ARTICLE
17 July 2025

Ödeme Ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi

SO
Sakar Law Office

Contributor

Sakar Law Office logo
Sakar is a client and solution oriented, investigative and innovative law firm based in Istanbul. Our Firm is committed to provide our clients with high-quality legal services and business-minded approach. We are a full service law firm to clients across a wide range of areas including Mergers and Acquisitions, Corporate and Commercial, Contracts, Banking and Finance, Competition, Litigation, Employment, Real Estate, Energy, Capital Markets, Foundations, E-commerce, Media and Technology, Data Privacy and Data Protection and Intellectual Property. In order to offer the best possible service for our clients, we harness the latest market developments in legal technology and innovation and we closely follow the legislative changes in Turkish Law. Our lawyers are multi-specialists, equipped to handle a broad range of legal matters. In addition to our depth of experience and awareness of market practice, clients know they will benefit from our team’s innovative mindset and willingness.
Explore Firm Details
Kişisel Verileri Koruma Kurumu ("KVKK" veya "Kurum") tarafından Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi ("Rehber") KVKK yayınları kapsamında Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği ("TÖDEB") iş birliği ile yayımlanmıştır.
Turkey Privacy
Gözde Esen Sakar,Ece Nart, and Pelinsu Üstündağ
Your Author LinkedIn Connections

Kişisel Verileri Koruma Kurumu ("KVKK" veya "Kurum") tarafından Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi ("Rehber") KVKK yayınları kapsamında Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği ("TÖDEB") iş birliği ile yayımlanmıştır.

AMAÇ VE KAPSAM

Rehberin amacı, ödeme ve elektronik para kuruluşları tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin Kişisel Verilerin Korunması Kanunu'na ("6698 sayılı Kanun") ve ikincil düzenlemelere uygun olarak gerçekleştirilmesi konusunda iyi uygulama örneklerinin sağlanmasıdır. Ödeme ve elektronik para kuruluşlarının uyması gereken usul ve esaslar ile genel açıklamaları düzenlemektedir. Elektronik para ihracı, para havalesi hizmetleri, POS hizmetleri, fatura ödemeye aracılık hizmetleri ve mobil ödeme hizmetleri çerçevesinde gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun'a uygunluğu çerçevesindeki değerlendirmeler ve iyi uygulama örnekleri ise Rehberin kapsamını oluşturur.

VERİ SORUMLUSU İLE VERİ İŞLEYEN

Ödeme ve elektronik para sektöründe veri sorumluluğu, sunulan hizmet türüne göre değişiklik göstermektedir. Genellikle elektronik para kuruluşları, ödeme hizmeti sağlayıcıları, mobil operatörler ve işyerleri veri sorumlusu veya bazı durumlarda veri işleyen sıfatını taşır.

İLGİLİ KİŞİ

Rehberde; elektronik para ve ödeme hizmetlerinden yararlanan bireyler, tüzel kişileri temsil edenler, işlem tarafı olan gönderici ve alıcılar ile hizmet sağlayıcı işyerleri gibi çeşitli ilgili kişi gruplarına yer verilmektedir.

İŞLENEN KİŞİSEL VERİLER

İşlenen kişisel veriler, sektöründeki işlem ve hizmetin niteliğine ve somut olaya göre her durumda değişebilecek olup genel anlamda rehberde örneklenmiş olan kişisel veriler kimlik bilgileri, iletişim bilgileri, finansal bilgiler, meslek ve eğitim bilgileri, işlem güvenliği bilgileri, müşteri işlem bilgileri, görsel ve işitsel kayıtlar ve biyometrik veriden oluşmaktadır.

GENEL İLKELER

Kişisel verilerin işlenmesine dair genel ilkeler 6698 sayılı Kanun'da düzenlenmiş olup her bir ilke birbiri ile yakından ilişkili ve önemlidir. İlkeler uyarınca, veri sorumlusu hukuka ve dürüstlük kurallarına uygun olarak güveni kötüye kullanmadan, işleme amaçlarını dikkate alarak ve doğru ve güncelliği gözeterek adımlarını atmalıdır. Veri sorumlusu, veri minimizasyonunu da sağlamalıdır.

Bu ilkelere ilişkin örneğin, ödeme hizmeti sağlayıcısının hizmet kapsamında ilgili kişinin kimlik bilgilerini işlemesi meşru amaç olarak nitelendirilirken kan gruplarının işlenmesi nitelendirilemeyecektir.

İŞLEME ŞARTLARI

Ödeme ve elektronik para kuruluşlarının işlemleri neticesinde işlenen kişisel veriler 6698 sayılı Kanun kapsamında geçerli bir işleme şartına dayanmalıdır.

  1. Açık Rıza

Açık rıza, 6698 sayılı Kanun'da tanımlanmış ve işleme şartı olarak da düzenlenmiştir. Veri sorumlusu tarafından gerçekleştirilecek işlemin açık rıza dışında kalan kişisel veri işleme şartlarına dayanıp dayanmadığının değerlendirilmesi yapılarak açık rıza alınıp alınmayacağına karar verilmelidir. Ödeme Hizmetleri Hakkında Yönetmelik uyarınca ödeme hizmetinin gerçekleştirilmesi ile doğrudan ilgili olmayan sebeplerle erişilen veriler içerisinde kişisel verilerin olması halinde müşteriden açık rıza alınması gerekmektedir.

  1. Kanunlarda Açıkça Öngörülme

Kişisel verilerin işlenmesine ilişkin herhangi bir kanunda açık hüküm bulunması veya ikincil bir mevzuata açık hüküm ile yönlendirme yapılması halinde kişisel verilerin işlenmesi mümkündür. Bu noktada ödeme ve elektronik para kuruluşları da 6493 sayılı Kanun, Tedbir Yönetmeliği, Suç Gelirlerinin Aklanmasını Önlenmesi Hakkında Kanun ("5549 sayılı Kanun") uyarınca "yükümlü" sıfatını haizdir. Örneğin, suç gelirlerinin aklanması ve terörün finansmanının önlenmesi amacıyla gerçek kişi müşterilerin kimlik tespitlerinin yapılması zorunlu olup ödeme ve elektronik para kuruluşları kimlik tespiti kapsamında gerçekleştirdikleri kişisel veri işleme faaliyetlerini kanunda açıkça öngörülme şartına dayanarak gerçekleştirmektedir.

  1. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması için Zorunlu Olması

Ödeme hizmetlerinin sunulması sürecinde sayılan işleme şartına dayanılarak gerçekleştirilen herhangi bir işleme faaliyeti bulunmamaktadır.

  1. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması

Bu işleme şartı her bir sektör faaliyeti için detaylıca değerlendirilmiştir.

4.1. Elektronik Para İhracı: Çerçeve sözleşme kurularak gerçekleştirilen işlem neticesinde ilgili kişinin kişisel verileri sayılan işleme şartına dayanılarak işlenmektedir.

4.2. Para Havalesi Hizmetleri: Para havalesi hizmetlerinde ise çerçeve sözleşme kurulması söz konusu olmamakla birlikte Ödeme Hizmetleri Hakkında Yönetmelik'te düzenlenmiş olan tek seferlik ödeme işlemine dayanmaktadır. Para havalesi hizmetlerinde de gönderenin kişisel verileri sayılan işleme şartına dayanılarak işlenmektedir.

4.3. POS Hizmetleri: Ödeme kuruluşu, işyeri ve ödemeyi gerçekleştiren ilgili kişi arasındaki hizmet/satış karşılığı olan ödeme yapılması aracılık edilmesi esnasında sözleşmenin kurulması ve ifası amacıyla ilgili kişinin kart bilgileri işlenmektedir. Aynı şekilde tek tıkla ödeme veya cüzdan gibi ödeme kuruluşları tarafından doğrudan ödeme yapılması halinde de ödeme yapan kişi ile ödeme kuruluşu arasında sözleşme kurulmaktadır. Her iki durumda da ödeme yapan kişinin kişisel verileri sayılan işleme şartına dayanılarak işlenmektedir.

4.4. Fatura Ödemeye Aracılık Hizmetleri: Ödeme kuruluşu ile müşteri arasında sözleşme akdedilmese de işbu işlemin gerçekleştirilmesi için sözleşmesel bir ilişkinin kabulü halinde kişisel verileri sayılan işleme şartına dayanılarak işlendiği söylenebilir.

4.5. Mobil Ödeme Hizmetleri: Mobil hat sahibi ile operatör iştiraki ödeme kuruluşu arasında çerçeve sözleşme; mobil operatör ile operatör iştiraki ödeme kuruluşu arasında bir sözleşme; operatör ile mobil hat sahibi arasında bir abonelik sözleşmesi bulunmakta olduğundan kişisel verilerin sayılan işleme şartına dayanılarak işlendiği söylenebilir.

  1. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

Bu işleme şartı her bir sektör faaliyeti için detaylıca değerlendirilmiştir.

5.1. Elektronik Para İhracı: 5549 sayılı Kanun ve Tedbirler Yönetmeliği uyarınca suç gelirlerinin aklanması ve terörün finansmanının önlenmesi amacıyla kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek durumundadır. Bu kapsamda gerçekleştirdikleri kişisel veri işleme faaliyetleri sayılan işleme şartına dayanılarak gerçekleştirmektedir.

5.2. Para Havalesi Hizmetleri: Para havalesi hizmetlerinde 5549 sayılı Kanun uyarınca gönderici ve alıcının kimlik bilgilerinin işlenmesi ve saklanması hukuki yükümlülük olduğundan bu kapsamda gerçekleştirdikleri kişisel veri işleme faaliyetleri sayılan işleme şartına dayanılarak gerçekleştirmektedir.

5.3. POS Hizmetleri: Kuruluşların işlemleri internet üzerinden gerçekleştirildiğinden kimlik tespiti yapılması zorunluluk olup bu kapsamda gerçekleştirdikleri kişisel veri işleme faaliyetleri sayılan işleme şartına dayanılarak gerçekleştirmektedir.

  1. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması

Para havalesi işlemlerinde, gönderici ve ödeme kuruluşu arasında tek seferlik ödeme düzenlemesi kapsamında sözleşmesel ilişki kurulduğuna değinilmiş idi. Alıcı tarafın ise söz konusu sözleşmesel ilişki içerisinde yer almadığı, European Data Protection Board tarafından silent party olarak tanımlandığı ve bu halde kişisel verilerinin işlenmek durumunda kalan kişi olduğu değerlendirilmektedir. İşbu durumda bu kapsamda sayılan işleme şartına dayanılabilecektir.

  1. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri için Veri İşlenmesinin Zorunlu Olması

Veri sorumlusu olan ödeme ve elektronik para kuruluşlarının Kurul tarafından 25.03.2019 tarih ve 2019/78 sayılı Karar'da sayılan kriterler kapsamında ödeme ve elektronik para kuruluşları kişisel veri işleyebilir. Ödeme ve elektronik para kuruluşlarının meşru menfaat işleme şartına dayalı olarak kişisel veri işlemeden önce amaç, orantılılık, gereklilik unsurları özelinde değerlendirme yapması gereklidir.

Özel Nitelikli Kişisel Verilerin İşlenmesi ve İşleme Şartları

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler (örneğin sağlık ve biyometrik veriler) yalnızca açık rıza veya kanunlarda öngörülen istisnai şartlar altında işlenebilir. Bu tür verilerin işlenmesinde KVKK tarafından belirlenen ek teknik ve idari önlemlerin alınması zorunludur.

Kimlik Doğrulama ve Uzaktan İletişim Araçlarıyla Yürütülen Süreçlerde Biyometrik Verilerin İşlenmesi

  1. Biyometrik Verilerin İşlenmesine İlişkin Genel Düzenlemeler

6698 sayılı Kanun ve ilgili mevzuat uyarınca biyometrik veriler özel nitelikli veri kapsamındadır ve yalnızca açık rıza veya istisnai şartlarla işlenebilir. Özellikle uzaktan kimlik tespiti süreçlerinde bu verilerin işlenmesi gerekebilir. Sektöre özgü olarak, Veri Paylaşım Servislerine İlişkin Tebliğ uyarınca ödeme hizmeti kullanıcısından açık rıza alınması zorunludur. Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No:19) ("MASAK 19 Nolu Tebliğ"), genel ilkeleri belirtmekle birlikte, detaylı düzenlemeyi sektör mevzuatlarına bırakmıştır. Dolayısıyla uzaktan kimlik tespiti uygulamalarında, ödeme kuruluşları kendi özel düzenlemelerine göre hareket etmelidir.

Kimlik Doğrulama ve Güçlü Kimlik Doğrulama

Güçlü kimlik doğrulama, en az iki farklı doğrulama bileşeninin bir arada kullanıldığı, birinin ele geçirilmesi durumunda diğerinin güvenliğini tehlikeye atmayacak şekilde tasarlanmış yöntemlerdir. PIN, parola, biyometrik veri gibi tek başına kullanılan unsurlar yeterli sayılmaz. Veri Paylaşım Servisleri Tebliği, güçlü kimlik doğrulamanın zorunlu olduğu durumları ve teknik gereklilikleri açıkça düzenlemiştir. Oturumların izlenebilirliği, işlem güvenliği ve zaman damgası gibi unsurlar zorunlu tutulmuştur.

Adli Sicil Belgelerinin İşlenmesi

Kuruluşların temsilcileri, yönetim kurulu üyeleri ve ortakları gibi bazı kişilere ait adli sicil belgelerinin alınması ve gerektiğinde kamu kurumlarıyla paylaşılması, mevzuata uygunluk açısından zorunlu kılınmıştır.

KİŞİSEL VERİLERİN AKTARILMASI

6698 sayılı Kanun'a göre, kişisel veriler ilgili kişinin açık rızası olmadan aktarılamaz; ancak bazı hallerde, rıza olmaksızın aktarım mümkündür. Özellikle 5549 sayılı Kanun ve Tedbirler Yönetmeliği uyarınca, ödeme kuruluşları yasa dışı malvarlığı işlemlerine dair şüpheli durumları Mali Suçları Araştırma Kurulu Başkanlığı'na ("MASAK") bildirmekle yükümlüdür. Bu kapsamda doldurulan Şüpheli İşlem Bildirim Formu'nda kişisel veriler (ad, soyad, TCKN, iletişim bilgileri, meslek vb.) yer alabilir.

Ayrıca ödeme işlemi sırasında veriler hem ödeme hizmeti sağlayıcısından hem de işlem yapan işyerinden elde edilip işlenebilir. Bu durumda veri sorumluluğu, verinin kaynağına göre işyeri veya ödeme kuruluşuna ait olabilir. İlgili kamu kurumları gerekli durumlarda bu verilere erişim talep edebilir. Yurt dışına aktarımda, öncelikle uluslararası anlaşmalar veya ilgili kanunlarda özel düzenleme olup olmadığı kontrol edilmelidir. Böyle bir hüküm yoksa, 6698 sayılı Kanun'un 9. maddesi uyarınca yeterlilik kararı veya uygun güvence aranır. Bunların sağlanamadığı durumlarda, istisnai veri aktarım şartlarına başvurulabilir. Yurt dışındaki tüzel kişilerle iş birliği içinde hizmet sunulması hâlinde kişisel veriler yurt dışına aktarılabilir. Ancak 6493 sayılı Kanun gereği kuruluşların bilgi sistemlerinin Türkiye'de bulunması zorunludur. Ödeme Hizmetleri Hakkında Yönetmelik, bu tür iş birliklerinin yalnızca gönderen veya alıcının biri yurt dışındaysa mümkün olabileceğini belirtir. Bu iş birliklerinde işlem izlerinin Türkiye'de tutulması gerekmekte; aksi hâlde yurt dışındaki iş ortağının sistemlerinin de Türkiye'de yer alması gerekir. Veri aktarımının gerçekleşmesi durumunda ise tüm süreçler 6698 sayılı Kanun'un 9. maddesine uygun şekilde yürütülmeli ve gerekli teknik ve idari tedbirler alınmalıdır.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

  1. Aydınlatma Yükümlülüğü

6698 sayılı Kanun kapsamında veri sorumluları, kişisel veri işledikleri her durumda ilgili kişileri açık, anlaşılır ve zamanında bilgilendirmekle yükümlüdür. Bu yükümlülük, yazılı, sözlü, elektronik ya da sesli bildirimle yerine getirilebilir ve yerine getirildiğinin ispatı veri sorumlusuna aittir.

Ödeme kuruluşları, çerçeve sözleşme yapılan işlemlerde kullanıcıları doğrudan bilgilendirmekle yükümlüdür. Tek seferlik işlemlerde ise gönderenin verdiği veriler üzerinden alıcıya ulaşmak mümkün değilse alternatif aydınlatma yöntemleri geliştirilmeli ve belgelenmelidir.

İşyeri, temsilci ya da mobil operatör gibi üçüncü tarafların veriyi ilk topladığı durumlarda, bu taraflar veri sorumlusu adına aydınlatma yapabilir. Ancak nihai sorumluluk yine asıl veri sorumlusuna aittir. POS hizmeti, fatura ödeme ya da mobil ödeme gibi hizmetlerde hangi kuruluşun veri sorumlusu olduğu açıkça belirlenmeli ve aydınlatma buna göre yapılmalıdır

  1. VERBİS'e Kayıt Yükümlülüğü

6698 sayılı Kanun'un 16. maddesi uyarınca, kişisel veri işleyen veri sorumluları belirli şartlar altında Veri Sorumluları Siciline ("VERBİS") kaydolmakla yükümlüdür. VERBİS kaydı sürecinde Kurum'a bildirilmesi gereken bilgiler aşağıdaki gibidir:

  • Veri sorumlusunun ve varsa temsilcisinin kimlik ve adres bilgileri
  • Kişisel verilerin işlenme amaçları
  • Veri konusu kişi grubu ve kategorileri
  • Alıcı/alıcı grupları
  • Yurt dışına aktarılması öngörülen veriler
  • Veri güvenliğine ilişkin alınan tedbirler
  • Saklama süresi ve silme kriterleri

Kayıt sırasında verilen bilgilerin tutarlı, uyumlu ve açıklayıcı olması önemlidir. Veri sorumlularının kayıt işlemi sonrasında bu bilgilerde değişiklik olması halinde 7 gün içinde VERBİS üzerinden değişiklik olan bilgileri güncelleme yükümlülükleri mevcuttur.

  1. Veri Sorumlusunun Saklama ve İmha Yükümlülüğü

6698 sayılı Kanun'un 7. maddesi kapsamında kişisel veriler; işlenmesini gerektiren sebeplerin ortadan kalkması halinde ve ilgili mevzuat hükümlerine uygun olarak silinmeli, yok edilmeli veya anonim hale getirilmelidir. Veri sorumluları, kişisel verileri yalnızca ilgili mevzuatta belirtilen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edebilmektedir. Bu sürelerin sonunda verilerin kullanılabilir olması düşüncesiyle saklanması mümkün değildir.

Veri sorumluları tarafından kişisel veri saklama ve imha politikası hazırlanması Rehber ile önerilmektedir. Bu politikanın, sınırlılık ilkesine ve mevzuatla belirlenen saklama sürelerine uygun olması gerekir. Eğer ilgili mevzuatta süre belirtilmemişse, verilerin ancak işlendikleri amaç için gerekli süre kadar saklanabileceği düzenlenmiştir. VERBİS'e yapılacak bildirimlerde bu süreler açıkça yer almalıdır.

Saklama süreleri yalnızca mevzuatta belirtilen süreler değil, veri sorumlusunun belirlediği azami süre de dikkate alınarak değerlendirilmelidir. Bu süreler sona erdiğinde veriler mevzuata uygun olarak silinmeli, yok edilmeli ya da anonim hale getirilmelidir.

  1. İlgili Kişinin Hakları ve Şikayetlerin Yönetilmesi

Anayasa Kapsamındaki Haklar

Anayasa'nın 20. maddesi kişisel verilerin korunmasını isteme hakkını güvence altına alınmıştır. Bu kapsamda kişi; verisinin işlenip işlenmediğini öğrenme, düzeltilmesini veya silinmesini isteme gibi haklara sahiptir. Kişisel veriler yalnızca açık rıza veya kanunla öngörülmüş durumlarda işlenebilmektedir.

6698 sayılı Kanun Kapsamındaki Haklar

İlgili kişiler veri sorumlusuna başvurarak:

  • Verisinin işlenip işlenmediğini öğrenme,
  • İşlenmişse bilgi talep etme,
  • Amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurtiçinde/yurtdışında aktarım yapılan 3. kişileri bilme,
  • Eksik/yanlış işlenmişse düzeltilmesini isteme,
  • Silinmesini/yok edilmesini isteme,
  • Aktarıldığı 3. kişilere bildirilmesini isteme,
  • Otomatik sistemlerle analiz sonucu aleyhine sonuç doğarsa itiraz etme,
  • Zarara uğraması hâlinde tazminat talep etme haklarına sahiptir.

Başvuru, Şikâyet Süreci

6698 sayılı Kanun'un 13. maddesi gereğince öncelikle veri sorumlusuna başvuru zorunlu olup başvuru hem yazılı hem elektronik ortamda yapılabilmektedir. Başvuru için gerekli bilgiler; ad-soyad, ilgili kişi Türkiye Cumhuriyeti vatandaşı ise Türkiye Cumhuriyeti kimlik numarası, tebligat adresi, yazılı imza, ilgili kişinin uyruğuna göre kimlik veya pasaport, e-posta/telefon/faks ve talep konusudur.

Başvuru Şekli ve Süresi

İlgili kişiler, kişisel verilerine ilişkin haklarını kullanmak için öncelikle veri sorumlusuna başvurmalıdır. Başvuru; yazılı, kayıtlı elektronik posta (KEP), güvenli elektronik imza veya sistem üzerinden sunulabilir. Veri sorumlusu, başvuruyu en geç 30 gün içinde ücretsiz olarak yanıtlamakla yükümlüdür. Veri sorumlusundan gelen yanıtın yetersiz bulunması veya hiç yanıt verilmemesi hâlinde, ilgili kişi Kişisel Verileri Koruma Kurulu'na (Kurul) şikâyette bulunabilir. Kurul'a başvuru süresi, cevabın alınmaması durumunda 60 gün; yetersiz cevap verilmesi hâlinde ise cevabın alındığı tarihten itibaren 30 gündür. Kurul, şikâyet üzerine yapacağı incelemeler neticesinde veri sorumlusunun gerekli düzeltmeleri yapmasına karar verebilir. Bu kararların 30 gün içinde yerine getirilmesi ve sonucunun Kurul'a bildirilmesi zorunludur.

İlgili Kişilerin Erişim Hakkı

6698 sayılı Kanun'un 11. maddesi gereğince ilgili kişiler, verilerinin işlenip işlenmediğini öğrenme ve bilgi talep etme hakkına sahiptir. Erişim talepleri veri sorumlularınca değerlendirilmektedir ve gerekli teknik/idari önlemler alınarak yerine getirilmektedir. Bu talepler yerine getirilirken üçüncü kişilerin haklarının ihlal edilmemesine ve veri güvenliğinin sağlanmasına dikkat edilmesi gerektiği düzenlenmiştir.

  1. Kurul Kararlarını Yerine Getirme Yükümlülüğü

Veri sorumluları tarafından kurulun talebiyle veya şikâyet üzerine başlatılan incelemelerde gerekli belgeler Kurul'a sunulmak zorundadır. Hukuka aykırılık tespiti durumunda Kurul tarafından veri sorumlusunca bu hukuka aykırılıkların giderilmesine yönelik karar verilmektedir. Bu kararın 30 gün içinde yerine getirilmesi ve bu durumun sonucunun Kurul'a bildirilmesi gerekmektedir. Ayrıca özel nitelikli verilerin işlenmesi gibi durumlarda Kurul'un belirlediği teknik ve idari tedbirler uygulanmalıdır.

  1. Veri İhlallerinin Bildirilmesi Yükümlülüğü

Kişisel verilerin kanuni olmayan yollarla elde edilmesi halinde, veri sorumlusu tarafından bu durum derhal Kurul'a bildirmelidir. Bu bildirim yükümlülüğü, "Veri Paylaşım Servisleri Hakkında Tebliğ"in "Olay yönetimi ve siber olaylar" başlığı altında düzenlenmiştir.

VERİ GÜVENLİĞİ

Veri sorumluları, kişisel verilerin güvenliğini sağlamakla yükümlüdür. Bu kapsamda, yetkisiz erişimi önlemeye, sistem güvenliğini sağlamaya ve ihlalleri gecikmeksizin Kurul'a bildirmeye yönelik teknik ve idari tedbirler alınmalıdır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Gözde Esen Sakar
Gözde Esen Sakar
Photo of Ece Nart
Ece Nart
Photo of Pelinsu Üstündağ
Pelinsu Üstündağ
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More