KVKK Hakkında Doğru Bilinen Yanlışlar
Kişisel Verilerin Korunması Hakkı Nedir?
2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine belirtildiği gibi temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Aynı şekilde kişisel verilerin korunmasına ilişkin hak Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edildi.
KVKK Ne Zaman Yürürlüğe Girdi?
Söz konusu olan KVKK kanun metini 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
KVKK Nedir?
KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süredir tasarı halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Bu sayede kişisel verilerin işlenmesinden tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.
Kişisel Verilerin Korunması 6698 Sayılı Kanununun Amacı Nedir?
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.
KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.
Nisan ayında KVKK sitesinde doğru bilinen yanlışlar şeklinde bir PDF paylaşıldı. İlgili linke buradan ulaşabilirsiniz
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA DOĞRU BİLİNEN YANLIŞLAR
1) 6698 sayılı Kişisel Verilerin Korunması Kanununa (6698 sayılı Kanun) göre tüzel kişilerin verileri de korunmakta mıdır?
6698 sayılı Kanun tüzel kişilerin verilerini korumamaktadır.
6698 sayılı Kanunun 2. maddesinde, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı ifade edilmiştir. Buna göre Kanun, kural olarak sadece gerçek kişilerin verilerini koruma kapsamına almış olup verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.
2) Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soyad ve telefon numaraları Kanun kapsamında sayılabilir mi?
Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soyad ve telefon numaraları Kanun kapsamında değildir.
Kişisel veri işlemenin Kanun kapsamında sayılabilmesi için işlenen kişisel verilerin bir veri kayıt sisteminin parçası olması yani belirli bir takım kriterlere göre yapılandırılarak işlenmesi gerekmektedir. Ad, soyad ve telefon numarası gibi veriler bir indeks, fihrist vb. bir veri kayıt sistemi dâhilinde yazılmışsa, söz konusu veri işleme faaliyeti Kanuna tâbi olacaktır.
Manuel yolla ve gelişigüzel bir biçimde bir kâğıt parçası üzerine yazılan kişisel veriler Kanun kapsamında olmayacaktır. Bununla birlikte, bir veri kayıt sisteminin parçası olmadan işlenen kişisel verilerin 6698 sayılı Kanuna tâbi olmaması durumu, bu verilerin keyfi bir biçimde kullanılabilecekleri anlamına gelmemektedir. Zira konusu suç teşkil eden durumlar 5237 sayılı Türk Ceza Kanunu kapsamında ele alınmaktadır.
3) Bir veri kayıt sistemi aracılığıyla işlenen kişisel veriler Kanun kapsamında mıdır?
Bir veri kayıt sistemine bağlı olarak işlenen kişisel veriler, 6698 sayılı Kanun kapsamındadır.
Kanunda “veri kayıt sistemi”; kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde tanımlanmıştır. Dolayısıyla kişisel veriler; fihrist, numara, ad – soyad, alfabe, kategori, sıralama gibi belirli kriterlere göre işleniyorsa Kanun kapsamında olacaktır.
4) Otomatik olmayan yollarla kişisel veri işleyenler Kanundan istisna mıdır?
Kanun, otomatik olmayan yollarla kişisel veri işlenmesini tamamen Kanun kapsamı dışında tutmamaktadır. Otomatik olmayan yolla veri işleme eğer bir veri kayıt sisteminin parçası olarak gerçekleştiriliyorsa bu durumda söz konusu veri işleme faaliyeti de Kanun kapsamında kabul edilmektedir.
Dolayısıyla otomatik olmayan yolla işlenen kişisel veriler, bir veri kayıt sisteminin parçası ise Kanun kapsamında olacaktır.
5) Bilgisayarda bazı kişisel veriler sadece depolama amacıyla dosya halinde tutulmakta ise, bu durumda kişisel veri işlenmiş sayılır mı?
Sadece depolama amacıyla dosya halinde bilgisayarda kişisel verilerin tutulması da kişisel veri işleme kapsamındadır.
6698 sayılı Kanunun 3. maddesinde kişisel verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
Buna göre, kişisel veriler sadece depolama amacıyla dosya halinde tutulsa ve üzerinde başkaca bir işlem yapılmasa bile kişisel verilerin işlenmesi olarak değerlendirilecek ve bu faaliyet de Kanun kapsamında kabul edilecektir.
6) Kişisel Verileri Koruma Kurumu (“Kurum”) bünyesinde vatandaşların kişisel verileri saklanıyor mu?
Kurum bünyesinde, vatandaşların kişisel verileri saklanmamaktadır. Ayrıca Kurumun, Türkiye’de işlenen tüm kişisel verileri kaydetmek ve bunları Kurum içerisinde muhafaza etmek gibi bir yetkisi ve görevi de bulunmamaktadır.
Kişisel veriler, Kanunda belirtilen işleme şartlarının mevcut olması halinde veri sorumluları tarafından işlenmektedir. İşlenen kişisel verilerin kendisi veya bir kopyasının Kuruma iletilmesi gibi bir durum da söz konusu değildir.
7) Veri sorumlusu, Kanun ile verilen görevleri yerine getirmek üzere atanan bir gerçek kişi midir?
Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir.
Kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir.
Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusudur.
8) Bir şirket, veri sorumlusu olarak kimi belirlemelidir?
Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir.
Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.
9) Bir Bakanlık, veri sorumlusu olarak kimi belirlemelidir?
Bir Bakanlığın, veri sorumlusu sıfatını taşıyan kamu kurum ve kuruluşunun veya kamu kurumu niteliğindeki meslek kuruluşunun bir veri sorumlusu belirlemesi durumu söz konusu değildir.
Tüm bu kurum ve kuruluşlarda veri sorumlusu, kurum veya kuruluşun bizzat kendisidir.
10) Bir Bakanlığa bağlı, ilgili ve ilişkili birimler, veri sorumlusu sayılır mı?
Kanunda “veri sorumlusu”; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Bir Bakanlığa bağlı, ilgili ve ilişkili kuruluşlar kişisel veri işleme amaç ve vasıtalarını kendisi belirlemiyorsa ve kişisel verilerin işlendiği veri kayıt sisteminin kurulması ve yönetilmesinden de sorumlu değilse veri sorumlusu sayılmayacaktır. Bu birimlerin işlemekte oldukları tüm kişisel verilerle ilgili yükümlülükler, bağlı oldukları Bakanlık tarafından yerine getirilecektir.
11) Bir şirketler topluluğuna bağlı her bir şirket ayrıca veri sorumlusu sayılır mı?
Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre, veri sorumlusu statüsüne sahip olunup olunmadığını belirleyebilmek için bu üç unsurun varlığına bakmak gerekmektedir.
Bağlı şirketlerin her biri, kişisel veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.
12) Bir şirketin çalışanları veya birimleri veri işleyen midir?
Bir şirketin çalışanları veya alt birimleri “veri işleyen” değildir.
Kanunda “veri işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez.
Örneğin bir şirket, çağrı merkezi hizmetini kendi çalışanları veya birimi ile değil de dışarıdan hizmet alımı yoluyla başka bir firma ile sözleşme yapmak suretiyle karşılamaktadır. Bu durumda şirket veri sorumlusu iken, şirket adına çağrı merkezi hizmeti sunan firma da veri işleyendir. Çağrı merkezi hizmeti veren firma, çağrı merkezini telefonla arayan kişilerin kişisel verilerini kendisi adına değil bu hizmet kapsamında şirket adına işlemekte olup veri işleyen statüsündedir.
13) Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen olabilir mi?
Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen olabilir.
Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Örneğin, bir çağrı merkezi şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen olarak kabul edilecektir. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.
14) İlgili kişi Kanun kapsamındaki haklarına ilişkin olarak veri sorumlusuna mı yoksa veri işleyene mi başvurmalıdır?
Kişisel verisi işlenen ilgili kişi, Kanun kapsamındaki haklarına ilişkin olarak veri sorumlusuna başvurmalıdır.
6698 sayılı Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.
Buna göre veri işleyen, veri sorumlusunun talimatlarını yerine getirdiğinden ilgili kişinin, haklarına ilişkin olarak veri sorumlusuna başvurması gerekmektedir.
15) Bir veri sorumlusu nezdindeki kişisel verilerin doğru ve gerektiğinde güncel olması hususunda yükümlülük kimdedir?
Kişisel verilerin doğru ve gerektiğinde güncel olması hususunda yükümlülük veri sorumlusundadır.
Kanunun 4. maddesinde kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler sayılmış olup bu ilkelerden birisi de “doğru ve gerektiğinde güncel olma” ilkesidir. Bu ilkeye göre veri sorumlusu, ilgili kişinin bilgilerini doğru ve gerektiğinde güncel tutmalıdır.
Veri sorumlusu, söz konusu bilgilerin doğru ve gerektiğinde güncel olmasını sağlayacak uygun iletişim kanallarını da açık tutmalıdır.
Dolayısıyla veri sorumlusunun, kural olarak ilgili kişinin verilerini periyodik olarak güncellemek gibi bir zorunluluğu bulunmamakla birlikte ilgili kişinin temel hak ve özgürlüklerini önemli ölçüde etkileyebilecek veri işleme faaliyetleri bakımından bu bilgilerin doğru ve gerektiğinde güncel olması için veri sorumlusu gereken özeni göstermelidir.
16) Anonim hale getirilmiş bir veri kişisel veri midir?
Anonim hale getirilmiş veriler kişisel veri niteliğini kaybetmektedir.
Kanunda “anonim hale getirme”; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Anonim hale getirilmiş veri, artık herhangi bir kişiyle ilişkili değildir ve o kişiyi belirli veya belirlenebilir kılmaz. Dolayısıyla anonim hale getirilmiş bir veri artık kişisel veri değildir.
17) Kişisel veriler sadece ilgili kişilerden açık rıza alınması halinde mi işlenebilir?
Açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunun 5. ve 6. maddelerinde kişisel veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüş olup bu şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
Buna göre, herhangi bir kişisel veri işleme faaliyeti söz konusu olduğunda öncelikle bu maddelerde belirtilen diğer işleme şartlarına bakılmalı, bu şartların bulunmadığı durumlarda açık rıza yoluna başvurulmalıdır.
18) Açık rıza dışındaki kişisel veri işleme şartlarından birine dayalı olarak kişisel veri işlenmesi halinde ayrıca ilgili kişiden açık rıza da almak mümkün müdür?
Açık rıza dışındaki kişisel veri işleme şartlarından birine dayalı olarak kişisel veri işlenmesi halinde ilgili kişiden ayrıca açık rıza alınmamalıdır.
Kanunun 5. ve 6. maddelerinde sayılan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birinin bulunması halinde de kişisel verilerin işlenmesi mümkündür. Söz konusu işleme şartlarından herhangi birinin bulunması kişisel veri işleme faaliyeti için tek başına yeterli olduğundan ilgili kişiden ayrıca açık rıza alınmamalıdır. Örneğin 4857 sayılı İş Kanununun 75. maddesi gereği özlük dosyası oluşturulması amacıyla çalışanın kimlik bilgileri, “kanunlarda açıkça öngörülmesi” işleme şartına dayanarak işlenmektedir. Bu durumda çalışandan ayrıca açık rıza alınmamalıdır. Zira açık rıza, her zaman için geri alınabilmektedir.
Açık rıza haricindeki diğer işleme şartlarından herhangi biri mevcut olmasına rağmen ilgili kişiden açık rıza alma yoluna gidilmesi ilgili kişilerin yanıltılması olarak değerlendirilebilir. Bu durumda da Kanunun 4. maddesindeki temel ilkelerden “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılıktan bahsedebiliriz.
19) Açık rızanın alınması herhangi bir şekle tabi midir?
Kanunda açık rızanın alınması hususunda herhangi bir şekil şartı öngörülmemiştir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır.
Dolayısıyla, açık rıza sözlü, yazılı, elektronik ortam vb. yöntemlerle alınabilir. Açık rızanın alındığı konusundaki ispat yükümlülüğü de veri sorumlusuna aittir.
20) Açık rıza metinlerinin ne kadar süre saklanması gerekmektedir?
İlgili mevzuatta bu konu hakkında herhangi bir süre ya da şekil şartı öngörülmemiştir.
Açık rızanın hukuka uygun şekilde alınıp alınmadığının ispatı veri sorumlusuna ait olduğu için, açık rıza metninin herhangi bir mağduriyete sebep olmayacak şekilde ve sürede saklanması veri sorumlusu için önemlidir. Dolayısıyla da açık rıza metinlerinin ne kadar süre saklanacağını veri sorumlusu makul bir süre olmak koşuluyla kendisi belirlemelidir.
21) Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi Kanuna uygun mudur?
Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi Kanuna uygun değildir.
Kanunun 3. maddesinde “açık rıza”; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır.
Buna göre, eğer kişisel veri işlerken açık rıza almak gerekiyorsa, alınan açık rızanın bu üç unsuru da içermesi gerekmektedir. Bu üç unsurdan herhangi birinin eksik olması halinde açık rızanın varlığından bahsedilemeyecektir.
“Tüm kişisel verilerimin işlenmesine ve paylaşılmasına izin veriyorum” şeklinde verilen açık rıza belirli bir konuya ilişkin olmayıp hangi verilerin işleneceği ve kimlerle paylaşılacağı konusu da net olmadığından açık rıza olarak değerlendirilmeyecektir.
22) Kişisel veriler ilgili kişinin kendisi tarafından alenileştirilmiş ise veri sorumlusu bu kişisel verileri herhangi bir amaçla işleyebilir mi?
Kişisel veriler ilgili kişinin kendisi tarafından alenileştirilmiş olsa bile veri sorumlusu, bu kişisel verileri herhangi bir amaçla işleyemez.
Veri sorumlusunca, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerinin işlenebilmesi için, verilerin ait olduğu kişi tarafından hangi amaçla alenileştirildiğini (alenileştirme iradesini) değerlendirmek gerekir. İlgili kişinin kendisi tarafından kişisel verilerinin alenileştirilmesi, bu verilerin isteyen herkes tarafından alenileştirme amacından farklı bir amaçla işlenebileceği anlamına gelmemektedir. Dolayısıyla, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel veriler, sadece ilgili kişinin alenileştirme amacı doğrultusunda işlenebilecektir.
Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilir. Bu kişisel verilerin, bunun dışında bir amaçla kullanılması Kanunun 4. maddesine aykırılık teşkil edecektir.
23) Bir veri sorumlusu tarafından Kanunlarda açıkça öngörülmesi şartına dayanarak kişisel veri işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna kapsamında mıdır?
Bir veri sorumlusu tarafından işlenen kişisel veriler Kanunlarda açıkça öngörülmesi şartına dayanarak işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna olmasını gerektirmez.
Kanunun 5. maddesinde “Kanunlarda açıkça öngörülme” şartı, Kanunun 6. maddesinde ise “Kanunlarda öngörülme” şartı, kişisel veri işleme şartlarından biridir.
Kanunun 5 ve 6. maddelerinde sayılan işleme şartlarının mevcut olması, o kişisel verilerin işlenmesini mümkün kılan şartlardır. Bir faaliyetin bu işleme şartlarından herhangi birine dayalı olarak gerçekleştirilmesi, Kanundan istisna olunması anlamına gelmez, Kanun hükümleri bu faaliyetler için uygulanmaya devam edecektir.
İstisna ile ilgili hükümler, Kanunun 28. maddesinde sınırlı sayma yoluyla belirlenmiş olduğundan sadece bu madde kapsamına giren durumlarda istisnadan bahsedilebilecektir.
24) Kişisel sağlık verileri, Kanunun 5. maddesinde sayılan işleme şartlarına göre işlenebilir mi?
Kişisel sağlık verileri, Kanunun 5. maddesinde sayılan işleme şartlarına göre işlenemez.
Kişisel sağlık verileri, Kanunun 6. maddesinde sınırlı sayma yöntemiyle belirlenen özel nitelikli kişisel verilerdendir. Özel nitelikli kişisel verilerin işlenme şartları da yine Kanunun 6. maddesinde ifade edilmiştir. Dolayısıyla, kişisel sağlık verilerinin işlenebilmesi için, özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği bu madde hükmü dikkate alınmalıdır.
25) Kişisel sağlık verileri veri sorumlularınca meşru menfaat kapsamında işlenebilir mi?
Kişisel sağlık verileri, veri sorumlusunun meşru menfaati kapsamında işlenemez.
Kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerdir. Kişisel sağlık verileri, Kanunun 6. maddesinde sayılan özel nitelikli kişisel veriler arasında yer almaktadır.
Özel nitelikli kişisel verilerin işlenmesi şartları da bu maddede düzenlenmiş olup buna göre sağlık verilerinin işlenebilmesi için kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleniyor olması veya ilgili kişinin açık rızasının alınması gerekmektedir.
Kişisel sağlık verilerinin işlenmesi, bu madde kapsamında amaç ve kişi yönünden sınırlandırılmıştır. Diğer bir deyişle açık rıza haricinde, sadece belirtilen amaçlarla ve belirtilen kişi veya kuruluşlarca işlenebilmesi mümkündür.
Anılan madde hükmünden de anlaşılacağı üzere özel nitelikli kişisel veriler arasında yer alan kişisel sağlık verileri, kişisel veri işleme şartı olan meşru menfaat kapsamında işlenemez.
26) Kişinin ‘cinsiyeti’ özel nitelikli kişisel veri midir?
“Cinsiyet” verisi özel nitelikli kişisel veri değildir.
Özel nitelikli kişisel veriler Kanunun 6. maddesinde sınırlı sayma yöntemiyle belirlenmiş olup bunlar
içerisinde, kişinin cinsiyeti sayılmamıştır. Özel nitelikli kişisel veriler arasında sayılan; cinsiyet değil cinsel hayata ilişkin kişisel verilerdir. Dolayısıyla “cinsiyet” özel nitelikli kişisel veri değildir.
27) İlgili kişinin, kişisel verilerinin silinmesini veya yok edilmesini talep etmesi halinde veri sorumluları, bu talebi her koşulda yerine getirmeli midir?
İlgili kişinin, kişisel verilerinin silinmesini veya yok edilmesini talep etmesi halinde veri sorumluları, bu talebi her koşulda yerine getirmek zorunda değildir.
Kanunun 7. maddesinde, Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi veya yok edilmesi gerektiği ifade edilmektedir.
Ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12. maddesinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun en geç otuz gün içinde bu kişisel verileri silmesi, yok etmesi veya anonim hale getirmesi ve ilgili kişiye bilgi vermesi gerektiği, eğer bu kişisel veriler üçüncü kişilere aktarılmışsa üçüncü kişilerin de gerekli işlemlerin yapılmasını temin etmesi gerektiği, işleme şartlarının tamamı ortadan kalkmamışsa bu talebin en geç otuz gün içinde gerekçesi açıklanarak yazılı veya elektronik ortamda verilecek cevap ile reddedilebileceği hükümleri yer almaktadır.
Dolayısıyla ilgili kişinin, kişisel verilerinin silinmesi veya yok edilmesini talep etmesi halinde veri sorumlusu, öncelikle kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığına bakmalı, herhangi bir işleme şartı bulunmuyorsa silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
28) İlgili kişinin açık rızası olsa da yurt dışına veri aktarımında taahhütname gerekir mi?
İlgili kişinin açık rızasının olması durumunda taahhütname imzalanmasına gerek yoktur, yurtdışına aktarım yapılabilir. Açık rıza olmaması durumundaysa, Kanunun 9. maddesi hükümlerine göre aktarım yapılmalıdır.
29) Yurt dışına veri aktarım amacıyla imzalanan taahhütname onay için Kişisel Verileri Koruma Kuruluna (“Kurul”) gönderildiğinde, Kurulun yapacağı değerlendirme için bir süre öngörülmüş müdür?
Kanun veya ikincil mevzuatta, taahhütnamenin incelenmesi için herhangi bir süre öngörülmemiştir. Yurt dışına veri aktarımı amacıyla imzalanan taahhütnamelerin Kurula gönderilmesi halinde, Kurul çeşitli kriterlere göre değerlendirme yaparak karar verir.
30) Kurul’un veri işlenmesini veya verinin yurt dışına aktarımını durdurma yetkisi var mı?
Kanunun 15. maddesine göre Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
31) Müşterilere yönelik aydınlatma metni ile açık rıza metni aynı başlık altında sunulabilir mi?
Kanunun 10. maddesine göre aydınlatma yükümlülüğü, kişisel verinin ilgili kişiden elde edilmesi sırasında yerine getirilmesi gereken bir yükümlülüktür. Açık rıza veya diğer kişisel veri işleme şartlarından hangisine dayalı olarak kişisel veri işlenirse işlensin aydınlatma yükümlülüğü yerine getirilmelidir.
Kanunun 5. ve 6. maddesinde sayılan açık rıza şartı haricindeki işleme şartlarından herhangi birine dayalı olarak kişisel veri işleniyorsa sadece aydınlatma yükümlülüğü yerine getirilmeli, ilgili kişilere ayrıca açık rıza metni sunulmamalıdır.
Ancak, söz konusu diğer işleme şartlarından herhangi biri bulunmamasına rağmen kişisel veriler işlenmek isteniyorsa bu durumda ilgili kişinin hem aydınlatılması hem de açık rızasının alınması gerekmektedir. Örneğin bir otel, müşterilerine daha sonraki dönemlerde reklam amaçlı ticari elektronik ileti göndermek istiyorsa, hem işlediği kişisel veriler için ilgili kişiyi aydınlatması hem de ticari elektronik iletiler için ilgili kişinin açık rızasını alması gerekmektedir. Buna göre, otelin hem aydınlatma yükümlülüğünü yerine getirdiğinin ispatı için ilgili kişiden “bilgi edindiğine” dair imza alması hem de söz konusu kişisel verilerin işleme şartının açık rıza olması dolayısıyla ayrıca açık rıza metni ile onay alması mümkündür.
Bu durumda, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5. maddesine göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi” gerekmektedir.
Buna göre, aydınlatma ve açık rıza bir metin aracılığıyla gerçekleştiriliyorsa bu metinlerin farklı sayfalarda olması önerilmektedir. Eğer aynı sayfada olması isteniyorsa, her iki metnin farklı başlıklar altında olması ve açık rıza verilmesine yönelik ayrı bir bölümün de yer alması gerekmektedir.
Öte yandan, aydınlatma ve açık rıza metinlerinin birbiri içerisine girmeyecek şekilde hazırlanması gerekmektedir. Eğer veri sorumlusunun ispatı için ilgili kişiden imza alınıyorsa veya işaretleme yapılması isteniyorsa, her ikisi için tek imza veya onay alınması yöntemi değil ayrı ayrı imza veya onay alınması yöntemi kullanılmalıdır.
32) “Kanunlarda açıkça öngörülmesi” şartına dayalı olarak kişisel veri işleniyorsa yine de aydınlatma yükümlülüğü yerine getirilmeli mi?
Kişisel veriler hangi işleme şartına dayanarak işlenirse işlensin, yine de aydınlatma yükümlülüğü yerine getirilmelidir.
“Kanunlarda açıkça öngörülmesi”, Kanunun 5. maddesinde sayılan kişisel veri işleme şartlarından birisidir. Aydınlatma yükümlülüğü ise Kanunun 10. maddesinde açıklanan ve işleme şartı ne olursa olsun tüm kişisel veri işleme faaliyetleri kapsamında yerine getirilmesi gereken bir yükümlülüktür.
Bu nedenle, kişisel veri işleme faaliyeti kanunlarda açıkça öngörülse bile veri sorumlusunca ilgili kişilere yönelik aydınlatma yükümlülüğü yerine getirilmelidir.
33) Veri sorumluları, hazırladıkları aydınlatma metinlerini Kuruma da göndermeli midir?
Hazırlanan aydınlatma metinlerinin Kuruma gönderilmesi gibi bir durum söz konusu değildir.
Kanunun 10. maddesi gereği aydınlatma yükümlülüğü, kişisel verilerin elde edilmesi esnasında kişisel verisi işlenen ilgili kişilerin bilgilendirilmesini ifade eder. Söz konusu bilgilendirme; yazılı, sözlü, görsel vb. vasıtalarla yerine getirilebilmektedir.
Kanun veya ilgili diğer mevzuatta, hazırlanan aydınlatma metinlerinin Kuruma gönderilmesinin gerektiği şeklinde bir hüküm yer almamaktadır.
34) Aydınlatma metinlerinde saklama sürelerini belirtmek gerekir mi?
Aydınlatma metinlerinde saklama süresinin belirtilmesi zorunlu değildir.
Kanunun 10. maddesine göre veri sorumlusu, aydınlatma yükümlülüğü kapsamında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan ilgili kişi hakları konusunda bilgi vermekle yükümlüdür.
Ayrıca, aydınlatma metninin içeriği, Kanunun 10. maddesi gereği, Kurul tarafından hazırlanmış ve
Resmi Gazetede yayımlanmış olan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe” uygun olmalıdır.
Buna göre, aydınlatma metninde saklama sürelerinin belirtilmesi zorunlu olmamakla birlikte, isteğe bağlı olarak saklama süreleri belirtilebilecektir.
35) Katmanlı aydınlatma nedir, aydınlatma yükümlülüğü kapsamında “katmanlı aydınlatma” nasıl yapılmalıdır?
Aydınlatma yükümlülüğünün kapsamı ve hangi bilgilerin verileceği Kanunda açıklanmıştır. Buna rağmen, bu bilgilerin tamamının aydınlatma yükümlülüğünün yerine getirilme zamanı olan kişisel verilerin elde edilmesi sırasında ilgili kişiye açıklanması mümkün olmayabilir. Bu durumda katmanlı bilgilendirme yöntemi ile veri sorumlusu aydınlatma yükümlülüğünü yerine getirebilir.
Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde edildiği konusunda kısa, anlaşılabilir, açık, sade bir yöntemle bilgilendirme yapılması ve Kanunun 10. maddesinde yer alan aydınlatmaya ilişkin diğer hususlar hakkında bilgi edinilmesi için, ilgili kişinin bu kısa bilgilendirmeden sonra erişerek ulaşabileceği bir ortama yönlendirilmesi olarak tanımlanabilmektedir.
Örneğin, kamera kaydı alınan bir iş yerinde, ilgili kişi bir kamera logosu ile kamera kaydı yöntemiyle kişisel verilerinin elde edildiği konusunda bilgilendirilebilir. Kamera kayıtlarının hangi amaç, hangi hukuki sebep ve yöntem ile elde edildiği, ilgili kişinin hakları gibi detaylar ise ilgili kişinin bu kamera logosu vasıtasıyla yönlendirildiği bir dokümanda (kişisel verilerin korunması ve işlenmesine ilişkin politika, kamera kayıtlarına ilişkin aydınlatma metni vb.) detaylandırılabilir.
Örneğin, çağrı merkezi hizmeti kapsamında çağrı merkezini arayan kişilere, bu arama esnasında işlenen verilerle ilgili bilgilendirmeyi dinlemek için bir tuşa basılmasının istenmesi, belirtilen tuşa basıldığında aydınlatma metninin dinlenmesi de katmanlı aydınlatma olarak değerlendirilebilir.
36) Bir çağrı merkezi, arayan kişileri bir web sayfası linkine yönlendirerek katmanlı aydınlatma gerçekleştirmektedir. Bu şekilde aydınlatma yükümlülüğü yerine getirilmiş kabul edilir mi?
Katmanlı aydınlatma yapılması; kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel veri işlenmesi konusunda kısa, anlaşılır, açık ve sade bir yöntemle bilgilendirilme yapılması, Kanunun 10. maddesindeki aydınlatma yükümlülüğü kapsamında verilmesi gereken diğer bilgiler için, ilgili kişinin bu bilgilendirmeden sonra erişerek okuyabileceği bir ortama yönlendirilmesi anlamına gelmektedir.
Dolayısıyla, ilgili kişinin doğrudan bir linke yönlendirilmesi katmanlı aydınlatma yapılması anlamına gelmemektedir. Örneğin, telefondaki ilgili kişiye kısa, anlaşılır, sade bir ön aydınlatma (bilgilendirme) yaptıktan sonra o kişiyi aydınlatma metninin yer aldığı linke yönlendirmek daha uygun bir yöntemdir.
37) Veri sorumlusu ile veri işleyenin ayrı kişiler olması halinde, Kanun kapsamında sorumluluk nasıl belirlenmektedir?
Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.
38) Bir şirket, imzaladığı bir sözleşme kapsamında veri işleyenden hizmet almaktadır. Veri işleyen tarafından bir ihlal gerçekleştirilmesi halinde Kanuna göre sorumluluk kimde olacaktır?
Bir veri ihlali olması halinde Kanun, sorumluluğu veri sorumlusuna yüklemiştir.
Kanunda veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre veri işleyen, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemektedir.
Kanunun 12. maddesine göre; veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Buna göre, veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.
Örneğin veri sorumlusu bir şirketin muhasebe kayıtlarını herhangi bir muhasebe şirketi tutuyorsa, söz konusu kişisel verilerin işlenmesine ilişkin olarak Kanunda belirtilen tedbirlerin alınması hususunda veri sorumlusu şirket, muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Ancak veri sorumlusu şirketin çalışanlarına ait kayıtlarla ilgili olarak veri işleyen konumundaki muhasebe şirketi dâhilinde bir ihlal gerçekleşirse bu ihlal ile ilgili sorumluluk veri sorumlusu olan şirkete ait olmakla birlikte, veri sorumlusu şirket muhasebe şirketine rücu edebilecektir.
39) Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri sorumlusu, bu durumu uygun gördüğü bir zaman diliminde Kurula bildirebilir mi?
Kurulun 2019/10 sayılı Kararına göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde “Kişisel Veri İhlal Bildirim Formu”nu kullanarak ihlali Kurula bildirmelidir.
40) Kişi sadece kendisi için mi veri sorumlusuna başvurabilir?
Kanunun 11. maddesi gereği ilgili kişi kural olarak kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahiptir.
41) Veri sorumlusuna yapılan başvuruların Türkçe olması gerekli midir?
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 4. maddesinde ilgili kişilerin başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabileceği belirtilmiştir.
Dolayısıyla veri sorumlusuna yapılan başvuruların Türkçe olması gerekmektedir.
42) Veri sorumlusu, ilgili kişiye başvuru tarihinden itibaren 15. günde cevap vermişse, bu tarihten itibaren kaç gün içinde Kurula şikâyette bulunulabilir?
Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya
Kurulun belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.
Öte yandan, Kanunun 14. maddesinde de başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.
Kanunda yer alan bu sürelerin yorumlanmasına ilişkin 2019/9 sayılı Kurul kararında ise Kanunun 14. maddesi uyarınca;
■ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceğine, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığına,
■ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine,
■ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine
karar verilmiş ve bu Karar kamuoyuna duyurulmuştur.
Örneğin ilgili kişi 01.01.2020 tarihinde veri sorumlusuna başvurmuş ve veri sorumlusu tarafından bu başvuruya 16.01.2019 tarihinde cevap verilmişse bu durumda ilgili kişinin, söz konusu cevap tarihi olan
16.01.2019 tarihinden itibaren 30 gün içinde Kurula şikâyet başvurusunda bulunma hakkı vardır. Dolayısıyla bu örneğe göre ilgili kişi tarafından Kurula en geç 15.02.2019 tarihinde şikayette bulunulması gerekmektedir.
43) Veri sorumlusuna başvuru tarihinden itibaren 30 gün geçtiği halde kendisine cevap verilmemişse, ilgili kişi bu tarihten itibaren kaç gün içinde Kurula şikâyette bulunabilir?
Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kurulun belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.
Öte yandan, Kanunun 14. maddesinde de başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.
Kanunda yer alan bu sürelerin yorumlanmasına ilişkin 2019/9 sayılı Kurul kararında ise Kanunun 14. maddesi uyarınca;
■ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceğine, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığına,
■ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine,
■ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine,
karar verilmiş ve bu Karar kamuoyuna duyurulmuştur.
Dolayısıyla, ilgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 günlük süre içinde bir cevap verilmediği takdirde ilgili kişi, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde, yani veri sorumlusunun 30 günlük cevap süresinin bitiminden itibaren 30 gün içinde Kurula şikâyette bulunabilecektir.
Örneğin; ilgili kişi 01.03.2020 tarihinde veri sorumlusuna başvurmuş ve veri sorumlusu ilgili kişiye 30 günlük yasal süresi içerisinde cevap vermemişse bir durumda ilgili kişinin Kurula şikayet başvurusunda bulunabileceği en son tarih 30.04.2020 olacaktır.
Aynı başvuru için veri sorumlusu ilgili kişiye
10.04.2020 tarihinde yani başvuru tarihinden itibaren 40’ıncı günde cevap vermişse bu durumda da ilgili kişinin Kurula şikayet başvurusunda bulunabileceği son tarih 30.04.2020 olacaktır.
44) Veri sorumlusuna başvurmadan doğrudan Kurula şikâyet yapılabilir mi?
Veri sorumlusuna başvurmadan doğrudan Kurula şikâyet yapılamamaktadır.
Kanunun 13. ve 14. maddeleri gereği, ilgili kişinin Kurula şikâyet yoluna gidebilmesi için öncelikle veri sorumlusuna başvurması gerekmektedir. Buna göre, veri sorumlusuna başvurmak zorunlu, daha sonra Kurula şikâyet yoluna başvurmak ise isteğe bağlıdır. Dolayısıyla veri sorumlusuna başvuru yolu tüketilmeden Kurula şikâyet yoluna gidilemez.
45) İlgili kişi, şikâyetini e-posta, telefon veya çağrı merkezi aracılığıyla Kuruma ulaştırabilir mi?
Kurula yapılacak şikâyet başvuruları, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun çerçevesinde ıslak imzalı olarak Kurumun posta adresine ulaştırılabileceği gibi Kurumun internet sayfasında yer alan şikayet modülü kullanılarak da başvuru yapılabilmektedir.
Kurumumuzun mevcut uygulaması gereği e-posta, telefon veya çağrı merkezi aracılığıyla Kurula şikâyette bulunulamamaktadır.
46) İlgili kişi Kurula şikâyet yoluna başvururken tazminat talep edebilir mi?
6698 sayılı Kanunun 14. maddesi uyarınca, kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkı saklıdır. Ancak bu durum, tazminatın
Kişisel Verileri Koruma Kurumundan talep edilebileceği anlamına gelmemektedir. Yargı mercilerine başvurularak, veri sorumlularından tazminat talep edilebilecektir.
47) Kurula şikâyet başvurusu yapıldığında Kurul ne kadar sürede cevap vermek zorundadır?
Kanunun 15. maddesinde “Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.” hükmü yer almaktadır.
Buna göre Kurul, şikâyet üzerine talebi inceleyerek ilgililere bir cevap vermekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılmaktadır.
48) Kanuni yükümlülüklerini yerine getirmeyen veri sorumluları hakkında Kurul resen inceleme yapabilir mi?
Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda inceleme yapma yetkisi bulunmaktadır.
49) Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) kişisel veri barındıracak mı?
Veri Sorumluları Siciline kayıt yükümlülüğü yerine getirilirken, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) ilgili kişilerin kişisel verilerine ait bilgi girişi yapılmamaktadır.
VERBİS’e, kişisel verilerin hangi amaçlarla işleneceği, ne kadar süreyle muhafaza edileceği, nerelere aktarılabileceği ve alınacak güvenlik tedbirleri gibi bilgiler kategorik bazda girilecektir. Dolayısıyla VERBİS, ilgili kişilere ait kişisel veri barındırmamaktadır.
50) Avukatlar Sicile kayıt yükümlülüğünden istisna olduğu için Kanundan da istisna sayılır mı?
Sicile kayıt yükümlülüğünden istisna olmak Kanundan da istisna olunacağı anlamına gelmemektedir. Kanunun 16. maddesi ile Kurula verilmiş olan yetki çerçevesinde, Kurul tarafından alınan 2018/85 sayılı Karar gereği Avukatlık Kanununa göre yetki almış avukatlar, sadece Sicile kayıt yükümlülüğünden istisna tutulmuştur. Dolayısıyla Kanun avukatlar için, diğer hükümleriyle uygulanmaya devam edecektir.
51) Kurum, kişisel veri saklama sürelerini belirleyerek ilan edecek mi?
Kurum, faaliyetleri kapsamında işledikleri kişisel verileri ne kadar süreyle saklayabilecekleri hususunda veri sorumlularına herhangi bir yönlendirmede bulunmamaktadır. Bu konuda 6698 sayılı Kanunun 7. maddesinde, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi veya yok edilmesi gerektiği, 4. maddesinde ise ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi yer almaktadır.
Buna göre veri sorumluları, işledikleri kişisel verilerle ilgili olarak öncelikle ilgili mevzuatta saklama süresine yönelik herhangi bir hüküm olup olmadığına bakacak, hüküm bulunması halinde işledikleri kişisel verileri sadece öngörülen bu süre kadar saklayabilecektir.
Eğer ilgili mevzuatta saklama süresine dair bir hüküm yoksa bu durumda veri sorumlusu tarafından kişisel veri işleme amacını gerçekleştirmeye yetecek kadar saklama süresi belirlenebilecektir. Saklama süresi belirlenirken, Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesinde belirtilen kriterler dikkate alınmalıdır.
Dolayısıyla, veri sorumluları, varsa ilgili mevzuatta öngörülen süreyi dikkate alacak, eğer mevzuatta öngörülen bir süre yoksa söz konusu kriterlere göre saklama süresini kendisi belirleyecektir.
Kurumun saklama sürelerine dair bir ilanı olmayacaktır.
52) Bütün veri sorumluları, kişisel veri işleme envanteri hazırlamak zorunda mıdır?
Bütün veri sorumluları, kişisel veri işleme envanteri hazırlamak zorunda değildir.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi uyarınca kişisel veri işleme envanteri hazırlanması, Sicile kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülüktür. Dolayısıyla Sicile kayıt yükümlülüğünden istisna olan veri sorumlularının kişisel veri işleme envanteri hazırlama zorunluluğu bulunmamaktadır.
Bununla birlikte, Sicile kayıttan istisna olan veri sorumlularının da kişisel veri işleme envanteri hazırlamaları önerilmektedir.
53) Hazırlanan kişisel veri işleme envanteri Kuruma da gönderilmeli midir?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi uyarınca kişisel veri işleme envanteri hazırlanması, Sicile kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülük olup hazırlanan kişisel veri işleme envanterini Kuruma göndermek gibi bir zorunluluk söz konusu değildir.
Kişisel veri işleme envanteri, Sicile kayıtla yükümlü olan veri sorumluları için getirilmiş bir yükümlülük olup hazırlanan envanter veri sorumlusunun organizasyonu içerisinde kalmalıdır. Bununla birlikte, aydınlatma metinlerinin oluşturulması, ilgili kişilerin başvurularına cevap verilmesi ve Sicile kayıt esnasında bu envanterden faydalanılması gerekmektedir. Ayrıca, şikâyet üzerine veya resen yapılan inceleme esnasında Kurul tarafından, envanterin Kuruma ibraz edilmesi veya iletilmesi de istenebilecektir.
54) Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gerekir mi?
Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gibi bir durum söz konusu değildir.
55) Kişisel veri işleme envanterinde saklama sürelerinin belirtilmesi gerekli midir?
Kişisel veri işleme envanterinde saklama sürelerinin belirtilmesi gerekmektedir.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesinde “kişisel veri işleme envanteri”; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.
Dolayısıyla, tanımda belirtilen “kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi” ifadesinden; saklama sürelerinin envanterde belirtilmesi gerektiği anlaşılmaktadır.
56) Veri sorumlularının hazırlamış olduğu kişisel veri işleme envanteri ile kişisel veri saklama ve imha politikasını Kurulun talep etme yetkisi var mıdır?
Kanunun 15. maddesine göre Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapma yetkisi vardır. Bu yetki uyarınca Kurul, kişisel veri işleme envanteri ile kişisel veri saklama ve imha politikasını veri sorumlusundan talep edebilecektir.
57) Kamu Kurumlarında koordinasyon görevlisi nasıl belirlenmelidir?
Kanunun geçici 1. maddesine göre Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek koordinasyon görevlisi olarak atanması gerekmektedir.
Atanacak kişinin kamu kurumunda kişisel veri işlenen tüm birimleri koordine edecek ve yükümlülüklerin yerine getirilmesini takip edecek bir üst düzey yönetici olması gerekmektedir.
58) Kamu Kurumlarında irtibat kişisi nasıl belirlenmelidir?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesine göre, kamu kurum ve kuruluşlarında koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla bir daire başkanı veya üstü yönetici belirlenerek irtibat kişisi olarak atanmalı ve VERBİS üzerinden bu kişilere ait bilgi girişi yapılmalıdır.
59) VERBİS’e kayıt başvuru formu, formda belirtilen Kayıtlı Elektronik Posta (KEP) adresi yerine başka bir KEP adresinden gönderilebilir mi?
VERBİS’e kayıt başvuru formu, bu formda belirtilen KEP adresi dışında başka bir KEP adresinden gönderilememektedir.
60) Yurt dışında yerleşik veri sorumluları için Sicile kayıt yükümlülüğünden istisna kriteri olarak çalışan sayısı ve yıllık mali bilanço dikkate alınır mı?
Kurulun yayımlamış olduğu 2019/387 sayılı Kararda, yurt dışında yerleşik olan tüm veri sorumlularının Sicile kayıt olacağı hükmü bulunmaktadır. Bu nedenle, yurt dışında yerleşik veri sorumluları için, çalışan sayısı ve mali bilanço gibi herhangi bir istisna kriteri söz konusu değildir.
61) Bir irtibat kişisi aynı anda birden fazla veri sorumlusunun irtibat kişisi olarak atanabilir mi?
Bir gerçek kişi aynı anda birden fazla veri sorumlusunun irtibat kişisi olarak atanamamaktadır.
62) VERBİS’in kamuya açık olarak tutulması nedeniyle kişisel veriler de kamuya açık hale gelmiş olur mu?
VERBİS’in kamuya açık olması nedeniyle kişisel veriler de kamuya açık hale gelmeyecektir.
Kişisel veri işlemekte olan veri sorumluları, bu kişisel verilere ait veri kategorileri ve bu veri kategorileriyle yapılan işlemlerle ilgili olarak VERBİS’e bilgi girişi yapacaktır. Kamuya açık olan bu veriler kategorik bazda veriler olduğu ve bu verilerden bir gerçek kişiye ulaşma imkânı bulunmadığı için VERBİS’e kayıt ile kişisel verilerin kamuya ifşası söz konusu değildir.
63) Vakıf üniversiteleri VERBİS’e kaydını “yurt içinde yerleşik tüzel/gerçek kişi” bölümü üzerinden mi gerçekleştirmelidir?
Anayasanın 130. maddesi ile Vakıf Yükseköğretim Kurumları Yönetmeliğinin 5. maddesi gereği vakıf üniversiteleri kamu tüzel kişiliğini haizdir.
Bu nedenle, vakıf üniversitelerinin kamu tüzel kişiliğine sahip olduğu açıkça ifade edildiğinden, yurt içinde yerleşik tüzel/gerçek kişi bölümünden değil “kamu kurum ve kuruluşları” bölümünden Sicile kaydını gerçekleştirmesi gerekmektedir.
64) Ticaret odaları VERBİS’e kaydını “yurt içinde yerleşik tüzel/gerçek kişi” bölümü üzerinden mi gerçekleştirmelidir?
5174 sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu gereği odalar kamu kurumu niteliğinde meslek kuruluşudur.
Bu nedenle odalar ve borsaların, VERBİS kaydını “yurt içinde yerleşik tüzel/gerçek kişi” bölümünden değil “kamu kurum ve kuruluşları” bölümünden gerçekleştirmesi gerekmektedir.
65) İstisna kapsamında olmadığı halde Sicile kayıt yükümlülüğünü yerine getirmeyenler hakkında işlem tesis edilecek midir?
Sicile kayıt yükümlülüğünden istisna kapsamında olmadığı halde, Sicile kayıt yükümlülüğünü yerine getirmeyen veri sorumlularının tespiti Kurum tarafından yapılacak ve haklarında Kanun kapsamında işlem tesis edilecektir.
66) Kanun kapsamında yapılan incelemeler neticesinde suç unsuruna rastlanılması halinde nasıl bir yol izlenecektir?
Kanunda bu hususta özel bir düzenleme bulunmamakla birlikte, herhangi bir suç unsuruna rastlanılması halinde Türk Ceza Kanunu gereğince Kurum tarafından yetkili makamlara bildirimde bulunulacaktır.
67) Kanunda belirtilen idari para cezaları her yıl artırılıyor mu?
Kanunun 18. maddesinde; Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Söz konusu idari para cezası miktarları her takvim yılı başından itibaren geçerli olmak üzere, ilgili Resmi Gazete’de yayımlanan yeniden değerleme oranında artırılarak uygulanmaktadır.
68) Kurul tarafından düzenlenen idari para cezalarına itiraz edilebilir mi?
Kanunun 18. maddesi gereği Kurul tarafından düzenlenen idari para cezası yaptırım kararlarına karşı yargı yolu açıktır. 5326 sayılı Kabahatler Kanununun 27. maddesine göre idari para cezalarına karşı Sulh Ceza Hâkimliklerine itiraz edilebilir.
İdari para cezası ile birlikte ayrıca bir yaptırım kararı da verilmişse (örneğin para cezasıyla birlikte ayrıca verinin yurtdışına aktarılmasının durdurulmasına karar verilmesi) görevli mahkeme İdare Mahkemesi olmaktadır.
69) Kanunun 28. maddesinin 1. fıkrası gereği istisna kapsamındaki bir veri sorumlusu, Kanundan da istisna sayılır mı?
Kanunun 28. maddesinin 1. fıkrasında sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanun hükümleri uygulanmayacaktır. Ancak, aynı veri sorumlularının bu sayılanlar dışındaki faaliyetleri kapsamında işlediği kişisel verilerle ilgili olarak Kanun, diğer hükümleriyle uygulanmaya devam edecektir.
70) Kanunun 28. maddesinin 2. fıkrası gereği istisna kapsamındaki bir veri sorumlusu, Kanundan da istisna sayılır mı?
Kanunun 28. maddesinin 2. fıkrasında yer alan “Bu
Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz …” hükmü gereğince, maddeler halinde sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanunun sadece 10, 11 ve 16. maddesi hükümleri uygulanmayacak; diğer hükümleri uygulanmaya devam edecektir.
Ayrıca, aynı veri sorumlularının bu sayılanlar dışındaki faaliyetleri kapsamında işlediği kişisel verilerle (örneğin insan kaynakları, muhasebe, bilgi işlem faaliyetleri gibi) ilgili olarak Kanun, diğer hükümleriyle uygulanmaya devam edecektir.
Kaynak: https://www.kvkk.gov.tr/Icerik/6742/-Dogru-Bilinen-Yanlislar-Dokumani-Kurum-Internet-Sayfasinda-Yayinlanmistir-
Elinize sağlık hocam güzel bir döküman !
Eline sağlık Kerem.