Temel Kavramlar

a. Kişisel Veri

Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgi olup, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar. Kanunda yapılan tanımlamada hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esasının benimsenmediği görülmektedir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. Nitekim, Kanunun gerekçesinde de telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir.

Müstear adlar (takma isimler), mahlas ve lakaplar eğer tek başına veya başka kaynaklarla birleştirildiğinde bir gerçek kişiyi tanımlayabilecek nitelikte ise bu veriler kişisel veri olarak kabul edilecektir. Verinin kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti belirlenmelidir.

b. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır.

Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tüm şartların birlikte sağlanması gerekir:

• İşlemenin veri işleme şartlarına dayanması

• Aydınlatmanın gerçekleşmiş olması,

• Genel (temel) ilkelere uygun olması

Kişisel verileri işleme yöntemlerinden bazıları aşağıda açıklanmaktadır:

• Elde edilme veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.i

• Depolama/muhafaza etme: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması barındırılması ya da depolanması işleme kapsamında kabul edilir.

• Değiştirme / Yeniden Düzenleme: Kişisel verilerin, çeşitli yöntemler kullanılmak suretiyle değiştirilmesi ya da yeniden düzenlenmesi deişleme sayılır.

• Aktarılma / Devralınma: Kişisel verilerin çeşitli yöntemlerle iletilmesi de işleme faaliyeti kapsamındadır.

i. Otomatik İşleme

Direktifte ve Kanunda otomatik işlemenin ne olduğuna ilişkin bir tanım yer almazken, OECD tarafından verilen tanım; “İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen veri işleme faaliyeti” şeklindedir. Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör gerek kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.” denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinde gerçekleştirilen faaliyetler olduğu belirtilmiştir.

Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyacın asgari seviyeye indirilerek, verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir.

ii. Otomatik Olmayan Yollarla İşleme (Veri Kayıt Sisteminin Parçası Olmak Kaydıyla)

Kanunda veri kayıt sistemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi”ni ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, örneğin veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilebilecektir. Otomatik olmayan yollarla veri işlenmesini tamamen Kanun kapsamı dışında tutulmamakta, otomatik olmayan yolla veri işleme eğer veri kayıt sisteminin parçası ise veri işleme faaliyeti Kanun kapsamında kabul edilmektedir.

c.Açık Rıza ve Aydınlatma Yükümlülüğü

Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır.

Özel ve özel nitelikli olmayan kişisel verilerin işlenmesine ilişkin hukuka uygunluk sebebi olan açık rıza hakkında kanunda yer alan düzenlemeler aşağıdaki gibidir:

• 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”,

•6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”,

• 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz”,

•9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” Direktifte yalnızca özel nitelikli kişisel verilerin işlenmesi için açık rıza aranmakta iken, Kişisel Verilerin Korunması Kanunu ve GDPR’da kural olarak her türlü kişisel verinin işlenmesi için açık rızaya ihtiyaç duyulmaktadır. Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir.

Açık rızanın 3 unsuru bulunmaktadır:

i. Belirli bir konuya ilişkin olması,

Açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir.

Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurt dışına veri aktarımı gibi), ayrıca açık rıza alması gerekecektir. Aynı durum verilerin işlenme amaçlarının değişmesi halinde de geçerlidir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklindeki belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar “battaniye rızalar” hukuken geçersiz sayılmaktadır.

ii. Bilgilendirmeye Dayanması

Açık rıza, bir irade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda yapılan bilgilendirme aydınlatma yükümlülüğünün temelini oluşturmaktadır. Bilgilendirme mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. İşlenecek verinin niteliği, aynı zamanda bilgilendirme düzeyini belirleyecektir.

Kurulca hazırlanan ve 10.03.2018 tarihli Resmi Gazetede yayımlanan, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre, veri sorumlusunca aydınlatma yükümlülüğünün yerine getirilmesinde aşağıdaki usul ve esaslara uyulmalıdır:

a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.

b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.

c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.

ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.

d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.

e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.

h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin, Kanunun 5. ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.

ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.

Aydınlatma metinlerinde kişisel verilerin kimlere aktarılacağı konusunda ilgili kişiye kategorik olarak bilgi verilebilirse de Kanunun 11. maddesi uyarınca veri sorumlusuna yapılan başvuruya verilecek cevabın, aktarılan her bir alıcının belirtilmesi suretiyle detaylı bir şekilde verilmesi gerekecektir.

i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.

j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir. Aydınlatma yükümlülüğünün kapsamı ve hangi bilgilerin verileceği Kanunda açıklanmıştır. Buna rağmen, bu bilgilerin tamamının aydınlatma yükümlülüğünün yerine getirilme zamanı olan kişisel verilerin elde edilmesi sırasında ilgili kişiye açıklanması mümkün olmayabilir. Bu durumda katmanlı bilgilendirme yöntemi ile veri sorumlusu aydınlatma yükümlülüğünü yerine getirebilir. Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde edildiği konusunda kısa, anlaşılabilir, açık, sade bir yöntemle de bilgilendirme yapılması, Kanunun 10. maddesindeki aydınlatma kapsamını ilgili kişinin bu bilgilendirmeden sonra erişerek okuyabileceği bir mecraya yönlendirilmesi anlamına gelmektedir.

Örneğin, kamera kaydı alınan bir iş yerinde, ilgili kişi bir kamera ikonu ile kamera kaydı yöntemiyle kişisel verilerinin elde edildiği konusunda bilgilendirilebilir. Kamera kayıtlarının hangi amaç, hangi hukuki sebep ve yöntem ile elde edildiği, ilgili kişinin hakları gibi detaylar ilgili kişinin bu kamera ikonu vasıtasıyla yönlendirildiği bir dokümanda (kişisel verilerin korunması ve işlenmesine ilişkin politika, kamera kayıtlarına ilişkin aydınlatma metni) detaylandırılabilir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir.

Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

iii. Özgür İradeyle Açıklanması

Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Ancak, buradaki her sebep kendi içerisinde değerlendirilmeli, rızayı etkileme derecesi belirlenmelidir.

Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. Ayrıca ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, açık rıza alınması yoluna gidilmemelidir. Eğer faaliyetin gerçekleştirilme amacı Kanundaki açık rıza dışındaki diğer kişisel veri işleme şartlarını karşılamıyorsa bu faaliyet özelinde ve o faaliyetle sınırlı olarak açık rıza alınmalıdır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir. Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir. Öte yandan kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir

Açık rıza verme, kişiye sıkı sıkıya bağlı bir hak olduğundan ve kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan kişiler tarafından her zaman verilen açık rıza geri alınabilir. Bununla birlikte geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Ancak verilerin saklanmasını gerektiren başka bir hukuki sebep varsa , sadece bu amaçla sınırlı olmak üzere saklanabilir.

d. Veri Sorumlusu ve Veri İşleyen

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında veri sorumlusu olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan her birinin ayrı veri sorumlusu olması mümkündür.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir.

Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:

• Kişisel verilerin toplanması ve toplama yöntemi,

• Toplanacak kişisel veri türleri,

• Toplanan verilerin hangi amaçlarla kullanılacağı,

• Hangi bireylerin kişisel verilerinin toplanacağı,

• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,

• Verilerin ne kadar süreyle saklanacağı,

Bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:

• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya metotların kullanılacağı,

• Kişisel verilerin hangi yöntemle saklanacağı,

• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,

• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,

• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemi.

Avukatlar

Bir firmanın işten ayrılan çalışanlarından birinin firmanın müşteri listesini çaldığı ve buna karşılık firma sahibinin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir örnekte; firma sahibinin eski çalışanıyla ilgili kişisel verileri avukata teslim etmesiyle, avukat da veri sorumlusu statüsüne sahip olur. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma sahibi hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır (örneğin; ilgili kişinin kişisel veriye erişim talebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur.)

e. Veri Kayıt Sistemi

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler; ad - soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.

f. Anonim Hale Getirme (Anonimleştirme)

Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.

Veri setleri anonim hale getirilme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmekte ise de işlem tamamlandığında artık kişisel veri niteliğine sahip olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir.

g. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

h. İlgili Kullanıcı

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır.

ı. Kişisel Verilerin Yok Edilmesi

Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır.

i. İlgili Kişi

Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmekte olup Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır.