Turkey: Kişisel verileri koruma kurulu'nun, kişisel veri ihlali bildirim usul ve esaslarına ilişkin kararı

Last Updated: 7 March 2019
Article by Selin Ozbek Cittone

Kişisel Verileri Koruma Kurulu ("Kurul"), 24.01.2019 tarih ve 2019/10 sayılı kararı ("Karar") ile, veri ihlal bildirimlerine dair bildirim süresi, yönetimi ve yapılması gerekenler gibi önemli bazı hususlara açıklık getirdi.

Kurul, veri ihlal bildirimlerine dair özetle:

  • Veri ihlal bildirimlerine dair Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 12. maddesinde yer alan "en kısa sürede" ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul'a bildirim yapmasına, haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul'a açıklanmasına,
  • Kurula yapılacak bildirimde ilan edilen Kişisel Veri İhlali Bildirim Formu"unun kullanılmasına,
  • Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul'un incelemesine hazır halde bulundurulmasına,
  • Veri ihlalinin veri işleyen nezdinde gerçekleşmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye'de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurul'a bildirimde bulunulmasına,
  • Bir veri ihlali müdahale planı hazırlanmasına ve bu planın belirli aralıklarla gözden geçirilmesine

karar verdi.

Hatırlarsanız, yeni yılda girerken blog'umuzda yayınlanan 2019da-bizi-neler-bekliyor başlıklı yazımızda, hızlı dijital değişimin veri ihlalleri açısından şirketleri ve kişileri daha kırılgan yaptığını ve nitekim veri ihlali haberlerinin 2018'de gündemde çokça yerini aldığını yazmıştık.

Kurul, bu Karar'ı ile uygulamacılara veri ihlalleri karşısında neler yapılması gerektiği konusunda net bir yol haritası çizmiş oldu.

Veri İhlali Nedir? Veri İhlali ne zaman olur?

Bildiğiniz üzere, Kanun veri ihlaline dair özel bir tanım öngörmemekte, ancak Kanun'un 12. maddesindeki düzenleme gereğince "işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali"ni, bir veri ihlali olarak düzenlenmekte.

Diğer yandan Avrupa Genel Veri Koruma Tüzüğünde ("GDPR"), "kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir" şeklinde tanımlanmakta.

Bu itibarla, Kanun'daki veri ihlali tanımı ile GDPR'daki veri ihlali tanımının oldukça farklı olduğunu bir kere daha hatırlayalım.1

Bu noktada, Kurul'a ya da veri sahiplerine bir bildirim yapılması gereğinin doğması için öncelikle, işlenen kişisel verilerin

  • kanuni olmayan yollarla ve
  • başkaları tarafından elde edilmesi

gerektiğini unutmamak gerekir. Burada özellikle üzerinde durulması gereken husus, verinin kanuni olmayan bir yolla bir başkası (yani 3. kişi) tarafından elde edilmesi gerektiğidir. Bunun haricindeki durumların Kanun'un 12. maddesi kapsamında bir bildirime tabi olmadığını varsaymak gerekir. Örneğin, elde edilme riskinin oluşması ihlal bildirimi için yeterli olmamalı, verinin elde edilmiş olması gerekmelidir.

(Küçük bir not: Kurul'un yayınlamış olduğu Kişisel Veri Bildirim Formu'da talep edilen bilgiler ışığında veri ihlali tanımına dair açıklamalarımızı aşağıda "Kişisel Veri İhlal Bildirim Formu nedir?" başlığı altında bulabilirsiniz).

Veri ihlal bildirimi kime yapılmalıdır ?

Veri ihlaline dair yukarıda belirtilen koşullar gerçekleştiğinde, Kanun gereği veri sorumlusu tarafından

  • hem Kurul'a
  • hem de veri sahiplerine

bilgi verilmesi gereklidir.

Kurul kararı ile veri işleyenlerin de veri sorumlularına "herhangi bir gecikmeye yer vermeksizin" bildirim yapmaları gerekliliğini hatırlatmıştır. Ancak, veri ihlal bildiriminin Kurul ve ilgili kişilere yapılması Kanun gereği veri sorumlusunun sorumluluğundadır.

Bu noktada, Kanun'un GDPR'dan en çok veri sahibine yapılacak bildirim açısından farklılaştığını söyleyebiliriz. Zira GDPR madde 34 "Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, veri sorumlusu kişisel veri ihlalini gereksiz bir gecikmeye mahal vermeden veri sahibine iletir." demektedir. Ayrıca, aşağıdaki koşulların herhangi birinin yerine getirilmesi durumunda, veri sahibine ilişkin bildirimin yapılması da gerekmez:

  1. veri sorumlusunun uygun teknik ve düzenlemeye ilişkin koruma tedbirleri uygulaması ve kişisel verileri bu verilere erişim yetkisi bulunmayan herkese okunamaz hale getiren şifreleme gibi tedbirler başta olmak üzere bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere uygulanmış olması;
  2. veri sorumlusunun veri sahiplerinin hakları ve özgürlüklerine ilişkin yüksek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması;
  3. bildirimin ölçüsüz bir çaba gerektirecek olması. Bu durumda, bunun yerine, veri sahiplerinin aynı etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulanır.

Veri ihlal bildirimi ne kadar sürede yapılmalıdır ?

2019/10 sayılı Karar uyarınca, artık, veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul'a açıklanması şarttır.

Kurul, Kanun'da yer alan "en kısa sürede" ifadesini GDPR ile uyumlu olarak en geç 72 saat olarak yorumlamış ve böylece konuya dair belirsizliği (ve muhtemel bir çelişkiyi) de ortadan kaldırmıştır.

Veri sorumlusu, ayrıca, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır.

Burada websitesi ya da sair mecralar üzerinden veri ihlalinden etkilenen kişilerin bilgilendirilmesi yönteminde, ilgili kişilerin isimlerinin açıklanması gibi bir yol izlenmesi gerekmediğini düşünmekteyiz. Zira bu şekilde verileri ihlal edilmiş olma ihtimali olan ilgililerin kişisel verilerinin kamuya açık hale getirilmesi ayrıca bir veri ihlali sorunu / riski yaratabileceği (ya da riski arttırabileceği) gibi, bu şekilde bir ifşa da farklı bir süreçte kişisel verilerin işlenmesi anlamına gelecektir. Kanun açıkça veri ihlaline konu olmuş olabilecek kişilerin isim ve soyadlarını kamuya açık şekilde ifşa edilmesine dair bir düzenleme içermiyor olduğundan, verilerin işlenme şartları açısından ayrıca sorunlu bir durum da ortaya çıkabileceği düşünülmektedir.

Kişisel Veri İhlal Bildirim Formu nedir?

2019/10 sayılı Karar uyarınca, Kurul'a yapılacak bildirimlerde Kişisel Veri İhlali Bildirim Formu"unun kullanılması gereklidir. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak Kurul'a gönderilmesi gerekir. Varsa formda yer verilen bilgileri destekleyici dokümanların da (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir.

Form oldukça kapsamlı bir bildirimin yapılmasını öngörmektedir. Format olarak Avrupa Veri Koruma Otoritelerinin bildirim formlarında istenen bilgiler düzeyinde bilgiler istendiği dikkate alınırsa, Kurul'un veri ihlalleri açısından veri sorumlularından GDPR düzeyinde veri işleme faaliyetlerine hakimiyet beklediği anlaşılmaktadır.

Elbette bu düzeyde bilginin sağlanabilmesi için veri sorumlularının 3. kişi veri işleyenleri de dahil olmak üzere veri işleme faaliyetleri ve risklerine karşı gerekli uyum çalışmalarını yapmış olmaları ve süreçlerine üst düzeyde hakim olmaları gerekecektir.

Yeri gelmişken, ihlal bildirim formunda yer alan bazı hususlara dair düşüncelerimiz için ayrıca Kişisel Veri ihlal Bildirimi Formu'nun İçeriğine Dair Bazı Düşünceler yazımıza bakabilirsiniz.

Kurul'a yapılacak bildirim hangi yöntemle gönderilmeli?

Kurul'a yapılacak bildirimler aşağıdaki şekilde yapılabilir:

  • Eğer yapılan bildirim ilk bildirimse doldurulan formun, ihlalbildirimi@kvkk.gov.tr adresine "Kişisel veri ihlali bildirimi" konulu bir e-posta (KEP olması durumunda KEP kullanılarak) ekiyle gönderilmesi veya
  • Posta yolu ile veya elden gönderilmek istenmesi durumunda veri sorumlusunun şirket kaşesi ve imza yetkilisinin imzası ile onaylı olarak Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Balgat-Çankaya/Ankara adresine gönderilmesi

gereklidir.

Verileri İhlal Edilen Gerçek Kişilere yapılacak bildirimin içeriği ne olmalı?

Gerçek kişilere yapılacak bildirimin içeriği hakkında ilgili mevzuatta veya Kurul kararında bir hüküm bulunmamakla birlikte, GDPR'daki düzenlemeler dikkate alınırsa, bildirimde

  • açık ve sade bir dilde ihlalin mahiyetine yer verilmeli
  • ihlal ile ilgili veri sorumlusu bünyesinde irtibat kurulabilecek belirli bir kişinin isim ve iletişim bilgileri yer almalı
  • ihlalin olası sonuçları, ihlale yönelik alınan veya alınması düşünülen önlemler ile uygulanabiliyorsa İhlalin olası yan etkilerini azaltacak önlemler belirtilmelidir.

Verileri İhlal Edilen Gerçek Kişilere yapılacak bildirim hangi yöntemle yapılmalı?

İlgili kişinin iletişim adresine ulaşılabiliyorsa iletişim adresine doğrudan bildirimin alındığını ispat edebilecek bir yöntemle bildirmek (iadeli taahhütlü mektup, öncelikle kayıtlı elektronik posta adresi (KEP) yoksa e-mail gibi gönderinin ispatlanabileceği bilgi iletişim sistemleri yoluyla, noter vasıtasıyla)

Eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa, veri sorumlusunun kendi web sitesi üzerinden ihlalden etkilenen kişisel verilerin bilgilendirme yapılabilir.

Peki şimdi yapılması gerekenler ve alınması gereken tedbirler nelerdir?

1. Veri ihlali müdahale planı hazırlanması zorunluluğu. Kurul'un Kararı ile birlikte, öncelikle (veri ihlali olmadan dahi) bir veri ihlali müdahale planı hazırlanması ve bu planın belirli aralıklarla gözden geçirilmesi gerekliliği doğdu. Kararda, müdahale planının, veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içermesi gerektiği belirtiliyor.

Burada dikkat edilmesi gereken husus, bu karar ile tüm veri sorumlularına (örneğin veri sorumluları siciline kayıt zorunluluğu olmayanlar da dahil) veri ihlali müdahale planının hazırlanması zorunluluğu getirilmiş olduğudur.

Veri ihlali acil eylem planı olarak da adlandırılan müdahale planın hazırlanması için öncelikle ihlal durumunda sürece dahil edilmesi gereken birimlerin/kişilerin kimler olduğunun belirlenmesi gereklidir. Bu kişiler genel olarak uyum komitelerinde görevli kişiler olabilir ancak hukuk, uyum, bilgi teknolojileri, insan kaynakları, finans gibi birimler dışında, duruma göre satış, pazarlama, halka ilişkiler birimlerinin de sürece hızlıca dahil edilmesi gerekecektir. Bu birimlerin bazılarının dahili organizasyon dışında yer alma durumunun da olabileceğini dikkate alarak planlama yapılması gerekir. Örneğin, pek çok şirkette şirket avukatı olmayabilir. Dışarıdan hukuk desteği alındığı hallerde, tercihan ihlal sürecinin yönetimi için hem veri sorumlusunun ve faaliyetlerini bilen hem de kişisel verilerin korunması mevzuatına hakim danışmanların seçilmesi faydalı olacaktır.

Müdahale planı hazırlanması belki de en zor çalışmalardan biridir. Veri sorumlusunun organizasyonel yapısı dikkate alınarak süreçlerin tasarlanmasını ve en çok da, görevlendirilen kişilerin zaman zaman tatbikatlar yaparak muhtemel bir veri ihlali halinde eylem planını uygulayabilmek için hazırlıklı olmalarını öneririz.

2. Durum tespiti yapılması. Karar ile birlikte artık veri sorumlularının ihlal durumunu tespitinden itibaren en geç 72 saat içinde Kurul'a bildirim yapmaları gerekiyor. Bu süreyi iyi kullanmak, durumu doğru tespit etmek çok önemlidir. Bazen çok büyük bir veri ihlali gibi görünen bir durum, Kanun'da tanımlanmış olan veri ihlali kapsamına girmeyebilir. Ya da tam tersi, çok basit görünen bir ihlal durumu çok büyük sorunlara sebebiyet verebilir. İhlal bildirimi formu uyarınca veri sorumlusunun,

  • İhlalin gerçekleşme ve tespitinin tarihi/saatini
  • İhlalin kaynağını
  • Etkilenen kişisel veri kategorileri ve kişi gruplarını
  • Etkilenen tahmini kişi ve kayıt sayısını

bilmesi ve ayrıca raporlaması beklenmektedir.

Bunun için de veri sorumlusu durumu doğru tespit edebilecek altyapı ve donanıma sahip olmalıdır.

3. İhlale dair etki analizi yapılması. Veri ihlali bildirim formunda veri sorumlularının ihlalin olası sonuçlarını değerlendirmeleri ve hem kendi organizasyonları açısından hem de ilgili kişiler açısından ihlalin potansiyel etkilerini derecelendirmeleri beklenmektedir. Bu da ancak bir risk ve etki analizi yapılmasıyla mümkün olabilecektir.

4. İhlal durumunda belgelendirme ve kayıt tutulması yükümlülüğü. İhlale ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması gereklidir. Belgeleme de, artık veri sorumluları açısından ihtiyari bir uygulama olmaktan çıkmış, bir yükümlülük haline gelmiştir. Nitekim, bu belgelerin daha sonra Kurul'un muhtemel incelemesine hazır halde bulundurulması gereklidir. Bu süreçte veri sorumluları, tüm gelişmeleri detaylı şekilde kayıt altına alan bir seyir defteri de tutabilirler. Tüm bu belgelerin, kronolojik bir sıra ile ve düzenli şekilde tutulması çok önemlidir.

5. İhlale dair güncelleme/takip bildirimi yapılması. Veri sorumlularının yeni bulgular olması halinde Kurul'a ve ilgili gerçek kişilere yapılan bildirimlerini güncellemesi gereklidir.

6. İyileşme zamanı ile ilgili tespit yapılması. Veri ihlali bildirim formunda veri sorumlularının ihlalin olası sonuçlarını değerlendirmeleri istenmektedir. Burada silinmiş/kaybolmuş verilerin geri kazandırılması/kurtarılması gibi bir iyileştirme çalışmasının söz konusu olduğu ve bunun süresine dair tahminin talep edildiği düşünülmektedir.

7. Diğer kurumlara ve duruma göre sözleşmesel taraflara bildirimlerin yapılması. Veri sorumlusunun, tabi olduğu mevzuat çerçevesinde, Kurul dışında başka kurum, organizasyon ve resmi kuruluşlara da bildirim yapması gerekebileceğinden, bunların da zamanlı olarak ve ilgili mevzuata (ya da duruma göre sözleşmesel yükümlülüklere) uygun olarak gerçekleştirilmesi gerekir.

8. Yabancı Veri Otoritelerine bildirim yapılması. Aynı şekilde yabancı veri otoritelerine de bildirim yapılması gereğinin doğup doğmadığının veri sorumlusunca tespit edilmesi gereklidir.

9. Kişisel verilerin korunması için gerekli önlemlerin alınmış olup olmadığının gözden geçirilmesi. Veri ihlali bildirim formunda veri sorumlularının, ihlal ile ilgili olan çalışanlarının son bir yıl içinde kişisel veri koruma eğitimi alıp almadıklarına dair bilgi vermeleri gerekmektedir. Aynı şekilde ihlalin gerçeklemesinden önce veri sorumlusu tarafından alınmış teknik ve idari tedbirler de formda açıklanmalıdır.

İhlalden önce, veri sorumlusunun teknik ve idari tedbirler anlamında gerekli çalışmaları yapmış olması halinde bunları güncellemesi, yapmamış olması halinde ise, ivedilikle bu çalışmaları tamamlaması gereklidir.

10. Veri işleyen – veri sorumlusu ilişkisinin düzenlenmesi. veri sorumlusunun, yukarıda doğrudan almakla sorumlu kılındığı tüm aksiyonları, 3. kişi veri işleyenleri tarafından işlenen ve veri sorumlusu olduğu verilerin ihlal edilmesi halinde de yerine getirmek zorunda olacağı da hiçbir zaman unutulmamalıdır.

Bu nedenle de Kanun uyum çalışmaları kapsamında veri sorumlusuyla veri işleyenin aralarındaki ilişkinin düzenlenmesi çok daha önemli bir hale gelmiştir.

Kurul kararı ile veri işleyenlerin de veri sorumlularına "herhangi bir gecikmeye yer vermeksizin" bildirim yapmaları gerekliliğini hatırlatmıştır. Veri işleyenlerin pek çok kez alt yapı sağlayıcısı/hizmet veren durumunda olduğu düşünülürse, muhtemel bir ihlalin kaynağının onlarda olma ihtimali yüksektir.

Örneğin teknik ve idari tedbirler bakımından dahi (formda açıkça belirtilmese de), salt veri sorumlusunun kendi organizasyonu değil aynı zamanda veri işleyenlerinin organizasyonu açısından da teknik ve idari tedbirlerin alınmış olup olmadığını gözden geçirmesi gereklidir. GDPR uygulamasında bu konu çok detaylı olarak düzenlenmektedir. Veri işleyenle çalışmaya başlamadan önce veri sorumlusunun veri işleyenin kendi bünyesinde gerekli teknik ve idari tedbirleri almış olduğunu denetlemesi ve bunu belgelemesi gerekmektedir.

Her ne kadar, Kanun GDPR'dan farklı olarak veri işleyen-veri sorumlusu ilişkisinin yazılı bir sözleşmeye dayanmasını zorunlu kılmasa da, gelinen noktada, veri sorumlularının veri işleyenleriyle olan ilişkilerinde veri güvenliğine dair tedbirlerin alınmış olup olmadığını araştırması ve hatta kendisinin beklenti, talep ve varsa talimatlarını da veri işleyene iletmiş olması gerektiğini düşünüyoruz.

Zira, Kanun'un 12. maddesi uyarınca , "veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur."

Aynı şekilde veri işleyenlerin de, veri sorumlularıyla çalışmaya başlamadan önce veri güvenliği başta olmak üzere veri işleme faaliyetleri açısından veri sorumlusuna sunulan hizmete dair alınan teknik ve idari tedbirleri veri sorumlularıyla mutabık kalarak düzenlemeleri ve veri sorumlularının ilave uyulmasını istediği talimatlarını istemesi ve bunları kayıt altına alması doğru olacaktır.

İdari yaptırımlar nelerdir?

En son, veri ihlalleri ile ilgili olarak Kanun uyarınca,

  • Kanun'un 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Kanun'un 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar

idari para cezası verilebileceğini unutmamak gerekir.

Diğer yandan, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı da saklıdır.

Son olarak; bir kere daha, veri güvenliğini düzenleyen Kanun'un 12. maddesinin, Kurul kararları çerçevesinde çok önemli bir düzenleme olarak karşımıza çıktığını altını çizerek hatırlatalım. 2019 yılında teknik ve idari tedbirlerin alınması tüm veri sorumluları için bir öncelik olmalı. Konuya dair hafızanızı tazelemek isterseniz, teknik ve idari tedbirlerle ilgili, 28 Kasım 2018 tarihli sunumumuzun video kayıtlarına Bölüm 1: https://youtu.be/zP6y39ooYGY ve Bölüm 2: https://youtu.be/-i7p1tn0ndk linklerinden ulaşabilirsiniz.

Footnote

[1] GDPR'daki düzenlemeleri hatırlamak Kurul'un bu kararını anlamak için önemli, zira Kurul bahsi geçen kararının aynı zamanda "Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini temin" amacını da taşıdığını açıkladı.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
Some comments from our readers…
“The articles are extremely timely and highly applicable”
“I often find critical information not available elsewhere”
“As in-house counsel, Mondaq’s service is of great value”

Related Topics
 
Related Articles
 
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Mondaq Sign Up
Gain free access to lawyers expertise from more than 250 countries.
 
Email Address
Company Name
Password
Confirm Password
Country
Position
Industry
Mondaq Newsalert
Select Topics
Select Regions
Registration (please scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions