileceği kişi/kuruluşlar;
• 2547 sayılı Yükseköğretim Kanunu, Türk Ticaret Kanunu, Vergi Usul Kanunu, Elektronik Ticaretin
Düzenlenmesi Hakkında Kanun, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla
İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, Tüketicinin Korunması Hakkında Kanun, Kişisel
Verilerin Korunması Kanunu ve diğer mevzuat hükümlerinin izin verdiği kurum veya kuruluşlar,
• Kişisel Verileri Koruma Kurulu, Yükseköğretim Kurulu, Maliye Bakanlığı, Gümrük ve Ticaret Bakanlığı, Bilgi
Teknolojileri ve İletişim Kurumu gibi kamu tüzel kişileri,
• İstanbul Üniversitesi-Cerrahpaşa olarak faaliyetlerimizi yürütmek üzere sözleşmeli olarak hizmet aldığımız,
işbirliği yaptığımız, her türlü kişisel verilerinizin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı
olarak işlenmelerini önlemek gibi veri güvenliği tedbirlerinin alınmasında bizimle müşterek ve müteselsil
sorumlu olan, program ortağı yurtiçi/yurtdışı kuruluşlar ve diğer 3. kişilerdir.
3. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Paydaşlarımıza ait kişisel veriler, üniversitemiz ile olan ilişkisine bağlı olarak değişkenlik gösterebilmekte olup, her
türlü s.zlü, yazılı veya elektronik ortamda, yukarıda belirtilen amaçlar doğrultusunda hizmetlerimizin sunulabilmesi
ve bu kapsamda Üniversitemizin sözleşme ve yasadan doğan mesuliyetlerini eksiksiz olarak, doğru bir şekilde yerine
İSTANBUL ÜNİVERSİTESİ-CERRAHPAŞA
BİLGİ İŞLEM DAİRE BAŞKANLIĞI
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI (KVK) KANUNU
AYDINLATMA METNİ
Doküman No İlk Yayın Tarihi Revizyon No Revizyon Tarihi Sayfa No
341.13.1F 20.04.2021 00 00.00.0000 2 / 2
HAZIRLAYAN
Bilg. Yük. Müh. M.Nusret
SARISAKAL
Bilgi İşlem Daire Başkanı V.
GÖZDEN GEÇİREN
Doç. Dr. Aysun YILMAZ
Kalite Koordinat.rü
ONAYLAYAN
Prof. Dr. Erol İNCE
Rektör Yardımcısı
Kalite Yönetim Temsilcisi
getirebilmesi gayesi ile edinilir. Bu hukuki sebep nedeniyle toplanan paydaşlarımıza ait kişisel veriler KVK
Kanunu'nun 5. ve 6. maddelerinde belirtilen kişisel verilerin işlenme şartları ve amaçları kapsamında bu metnin (l)
ve (2) numaralı maddelerinde belirtilen amaçlarla da işlenebilmekte ve aktarılmaktadır.
4. Kişisel Veri Sahibinin KVK Kanunu'nun II. maddesinde Sayılan Hakları
Kişisel veri sahipleri, haklarına ilişkin taleplerini, aşağıda belirtilen yöntemlerle Üniversitemize iletmeleri durumunda
Üniversitemiz, talebin niteliğini dikkate alarak talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak
sonuçlandıracaktır. Bu kapsamda kişisel veri sahipleri;
• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığım öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı ü.üncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan
işlemlerin, kişisel verilerin aktarıldığı ü.üncü kişilere bildirilmesini isteme,
• KVK Kanunu'nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, KVK Kanunu'nun 7.
maddesinde belirtilen hükümler çerçevesinde işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel
verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı ü.üncü
kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
KVK Kanunu'nun 13. Maddesinin 1. fıkrası gereğince, yukarıda belirtilen (Kanunun 1 1 maddesi) hakları kullanmak
ile ilgili talebi, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da
ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan
elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama
vasıtasıyla Üniversitemiz veri sorumlusuna iletebileceklerdir.
Yukarıda belirtilen haklarını kullanmak isteyen kişisel veri sahipleri;
Başvuruda;
• Ad, soyad ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa
kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusu bulunması zorunludur. Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
10.3.2018 tarih ve 30356 sayılı Resmi gazetede yayınlanan "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ” 6.maddesi (başvuruya cevap) hükmüne istinaden işlem yapılacaktır.
İnternet Adresi: www.istanbulc.edu.tr
Adres: İstanbul Üniversitesi-Cerrahpaşa Rektörlüğü Merkez Kampüsü 34320 Avcılar / İstanbul
Yukarıda belirtilen açık adrese bizzat elden iletebilir, noter kanalıyla veya KVK Kanunu'nda belirtilen diğer yöntemler
ile gönderebilir veya ilgili formu istanbulc@hs01.kep.tr adresine güvenli elektronik imzalı olarak iletebilirsiniz.
12301
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanun Numarası : 6698
Kabul Tarihi : 24/3/2016
Yayımlandığı R.Gazete : Tarih: 7/4/2016 Sayı : 29677
Yayımlandığı Düstur : Tertip : 5 Cilt : 57
BİRİNCİ BÖLÜM
Amaç, Kapsam ve Tanımlar
Amaç
MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Tanımlar
MADDE 3- (1) Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
12302
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
İKİNCİ BÖLÜM
Kişisel Verilerin İşlenmesi
Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
12303
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Kişisel verilerin aktarılması
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
12304
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
ÜÇÜNCÜ BÖLÜM
Haklar ve Yükümlülükler
Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür.
İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
12305
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili
Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
12306
Kurula şikâyet
MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
12307
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler
Suçlar
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
12308
ALTINCI BÖLÜM
Kişisel Verileri Koruma Kurumu ve Teşkilat
Kişisel Verileri Koruma Kurumu
MADDE 19- (1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.
(2) Kurum Cumhurbaşkanının görevlendireceği bakan ile ilişkilidir. (1)
(3) Kurumun merkezi Ankara’dadır.
(4) Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.
Kurumun görevleri
MADDE 20- (1) Kurumun görevleri şunlardır:
a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.
b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak.
c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak.
ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna (…) (2) sunmak. (2)
d) Kanunlarla verilen diğer görevleri yerine getirmek.
Kişisel Verileri Koruma Kurulu (3)
MADDE 21- (1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz.
(2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir. (3)
(3) Kurula üye olabilmek için aşağıdaki şartlar aranır:
a) Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.
b) 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak.
c) Herhangi bir siyasi parti üyesi olmamak.
ç) En az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak.
d) (Mülga: 2/7/2018-KHK-703/163 md.)
–––––––––––––––––
(1) 2/7/2018 tarihli ve 703 sayılı KHK’nin 163 üncü maddesiyle, bu fıkrada yer alan “Başbakanlıkla” ibaresi “Cumhurbaşkanının görevlendireceği bakan ile” şeklinde değiştirilmiştir.
(2) 2/7/2018 tarihli ve 703 sayılı KHK’nin 163 üncü maddesiyle, bu bentte yer alan “ ve Başbakanlığa” ibaresi yürürlükten kaldırılmıştır.
(3) 2/7/2018 tarihli ve 703 sayılı KHK’nin 163 üncü maddesiyle, bu maddenin ikinci fıkrasında yer alan “iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu” ibaresi “dört üyesi Cumhurbaşkanı” şeklinde değiştirilmiştir.
12309
(4) (Mülga: 2/7/2018-KHK-703/163 md.)
(5) Türkiye Büyük Millet Meclisi, Kurula üye seçimini aşağıdaki usulle yapar:
a) Seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilir ve Kurul üyeleri bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle Türkiye Büyük Millet Meclisi Genel Kurulunca seçilir. Ancak, siyasi parti gruplarında, Türkiye Büyük Millet Meclisinde yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamaz ve karar alınamaz.
b) Kurul üyelerinin seçimi, adayların belirlenerek ilanından sonra on gün içinde yapılır. Siyasi parti grupları tarafından gösterilen adaylar için ayrı ayrı listeler hâlinde birleşik oy pusulası düzenlenir. Adayların adlarının karşısındaki özel yer işaretlenmek suretiyle oy kullanılır. Siyasi parti gruplarının ikinci fıkraya göre belirlenen kontenjanlarından Kurula seçilecek üyelerin sayısından fazla verilen oylar geçersiz sayılır.
c) Karar yeter sayısı olmak şartıyla seçimde en çok oyu alan boş üyelik sayısı kadar aday seçilmiş olur.
ç) Üyelerin görev sürelerinin bitiminden iki ay önce; üyeliklerde herhangi bir sebeple boşalma olması hâlinde, boşalma tarihinden veya boşalma tarihinde Türkiye Büyük Millet Meclisi tatilde ise tatilin bitiminden itibaren bir ay içinde aynı usulle seçim yapılır. Bu seçimlerde, boşalan üyeliklerin siyasi parti gruplarına dağılımı, ilk seçimde siyasi parti grupları kontenjanından seçilen üye sayısı ve siyasi parti gruplarının hâlihazırdaki oranı dikkate alınmak suretiyle yapılır.
(6) Cumhurbaşkanı (…) (1) tarafından seçilen üyelerden birinin görev süresinin bitiminden kırk beş gün önce veya herhangi bir sebeple görevin sona ermesi hâlinde durum, on beş gün içinde Kurum tarafından, Cumhurbaşkanlığına (…)(1) bildirilir. Üyelerin görev süresinin dolmasına bir ay kala yeni üye seçimi yapılır. Bu üyeliklerde, görev süresi dolmadan herhangi bir sebeple boşalma olması hâlinde ise bildirimden itibaren on beş gün içinde seçim yapılır. (1)
(7) Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kurulun Başkanı, Kurumun da başkanıdır.
(8) Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye yeniden seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar.
(9) Seçilen üyeler Yargıtay Birinci Başkanlık Kurulu huzurunda “Görevimi Anayasaya ve kanunlara uygun olarak, tam bir tarafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim.” şeklinde yemin ederler. Yargıtaya yemin için yapılan başvuru acele işlerden sayılır.
––––––––––––––––
(1) 2/7/2018 tarihli ve 703 sayılı KHK’nin 163 üncü maddesiyle, bu fıkrada yer alan “veya Bakanlar Kurulu” ve “veya Bakanlar Kuruluna sunulmak üzere Başbakanlığa” ibareleri madde metninden çıkarılmıştır.
12310
(10) Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz, dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamaz, ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan doğacak telif hakları ile ders ve konferans ücretlerini alabilirler.
(11) Üyelerin görevleri sebebiyle işledikleri iddia edilen suçlara ilişkin soruşturmalar 2/12/1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanuna göre yapılır ve bunlar hakkında soruşturma izni Cumhurbaşkanı tarafından verilir. (1)
(12) Kurul üyeleri hakkında yapılacak disiplin soruşturması ve kovuşturmasında 657 sayılı Kanun hükümleri uygulanır.
(13) Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez. Kurul üyelerinin;
a) Seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması,
b) Görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi,
c) Görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi,
ç) Görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi,
d) Bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi,
hâllerinde Kurul kararıyla üyelikleri sona erer.
(14) Kurul üyeliğine seçilenlerin Kurulda görev yaptıkları sürece önceki görevleri ile olan ilişikleri kesilir. Kamu görevlisi iken üyeliğe seçilenler, memuriyete giriş şartlarını kaybetmemeleri kaydıyla, görev sürelerinin sona ermesi veya görevden ayrılma isteğinde bulunmaları ve otuz gün içinde eski kurumlarına başvurmaları durumunda atamaya yetkili makam tarafından bir ay içinde mükteseplerine uygun bir kadroya atanır. Atama gerçekleşinceye kadar, bunların almakta oldukları her türlü ödemelerin Kurum tarafından ödenmesine devam olunur. Bir kamu kurumunda çalışmayanlardan üyeliğe seçilip yukarıda belirtilen şekilde görevi sona erenlere herhangi bir görev veya işe başlayıncaya kadar, almakta oldukları her türlü ödemeler Kurum tarafından ödenmeye devam edilir ve bu şekilde üyeliği sona erenlere Kurum tarafından yapılacak ödeme üç ayı geçemez. Bunların Kurumda geçirdiği süreler, özlük ve diğer hakları açısından önceki kurum veya kuruluşlarında geçirilmiş sayılır.
Kurulun görev ve yetkileri
MADDE 22- (1) Kurulun görev ve yetkileri şunlardır:
a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.
b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
––––––––––––––––
(1) 2/7/2018 tarihli ve 703 sayılı KHK’nin 163 üncü maddesiyle, bu fıkrada yer alan “Başbakan” ibaresi “Cumhurbaşkanı” şeklinde değiştirilmiştir.
12311
c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.
ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.
d) Veri Sorumluları Sicilinin tutulmasını sağlamak.
e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.
g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.
ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.
h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.
ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.
i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.
j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.
k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.
l) Kanunlarla verilen diğer görevleri yerine getirmek.
Kurulun çalışma esasları
MADDE 23- (1) Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir.
(2) Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz.
(3) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.
(4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.
(6) Aksi kararlaştırılmadıkça, Kurul toplantılarındaki görüşmeler gizlidir.
(7) Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususlar yönetmelikle düzenlenir.
12312
Başkan
MADDE 24- (1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.
(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
(3) Başkanın görevleri şunlardır:
a) Kurul toplantılarını idare etmek.
b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek.
c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.
ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.
d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.
e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.
f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.
g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.
ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek.
h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.
(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.
Başkanlığın oluşumu ve görevleri
MADDE 25- (1) Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık, dördüncü fıkrada sayılan görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getirir. Daire başkanlıklarının sayısı yediyi geçemez.
(2) Başkan tarafından, Kuruma ilişkin görevlerinde yardımcı olmak üzere bir Başkan Yardımcısı atanır.
(3) Başkan Yardımcısı ve daire başkanları; en az dört yıllık yükseköğretim kurumu mezunu, on yıl süreyle kamu hizmetinde bulunan kişiler arasından Başkan tarafından atanır.
(4) Başkanlığın görevleri şunlardır:
a) Veri Sorumluları Sicilini tutmak.
b) Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek.
c) Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek.
12313
ç) Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek.
d) Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak.
e) Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin kurulmasını ve kullanılmasını sağlamak.
f) Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını hazırlamak ve Kurula sunmak.
g) Kurumun stratejik plan taslağını hazırlamak.
ğ) Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak.
h) Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini yürütmek.
ı) Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek.
i) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.
j) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.
k) Kurul veya Başkan tarafından verilen diğer görevleri yapmak.
(5) Hizmet birimleri ile bu birimlerin çalışma usul ve esasları, bu Kanunda belirtilen faaliyet alanı, görev ve yetkilere uygun olarak Kurumun teklifi üzerine Cumhurbaşkanınca yürürlüğe konulan yönetmelikle belirlenir. (1)
Kişisel Verileri Koruma Uzmanı ve uzman yardımcıları
MADDE 26- (1) Kurumda, Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı istihdam edilebilir. Bunlardan 657 sayılı Kanunun ek 41 inci maddesi çerçevesinde Kişisel Verileri Koruma Uzmanı kadrosuna atananlara bir defaya mahsus olmak üzere bir derece yükseltilmesi uygulanır.
Personele ve özlük haklarına ilişkin hükümler
MADDE 27- (1) Kurum personeli, bu Kanunla düzenlenen hususlar dışında 657 sayılı Kanuna tabidir.
(2) Kurul Başkan ve üyeleri ile Kurum personeline 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 11 inci maddesi uyarınca belirlenmiş emsali personele mali ve sosyal haklar kapsamında yapılan ödemeler aynı usul ve esaslar çerçevesinde ödenir. Emsali personele yapılan ödemelerden vergi ve diğer yasal kesintilere tabi olmayanlar bu Kanuna göre de vergi ve diğer kesintilere tabi olmaz.
(3) Kurul Başkan ve üyeleri ile Kurum personeli 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (c) bendi hükümlerine tabidir. Kurul Başkan ve üyeleri ile Kurum personeli emeklilik hakları bakımından da emsali olarak belirlenen personel ile denk kabul edilir. 5510 sayılı Kanunun 4 üncü maddesinin
–––––––––––––––––
(1) 2/7/2018 tarihli ve 703 sayılı KHK’nin 163 üncü maddesiyle, bu fıkrada yer alan “Bakanlar Kurulu kararıyla” ibaresi “Cumhurbaşkanınca” şeklinde değiştirilmiştir.
12314
birinci fıkrasının (c) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananlardan bu görevleri sona erenler veya bu görevlerinden ayrılma isteğinde bulunanların bu görevlerde geçen hizmet süreleri kazanılmış hak aylık, derece ve kademelerinin tespitinde dikkate alınır. Bunlardan bu görevleri sırasında 5510 sayılı Kanunun geçici 4 üncü maddesi kapsamına girenlerin bu görevlerde geçen süreleri makam tazminatı ile temsil tazminatı ödenmesi gereken süre olarak değerlendirilir. Kamu kurum ve kuruluşlarında 5510 sayılı Kanunun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı iken Kurul Başkanı ve üyeliklerine atananların, önceki kurum ve kuruluşları ile ilişiklerinin kesilmesi kendilerine kıdem tazminatı veya iş sonu tazminatı ödenmesini gerektirmez. Bu durumda olanların kıdem tazminatı veya iş sonu tazminatı ödenmesi gereken hizmet süreleri, Kurul Başkanı ile Kurul üyeliği olarak geçen hizmet süreleri ile birleştirilir ve emeklilik ikramiyesi ödenecek süre olarak değerlendirilir.
(4) Merkezi yönetim kapsamındaki kamu idarelerinde, sosyal güvenlik kurumlarında, mahallî idarelerde, mahallî idarelere bağlı idarelerde, mahallî idare birliklerinde, döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kamu tüzel kişiliğini haiz kuruluşlarda, sermayesinin yüzde ellisinden fazlası kamuya ait kuruluşlarda, iktisadi devlet teşekkülleri ve kamu iktisadi kuruluşları ile bunlara bağlı ortaklıklar ve müesseselerde görevli memurlar ile diğer kamu görevlileri kurumlarının muvafakati, hâkimler ve savcılar ise kendilerinin muvafakati ile aylık, ödenek, her türlü zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kurumlarınca ödenmek kaydıyla geçici olarak Kurumda görevlendirilebilir. Kurumun bu konudaki talepleri, ilgili kurum ve kuruluşlarca öncelikle sonuçlandırılır. Bu şekilde görevlendirilen personel, kurumlarından aylıklı izinli sayılır. Bu personelin izinli oldukları sürece memuriyetleri ile ilgileri ve özlük hakları devam ettiği gibi, bu süreler yükselme ve emekliliklerinde de hesaba katılır ve yükselmeleri başkaca bir işleme gerek duyulmadan süresinde yapılır. Bu madde kapsamında görevlendirilenlerin, Kurumda geçirdikleri süreler, kendi kurumlarında geçirilmiş sayılır. Bu şekilde görevlendirilenlerin sayısı Kişisel Verileri Koruma Uzmanı ve Kişisel Verileri Koruma Uzman Yardımcısı toplam kadro sayısının yüzde onunu aşamaz ve görevlendirme süresi iki yılı geçemez. Ancak ihtiyaç hâlinde bu süre bir yıllık dönemler hâlinde uzatılabilir. (1)
(5) Kurumda istihdam edilecek personele ilişkin kadro unvan ve sayıları ekli (I) sayılı cetvelde gösterilmiştir. Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır.
YEDİNCİ BÖLÜM
Çeşitli Hükümler
İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
_________________
(1) 28/11/2017 tarihli ve 7061 sayılı Kanunun 119 uncu maddesiyle bu fıkrada yer alan “diğer kamu görevlileri kurumlarının muvafakati” ibaresinden sonra gelmek üzere “, hâkimler ve savcılar ise kendilerinin muvafakati” ibaresi eklenmiştir.
12315
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kurumun bütçesi ve gelirleri
MADDE 29- (1) Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esaslara göre hazırlanır ve kabul edilir.
(2) Kurumun gelirleri şunlardır:
a) Genel bütçeden yapılacak hazine yardımları.
b) Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler.
c) Alınan bağış ve yardımlar.
ç) Gelirlerinin değerlendirilmesinden elde edilen gelirler.
d) Diğer gelirler.
Değiştirilen ve eklenen hükümler
MADDE 30- (1) (10/12/2003 tarihli ve 5018 sayılı Kanun ile ilgili olup yerine işlenmiştir.)
(2) ila (5) - (26/9/2004 tarihli ve 5237 sayılı Kanun ile ilgili olup yerine işlenmiştir.)
(6) (7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile ilgili olup yerine işlenmiştir.)
12316
(7) (11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname ile ilgili olup yerine işlenmiştir.)
Yönetmelik
MADDE 31- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur.
Geçiş hükümleri
GEÇİCİ MADDE 1- (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.
(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.
(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.
(4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.
(5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.
(6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer beş üye ise dört yıl görev yapar.
(7) Kuruma bütçe tahsis edilene kadar;
a) Kurumun giderleri Başbakanlık bütçesinden karşılanır.
b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanır.
(8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilir.
GEÇİCİ MADDE 2- (Ek:28/11/2017-7061/120 md.)
(1) En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin elektronik, elektrik-elektronik, elektronik ve haberleşme, bilgisayar, bilişim sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657 sayılı Kanunun 36 ncı maddesinin “Ortak Hükümler” başlıklı bölümünün (A) fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı on beşi geçemez.
12317
Yürürlük
MADDE 32- (1) Bu Kanunun;
a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra,
b) Diğer maddeleri ise yayımı tarihinde,
yürürlüğe girer.
Yürütme
MADDE 33- (1) Bu Kanun hükümlerini Bakanlar Kurulu yürütür.
(I) SAYILI CETVEL
KİŞİSEL VERİLERİ KORUMA KURUMU KADRO LİSTESİ
| SINIF | UNVAN | DERECE | TOPLAM |
|---|---|---|---|
| GİH | Başkan Yardımcısı | 1 | 1 |
| GİH | Daire Başkanı | 1 | 7 |
| GİH | Hukuk Müşaviri | 1 | 1 |
| GİH | Hukuk Müşaviri | 3 | 3 |
| AH | Avukat | 6 | 4 |
| GİH | Kişisel Verileri Koruma Uzmanı | 5 | 10 |
| GİH | Kişisel Verileri Koruma Uzmanı | 7 | 20 |
| GİH | Kişisel Verileri Koruma Uzman Yardımcısı | 9 | 60 |
| GİH | Mali Hizmetler Uzmanı | 6 | 2 |
| GİH | Mali Hizmetler Uzman Yardımcısı | 9 | 2 |
| GİH | Memur | 5 | 5 |
| GİH | Memur | 7 | 5 |
| GİH | Memur | 9 | 5 |
| GİH | Memur | 11 | 5 |
| GİH | Memur | 13 | 5 |
| GİH | Bilgisayar İşletmeni | 7 | 5 |
| GİH | Veri Hazırlama ve Kontrol İşletmeni | 6 | 5 |
| GİH | Veri Hazırlama ve Kontrol İşletmeni | 7 | 5 |
| GİH | Veri Hazırlama ve Kontrol İşletmeni | 8 | 5 |
| GİH | Veri Hazırlama ve Kontrol İşletmeni | 9 | 5 |
| GİH | Veri Hazırlama ve Kontrol İşletmeni | 10 | 5 |
| GİH | Sekreter | 5 | 3 |
| GİH | Sekreter | 8 | 7 |
| GİH | Santral Memuru | 9 | 1 |
| GİH | Şoför | 11 | 4 |
| TH | Teknisyen | 6 | 3 |
| YH | Teknisyen Yardımcısı | 9 | 2 |
| YH | Hizmetli | 11 | 10 |
| TOPLAM | 195 |
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE
UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi uyarınca veri
sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine
dayanılarak hazırlanmıştır.
Tanımlar
MADDE 3 – (1) Bu Tebliğde geçen;
a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ç) Kurul: Kişisel Verileri Koruma Kurulunu,
d) Kurum: Kişisel Verileri Koruma Kurumunu,
e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,
f) (Değişik:RG-28/4/2019-30758) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişiyi,
ğ) (Değişik:RG-28/4/2019-30758) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı
Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile
yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,
ifade eder.
(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.
Aydınlatma yükümlülüğünün kapsamı
MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili
kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari
olarak aşağıdaki konuları içermesi gerekmektedir:
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
Usul ve esaslar
MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam
kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:
a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine
getirilmelidir.
b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
c) (Mülga:RG-28/4/2019-30758)
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan
bilgilerle uyumlu olmalıdır.
d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması
işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü
yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği
kanaatini uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel
verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine
getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü
MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;
a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada
ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.
Yürürlük
MADDE 7 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 8 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.
Tebliğin Yayımlandığı Resmî Gazete’nin
Tarihi Sayısı
10/3/2018 30356
Tebliğde Değişiklik Yapan Tebliğlerin Yayımlandığı Resmî Gazetelerin
Tarihi Sayısı
1. 28/4/2019 30758
2.
3.