KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN BANKACILIK SEKTÖRÜ İYİ UYGULAMALAR REHBERİ
Bankalar tarafından yoğun bir şekilde kişisel veri işleme faaliyeti gerçekleştirildiği ve bu kapsamda anayasal güvence altında bulunan kişisel verilerin korunmasını isteme hakkı bağlamında ilgili kişilerin maruz kaldığı risk derecesi göz önünde bulundurularak; Kişisel Verileri Koruma Kurumu ve Türkiye Bankalar Birliği bünyesinde çalışma grupları kurulmuştur. Söz konusu çalışma grupları arasında periyodik toplantılar gerçekleştirilmiş ve Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi sektörle işbirliği içinde hazırlanmıştır.
ÇEREZ UYGULAMALARI HAKKINDA REHBER
Rehber ile internet sayfası işleten tüm veri sorumluları için pratik tavsiyeler niteliğinde, yol gösterici mahiyette bir doküman oluşturulması amaçlanmıştır. Rehber ile ortaya konulan iyi uygulamalar çerçevesinde sunulan açıklamalar; veri sorumlularının doğru hukuki sebeplere dayalı olarak veri işlemeleri ve Kanun’a uygun şekilde aydınlatma yapabilmeleri ile hukuka uygun açık rıza almaları noktasında yönlendirici niteliktedir.
Çerez Uygulamaları Hakkında Rehber kitapçığına buradan ulaşabilirsiniz.
UNUTULMA HAKKI (UNUTULMA HAKKININ ARAMA MOTORLARI ÖZELİNDE DEĞERLENDİRİLMESİ)
Bireyin kişisel verilerine, üçüncü kişiler tarafından erişimin (kısmen) kısıtlanması sağlanarak; onurlu yaşamının güvence altına alınması, toplumdan dışlanmasının engellenmesi ve geçmişinden bağımsız bir şekilde yeni bir başlangıç yapabilmesi adına kişisel verilerin korunması hakkının bir görünümü olarak “Unutulma Hakkı” gündeme gelmektedir
Unutulma Hakkı ile ilgili rehbere buradan ulaşabilirsiniz.
BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER
“Biyometri” ile insana ait fiziksel veya davranışsal özellikler ifade edilmekte olup, biyometrik veriler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir. Biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmeleri çok kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse ortadan kalkmaktadır.
YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER
Yapay zekâ alanındaki geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcıları kapsayan bu dokümanda yapay zekâ uygulamalarında kişisel verilerin korunmasına dair tavsiyeleri içinde barındırmaktadır.
KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ
Kişisel verilerin korunması ve buna yönelik hukuki bir altyapının oluşturulmasına ihtiyaç duyulmuş olup öncelikle Türkiye Cumhuriyeti Anayasasında 2010 yılında yapılan değişiklikle, kişisel verilerin korunması hakkı Anayasal güvenceye kavuşturularak buna yönelik Kanunla düzenleme yapılması gerektiği hükme bağlanmıştır.
Kişisel Veri İşleme Envanteri Hazırlama Rehberine buradan ulaşabilirsiniz.
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ REHBERİ
Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir hak olarak karşımıza çıkmaktadır. İşlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmekte olan aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilmesi için olmazsa olmaz bir şarttır.
Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine buradan ulaşabilirsiniz.
100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU
Gerek kamu, gerekse özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.
100 Soruda Kişisel Verilerin Korunması Kanunu Hakkında Detaylı Bilgiye Buradan Ulaşabilirsiniz.
KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ
Günümüzde gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu bilgiler arasında gittikçe artan bir ölçüde kişisel verilerin de yer alması, söz konusu verilerin korunması ihtiyacını gündeme getirmiştir.
Kişisel Verilerin Korunmasına Kanununa İlişkin Uygulama Rehberine buradan ulaşabilirsiniz.
KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler)
Bu Rehber; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlularının alması gereken teknik ve idari tedbirlere ilişkin başlıca yöntemleri ayrı ayrı bölümler halinde açıklamaktadır.
Kişisel Veri Güvenliği Rehberine buradan ulaşabilirsiniz.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ veya ANONİM HALE GETİRİLMESİ REHBERİ
Bu Rehber; 6698 sayılı Kişisel Verilerin Korunması Kanununa (“Kanun”) ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başlıca yöntemleri açıklamaktadır.
KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA SIKÇA SORULAN SORULAR
Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.
ANAYASAL BİR HAK OLARAK KİŞİSEL VERİLERİN KORUNMASINI İSTEME HAKKI
Anayasanın ikinci kısmında kişinin temel hak ve ödevleri düzenlenmektedir. Özel hayatın gizliliği de kişinin temel haklarından biridir. Bu hak, Anayasanın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler yapmayı gerekli kılmıştır.
VERİ SORUMLUSU VE VERİ İŞLEYEN
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
Veri Sorumlusu ve Veri İşleyen hakkında detaylı bilgiye buradan ulaşabilirsiniz.
VERİ SORUMLULARI SİCİLİ
Kanunun 16. maddesine göre, Kurulun gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulması gerekmektedir. Kanun, kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmalarını zorunlu kılmaktadır. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
Veri Sorumluları Sicili hakkında detaylı bilgiye buradan ulaşabilirsiniz.
İLGİLİ KİŞİNİN HAK ARAMA YÖNTEMLERİ
Kanun, ilgili kişilerin Kanunun uygulanmasına ilişkin taleplerini iletebilmeleri ve kişisel verilerine ilişkin haklarını korumaları için bir takım hak arama yöntemleri getirmektedir. Böylelikle ilgili kişiler, kişisel verilerinin korunmasına ilişkin haklarını kullanmak adına doğrudan yargı yoluna başvurmanın yanı sıra Kanunla getirilen diğer hak arama yöntemlerini de kullanabileceklerdir.
İlgili Kişinin Hak Arama Yöntemleri kitapçığına buradan ulaşabilirsiniz.
KANUN KAPSAMINDAKİ HAK VE YÜKÜMLÜLÜKLER
Kanunun 3. maddesinde, veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri sorumlusu, kişisel verileri bizzat işleyebileceği gibi, veri işleme faaliyetini gerçekleştirmek üzere üçüncü bir kişiyi de yetkilendirebilir. Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen bu tür gerçek veya tüzel kişiler, Kanunun 3. maddesinin 1. fıkrasının (ğ) bendinde “veri işleyen” olarak adlandırılmıştır. Kanunda kişisel verilerin korunmasına ilişkin bazı yükümlülükler, veri sorumluları ile birlikte veri işleyenler için de getirilmiştir.
Kanun Kapsamındaki Hak ve Yükümlülükleri kitapçığına buradan ulaşabilirsiniz.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin işlenmesi, Kanunun 3. maddesinde tanımlanmıştır. Buna göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir. Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür.
Kişisel Verilerin İşlenme Şartları kitapçığına buradan ulaşabilirsiniz.
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine uygun şekilde düzenlenmiştir.
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler kitapçığına buradan ulaşabilirsiniz.
AÇIK RIZA
Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de “açık rıza” kavramıdır. Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır.
Açık Rıza kitapçığına buradan ulaşabilirsiniz.
6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR
Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlara bu rehber içinde yer verilmiştir.
6698 Sayılı Kanunda Yer Alan Temel Kavramlar kitapçığına buradan ulaşabilirsiniz.
6698 SAYILI KANUNDA YER ALAN TERİMLER
Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren terimlere bu rehber içinde yer verilmiştir.
6698 Sayılı Kanunda Yer Alan Terimler kitapçığına buradan ulaşabilirsiniz.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI VE KAPSAMI
2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği öngörülmektedir.
KİŞİSEL VERİLERİN KORUNMASI ALANINDA ULUSLARARASI VE ULUSAL DÜZENLEMELER
ULUSLARARASI DÜZENLEMELER, İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi, OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri, 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ve BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri, 95/46EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktif , 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol, 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)'den oluşmaktadır.
ULUSAL DÜZENLEMELER, Kişisel Verilerin Korunması ile ilgili hükmün Anayasaya dahil edilmesi, 5237 sayılı Türk Ceza Kanunu, 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanununun 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmesi ve 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesinden oluşmaktadır.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kanunun 7. maddesinde ayrıca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir. Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları kitapçığına buradan ulaşabilirsiniz.
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Yurt Dışına Veri Aktarımı ile Yeterli Koruma Bulunan Ülkelerin Belirlenmesinde ve Kurulca Yurt Dışına Veri Aktarımına Verilecek İzinlerde Dikkate Alınacak Hususlar kişisel verilerin korunumu meselesinde önemli bir pay edinmektedir.
Kişisel Verilerin Yurt Dışına Aktarılması kitapçığına buradan ulaşabilirsiniz.
KİŞİSEL VERİLERİ KORUMA KURULUNUN YAPISI VE GÖREVLERİ
Kanunla, Kurumun karar organı olan Kişisel Verileri Koruma Kurulu oluşturulmuştur. Avrupa Konseyinin 108 sayılı Sözleşmesi ve Avrupa Birliğinin 95/46/EC sayılı Direktifine uygun şekilde Kurul bağımsız olarak kurgulanmaktadır. Kurulun, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getireceği ve kullanacağı, görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat veremeyeceği hüküm altına alınmaktadır. Bu hüküm, Kurumun görevini bağımsız bir şekilde yerine getirebilmesi bakımından önem arz etmektedir.
Kişisel Verileri Koruma Kurulunun Yapısı ve Görevleri kitapçığına buradan ulaşabilirsiniz.