Konu 16- Kişisel Verilerin Korunması

  • Kişisel Veri

Kişisel veri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 3/d uyarınca “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir. 

Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, 

  • verinin bir gerçek kişiye ilişkin olması ve 
  • bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Bir kişinin “kimliğinin belirli veya belirlenebilir” olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. 

Kişisel veriler, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyabileceği gibi, kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm verileri kapsamaktadır. 

Kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi veriler kişisel veridir. Bu anlamda, kişisel verinin, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir nitelik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayacak nitelikte olması gerekir. 

(KVKK Rehberi: https://www.kvkk.gov.tr/Icerik/4187/6698-Sayili-Kanun’da-Yer-Alan-Temel-Kavramlar)

  • Ki̇şi̇sel Veri̇leri̇n Tari̇hi̇ Geli̇şi̇mi̇

Tarih

Hukuki Düzenleme

3 Eylül 1953

İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi

23 Eylül 1980

OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeler

28 Ocak 1981

108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

14 Aralık 1990

BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri

25 Ekim 1998

95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi

7 Nisan 2016

Kişisel Verilerin Korunması Kanunu

14 Nisan 2016

2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

  • KVKK’da Yer Alan Tanımlar
  • Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
  • Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  • Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
  • Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder
  • Kişisel Verilerin İşlenmesinde Geçerli Olan İlkeler

KVKK Madde 4 uyarınca,

(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti

“Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

Nitekim Danıştayın 2017/816 Esas sayılı kararında, davalı idarenin toptancı hali biriminde görev yapan personelin mesai takibinin sağlanması amacıyla başlatılan yüz tarama sistemi uygulamasına son verilmesi talebinin ilgili İdare Mahkemesinde reddedilmesi işleminin iptali istemiyle açılan davada, davalı idarenin tüm birimlerinin mesai takibinde anılan yöntemin kullanılmadığı, uygulamanın gerçekleştirildiği birimin konumu ve vardiyalı çalışma sistemi sebebiyle personelin kontrol ve denetiminde güçlük yaşanması karşısında bahse konu uygulamaya geçildiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilemeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararı hukuka uygun bulunmadığı,

Yine Danıştayın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarında da “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği,

Benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesini ihlal ettiğine hükmettiği,

Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği karar verilmiştir.”

  • Kişisel Verilerin İşlenme Şartları  (Hukuki Sebepler)

Kişisel verilerin işlenmesi, KVKK 3. maddesinde tanımlanmıştır. Buna göre; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi” olarak kabul edilmiştir.

Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür:

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.

Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. 

Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir. Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.(https://www.kvkk.gov.tr/Icerik/2050/Kisisel-Veriler)

Kişisel verilerin işlenme şartları her bir kişisel veri işleme faaliyetinin amacının Kanun bakımından hukuki dayanağını oluşturmaktadır. Kişisel veri işleme faaliyetinin amacında birden fazla sayıda kişisel veri işleme şartı bulunabilir. Örneğin, maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesinin hukuki dayanağı, kişisel veri işleme şartlarından sözleşmenin ifası ve veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesidir. (KVKK Rehberi: https://www.kvkk.gov.tr/Icerik/4190/Kisisel-Verilerin-Islenme-Sartlari)

  • Özel Nitelikli Kişisel Veriler (Hukuki Sebepler)

Özel nitelikli veriler KVKK 6. maddede sınırlı sayıda olarak sayılmıştır:

  • ırkı, etnik kökeni,
  •  siyasi düşüncesi,
  • felsefi inancı, dini, mezhebi veya diğer inançları, 
  • kılık ve kıyafeti, 
  • dernek, vakıf ya da sendika üyeliği, 
  • sağlığı, cinsel hayatı, 
  • ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile 
  • biyometrik ve genetik veriler
  • Özel Nitelikli Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür;

“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”

  • Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu Kararı

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  1. a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
  2. b) Gizlilik sözleşmelerinin yapılması,
  3. c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

  1. d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

  1. a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  2. b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
  3. c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

  1. d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  2. e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

  1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  2. b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa,

  1. a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  2. b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  3. c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

  • Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonimleştirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi, KVKK’nın 7. maddesinde ve KVKK’ya dayanılarak çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelikte düzenlenmiştir. Bu yönetmeliğe göre, 

“Kişisel verilerin silinmesi”, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (Örnek; veri tabanından erişim yetkisini kaldırma)

“Kişisel verilerin yok edilmesi”, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (Örnek: Diskleri yakma, parçalama)

“Kişisel verilerin anonim hale getirilmesi”, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

KVKK 7. maddesi kişisel verilerin silinmesini, yok edilmesini ve imhasını düzenlemiştir:

“(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”

  • Kişisel Verilerin Aktarılması
  • Kişisel verilerin Yurt İçinde Aktarılması

KVKK Madde 8 uyarınca; 

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

  1. a) 5 inci maddenin ikinci fıkrasında,
  2. b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

  • Kişisel Verilerin Yurtdışına Aktarılması

KVKK Madde 9 uyarınca,

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

  1. a) Yeterli korumanın bulunması,
  2. b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

  • Veri Sorumlusunun Aydınlatma Yükümlülüğü

KVKK Madde 10 uyarınca,

(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. b) Kişisel verilerin hangi amaçla işleneceği,
  3. c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

  1. d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
  • Veri Güvenliğine İlişkin Yükümlülükler

KVKK Madde 12 uyarınca,

(1) Veri sorumlusu;

  1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

  • Veri Sorumluları Siciline Kayıt

KVKK Madde 16 uyarınca, 

(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

  1. a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
  2. b) Kişisel verilerin hangi amaçla işleneceği. 
  3. c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

  1. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
  2. e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
  3. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

  • İlgili Kişinin Hakları

KVKK Madde 3/ç uyarınca,  İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

KVKK Madde 11 uyarınca, 

(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
  2. e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  3. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

  • Başvuru ve Şikayet
  • Veri Sorumlusuna Başvuru

KVKK Madde 13 uyarınca,

(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. 

  • Kurula Şikâyet

(*Kurul: Kişisel Verileri Koruma Kurulu)

https://sikayet.kvkk.gov.tr/ 

KVKK Madde  14 uyarınca,

(1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

  • Yaptırımlar
  • İdari Para Cezaları

EYLEM

YASAL DAYANAK

2023 (Yeniden Değerleme Oranına Göre) İDARİ PARA CEZALARI

Aydınlatma yükümlülüğünü yerine getirmeyenler

KVKK madde 18/1-a

26.852 ₺ – 597.191 ₺

Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler

KVKK madde 18/1-b

89.571 ₺ – 5.971.989 ₺

Kurul tarafından verilen kararları yerine getirmeyenler

KVKK madde 18/1-c

149.285 ₺ – 5.971.989 ₺

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler

KVKK madde 18/1-ç

119.478 ₺ – 5.971.989 ₺

 

  • Türk Ceza Kanunu Kapsamında Cezalar

EYLEM

YASAL DAYANAK

CEZA

Kişisel verileri hukuka aykırı olarak kaydetmek

TCK Article 135/1

Bir yıldan üç yıla kadar hapis cezası

Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek

TCK Article 135/2

Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır.

Kişisel verileri, hukuka aykırı olarak bir başkasına vermek yaymak veya ele geçirmek

TCK Article 136

İki yıldan dört yıla kadar hapis cezası

Bu suçlar; Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenirse

TCK Article 137

Yukarıda verilecek cezalar yarı oranında artırılır.

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi

TCK Article 138/1

Bir yıldan iki yıla kadar hapis cezası

Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması

TCK Article 138/2

Yukarıda Verilecek ceza bir kat artırılır.

  • Yargıtay 12. Ceza Daire’sinin 2019/532 E. ve 2019/10827 K. sayılı kararında;

“…Mağdurun kendi facebook hesabındaki profil resminin, onun başkaları tarafından görülmesini ve bilinmesini istemeyeceği özel yaşam alanına ilişkin bir görüntü olarak kabul edilemeyeceği; ancak, mağdurun kişisel veri niteliğindeki resmini, hukuka uygunluk nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle Ktü 2. El Eşya, Yardımlaşma, Haberleşme ve Duyuru Platformunda yayımlayan sanığın, iddianamede tarif edilen ve yapılan yargılama sonunda sübut bulan eyleminin TCK’nın 136/1. madde ve fıkrasında tanımlanan verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu,…”

  • Yargıtay 12. Ceza Dairesi’nin 2017/12054 E. ve 2018/7023 K. sayılı kararında;

“…sanığın katılanın resmini kullanarak katılan adına sahte facebook hesabı açması şeklinde sübutu kabul edilen eyleminin TCK’nın 136/1. maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu gözetilmeden delillerin takdirinde hataya düşülerek yazılı şekilde dosya kapsamı itibariyle uygulanma imkanı bulunmayan TCK’nın 135/1. maddesinde düzenlenen kişisel verilerin kaydedilmesi suçundan mahkumiyet hükmü kurulması,…” hükmedilmiştir.

  • Avrupa Genel Veri̇ Koruma Tüzüğü (GDPR) 

95/46/EC Sayılı AB Veri Koruma Direktifi, veri güvenliğine karşı yetersiz kalması ve iç hukukta yeterince kendini gösterememesi sebebiyle uygulanamamıştır. Bu sebeple yeni bir veri koruma tüzüğünün oluşturulması gündeme gelmiştir. 

GDPR, Türkçe ismiyle Genel Veri Koruma Tüzüğü, tüm Avrupa Birliği alanındaki bireylerin verilerini ve gizliliğini korumayı amaçlayan bir düzenlemedir. GDPR, 24 Mayıs 2016 tarihinde kabul edilmiştir ve tıpkı KVKK’nın yürürlüğe girmesi gibi, GDPR da 2 senelik geçiş süresinden sonra 25 Mayıs 2018 tarihini uygulamaya başlama tarihi olarak belirlenmiştir.

  • Uygulama Alanı ve Uzayan Kol İlkesi

GDPR; Avrupa Birliği içerisindeki veri sorumlusu veya  veri işleyen kişilere uygulanacağı gibi, Avrupa Birliği içerisindeki veri sahiplerinin kişisel verilerinin işlenmesine de uygulanır. Veri sorumlusunun veya veri işleyenin Avrupa Birliği içerisinde bulunmaması kanunun uygulanmasını engellemez. 

Avrupa Birliği Adalet Divanı, yerel veri koruma yasalarının coğrafi kapsamını Weltimmo C-230/14 kararında kuruluş kavramının geniş uygulanması gerektiğini belirtmiştir.

Bu bağlamda, yoğun bir şekilde Avrupa Birliği üyesi ülkelerin vatandaşlarının verilerini işleyen bir kuruluş, farklı bir ülke hukukuna göre kurulmuş olsa bile, bu kuruluş Avrupa Birliği içerisinde de kurulmuş gibi kabul edilerek değerlendirme yapılacağı belirtilmiştir.

  • Veri Koruma Görevlileri (DPO)

GDPR kapsamında veri koruma görevlileri 37. maddede düzenlenmiştir. Belirli durumlarda, veri sorumluları, veri koruma kurallarına uygun faaliyet göstermesi hususunda, onlara bilgi, tavsiye ve danışmanlık verecek kişiler atayabilir.  Bu kişiler “Veri Koruma Görevlileri” olarak adlandırılır.

GDPR kapsamında aşağıdaki hallerde DPO atanması gerekir:

  • Veri işleme faaliyeti bir kamu otoritesi tarafından yürütülüyor ise,
  • Veri sorumlusu ve veri işleyenin ana faaliyetlerini büyük çapta bireyleri düzenli ve sistemli olarak gözetlemekten oluşuyor ise, 
  • Veri sorumlusu veya veri işleyenin ana faaliyeti büyük ölçüde özel nitelikli kişisel verilerin işlenmesinden oluşuyor ise VKG (DPO) atanması gerekir.

Veri Koruma Görevlilerinin Görevleri

  • Veri sorumlularının yükümlülükleri hususunda bilgilendirilmesi ve onlara tavsiyede bulunulması;
  • GDPR’a, Birlik veya üye devletlerin diğer veri koruma hükümlerine uyumluluğu ve sorumlulukların verilmesi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dahil olmak üzere kontrolör veya işleyicinin kişisel verilerin korunmasına ilişkin politikalarına uyumluluğun izlenmesi;
  • Talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyede bulunulması ve bu değerlendirmenin performansının izlenmesi;
  • Denetim makamıyla işbirliği yapılması 
  • GDPR’da Yer Alan İlkeler

GDPR’da kişisel verilerin işlenmesine yönelik ilkeler Madde 5’te aşağıdaki şekilde belirtilmiştir:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma. 
  2. b) Adillik; İşleme faaliyetine dayanarak yapılan hukuk normlarını adalete uygun olarak düzenlenmiş olmalıdır.
  3. c) Belirli, açık ve meşru amaçlar için işlenme (Amacın sınırlandırılması ilkesi)

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (Veri minimizasyonu ilkesi)

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
  2. e) Veri güvenliği ilkesi,
  3. f) Hesap verebilme zorunluluğu
  4. g) Doğru ve gerektiğinde güncel olma. ilkeleri olup, ilkeler bakımından KVKK ile paraleldir. 

Kvkk Ve Gdpr Arasindaki̇ Farklar Tablosu

KVKK 

GDPR

KVKK, veri operasyonlarını Türkiye’de yürüten tüm gerçek ve tüzel kişileri kapsayan bir kanundur.

GDPR, Avrupa Birliği ve üye devletlerinde yaşayan bireylerin kişisel verilerin işleme alınmasıyla ilgili yükümlülük ve yaptırımları içeren bir kanundur.

Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel verilerin, işleme amacı için gerekli olandan daha uzun süre tutulmaması gerekmektedir.

Türkiye’de belirli veri sorumlularının kamuya açık bir sicil olan VERBİS’e kayıt yükümlülükleri bulunmaktadır.

GDPR’da böyle bir düzenleme yer almamaktadır.

KVKK’da veri sorumlularına irtibat kişisi atama yükümlülüğü getirilmiştir, veri koruma görevlisi (DPO) atama yükümlülüğü bulunmamaktadır.

GDPR’ın 37. Maddesi uyarınca belirli veri sorumlularına veri koruma görevlisi (DPO) atama yükümlülüğü getirilmiştir.

KVKK’da veri sorumlularının yükümlülüklerine uymamaları durumunda öngörülen en yüksek para cezası 5.971.989 ₺ olarak belirlenmiştir.

GDPR’da idari para cezalar yıllık küresel cironun %2-4’üne kadar ya da 20 milyon Euroya kadar kesilebilecektir.  Belirli bir sınır getirilmemiştir.

KVKK’da çocuk verileriyle ilgili spesifik olarak bir düzenleme bulunmamaktadır.

GDPR’da 16 yaşından küçük çocukların kişisel verilerinin hukuka uygun olarak işlenmesinin önlenmesi için, çocuk verilerinin işlenmesi çocuk üzerinde velayet hakkı bulunan kişinin rızası veya onayına tabidir.

 

Bu ders notları ve tüm içeriği ile ilgili Fikir ve Sanat Eserleri Kanunu ve ilgili mevzuat hükümleriyle  korunan mali (İşleme, yayma, çoğaltma, temsil,  İşaret, ses ve/veya görüntü nakline yarayan araçlarla umuma iletim hakkı) ve manevi fikri hakların tümü Avukat Öğretim Görevlisi Özge EVCİ ERALP’e aittir. Bu ders notları izinsiz çoğaltılamaz, yayımlanamaz ve izin alınmadan kullanılamaz, internet sitelerinde yayınlanamaz.Özge Evci Eralp 2023-2024