Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar – 2

Kişisel Verileri Koruma Kurumu taafından KVKK alanında Doğru Bilinen Yanlışlar adlı dokümanının ikincisi yayımlanmıştır.

 

1. Kişisel verilerin hukuka uygun işlenmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 ve 6. maddelerinde yer alan veri işleme şartlarının varlığı tek başına yeterli midir?

Kişisel verilerin hukuka uygun işlenmesi için Kişisel Verilerin Korunması Kanununun (Kanun) 5 ve 6. maddelerinde yer alan işleme şartlarından herhangi birinin varlığı yeterli olmayıp Kanunun 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine de tüm kişisel veri işleme faaliyetlerinde uyulması gereklidir.

Bkz. Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/165 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5496/2019-81-165)

Bkz. Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/167 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6738/2020-167)

2. Bir kişisel veri işleme faaliyeti Kanunda öngörülen birden fazla işleme şartına dayanılarak gerçekleştirilebilir mi?

Kişisel veri işleme faaliyeti gerçekleştirilirken birden fazla kişisel veri işleme şartı bulunabilir.

Açık rıza dışındaki veri işleme şartlarından biri varken ayrıca ilgili kişiden açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi anlamına geleceğinden kişisel veri işleme faaliyeti açık rıza işleme şartı ile birlikte diğer işleme şartlarına dayanılarak gerçekleştirilemeyecektir.

3. Kanundaki kişisel veri işleme şartlarından açık rızanın diğer işleme şartlarına göre bir önceliği var mıdır?

Kanunun 5 ve 6. maddelerinde yer alan kişisel veri işleme şartları arasında herhangi bir öncelik sıralaması diğer bir ifadeyle hiyerarşik ilişki yoktur. Ancak belirtmek gerekir ki; açık rıza dışındaki veri işleme şartlarından biri varken ayrıca ilgili kişiden açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi sonucunu doğurabilecektir. Bu nedenle, öncelikle veri sorumlusu tarafından kişisel veri işleme faaliyetinin açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, açık rıza dışında bir veri işleme şartı söz konusu değilse veri işleme faaliyetini gerçekleştirebilmek için ilgili kişinin açık rızasının alınması yoluna gidilmelidir.

4. Amaçları birbirinden farklı, birden fazla kişisel veri işleme faaliyeti için ilgili kişilerden genel nitelikte açık rıza alınabilir mi?

Açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. “Her türlü veri işleme faaliyeti” ifadesindeki gibi belirli bir konu ile sınırlandırılmayan genel nitelikte alınan rıza, “battaniye rıza” olarak kabul edilir ve geçersizdir.

Örneğin, 

“Kampanyalarımızdan haberdar olabilmeniz için ürün ve hizmetlerimizin reklamı ve tanıtımı amacıyla tarafınıza SMS gönderilebilmesini teminen telefon numaranız ve ürün ve hizmetlerin tedariki amacıyla yurt dışında mukim iş ortaklarımıza ad, soyad, telefon numarası ve e-posta bilgileriniz açık rızanız kapsamında aktarılacaktır.” gibi bir ifadenin altında yer alan “Onaylıyorum.” seçeneğinin işaretlenmesi açık rızanın Kanuna uygun bir biçimde alındığı anlamına gelmeyecektir.

Söz konusu örnekte amaçları birbirinden farklı, birden fazla kişisel veri işleme faaliyeti bulunduğundan her faaliyet için ayrı ayrı seçenek sunulması gerekmektedir.

Bkz. Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5420/2018-90)

5. Açık rızaya dayanılarak işlenen kişisel verilerin ilk işleme amacından farklı bir amaçla kullanılabilmesi için yeniden açık rıza alınmalı mıdır?

İlgili kişi tarafından verilen açık  rıza  yalnızca  ilk işleme faaliyeti öncesinde belirtilen amaçlar için  verilmiş sayılmaktadır. Yeni amaçlar kapsamında gerçekleştirilecek kişisel veri işleme faaliyetleri için açık rızanın yeniden alınması gerekmektedir.

Bkz. Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5434/2019-78)

6. Kişisel verilerin işlenmesi için verilen açık rızanın ilgili kişi tarafından geri alınması daha önce işlenen kişisel verilere ilişkin hukuki sonuç doğurur mu?

Kanunda yer alan tanıma göre açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade eder.

Kanunda her ne kadar açık  rızanın  geri  alınması  işlemi düzenlenmemiş olsa da açık rıza özgür iradeye dayandığı için, her zaman geri alınabilir. Açık rızanın ilgili kişi tarafından geri alınması ileriye yönelik sonuç doğuracak olup önceki kişisel veri işleme faaliyetlerinin hukuki geçerliliğini etkilemeyecektir. Bununla birlikte, açık rızanın geri alınmasından itibaren kişisel verilerin işlenmesine ilişkin geçerli bir hukuki sebep olmadığı için işleme faaliyetinin durdurulması gerekmektedir.

7. Açık rızanın ilgili kişi tarafından geri alınması, açık rızanın verilmesinden daha zor usul şartlarına bağlanabilir mi?

Açık rıza özgür iradeye  dayandığı  için,  her  zaman  geri alınabilir. Açık rızanın geri alınması açık rızanın verilmesinden daha zor usul şartlarına bağlanamaz. Diğer bir ifadeyle, ilgili kişi tarafından açık rızanın geri alınması, açık rızanın verilmesi kadar kolay olmalıdır.

Bkz. Kurum internet sayfasında 12/01/2021 tarihinde yayımlanan Whatsapp Uygulaması Hakkında Kamuoyu Duyurusu.

(www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU)

8. Aktif Rıza Yöntemi (Opt-in) seçeneği sunulmayıp sadece Pasif Rıza Yöntemi (Opt-out) seçeneği sunularak, ilgili kişinin kişisel verilerinin işlenmesi durumunda hukuka uygun bir işlemeden bahsedilebilir mi?

Opt-in; önceden seçili olarak sunulmayan ve ilgili  kişinin aktif bir hareketi ile onay vermesini gerektiren bir rıza yöntemi iken, Opt-out; ilgili kişinin aktif bir hareketi olmaksızın, önceden seçili olarak sunulan ve bu doğrultuda kişisel verilerinin işlendiğini gösteren bir rıza yöntemidir.

Geçerli bir açık rızadan bahsedebilmek için aktif rıza yöntemi, yani opt-in şeklinde bir seçim sunulması gerektiğinden, opt-out seçeneği sunularak kişisel verilerin işlenmesi halinde, hukuka uygun bir kişisel veri işleme faaliyetinden bahsedilemeyecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/173 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6739/2020-173)

9. Bir hizmetin sunumu için açık rıza verilmesinin zorunlu tutulması her durumda hukuka aykırı mıdır?

Kişisel verilerin “açık rıza” işleme şartına dayanılarak işlenmesi hâlinde, ilgili kişilerden alınacak açık rızanın “belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma, özgür iradeyle açıklanma” unsurlarının tamamını taşıması gerekmektedir. Bu kapsamda, açık rızanın ilgili kişilerin özgür iradeleriyle açıklanması gerekmekte olup hizmet sunumunun ön koşulu olarak zorunlu tutulması kural olarak hukuka uygun olmayacaktır.

Ancak, somut olayın niteliği gereği, işleme faaliyetinin yalnızca ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği durumlarda ilgili kişiden açık rıza alınması Kanuna aykırılık teşkil etmeyebilir.

Bkz. Kişisel Verileri Koruma Kurulunun 16/02/2018 tarihli ve 2018/19 sayılı Kararı.

(www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi)

Bkz. Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/82 sayılı Kararı.

(www.kvkk.gov.tr/Icerik/5463/-Bir-market-zincirinin-sadakat-kart-uygulamasina-iliskin-ihbar-ve-sikayetler-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-25-03-2019-tarihli-ve-2019-82-sayili-Karari)

Bkz. Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/335 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6909/2020-335)

Bkz. Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6878/2020-667)

10. Bir internet sitesine girişte beliren açılır iletide (pop-up) yer alan önceden işaretlenmiş “Verilerimin belirtilen amaçlar doğrultusunda işlenmesine izin veriyorum.” ifadesiyle ilgili kişilerin açık rızası alınabilir mi?

Kanunda ilgili kişilerden açık rızanın alınması herhangi bir şekil şartına tabi tutulmamıştır. Kanuna göre veri sorumlusu tarafından, ilgili kişinin kişisel verilerinin işlenmesine yönelik açık rızasının, özgür iradesiyle, özellikle bu yönde bilgilendirildikten  sonra  ve  belirli  bir konuya ilişkin olarak aktif bir eylemle alınması gerekmektedir. Bu eylem, elektronik olanlar da dâhil olmak üzere yazılı veya sözlü olarak gerçekleştirilebileceği gibi, bir web sitesinde gezerken bir kutucuğu işaretleyerek ilgili kişinin kişisel verilerinin önerilen şekilde işlenmesini kabul ettiğini açıkça belirten açıklama veya davranış yoluyla da yapılabilir. Bu nedenle, varsayılan olarak işaretli kutucukların sunulması veya hareketsizlik durumunda hukuka uygun bir açık rızanın alındığı kabul edilemez.

11. İşlenen kişisel verilerin güncelliğinin sağlanması açısından veri sorumlusu her durumda sorumlu tutulabilir mi?

Kişisel verilerin işlenmesinde, “doğru ve gerektiğinde güncel olma” ilkesine uyulmak zorundadır. Bu kapsamda, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması gerekmektedir. İşlenen kişisel verilerin doğru ve güncel olmaması, kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç doğuruyorsa veri sorumlusunun kişisel verilerin doğru ve  gerektiğinde  güncel  olmasının  sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır.

Bkz. Kişisel Verileri Koruma Kurulunun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı. (www.kvkk.gov.tr/Icerik/6858/2020-966)

Bkz. Kişisel Verileri Koruma Kurulunun 16/01/2020 tarihli ve 2020/32 Sayılı Kararı. (www.kvkk.gov.tr/Icerik/6700/2020-32)

12. Bir kişinin sosyal medya hesaplarında yer alan fotoğrafları vb. alınarak adına başka bir kişi tarafından sahte hesap açılması halinde Kanun kapsamında herhangi bir işlem tesis edilebilir mi?

Bir kişinin kişisel verileri kullanılmak suretiyle sahte hesap açılması suç unsuru barındırabilecek bir eylem olduğundan, 6698 sayılı  Kanun kapsamında  olmayıp  Türk Ceza Kanununun 135 ila 140. madde hükümleri çerçevesinde ilgili makamlara başvuruda bulunulması gerekmektedir.

13. 6698 sayılı Kanun ölmüş kişilerin verilerini de korumakta mıdır?

6698 sayılı Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Yine, Kanunda ilgili kişi kavramı gerçek kişi ile sınırlandırılmış, kişisel veri kavramı ise yalnızca gerçek kişilerin bilgilerini kapsayacak şekilde tanımlanmıştır. Bununla birlikte, 4721 sayılı Türk Medeni Kanununda; kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başlayacağı ve ölümle sona ereceği düzenlenmiştir. Bu çerçevede Kanunun, gerçek kişileri kapsaması ve kişiliğin ölümle sona ermesi nedeniyle, ölmüş kişilerin verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında korunmamaktadır. Ancak, ölmüş kişilerin verileri, bir gerçek kişiyi belirli ya da belirlenebilir kılıyorsa o gerçek kişi bakımından kişisel veri olarak kabul edileceğinden Kanun kapsamında değerlendirilebilecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 18/09/2019 tarihli ve 2019/273 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6710/2019-273)

Bkz. Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6926/2020-507)

14. Ses, görüntü, fotoğraf gibi veriler biyometrik veri midir?

Ses, görüntü ve fotoğraf gibi verilerin işlenmesi doğrudan biyometrik veri işleme faaliyeti olarak nitelendirilemeyecektir. Ancak, söz konusu kişisel veriler gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiklerinde biyometrik veri kabul edilirler. Dolayısıyla, bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olması gerekmektedir.

Bkz. Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/81 sayılı ve 31/05/2019 tarihli ve 2019/165 sayılı Kararları. (www.kvkk.gov.tr/Icerik/5496/2019-81-165)

Bkz. Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/167 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6738/2020-167)

15. Biyometrik imza özel nitelikli kişisel veri midir?

Kanunda biyometrik veri, özel nitelikli kişisel veriler arasında sayılmıştır.

Biyometrik veri, benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin özel teknik işlemlerden kaynaklanan kişisel veriler olarak tanımlanmaktadır. Biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü vb. kişinin sahip olduğu diğer benzersiz dinamik özellikler kullanıldığından biyometrik imza da biyometrik veri niteliğini haizdir.

Bkz. Kişisel Verileri Koruma Kurulunun 27.08.2020 tarihli ve 2020/649 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6815/2020-649)

16. Sağlık ve cinsel hayata ilişkin kişisel veriler, açık rıza işleme şartı dışında kimler tarafından hangi amaçlarla işlenebilmektedir?

Kanunun açık hükmü gereğince, sağlık  ve  cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla işlenebilmektedir. Dolayısıyla, bu veriler Sağlık Bakanlığı ile her türlü sağlık kuruluşu ve Sosyal Güvenlik Kurumu tarafından yukarıda sayılan amaçlarla işlenebilecektir.

17. Takma ad kullanımı (Pseudonymisation) nedir? Takma ad kullanılan veriler, Kanun kapsamında mıdır?

Takma ad kullanımı; ilgili kişisel verilerin içerdiği isim, doğum tarihi, cinsiyet, adres gibi belirleyici unsurların yerine bir takma ad konularak ilgili kişiye farklı bir kimlik verilmesidir. Örneğin, ilgili kişisel veriye bir kod atanarak takma ad kullanımı sağlanabilmektedir. Burada önemli olan, takma ad kullanımı suretiyle ilgili kişiye verilen yeni kimliği ortaya çıkarmaya yarayan anahtar verinin, takma ad kullanılan veriden ayrı ve güvende tutulmasıdır.

Takma ad kullanımı, kişisel verileri anonim hâle getirerek bu verilerin kişisel veri olma niteliğini sonlandıran bir yöntem olmayıp, ilgili kişisel verilere ilişkin veri güvenliği risklerini en aza indirmeye yardımcı olan bir yöntemdir. Takma ad kullanımıyla, ilgili kişisel veriler anonim hâle getirilmiş olmadığından, kişisel veri niteliğini haiz olan bu veriler Kanuna tâbi olmaya devam etmektedir.

18. Kişisel veriler, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine (108 sayılı Sözleşme) dayalı olarak yurt dışına aktarılabilir mi?

Kişisel verilerin 108 sayılı Sözleşmeye dayalı olarak yurt dışına aktarılması mümkün değildir.

Kanunun kişisel verilerin yurt dışına aktarılmasına  ilişkin usul ve esasları düzenleyen 9. maddesinin ikinci fıkrasında, ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının, ancak Kanunun 5. maddesinin ikinci fıkrasında veya 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülkede yeterli korumanın bulunması hâlinde; yeterli koruma bulunmaması hâlinde ise tarafların yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi kaydıyla gerçekleşebileceği hükme bağlanmıştır.

Diğer taraftan, Kanunun 9. maddesinin üçüncü fıkrası uyarınca yeterli korumanın bulunduğu ülkeleri belirleme yetkisi Kurula aittir. Bununla birlikte, bir ülkenin 108 sayılı Sözleşmeye taraf olma durumu, Kurulun 02/05/2019 tarihli ve 2019/125 sayılı Kararında kabul edilen kriterler kapsamında Kurul tarafından verilecek yeterli koruma bulunduğuna ilişkin karar bakımından tek  başına  yeterli olmayıp, ancak olumlu bir unsur olarak dikkate alınmaktadır. Dolayısıyla, 108 sayılı Sözleşmeye taraf bir ülkede yeterli koruma bulunduğu; ancak ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumu başta olmak üzere ilgili diğer hususlar da dikkate alınarak Kurul tarafından verilecek bir karar sonucunda belirlenebilecektir.

Bu çerçevede, 108 sayılı Sözleşmeye taraf bir ülkeye yapılacak kişisel veri aktarımları yalnızca Kanunun 5. maddesinin ikinci fıkrasında veya 6. maddesinin üçüncü fıkrasında öngörülen şartlardan birinin varlığı ve Kurul tarafından ayrıca aktarım yapılacak ülke hakkında yeterli koruma bulunduğuna karar verilmesi hâli saklı kalmak üzere, aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hâlinde yapılabilecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 02/05/2019 tarihli ve 2019/125 sayılı Kararı.

(www.kvkk.gov.tr/Icerik/5469/-Yeterli-korumanin-bulundugu-ulkelerin-tayininde-kullanilmak-uzere-olusturulan-form-hakkindaki-02-05-2019-tarihli-ve-2019-125-sayili-Kurul-Karari)

Bkz. Kişisel Verileri Koruma Kurulunun 22/07/2020 tarihli ve 2020/559 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6790/2020-559)

Bkz. Kurum internet sayfasında 26/10/2020 tarihinde yayımlanan Yurtdışına Veri Aktarımı Kamuoyu Duyurusu. (www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU).

19. İlgili kişinin açık rızasının bulunduğu bir kişisel veri aktarım faaliyetine yurt dışına kişisel veri aktarımı kapsamında hazırlanan taahhütnamede yer verilmeli midir?

İlgili kişilerin açık rızasının varlığı hâlinde, kişisel verilerin yurt dışına aktarılması mümkündür. Açık rıza dışındaki diğer işleme şartlarının varlığı hâlinde ise Kurul tarafından onaylanan bir taahhütnamenin bulunması ya da aktarımın Kurul tarafından ilan edilmiş yeterli korumanın bulunduğu bir ülkeye yapılması gerekmektedir. Dolayısıyla veri sorumluları tarafından Kurulun onayına sunulacak taahhütnamelerde, ilgili kişilerin açık rızaları kapsamında aktarılan kişisel verilere yer verilmemelidir.

Bkz. Kurum internet sayfasında 07/05/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU).

20. Yurt dışına kişisel veri aktarımı kapsamında hazırlanan taahhütnamelerde, Kurumun internet sayfasında yer alan taahhütname örneklerinde yer alan hükümlere birebir yer verilmeli midir?

Yurt dışına kişisel veri aktarımı kapsamında veri sorumluları tarafından taahhütname hazırlanırken Kurumun resmi internet sayfasında yayımlanan taahhütname örneklerinde yer alan (Veri Sorumlusundan Veri Sorumlusuna Aktarım Taahhütnamesi ile Veri Sorumlusundan Veri İşleyene Aktarım Taahhütnamesi) hükümlere asgari olarak aynen yer verilmesi gerekmekte olup ilave hükümlere yer verilecek olması hâlinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.

Bkz. Kurum internet sayfasında 07/05/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU).

21. Diğer Kanunlarda hüküm bulunması hâlinde yurt dışına veri aktarımı gerçekleştirilebilir mi?

Kanunun yurt dışına veri aktarımını düzenleyen 9. maddesinin altıncı fıkrasında; kişisel verilerin yurt  dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu düzenlenmiş olup, buna göre başka bir kanunda kişisel verilerin yurt dışına aktarımına ilişkin hüküm bulunması halinde bu hükme uygun hareket edilmesi gerekmektedir.

22. Veri sorumlusunun yurt dışında yerleşik bir firmadan bulut hizmeti alması durumunda, bu hizmeti sunan firmanın verilere erişim yetkisi bulunmazsa Kanun kapsamında bir aktarım faaliyetinden söz edilebilir mi?

Sunucuları yurt dışında bulunan veri sorumlularından/ veri işleyenlerden temin edilen saklama hizmetleri Kanunun 9. maddesi hükümlerine uygun olarak gerçekleştirilmelidir. Bu kapsamda, bulut hizmeti sağlayan firmanın verilere erişim yetkisi bulunmasa dahi kişisel verileri sunucularında muhafaza etmesi bir aktarım faaliyeti olarak değerlendirilmektedir.

Bkz. Kişisel Verileri Koruma Kurulunun 31/05/2019 tarihli ve 2019/157 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5493/2019-157)

23. İlgili kişinin açık rızasının bulunmadığı hâllerde, Kanunun 5 ve 6. maddelerindeki diğer işleme şartlarının varlığı, yurt dışına veri aktarımı yapılabilmesi için yeterli midir?

İlgili kişilerin açık rızalarının bulunmadığı hâllerde, Kanunun 5 ve 6. maddelerinde belirtilen şartların bulunması yurt dışına kişisel veri aktarımı için tek başına yeterli değildir.

İlgili kişilerin açık rızasının varlığı hâlinde, kişisel verilerin yurt dışına aktarılması mümkündür. Açık rıza dışındaki diğer işleme şartlarının varlığı hâlinde ise Kurul tarafından onaylanan bir taahhütnamenin bulunması ya da aktarımın Kurul tarafından ilan edilmiş yeterli korumanın bulunduğu bir ülkeye yapılması gerekmektedir.

Bkz. Kurum internet sayfasında 26/10/2020 tarihinde yayımlanan kamuoyu duyurusu. (www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU).

24. Aydınlatma yükümlülüğünün bulunmadığı durumlar nelerdir?

Aydınlatma yükümlülüğü, tüm kişisel veri işleme faaliyetlerinde yerine getirilmesi gereken bir yükümlülük olmakla birlikte sadece Kanunun 28. maddesinin ikinci fıkrasındaki kısmi istisna hükümlerinin bulunduğu hâllerde, veri sorumlusunun aydınlatma yükümlülüğü bulunmamaktadır. Aydınlatma yükümlülüğü anılan maddenin ikinci fıkrasında yer alan faaliyetler bakımından Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak şartıyla istisna tutulmuştur.

6698 sayılı Kanun Madde 28– (2) Bu Kanunun amacına ve temel ilkelerine uy-gun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluş-larınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruş-turma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devle-tin ekonomik ve mali çıkarlarının korunması için gerekli olması.

25. Aydınlatma yükümlülüğü yerine getirilirken, kişisel veri işleme faaliyetinin hukuki sebebine ilişkin olarak Kanunun 5 ve 6. maddelerinin tamamının sayılması hâlinde, aydınlatma yükümlülüğünün Kanun ve ilgili mevzuata uygun yerine getirildiğinden bahsedilebilir mi?

Veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken, kişisel veri işleme faaliyetinin hukuki sebebine ilişkin olarak Kanunun 5 ve 6. maddelerinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi gerekmektedir. Dolayısıyla, Kanunun 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanıldığının açıkça belirtilmediği, sadece ilgili hükümlerde yer alan işleme şartlarının tamamının sayıldığı hâllerde, aydınlatma yükümlülüğünün Kanun ve ilgili mevzuata uygun bir şekilde yerine getirildiğinden bahsedilemeyecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/766 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6849/2020-766)

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU)

26. Veri sorumlusu tarafından tek ve genel bir aydınlatma metni hazırlanması yeterli midir?

İlgili kişilere yapılan aydınlatma, kişisel veri işleme faaliyetine özel olmalıdır. İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU)

27. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı için alınan onay, açık rıza yerine geçer mi?

Aydınlatma  yükümlülüğünün  yerine  getirildiğinin  ispatı veri sorumlusuna aittir. Diğer taraftan, ispat yükümlülüğünün yerine getirilmesi herhangi bir şekil şartına bağlı değildir. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Ayrıca, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı için sunulan seçenekte “Onaylıyorum.” ifadesinin kullanılması ilgili kişilerden açık rızalarının alındığı yönünde anlam karışıklığına neden olabileceğinden bu ifadenin kullanılmaması uygun olacaktır.

Bkz. Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5420/2018-90)

Bkz. Kişisel Verileri Koruma Kurulunun 08/07/2019 tarihli ve 2019/206 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6709/2019-206)

Bkz. Kişisel Verileri Koruma Kurulunun 20/04/2021 tarihli ve 2021/389 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6967/2021-389)

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU)

28. Genel veri işleme belgesi niteliğinde olan gizlilik politikası veya kişisel veri işleme politikalarının hazırlanması aydınlatma yükümlülüğünün yerine getirilmesi anlamına gelir mi?

Gizlilik politikaları veya kişisel veri işleme politikaları genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde dokümanlardır. İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU)

29. İşlenen kişisel verilerin yurt içinde veya yurt dışına aktarımının söz konusu olduğu durumlarda aydınlatma yükümlülüğü yerine getirilirken “kişisel verilerin üçüncü kişilere aktarılabileceği” ifadesine yer verilmesi yeterli midir?

Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesinde yer alan asgari unsurlardan biri de işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği konusunda bilgi verme yükümlülüğüdür. Bu kapsamda, kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacının ve kişisel verilerin aktarılacağı alıcı grubunun ya da gruplarının belirtilmesi gerekmektedir. Örneğin, mal ve hizmet tedarik süreçlerinin yürütülmesi amacıyla yurt dışına aktarım söz konusu ise veri sorumlusunun yurt dışında yerleşik tedarikçilerine aktarım yapılacağı ifadesine yer verilebilir.

Öte yandan, aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği ve aktarılabileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU)

30. Aydınlatma yükümlülüğünün yazılı olarak yerine getirilmesi zorunlu mudur?

Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir şekil şartına tabi olmayıp bu yükümlülüğün veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilebilmesi mümkündür. Ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU).

31. Aydınlatma yükümlülüğü, her durumda veri sorumlusu tarafından mı yerine getirilmelidir?

Kanuna göre, aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında veri sorumlusu veya veri sorumlusunun yetkilendirdiği kişi tarafından yerine getirilmelidir. Örneğin, veri sorumlusunun yetkilendirmesi hâlinde, veri işleyenin de veri sorumlusu adına, aydınlatma yükümlülüğünü yerine getirmesi mümkündür.

Bkz. Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Kararı (www.kvkk.gov.tr/Icerik/6874/2020-71)

32. Aydınlatma metninde kişisel veri işleme faaliyetine ilişkin hukuki sebebe yer verilmesi işleme amacının da gösterildiği anlamına gelir mi?

İşleme faaliyetine ilişkin dayanak olarak gösterilen hukuki sebep işleme amacından farklı olup aydınlatma yükümlülüğü yerine getirilirken, veri sorumlusu tarafından, kişisel verilerin işlenmesine yönelik olarak açıklanması gereken hukuki sebepten kastedilen, kişisel verilerin Kanunun 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. İşleme amacı ise kişisel veri işleme faaliyetinin veri sorumlusu tarafından hangi amaçla gerçekleştirildiğine ilişkin olup faaliyet bazlı belirlenmesi gerekmektedir.

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU).

33. Aydınlatma yükümlülüğü yerine getirilirken, veri sorumlusu tarafından, kişisel verilerin işlenmesine yönelik olarak açıklanması gereken hukuki sebepten kastedilen nedir?

Aydınlatma yükümlülüğü yerine getirilirken, veri sorumlusu tarafından, kişisel verilerin işlenmesine yönelik olarak açıklanması gereken hukuki sebepten kastedilen, kişisel verilerin Kanunun 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir.

Bkz. Kişisel Verileri Koruma Kurulunun 20/04/2021 tarihli ve 2021/389 sayılı Kararı. (https://kvkk.gov.tr/Icerik/6967/2021-389)

Bkz. Kurum internet sayfasında 26/06/2020 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU).

34. İlgili kişiler, işlenen kişisel verileri bakımından erişim hakkına sahip midir?

Anayasada kişisel verilere erişim hakkı açıkça düzenleme altına alınmıştır. Yine, Kanunun 11’inci maddesinde ilgili kişinin, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme ve kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkı bulunmakta olup bu haklar söz konusu veriye erişim hakkını da kapsamaktadır.

Bkz. Kişisel Verileri Koruma Kurulunun 14/01/2020 tarihli ve 2020/13 sayılı Kararı (www.kvkk.gov.tr/Icerik/6698/2020-13)

35. Veri sorumlusu nezdinde ilgili kişinin kişisel verisi işlenmemişse veri sorumlusu ilgili kişinin başvurusunu yanıtsız bırakabilir mi?

İlgili kişinin, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme hakkı bulunmakta olup veri sorumlusu nezdinde kişisel verisi işlenmemiş olsa dahi Kanun uyarınca veri sorumlusunun ilgili kişinin başvurusunu kabul etmesi veya gerekçesini açıklayarak reddetmesi gerekmektedir. Dolayısıyla, veri sorumlusu ilgili kişinin başvurusunu yanıtsız bırakamayacaktır.

36. Ölmüş kişilerin verilerine yakınları tarafından erişim talebinde bulunulabilir mi?

Kanunun 11. maddesinde, ilgili kişinin kendisi ile ilgili kişisel veriler bakımından bilgi talep edebileceği düzenlenmiştir. Bu kapsamda, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmesi mümkün değildir.

Bkz. Ölenin sağlık verisinin yasal mirasçısı tarafından talep     edilmesi”       hakkında       Kişisel          Verileri      Koruma Kurulunun 18.09.2019 tarihli ve 2019/273 sayılı Karar Özeti ve 30.06.2020 tarihli ve 2020/507 Sayılı Karar Özeti. (www.kvkk.gov.tr/Icerik/6710/2019-273) (www.kvkk.gov.tr/Icerik/6926/2020-507)

37. Unutulma hakkı sadece indeksten çıkarılma talebini mi içermektedir?

Unutulma hakkı, kişisel verilerin silinmesi, yok edilmesi, anonim hâle getirilmesi ve indeksten çıkarılma taleplerini kapsayan bir üst kavramdır. Diğer bir deyişle, indeksten çıkarılma unutulma hakkının kullanılmasının yöntemlerinden biridir.

Bkz. Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/481 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6776/2020-481)

Bkz. Kişisel Verileri Koruma Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6871/2020-927)

Bkz. Kurum internet sayfasında yayımlanan Unutulma Hakkı (Unutulma Hakkının Arama Motorları Özelinde Değerlendirilmesi) kitapçığı. (www.kvkk.gov.tr/Icerik/2030/Rehberler)

38. Unutulma hakkı her durumda uygulanabilir mi?

Unutulma hakkı kişisel verilerin silinmesi, yok edilmesi, anonim hâle getirilmesi ve indeksten çıkarılma taleplerini kapsayan bir üst kavramdır. Her somut olaya ilişkin olarak, Kurul tarafından belirlenen kriterler çerçevesinde bir değerlendirme yapılmaktadır.

Bkz. Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/481 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6776/2020-481)

Bkz. Kişisel Verileri Koruma Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6871/2020-927)

Bkz. Kurum internet sayfasında yayımlanan Unutulma Hakkı (Unutulma Hakkının Arama Motorları Özelinde Değerlendirilmesi) kitapçığı. (www.kvkk.gov.tr/Icerik/2030/Rehberler)

39. İlgili kişi, veri sorumlusu tarafından, üçüncü  kişilerin kişisel verilerinin işlenip işlenmediğini, Kanunun 11. maddesi kapsamında öğrenebilir mi?

İlgili kişi hakları, Kanunun 11. maddesinde sayılmış olup bu haklardan biri de; herkesin veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenebilmesidir. Dolayısıyla, ilgili kişinin, veri sorumlusu tarafından üçüncü kişilerin kişisel verilerinin işlenip işlenmediğini öğrenebilme hakkı bulunmamaktadır.

40. Veri sorumlusu sözleşme ile kişisel verilerin korunması mevzuatı çerçevesindeki yükümlülüklerini veri işleyene devredebilir mi? Bu durumda veri sorumlusunun sorumlulukları ortadan kalkar mı?

Veri sorumlusu ile veri işleyen arasında imzalanan sözleşmeler çerçevesinde veri işleyene belirli yükümlülüklerin yerine getirilmesi konusunda yetki verilmesi mümkündür. Fakat bu tür bir yetkilendirmenin varlığı, veri sorumlusunun Kanun ve ilgili mevzuattan doğan sorumluluğunu ortadan kaldırmayacaktır.

41. Kuruma yapılan veri ihlâl bildirimleri her durumda Kurul tarafından idari yaptırımla mı sonuçlandırılır?

Kuruma yapılan her veri güvenliği ihlal bildirimi, somut olayın koşulları gözetilerek değerlendirilmektedir. Bu kapsamda, veri sorumluları tarafından veri güvenliğine ilişkin teknik ve idari tedbirlerin alınması ve özen yükümlülüğünün yerine getirilmesi gerekmektedir. Bununla birlikte, veri güvenliğine ilişkin ihlallerde veri sorumlusunun kusursuz sorumluluğu da bulunmamaktadır.

Kuruma intikal eden veri ihlâl bildirimleri hakkında, öncelikle söz konusu ihlâl bildirimine konu vakanın meydana geliş biçimi, etkilenen kişi sayısı, ihlâle konu verinin/verilerin niteliği, veri ihlâline ilişkin bildirimin Kuruma ve ilgili kişilere süresinde yapılıp yapılmadığı gibi hususlar ile bu kapsamda veri ihlâl bildiriminde bulunan veri sorumlularınca Kuruma sunulan bilgi ve belgeler değerlendirilmek suretiyle inceleme kararı alınıp alınmamasına karar verilmektedir. Kurul tarafından inceleme kararı alınan veri ihlâl bildirimlerine ilişkin olarak, Kanunun 12. maddesi kapsamında, veri ihlâl bildiriminde bulunan veri sorumlusu tarafından gerekli her türlü teknik ve idari tedbirin alınıp alınmadığı açısından inceleme yapılmakta olup söz konusu inceleme, idari yaptırımla veya herhangi bir idari yaptırım uygulanmaksızın da sonuçlandırılabilmektedir.

42. Kurul veri ihlâl bildirimlerinin incelenmesi amacıyla veri sorumlusundan her türlü bilgi ve belgeyi talep edebilir mi?

Kanun uyarınca, Devlet sırrı niteliğindeki bilgi ve belgeler hariç;  veri  sorumlusu,  Kurulun,  inceleme  konusuyla ilgili istemiş olduğu bilgi ve belgeleri  on  beş  gün  içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Bkz. Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/426 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6980/2021-426)

43. Veri sorumlusunun gerçekleşen bir veri ihlâline ilişkin olarak “kişisel veri ihlâli bildirimi formunda” yer alan hususları henüz net olarak tespit edememesi hâlinde, bu veri ihlâlini Kuruma hemen bildirmesi gerekir mi?

Veri sorumlusunun gerçekleşen bir veri ihlâlini Kurula en kısa sürede (72 saat içinde) bildirmesi zorunludur. Kişisel veri ihlâli bildirimi formunda yer alan hususların net olarak tespit edilememesi durumunda ise, eldeki bilgilerle en kısa sürede (72 saat içinde) Kurula ihlalin bildirilmesi gerekmekte olup devam eden süreçte ilave bilgilerin de gecikmeye mahal verilmeksizin tespit edildikçe Kurula iletilmesi gerekmektedir.

Bkz: Kişisel Verileri Koruma Kurulunun 24/01/2019 tarihli ve 2019/10 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi)

44. İlgili kişilerin iletişim bilgilerinin veri sorumlusu nezdinde mevcut olduğu durumlarda veri sorumlusunun gerçekleşen veri ihlâlini yalnızca internet sayfasında yayımlaması, ilgili kişilere veri ihlâlini bildirme yükümlülüğünün yerine getirildiği anlamına gelir mi?

Veri sorumlusunca, gerçekleşen bir veri ihlâlinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bu veri ihlâlinin bildirilmesi gerekmektedir. İlgili kişinin iletişim bilgilerine ulaşılabiliyorsa, veri ihlâl bildirimi ilgili kişiye doğrudan yapılmalıdır. Veri sorumlusu tarafından, ilgili kişinin iletişim bilgilerine ulaşılamıyorsa, kendi internet sayfası üzerinden veri ihlâlinin yayımlanması suretiyle de söz konusu bildirim gerçekleştirilebilecektir. Bu doğrultuda ilgili kişilerin tespit edilmesi ve iletişim bilgilerinin mevcut olması durumunda, veri ihlâline ilişkin veri sorumlusunun internet sayfasında duyuru yayımlamış olması; veri sorumlusu tarafından ilgili kişilere veri ihlâlini bildirme yükümlülüğünün yerine getirildiği anlamına gelmeyecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 24/01/2019 tarihli ve 2019/10 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi)

45. Veri sorumlusu, kendisine yapılan başvurunun usule aykırı olduğu gerekçesiyle başvuruyu yanıtsız bırakabilir mi?

Veri sorumlusu, Veri  Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişi tarafından yapılan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda veri sorumlusu, başvuruda yer alan ilgili kişinin talebini kabul etmeli veya gerekçesini açıklayarak reddetmelidir. Başvuruda ilgili kişinin imzası, adresi vb. bulunmadığı gerekçesiyle başvurunun yanıtsız bırakılması başvurunun etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmaması anlamına gelecektir. Bu nitelikteki başvurularda, veri sorumluları eksikliğin giderilmesi yönünde ilgili kişiyi bilgilendirerek başvuruyu reddetmeli ve yanıtsız bırakmamalıdır.

46. Herhangi bir elektronik posta adresinden veri sorumlusunun Kayıtlı Elektronik Posta (KEP) adresine başvuru yapılabilir mi?

Kayıtlı Elektronik Posta, elektronik iletilerin gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli şeklidir.

Bu kapsamda, KEP sistemi kendi  içerisinde  kapalı bir sistem olup sadece KEP  hesap  kullanıcılarına  ileti gönderilebilmekte ya da bu kullanıcılardan ileti alınabilmektedir. Dolayısıyla herhangi bir elektronik posta adresinden veri sorumlusunun KEP adresine başvuru yapılması mümkün değildir.

47. İlgili kişinin veri sorumlusuna başvurusu, veri sorumlusu tarafından belirlenen yöntemlerle yapılmaması hâlinde de geçerli midir?

İlgili kişinin, Kanunun 11. maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletmesi gerekmektedir.

Veri sorumlusu ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. Bununla birlikte, başvuruya özgülenmiş yöntemin ulaşılabilir olduğu durumlarda, özgülenmemiş başka bir yöntem kullanılarak veri sorumlusuna yapılan başvurular, veri sorumlusuna usulüne uygun yapılmış bir başvuru olarak kabul edilemeyecektir. Ancak, ilgili kişi açısından başvuruya özgülenmiş yönteme erişimin güç olduğu durumlarda, ulaşılabilir diğer bir yöntemle yapılan başvurular, usulüne uygun bir başvuru olarak değerlendirilebilecektir.

Bkz. Kurum internet sayfasında 30/03/2021 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6938/Kurumumuza-Yapilan-Sikayetlerin-Usul-Sartlarina-Iliskin-Kamuoyu-Duyurusu).

48. Veri sorumlusuna e-posta aracılığıyla başvuruda bulunulabilir mi?

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri çerçevesinde e-posta üzerinden yapılacak başvurularda veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresi aracılığıyla başvuru yapılması şartı aranmaktadır. Bu kapsamda, Kurula şikâyette bulunurken, veri sorumlusuna başvuru yapılan e-posta adresinin veri sorumlusuna daha önce bildirilen ve veri sorumlusu nezdinde kayıtlı e-posta adresi olduğuna dair bilgi ve belgelerin de şikâyet dilekçesine eklenmesi önem arz etmektedir.

Bkz. Kurum internet sayfasında 30/03/2021 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6938/Kurumumuza-Yapilan-Sikayetlerin-Usul-Sartlarina-Iliskin-Kamuoyu-Duyurusu).

49. Kanunun 13. maddesi uyarınca; ilgili kişilerin veri sorumlusuna başvurması hâlinde veri sorumlusunun cevap vermemesi mümkün müdür?

Kanunun 13. maddesi uyarınca veri sorumlusu ilgili kişi tarafından yapılan başvurunun içerdiği talebi kabul  eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Bu kapsamda veri sorumlusu, ilgili kişi başvurularını kabul ederek gereğini yerine getirmeli ya da gerekçesini açıklayarak reddetmelidir. Dolayısıyla, veri sorumlularının, ilgili kişi başvurularına cevap vermesi gerekmektedir.

50. İlgili kişiler tarafından veri sorumlusuna yapılan başvuru ile Kuruma intikal eden şikâyet konusunun farklı olması hâlinde Kuruma iletilen şikâyetin esasına ilişkin değerlendirme yapılmakta mıdır?

Kanun uyarınca, Kurula yapılacak şikâyetlerde ilgili kişilerin veri  sorumlularına  başvurmaları  tüketilmesi   zorunlu bir ön koşul olup bu başvuru yolu tüketilmeden Kurula şikâyette bulunulması mümkün değildir. Bu çerçevede, veri sorumlusuna yapılan başvuru ile Kuruma intikal eden şikâyet konusunun farklı olması hâlinde, veri sorumlusuna iletilmemiş olan hususlara yönelik olarak şikâyetin esasına ilişkin Kurul tarafından değerlendirme yapılmamaktadır.

51. İlgili kişiler veri sorumlusuna vekili aracılığıyla başvuruda bulunmuşsa Kurula da vekili aracılığıyla şikâyette bulunmaları zorunlu mudur?

Veri sorumlusuna vekili aracılığıyla başvuruda bulunan ilgili kişilerin, Kurula vekili olmaksızın, bizzat şikâyette bulunmasında herhangi bir engel bulunmamaktadır.

Ancak, Kurula ilgili kişi tarafından bizzat şikâyette bulunulsa dahi veri sorumlusuna başvuru vekil aracılığı ile yapılmışsa söz konusu vekâletnamenin yine Kurula intikal ettirilmesi gerekmektedir.

52. Çocuğun kişisel verilerinin hukuka aykırı olarak işlenmesi nedeniyle yasal temsilcisi tarafından Kurula şikâyette bulunulabilir mi?

İlgili kişinin 18 yaşını doldurmamış olması durumunda yasal temsilcisi tarafından, Kanun kapsamındaki taleplere ilişkin olarak öncelikle veri sorumlusuna başvurulması, söz konusu başvuru neticesinde veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde de yine yasal temsilci tarafından Kurula şikâyette bulunulması mümkündür.

Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/622 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6816/2020-622)

53. İlgili kişi Kurula şikâyette bulunurken, veri sorumlusuna yaptığı başvurunun iletildiğini gösterir bir belge göndermeli midir?

Kanuna göre, Kurula şikâyette bulunabilmek için öncelikli olarak veri sorumlusuna başvuru yolunun tüketilmesi gerekmektedir. Bu kapsamda, Kurula şikâyette bulunulabilmesi bakımından, veri sorumlusuna yapılan başvurunun iletildiğini gösterir KEP delili, e-posta ekran görüntüsü, APS alındısı gibi belgelerin, Kurula iletilen şikâyet dilekçesi eklerinde mutlaka yer alması gerekmektedir.

Bkz. Kurum internet sayfasında 30/03/2021 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6938/Kurumumuza-Yapilan-Sikayetlerin-Usul-Sartlarina-Iliskin-Kamuoyu-Duyurusu).

54. Üçüncü bir kişi adına temsil yetkisi bulunmayan bir kişi tarafından Kurula şikâyette bulunulabilir mi?

Kanunun 11. maddesinde, herkesin veri sorumlusuna başvurarak kendisiyle ilgili, bu maddede sayılan hakları ileri sürebileceği düzenleme altına alınmıştır. Dolayısıyla üçüncü bir kişi adına temsil  yetkisi  bulunmayan  bir kişi tarafından Kurula şikâyet mümkün değildir. Diğer taraftan, hak sahibi ilgili kişiler Kanunun uygulanması  ile ilgili taleplerine ilişkin olarak bizzat ya da vekil/yasal temsilci aracılığıyla veri sorumlusuna başvuru yolunu tükettikten sonra yine bizzat veya vekil/yasal temsilci aracılığıyla Kurula şikâyette bulunabileceklerdir.

55. Kuruma intikal eden şikâyetin konusunun 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmesi halinde bu şikâyetler 6698 sayılı Kanun kapsamında değerlendirilmekte midir?

6698 sayılı Kanunun 15. maddesi çerçevesinde; 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanuna yapılan atıfla yargı mercilerinin görevine giren konulara ilişkin ihbar veya şikâyetler incelemeye alınmamaktadır.

Diğer taraftan, Kanunun 17. maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümlerinin uygulanacağı belirtilmekte olup suç teşkil eden şikâyet başvuruları 6698 sayılı Kanun kapsamında değerlendirilmeyecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 24/12/2018 tarihli ve 2018/156 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5425/2018-156)

56. Kuruma intikal eden şikâyetlerin konusuna ilişkin kanıtlayıcı nitelikte bilgi ve belgelerin sunulmaması hâlinde bu başvuruların esasına ilişkin değerlendirme yapılmakta mıdır?

Kuruma intikal eden şikâyetlerin değerlendirilmesinde şikâyete konu iddialar açısından sadece ilgili kişilerin beyanı yeterli görülmemekte olup şikâyete konu iddiaları kanıtlayıcı nitelikte bilgi ve belgelerin de sunulması gerekmektedir.

Bkz. Kurum internet sayfasında 30/03/2021 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6938/Kurumumuza-Yapilan-Sikayetlerin-Usul-Sartlarina-Iliskin-Kamuoyu-Duyurusu)

57. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri VERBİS’e kayıt olmalı mıdır?

Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması hâlinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olarak değerlendirilir. Bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri için “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verilir. Bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmamaktadır.

Bkz. Kişisel Verileri Koruma Kurulunun 23/07/2019 tarihli ve 2019/225 sayılı Kurul Kararı. (www.kvkk.gov.tr/Icerik/5545/2019-225)

58. Yurt dışında yerleşik tüzel kişilerin irtibat bürolarının VERBİS’e kayıt olmaları gerekir mi?

Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına  göre  kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarını yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt yükümlülüğü bulunmamaktadır.

Bkz. Kişisel Verileri Koruma Kurulunun 23/07/2019 tarihli ve 2019/225 sayılı Kararı. (www.kvkk.gov.tr/Icerik/5545/2019-225)

59. İş ortaklığı/konsorsiyum/adi ortaklıkların Sicile kayıt yükümlülüğü bulunmakta mıdır?

İş ortaklığı/konsorsiyum/adi ortaklıklardan veri sorumlusu sıfatını haiz olanların (kişisel veri işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan ve ayrı tüzel kişiliği bulunanlar), ilgili Kurul kararlarında belirtilen kriterler (yıllık çalışan sayısı, yıllık mali bilanço ve ana faaliyeti kapsamında özel nitelikli kişisel veri işleme) açısından değerlendirilmesi ve bu kriterleri taşıyan iş ortaklığı/konsorsiyum/adi ortaklıkların kendi adlarına VERBİS’e kayıt olması gerekmektedir.

Bununla birlikte, kişisel veri işleme süreçlerinin şeffaf ve ilgili kişilere hesap verebilir nitelikte yürütülmesi ile ilgili kişilerin kendi kişisel verileri üzerinde en üst düzeyde kontrol sağlaması amacıyla; iş ortaklığı/konsorsiyum/adi ortaklıklardan veri sorumlusu sıfatını haiz olmayanlar adına, bu ortaklığı oluşturan ortaklardan hâlihazırda Sicile kayıt yükümlülüğü bulunanların, VERBİS’e kayıtları esnasında kendi kişisel veri işleme süreçleriyle birlikte bağlı olduğu ortaklığın kişisel veri işleme süreçlerine ilişkin de bilgi girişi yapmaları gerekmektedir.

Bkz. Kurum internet sayfasında 25/06/2021 tarihinde yayımlanan kamuoyu duyurusu. (www.kvkk.gov.tr/Icerik/6989/ORTAKLIKLARIN-VERBIS-E-KAYIT-YUKUMLULUGU-HAKKINDA-DUYURU)

60. Dernek, vakıf ve sendikalara ait iktisadi işletmelerin VERBİS’e kayıt olması gerekir mi?

Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalara ait iktisadi işletmelerden veri sorumlusu sıfatını haiz olanların (kişisel veri işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan ve ayrı tüzel kişiliği bulunanlar), ilgili Kurul kararlarında belirtilen kriterler (yıllık çalışan sayısı, yıllık mali bilanço ve ana faaliyeti kapsamında özel nitelikli kişisel veri işleme) açısından değerlendirilmesi ve bu kriterleri taşıyan iktisadi işletmelerin kendi adlarına VERBİS’e kayıt olması gerekmektedir.

Bununla birlikte, kişisel veri işleme süreçlerinin şeffaf ve ilgili kişilere hesap verebilir nitelikte yürütülmesi ile ilgili kişilerin kendi kişisel verileri üzerinde en üst düzeyde kontrol sağlaması amacıyla; yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalara ait iktisadi işletmelerden veri sorumlusu sıfatını haiz olmayanların yıllık çalışan sayısı, yıllık mali bilanço ve ana faaliyeti kapsamında özel nitelikli kişisel veri işleme kriterleri açısından değerlendirilmesi ve bu kriterleri taşıyan iktisadi işletme olması hâlinde; bu iktisadi işletmelerin bağlı oldukları dernek, vakıf veya sendika adıyla VERBİS’e kayıt olmaları ve kayıt esnasında yalnızca bu iktisadi işletmelerin kişisel veri işleme süreçlerine ilişkin bilgi girişi yapılması gerekmektedir.

Bkz. Kurum internet sayfasında 25/06/2021 tarihinde yayımlanan kamuoyu duyurusu.

(www.kvkk.gov.tr/Icerik/6990/DERNEK-VAKIF-VE-SENDIKALARA-AIT-IKTISADI-ISLETMELERIN-VERBIS-E-KAYIT-YUKUMLULUGU-HAKKINDA-DUYURU)

61. Kanuna aykırı hareket eden veri sorumlularına ilişkin Kurul tarafından uygulanan idari para cezaları nasıl belirlenmektedir?

Kanunda her ne kadar Kurul  tarafından  uygulanan  idari para cezalarının miktarının  tespit  edilmesine ilişkin kriterler açıkça belirlenmemiş olsa da, 5326 sayılı Kabahatler Kanununun 17. maddesinin ikinci fıkrasında idarî para cezasının, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebileceği, bu durumda, idarî para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı hükme bağlanmıştır.

Öte yandan, bu kriterlerin yanı sıra, Kurula intikal eden her vaka kendi içinde ayrıca değerlendirilmekte, hukuka aykırılığın gerçekleşme biçimi, bu aykırılıktan geniş bir kitlenin etkilenip etkilenmediği, etkilenen kişisel verilerin niteliği gibi ilave kriterler de göz önünde bulundurulmaktadır.

62. Yargı makamları veya infaz mercileri tarafından kişisel verilerin işlenmesi, her koşulda Kanundan istisna mıdır?

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hâllerinde, Kanunun 28. maddesi uyarınca, Kanun hükümleri uygulanmamaktadır. Yargı makamları ile infaz mercileri tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetlerinin her koşulda Kanundan istisna olması söz konusu olmayıp işleme faaliyetinin ancak soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak gerçekleştirilmesi durumunda, Kanundan tam istisna olma hali söz konusu olabilecektir.

Bkz. Kişisel Verileri Koruma Kurulunun 14/01/2020 tarihli ve 2020/26 sayılı Kararı. (www.kvkk.gov.tr/Icerik/6697/2020-26)

63. Kurumdan, 4982 sayılı Bilgi Edinme Hakkı Kanunu çerçevesinde tavsiye ve mütalaa talebinde bulunulabilir mi?

4982 sayılı Bilgi Edinme Hakkı Kanununun 27. maddesi uyarınca; tavsiye ve mütalaa talepleri, anılan Kanunun kapsamı dışında olduğundan, bu nitelikteki başvurulara Kurum tarafından cevap verilememektedir.

64. Veri sorumlusunun Avrupa Birliği Genel Veri Koruma Tüzüğüne uyum sağlaması, Kanunda öngörülen yükümlülüklerinin karşılanması bakımından yeterli midir?

Avrupa Genel Veri Koruma Tüzüğünde yer alan yükümlülüklerin yerine getirilmesi 6698 sayılı Kanunda yer alan yükümlülüklerin de yerine getirildiği anlamına gelmemektedir. Bu nedenle, ulusal mevzuat hükümlerine uyumluluğun sağlanması adına  veri  sorumlusunun 6698 sayılı Kanunda öngörülen yükümlülüklerini yerine getirmesi zorunludur.

Kaynak: Kişisel Verileri Koruma Kurumu – https://kvkk.gov.tr/SharedFolderServer/CMSFiles/d077b665-66b6-4615-975a-249f93e084ba.pdf 

Share :