GDPR

Yönetmelik No. 679/2016 Kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak bireylerin korunması ve 95/46 / EC sayılı Direktifin yürürlükten kaldırılması hakkında

Genel Veri Koruma Yönetmeliği

BÖLÜM III: Veri sahibinin hakları

Bölüm 2: Bilgi ve kişisel verilere erişim

Madde 13: Veri sahibinden kişisel verilerin toplanması halinde sağlanacak bilgiler

1. Bir veri sahibine ilişkin kişisel verilerin söz konusu veri sahibinden toplandığı durumlarda, kontrolör bu tür kişisel verileri elde ederken veri sahibine aşağıdaki tüm bilgileri sağlayacaktır:

a) işleticinin ve duruma göre temsilcisinin kimliği ve iletişim bilgileri;

b) duruma göre veri koruma görevlisinin iletişim bilgileri;

c) kişisel verilerin işlenme amaçları ve ayrıca işlemenin yasal dayanağı;

d) İşlemenin Madde 6 (1) (f) uyarınca gerçekleştirilmesi durumunda, kontrolör veya üçüncü bir şahıs tarafından izlenen meşru menfaatler;

e) kişisel verilerin alıcıları veya alıcı kategorileri;

f) Uygulanabilir olduğunda, veri sorumlusunun kişisel verileri üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarma niyeti ve uygunluk konusunda bir Komisyon kararının varlığı veya yokluğu veya 46 veya 47 veya 49. maddelerde atıfta bulunulan aktarımlarda (1) (1) ikinci alt paragraf, uygun veya uygun garantilere ve eğer mevcutsa, bunların bir kopyasını elde etme yollarına atıfta bulunur.

2. Kişisel veriler elde edildiğinde, 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör, veri sahibine adil ve şeffaf işlemeyi sağlamak için gerekli olan aşağıdaki ek bilgileri sağlar:

a) Kişisel verilerin saklanacağı süre veya bunun mümkün olmaması halinde bu sürenin belirlenmesinde kullanılan kriterler;

b) Veri sahibine ilişkin kişisel verilere ilişkin olarak veri sorumlusundan talepte bulunma, bunlara erişim, düzeltme veya silme veya işlemenin kısıtlanması veya işlenmesine karşı çıkma hakkının yanı sıra veri taşınabilirliği hakkının mevcudiyeti;

c) işlemenin Madde 6 (1) (a) veya Madde 9 (2) (a)’ya dayandığı durumlarda, ilgili kişi üzerinde gerçekleştirilen işlemenin yasallığına halel gelmeksizin, herhangi bir zamanda onayı geri çekme hakkının varlığı; geri çekilmeden önceki rızanın temeli;

d) bir denetim makamına şikayette bulunma hakkı;

e) Kişisel verilerin sağlanmasının yasal veya sözleşmeye dayalı bir zorunluluk mu yoksa bir sözleşmenin akdedilmesi için gerekli bir zorunluluk mu olduğu ve ayrıca veri sahibinin bu tür kişisel verileri sağlamak zorunda olup olmadığı ve uygunsuzluğun olası sonuçları nelerdir? bu yükümlülük;

f) Madde 22 (1) ve (4)’te atıfta bulunulan profil çıkarmayı içeren otomatik bir karar verme sürecinin mevcudiyetinin yanı sıra, en azından bu durumlarda, kullanılan mantık ve bunların önemi ve beklenen sonuçları hakkında ilgili bilgiler veri konusu için bu tür işleme.

3. Kontrolör, kişisel verileri toplandıkları amaç dışında bir amaç için daha fazla işlemeyi planlıyorsa, kontrolör, bu tür bir sonraki işlemeden önce veri sahibine söz konusu ikincil amaç hakkında bilgi ve herhangi bir ek bilgi sağlayacaktır. 2. paragraf.

4. 1, 2 ve 3 numaralı paragraflar, ilgili kişinin bu bilgilere zaten sahip olduğu durumlarda ve ölçüde geçerli olmayacaktır.

Madde 14: Kişisel verilerin ilgili kişiden elde edilmemiş olması durumunda verilecek bilgiler

(1) Veri sahibinden kişisel veriler elde edilmemişse, kontrolör veri sahibine aşağıdaki bilgileri sağlar: a) kontrolörün ve uygun olduğu hallerde temsilcisinin kimliği ve iletişim bilgileri;

b) duruma göre veri koruma görevlisinin iletişim bilgileri;

c) kişisel verilerin işlenme amaçları ve ayrıca işlemenin yasal dayanağı;

d) ilgili kişisel veri kategorileri;

e) duruma göre kişisel verilerin alıcıları veya alıcı kategorileri;

f) Uygulanabilir olduğunda, veri sorumlusunun kişisel verileri üçüncü bir ülkedeki veya uluslararası bir kuruluştaki bir alıcıya aktarma niyeti ve uygunluğa ilişkin bir Komisyon kararının varlığı veya yokluğu veya 46. maddede atıfta bulunulan aktarımlarda veya 47 veya 49 (1) maddesinin ikinci alt paragrafında, uygun veya uygun teminatlara ve eğer mevcutsa, bunların bir kopyasını elde etme yollarına atıfta bulunulur.

2. 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör, veri sahibine ilişkin olarak adil ve şeffaf işlemeyi sağlamak için gerekli olan aşağıdaki bilgileri veri sahibine sağlar:

a) Kişisel verilerin saklanacağı süre veya bunun mümkün olmaması halinde bu sürenin belirlenmesinde kullanılan kriterler;

b) işlemenin Madde 6 (1) (f) uyarınca gerçekleştirilmesi durumunda, kontrolör veya üçüncü bir şahıs tarafından izlenen meşru menfaatler;

c) veri sahibine ilişkin kişisel veriler, bunlara erişim, bunların düzeltilmesi veya silinmesi veya işlenmesinin kısıtlanması ile ilgili olarak kontrolörden talep etme hakkının varlığı ve işlemeye karşı çıkma hakkının yanı sıra veri taşınabilirliği hakkının varlığı ;

d) işlemenin Madde 6 (1) (a) veya Madde 9 (2) (a)’ya dayandığı durumlarda, üzerinde gerçekleştirilen işlemenin yasallığına halel gelmeksizin, herhangi bir zamanda onayı geri çekme hakkının varlığı; geri çekilmeden önceki rızanın temeli;

e) bir denetim makamına şikayette bulunma hakkı;

f) kişisel verilerin geldiği kaynak ve varsa kamuya açık kaynaklardan geliyorsa;

g) Madde 22 (1) ve (4)’te atıfta bulunulan profil çıkarma dahil otomatik bir karar verme sürecinin varlığı ve en azından bu durumlarda kullanılan mantık ve önemi ve beklenen sonuçları hakkında ilgili bilgiler veri konusu için bu tür işleme.

3. Kontrolör, 1. ve 2. paragraflarda atıfta bulunulan bilgileri, kişisel verilerin elde edilmesinden sonra makul bir süre içinde, ancak işlendiği özel koşulları dikkate alarak bir ayı geçmeyecek şekilde sağlar.

b) kişisel veriler, ilgili kişiyle iletişim için kullanılacaksa, en geç ilgili veri sahibiyle ilk iletişimin yapıldığı tarihte; veya

c) Kişisel verilerin başka bir alıcıya açıklanması amaçlanıyorsa, en geç ilk açıklandığı tarihte.

4. Kontrolör, kişisel verileri elde edildikleri amaç dışında bir amaç için daha fazla işlemeyi planlıyorsa, kontrolör, bu tür bir sonraki işlemeden önce veri sahibine söz konusu ikincil amaç hakkında bilgi ve herhangi bir ek bilgi sağlayacaktır. 2. paragraf.

5. 1’den 4’e kadar olan paragraflar aşağıdaki durumlarda ve ölçüde uygulanmaz:

a) ilgili kişinin bilgiye zaten sahip olması;

b) bu ​​tür bilgilerin sağlanmasının imkansız olduğu ortaya çıkar veya özellikle, sağlanan koşullara ve garantilere tabi olarak, özellikle kamu yararına arşivleme amacıyla, bilimsel veya tarihsel araştırma amaçlarıyla veya istatistiksel amaçlarla işlenmesi durumunda, orantısız çabalar gerektirecektir. Madde 89 (1)’de veya bu Maddenin 1. paragrafında atıfta bulunulan yükümlülüğün, bu tür işleme amaçlarına ulaşılmasını imkansız kılacağı veya ciddi şekilde bozacağı ölçüde. Bu gibi durumlarda, kontrolör uygun önlemleri alacaktır. bilgilerin kamuya açık hale getirilmesi de dahil olmak üzere veri sahibinin haklarını, özgürlüklerini ve meşru menfaatlerini korumak;

c) verilerin elde edilmesi veya ifşa edilmesi, kontrolörün tabi olduğu ve veri sahibinin meşru menfaatlerini korumak için uygun önlemleri sağlayan Birlik veya ulusal hukuk tarafından açıkça öngörülmüştür; veya d) Kişisel verilerin, gizliliği korumaya yönelik yasal bir yükümlülük de dahil olmak üzere, Birlik veya ulusal yasalar tarafından yönetilen mesleki sır yasal yükümlülüğü nedeniyle gizli kalması gerektiği durumlarda.

Madde 15: Veri sahibinin erişim hakkı

1. Veri sahibi, kendisiyle ilgili kişisel verilerin işlenip işlenmediğini kontrolörden teyit alma ve işleniyorsa bu verilere ve aşağıdaki bilgilere erişim hakkına sahip olacaktır:

a) işlemenin amaçları;

b) ilgili kişisel veri kategorileri;

c) kişisel verilerin ifşa edildiği veya ifşa edileceği alıcılar veya alıcı kategorileri, özellikle üçüncü ülkelerden veya uluslararası kuruluşlardan alıcılar;

d) mümkünse, kişisel verilerin saklanmasının beklendiği süre veya bu mümkün değilse bu süreyi oluşturmak için kullanılan kriterler;

e) İşletmeciden kişisel verileri düzeltmesini veya silmesini talep etme veya veri sahibine ilişkin kişisel verilerin işlenmesini kısıtlama veya işlemeye karşı çıkma hakkının varlığı;

f) bir denetim makamına şikayette bulunma hakkı;

g) Kişisel verilerin ilgili kişiden toplanmadığı durumlarda, bunların kaynağına ilişkin mevcut bilgiler;

h) Madde 22 (1) ve (4)’te atıfta bulunulan profil çıkarma dahil otomatik bir karar verme sürecinin varlığı ve ayrıca en azından bu durumlarda kullanılan mantık ve bunların önemi ve beklenen sonuçları hakkında ilgili bilgiler veri konusu için bu tür işleme.

2. Kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarıldığı durumlarda, veri sahibinin aktarımla ilgili 46. Madde kapsamındaki uygun güvenceler hakkında bilgilendirilme hakkı olacaktır.

(3) İşletmeci, işleme konu olan kişisel verilerin bir kopyasını sağlar. Veri sahibi tarafından talep edilen diğer kopyalar için işletmeci, idari maliyetlere dayalı olarak makul bir ücret talep edebilir. Veri sahibi başvuruyu elektronik formatta yaparsa ve veri sahibi başka bir format talep etmedikçe, bilgi yaygın olarak kullanılan elektronik formatta sağlanır.

4. 3. paragrafta atıfta bulunulan bir kopya edinme hakkı, başkalarının hak ve özgürlüklerine halel getirmeyecektir.

Bölüm 3: Düzeltme ve silme

Madde 16: Düzeltme hakkı

Veri sahibinin kendisi ile ilgili doğru olmayan kişisel verilerin düzeltilmesini herhangi bir gecikme olmaksızın kontrolörden talep etme hakkı vardır. Verilerin işlenme amaçları dikkate alınarak, veri sahibi, ek bir beyanda bulunmak da dahil olmak üzere, eksik olan kişisel verilerin tamamlanmasını alma hakkına sahiptir.

Madde 17: Verilerin silinmesi hakkı (“unutulma hakkı”)

(1) Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikme olmaksızın silinmesini kontrolörden talep etme hakkı vardır ve aşağıdaki sebeplerden birinin geçerli olması halinde kontrolörün kişisel verileri herhangi bir gecikme olmaksızın silme yükümlülüğü vardır:

a) kişisel verilerin toplanma veya işlenme amaçları için artık gerekli olmaması;

(b) veri sahibi, Madde 6 (1) (a) veya Madde 9 (2) (a) uyarınca işlemenin temel aldığı onayı geri çeker ve işleme için başka bir yasal dayanak yoktur;

(c) veri sahibinin Madde 21 (1) uyarınca işlemeye karşı çıkması ve işleme ile ilgili olarak geçerli hiçbir meşru neden bulunmaması veya veri sahibinin Madde 21 (2) uyarınca işlemeye karşı çıkması;

d) kişisel veriler yasa dışı olarak işlenmişse;

e) kişisel veriler, denetleyicinin tabi olduğu Birlik veya ulusal yasalar kapsamında denetleyiciye düşen yasal bir yükümlülüğe uymak için silinmelidir;

f) kişisel veriler, Madde 8 (1)’de atıfta bulunulan bilgi toplumu hizmetlerinin sağlanmasıyla bağlantılı olarak toplanmıştır.

2. Kontrolör, kişisel verilerini kamuya açıklamışsa ve 1. paragraf uyarınca bunları silmesi gerekiyorsa, kontrolör, mevcut teknolojiyi ve uygulama maliyetini dikkate alarak, verileri işleyen operatörleri bilgilendirmek için teknik önlemler de dahil olmak üzere makul önlemleri alacaktır. veri sahibinin bu operatörler tarafından bu verilere yönelik herhangi bir bağlantının veya bu tür kişisel verilerin herhangi bir kopyasının veya çoğaltılmasının silinmesini talep ettiği kişisel veriler.

3. Paragraf 1 ve 2a, işlemenin gerekli olduğu durumlarda uygulanmaz:

a) İfade özgürlüğü ve bilgi edinme hakkının kullanılması için;

b) Kontrolör için geçerli olan Birlik hukuku veya ulusal hukuk uyarınca yasal bir işleme yükümlülüğüne uygunluk veya kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolörün sahip olduğu resmi yetkinin uygulanması için;

c) Madde 9 (2) (h) ve (i) ve Madde 9 (3) uyarınca halk sağlığı alanındaki kamu yararı nedenleriyle;

d) 89 (1) maddesi uyarınca kamu yararına arşivleme amacıyla, bilimsel veya tarihi araştırma amacıyla veya istatistiksel amaçlar için, 1. paragrafta atıfta bulunulan hakkın imkansız kılacağı ölçüde veya bu işlemenin hedeflerine ulaşılmasını ciddi şekilde etkilemek; veya

e) Mahkemede bir hakkı tespit etmek, kullanmak veya savunmak için.

Madde 18: İşlemeyi kısıtlama hakkı

1. Veri sahibi, aşağıdaki durumlardan birinin geçerli olduğu durumlarda, kontrolörden işleme konusunda bir kısıtlama talep etme hakkına sahip olacaktır:

a) veri sahibinin verilerin doğruluğunu kontrolörün doğrulamasına izin veren bir süre boyunca verilerin doğruluğuna itiraz etmesi;

b) işlemenin yasa dışı olması ve veri sahibinin kişisel verilerin silinmesine karşı çıkması ve karşılığında kullanımlarının kısıtlanmasını talep etmesi;

c) kontrolörün işleme amacıyla kişisel verilere artık ihtiyacı olmaması, ancak veri sahibinin mahkemede bir hakkın tesisi, kullanılması veya savunması için bunları talep etmesi; veya

d) denetleyicinin meşru haklarının veri öznesinin haklarına üstün gelip gelmediğinin doğrulandığı süre boyunca, veri sahibi Madde 21 (1) uyarınca işlemeye itiraz etti.

2. 1. paragraf uyarınca işlemenin sınırlandırıldığı durumlarda, bu tür kişisel veriler, saklama durumu dışında, yalnızca ilgili kişinin rızası ile veya mahkemede bir hakkın tesisi, kullanılması veya savunulması için veya Başka bir gerçek veya tüzel kişinin haklarının korunması veya Birlik veya bir Üye Devlette kamu yararının önüne geçen nedenlerle.

3. 1. paragraf uyarınca bir işleme kısıtlaması elde etmiş olan bir veri sahibi, işleme kısıtlaması kaldırılmadan önce kontrolör tarafından bilgilendirilecektir.

Madde 19: Kişisel verilerin düzeltilmesi veya silinmesi veya işlemenin kısıtlanması ile ilgili bildirim yükümlülüğü

Kontrolör, kişisel verilerin ifşa edildiği her bir alıcıyı, imkansız olmadığı veya orantısız olduğu durumlar hariç, 16. Madde, 17. Madde (1) ve 18. Madde uyarınca gerçekleştirilen kişisel verilerin düzeltilmesi veya silinmesi veya işlemenin kısıtlanması konusunda bilgilendirecektir. çaba göstermek. Operatör, veri sahibinin talep etmesi halinde bu alıcıların veri öznesini bilgilendirecektir.

Madde 20: Veri taşınabilirliği hakkı

1. Veri sahibinin kendisi ile ilgili olarak kontrolöre sağladığı kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve otomatik olarak okunabilir bir formatta alma ve bu verileri başka bir operatöre iletme hakkına sahip olacaktır, Kişisel verilerin sağlandığı operatörden herhangi bir engelleme olmaksızın, eğer:

(a) işleme, Madde 6 (1) (a) veya Madde 9 (2) (a) uyarınca rızaya veya Madde 6 (1) (b) uyarınca bir sözleşmeye dayanır; ve

b) işleme otomatik yollarla gerçekleştirilir.

2. 1. paragraf uyarınca veri taşınabilirliği hakkını kullanırken, veri sahibi, teknik olarak mümkün olduğu durumlarda kişisel verileri bir kontrolörden diğerine doğrudan ilettirme hakkına sahip olacaktır.

3. Bu maddenin 1. paragrafında atıfta bulunulan hakkın kullanılması, 17. maddeye halel getirmez. Bu hak, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi için gerekli olan veya resmi yetkinin kullanılması için gerekli işlemlere uygulanmaz. hangi operatör yetkilidir.

4. 1. paragrafta atıfta bulunulan hak, başkalarının hak ve özgürlüklerine halel getirmeyecektir.

4. Bölüm: İtiraz Hakkı ve Otomatik Bireysel Karar Verme

Madde 21: İtiraz hakkı

1. Veri sahibi, herhangi bir zamanda, kendi özel durumuna ilişkin gerekçelerle, Madde 6 (1) (e) veya (f) veya Madde 6 (1) uyarınca işlemeye itiraz etme hakkına sahiptir. 1) kişisel veriler bu hükümlere dayalı profillerin oluşturulması da dahil olmak üzere onunla ilgili. Kontrolör, işlemeyi haklı çıkaran ve veri sahibinin çıkarları, hakları ve özgürlüklerini aşan meşru ve zorlayıcı nedenleri olduğunu veya amacın mahkemede bir hakkı tesis etmek, kullanmak veya savunmak olduğunu kanıtlamadıkça, kişisel verileri artık işlemeyecektir. .

2. Kişisel verilerin işlenmesinin doğrudan pazarlama amaçlı olduğu durumlarda, ilgili kişi, profillerin oluşturulması da dahil olmak üzere, kendisiyle ilgili kişisel verilerin işlenmesine, ilgili olduğu ölçüde, istediği zaman itiraz etme hakkına sahip olacaktır. bu doğrudan pazarlamaya.

(3) İlgili kişinin doğrudan pazarlama amacıyla işlenmesine karşı çıkması halinde, kişisel veriler artık bu amaçla işlenmez.

4. En geç veri sahibi ile ilk iletişime geçildiğinde, 1. ve 2. fıkralarda atıfta bulunulan hak, veri sahibinin dikkatine açıkça sunulur ve diğer bilgilerden açık ve ayrı olarak açıklanır.

5. Bilgi toplumu hizmetlerinin kullanımı bağlamında ve 2002/58/EC sayılı Direktife bakılmaksızın, veri sahibi teknik şartnameleri kullanarak otomatik yollarla itiraz hakkını kullanabilir.

6. Kişisel verilerin 89 (1) maddesi uyarınca bilimsel veya tarihsel araştırma amaçlarıyla veya istatistiksel amaçlarla işlendiği durumlarda, veri sahibi, kendi özel durumuyla ilgili nedenlerle, verilerin işlenmesine karşı çıkma hakkına sahip olacaktır. Kamu yararı nedeniyle bir görevin yerine getirilmesi için işlenmesi gerekli olmadığı sürece, kendisiyle ilgili kişisel verilerin işlenmesi.

Madde 22: Profil oluşturma dahil, otomatikleştirilmiş bireysel karar verme süreci

1. Veri sahibi, profil çıkarma da dahil olmak üzere, veri sahibi hakkında hukuki sonuçlar doğuracak veya onu benzer şekilde önemli ölçüde etkileyecek, yalnızca otomatik işlemeye dayalı bir karara tabi olmama hakkına sahiptir.

2. Paragraf 1, kararın aşağıdaki durumlarda uygulanmaz:

a) veri sahibi ile veri kontrolörü arasında bir sözleşmenin akdedilmesi veya ifası için gerekli olması;

b) kontrolör için geçerli olan ve veri sahibinin haklarını, özgürlüklerini ve meşru menfaatlerini korumak için uygun önlemleri sağlayan Birlik veya ulusal hukuk tarafından yetkilendirilmişse; veya

c) Veri sahibinin açık rızasına dayanması.

3. 2. paragrafın (a) ve (c) bentlerinde atıfta bulunulan durumlarda, veri denetleyicisi, veri sahibinin haklarını, özgürlüklerini ve meşru menfaatlerini, en azından bir başkasından insan müdahalesi alma hakkını korumak için uygun önlemleri uygular. veri öznesi Operatörün bakış açısını ifade etmesi ve karara itiraz etmesi.

4. 2. paragrafta atıfta bulunulan kararlar, Madde 9 (2) (a) veya (g) uygulanmadıkça ve uygun önlemler alınmadıkça, Madde 9 (1)’de atıfta bulunulan özel kişisel veri kategorilerine dayanmaz. veri sahibinin haklarını, özgürlüklerini ve meşru menfaatlerini korumak için yürürlüğe konmuştur.