TEBLİĞLER

Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ

Kişisel Verileri Koruma Kurumundan:

PERSONEL SERTİFİKASYON MEKANİZMASINA İLİŞKİN

USUL VE ESASLAR HAKKINDA TEBLİĞ 

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir.

Kapsam

MADDE 2 – (1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar.

Dayanak

MADDE 3 – (1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4 – (1) Bu Tebliğin uygulanmasında;

a) Akreditasyon: Türk Akreditasyon Kurumu tarafından; belgelendirme, doğrulama, yeterlik testi sağlama ile diğer uygunluk değerlendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesini, yeterliğinin onaylanmasını ve düzenli aralıklarla denetlenmesini,

b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

ç) Katılım belgesi: Kurul tarafından usul ve esasları belirlenen eğitim programını tamamlayanlara Kurum tarafından verilen belgeyi,

d) Kurul: Kişisel Verileri Koruma Kurulunu,

e) Kurum: Kişisel Verileri Koruma Kurumunu,

f) Personel: Sertifika almak isteyen gerçek kişiyi,

g) Personel belgelendirme kuruluşu: Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen, sertifikasyona ilişkin ilgili sınavlarda başarılı olanları belgelendirmeye yetkili kuruluşu,

ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,

h) Program kullanma onayı: Kurul tarafından yayımlanacak kişisel verilerin korunması alanındaki sertifikasyona konu programların, personel belgelendirme kuruluşu tarafından kullanılabilmesini sağlayan Kurum ön iznini,

ı) SERTABİS: Kurum tarafından, sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesini sağlamak amacıyla oluşturulan, personel belgelendirme kuruluşunun ve sertifika sahibi kişilerin bilgilerinin yanı sıra sertifikaların kapsamlarının, tarihlerinin, numaralarının, geçerlilik sürelerinin ve personel belgelendirme kuruluşunun bilgilerinin sorgulanabildiği, Sertifika Takip ve Doğrulama Bilgi Sistemini,

i) Sertifikasyon: Kanun ve ilgili mevzuat çerçevesinde, sertifika almak için gereken şartları taşıyan ve sınavda başarılı olanların belgelendirilmesi işlemini,

j) Sınav: Adayların bilgi, beceri ve yetkinliklerinin değerlendirilmesi amacıyla personel belgelendirme kuruluşları tarafından programa ve akreditasyon kurallarına göre gerçekleştirilen değerlendirme sürecini,

k) Sözleşme: Personel belgelendirme kuruluşunun yetkilendirme kapsamında Program kullanma onayı için Kurum ile yapacağı sözleşmeyi,

l) Standart: Uluslararası Standardizasyon Teşkilatı tarafından kabul edilen “(TS) EN ISO/IEC 17024 Uygunluk Değerlendirmesi Personel Belgelendirmesi Yapan Kuruluşlar İçin Genel Şartlar” standardını,

m) TÜRKAK: Türk Akreditasyon Kurumunu,

n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,

o) Yetkilendirme: TÜRKAK tarafından akredite edilmiş personel belgelendirme kuruluşuna Kurum tarafından bu Tebliğ kapsamında faaliyete başlamak için verilen izni,

ifade eder.

(2) Bu Tebliğde yer almayan tanımlar için Kanunda ve Standartta yer alan tanımlar geçerli olacaktır.

İKİNCİ BÖLÜM

Genel Esaslar

Genel esaslar

MADDE 5 – (1) Sertifikasyon işlemleri bu Tebliğde ve Standartta belirtilen usul ve esaslara uygun olarak yürütülür.

(2) Sertifikasyon için aşağıdaki esaslar uygulanır:

a) Personel belgelendirme kuruluşu tarafından, sertifikasyon faaliyetlerinin tüm süreçlerinde tarafsızlığın ve şeffaflığın sağlanması gerekmektedir.

b) Sertifikasyon faaliyetleri esnasında herhangi bir eksiklik ve aksaklık yaşanmaması adına personel belgelendirme kuruluşunun gerekli ve yeterli personele, kaynağa, fiziki, teknik ve idari altyapıya sahip olması gerekmektedir.

c) Veri sorumlusunun ve/veya veri işleyenin bünyesinde veri koruma görevlisi istihdam etmesi, veri sorumlusunun ve veri işleyenin Kanuna ve ilgili mevzuata uyma sorumluluğunu ortadan kaldırmaz.

ç) Katılım belgesi, veri koruma görevlisi unvanını kullanma ve veri koruma görevlisi olarak faaliyet gösterme imkânı sağlamaz.

(3) Katılım belgesine ilişkin usul ve esaslar Kurul tarafından belirlenerek ilan edilir.

ÜÇÜNCÜ BÖLÜM

Veri Koruma Görevlisi

Veri koruma görevlisi

MADDE 6 – (1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar.

(2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir.

(3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir.

DÖRDÜNCÜ BÖLÜM

Program, Başvuru, Ölçme ve Değerlendirme, Geçerlilik ve Ücretler

Program kullanma onayı ve sözleşme

MADDE 7 – (1) Kurumun yayımladığı programın, personel belgelendirme kuruluşu tarafından akreditasyon sürecinde başvuru aşamasında kullanılabilmesi ancak Kurulun program kullanma onayını müteakiben sözleşmenin imzalanmasıyla mümkündür.

(2) Personel belgelendirme kuruluşu, programı Kurum tarafından yayımlanan güncel haliyle, herhangi bir değişiklik yapmaksızın kullanmak zorundadır.

(3) Personel belgelendirme kuruluşu, sözleşmenin imzalanmasını müteakiben 6 ay içinde sözleşme ile birlikte TÜRKAK’a akreditasyon başvurusunda bulunmalıdır. Bu süre içerisinde başvuruda bulunulmaması halinde sözleşme hükümsüz hale gelir.

Yetkilendirme

MADDE 8 – (1) TÜRKAK tarafından akredite edilen personel belgelendirme kuruluşu, belge vermeye başlamak için Kuruma yetkilendirme başvurusunda bulunmak zorundadır. Yetkilendirilmeyen personel belgelendirme kuruluşu bu Tebliğ kapsamında faaliyet gösteremez.

Yetkilendirmenin durdurulması

MADDE 9 – (1) TÜRKAK tarafından akreditasyonu tamamen veya kısmen askıya alınan ya da kapsamı daraltılan personel belgelendirme kuruluşunun, bu durumu 7 gün içinde Kuruma bildirmesi zorunludur.

(2) TÜRKAK tarafından akreditasyonun tamamen veya kısmen askıya alınması ya da kapsamının daraltılması hâllerinde, TÜRKAK tarafından belirlenen askıya alma veya kapsam daraltma süresi boyunca, personel belgelendirme kuruluşunun yetkilendirmesi Kurum tarafından durdurulur.

(3) Yetkilendirmesi durdurulan personel belgelendirme kuruluşu, durdurma süresi boyunca sertifikasyon faaliyetlerine devam edemez.

Yetkilendirmenin iptal edilmesi

MADDE 10 – (1) TÜRKAK tarafından akreditasyonu geri çekilen personel belgelendirme kuruluşunun, bu durumu 3 gün içinde Kuruma bildirmesi zorunludur.

(2) Personel belgelendirme kuruluşunun akreditasyonunun geri çekilmesi hâlinde veya sertifikasyon faaliyetine yönelik niteliği ve yeterliği ile ilgili olarak Kuruma sunulan bilgi ve belgelerin gerçeğe aykırı olduğunun tespiti ya da programın kapsamının dışında sertifikasyon faaliyetlerinin yürütüldüğünün anlaşılması hâllerinde, personel belgelendirme kuruluşunun yetkilendirilmesi Kurum tarafından iptal edilir.

(3) Personel belgelendirme kuruluşunun yetkilendirmesinin iptal edildiği bilgisi, Kurumun resmi internet sitesinde ilan edilir.

(4) Akreditasyonu geri çekilen personel belgelendirme kuruluşunun, bu durumu süresi içinde Kuruma bildirmemesi hâlinde, yetkilendirmesi iptal edildikten sonra yeniden program kullanma onayı alabilmesi için yetkilendirmenin iptali kararının üzerinden 6 ay geçmesi gerekmektedir.

Veri koruma görevlisi sertifikası sınavlarına başvuru

MADDE 11 – (1) Sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlar veya geçerli bir veri koruma görevlisi sertifikasına sahip olanlar arasından programda belirlenen şartları haiz olanlar veri koruma görevlisi sertifikası sınavına başvurmaya hak kazanırlar.

(2) Personel belgelendirme kuruluşu, bu madde kapsamında gelen başvuruların bu Tebliğde belirtilen ve programda belirlenen şartlara uygun olup olmadığının kontrolü ile sınav başvurusuna ilişkin iş ve işlemleri yürütme hususunda gerekli dikkat ve özeni göstermekle yükümlüdür.

Sınav ve değerlendirme

MADDE 12 – (1) Personel belgelendirme kuruluşunca yapılacak olan sınavlar, en geç sınavdan 15 gün önce personel belgelendirme kuruluşu tarafından ilan edilmelidir.

(2) Personel belgelendirme kuruluşunca yapılan sınavda başarılı olan adaylar, veri koruma görevlisi sertifikasını almaya hak kazanırlar.

Ücretler

MADDE 13 – (1) Personel belgelendirme kuruluşu tarafından program kapsamında alınacak ücretlerin belirlenmesinde ve güncellenmesinde Kurul yetkilidir. Belirlenen ücret her takvim yılı başında Kurum tarafından ilan edilir.

Geçerlilik süreleri

MADDE 14 – (1) Bu Tebliğ kapsamında verilen sertifikaların geçerlilik süreleri sınav sonuçlarının ilanından itibaren 4 yıldır.

(2) Geçerlilik süresi dolmadan sertifikasını yenilemek isteyen veri koruma görevlisi, programda belirlenen şartlar dâhilinde yeniden personel belgelendirme kuruluşuna başvurmalıdır.

BEŞİNCİ BÖLÜM

Yükümlülükler

Sertifika Takip ve Doğrulama Bilgi Sistemi (SERTABİS)

MADDE 15 – (1) Kurum, sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesini sağlamak amacıyla kamuya açık bir biçimde sorgulama imkânı tanıyan Sertifika Takip ve Doğrulama Bilgi Sisteminin kurulmasından ve yönetilmesinden sorumludur.

(2) SERTABİS’te; katılım belgesinde yer alan bilgiler, personel belgelendirme kuruluşunun bilgileri ve statülerinde gerçekleşen değişiklikler ile sertifika sahibi kişilerin bilgileri, program kapsamında yapılan sınavların tarihlerinin yanı sıra sınavda başarılı olan kişilerin; sertifika tarihleri, sertifika numaraları, sertifika geçerlilik süreleri ve sertifika statülerine dair bilgiler yer alır.

Kuruma bilgi ve belge gönderme

MADDE 16 – (1) Sertifikasyon sürecinin takibinin gerçekleştirilmesi, aksaklıkların giderilmesi ve sürece ilişkin uygulama birliğinin sağlanması konusunda gerekli düzenlemelerin yapılmasını teminen Kurum, ilgili taraflardan program kapsamında tüm bilgi ve belgeleri isteyebilir. Taraflar, istenen bilgi ve belgeleri 15 gün içinde Kuruma göndermek zorundadır. Kuruma gönderilmiş olan bilgi ve belgelerde herhangi bir değişiklik olması hâlinde, söz konusu değişiklik öğrenilmesinden itibaren 15 gün içinde Kuruma bildirilir.

(2) Personel belgelendirme kuruluşu, sertifika verdiği kişilerin kimlik ve iletişim bilgilerini, sertifika tarihini, numarasını ve statüsünü sertifikasyon tarihinden itibaren 15 gün içinde SERTABİS’e yükler. Bu bilgilerde herhangi bir değişiklik olması hâlinde, söz konusu değişiklik öğrenilmesinden itibaren 15 gün içinde SERTABİS’e yüklenir.

ALTINCI BÖLÜM

Şikâyet ve İtirazlar

Şikâyet, itiraz ve Kuruma başvuru

MADDE 17 – (1) Program kapsamında şikâyet veya itiraz başvuruları personel belgelendirme kuruluşuna yapılır. Başvuruların hangi yöntemlerle alınacağı ve sonuçlandırılacağı personel belgelendirme kuruluşu tarafından belirlenir.

(2) Personel belgelendirme kuruluşu tarafından şikâyet veya itiraz başvurusunun reddedilmesi ya da başvurudan itibaren 30 gün içinde cevap verilmemesi hâllerinde, şikâyet veya itiraz sahibi, personel belgelendirme kuruluşunun cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kuruma başvurabilir.

(3) Personel belgelendirme kuruluşuna şikâyet veya itiraz başvuru yolu tüketilmeden Kuruma başvuruda bulunulamaz.

(4) Kurum, bu başvuruları değerlendirirken ilgili taraflardan her türlü bilgi ve belgeyi isteyebilir. İlgili taraflar, istenen bilgi ve belgeleri 15 gün içinde Kuruma göndermek zorundadır.

YEDİNCİ BÖLÜM

Çeşitli ve Son Hükümler

Yaptırımlar

MADDE 18 – (1) Bu Tebliğde belirtilen yükümlülüklere aykırı davranan personel belgelendirme kuruluşunun yetkilendirmesini durdurmaya veya iptal etmeye Kurul yetkilidir.

Düzenleme yetkisi

MADDE 19 – (1) Bu Tebliğde yer almayan ya da açıklık bulunmayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye ve düzenleme yapmaya Kurul yetkilidir.

Yürürlük

MADDE 20 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 21 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.

 

10 Mart 2018 Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

MADDE 1 – Amaç ve kapsam

(1) Bu Tebliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.

MADDE 2 – Dayanak

(1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.

MADDE 3 – Tanımlar

(1) Bu Tebliğde geçen;

  • a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
  • b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  • c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  • ç) Kurul: Kişisel Verileri Koruma Kurulunu,
  • d) Kurum: Kişisel Verileri Koruma Kurumunu,
  • e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,
  • f) (Değişik:RG-28/4/2019-30758) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
  • ğ) (Değişik:RG-28/4/2019-30758) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,

ifade eder.

(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.

MADDE 4 – Aydınlatma yükümlülüğünün kapsamı

(1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:

  • a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • b) Kişisel verilerin hangi amaçla işleneceği,
  • c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

MADDE 5 – Usul ve esaslar

(1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:

  • a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
  • b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  • c) (Mülga:RG-28/4/2019-30758)
  • ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
  • d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
  • e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
  • f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
  • g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  • ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  • h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  • ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
  • i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  • j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

MADDE 6 – Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü

(1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;

  • a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  • b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  • c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.

MADDE 7 – Yürürlük

(1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

MADDE 8 – Yürütme

(1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.

 Yönetmeliğin Yayımlandığı Resmî Gazete’nin
TarihiSayısı
10/03/201830356
Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin
TarihiSayısı
1.28/4/201930758
2.  

10 Mart 2018 Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

MADDE 1 – Amaç ve kapsam

(1) Bu Tebliğ, veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi hâlinde alınacak ücret ile ilgili usul ve esasları belirlemek üzere hazırlanmıştır.

MADDE 2 – Dayanak

(1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 13 üncü maddesi ve 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.

MADDE 3 – Tanımlar

(1) Bu Tebliğde geçen;

  • a) Başvuru: Kanunun 13 üncü maddesi kapsamında yapılan başvuruyu,
  • b) Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzayı,
  • c) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  • ç) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  • d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
  • e) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini,
  • f) Kurul: Kişisel Verileri Koruma Kurulunu,
  • g) Kurum: Kişisel Verileri Koruma Kurumunu,
  • ğ) Mobil imza: Mobil bir cihaz kullanılarak oluşturulan elektronik imzayı

ifade eder.

(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.

MADDE 4 – Başvuru hakkı

(1) Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir.

(2) İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.

MADDE 5 – Başvuru usulü

(1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

(2) Başvuruda;

  • a) Ad, soyad ve başvuru yazılı ise imza,
  • b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  • c) Tebligata esas yerleşim yeri veya iş yeri adresi,
  • ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • d) Talep konusu,

bulunması zorunludur.

(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.

(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.

(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.

MADDE 6 – Başvuruya cevap

(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.

(2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.

(3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

(4) Cevap yazısının;

  • a) Veri sorumlusu veya temsilcisine ait bilgileri,
  • b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
  • c) Talep konusunu,
  • ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını,

içermesi zorunludur.

(5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

(6) İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.

MADDE 7 – Ücret

(1) İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.

(2) Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

MADDE 8 – Yürürlük

(1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

MADDE 9 – Yürütme

(1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.

ISO 27701 Organizasyon bağlamında gizlilik yönetimi için ISO 27001 ve ISO 27002‘nin uzantısı şeklinde bir Kişisel Veri Yönetim Sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli olarak iyileştirilmesi için gereksinimleri içeren yönetim sistemi standardıdır.

Standart, kişisel veriler ile ilgili gereksinimleri belirtir ve kişisel veri işlemede Veri Sorumluları ile Veri İşleyenler için rehberlik sağlar. Kişisel veri işleyen Veri Sorumlusu ve/veya Veri İşleyen özel şirketler, devlet kurumları ve kâr amacı gütmeyen kuruluşlar da dâhil olmak üzere her tür ve büyüklükteki kuruluş için geçerlidir.

Tarihsel Gelişim

Avrupa’da Avrupa Veri Koruma Tüzüğü (GDPR), Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) gibi pek çok ülkenin mevzuatına konu olan kişisel veri yönetimi için ISO 27001’in bir eklentisi olacak şekilde 2019 yılında oluşturulmuştur.

ISO 22301'in Faydaları Nelerdir?

Güvenilirliğinizi Arttırır

Kişisel verilerin korunması konusundaki riskleri ele aldığınızı garanti ederek kişisel veri işleme faaliyetleriniz kapsamında güvenilirliğinizi artırır.

Rekabette Avantaj Sağlar

Kişisel verilerin güvenliğini sağladığınızı garanti ederek sizi rakiplerinizin bir adım ötesine taşır.

İtibarınızı Korur

Kişisel veri işleme faaliyetlerinizde gizlilik ve güvenliği sağlayarak itibarınızın zarar görmesini engeller.

Yasalara Uyumluluğunuzu Destekler

Belirlenen teknik ve idari tedbirlerle kişisel veri koruma mevzuatlarına uyumluluğunuzu arttırır.

Proje Adımları

Proje Planının Hazırlanması

ISO 27701 KVYS Ekibinin Oluşturulması

KVYS Ekibine Eğitim Verilmesi

Süreç Analizlerinin Yapılması

KVYS Analiz Dokümanlarının Oluşturulması

Kuruluş Dokümantasyonunun Oluşturulması

Çalışan Farkındalığı Eğitimi Sunulması

İç Denetim ve Yönetim Gözden Geçirme Süreçlerinin Kurgulanması

Dış Denetim Gerçekleştirilmesi ve Ortaya Çıkan Uygunsuzlukların Giderilmesi için Gerekli Çalışmalara Destek Olunması

ISO 27701 Kişisel Veri Yönetim Sistemi

ISO 27701 Kişisel Veri Yönetim Sistemi ve danışmanlık hizmetlerimiz hakkında daha fazla bilgi için danışmanlarımızla iletişime geçebilirsiniz.

    2003’den Beri Sektördeyiz nesil teknoloji ofis Nesil Teknoloji Arge Binası Nesil Teknoloji Anonim Şirketi 15 yılı aşkın süredir uluslararası standartlarda, kaliteli, yenilikçi ve çözüm odaklı hizmet veren bir teknoloji şirketidir. Farklı sektörlerde 1000’den fazla kuruma hizmet veren Nesil, Türkiye’nin önde gelen şirketleri arasında yer alan 40 farklı sektöre birçok referans proje sunmaktadır. Kamu, Kamu Kuruluşları ve Özel sektörlerine hizmet veren firmamız, TSE ve ISO sertifikalarına sahip olmakla beraber bu standartlar çerçevesinde fark yaratmayı seven ve mükemmeliyetçi iş anlayışına sahip personelleri ile Profesyonel hizmet vermektedir.

    ADRES

    Ankara Ofis Adres
    Cevizlidere Mahallesi 1256. Cadde No: 10/A Balgat, Çankaya/Ankara

    İstanbul Ofis Adres
    Oruçreis, Tekstilkent Cd Tekstilkent Plaza D:B Blok, 34235 Esenler/İstanbul

    Antalya Ofis Adres
    Fener, Tekelioğlu Cd. No:55 D:Kat 2, 07160 Muratpaşa/Antalya

    TELEFON

    Ankara
    0312 911 46 40

    İstanbul
    0212 975 00 97
    0216 232 24 33
    İzmir
    0232 423 45 33

    Adana
    0322 259 01 33

    Antalya
    0242 782 45 33

    Muğla
    0252 440 01 33

    EMAIL

    bilgi@kvkk.com.tc