Turkey: Kişisel Veri Güvenliği Rehberi Yayınlandı

Last Updated: 11 January 2019
Article by Selin Ozbek Cittone and Batuhan Aytaç

Kişisel Verileri Koruma Kurumu ("Kurum"), Kişisel Verileri Koruma Kanunu'nu ("Kanun") kapsamında kişisel verilerin işlenmesine dair en çok merak edilen sorulardan biri olan veri güvenliğine ilişkin Kişisel Veri Güvenliği Rehberi'ni ("Rehber")1 yayınladı. Rehber, veri sorumluları için birçok güvenlik önlemi belirliyor ve öneriler getiriyor.

MEVCUT RİSK VE TEHDİTLER NASIL BELİRLENMELİDİR?

Rehber, risklerin önüne geçilebilmesi için zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerektiğini belirtmiştir. Kurum'a göre; kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde, aşağıdakiler dikkate alarak, belirlenmesi gereklidir:

  • Özel nitelikli kişisel veri olup olmadıkları,
  • Mahiyetleri gereği hangi derecede gizlilik seviyesi gerektirdikleri,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği

Rehber, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin uygulanabilirliğinin değerlendirilmesinde aşağıdaki kriterlerin uygulanacağını belirlemektedir:

  • Maliyet
  • Uygulanabilirlik
  • Yararlılık

Bu bakımdan Kurum'un, güvenliği sağlamak adına, veri sorumlularının kabiliyeti ve kişisel verilerin güvenliği arasında dengeli çözümler üretilmesini beklediği anlaşılmaktadır.

ÇALIŞANLARIN EĞİTİLMESİ

Kişisel verilerin güvenliği açısından en çok beklenen önlemlerden biri çalışanların eğitimiydi. Rehber, çalışanların eğitimine ilişkin aşağıdaki hususların uygulanmasını beklemektedir:

  • Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları
  • Çalışanlara yönelik farkındalık çalışmalarının yapılması
  • Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
  • Hangi konumda çalıştıklarına bakılmaksızın çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluklarının farkında olması
  • Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci oluşturulması
  • Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; ilgili yeni eğitimlerin yapılması
  • Kişisel veri güvenliğine ilişkin bilgilerin güncel tutulmasının sağlanması.

Rehber, ayrıca çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşması imzalamalarının istenmesini bir öneri olarak sunmaktadır.

Rehber, son olarak, kişisel veri güvenliğine ilişkin kültür oluşturulurken "Yasaklanmadıkça Her Şey Serbesttir" prensibinin değil "İzin Vermedikçe Her Şey Yasaktır" prensibine uygun hareket edilmesi gerektiğini vurgulamıştır.

GÜVENLİK POLİTİKALARI VE PROSEDÜRLERİ NASIL BELİRLENMELİDİR?

Rehber, kişisel veri güvenliğine ilişkin politika ve prosedürlerin belirlenmesinde aşağıdaki kriterlere uyulması gerektiğini belirtmektedir:

  • Doğru ve tutarlı olması
  • Veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmesi
  • Veri sorumluların veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan emin olunması
  • Mevcut güvenlik önlemlerini inceleyerek yasal yükümlülüklere uyumlu hareket edildiğinden emin olunması.

Rehber, politika ve prosedürler kapsamında ise aşağıda belirtilen eylemlerin yapılması gerektiğini vurgulamaktadır

  • Düzenli kontrollerin yapılması
  • Yapılan kontrollerin belgelenmesi
  • Geliştirilmesi gereken hususların belirlenmesi
  • Gerekli güncellemeler yerine getirildikten sonra da düzenli kontrollerin devam etmesi
  • Her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceğinin açıkça belirlenmesi.

KİŞİSEL VERİLERİN AZALTILMASI

Rehber, bu bölümde, veri sorumluları uygulamalarında sıklıkla rastlanan veri arşivleme eyleminin daha kontrollü ve işleme gereklilikleri ile bağlantılı şekilde yapılmasının önemini vurgulamaktadır. Rehber, Kanunu kişisel verilerin gerektiğinde doğru ve güncel olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli oldukları süre için muhafaza edilmesi yükümlülüklerini hatırlatarak, aşağıdakileri önermektedir:

  • Veri sorumlularının, işleme amaçları bakımından uzun süreler zarfında toplamış oldukları yüklü verilere hala ihtiyaç duyup duymadıklarını değerlendirmeleri ve bu kişisel verilerin doğru yerde muhafaza edildiğinden emin olmaları
  • Veri sorumlularınca sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi
  • İhtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası çerçevesinde ilgili yönetmelik kapsamında imha edilmesi2

VERİ SORUMLUSUNUN KİŞİSEL VERİLERİN İŞLENMESİ İÇİN ÜÇÜNCÜ BİR KİŞİYLE ÇALIŞTIĞI HALLERDE NELER YAPILMALIDIR?

Bazı durumlarda kişisel verilerin işlenmesi, veri sorumlusu adına başka kişiler tarafından gerçekleştirilebilmektedir. Bu durumlarda Kanun'un kişisel veri güvenliği ile ilgili 12. maddesinin ikinci fıkrası işleyenler ile veri sorumluları kişisel veri güvenliğinden müştereken sorumludur.

Bu sebeple Rehber, veri sorumlularının, kendileri adına kişisel veri işleyenlerin, kişisel veriler konusunda, en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerektiğini vurgulamıştır ve veri sorumlularının veri işleyenle;

  • Veri işleyenin veri sorumlusunun talimatları doğrultusunda,
  • Sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve
  • Kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hükümler içeren,
  • Yazılı

bir sözleşme imzalamalarını önermektedir.

Rehber'in, sözleşmede yer alması gerektiğini belirttiği ve önerdiği hükümleri aşağıdaki şekilde sıralayabiliriz:

  • Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğü
  • Veri işleyenin, herhangi bir veri ihlali olması durumunda, bu durumu derhal veri sorumlusuna bildirme yükümlülüğü
  • Sözleşmenin niteliği elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin ayrı bir maddede belirtilmesi
  • Veri sorumlusunun kişisel veri içeren sistem üzerinde gerekli denetimleri yapma veya yaptırma, denetim sonucunda ortaya çıkan raporları ve veri işleyeni yerinde inceleme hakkı

HANGİ SİBER GÜVENLİK ÖNLEMLERİ ALINMALIDIR?

Rehber, kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenlik sağlanamayabileceğini belirterek, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen bir takım tedbirlerin uygulanmasını önermektedir.

Rehber'in siber güvenliğin sağlanması için gerekli olduğunu belirttiği önlemler aşağıdadır:

  • Öncelikle güvenlik duvarı ve ağ geçidinin sağlanması
  • Hemen hemen her yazılımın ve donanımın kurulum ve yapılandırma işlemlerine tabi tutulması
  • Yama yönetimi ve yazılım güncellemelerinin yapılması
  • Yazılım ve donanımların düzgün bir şekilde çalışıp çalışmadığının ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli kontrolü
  • Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisinin tanınması
  • Sistemlere kullanıcı adı ve şifre kullanmak suretiyle erişim sağlanması
  • Şifre ve parolalar oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesinin sağlanması
  • Şifre girişi deneme sayısının sınırlandırılması
  • Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması
  • Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması
  • Veri sorumlusuyla ilişkileri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması
  • Bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
  • Yukarıda belirtilen ürünlerin güncel tutulması ve gereken dosyaların düzenli olarak tarandığından emin olunması
  • Farklı İnternet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi.

Bunlara ek olarak Rehber, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunduğunu vurgulayarak, kullanılmayan yazılım ve servislerin güncel tutulması yerine cihazlardan kaldırılması ve silinmesini önermektedir.

Rehber, ayrıca, veri sorumlularının erişim yetki ve kontrol matrisi oluşturmasını ve ayrı bir erişim politika ve prosedürleri oluşturularak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınmasını önermektedir.

KİŞİSEL VERİLERİN BULUNDUĞU SİSTEMLERİN GÜVENLİĞİ NASIL TAKİP EDİLMELİDİR?

Rehber, kişisel verilerin bulunduğu sistemlere olan saldırıların uzun süre fark edilemediği ve müdahale için geç kalınabildiği durumlara işaret ederek, bu durumun önlenmesi için aşağıdaki eylemlerin alınması gerektiğini belirtmektedir:

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi
  • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (Log kaydının tutulması gibi)
  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması
  • Çalışanların sistem ve servislerindeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürünün oluşturulması
  • Raporlama sürecinde oluşturulacak raporların otomatik olması halinde, raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması
  • Güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi
  • Sistemlerden gelen uyarılar üzerine harekete geçilmesi
  • Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması
  • Ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması
  • Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması

KİŞİSEL VERİLERİN BULUNDUĞU ORTAMLARIN GÜVENLİĞİ NASIL SAĞLANMALIDIR?

Rehber, bu bölümde, sadece elektronik ortamda değil fiziksel ortamda saklanan kişisel verilerin güvenliğinin sağlanmasına ilişkin de önerileri ve gereklilikleri belirtmektedir.

Kişisel veriler fiziksel ortamlarda (veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında) saklanıyor ise;

  • Bu cihazların ve kağıtların çalınma veya kaybolma gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
  • Kişisel verilerin yer aldığı fiziksel ortamların yangın ve sel gibi dış risklere karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması

Kişisel veriler elektronik ortamda saklanıyor ise;

  • Kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişimin sınırlandırılmasının veya bileşenlerin ayrılmasının sağlanması

Rehber, yukarıda belirtilenlerle aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri sorumlusuna ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar için de alınması gerektiğini belirtmektedir.

Bunlara ek olarak;

  • Kâğıt ortamındaki evrak, sunucu, yedekleme cihazları, CD, DVD ve USB gibi cihazlarının ek güvenlik önlemlerinin olduğu başka bir odaya alınması
  • Kişisel veri içeren kâğıt ortamındaki evrakın kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması ve bu evraka yetkisiz erişimin önlenmesi
  • Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağladığı durumlar için yeterli güvenlik tedbirlerinin alınması.
  • Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması
  • Elektronik posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi
  • Şifre anahtarının sadece yetkili kişilerin erişebileceği ortamda saklanması ve yetkisiz erişimin önlenmesi
  • Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunması amacıyla uluslararası kabul gören şifreleme programlarının kullanılması
  • Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde anahtar yönetimi süreçlerine özen gösterilmesi

BULUT SİSTEMLERİNİN KULLANILMASI HALİNDE GÜVENLİK NASIL SAĞLANMALIDIR?

Rehber, veri sorumluları tarafından en merak edilen konulardan biri olan bulut sistemlerinde güvenliğin sağlanması için neler yapılabileceği ile ilgili de gereklilikler ve önerilerden bahsetmektedir:

  • Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi
  • Bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi
  • İlgili kişisel verilerin yedeklenmesi
  • İlgili kişisel verilerin senkronizasyonunun sağlanması
  • İlgili kişisel verilere gerektiği hallerde uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrolünün uygulanması.

Bunlara ek olarak, Kurum'un, daha önce Silme, Yok Etme ve Anonim Hale Getirme Rehberi'nde de bahsettiği gibi3, Rehber, bulut sistemlerinde yer alan kişisel verilerin gerektiğinde imhasının sağlanabilmesi için bu kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması gerektiğini belirtmiştir. Böylece hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tamamı yok edilerek bulut sistemlerinde yer alan kişisel verilerin imhası sağlanabilecektir.

BİLGİ TEKNOLOJİ SİSTEMLERİNİN TEDARİĞİ, GELİŞTİRİLMESİ VE BAKIMI

Rehber, veri sorumlusunun, kişisel verilerin işlenmesi ile ilgili sistemlerin tedarik edilmesi, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi gibi eylemler gerçekleştirilirken alınması gereken güvenlik önlemlerine de değinmektedir:

  • Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması
  • Doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığının kontrol edilebilmesi için uygulamalara kontrol mekanizmalarının yerleştirilmesi
  • Uygulamaların, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanması
  • Bakım veya teknik destek için üçüncü kişilere gönderilen cihazların, gönderilmeden önce, veri saklama ortamlarının sökülerek saklanması veya sadece arızalı parçaların gönderilmesi
  • Bakım ve onarım için dışarıdan personelin geldiği durumlarda, personelin kişisel verileri kopyalayarak kurumun dışına çıkartmasını engellemek için gerekli önlemlerin alınması

KİŞİSEL VERİLERİN YEDEKLENMESİ

Rehber, sadece kişisel verilerin haksız işlenmesinin, çalınmasının ve sızıntısının engellenmesi ve uygun zamanda imhasına ilişkin önlemlerden bahsetmemiş, aynı zamanda kişisel verilerin zarar görmesi, yok olması ve kaybolması gibi durumların da önlenmesinin gerektiğini belirterek yedekleme ile ilgili öneriler ve yönlendirmelerde bulunmuştur:

  • Kişisel verilerin yedeklenmesine ilişkin stratejilerin geliştirilmesi
  • Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmesi
  • Veri seti yedeklerinin ağ dışında tutulması
  • Tüm yedeklerin fiziksel güvenliğinin sağlandığından emin olunması

GENEL TEKNİK VE İDARİ TEDBİRLER

Rehber, son olarak, alınması gereken teknik ve idari tedbirleri genel başlıklar halinde sıralamıştır. Bu tedbirler, veri sorumlusunun Kanun ve ilgili mevzuat kapsamında almakla yükümlü olduğu tedbirlerin yanında yukarıda belirtilen tedbirleri ve başkaca diğer tedbirleri kapsamaktadır.

Kurul'un buna ilişkin belirttiği özet tedbirler aşağıdadır:

Teknik Tedbirler

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

İdari Tedbirler

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanun'a Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

BUNDAN SONRA NE YAPMALI?

Rehber'de belirtilen, Kurum'un ve Kurum'a bağlı olan Kişisel Verileri Koruma Kurulu'nun Kanun'un kişisel veri güvenliğine ilişkin 12. maddesi çerçevesindeki yükümlülüklere uyumu denetlerken göz önüne alacağı kriterlerdir.

Kanun'da veri güvenliğine ilişkin yükümlülüklerin ihlali halinde yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilebileceği unutulmamalıdır.

Bu bağlamda veri sorumluları, bilgi güvenliğinden sorumlu çalışanları veya teknik uzmanlar ve hukukçuları yardımıyla yukarıda belirtilen unsurları sağlamak adına harekete geçmelidir.

Buna ek olarak Rehber'de de ayrıca belirtilen, kendileri adına veri işleyenlerle imzalanacak sözleşmelerin hazırlanması, çalışanlarının eğitilmesi ve tüm çalışanlarının uyması gereken güvenlik önlemlerinin belirlenmesi, bunlara ilişkin taahhütlerin hazırlanması, denetim şartlarının belirlenmesi gibi kişisel veri güvenliğine ilişkin idari tedbirlerin de uygulanmasına mümkün olduğunca hızlı bir şekilde başlanmasını öneriyoruz. Halihazırda veri envanterlerini hazırlamış ve politikalarına dair ön çalışmalarını yapmış olan veri sorumlularının, varolan politika ve uygulamalarını Rehber'de berlitilenler çerçevesinde yeniden gözden geçirmesi yararlı olacaktır. Daha envanter çalışmalarını başlatmamış ya da politikalarını belirlememiş veri sorumlularının ise hiç vakit kaybetmeden bu çalışmalara başlamaları ve Kurul'un çıkardığı ikincil düzenlemeler ve rehberler ışığında uyum programlarını tamamlamaları çok önemlidir.

Footnotes

[1] http://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

[2] Buna ilişkin detaylı bilgi için bkz: http://www.ozbek.av.tr/yayinlar/kisisel-verilerin-silinmesi-yok-edilmesi-veya-anonim-hale-getirilmesi-hakkinda-yonetmelik/ ve http://www.ozbek.av.tr/yayinlar/kisisel-verileri-koruma-kurulu-nun-yeni-rehberi-merak-edilen-sorulari-yanitliyor/

[3] Bkz. http://www.ozbek.av.tr/yayinlar/kisisel-verileri-koruma-kurulu-nun-yeni-rehberi-merak-edilen-sorulari-yanitliyor/

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
Some comments from our readers…
“The articles are extremely timely and highly applicable”
“I often find critical information not available elsewhere”
“As in-house counsel, Mondaq’s service is of great value”

Related Topics
 
Related Articles
 
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Registration (you must scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions