ŞENOL DÖNDER

SMMM

 ÖZEL NİTELİKLİ KİŞİSEL VERİ  HASSAS VERİ)

Kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir kategori olan özel nitelikli (hassas) kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki verilerdir. Bu nedenle, hangi kişisel verilerin özel nitelikli veriler olduğu ve özel nitelikli kişisel verilerin işlenme şartları Kanunda ayrıca düzenlemiştir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları:

Bu verilerin işlenme şartları, Kanunun 6. maddesinde özel olarak düzenlenmiştir. Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir.

ÖRNEK: Klinik araştırmalar kapsamında gönüllü olan kişilerin açık rızalarının alınması gerekir. İlgili kişinin açık rızasının bulunmadığı bazı durumlarda da özel nitelikli kişisel verilerin işlenmesi mümkündür. Ancak, ilgili kişinin açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur. Buna göre;
*Sağlık ve cinsel hayat dışındaki özel nitelikli veriler; ancak kanunlarda öngörülen hallerde kişinin açık
rızası olmaksızın işlenebilecektir. *Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

 Kanunda sağlık hizmetinin sağlanması açısından geçerli olan bazı veri türlerinin işlenmesine istisna getirilmiş ve bu istisna sadece sır saklama yükümlülüğüne tabi olan kişiler ile sınırlandırılmıştır.

ÖRNEK: Bir kişinin, A hastanesinde tansiyon tedavisi, B hastanesinde ise kalp rahatsızlığı tedavisi gördüğü bir durumda, kalp rahatsızlığı nedeniyle ameliyat olması gereken hasta hakkında bu iki hastane doktorunun sağlık verilerini birbirlerine aktarması. Kanunun 6. maddesinin 4. fıkrası gereği Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. NOT: Kanunun 6. maddesinin 4. fıkrası gereği Kişisel Verileri Koruma Kurulunca “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması
Gereken Yeterli Önlemler” başlıklı, 31/01/2018 tarihli ve 2018/10 sayılı kararı 07/03/2018 tarihli Resmi Gazetede yayımlanmıştır.

5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

ÖRNEK: Bir alışveriş merkezinde yapılan çekiliş için toplanan ad, soyad, telefon numarası gibi bilgiler, alışveriş merkezi tarafından başka kampanyalar için kullanılmamalı, çekilişin tamamlanmasının ardından silinmelidir.

 Kanunun 7. maddesinin 3. fıkrasının verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulunca hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği” 28.10.2017 tarihli Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.
Kanunun 22. maddesinin (1) numaralı fıkrasının (g) bendi gereği Kişisel Verileri Koruma Kurulunca, veri sorumlularına silme, yok etme veya anonim hale getirme konusunda rehberlik etmek ve iyi uygulama örneklerini göstermek amacıyla “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi” hazırlanmış olup anılan rehbere, Kurumun internet sitesinden ulaşılabilir.

a) KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar (veri sorumlusu veya veri işleyen nezdinde verileri teknik olarak depolama, koruma ve yedeklemeden sorumlu olanlar hariç herkes) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
ÖRNEK:  Çalışanlarına ait özlük verilerini sunucuda tutmakta olan bir şirket, çalışanlardan birinin işten ayrılması durumunda, bu verinin bulunduğu sunucuyu tamamen yok edemeyeceği için veriye silme işlemi uygular. Bu veri, bazı teknikler uygulanmak suretiyle veri tabanı yöneticisi tarafından geri getirilebilecek durumda olmakla birlikte insan kaynakları veya diğer birimdekiler tarafından hiçbir şekilde erişilemez hale gelmiş olacaktır.

ÖRNEK: Bir şirkette, bir pozisyon için başvurular alınmış ve tüm başvurularda yer alan kişisel veriler, adayların kimlik numarasına göre kağıt ortamında listeye aktarılmış, başvuru evrakları da muhafaza edilmek üzere ilgili dosyada arşive kaldırılmıştır. Şirkette değerlendirmeler devam ederken başvuru sahiplerinden birisinin başvurudan vazgeçmiş olması halinde bu kişiye ait işleme şartı ortadan kalktığı için bu verilerin silinmesi yok edilmesi veya anonim hale getirilmesi gerekliliği ortaya çıkmıştır. Bu durumda, başvuru evrakının yok edilmesi mümkündür.
Bununla birlikte, tüm başvuruları içeren bir liste hazırlanmışsa, bu listedeki diğer kişilere ait işleme şartlarının devam etmesi nedeniyle bu listenin yok edilmesi doğru olmayacağından sadece başvurudan vazgeçmiş olan kişiye ait verilere, ilgili listede karartma işlemi yapılabilecektir.

b) KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

ÖRNEK: Bir sempozyum kapsamında organizasyon firması tarafından sempozyuma katılım sağlayacak kişilere ait kişisel veriler taşınabilir bellekte veya CD’de tutulmaktadır. Sempozyumun tamamlanması ve gerekli saklama süresinin sona ermesinden itibaren söz konusu verilerin yok edilmesi gerekir. Bu durumda, katılımcılara ait kişisel verilerin bulunduğu taşınabilir bellek veya CD kırılıp parçalanabilir, yakılabilir veya metal öğütücüden geçirilebilir.

c) KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilememesini ifade etmektedir.

ÖRNEK: Bir kamuoyu araştırma şirketi tarafından bir mahallede yapılan araştırmada ad, soyad, TC kimlik numarası, yaş, cinsiyet, ödeme tercihleri, kullanılan cep telefonu modeli, sahip olunan araç markası, kıyafet ve marka tercihleri gibi bilgiler sorulmuş ve araştırma sonucu da kamuoyu ile paylaşılmak istenmiştir. Buna göre; ad, soyad, TC kimlik numarası gibi doğrudan herhangi bir kişiyi belirli veya belirlenebilir kılabilecek olanların listeden
çıkarılması, yıldızlanarak / bastırılarak görünmez hale getirilmesi, genelleştirilmesi, k-anonimlik, l-çeşitlilik, t-yakınlık gibi teknikler kullanılarak anonim hale getirilebilir.

Herkesin veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme hakkı bulunmaktadır.

 AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri Kanunun 10. maddesine göre aşağıdaki konularda bilgilendirmekle yükümlüdür:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• İlgili kişinin Kanunun 11. maddesinde sayılan diğer hakları.

10.03.2018 tarihli Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile veri sorumlularınca bu yükümlülük yerine getirilirken dikkat edilmesi gereken hususlar düzenlenmiştir. Aydınlatma yapılırken; •Kişisel veri işleme amacı belirli, açık ve meşru olmalı,

•İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı,
•Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli,
•Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı,
•Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir.

Aydınlatma yükümlüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür.

 Kişisel verilerin, ilgili kişinin açık rızası ile ya da Kanundaki diğer veri işleme şartlarına dayalı olarak işlenmesi hallerinde aydınlatma yükümlülüğünün yerine getirilmesi zorunludur.

 Veri sorumlusu, ilgili kişinin talebini beklemeksizin aydınlatma yükümlülüğünü yerine getirmelidir. Aydınlatma yükümlülüğünü yerine getirdiğini ispat etmekle yükümlüdür.

 İLGİLİ KİŞİNİN HAKLARI

Kanunun 11. maddesine göre ilgili kişiler, her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• Düzeltilme, silinme veya yok edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.

Veri sorumlusunca talebe en kısa sürede ve en geç 30 gün içinde cevap verilmesi gerekmektedir. Ancak başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişiler Kurula şikâyet yoluna gidebilir.

 İlgili kişiler, Kanunun 11. maddesindeki taleplerine ilişkin olarak öncelikle veri sorumlularına başvurmalıdır. Bu yol tüketilmeden Kişisel Verileri Koruma Kuruluna şikâyet yoluna gidilmemelidir.

VERİ SORUMLUSUNA BAŞVURU

Kanunun 13. maddesinde, ilgili kişinin veri sorumlusuna başvurusuna ilişkin hususlar düzenlenmektedir. Maddenin 1. fıkrasına göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri  zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle
iletebilmelerine imkân sağlanmaktadır.
iİgili kişilerce veri sorumlusuna yapılacak başvuru yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle iletilebilmektedir. Bu kapsamda Kurul tarafından belirlenen diğer yöntemler, 10.03.2018 tarihli Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de düzenlenmektedir.

 Tebliğin 5. maddesine göre ilgili kişi, Kanunun 11. maddesinde belirtilen hakları kapsamındaki taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir. Aynı maddenin 2. fıkrasında, talebi alan veri sorumlusunun; ücretsiz olarak veya işlemin ayrıca
bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre, alacağı ücret mukabilinde en kısa sürede ve en geç 30 gün içinde talebi incelemesi, kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi öngörülmektedir.

Veri sorumlusunun gerçek kişi veya özel şirket olabileceği ve bunların 7201 sayılı Tebligat Kanununa tabi olmamaları dikkate alınmış ve veri sorumlusunun cevabını ilgili kişiye “bildirmesi” gerektiği burada hükme bağlanmıştır. Bu bildirim, bir ispat sorunu olup gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi kurum ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat yoluyla yapacakları ise açıktır. Maddenin 3. fıkrası gereğince, veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Veri sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

ÖRNEK: Çalıştığı şirketten ayrılan bir kişi, kendisi ile ilgili verilerinin silinmesini, yok edilmesini Kurulun belirlediği yöntemler vasıtasıyla veri sorumlusuna başvurarak talep edebilir. Veri sorumlusu değerlendirmesini yapıp ilgili kişiye bir cevap verir. Veri sorumlusu ilgili kişinin talebini, 30 gün içerisinde kabul eder veya gerekçesini açıklayarak reddeder. Başvurusunun reddedilmesi veya verilen cevabın ilgili kişi nezdinde yetersiz kalması durumunda ilgili kişi cevabı aldığı tarihten itibaren 30 gün içerisinde Kurula şikâyet yoluna gidebilir. Veri sorumlusu tarafından  Başvuruya cevap verilmemesi durumunda ise; başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir.

ÖRNEK: Bir banka müşterisi olan kişinin adresi değiştiği için kredi kartı ekstreleri eski adresine gönderilmekte ve kişi ekstrelerine ulaşamamaktadır. Kişi, veri sorumlusuna başvurarak kendisiyle ilgili eksik veya yanlış işlenmiş olan verilerinin düzeltilmesini isteme hakkına sahiptir. İlgili kişi, veri sorumlusundan aldığı cevap neticesinde gerekmesi
durumunda Kurula şikâyet yoluna da gidebilir.

ÖRNEK: Hastanede kayıt işlemi sırasında bilgilerini kayıt görevlisine bildiren kişinin bilgileri, görevli personelin bu bilgileri yüksek sesle tekrarlaması sonucu sırada bulunan diğer kişiler tarafından öğrenilmiştir. Bu durumdan rahatsız olan ilgili kişi öncelikle veri sorumlusu olan hastaneye başvurup aldığı cevabın niteliğine göre Kurula şikayet yolunu tercih edebilir.

ÖRNEK: Kişisel verisinin bir veri sorumlusu tarafından Kanuna aykırı olarak işlendiğini öğrenen bir kişi, veri  sorumlusunun başvuru amacına yönelik geliştirdiği mobil uygulama üzerinden başvurusunu iletmişse, bu tarihten itibaren en kısa sürede ve en geç 30 gün içerisinde veri sorumlusu tarafından cevap verilmesi gerekmektedir. Ancak başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap
verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişiler Kurula şikâyet yoluna gidebilir.

 KURULA ŞİKÂYET VE İNCELEME SÜRECİ

Kişisel verisi işlenen ilgili kişilerin, Kanunun 11. maddesi ile öngörülen haklarını kullanırken önce veri sorumlusuna başvurması, cevabın niteliğine göre ise Kurula şikâyet yoluna gitmesi mümkündür.

a) KURULA ŞİKAYET

Kanunun 14. maddesi ile Kurula şikâyet konusu düzenlenmektedir. Buna göre; Kanunun 13. maddesi kapsamında yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. Maddenin 2. fıkrasında, Kanunun 13. maddesinde
düzenlenen başvuru aşamasının zorunlu bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir kısmının veri sorumluları tarafından giderilmesi ve bu suretle Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır.
Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan ise adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Maddenin 3. fıkrası ile kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkının saklı tutulduğu düzenlenmektedir. Bu kapsamda, veri sorumlusunun hukuki statüsüne göre  ilgililer adli ya da idari yargıda dava açabileceklerdir.

ÖRNEK: Veri sorumlusu tarafından ilgili kişinin, izni olmaksızın telefonuna reklam ve kampanya içerikli SMS gönderilmektedir. Bu durumda ilgili kişi; veri sorumlusuna yazılı veya elektronik ortamda başvurarak talebini bildirebilir. Veri sorumlusu ilgili kişinin talebine 30 gün içerisinde cevap vermekle yükümlüdür. Veri sorumlusundan aldığı cevaba göre ilgili kişi isterse Kurula şikâyet yoluna gidebilir.
Veri sorumlusuna hiçbir şekilde ulaşılamadığı, veri sorumlusunun tespitinin sağlanamadığı durumlarda ilgili kişi elinde kanıtlanabilir nitelikte belge olmak kaydıyla, doğrudan Kurula şikâyet yoluna gidebilir.

b) ŞİKÂYET ÜZERİNE VEYA RESEN İNCELEMENİN USUL VE ESASLARI

Kanunun 15. maddesi ile Kurul tarafından yapılacak incelemenin usul ve esasları düzenlenmektedir. Buna göre Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna özgü olacaktır. 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen şartları taşımayan ihbar ve şikâyetler incelemeye alınmayacaktır. Veri sorumluları, devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri Kurula
15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır. Buna göre, şikâyet tarihinden itibaren 60 günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır. Kurulun, şikâyet üzerine yapacağı inceleme için 60 günlük süre öngörülmüş ise de resen
yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir.

 Unutulmamalıdır ki; ilgili kişinin şikâyeti üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Kurulun bir  cevap vermesi başvuruyu sonuçlandırdığı anlamına gelmez. İnceleme süreci devam edebilir. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri
sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilir. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın  olduğunun tespit edilmesi durumunda, gerekli ise ilgili kurum ve kuruluşların görüşleri de alınarak Kurul tarafından ilke kararı alınarak yayımlanır. Telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, Kurul’a veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır.

ÖRNEK: 6698 sayılı Kanuna açıkça aykırılık teşkil etmesi durumunda Kurul, 18. madde kapsamında idari para cezası uygulayabileceği gibi, telafisi güç veya imkânsız zararların doğması halinde, veriye erişimin kısıtlanmasına, verinin işlenmesine veya yurt dışına aktarılmasının durdurulmasına da karar verebilir.

VERİ SORUMLULARI SİCİLİNE KAYIT

Kanunun 16. maddesi, veri sorumlularının kayıt olması gereken Veri Sorumluları Sicilini düzenlemektedir. Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulur.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilecektir. NOT: Kanunun 16. maddesinin (1) numaralı fıkrası ve Veri Sorumluları Sicili Hakkında Yönetmeliğin ilgili maddeleri gereği Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlanarak kullanıma açılmıştır. İstisnalar hariç olmak üzere, kişisel verileri işlemekte olan gerçek ve tüzel kişiler VERBİS’e kaydolmakla
yükümlüdür. Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır;

• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Veri sorumluları tarafından, bu bilgileri içeren bir bildirimle VERBİS’e kayıt yapılır. Söz konusu bilgilerde meydana gelen değişiklikler derhal Kurum Başkanlığına bildirilir.

Veri Sorumluları Sicili Hakkında Yönetmeliğin 13. maddesine göre, Sicilde kayıtlı bilgilerde değişiklik olması halinde, değişikliğin meydana geldiği tarihten itibaren 7 gün içinde VERBİS üzerinden güncelleme yapılması gerekmektedir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar Yönetmelikle düzenlenir.

Kanunun 16. maddesinin (5) numaralı fıkrasının verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulunca hazırlanan “Veri Sorumluları Sicili Hakkında Yönetmelik” 01.01.2018 tarihi itibariyle yürürlüğe girmiştir.

 VERBİS’e kayıt tarihleri 2018/88 sayılı Kurul Kararı ile belirlenmiştir. İlgili Kurul Kararına www.kvkk.gov.tr adresi üzerinden erişim sağlanabilir ÖRNEK: Yurtiçinde yerleşik bir otomotiv şirketinin insan kaynakları departmanında, çalışanların kişisel verilerinin yanı sıra birtakım sağlık verileri de işlenmektedir. Bu durumda şirketin Sicile kayıt
yükümlüsü olup olmadığını tespit edebilmek için öncelikle ana faaliyet konusunun belirlenmesi gerekmektedir. Çalışanların kişisel verilerinin yanı sıra birtakım sağlık verilerinin de işleniyor olması ana faaliyetinin özel nitelikli kişisel veri işleme olduğu  anlamına gelmez. Otomotiv şirketi olması nedeniyle şirketin ana faaliyeti özel nitelikli kişisel veri işleme sayılmayacaktır. Burada, 2018/88 sayılı Kurul Kararındaki kriterler sağlanıyor mu buna bakılmalı
ve kayıt yükümlüsü olup olmadığı tespit edilmelidir. ÖRNEK: Merkezi yurtdışında bulunan bir şirketin Türkiye’de faaliyet gösteren bir şubesi bulunmaktadır. Türkiye’de faaliyet gösteren şubenin VERBİS’e kayıt yükümlüsü olup olmadığını tespit edebilmek için Türkiye’deki şubenin;

• Farklı bir tüzel kişiliğe sahip mi?
• Kişisel veri işleme amaç ve yöntemlerini kendisi mi belirliyor?
• Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu mu? sorularına olumlu cevap vermesi gerekir.

Bu durumda, eğer yurtdışındaki şirketten farklı olarak bir veri sorumlusu niteliğini taşıyorsa Türkiye’deki şubenin, 2018/88 sayılı Kurul Kararındaki kriterlerden birini sağlaması durumunda VERBİS’e kayıt olması gerekmektedir.
Kanunun 16. maddesi 2. fıkrasının verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulunca bazı veri  sorumluları için VERBİS’e kayıt yükümlülüğüne istisna getirilmiştir. Bu istisnalar, 15.05.2018 ve 18.08.2018 tarihli Resmi Gazete’de ilan edilerek Kurumun internet sitesinde duyurulmuştur. Kurul Kararıyla Sicile Kayıt  Yükümlülüğünden İstisna Olan Veri Sorumluları 15.05.2018 Tarihli Resmi Gazetede Yayımlanan Kurul Kararları
18.08.2018 Tarihli Resmi Gazetede Yayımlanan Kurul Kararları Otomatik Olmayan Yollarla Kişisel Veri İşleyenler                                                                                                                                                                                                                                                                                                         Gümrük Müşavirleri                                                                                     Arabulucular Siyasi Partiler, Dernekler,
Vakıflar, Sendikalar Yıllık Çalışan Sayısı 50’den az ve Yıllık Mali Bilanço 25 Milyon TL’den Az olup Ana Faaliyeti Özel Nitelikli Kişisel Veri İşleme Olmayanlar
Avukatlar
Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler

İstisna kapsamında olmayan tüm veri sorumlularının www.kvkk.gov.tr üzerinden giriş yaparak VERBİS’e kayıt olması gerekmektedir. VERBİS’e kayıt olurken veri sorumluları tarafından kesinlikle kişisel veriye yer verilmeyecek, sadece kategorik bazda üst başlıklar halinde ne tür kişisel veri işlendiği, bunların hangi amaçla işlendiği, kimlere aktarıldığı, alınan tedbirlerin neler olduğu gibi bilgiler sisteme girilecektir.

ÖRNEK: Bir şirket veri olarak ad-soyad, kimlik numarası işliyorsa VERBİS’e kayıt esnasında ‘kimlik bilgisi işliyorum’ seçeneğini işaretleyecektir. Bu anlamda VERBİS, kamuya açık olup şeffaflık ve hesap verilebilirlik ilkelerini temel almaktadır. Veri sorumluları tarafından işlenen kişisel verilerin, VERBİS’te bulunan kategorilerde bir karşılığı yoksa, bu veri kategorileri VERBİS’te yer alan ‘diğer’ butonuna tıklanarak manuel şekilde girilebilir. Bu sisteme kayıt olunmaması halinde Kurul tarafından 20 bin TL’den 1 milyon TL’ye kadar idari para cezası verilecektir. Söz konusu idari para cezası miktarları, her yıl “yeniden değerleme” oranında artırılmaktadır. Kamu kurum ve kuruluşlarının VERBİS’e kayıt olmaması halinde ise; disiplin hükümlerine göre işlem yapılacak ve sonucu Kurula bildirilecektir.

 İSTİSNALAR

Kanunun 28. maddesi ile tamamen Kanunun kapsamı dışında kalan durumlar ve kısmen Kanunun kapsamı dışında kalan faaliyetler düzenlenmiştir.

a) KANUNUN TAMAMEN UYGULANMAYACAĞI HALLER

Kanunun 28. maddesinin 1. fıkrasında, Kanun hükümlerinin hangi durumlarda uygulanmayacağı, diğer bir ifade ile tamamen Kanunun kapsamı dışında tutulan hususlar düzenlenmektedir.

NOT: Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm  kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Dolayısıyla, her ne kadar çeşitli  faaliyetler bazında Kanun’dan tam ve kısmi istisnalar sağlansa da, temel ilkelere uygun ve orantılı olmak kaydıyla kişisel veriler işlenmelidir. Buna göre aşağıda belirtilen durumlarda 6698 sayılı Kanun hükümleri  uygulanmayacaktır;

1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında  işlenmesi,

ÖRNEK: Bir annenin üçüncü kişilere vermemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla, aynı konutta yaşadığı çocuğu veya eşinin fotoğraflarını cep telefonuyla çekmesi, kaydetmesi, kimlik bilgilerini rehbere işlemesi gibi durumlar Kanun kapsamı dışında kalmaktadır.

2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

ÖRNEK: Yetkili kamu kurumu tarafından Resmi İstatistik Programı (RİP) kapsamında işlenmekte olan kişisel veriler Kanunun kapsamı dışındadır. Bununla birlikte, söz konusu kamu kurumunun resmi istatistik dışında işlemekte olduğu kişisel veriler bakımından ise 6698 sayılı Kanuna uyum yükümlülüğü devam etmektedir.

ÖRNEK: Bir veri sorumlusu tarafından; anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenen kişisel veriler de Kanunun kapsamı dışında kalmaktadır. Bununla birlikte, bu şekilde işlenen kişisel verilerin anonim hale getirilmiş olduğundan emin olunmalıdır.

3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

ÖRNEK: İfade özgürlüğü kapsamında işlenen kişisel veriler her ne kadar Kanun kapsamı dışında kalmış olsa da, ifade özgürlüğü ile kişisel verilerin korunması arasında bir tür denge testi yapılması önerilir. İfade özgürlüğü ile, bireyin kişisel verilerinin korunması hakkından yararlanması noktasında var olan beklenti ve talep arasında adil ve makul bir denge gözetilerek ifade özgürlüğü ile kişisel verilerin korunması hakkı arasında somut olay esas alınarak bir denge kurulmalıdır.

ÖRNEK: Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, halk tarafından bilinen bir sanatçının hayatının biyografi şekline getirilmesi durumu bu faaliyet alanı ile sınırlı olmak kaydıyla 6698 sayılı Kanunun kapsamı dışındadır.

4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

ÖRNEK: İstihbarat birimleri tarafından millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik olarak işlenen veriler Kanunun kapsamı dışında kalmaktadır. Aynı şekilde, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili  birimlerce veri toplamak, mali istihbarat elde etmek, şüpheli işlem bildirimleri almak ve analiz ederek ilgili  kurumlarla paylaşmak amacıyla yürütülen faaliyetler kapsamında işlenen veriler Kanunun kapsamı dışında kalmaktadır.

5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

ÖRNEK: Adli bir olayın kovuşturulması sırasında mahkemeler tarafından konuyla ilgili kişilerin verilerinin işlenmesi Kanunun kapsamı dışında kalmaktadır.

 6698 sayılı Kanunun 28. maddesinin (1) numaralı fıkrasında sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanunun hükümleri uygulanmayacakken, bu faaliyetler dışında gerçekleşen veri işleme faaliyetleri bakımından
Kanuna uyum yükümlülüğü devam etmektedir.

b) KANUNUN BAZI MADDELERİNİN UYGULANMAYACAĞI HALLER

Kanunun 28. maddesinin (2) numaralı fıkrasında, kısmen Kanunun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan hallerde Kanuna uyum yükümlülüğü bulunmakla birlikte, yalnızca belirli hükümler bakımından yükümlülük bulunmamaktadır. Diğer bir ifade ile bu fıkra kapsamında; veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümlerinin sayılan durumlarda uygulanmayacağı belirtilmiştir.
Burada yalnızca belirli durumlarda ve belirli hususlara ilişkin istisna öngörülmüş olup bu hususlar dışında
Kanunun getirdiği yükümlülüklere uyumlu olma şartı her zaman aranacaktır. Bu kapsamda, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak şartı ile Kanunun 10, 11 ve 16. maddelerinden muaf tutulan durumlar şunlardır;

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

ÖRNEK: Otomobili ile yolculuk etmekte olan bir aile, yol üzerinde güvenlik güçleri tarafından durdurulmuştur. Suç soruşturması kapsamında, ailenin kimlik kontrollerinin yapılmasının gerekli olması bakımından, güvenlik güçlerinin ilgili kişileri aydınlatma, ilgili kişi başvurusuna cevap verme ve VERBİS’e kayıt sırasında bu beyannamelere ait bilgi
girişi yapma yükümlülüğü bulunmamaktadır.

2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde üçüncü kişiler tarafından işlenebilmesi için söz konusu veri işleme faaliyetinin alenileştirme iradesi ve amacına uygun olması gereklidir.

ÖRNEK: Kişinin, herkesin erişimine açık bir şekilde sosyal medya hesabında adı, soyadı ve telefon numarası paylaşarak tanıdıklarının kendisine ulaşabileceğini belirtmesi halinde tanıdıklarının kendisine SMS göndermesi durumunda Kanunun 10, 11 ve 16. maddesi hükümlerinin uygulanması zorunlu değildir.

ÖRNEK: Özel muayenehanesi olan bir doktor, reklam amacıyla gazete ilanı verdiğinde, bu amaçla sınırlı olmak üzere ilanda yer alan iletişim bilgilerini alenileştirmiş olmaktadır. Bu iletişim bilgilerini kullanarak hizmet almak amacıyla doktora ulaşacak kişinin Kanunun 10, 11 ve 16. madde hükümlerine uyması zorunlu değildir.

3. Kişisel veri işlemenin Kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin  soruşturma veya kovuşturması için gerekli olması.

ÖRNEK: Bir kamu kurumunun, denetim elemanlarınca kurum personeli hakkında yaptığı disiplin soruşturması esnasında o personel ile ilgili kişisel verileri işlemesi mümkündür. Bu durumda, ilgili personele aydınlatma yapılması, varsa başvurusuna cevap verilmesi ve kamu kurumunun VERBİS’e kaydı esnasında bu veri kategorisini bildirmesi gibi hususlar zorunlu değildir.

ÖRNEK: Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ile Radyo ve Televizyon Üst Kurulu (RTÜK) gibi düzenleyici denetleyici kurumların; kanunun verdiği yetkiye dayanılarak denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumlarında, sadece bu görevleri kapsamında işlediği kişisel verilerle sınırlı olmak üzere Kanunun 10, 11 ve 16. madde hükümlerinin uygulanması
zorunlu değildir.

4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının
korunması için gerekli olması.

ÖRNEK: İlgili kişiler tarafından Gelir İdaresi Başkanlığına kira beyannamesi sunulması sırasında paylaşılan kişisel verilerin işlenmesi bakımından, Gelir İdaresi Başkanlığının ilgili kişiyi aydınlatma, ilgili kişi başvurusuna cevap verme ve VERBİS’e kayıt sırasında bu beyannamelere ait bilgi girişi zorunluluğu bulunmamaktadır.

VERİ SORUMLUSU VE VERİ İŞLEYEN

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri veri sorumlusu olup ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerek hukuki sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.

ÖRNEK: Personelin maaşını ödeyebilmek için isim, telefon numarası, banka hesap numarası gibi bir takım kişisel verilerini bir veri tabanında tutan bir beyaz eşya imalat firması bu kapsamda hem kişisel veri işleme amacını hem veri işleme araç ve yöntemlerini belirlemekte ve ayrıca buna yönelik bir veri kayıt sistemi de oluşturmuş  durumdadır. Kısaca neden ve nasıl kişisel veri işlediğine kendisi karar vermektedir. Bu nedenle söz konusu firma, Kanun bakımından veri sorumlusudur. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı ayrı veri sorumlusu olması mümkündür.
Veri işleyen ise; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri
sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri, kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

NOT: Veri işleyen, veri sorumlusu ile imzaladığı sözleşme çerçevesinde veri sorumlusundan aldığı yetki ve talimat dışına çıkarak kendisi adına kişisel veri işlemeye başladığı durumda o kişisel veriler için veri işleyen statüsünden çıkarak veri sorumlusu statüsünde olacaktır.

ÖRNEK: Bir özel şirketin, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen durumundadır. Çünkü taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca, bulut hizmeti sağlayıcısının kendisi de veri toplamamaktadır. Tek faaliyeti şirketten gelen kişisel verileri yine özel şirketin talimatlarına uygun olarak saklamaktır.

NOT: Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir.

ÖRNEK: Bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisiyle imzaladığı sözleşme kapsamında müşterisi için işlediği kişisel veriler bakımından veri işleyen sayılacaktır. Bununla birlikte, sözleşme kapsamı dışına çıkıp veri sorumlusunun talimatına aykırı olarak kendisi adına kişisel veri işlemesi halinde ayrı bir veri sorumlusu olacaktır.

ÖRNEK: Bir Kurum bünyesinde bulunan ve dışarıdan hizmet alımı çağrı merkezi hizmeti veren şirket, Kurum nezdinde işlediği veriler bakımından veri işleyen konumunda iken, kendi personeli hakkında tuttuğu özlük dosyaları bakımından veri sorumlusu statüsünde olabilmektedir. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani kendi adına karar alma yetkisi olan, kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri sorumlusunun tespiti için;

• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı,
paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı,
• İlgili kişilerin haklarının nasıl sağlanacağı
hususlarında kimin karar verdiği dikkate alınır.

Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;

• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
• Kişisel verilerin hangi yöntemle saklanacağı,
• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri hususlarında karar verme yetkisini veri işleyene bırakabilir.

NOT: Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumlusuyla veri işleyen arasında bazı ortak noktalar vardır. Bunlar;

a) Veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu herhangi bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir.

Veri sorumlusu (aynı şekilde veri işleyen de) olmak, Kanunun hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüye sahip olacaktır.

Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil,
şirketin kendisi “veri sorumlusu” sıfatına sahiptir.

ÖRNEK: Bir şirkete iş başvurusu sırasında başvuru formunun, İnsan Kaynakları Departmanına teslim edilmesi veri sorumlusunun İnsan Kaynakları Departmanı olduğu anlamına gelmez. Burada veri sorumlusu, tüzel kişiliği haiz bulunan şirketin bizatihi kendisidir.

ÖRNEK: Otel rezervasyonları için hizmet sağlayan bir internet sitesine, rezervasyon için verilen bilgiler bakımından bu bilgileri ilk elden alan hizmet sağlayıcısı internet sitesi veri sorumlusu gibi gözükse de, burada kişisel verilerin işleme amacını ve vasıtasını belirleyen otel olduğu için veri sorumlusu statüsüne haiz olan tüzel kişilik, oteldir.

b) Her iki kavram da, hem gerçek hem de tüzel kişiler için geçerlidir. Örneğin serbest çalışan bir muhasebeci veya bir mali müşavirlik firması hem veri sorumlusu, hem de veri işleyen olabilir. Ayrıca bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı iki statüde de yer alabilir.