|
|
Kuzey Kıbrıs Türk
Cumhuriyeti Cumhuriyet Meclisi aşağıdaki Yasayı yapar:
|
|
|
Kısa İsim
|
1. Bu Yasa, Kişisel Verilerin Korunması Yasası olarak isimlendirilir.
|
|
|
|
BİRİNCİ KISIM
Genel Kurallar
|
|
|
Tefsir
|
2. Bu Yasada metin başka türlü gerektirmedikçe:
|
|
|
|
“Başbakan”, Kuzey Kıbrıs Türk Cumhuriyeti Başbakanını
anlatır.
|
|
|
|
“Başkan”, Bu Yasanın 20’nci
maddesi ile kurulan Kişisel Verileri Koruma Kurulunun Başkanını anlatır.
|
|
|
|
“Bilgiye konu kişi”, bilgilerin
ait olduğu ve kimliği bilinen veya dolaylı veya dolaysız olarak, özellikle
kimlik numarası veya fiziksel, fizyolojik, zihinsel, ekonomik, kültürel,
siyasal veya sosyal kimliğine dair bir veya birden fazla faktör esas alınarak
tesbit edilebilen gerçek kişiyi anlatır.
|
|
|
|
“Birleştirme”, bir dosyalama
sistemindeki verilerin diğer bir kontrolör veya kontrolörler tarafından
tutulan veya aynı kontrolör tarafından başka bir amaçla tutulan verilerle bir
araya getirilmesine imkan verecek şekilde işleme bağlı tutulmasını anlatır.
|
|
|
|
“Devlet”, Kuzey Kıbrıs Türk
Cumhuriyeti Devletini anlatır.
|
|
|
|
“Hassas veri”, ırksal veya
etnik kökeni, siyasi görüşleri, dinsel veya diğer inançları ortaya koyan veya
cinsel yönelim, sağlık veya cinsel hayatla veya cezai soruşturmayla ilgili konuları
açığa çıkaran kişisel verileri anlatır.
|
|
|
|
“İşlemci”, şahsi veriyi
kontrolör adına işleyen kişiyi anlatır.
|
|
|
|
“İşleme” veya “Kişisel
verilerin işlenmesi”, Kişiye ilişkin tüm verilerin, toplanması, kaydedilmesi,
işlenmesi, saklanması, silinmesi, değe
rlendirilmesi, kullanılması,
uyarlanması veya değiştirilmesi, durdurulması, yokedilmesi gibi işlevlerden
herhangi birisinin, birkaçının veya hepsinin, herhangi bir yöntem ve araç
kullanılarak uygulanmasını anlatır.
|
|
|
|
“Kişisel veri”, kimliği belirli
veya kimliği belirlenebilir bir kişiye ilişkin tüm bilgileri anlatır.
|
|
|
|
“Kişisel veri dosya sistemi”,
işlevsel veya coğrafi esaslara göre merkezi veya dağınık olarak bir sistemde
muhafaza edilen ve belirli yöntemlerle ulaşılabilen kişisel veri topluluğunu
anlatır.
|
|
|
|
“Kontrolör”, kendi başına veya
başkalarıyla birlikte, kişisel verilerin işleme tabi tutulmasının amaç ve
yöntemlerini belirleyen, kişisel veri dosya sistemini oluşturma, işletme,
denetim hak ve yetkisine sahip olan Kamu Kurum ve Kuruluşları ile gerçek ve
tüzel kişileri anlatır.
|
|
|
|
“Kurul”, bu Yasanın 20’nci
maddesi ile kurulan Kişisel Verileri Koruma Kurulunu anlatır.
|
|
|
|
“Kurum
ve Kuruluş”, genel ve katma bütçeli daireler ile Bakanlıkları, yerel
yönetimleri, üniversiteleri ve bunlara bağlı sabit ve döner sermayeli
kuruluşları, kamu iktisadi teşebbüslerini, kamu ve özel bankaları, yüksek
kurulları, özerk, tarafsız kurum ve kuruluşları, bağımsız düzenleyici kurum
ve kurulları, kamu kurumu niteliğindeki meslek kuruluşlarını, birlikleri,
dernekleri ve vakıfları anlatır.
|
|
|
|
“Üçüncü
taraf”, bilgiye konu kişi, kontrolör ve işlemci haricindeki her türlü kişiyi
anlatır.
|
|
|
Amaç
|
3. Bu Yasanın amacı, kişisel
verilerin işleme bağlı tutulmasında kişiliğin, temel hak ve özgürlüklerin
korunması ve bir dosyalama sisteminin bir bölümünü oluşturan veya oluşturması
planlanan kişisel verilerin otomatik veya otomatik olmayan yöntem ve
araçlarla, tamamen veya kısmen işlenmesine ve transferine ilişkin esas ve
usulleri düzenlemektir.
|
|
|
Kapsam
|
4.
Bu Yasa kuralları, kişisel verileri işleme tâbi tutulan kişiler ile bu
verileri işleme tâbi tutan kurum veya kuruluşlar ile gerçek ve tüzel kişilere
uygulanır.
|
|
|
|
Ancak gerçek kişilerce ticari, mesleki
kazanç amacı olmaksızın başkalarına aktarmamak kaydıyla ve sadece kendileri
tarafından kullanılmak üzere işlenen kişisel veriler bu Yasa kapsamı
dışındadır.
|
|
|
İKİNCİ
KISIM
Kişisel
Verinin İşlenmesi
|
|
|
Kişisel
Veriler
|
5.
|
(1)
|
Kişisel
veriler işlenirken kontrolörün aşağıdaki ilkelere uyması zorunludur:
|
|
|
İşlenirken Uygulanacak
|
|
|
(A)
|
Kişisel
verilerin yasal ve adil yoldan elde edilmesi ve işlenmesi,
|
|
|
İlkeler
|
|
|
(B)
|
Kişisel verilerin belirli, açık
ve meşru amaçlarla derlenmesi ve bu amaçlara uygun olarak işlenmesi ve bu
amaçlarla uyumlu olmayan şekillerde işlem görmemesi,
|
|
|
|
|
|
(C)
|
Kişisel verilerin doğru ve gerektiği
takdirde güncel olması,
|
|
|
|
|
|
(Ç)
|
Kişisel verilerin derlenme ve
işlenme amaçlarının yerine getirilmesi sağlanırken, Başkanın takdiriyle, verinin,
sahibinin kimliğinin belirlenmesine izin verecek bir formda gereğinden uzun
bir süre tutulmaması.
Ancak bu sürenin bitiminde, Başkan, bilgiye
konu kişinin veya üçüncü tarafların haklarının etkilenmediğine kanaat
getirmesi halinde, gerekçeli bir kararla kişisel verinin tarihsel, bilimsel
veya istatistiki amaçlarla muhafazasına izin verebilir.
|
|
|
15/1990
22/1994
84/2007
|
(2)
|
Kontrolör, yukarıdaki (1)’inci
fıkra kurallarına aykırı şekilde derlenmiş veya işlenmeye devam edilmiş
kişisel verileri imha etmekle mükelleftir. Başkan, resen veya bir şikayet
üzerine, (1)’inci fıkra kurallarına aykırı hareket edildiğini belirlemesi
halinde, derleme veya işlemenin durdurulması ve derlenmiş veya işlenmiş
bulunan kişisel verilerin imha edilmesi talimatını verir.
Ancak
bu tür verilerin tarihsel veya bilimsel amaçlı muhafazasının Milli Arşiv ve
Araştırma Dairesi (Kuruluş, Görev ve Çalışma Esasları) Yasası ile oluşturulan
Milli Arşiv Kurulu Başkanı tarafından gerekli görülmesi halinde Başkan,
bunların Milli Arşivde muhafazasına izin verebilir.
|
|
|
Yasal İşleme
|
6.
Kişisel veriler, bilgiye konu kişinin şüpheye sebebiyet
vermeyecek şekilde onay vermesi halinde işlenebilir.
Ancak, kişisel veriler, aşağıdaki
durumlarda bilgiye konu kişinin onayı olmadan da işlenebilir:
|
|
|
|
|
(1)
|
İşlemenin, kontrolörün tabi
olduğu yasal yükümlülüğü yerine getirmek için gerekli olması,
|
|
|
|
(2)
|
İşlemenin, bilgiye konu kişinin
taraf olduğu bir sözleşmenin yerine getirilmesi için gerekli olması veya bilgiye
konu kişinin talebi üzerine, sözleşmeye taraf olmadan önce önlem alınması
amacıyla yapılması,
|
|
|
|
(3)
|
İşlemenin, bilgiye konu kişinin
hayati çıkarlarının korunması için gerekli olması,
|
|
|
|
(4)
|
İşlemenin, kamu çıkarı adına
bir görevin yerine getirilmesi veya kontrolöre veya verinin iletildiği üçüncü
bir tarafa verilmiş olan kamu yetkisinin ifası için gerekli olması,
|
|
|
|
(5)
|
İşlemenin, bilgiye konu kişinin
hakları, çıkarları ve temel özgürlüklerinin üstün geldiği durumlar hariç,
kontrolör veya verinin iletildiği üçüncü tarafça izlenen yasal çıkarlar
amacıyla gerekli olması.
|
|
|
Hassas
Verinin
İşlenmesi
|
7.
|
(1)
|
Hassas
verinin derlenmesi ve işlenmesi yasaktır.
Ancak bilgiye konu kişinin açık onayının
olması veya bilgiye konu kişinin fiziksel veya yasal olarak onay vermediği
durumlarda, kendisinin veya bir başka kişinin hayati çıkarlarının korunması
için gerekli olması veya yasal bir yükümlülükten kaynaklanması halinde hassas
veriler derlenebilir ve işlenebilir.
|
|
|
|
|
(2)
|
Sağlık
ile ilgili hassas veriler yukarıdaki (1)’inci fıkradaki yasak kapsamı
dışındadır. Bu tür veriler, meslek olarak sağlık hizmeti veren ve gizlilik
yükümlülüğü bulunan veya ilgili davranış ilkelerine tabi olan kişi veya
kurumlarca derlenebilir veya işlenebilir.
|
|
|
|
|
(3)
|
Yukarıdaki
(1)’inci ve (2)’nci fıkra kuralları uyarınca derlenip işlenen hassas veriler,
yalnızca bilgiye konu kişinin onayı ile üçüncü taraflara iletebilir.
|
|
|
|
|
(4)
|
Bakanlar
Kurulu, Kurulun oybirliği ile alacağı bir karar doğrultusunda yapacağı
tavsiye üzerine, kamu çıkarını ilgilendiren konularda hassas verilerin
işlenmesine dair düzenlemeler içeren kararlar alabilir.
|
|
|
Başkana Bildirim
|
8.
|
(1)
|
Kontrolör, bir kişisel veri
dosyalama sisteminin kurulması ve işletilmesi veya işlemenin başlatılması
konusunda Başkana yazılı olarak bildirimde bulunmak zorundadır.
|
|
|
|
|
(2)
|
Kontrolör, yukarıdaki (1)’inci
fıkrada bahse konu bildirimde aşağıdaki hususları belirtmek zorundadır:
|
|
|
|
|
|
(A)
|
Açık adını, mesleki adını veya
unvanını ve adresini. Kontrolör Kuzey Kıbrıs Türk Cumhuriyetinde yerleşik
değilse, bunlara ilave olarak, Kuzey Kıbrıs Türk Cumhuriyetindeki
temsilcisinin açık adını, mesleki adını veya unvanı ile adresini belirtmek zorundadır.
|
|
|
|
|
|
(B)
|
Kişisel veri dosyalama
sisteminin bulunduğu veya işleme için gerekli temel teçhizatın
yerleştirildiği adres,
|
|
|
|
|
|
(C)
|
İşlenen veya işlenmesi
planlanan veya kişisel veri dosyalama sistemine dahil edilen veya dahil
edilmesi planlanan verilerin işlenme amacının izahı,
|
|
|
|
|
|
(Ç)
|
Bilgiye konu kişilerin kategori
veya kategorilerinin izahı,
|
|
|
|
|
|
(D)
|
İşlenen veya işlenmesi
planlanan veya kişisel veri dosyalama sistemine dahil edilen veya dahil
edilmesi planlanan veri kategorileri,
|
|
|
|
|
|
(E)
|
Kontrolörün işlemeyi yürüteceği
veya dosyalama sistemini muhafaza edeceği süre,
|
|
|
|
|
|
(F)
|
Kontrolörün veriyi ilettiği
veya iletebileceği alıcılar veya alıcı kategorileri,
|
|
|
|
|
|
(G)
|
Üçüncü ülkeler için önerilen
veri transmisyonu ve bunun amacı,
|
|
|
|
|
(Ğ)
|
Sistemin temel özellikleri ve
dosyalama sisteminin veya işlemenin güvenliğine yönelik önlemler.
|
|
|
|
(3)
|
İşleme
veya dosyalama sisteminin, Başkan tarafından işleme konusunda belirlenen özel
kuralların bulunduğu kategorilerden birinde yer alması halinde, kontrolör
Başkana, işlemenin sözkonusu özel kurallara göre yürütüleceğini veya
dosyalama sisteminin bu kurallara göre tutulacağını teyid eden bir bildirimde
bulunur. Bu özel kurallar, aynı zamanda bildirimin özellikle şeklini ve
içeriğini de belirler.
|
|
|
|
(4)
|
Yukarıdaki (2)’nci fıkrada
bahse konu bilgi, Başkan tarafından tutulan “Dosyalama Sistemleri ve
İşlemleri Sicili”nde kaydedilir.
|
|
|
|
(5)
|
Yukarıdaki
(2)’nci fıkrada atıfta bulunulan bilgide olabilecek her türlü değişiklik,
kontrolör tarafından yazılı olarak ve gecikmeksizin Başkana bildirilir.
|
|
|
|
(6)
|
Kontrolör,
yukarıdaki (1)’inci fıkrada öngörülen bildirim yükümlülüğünden aşağıdaki
durumlarda muaf sayılır:
|
|
|
|
|
(A)
|
İşlemenin sadece yapılacak
çalışmayla ilgili amaçlar için yapılması ve veri konusunun önceden
bildirilmesi kaydıyla, yasal bir yükümlülüğün yerine getirilmesi veya bir
sözleşmenin ifası için gerekli olması,
|
|
|
|
|
(B)
|
İşlemenin, verilerin üçüncü
taraflara transfer edilmemesi veya iletilmemesi kaydıyla, kontrolörün
müşterilerini veya tedarikçilerini ilgilendirmesi durumunda,
|
|
|
|
|
|
(a)
|
Bu bendin uygulanmasında,
transmisyon veya haberleşmenin herhangi bir yasa veya mahkeme kararıyla
yapılmış olması kaydıyla, mahkemeler ve kamu makamları üçüncü taraf olarak
görülmezler.
|
|
|
|
|
|
(b)
|
Sigorta şirketleri tüm sigorta
çeşitleri için, eczacılık şirketleri, veri tedarik şirketleri ve bankalar ve
kredi kartı veren şirketler gibi mali kurumlar bildirim yükümlülüğünden muaf
değillerdir.
|
|
|
|
|
(C)
|
İşlemenin bir topluluk, dernek,
şirket veya siyasi parti tarafından yapılması ve üyelerin onay vermiş
olmaları ve verilerin üçüncü taraflara transfer edilmemesi veya iletilmemesi
kaydıyla, bunların üyelerine dair veriler içermesi durumunda yukarıda bahse konu
topluluk, dernek, şirket veya siyasi partilerin amaçları doğrultusunda
üyelerine bildirimde bulunulduğu takdirde üyeler; bildirimin ilgili mevzuat
veya mahkeme kararıyla yapılması halinde mahkemeler ve kamu makamları, üçüncü
taraf olarak addedilmezler.
|
|
|
|
|
(Ç)
|
İşlemenin, kontrolörün tıbbi
gizliliğe veya ilgili mevzuatın veya davranış kurallarının gerektirdiği diğer
gizliliğe bağlı olması ve verilerin üçüncü taraflara transfer edilmemesi veya
iletilmemesi kaydıyla, doktorlar veya sağlık hizmeti veren diğer kişiler
tarafından yapılması ve tıbbi bilgiler içermesi durumunda; işleme, tele-tıp
operasyonlarıyla ilgili programlar veya tıbbi hizmetlerin bir şebeke
aracılığıyla sağlanması çerçevesinde gerçekleştiriliyor ise, klinikler,
hastaneler, sağlık merkezleri, nekahat ve zehirli maddelerden arınma
merkezleri, sigorta fonları ve sigorta şirketleri ile kişisel verilerin
kontrolörleri bildirim yükümlülüğünden muaf değillerdir.
|
|
|
|
|
(D)
|
Kontrolörün ilgili yasanın
gerektirdiği gizliliğe bağlı kalması ve verilerin, gerekli ve müvekkillerinin
talepleriyle doğrudan bağlantılı olması halinde, üçüncü taraflara gönderilmemesi
veya iletilmemesi kaydıyla, işlemenin avukatlar tarafından yapılması ve
müvekkillerine yasal hizmetlerin sağlanmasını ilgilendirmesi durumunda.
|
|
Kişisel
Veri Dosya Sistemlerinin
|
9.
|
(1)
|
Kişisel
veri dosya sistemlerinin birleştirilmesine yalnızca, bu birleştirme önemli
bir kamu çıkarı için olduğu takdirde, bu Yasanın 6’ncı maddesinde belirtilen
koşullar altında izin verilir.
|
|
Birleştirilmesi
|
|
(2)
|
Her
birleştirme, iki veya daha fazla kişisel veri dosya sistemini birleştirecek
kontrolör veya kontrolörler tarafından ortaklaşa yapılacak bir başvuru ile
Başkana bildirilir.
|
|
|
|
(3)
|
(A)
|
Birleştirilecek dosya
sistemlerinden birisinin dahi hassas veri içermesi, veya birleştirme sonucu
hassas verinin açığa çıkması veya yapılacak birleştirme için tek bir kod
numarası kullanılması halinde ise birleştirme sadece Kurulun ücret
karşılığında vereceği “Birleştirme Ruhsatı” ile mümkündür.
|
|
|
|
|
(B)
|
Birleştirme ruhsatı,
kontrolörlerin dosyalama sistemleri hakkındaki görüşleri alındıktan sonra
verilir ve aşağıdaki hususları içerir:
|
|
|
|
|
|
(a)
|
Birleştirmenin neden gerekli
olduğu,
|
|
|
|
|
|
(b)
|
Birleştirmenin ilgili olduğu
kişisel verinin kategorisi,
|
|
|
|
|
|
(c)
|
Birleştirmeye izin verilen
zaman dilimi ve
|
|
|
|
|
|
(ç)
|
Bilgiye konu kişinin ve üçüncü
tarafların başta mahremiyet hakları olmak üzere, hak ve özgürlüklerini
korumak amacıyla ileri sürülen her türlü şart ve koşul.
|
|
|
|
|
(C)
|
Birleştirme ruhsatı,
kontrolörlerin başvurusunu müteakip yenilenebilir.
|
|
|
|
(4)
|
Yukarıdaki
(2)’nci fıkrada sözü edilen başvurular ile “Birleştirme Ruhsatı” suretleri,
Başkan tarafından tutulan Birleştirme Sicilinde yer alır.
|
|
Veri Koruma Görevlisi
|
10.
|
(1)
|
Kişisel
veri işleyen her kurum ve kuruluş, işlediği veriyi koruyacak en az bir
personel görevlendirmekle yükümlüdür.
|
|
|
|
(2)
|
Veri Koruma Görevlisi, bu Yasa
çerçevesinde, kontrolörün isteyebileceği bilgiler doğrultusunda, kurumdaki
kişisel verilerin işlenmesini ve korunmasını izler ve gözetir.
|
|
ÜÇÜNCÜ
KISIM
Veri
Transferi ve Gizlilik
|
|
Diğer
Ülkelere Veri Transferi
|
11.
|
(1)
|
Bu
Yasa kurallarına bağlı olarak işlenmiş veya işlenmeye niyet edilmiş verinin diğer
ülkelere transferi, Kurulun ücret karşılığında vereceği “Transfer Ruhsatı”
ile mümkündür. Kurul, ancak ilgili ülkenin yeterli seviyede koruma sağlaması
halinde sözkonusu ruhsatı verir. “Transfer Ruhsatı” verilirken, verinin
niteliği, işleme amaç ve süresi, hukukun genel ve özel ilkeleri, davranış
ilkeleri ve verinin korunması için güvenlik önlemleri ile menşe ülkesindeki
koruma seviyesi, verinin iletilme şekli ve nihai hedefi gözönünde
bulundurulur.
|
|
|
|
(2)
|
Kişisel verinin yeterli düzeyde
koruma sağlamayan bir ülkeye transferine, aşağıdaki koşullardan bir veya daha
fazlasının yerine getirilmesi halinde izin verilir:
|
|
|
|
|
(A)
|
Bilgiye konu kişinin, herhangi
bir kuşkuya yer bırakmayacak şekilde ve hukuka veya kabul edilmiş ahlak
değerlerine aykırı olmayacak şekilde alınmış olmak kaydıyla transfere onay
vermesi.
|
|
|
|
|
(B)
|
Aşağıdaki koşullar altında
transfer gereklidir:
|
|
|
|
|
|
(a)
|
Bilgiye konu kişinin hayati
çıkarlarının korunması veya
|
|
|
|
|
|
(b)
|
Bilgiye konu kişi ile kontrolör
veya kontrolörle üçüncü taraf arasında, bilgiye konu kişinin çıkarı için
yapılmış olan bir sözleşmenin tamamlanması veya kurallarının yerine
getirilmesi için veya
|
|
|
|
|
|
(c)
|
Bilgiye konu kişinin talebi
üzerine alınan, bilgiye konu kişi ile kontrolör arasında yapılacak sözleşme
öncesi önlemlerin uygulanması için.
|
|
|
|
|
(C)
|
Transferin önemli kamu çıkarı,
özellikle diğer ülkenin kamu makamlarıyla işbirliğine ilişkin sözleşmenin
kurallarının yerine getirilmesi nedeniyle gerekli olması veya bu nedenlerle
transfere hukuken ihtiyaç duyulması.
|
|
|
|
|
(Ç)
|
Transferin bir mahkemeye
yöneltilecek hukuki iddiaların oluşturulması, öne sürülmesi ve savunulması
için gerekli olması.
|
|
|
|
|
(D)
|
Transferin, ilgili yasa
uyarınca kamuya bilgi veren ve kamuya veya meşru çıkarı olan herkese açık
olan bir kamu kayıt merkezinden, kayıt merkezine erişimin yasal olarak mümkün
olması halinde, yapılması.
|
|
|
|
(3)
|
Kurul,
yeterli düzeyde koruma sağlamayan bir ülkeye, kontrolörün özel ve temel
hakların korunmasına ilişkin yeterli teminat vermesi ve bu hakların ve
teminatın uygun sözleşme kurallarından kaynaklanması halinde, veri
transferine izin verebilir.
|
|
İşlemenin Gizliliği ve Güvenliği
|
12.
|
(1)
|
Verinin
işlenmesi gizlidir. Bu işlem yalnızca kontrolör, işlemci veya işlemcinin
yetkisi altında görev yapan kişilerce ve yalnızca kontrolörden alınan talimat
uyarınca yapılır.
|
|
|
|
(2)
|
İşlemenin
yapılması için, kontrolörün uygun nitelikleri haiz, teknik bilgi açısından
yeterli teminatı sağlayan ve gizliliğe riayet açısından şahsi güvenilirliği
olan kişileri seçmesi gerekir.
|
|
|
|
(3)
|
Kontrolör,
verinin istemdışı veya yasadışı zarara uğraması, istemdışı kaybı,
değiştirilmesi, yetkisiz kişilere iletilmesi veya erişim imkanı sağlanması ve
her türlü diğer yasadışı işleme tabi tutulmasına karşı gizliliğinin ve korunmasının
sağlanması için uygun kurumsal ve teknik önlemleri almalıdır. Bu önlemler,
işleme sürecindeki ve veri işlemenin doğasına uygun düşecek riskleri
karşılamada güvenliği temin etmelidir.
|
|
|
|
(4)
|
Başkan,
teknolojik gelişmeleri de gözönünde bulundurarak, verinin güvenliğine ve her
kategoride veri için gerekli koruma önlemlerine ilişkin olarak zaman zaman
talimat verebilir.
|
|
|
|
(5)
|
İşleme,
kontrolör adına kendi denetimi altında olmayan bir işlemci tarafından icra
edilmekteyse, işleme görevinin verilmesinin yazılı olarak yapılması gerekir.
Görevlendirme, işlemcinin işlemeyi yalnızca kontrolörden aldığı talimat
üzerine yapmasını ve bu kısımda yeralan diğer yükümlülükleri de üstlenmesini
sağlamalıdır.
|
|
DÖRDÜNCÜ
KISIM
Bilgiye
Konu Kişinin Hakları
|
|
Bilgilendirme Yükümlülüğü
|
13.
|
(1)
|
Kontrolör,
bilgiye konu kişiden kişisel verilerin toplanması aşamasında, bilgiye konu
kişi eğer halihazırda sahip değilse, kendisine uygun ve açık bir şekilde, en
azından aşağıdaki bilgileri vermekle yükümlüdür:
|
|
|
|
|
(A)
|
Kendisinin ve varsa
temsilcisinin kimliği,
|
|
|
|
|
(B)
|
İşlemenin amacı.
|
|
|
|
(2)
|
Kontrolör,
bilgiye konu kişiyi aşağıdaki konularda da ayrıca bilgilendirmekle
yükümlüdür:
|
|
|
|
|
(A)
|
Verinin alıcıları veya alıcı
kategorileri,
|
|
|
|
|
(B)
|
Veriye erişim ve verinin
düzeltilmesi hakkının varlığı, ve
|
|
|
|
|
(C)
|
Bu verinin gerekli olması
halinde, verinin güvenlik içerisinde işlenmesinin sağlanması koşuluyla,
bilgiye konu kişinin yasal olarak yardım etmek mecburiyetinde olup olmadığı,
mecbursa bunu reddetmesinin sonuçları.
|
|
|
|
(3)
|
(A)
|
Bilginin üçüncü taraflardan
alınması halinde, bilgiye konu kişi, yukarıdaki (1)’inci fıkra uyarınca,
bilginin kaydı sırasında veya bilginin üçüncü taraflara iletilmesinin
beklendiği aşamada, henüz bilgilendirilmemişse, bilgilendirilecektir.
|
|
|
|
|
(B)
|
İşlemenin özellikle istatistiki
ve tarihi amaçlarla, veya bilimsel araştırma amacıyla yapılması halinde,
bilgiye konu kişiyi haberdar etmek imkansız ise veya onu haberdar etmek için
orantısız bir çaba gerekliyse veya bilginin iletilmesi başka bir yasayla
mümkünse, her koşulda Başkanın izni alınmak kaydıyla, yukarıdaki (A) bendi
kuralları uygulanmaz.
|
|
|
|
(4)
|
Kontrolörün başvurusu ve Başkanın
kararı üzerine, kişisel verinin toplanması konusunda yukarıdaki (1)’inci,
(2)’nci ve (3)’üncü fıkralar uyarınca haberdar etme yükümlülüğü, Devletin
savunması, ulusal ihtiyaçları veya ulusal güvenliği veya cezai suçların
önlenmesi, tespiti, soruşturulması ve kovuşturulması amacıyla, kısmen veya
tamamen gözardı edilebilir.
|
|
|
|
(5)
|
Bilgiye konu kişinin bu Yasanın
14’üncü ve 15’inci maddelerinde de atıfta bulunulan haklarına halel
gelmeksizin ve mahremiyet hakkı ve aile yaşamının ihlal edilmemesi koşuluyla,
derlemenin yalnızca gazetecilik amacıyla yapılması halinde, haberdar etme
yükümlülüğü bulunmamaktadır.
|
|
Erişim Hakkı
|
14.
|
(1)
|
Herkesin
kendisine ait kişisel verinin işlenip işlenmediğini bilmeye hakkı vardır. Bu
nedenle, kontrolör kendisine yazılı olarak yanıt vermelidir.
|
|
|
|
(2)
|
Bilgiye konu kişi, aşağıdaki
hususlarda, kontrolöre, soru sorma ve yanıt alma hakkına sahiptir:
|
|
|
|
|
(A)
|
(a)
|
İşlemeye tabi tutulmuş,
kendisine ait tüm kişisel veri ve aynı zamanda bunların kaynağı,
|
|
|
|
|
|
(b)
|
İşlemenin amacı, bu bilgiyi
alanlar veya alan kategoriler ile işlenmiş veya işlemeye tabi tutulmakta olan
verinin kategorileri,
|
|
|
|
|
|
(c)
|
Bir önceki bilgilendirmeden beri
işlemede kaydedilen ilerleme.
|
|
|
|
|
(B)
|
Verinin düzeltilmesi, silinmesi
veya bloke edilmesi, özellikle yanlışlıklar ve eksiklikler nedeniyle bu Yasanın
kuralları uyarınca icra edilmemiş olan işleme.
|
|
|
|
|
(C)
|
İmkansız olmadığı ve orantısız
çaba gerektirmediği sürece, verinin iletildiği üçüncü taraflara (B) bendi
uyarınca yapılmış olan her türlü düzeltme, silme ve bloke etme hakkında
bildirim yapılması.
|
|
|
|
(3)
|
Kontrolör, başvurunun
sunulmasından itibaren otuz gün içinde yanıt vermediği veya yanıtı tatmin
edici olmadığı takdirde, bilgiye konu kişi Kurula başvuru hakkına sahiptir.
Kurul bu konudaki kararı verir.
|
|
|
|
(4)
|
Bilgiye konu kişi, erişim
hakkını bir uzmanın yardımıyla kullanabilir.
|
|
|
|
(5)
|
Sağlığa ilişkin veri, bilgiye
konu kişiye doktor aracılığıyla bildirilir.
|
|
|
|
(6)
|
Kontrolör, Kurulun kararı ile
bilgiye konu kişiye, bilgi verilmesini;
|