Terminoloji

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Ad, soyad, TC kimlik numarası, e-posta adresi, IP adresi, konum verileri gibi bilgiler kişisel veri kapsamındadır.

Örnek: Ad, soyad, TC kimlik numarası, e-posta adresi, IP adresi

Diğer adları: Şahsi Veri, Bireysel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek-vakıf-sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik verileri ifade eder.

Diğer adları: Hassas Veri, Sensitive Data

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, sağlık ve cinsel hayatına ilişkin verileri.

Örnek: Sağlık raporu, biyometrik veri, ceza mahkumiyeti kaydı

Diğer adları: hassas veri, sensitive data

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Örnek: Şirket, kurum, dernek, vakıf

Diğer adları: Kontrolör

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Örnek: Bulut hizmeti sağlayıcısı, bordro şirketi, pazarlama ajansı

Diğer adları: İşleyici

Kişisel verisi işlenen gerçek kişi. KVKK kapsamında sadece gerçek kişiler ilgili kişi olabilir, tüzel kişiler kapsam dışındadır.

Diğer adları: Veri Sahibi

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Açık rıza, sessiz kalma veya örtülü kabul ile elde edilemez.

Örnek: Onay kutusu işaretleme, yazılı beyan, elektronik imza

Diğer adları: Onay, Muvafakat

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Diğer adları: Veri İşleme

Veri Sorumluları Sicil Bilgi Sistemi. Türkiye'de veri sorumlularının Kişisel Verileri Koruma Kurumu'na kayıt olmak zorunda olduğu resmi sicil.

Örnek: Şirketlerin VERBİS'e kayıt yaptırması

Diğer adları: Veri Sorumluları Sicili

Veri sorumlusunun veya üçüncü kişilerin meşru menfaatlerinin korunması için veri işlemenin zorunlu olması şartıyla, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri işleme.

Diğer adları: Yasal Çıkar

İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla veri işleme.

Diğer adları: Sözleşme Gereği

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması.

Diğer adları: Hukuki Yükümlülük

Kamu yararının gerektirdiği durumlarda veya veri sorumlusuna verilen bir yetkinin kullanılması amacıyla veri işleme.

Diğer adları: Kamusal Görev

İlgili kişinin, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme hakkı.

Diğer adları: Erişim Hakkı

İlgili kişinin, eksik veya yanlış işlenmiş kişisel verilerinin düzeltilmesini talep etme hakkı.

Diğer adları: Güncelleme Hakkı

İlgili kişinin, kişisel verilerinin silinmesini veya yok edilmesini talep etme hakkı. GDPR'da 'Unutulma Hakkı' olarak da bilinir.

Diğer adları: Unutulma Hakkı, Right to be Forgotten

İlgili kişinin, kişisel verilerinin işlenmesine itiraz etme hakkı. Özellikle doğrudan pazarlama amaçlı işlemelere karşı kullanılabilir.

Diğer adları: Karşı Çıkma Hakkı

İlgili kişinin, kendisiyle ilgili verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma ve bu verileri başka bir veri sorumlusuna iletme hakkı.

Diğer adları: Taşınabilirlik

İlgili kişi hakkında hukuki sonuç doğuran veya önemli ölçüde etkileyen, yalnızca otomatik işlemeye dayanan kararlara tabi tutulmama hakkı.

Diğer adları: Profilleme

Veri sorumlusunun, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun kimliği, veri işleme amacı, verilerin kimlere aktarılabileceği, veri toplama yöntemi, hukuki sebebi ve hakları konusunda bilgi vermesi yükümlülüğü.

Diğer adları: Bilgilendirme Yükümlülüğü

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınması.

Diğer adları: Bilgi Güvenliği

Kişisel veri ihlalinin öğrenilmesinden itibaren en geç 72 saat içinde yetkili otoriteye, ilgili kişilerin hak ve özgürlüklerine yüksek risk teşkil ediyorsa ilgili kişilere de bildirim yapılması yükümlülüğü.

Diğer adları: İhlal Bildirimi

Veri sorumlusu ve veri işleyenin, gerçekleştirdiği işleme faaliyetlerine ilişkin kayıtları tutma yükümlülüğü.

Diğer adları: İşleme Faaliyetleri Kaydı

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Diğer adları: Kimliksizleştirme

Kişisel verilerin, ek bilgiler kullanılmaksızın belirli bir ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi. Anonimleştirmeden farklı olarak, ek bilgilerle kimlik tespit edilebilir.

Diğer adları: Pseudonymization, Rumuz Kullanma

Verilerin yetkisiz erişime karşı korunması amacıyla matematiksel algoritmalar kullanılarak okunamaz hale getirilmesi.

Diğer adları: Kriptolama

Kişisel veri işleme süreçlerinin başından itibaren gizlilik ilkelerinin dikkate alınarak tasarlanması yaklaşımı.

Diğer adları: Mahremiyet Odaklı Tasarım

Bir ürün veya hizmetin varsayılan ayarlarının en yüksek gizlilik düzeyine göre yapılandırılması ilkesi.

Diğer adları: Default Privacy

Kişisel verilerin aktarılacağı ülkenin yeterli koruma sağladığına dair yetkili otorite tarafından verilen karar.

Diğer adları: Yeterli Koruma Kararı

Yeterlilik kararı bulunmayan ülkelere kişisel veri aktarımı için kullanılan, yetkili otorite tarafından onaylanmış standart sözleşme hükümleri.

Diğer adları: Model Sözleşme

Çok uluslu şirketlerin grup içi uluslararası veri aktarımları için oluşturdukları ve yetkili otorite tarafından onaylanan dahili kurallar.

Diğer adları: BCR

Kişisel verilerin yurt dışındaki gerçek kişilere veya tüzel kişilere aktarılması. KVKK'ya göre açık rıza veya yeterli koruma koşulu gerektirir.

Diğer adları: Uluslararası Aktarım

Türkiye'de kişisel verilerin korunması alanında düzenleme ve denetim yapan bağımsız idari otorite.

Diğer adları: KVKK Kurumu, Kurum

Kişisel Verileri Koruma Kurumu'nun karar organı. Kararlar, düzenlemeler ve idari yaptırımlar konusunda yetkilidir.

Diğer adları: Kurul

Üye devletlerde GDPR uygulamasını izlemek ve denetlemekle görevli bağımsız kamu otoritesi.

Diğer adları: Veri Koruma Otoritesi, DPA

AB üye devletlerinin veri koruma otoritelerinden oluşan, GDPR'ın tutarlı uygulanmasını sağlayan bağımsız organ.

Diğer adları: EDPB

Veri koruma mevzuatına aykırılık halinde yetkili otorite tarafından verilen mali yaptırım. GDPR'da 20 milyon Euro veya küresel cironun %4'üne kadar ceza verilebilir.

Diğer adları: Para Cezası

Veri sorumlusu veya veri işleyende veri koruma konularında danışmanlık yapan ve mevzuata uyumu izleyen uzman kişi.

Diğer adları: DPO, Kişisel Verileri Koruma Sorumlusu

Yüksek risk taşıyan veri işleme faaliyetleri öncesinde yapılan, risklerin belirlenmesi ve azaltılmasına yönelik sistematik değerlendirme.

Diğer adları: DPIA, Etki Değerlendirmesi

Kişisel verilerin işleme amacıyla sınırlı, ilgili ve gerekli olanla sınırlı tutulması ilkesi.

Diğer adları: En Az Veri İlkesi

Kişisel verilerin belirli, açık ve meşru amaçlar için toplanması ve bu amaçlarla bağdaşmayan şekilde işlenmemesi ilkesi.

Diğer adları: Amaçla Sınırlılık

Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama ilkesi. Yanlış verilerin silinmesi veya düzeltilmesi gerekir.

Diğer adları: Doğruluk İlkesi

Kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi.

Diğer adları: Saklama Sınırlaması

Veri sorumlusunun veri koruma ilkelerine uyumu sağlamaktan sorumlu olması ve bu uyumu gösterebilme yükümlülüğü.

Diğer adları: Sorumluluk İlkesi

Çocuklara ait kişisel verilerin işlenmesi özel koruma gerektirir. GDPR'da bilgi toplumu hizmetleri için 16 yaş sınırı belirlenmiştir.

Diğer adları: Çocuk Verileri

Web sitelerinin kullanıcı cihazına yerleştirdiği küçük metin dosyaları. Kişisel veri içerebilir ve çerez politikası ile açık rıza gerektirebilir.

Diğer adları: Cookie, Web Çerezi

İletilen, saklanan veya başka şekilde işlenen kişisel verilerin kazara veya yasadışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz açıklanması veya erişilmesi.

Diğer adları: Veri İhlali, Data Breach

Veri sorumlusu, veri işleyen veya ilgili kişi dışında kalan ve veri sorumlusu veya veri işleyenin doğrudan yetkisi altında kişisel verileri işleme yetkisi bulunan kişiler hariç gerçek veya tüzel kişi.

Diğer adları: Dış Taraf

Veri sorumlusu ile veri işleyen arasında yapılan, veri işleme şartlarını ve güvenlik önlemlerini belirleyen sözleşme.

Diğer adları: DPA, Veri İşleyici Sözleşmesi

İlgili kişilere kişisel verilerinin nasıl işlendiğini açıklayan belge. Aydınlatma yükümlülüğünün yerine getirilmesinde kullanılır.

Diğer adları: Privacy Policy, Gizlilik Politikası

İlgili kişinin verdiği açık rızayı herhangi bir zamanda geri çekme hakkı. Geri çekme, rızaya dayanan önceki işlemelerin hukuka uygunluğunu etkilemez.

Diğer adları: Onay İptali

İlgili kişinin talebi üzerine kişisel verilerin yalnızca saklanması ve başka işlemlere tabi tutulmaması.

Diğer adları: İşleme Kısıtlaması