Kişisel Verilerin Korunması (KVK) Temel Kavramları Nelerdir?

KİŞİSEL VERİLERİN KORUNMASI (KVK) TEMEL KAVRAMLAR

Kişisel Veri Nedir?

7 Nisan 2016 yürürlüğe giren ve özellikle şirketler için büyük bir değişim gerektiren Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenme şartlarını detaylı olarak düzenlemektedir. Peki, Kanun’da işlenme kuralları belirlenen kişisel veri kavramı neyi ifade etmektedir? Kimlerin hangi bilgileri kişisel veri sayılmaktadır?

Kişisel veri, Kanun’da; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanımdan hareketle bir bilginin kişisel veri niteliğinde olabilmesi için;

• Gerçek kişiye ilişkin olması,

• Gerçek kişinin kimliği belirli veya belirlenebilir olması ve

• Kanun’un aradığı anlamda bilgi ile kişi arasında ilişkin olma unsurunun gerçekleşmesi gerekmektedir.

-Bilginin Gerçek Kişiye İlişkin Olması

Kanun’un koruduğu kişisel veriler, yalnızca gerçek kişilere ilişkin verilerdir. Dolayısıyla tüzel kişilere ilişkin veriler kural olarak kişisel veri sayılmazlar. Ancak Kurul, tüzel kişilere ilişkin bilgilerin elde edilmesinin bir gerçek kişinin kimliğinin belirlenmesi sonucunu doğurması halinde Kanun’un uygulanabileceği belirtmiştir. Tüzel kişinin ticaret unvanının bir gerçek kişinin adı ve soy adından oluşması bu duruma örnek olarak verilebilir.

-Kimliğin Belirli Veya Belirlenebilir Olması

Gerçek kişiye ilişkin bir bilginin kişisel veri sayılabilmesi için, söz konusu gerçek kişinin kimliği belirli veya belirlenebilir olmalıdır. Bir kişinin belirli olması, yer aldığı gruptaki diğer kişilerden ayırt edilebilmesi anlamına gelir. Belirlenebilir olma ise, kişinin diğer kişilerden mevcut veriler kullanılarak ayırt edilememesine rağmen birtakım ek verilerle ayırt edilebilir olması durumunu ifade eder.

Ad ve soyadı çoğu durumda gerçek kişilerin belirlenebilmesi için yeterlidir. Ancak bazı hallerde kişinin belirlenebilmesi için ad ve soyada ilave olarak meslek, adres, yaş gibi verilere ihtiyaç duyulmaktadır. Bu ihtiyaç genellikle aynı ad ve soyadı taşıyan birden çok kişinin olduğu durumlarda ortaya çıkar. Bir kişinin ad ve soyadının bilinmemesi de tek başına onun belirli olmadığı göstermez. Örneğin, X şirketinde genel müdür yardımcısı olan ve Y marka otomobile sahip olan kişi, adı bilinmemesine rağmen belirli bir kişiyi ifade edebilecektir.

Bir kişinin belirlenebilir olması bakımından ise, veri sorumlusunun veya üçüncü bir kişinin başvurabileceği makul yollar ile elde edebileceği ilave veriler ile kişiyi teşhis edebilmesi ölçüt olarak kabul edilmektedir.

-İlişkin Olma

Genel olarak, gerçek kişiye ilişkin olma şartı, bilginin doğrudan söz konusu gerçek kişi hakkında olması ile sağlanır. Ancak bilginin doğrudan kişi hakkında olmadığı bazı durumlarda da ilişkin olma şartının gerçekleşebileceği kabul edilmektedir.

Bu duruma örnek olarak bir evin değerinin aslında bir nesne hakkındaki bilgi olmasına rağmen ev sahibi gerçek kişinin ödemesi gereken vergi, maddi durumu gibi bilgilerine ulaşılabildiği ölçüde kişisel veri olarak kabul edilecektir.

Yukarıda ifade edilen üç şartı taşıyan her türlü bilgi kişisel veri sayılır. Her türlü bilgi ifadesi kişinin fiziki, ailevi, sosyal, ekonomik ve sair özelliklerine ilişkin bütün bilgileri kapsamaktadır. Bilginin objektif veya sübjektif olmasının önemi yoktur. Doğru veya kanıtlamış olması da gerekmez. Benzer şekilde ifade ediliş biçiminin ve kaydedildiği ortamın önemi yoktur. Bu kapsamda örneğin; ad ve soyadı, adres, TCKN, telefon numarası, vergi numarası, medeni hal, meslek, doğum tarihi, cinsiyet, özgeçmiş, IP adresi, IMEI numarası, MAC adresi, konum bilgisi, fotoğraf, video, ses kaydı, sağlık raporu, kan grubu, parmak izi, göz rengi, DNA bilgisi, engel durumu, adli sicil kaydı, dernek üyeliği, maaş, özlük bilgileri, seyahat ve alışveriş bilgileri gibi bilgiler kişisel veridir.

Veri Sahibi: Veri sahibi en kısa tanımı ile “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir.

Kanun kapsamında veri sahibi, “kişisel verisi işlenen gerçek kişi” olarak çok geniş şekilde tanımlandığından ötürü “veri sahibi” oldukça geniş kapsamlı ele alınmaktadır. Bu doğrultuda

1. i) Özlük bilgileri işlenen bir personel,

1. ii) Telefon numarası kaydedilen bir müşteri,

iii) Kan grubu işlenen bir hasta veya

1. iv) Görüntüleri güvenlik kamerasına kaydedilen sokaktaki bir kişi

1. v) Doğumuna ilişkin bilgiler kaydedilen yeni doğmuş bir bebek

dahi veri sahibidir.

Medeni hukukta kişilik ölümle sona erdiğinden ölmüş kişiler veri sahibi sıfatını taşımazlar. Ancak belirli hallerde bu kişiler hakkındaki bilgiler de kişisel veri niteliğinde olabilir. Örneğin, kişinin ölüm sebebi, biyolojik olarak çocuklarında da olması zorunlu olan bir genetik hastalığı ortaya çıkarıyorsa kişisel veri sayılır. Dikkat edilmesi gerekir ki bu durumda veri sahibi, ölmüş kişinin kendisi değil çocuklarıdır.

Dolayısıyla kişisel verilerin korunması hukuku gerçekten de oldukça geniş bir alanı düzenlemektedir. Veri sahibinin ne olduğunu daha iyi anlamak için veri sahibinin unsurları üzerinden ilerlenebilir. Bu unsurlar Kişi Unsuru, Veri Unsuru ve İşleme Unsuru olarak 3’e ayrılır.

1)Kişi Unsuru

Gerçek Kişi: Kişisel verilerin korunması hukuku yalnızca “gerçek kişilerin verilerini” kapsamı altına almaktadır. Dolayısıyla ancak gerçek kişiler “veri sahibi” olabilir. Bu kapsamda

ο   Vakıf,

ο   Sendika,

ο   Şirket

gibi tüzel kişiler veri sahibi sayılmıyor olup

ο   İşçi,

ο   Tüketici,

ο   Gerçek kişi tacirler

ise kişisel verileri koruma hukukunun kapsamında birer veri sahibidirler.

2)Veri Unsuru

Her Türlü Verisi İşlenen: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda

ο   Saç renginden kan grubuna,

ο   Cep telefonundan arabasının modeline veya

ο   Elektrik kullanım bilgisinden en sevdiği dondurma markasına

ο   Konum bilgisinden elektronik cihazının IP adresine

kadar kişinin ayırt edilmesine yarayabilecek en ufak bir bilgisi işlenen kişi dahi Kanun kapsamında veri sahibi sıfatına sahip olmaktadır.

3)İşleme Unsuru:

Verisi İşlenen Kişi: Bir verinin Kişisel Verilerin Korunması Kanunu kapsamına girebilmesi için veri sahibine ait bir verinin işlenmesi gerekmektedir. Bu kapsamda işleme; otomatik yollarla veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla; elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma ya da kullanılmasını engelleme gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Bu doğrultuda belirli bir sistematik dâhilinde gözlük numarası kaydedilen şahıslar veri sahibi olacağı gibi yoldaki kameralar vasıtasıyla otomatik olarak görüntüleri kaydedilen araç sürücüleri de veri sahibi olarak değerlendirilmektedir.

Bu unsurlara göre kişinin veri sahibi olup olmadığı değerlendirilecek ve buna göre verisi işlenen veri sahibi birtakım haklara, veriyi işleyen veri sorumlusu da birtakım yükümlülüklere sahip olacaktır.

Veri Sahibinin Hakları: En önemli amaçlarından biri veri sahiplerini korumak olan kişisel verilerin koruması hukuku, yalnızca veri sorumlularını birtakım yükümlülükler altında bırakmamış; aynı zamanda veri sahiplerine de birçok hak tanımıştır. Söz konusu hakların kullanılmasıyla, veri sahibine kendi verisinin kaderine bir ölçüde hâkim olma imkânı tanınmıştır. Bu kapsamda veri sahiplerinin verilerinin işlenmesine ilişkin bilgi talep etme, ihlal halinde Kurul’a şikâyette bulunma ve veri sorumlusundan zararının tazminini isteme gibi birçok hakkı mevcuttur. Bu hakları sıralamak gerekirse;

1. a) Bilgi Talep Etme Hakkı: Veri sahibi, veri sorumlusuna başvurarak

• Kendisinin kişisel verisinin işlenip işlenmediğini,
• Kişisel verisinin hangi amaçla işlendiğini,

• Verilerinin belirlenen işleme amacına uygun kullanılıp kullanılmadığını
• Bu verilerin gerek yurt içinde gerekse de yurtdışında kimlere aktarıldığını ve
• Kişisel verilerinin işlenmesine ilişkin diğer her türlü bilgiyi

öğrenmeyi talep etme hakkına sahiptir. Bu kapsamda kişiler, verilerinin örneğin bir e-ticaret sitesi tarafından işlenip işlenmediğini merak ettikleri takdirde bu durumu sorabilecek, bu verilerin kimlere aktarıldığını ve hangi amaçla işlendiğini irdeleyebilecektir.

Hatta bu sayede veri sahipleri, örneğin adres işlemeye dair kendilerine karşı ileri sürülen “hizmeti doğru adrese gönderme” maksadına uygun şekilde bir işlemenin olup olmadığını da sorgulayabileceklerdir.

1. b) Kişisel Verilerin Düzeltilmesini İsteme Hakkı: Geniş çaplı bir koruma hedefleyen Kanun, yalnızca izinsiz veya amacından sapan veri işleme faaliyetlerine değil aynı zamanda yanlış ve eksik işlenen kişisel verilerin yol açabileceği zararlara karşı da veri sahibine koruma sağlamaktadır. Bu kapsamda veri sahibi, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkına sahiptir.

Böylece örneğin, gastrit olmasına rağmen hastalığı sigorta şirketinde mide delinmesi olarak işlenen bir veri sahibi, bu hatanın düzeltilmesini sigorta şirketinden talep edebilecektir. Bir başka örnek olarak Almancadan aldığı yüksek sınav puanı dosyasına eklenmeyen bir personel, bu eksikliğin düzeltilmesini işvereninden talep edebilecektir.

Ayrıca veri sahibi, bu işlemlerin kişisel verilerin aktarıldığı üçüncü Kişilere bildirilmesini de talep etme hakkına sahiptir.

1. c) Kişisel Verilerin Silinmesini Veya Yok Edilmesini İsteme Hakkı:

Veri sahipleri, veri sorumlusu tarafından veri işlemeyi gerektiren bütün sebeplerin ortadan kalkması halinde işlenen verilerinin silinmesini, yok edilmesini veya anonimleştirilmesini isteme hakkına sahiptir. Bu noktada belirtmeliyiz ki veri işlemeyi gerektiren sebep, zaman içerisinde kendiliğinden ortadan kalkabileceği gibi veri sahibinin dilediği zaman açık rızasını çekmesi ile de kalkabilir.

Dolayısıyla bir çalışan, (dava zamanaşımı süresi de geçtikten sonra) işvereninden kişisel verilerinin silinmesini, yok edilmesini veya anonimleştirilmesini isteyebileceği gibi bir abone de, kişisel verilerinin işlenmesine vermiş olduğu açık rızayı geri almak suretiyle kişisel verilerinin silinmesini talep edebilir.

Elbette açık rızanın geri çekilmesi halinde verilerin silinebilmesi için veri işleme faaliyetinin açık rızaya dayalı olarak yürütülüyor olması gerekir. Veri sorumlusunun kişisel verileri saklaması zaten Kanun’da yer alan istisnalardan birine dayanıyorsa (örneğin tacirlerin Türk Ticaret Kanunu’ndan kaynaklanan ticari belgeleri 10 yıl saklama zorunluluğu gibi) veri sahibinin rızasını çekmiş olması verilerin silinmesini gerektirmez.

Ayrıca veri sahipleri, kişisel verilerinin silinmesi, yok edilmesi ya da anonim hale getirilmesi işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme hakkına da sahiptir.

1. d) Aleyhine Çıkan Sonuçlara İtiraz Etme: Kişiler, kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilerek işlendiği durumlarda kendileri aleyhine çıkan sonuçlara itiraz etme hakkına sahiptir. Kanun koyucunun bu tarz bir koruma yolu öngörmesindeki amaç, teknolojik vasıtalarla yanlış sınıflandırmaya karşı bireyi korumaktır.

Örneğin kredi kartı harcamalarını analiz eden bir yazılım, kişinin sürekli tekel bayiinden alışveriş yapmasından hareketle o kişiyi “risk grubu”na sokarsa yahut çalışanlarının yazışmalarını takip eden bir robot; seçilen kelimeler, maile cevap verme süresi, yazma hızı gibi unsurları analiz ederek personel ile ilgili “aşırı heyecanlı” gibi bir sonuç çıkartırsa aleyhine sonuç çıkarılan veri sahipleri otomatik yollarla edinilen bu sonuçlara itiraz edebilecektir.

1. e) Kişisel Verilerinin Genel İlkelere Uygun İşlenmesini Talep Hakkı: Veri sorumluları, kişisel veri işleme faaliyetlerinde Kanun’da düzenlenen genel ilkelere uymakla mükelleftir. Bu kapsamda kanun koyucu, bir şemsiye hüküm olarak kişisel verilerin kanunda yazan genel ilkelere ve yasal veri işleme şartlarına bağlı olarak işlenmesi şartını koymuştur. Bu yükümlülük verilerin hukuka uygun bir şekilde elde edilmesi halinde de geçerlidir. Hatta veri sahibinin açık rızası alınmış olsa bile veri sorumlusu söz konusu genel ilkelere aykırı davranamaz. Zira bu ilkelere aykırı şekilde işledikten sonra kişisel verileri hukuka uygun şekilde elde etmiş olmanın pek bir önemi kalmamaktadır. Bu kapsamda veri sahiplerinin kişisel verilerinin aşağıdaki ilkelere bağlı şekilde işlenmesini talep etme hakkı bulunmaktadır:

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Dolayısıyla veri sahibi, örneğin iş başvurusunda bulunduğu bir kurumdan CV’sinin yalnızca gerekli süre kadar saklanmasını veya kişisel verilerini yalnızca depolama amacıyla saklayan bulut firmasından kişisel verilerinin diğer amaçlarla işlenmesinin önlenmesini talep edebilecektir.

1. f) Zararın Giderilmesini Talep Etme: Bir genel hüküm olarak; kişisel verilerinin Kişisel Verilerin Korunması Kanunu’na aykırı olarak işlenmesi sonucu zarara uğrayan kişiler, bu zararın giderilmesini talep etme hakkına sahiptir. Bu kapsamda veri sahiplerinin zarara uğradıklarını ve bu zararın veri sorumlusunun kişisel verileri Kanuna aykırı şekilde işlemesi sebebiyle doğduğunun ispat edebilmesi gerekmektedir.

Örneğin, kişisel verileri güncel şekilde işlenmeyen bir veri sahibi, bu sebeple zamanında yeteri miktarda kredi alamadığını ve ticari olarak zarara uğradığını ispat ederek ilgili veri sorumlusundan tazminat talebinde bulunabilecektir. Yahut bir sohbet sitesinin veri güvenliğine ilişkin yükümlülüklerini yeterince özenli şekilde yerine getirmemesinden ötürü siber saldırıya uğraması ve veri sahibinin aslında eşcinsel olduğunun ortaya çıkması halinde zarara uğrayan kişi, bu sebeple ortaya çıkan (işten kovulma gibi) maddi ve (ailesinden dışlanma gibi) manevi zararlarının tazminini talep edebilecektir. Ancak benzer bir siber saldırı sonrasından aslında uyuşturucu kaçakçılığı yaptığı ifşa olan kişinin bu sebeple tazminat istemesi hakkaniyete aykırı olacaktır.

Veri sahiplerinin yukarıda sıralanan hakları kullanmak için 3 alternatif yola sahip olduğunu söyleyebiliriz:

1. a) Veri Sorumlusuna Başvurmak ve Akabinde Kişisel Verileri Koruma Kurulu’na Şikayette Bulunmak: Kişisel Verileri Koruma Kurulu’na başvurmak isteyen veri sahipleri, kişisel verilerine ilişkin her türlü bilgi taleplerini ve Kanun’da sayılan diğer haklarına ilişkin taleplerini, öncelikle veri sorumlusuna yazılı olarak iletmek zorundadır. Başvurunun Kurul’un belirleyeceği diğer yöntemlerle yapılması da mümkündür. Veri sorumlusu; bu talebi karşı en geç 30 gün içinde olumlu yahut olumsuz şekilde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenecek tarifedeki ücret alınabilir.

Veri sahipleri, veri sorumlusuna başvuruda bulunmaksızın Kurul’a şikâyet haklarını kullanamazlar. Eğer Veri Sahibi tarafından Veri Sorumlusuna yapılan başvuru reddedilir, verilen cevap yetersiz olur, ya da süresi içinde cevap verilmezse, ancak bu durumda Veri Sahibi, Kurul’a şikâyette bulunabilecektir. Kurul’a yapılan şikâyet tarihinden itibaren 60 gün içinde cevap verilmemesi halinde şikâyet reddedilmiş sayılır. Kurul, Veri sorumluları aleyhine idari para cezasına hükmedebileceği gibi aykırılığın düzeltilmesine de karar verebilir. Ayrıca gerekmesi halinde Kurul, birtakım tedbirlere de hükmedebilecektir. Kurul’un kararları için idari yargıya başvuru yolu açıktır.

Kişisel Verileri Koruma Kurulu, veri sorumlularının kişisel verilerin korunması ve işlenmesine ilişkin kurallara uyup uymadığını re’sen denetleme yetkisine sahiptir. Kurul’un re’sen gerçekleştireceği denetimin yanı sıra veri sahiplerine de şikâyet hakkı tanınarak daha etkin bir koruma mekanizması öngörülmüştür. Bu kapsamda kişisel verileri hukuka aykırı şekilde işlenen kişiler, önce veri sorumlusuna ardından Kurul’a başvurabilecek ve hatta Kurul kararlarına karşı yargı yoluna gidebileceklerdir. Peki bu süreç tam olarak nasıl işlemektedir ve veri sahiplerinin nelere dikkat etmesi gerekmektedir?

Bu noktada yanlış anlaşılmaların önüne geçmek için peşinen belirtmek isteriz ki; Kişisel verilerinin ihlalinden ötürü zarar görenlerin tazminat davası açması bu prosedürden bağımsız olduğu gibi mağdur olsun olmasın herkesin kişisel verilerin hukuka aykırı şekilde işlenmesinden ötürü suç duyurusunda bulunma hakkı da saklıdır.

Hangi Hallerde Şikayette Bulunulabilir?

Veri sahipleri; Kişisel Verilerin Korunması Kanunu’nun uygulanmasına yönelik her türlü ihlali şikâyet etme hakkına sahiptirler. Bu kapsamda

• Veri işleme şartları olmaksızın kişisel verisinin işlenen,
• Kişisel verileri genel ilkelere aykırı olarak işlenen,
• Kişisel verileri hukuka aykırı olarak silinmeyen, yok edilmeyen veya anonim hale getirilmeyen,
• Kişisel verileri hukuka aykırı şekilde üçüncü kişilere aktarılan,
• Verisi işlenmesine rağmen Kanuna uygun olarak aydınlatılmayan,
• Veri sorumlusu tarafından kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirler alınmayan

herkes Kişisel Verileri Koruma Kurulu’na şikayet hakkına sahiptir.

Kimler Şikayette Bulunabilir?

Kanun’da başka herhangi bir kişi öngörülmediği için ancak kişisel verisi Kanun’a aykırı olarak işlenen veri sahipleri şikâyet yolunu kullanabilecektir. Veri sahipleri bu şikâyet yoluna vekilleri aracılığıyla da başvurabilirler.

Ayrıca Kanun’a muhalif uygulamaları öğrenmeleri halinde (aşağıda anlatılan prosedürden bağımsız olarak) üçüncü kişilerin de Kurul’a ihbarda bulunmalarının önünde herhangi bir engel bulunmadığını belirtmemiz gerekmektedir.

Şikayet Prosedürü Nedir?

Kurul’a doğrudan şikâyet imkânı olmayıp hakları ihlal edilen veri sahiplerinin öncelikle aykırılığın düzeltilmesi için veri sorumlularına başvurmaları gerekmektedir. Bu başvuru kural olarak yazılı olmakla birlikte Kurul’un belirleyeceği (elektronik başvuru gibi) diğer yöntemlerle de yapılabilir. Veri Sorumlusu bir tüzel kişilikse veri sahipleri taleplerini irtibat kişisine iletilebilecektir.

Veri sorumlusu, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin (posta ücreti gibi) ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret başvuru esnasında alınabilecektir.

Bu noktada veri sorumlusunun önünde iki seçenek vardır:

1) Veri sahibinin talebini kabul etme ve gereğini yerine getirme

2) Gerekçesini açıklayarak talebi reddetme

Cevap vermemenin de Kanun uyarınca bir ret olarak kabul edildiğini belirtmemiz gerekir. Veri sorumlusu, cevabını veri sahibine yazılı olarak veya elektronik ortamda bildirmekle mükelleftir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu talebin gereğini yerine getirecektir. Ayrıca başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde başvuru esnasında alınan ücret ilgiliye iade edilecektir.

Kurul’a Şikayet

Veri sahibi tarafından yapılan başvurunun veri sorumlusu tarafından reddedilmesi, cevabın yetersiz bulunması veya hiç cevap verilmemesi halinde;

• Cevabın öğrenildiği tarihten itibaren 30 gün içinde
• Eğer veri sorumlusu cevap vermediyse başvuru tarihinden itibaren 60 gün içinde

veri sahibi tarafından Kurul’a şikayette bulunulabilecektir. Önemine binaen hatırlatmak isteriz ki, veri sahibi, veri sorumlusuna başvurmadan ve yukarıdaki sürelere uymadan Kurul’a şikâyet hakkını kullanamaz.

Yine de bu süreler geçse bile veya bir şekilde veri sorumlusuna başvurulmasa bile Kurul’a ihbarda bulunmanın önünde herhangi bir engel bulunmadığını tekrar hatırlatmak isteriz. Ancak bu durumda Kurul’un gerekli incelemeleri yapmaması halinde veri sahibinin (idari yargı mercileri nezdinde) itiraz hakkı olmayacağı kanaatindeyiz.

Kurul’a yapılacak şikayetler ve ihbarlar için sunulacak dilekçelerde, dilekçe sahibinin

• Adı soyadı,
• İmzası,
• İş veya ikametgâh adresinin

bulunması gerekir. Aksi takdirde dilekçe ile sunulan ihbar ve şikâyet incelemeye alınmaz. Ayrıca sunulan dilekçede konunun öz şekilde aktarılması faydalı olacaktır.

Gereken şartları içeren dilekçeyi Kurul incelemeye alacaktır. Bu inceleme esnasında veri sorumluları Kurul’un istediği bilgi ve belgeleri 15 gün içinde iletmekle mükelleftir. Ayrıca Kurul’un yerinde inceleme yetkisi de mevcut olup talep halinde veri sorumlusu, 15 gün içinde yerinde inceleme yapılmasına imkân sağlama zorundadır.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, henüz incelemesini tamamlamadan veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilecektir.

Kurul inceleme sonucunu şikayet tarihinden itibaren 60 gün içinde taraflara bildirir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Şikâyet üzerine veya re’sen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Aksi takdirde veri sorumlusu hakkında Kurul tarafından 25.000 TL’den 1.000.000 TL’ye kadar idari para cezasına hükmolunacaktır.

Toparlamak Gerekirse;

Her ne kadar suç duyurusunda bulunma ve tazminat için dava açma hakları saklı olsa da, Kanun ile birlikte Kişisel Verileri Koruma Kurulu’na şikâyet yolu da yeni bir imkân olarak kurgulanmıştır. Bu kapsamda kişisel verileri hukuka aykırı işlenenler öncelikle veri sorumlularına başvurmalı, cevap verilmezse ya da verilen cevap tatmin edici olmazsa Kurul’a şikayette bulunmalıdır.

1. b) Suç Duyurusunda Bulunmak: Veri sahipleri yahut üçüncü kişiler; veri sorumluları tarafından “Kişisel Verilerin Hukuka Aykırı Kaydedilmesi”, “Kişisel Verileri Hukuka Aykırı Olarak Yayma veya Ele Geçirme”, “Kişisel Verileri yok etmeme” suçlarının işlendiğinden şüpheleniyorsa yukarıdaki başvuru prosedüründen bağımsız olarak doğrudan savcılığa suç duyurusunda bulunabilirler. Bu suçlar şikâyete bağlı olmadığı için yalnızca suçtan zarar gören kişi değil herkes suç duyurusunda bulunabilir. Suçun işlendiğinin sabit olması halinde sorumlular hakkında (suçun niteliğine göre) 6 yıla kadar hapis cezasına hükmedilme ihtimali mevcuttur.
2. c) Genel Mahkemelerde Dava Açmak: Veri sahipleri, Kanun’a aykırılık nedeniyle bir zarar uğramaları halinde tazminat talebinde bulunabilirler. Zarara uğrayan veri sahipleri, zararı ve bu zararın kişisel verilerin korunması hukukuna aykırı davranıştan kaynaklandığını ispat eden bilgi ve belgelerle genel mahkemelere başvurabilecektir. Eğer dava idareye karşı açılıyorsa idare mahkemelerine, diğer kişilere karşı açılıyorsa hukuk mahkemelerine başvurulması gerekmektedir.

Kişisel Verilerin İşlenmesi: 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenme şartlarını detaylı olarak düzenliyor. Peki veri işlemek ne anlama geliyor? Hangi faaliyetler veri işleme kapsamında sayılıyor?

Kişisel verilerin işlenmesi, Kanun’da,

• Kişisel Veriler Üzerinde

ο        “Tamamen veya kısmen otomatik” olan

ο      Ya da “herhangi bir veri kayıt sisteminin parçası” olmak kaydıyla “otomatik olmayan” yollarla

• Gerçekleştirilen her türlü işlem olarak tanımlanmıştır.

Görüldüğü üzere Kanun, verilerin elde edilmesinden silinmesine kadar olan süreçte gerçekleşen her türlü işlemin, kişisel verinin işlenmesi anlamına geldiğini ifade etmektedir. Kanun’da bu işlemlere “verilerin elde edilmesi”, “kaydedilmesi”, “depolanması”, “muhafaza edilmesi”, “değiştirilmesi”, “yeniden düzenlenmesi”, “açıklanması”, “aktarılması”, “devralınması”, “elde edilebilir hâle getirilmesi”, “sınıflandırılması” ya da “kullanılmasının engellenmesi” faaliyetleri örnek olarak verilmiştir.

Dolayısıyla, yaygın olarak sanıldığının aksine; bir şirketin yıllar önce elde ettiği verileri sadece fiziki ya da dijital ortamda saklaması bir veri işleme faaliyeti sayılmaktadır ve yalnızca Kanun’da öngörülen şartlar çerçevesinde gerçekleştirilmesi gerekir. Aynı şekilde verilerin İnternet’te paylaşılması da verilerin işlenmesi anlamına gelmektedir.

Kısaca, kişisel verileri işlemek, veriler üzerinde yapılan bütün faaliyetleri ifade etmektedir. İşlemenin fiziki ya da dijital ortamda gerçekleşmesi, işleme konusu verilerin niteliği ve veri sahibinin kimliğinin bu kapsamda önemi yoktur. Ancak Kanun’un uygulanabilmesi için işleme faaliyetleri ya

• Kısmen ya da tamamen otomatik yollarla, (ya da)
• Bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla

gerçekleşmelidir.

Otomatik yollarla verilerin işlenmesi, elektronik cihazlar vasıtasıyla insan müdahalesi olmadan kendiliğinden gerçekleşen faaliyetlerdir. Örneğin, büyük verinin  (Big Data) bilgisayarlar tarafından otomatik olarak analize tabi tutulması bu şekildedir.

Otomatik olmayan yollarla gerçekleşen veri işleme faaliyetlerinde Kanun’un uygulanabilmesi için ise “veri kayıt sisteminin parçası olma” şartı getirilmiştir. Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre kaydedildiği her türlü sistemdir.

Örneğin, kişilerin ad ve soyadlarının yaş gruplarına ayrılarak kaydedilmesi Kanun kapsamında bir veri işleme sayılacakken, herhangi bir kriter gözetilmeksizin bir kağıt parçasına yazılması veri işlemenin kapsamı dışında tutulacaktır.

Aleni Veri: Kanun’da aleni verinin tanımına yer verilmemiştir. Ancak Tasarı Gerekçesinde ‘‘ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuya açıklanmış olan’’ ifadesine yer verilmiştir. Dolayısıyla bir verinin aleni kabul edilebilmesi için kamuya açıklanmış olması gerekir. Aynı organizasyon çatısı altında kamuya açıklama amacı güdülmeksizin verilerin paylaşılması alenileştirme anlamına gelmeyecektir.

Örneğin, kişinin verileri aynı şirkette, platformda ya da bir tüzel kişilik altında olmasa da aynı ekipte çalıştığı 30 kişinin yer aldığı bir mail grubuna göndermesi halinde alenileştirmeden söz edilemez. Veya yalnızca belirli bir arkadaş /takipçi kitlesine yapılan kişisel veri içeren paylaşımların da aleni olduğu savunulamaz. Bu noktada Kanun’un amacına uygun olarak veri sahibinin amacı esas alınmalıdır.

Aleni Veriler Kanun Kapsamında Mıdır?

Kanun’un uygulanmayacağı haller m. 28/1 hükmünde sıralanmıştır. Aleni veriler ilgili hükümde yer alan durumlardan biri olmadığından Kanun kapsamında korunur ve işlenirler.

Aleni Veriler Her Şekilde İşlenebilir Mi?

Kanun’da “ilgili kişinin kendisi tarafından alenileştirilmiş olan” kişisel verilerin işlenmesinde açık rıza aranmayacağı belirtilmiştir. Lafzından da anlaşılacağı üzere bu hükmün uygulanabilmesi için verinin veri sahibinin kendisi tarafından alenileştirilmiş olması gerekir. Veri sahibinin bu yönde bir amacı olmamasına rağmen verilerinin ele geçirilip rızası dışında alenileştirildiği hallerde hüküm uygulanamaz.

Her ne kadar alenileştirilmiş verilerin işlenmesi bakımından rıza gerekmiyor ise de Kanun’da yer alan genel ilkelere uyma zorunluluğu devam etmektedir. Bu kapsamda aleni veriler de;

• Hukuka ve dürüstlük kurallarına uygun,
• Doğru ve gerektiğinde güncel,
• Belirli, açık ve meşru amaçlar için ve
• İşlenme amacıyla bağlantılı, sınırlı ve ölçülü işlenmeli;
• Mevzuatta öngörülen ya da işleme amacının gerektirdiği süre ile muhafaza edilmelidir.

Örneğin, kişinin kendi internet sitesinde alenileştirdiği fotoğrafının bir başkası tarafından sahte kimlik kartı düzenleme ya da sahte bir sosyal medya hesabı açma amacıyla işlenmesi hukuka aykırıdır.

Ancak bir kişinin Linked-in gibi bir mecrada alenileştirdiği iletişim bilgilerinin kendisine iş teklifinde bulunma gibi alenileştirme amacıyla örtüşür ve meşru bir amaçla işlenmesi mümkündür.

Aydınlatma Yükümlülüğünden Muafiyet

Kanun’un m. 28/2 hükmü uyarınca yalnızca veri sahibi tarafından alenileştirilmiş verilerin işlenmesi bakımından veri sorumlularının aydınlatma yükümlülüğü ve Veri Sorumluları Siciline kayıt yükümlülüğü bulunmamaktadır. Ayrıca bu durumda, zararın giderilmesini talep etme hakkı hariç, veri sahibinin haklarına ilişkin hükümler de uygulanmaz.

Kişisel Verileri Koruma Kurumu: Esasında Rekabet Kurumu, SPK gibi bağımsız bir idari organ olan Kurum, Kişisel Verilerin Korunması Kanunu kapsamında regülatif bir denetim kurumu olarak tasarlanmıştır. Hiyerarşik olarak hiçbir devlet organının altında veya üstünde olmayan Kurum’un ana amacı, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamaktır. Bu kapsamda

• Hem Kanun’un çizdiği çerçevelerde yönetmelik ve ilke kararları çıkarmak
• Hem de kişisel verilerin geniş çapta korunması için bir kontrol mekanizması olmak

Kurum’un asli iki görevi olarak irdelenebilir. Bu doğrultuda Kurum, Başkanlık aracılığıyla Veri Sorumluları Sicilini tutmakta ve bünyesinde yer alan Kişisel Verileri Koruma Kurulu marifetiyle kontrol mekanizması olarak

• Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamakta,
• Veri sorumlularına 1.000.000 TL’ye varan idari para cezaları kesebilmekte,
• Önemli hallerde veri işlenmesinin durdurulmasına yönelik tedbir kararı verebilmekte ve
• Veri Sorumluları Sicili’ne kayıt zorunluluğuna istisnalar getirmektedir

Kurul söz konusu çalışmalara faal olarak başlamış olup birçok veri sorumlusuna idari para cezası vermiş, kişisel verileri ihlal eden kurumlar hakkında suç duyurusunda bulunmuştur.

Kural koyucu ve belirleyici mekanizması ile de Kurul;

• Kanun’da belirlenmeyen hususları ilgili Yönetmelikle belirleme,
• İlkelerin ve yetkilerin çerçevesini netleştirip hukukun öngörülebilirliğinin sağlanması için emsal olması adına ilke kararları alma
• Yurt dışına veri aktarılabilmesi için yeterli korumaya sahip olan ve olmayan ülkeleri belirleyip ilan etme

yetkisine sahiptir.

Bu kapsamda Kurul yayımladığı ve yayımlayacağı rehberler ile bu alandaki bütün aktörlere yol göstermekte, Kanun uygulamasına yön verecek ilke kararları almakta ve veri sorumluları siciline kaydolma mecburiyetinden kimlerin müstesna tutulacağına karar vermektedir. Bu anlatılanlar göz önünde bulundurulduğunda Kişisel Verileri Koruma Kurumu’nun ve bünyesinde yer alan Kurul’un Kanunun uygulanmasında müstesna bir yere sahip olduğu ortaya çıkmaktadır.

Kişisel  Verilerin Aktarılması: Esasında Kişisel Verilerin aktarılması, bir veri sorumlusu/veri işleyen tarafından başka bir veri sorumlusuna / veri işleyene aktarılmasını ifade etmektedir.

Örneğin bir bankanın kişisel verilerin bir kısmını bir bilgi işlem şirketine aktarması bu kapsamda değerlendirilebilir.

Bu noktada karıştırılma ihtimalini bertaraf etmek için belirtmeliyiz ki; aynı tüzel kişi bünyesinde farklı birimler arasında veri paylaşımı yapılması Kanun kapsamında veri aktarımı sayılmamaktadır.

Dolayısıyla örneğin bir bankanın insan kaynakları departmanı ile muhasebe departmanı arasındaki veri alışverişi Kanun’da belirtildiği anlamıyla özel şartlara tabi olan bir veri aktarımı değildir zira kişisel veri, tek bir veri sorumlusunun farklı departmanları arasında iletilmiştir.

Ancak bir şirketler topluluğunda bir şirketten diğerine veri iletimi kanun kapsamında özel şartlara sahip bir veri aktarımı sayılmaktadır çünkü burada iki farklı tüzel kişilik arasında bir veri iletimi mevcuttur.

Veri Aktarımı Hangi Şartlara Tabidir?

Genel kural olarak kişisel veriler, veri sahibinin açık rızası olmadan aktarılamaz. Açık rızanın tam olarak ne olduğu ve hangi şartları taşıması gerektiği Açık Rıza başlıklı yazımızda detaylıca açıklanmış olsa da; yeri gelmişken belirtmek gerekir ki veri sahibinden veri aktarımına ilişkin alınacak açık rızada kişisel verilerin kimlere aktarılacağının ismen belirtilmesine gerek olmayıp hangi faaliyet alanındaki veri sorumlularına/veri işleyenlere aktarılacağının belirtilmesi yeterli olacaktır. (Örneğin, sigorta şirketleri, grup şirketler, reasürorler, holding şirket gibi)

Veri sahibinden açık rıza alınması veri aktarımında yegâne şart olmayıp, aşağıdaki veri işleme şartlarının bulunması halinde de kişisel veriler açık rıza olmaksızın aktarılabilir:

1)  Kanunlarda açıkça öngörülmesi,

2)  Fiili imkânsızlık,

3)  Bir sözleşmenin kurulması veya ifası,

4)  Veri sorumlusunun hukuki yükümlülüğü,

5)  Alenileştirilmiş olma,

6)  Bir hakkın tesisi, kullanılması veya korunması amacı,

7)  Veri Sorumlusunun Meşru Menfaatleri

Dolayısıyla örneğin veri sahibinin kendisinin Linkedin aracılığıyla alenileştirmiş olduğu verisinin bir üçüncü kişiye aktarımı için o kişiden açık rıza almak zorunlu olmadığı gibi veri sorumlusunun kişisel verileri içeren faturaları (beyanname hazırlanması vb amaçlarla) muhasebeciye göndermesi için de açık rıza almasına gerek bulunmamaktadır. Konuyla ilgili daha detaylı bilgi için Hangi Hallerde Açık Rıza Gerekmez? başlıklı yazımızı okuyabilirsiniz.

Peki Hassas Veriler de Aynı Şartlara mı Tabi?

Irk, sağlık bilgisi, siyasi görüş, dini inanç gibi kişisel veriler kanun kapsamında hassas veri olup bunlar da genel kural olarak ancak veri sahibinin açık rızası olması durumunda aktarılabilirler. Ancak açık rızanın olmadığı hallerde ise yukarıda sayılan veri işleme şartlarından yalnızca kanunda öngörülme şartının varlığı halinde hassas kişisel veriler aktarılabilir.

Sağlık ve cinsel hayata ilişkin veriler için ise kanunda öngörülme şartının varlığı da yeterli değildir. Söz konusu veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası alınmaksızın işlenebilir.

Kişisel Verileri Aktarırken Nelere Dikkat Edilmelidir?

Belirtmek gerekir ki kişisel verileri aktarırken açık rıza almak veya veri işleme şartlarına sahip olmak tek başına yeterli olmayıp Veri Sorumlularının genel kural olarak

• Aydınlatma yükümlülüğünü yerine getirme,
• Silme, yok etme veya anonim hale getirme yükümlülüğüne uyma,
• Veri işlemeye yönelik genel ilkelere uyma

pgibi yükümlülükleri bulunmaktadır. Bunlara ilave olarak kişisel veriler aktarılırken teknik açıdan veri güvenliğine de dikkat edilmeli, kişisel verilerin kötü niyetli 3. kişilerin eline geçmesini önlemeye yönelik tedbirler alınmalıdır. Ayrıca verilerin aktarıldığı kişinin de kişisel verilerin korunması hukukuna uygun şekilde faaliyet göstereceğine emin olunmalı, mümkünse ilgili kişi-kurum ile Veri Paylaşım Sözleşmesi yapılmalıdır. Bu sözleşmede

• Kişisel verilerin hangi amaçla aktarılacağı,
• Ne kadar süre boyunca saklanacağı,
• Veri işlemede kimlerin yetkili olacağı,
• Kişisel verilerin hangi şartlarda işleneceği

gibi hususların kararlaştırılmış olması, tarafların sorumluluklarını belirleme adına yerinde olacaktır.

Peki Bu Şartlara Uymamanın Cezası Nedir?

Kişisel verileri hukuka aykırı olarak üçüncü kişilere aktarmanın cezası 2 yıl ila 4 yıl arasında hapis cezası olup aynı zamanda kişisel verilerine ilişkin hakları ihlal edildiği için zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı mevcuttur.

Ayrıca yukarıda bahsedilen aydınlatma yükümlülüğünün ihlal edilmesi, veri güvenliğinin ihlal edilmesi gibi hallerde Kişisel Verileri Koruma Kurulu tarafından 1.000.000 TL’ye kadar idari para cezasına maruz kalma ihtimali mevcuttur.

Toparlamak gerekirse; genel kural olarak kişisel verilerin aktarılmasında veri sahibinden açık rıza almak zorunda olunup (eğer diğer veri işleme şartları da yoksa) bu kuralın ihlali halinde veri sorumluları hakkında tazminata, para cezasına ve hapis cezasına mahkûm edilme ihtimali gündeme gelecektir. Bu noktada Kişisel Verilerin Yurt Dışına aktarılmasının ayrı hükümlere tabi olduğunu önemine binaen tekrar hatırlatmak isteriz.

Kişisel Verileri Yurt Dışına Aktarmak: Esasında kişisel verilerin aktarılması, bir veri sorumlusu/veri işleyen tarafından başka bir veri sorumlusuna / veri işleyene aktarılmasını ifade etmektedir. Kişisel Verilerin Yurtdışına aktarılması ise Türkiye’deki ortamlarda tutulan kişisel verilerin Yurtdışındaki ortamlara aktarılmasını ifade eder.

Bu kapsamda yurt dışındaki bir sunucuya veya sunucuları yurtdışında olan bulut platformlarına veri aktarmak kanun kapsamında “yurtdışına aktarım” sayılacağı gibi bir şirketin, elde ettiği kişisel verileri Türkiye dışındaki kendi organlarına aktarması da “yurtdışına aktarım” olarak değerlendirilecektir.

Yurtdışına Kişisel Veri Aktarımı Hangi Şartlara Tabidir?

Genel kural olarak kişisel veriler, veri sahibinin açık rızası olmadan yurtdışına aktarılamaz

Eğer veri sahibinden açık rıza alınmadıysa; Kanun’da düzenlenen veri işleme şartlarından en az birinin bulunması zorunlu olup ayrıca

1. a) Kişisel verilerin aktarılacak ülkenin yeterli hukuki korumanın bulunduğu ülkelerden olması

veya

1. b) Veri aktarımının tarafları olan veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un aktarıma izin vermesi

gerekmektedir. Görüldüğü üzere kişisel verilerin yurtdışına aktarılmasında yalnızca veri işleme şartlarının varlığı yeterli görülmemiş olup ilave birtakım koşulların sağlanması mecburiyeti öngörülmüştür.

Dolayısıyla örneğin A ülkesindeki sunuculara kişisel verileri depolamak isteyen bir işletme veri sahiplerinden açık rıza almadıysa hem “veri sorumlusunun sözleşmeyi ifa etmesi için gerekli olması” gibi bir veri işleme şartına sahip olunması hem de Kurul’un A ülkesini yeterli korumanın bulunduğu ülkelerden biri olarak kabul etmesi gerekmektedir. Bu kapsamda eğer A ülkesi Kurulca ilan edilecek yeterli korumanın bulunduğu ülkeler listesinde bulunmuyorsa; bu durumda hem veri aktaran işletmenin hem de veri elde edecek gerçek/tüzel kişinin yeterli korumayı yazılı olarak taahhüt etmesi ve bu aktarıma Kurul’un izin vermesi gerekecektir.

Ayrıca Kanun uyarınca kişisel veriler; açık rıza alınsa bile, Türkiye’nin veya veri sahibinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. Dolayısıyla örneğin (milli güvenlik gibi) ülke menfaatlerinin veya (temel kişilik haklarının ihlali gibi) veri sahibinin menfaatinin zarar görme riskinin bulunması halinde Kurul’dan izin almak mecburidir.

Hangi Ülkeler Yeterli Korumanın Bulunduğu Ülkelerdendir?

Esasında henüz Kurul yeterli korumanın bulunduğu ülkelerin listesini ilan etmemiştir. Her ne kadar Kurul yeterli korumanın bulunduğu ülkelerin listesini yayınlamamış olsa da hangi ülkelerin listede bulunacağına Kanun’da geçen aşağıdaki kriterler değerlendirilerek karar verilecektir:

1. a) Türkiye’nin taraf olduğu uluslararası sözleşmeler,
2. b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu,
3. c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi,
4. d) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması,
5. e) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler,

Aynı şekilde Kurul, yeterli koruma bulunmasa bile veri aktaran ile veri aktarılan arasındaki yazılı taahhüdü inceleyip veri aktarımını onaylayıp onaylamamayı da bu kriterleri göz önünde bulundurarak değerlendirecektir. Tüm bunlara ilave olarak Kurul, değerlendirmelerini yaparken gerekli gördüğü kurum ve kuruluşların görüşünü alma hakkına da sahiptir.

Peki Hassas Veriler de Aynı Şartlara mı Tabi?

Irk, sağlık bilgisi, siyasi görüş, dini inanç gibi kişisel veriler kanun kapsamında hassas veri olup bunlar da genel kural olarak ancak veri sahibinin açık rızası olması durumunda yurtdışına aktarılabilirler. Ancak açık rızanın olmadığı hallerde ise yukarıda sayılan veri işleme şartlarından yalnızca kanunda öngörülme şartının varlığı halinde hassas kişisel veriler yurtdışına aktarılabilir.

Sağlık ve cinsel hayata ilişkin veriler için ise kanunda öngörülme de yetmiyor olup bu veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası alınmaksızın işlenebilir.

Tüm bunlara ilave olarak kişisel veri aktarılacak ülkenin yeterli koruma bulunan ülkelerden olması, değilse veri sorumlularının yazılı taahhüt vermesi ve Kurul’dan izin alınmasına ilişkin şartlar devam etmektedir.

Kişisel Veriler Aktarılırken Nelere Dikkat Edilmelidir?

Belirtmek gerekir ki kişisel verileri aktarırken açık rıza almak veya veri işleme şartlarına sahip olmak tek başına yeterli olmayıp Veri Sorumlularının genel kural olarak

1. a) Aydınlatma yükümlülüğünü yerine getirme,
2. b) Silme, yok etme veya anonim hale getirme yükümlülüğüne uyma,
3. c) Veri işlemeye yönelik genel ilkelere uyma

gibi yükümlülükleri bulunmaktadır. Bunlara ilave olarak kişisel veriler aktarılırken teknik açıdan veri güvenliğine de dikkat edilmeli kişisel verilerin kötü niyetli üçüncü kişilerin eline geçmesini önlemeye yönelik tedbirler alınmalıdır. Ayrıca verilerin aktarıldığı kişinin de kişisel verilerin korunması hukukuna uygun şekilde faaliyet göstereceğine emin olunmalı, mümkünse ilgili kişi-kurum ile Veri Paylaşım Sözleşmesi yapılmalıdır. Bu sözleşmede

1. a) Kişisel verilerin hangi amaçla aktarılacağı,
2. b) Ne kadar süre boyunca saklanacağı,
3. c) Veri işlemede kimlerin yetkili olacağı,
4. d) Kişisel verilerin hangi şartlarda işleneceği

gibi hususların kararlaştırılmış olması, tarafların sorumluluklarını belirleme adına yerinde olacaktır.

Peki Bu Şartlara Uymamanın Cezası Nedir?

Kişisel verileri hukuka aykırı olarak üçüncü kişilere aktarmanın cezası 2 yıl ila 4 yıl arasında hapis cezası olup aynı zamanda kişisel verilerine ilişkin hakları ihlal edildiği için zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı mevcuttur. Kişisel verilerin hukuka aykırı olarak yurtdışına aktarılması, hapis cezasının daha üst sınırdan verilmesine ve tazminattaki kusur oranının daha yüksek sınırdan verilmesini etkileyecektir.

Ayrıca yukarıda bahsedilen aydınlatma yükümlülüğünün ihlal edilmesi, veri güvenliğinin ihlal edilmesi gibi hallerde Kişisel Verileri Koruma Kurulu tarafından uygulanacak 1.000.000 TL’ye kadar idari para cezasına maruz kalma ihtimali mevcuttur.

Toparlamak gerekirse; genel kural olarak kişisel verilerin aktarılmasında veri sahibinden açık rıza almak zorunda olunup (eğer diğer veri işleme şartları da yoksa) bu kuralın ihlali halinde veri sorumluları hakkında tazminata, para cezasına ve hapis cezasına mahkûm edilme ihtimali gündeme gelecektir.

Kişisel Sağlık Verilerinin İşlenmesi: Kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisidir. Örneğin, kişiye ait sağlık raporu, engel durumu, işçinin periyodik muayene raporu vb. veriler sağlık verisi niteliği taşırlar. Hatta, nüfus cüzdanı üzerinde bulunan kan grubu bilgisi veya duruma göre kişinin fotoğrafı da (sedef hastalığına sahip veya gözlük kullanan birinin vesikalık fotoğrafı gibi) esasında sağlık verisidir.

Dolayısıyla veri sorumluları nüfus cüzdanı fotokopisi aldığında bile (kan grubu bilgisi veya duruma göre fotoğraftan ötürü) esasen sağlık verisi işlediklerinden Kanun ve Yönetmelik’te belirlenen özel şartlara uymaları gerekir.

2) Kişisel Sağlık Verilerinin İşlenmesinde Uyulması Gereken İlkeler Nelerdir?

Kişisel sağlık verileri de, diğer kişisel verilerde olduğu gibi Kanun’da belirtilen genel ilkelere uygun olarak işlenmek zorundadır. Bu ilkeler;

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İşlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sıralanmıştır.

3) Kişisel Sağlık Verileri Nasıl İşlenmelidir?

Kişisel sağlık verileri kural olarak veri sahibinin açık rızasının alındığı durumlarda işlenebilir. Açık rızanın geçerli olabilmesi için, veri sahiplerinin Kanun’un 10. maddesine uygun olarak aydınlatılması gerekir. (Aydınlatma Yükümlülüğüne ilişkin detaylı bilgi için tıklayınız.)

Yönetmelik’in yürürlüğe girdiği tarihte, kişisel sağlık verileri için alınacak rızanın yazılı olması ve muhafaza edilmesi zorunluydu. Ancak 24.11.2017 tarihli değişiklik ile bu şart kaldırılmıştır.

Dolayısıyla, sağlık verileri için her ne kadar genel kural olarak açık rıza alınmak zorunda olsa da, bu rızanın yazılı olmasına gerek bulunmamaktadır. Ancak ispat yükünden kurtulmak için açık rızanın yazılı olarak alınması tavsiye edilmektedir.

Veri sahibi, aksi yönde bir hukuki düzenleme veya yargı kararı bulunmadığı müddetçe vermiş olduğu rızayı istediği zaman geri alabilir. Ancak rızanın geri alınması, o tarihe kadar yapılmış olan işlemlerin geçerliliğini etkilemez.

Açık rızanın bulunmadığı durumlarda ise sağlık verisinin işlenebilmesi için aşağıdaki şartların birlikte gerçekleşmesi gerekir:

1. a) Aşağıdaki amaçlarından en az biri mevcut olmalıdır:

• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

1. b) Sağlık verileri sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmelidir.

Bu sebeple sağlık verileri, bir hakkın tesisi, veri sorumlusunun meşru menfaati gibi genel nitelikteki kişisel verilerin açık rıza olmaksızın işlenebileceği hallerin mevcudiyetinde dahi, eğer yukarıdaki şartları taşımıyorsa açık rıza olmaksızın işlenemez.

Dolayısıyla şirketin meşru bir menfaati bulunsa bile, bina ve tesis girişlerinde ziyaretçilerin kimliğinin fotokopisini (kan grubu verisi bulunduğu için) personelin açık rızası olmadan alamayacaktır.

Sağlık verilerinin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek yeterli önlemlerin de alınması gerekmektedir.

4) Kişisel Sağlık Verileri Nasıl Aktarılabilir?

Kişisel sağlık verileri; veri sahibinin açık rızasının alındığı durumlarda yurtiçinde ya da yurtdışına aktarılabilir. Açık rızanın bulunmadığı hallerde ise aktarım için verilerin anonimleştirilmesi ya da aşağıdaki şartların sağlanması gerekir:

Kişisel sağlık verilerinin yurtiçinde aktarılması için veri aktarımının;

• Kamu sağlığının korunması,
• Koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amaçlarından en az biri ile

1. a) Sır saklama yükümlülüğü altında bulunan kişiler

veya

1. b) Yetkili kurum ve kuruluşlar

tarafından yapılması gerekir.

Yurt dışına aktarımda ise yukarıdaki şartlara ilave olarak; aktarım yapılacak ülkenin Kurul tarafından güvenli ülke kabul edilmiş olması ya da her iki ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul’un veri aktarımına izin vermesi gerekir.

5) Kişisel Sağlık Verisi Sahibinin Hakları Nelerdir?

Veri sahipleri; veri sorumlusuna başvurarak;

• Kişisel sağlık verilerinin işlenip işlenmediğini öğrenme,
• Kişisel sağlık verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel sağlık verilerine erişim ve bu verileri isteme,
• Kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel sağlık verilerinin silinmesini gerektiren şartların ortaya çıkması halinde kişisel verilerin silinmesini isteme,
• Kişisel sağlık verilerinin düzeltilmesi ve silinmesi ile ilgili işlemlerin, kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen kişisel sağlık verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel sağlık verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

6) Kimler Sır Saklama Yükümlülüğü Altında?

Veri sorumlusu ve varsa veri işleyen kişiler, öğrendikleri kişisel verileri Kanun ve Yönetmelik hükümlerine aykırı olarak bir başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük, kişisel veri işleme faaliyetinin sona ermesinden sonra da devam eder.

Dolayısıyla örneğin kanun kapsamında bir işveren, personelinin sahip olduğu ülser hastalığına dair bilgiyi hiçbir şekilde amacı dışında kullanamayacak ve kimseye bahsetmeyecektir.

7) İhlal Durumunda Uygulanacak Yaptırımlar Nelerdir?

Kişisel sağlık verilerine ilişkin suç ve kabahatler konusunda Kanun’un yaptırıma ilişkin maddelerine atıf yapılmıştır. Dolayısıyla, sağlık verisi dışındaki kişisel verilere paralel olarak, sağlık verilerine ilişkin suçlar ve kabahatler bakımından da Kanun’un 17 ve 18. maddeleri uygulanacaktır. O halde ihlal durumunda sorumluların;

• 6 yıla varan hapis cezası,
• Milyonlarca TL’lik idari para cezası ve
• Zarara uğrayanların zararını tazmin sorumluluğu

ile karşılaşması mümkündür.

Veri Sorumlusu Temsilcisi: Türkiye’de yerleşik olmayan tüzel kişi veri sorumlularının kendilerini Kişisel Verileri Korunma Kurumu nezdinde temsil etmesi için atadıkları kişilerdir. Veri Sorumlusu Temsilcisi Türkiye’de yerleşik olan bir tüzel kişi olabileceği gibi Türkiye Cumhuriyeti Vatandaşı gerçek kişi de olabilir. “Veri Sorumlusu Temsilcisi”nin adı, adresi ve alınmış olması halinde KEP adresi Veri Sorumluları Sicili’nde yayınlanır.

Kimler Veri Sorumlusu Temsilcisi Atamak Zorunda?

Merkezi Türkiye’de bulunmayan ve veri sorumlusu sıfatıyla veri işleyen tüm tüzel kişiler “Veri Sorumlusu Temsilcisi” atamakla yükümlüdür.

Dolayısıyla Sicil’e kaydolmakla mükellef olup olmadığına bakılmaksızın Türkiye’de yerleşik olmayan tüm tüzel kişi veri sorumluları “Veri Sorumlusu Temsilcisi” atamak zorundadır.

Türkiye’de yerleşik olmayan veri sorumlusunun, “Veri Sorumlusu Temsilcisi” atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, Veri Sorumluları Sicili’ne kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kurum’a sunulur. Veri Sorumluları Sicili Hakkında Yönetmelik m. 11/3 hükmünde ifade edilen tüm yetkiler bu kararda Veri Sorumlusu Temsilcisi’ne verilmiş olmalıdır. Kararın tasdiki noterlikler aracılığıyla yapılabileceği gibi konsolosluklar aracılığıyla da yapılabilir.

Bu noktada Veri Sorumlusu Temsilcilerinin irtibat kişisi atamakla da yükümlü olduğunu hatırlatmak isteriz.

Veri Sorumlusu Temsilcisi’nin Görevleri Nelerdir?

“Veri Sorumlusu Temsilcisi”nin görevleri aşağıdaki şekilde sıralanabilir:

1)      Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme

2)      Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,

3)      Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sahiplerinin veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,

4)      Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; veri sahiplerine Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,

5)      Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma

“Veri Sorumlusu Temsilcisi”, bizzat veri sorumlusu olmadığı için kişisel verilerin korunması hukukundan kaynaklanan tazminat ve cezaların öncelikli muhatabı Veri Sorumlusu‘dur. Ancak genel ilkeler kapsamında Veri Sorumlusu’nun kural olarak, bu cezalar için kusuru oranında Veri Sorumlusu Temsilcisine rücu edebileceğini belirtebiliriz.

İrtibat Kişisi: İrtibat kişisi, Veri Sorumluları Sicili Hakkında Yönetmelik’te bahsi geçen tüzel kişilerin

1. A) Kurumla İletişimi sağlamak
2. B) Veri Sahipleriyle irtibatı sağlamak

adına atadıkları gerçek kişiyi ifade etmektedir. Bu kapsamda gerçek kişilerin irtibat kişisi atama yükümlülükleri olmadığı gibi irtibat kişisi de, (şirket, dernek gibi) tüzel kişi değil ancak gerçek kişi olabilir.

Kamu kurum ve kuruluşlarında irtibat kişisinin kim olacağı ise Yönetmelik’te özel olarak düzenlenmiştir. Buna göre bir kamu tüzel kişiliğinde üst düzey yönetici tarafından atanacak irtibat kişisi, daire başkanı veya üstü yöneticidir.

Kimler İrtibat Kişisi Atamakla Yükümlü?

Veri Sorumluları Sicili Hakkında Yönetmelik’in iki grubu irtibat kişisi atamakla yükümlü tuttuğunu belirtebiliriz:

1. A) Türkiye’de Yerleşik Olan Tüzel Kişiler
2. B) Türkiye’de Yerleşik Olmayan Tüzel Kişi Veri Sorumlusunun Temsilcisi (Veri sorumlusu temsilcisinin görevlerine ilişkin linkteki yazımızı inceleyebilirsiniz)

Bu noktada Yönetmelik lafzından, Veri Sorumluları Sicili’ne kaydolmakla yükümlü olsun/olmasın her tüzel kişi veri sorumlusunun irtibat kişisi atamak zorunda olduğu anlaşılmaktadır. Ancak Veri Sorumluları Sicili’ne kaydolmak zorunda olmayanlar bunu Veri Sorumluları Sicili’ne bildirmekle yükümlü değildirler. Dolayısıyla işletme boyutuna bakılmaksızın merkezi Türkiye’de olan herhangi bir limited şirket veya üye sayısına bakılmaksızın herhangi bir dernek de irtibat kişisi atamakla mükelleftir. Ancak Veri Sorumluları Sicili’ne kaydolmakla mükellef olan tüzel kişiler atadıkları irtibat kişisini Kurum’a bildirecek olup irtibat kişisinin kimliği, adresi ve varsa kayıtlı elektronik posta adresi de Sicil’de yayınlanacaktır.

İrtibat Kişisinin Görevleri Nelerdir?

Yönetmelikle irtibat kişisine verilen görevleri iki başlık altında toplayabiliriz:

1. A) Kurumla iletişimi sağlamak
2. B) Veri Sahipleriyle irtibatı sağlamak

Bu noktada belirtmeliyiz ki İrtibat kişisi Veri Sorumlusu’nun temsilcisi değildir. Dolayısıyla İrtibat kişisi Veri sorumlusu adına işlem yapma yetkisine sahip olmayıp Kurum’dan gelecek taleplerin tebliğ edildiği kişi olarak tarif edebiliriz. Benzer şekilde İrtibat Kişisi, Veri Sahiplerinden gelecek soru ve taleplerde değerlendirme makamı olmayıp yalnızca irtibatı sağlayıcı pozisyondadır.

İrtibat Kişisinin Sorumluluğu

İrtibat kişisi Veri Sorumlusunun yasal temsilcisi olmadığından asli sorumluluk da veri sorumlusu olan tüzel kişiye aittir. Dolayısıyla gerek kurum gerekse de veri sahipleri nezdinde irtibat kişisi değil, tüzel kişi sorumludur. Ancak irtibat kişisinin gerekli iletişimin sağlanmasındaki kusurundan ötürü veri sorumlusunun tazminat veya ceza ödemesi durumunda, irtibat kişisine kusuru oranında rücu edilebilecektir.

Veri Sorumluları Sicili: Veri Sorumları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde kamuya açık olarak tutulacak ve veri sorumlularının belirli bilgileri sunarak kişisel veri işleme faaliyetine başlamadan önce kayıt yaptırmak zorunda olduğu sicildir.

Sicile Kayıt Zorunluluğu Başladı mı?

Veri Sorumluları Sicili Hakkında Yönetmelik yürürlüğe girmiş olsa da Sicil’e kayıt zorunluluğu henüz başlamamıştır. Kurul, konuya ilişkin duyurusunda Sicil’e kayıt yükümlülüğünün istisnalarının belirlenmesi ve VERBİS’in hizmete açılmasının ardından kayıt zorunluluğu için bir başlangıç tarihinin ilan edileceğini ifade etmiştir.

Kimler Kayıt Yaptırmak Zorunda?

Kanun’da kişisel verileri işleyen tüm gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Sicile kaydolmasının zorunlu olduğu belirtilmiştir. Dolayısıyla kural, her veri sorumlusunun kaydolmasıdır. Hatta Yönetmelik ile Türkiye’de yerleşik olmayan veri sorumlularının dahi atayacakları veri sorumlusu temsilcisi marifetiyle Sicil’e kayıt yaptırması zorunlu kılınmıştır.

Ancak Kurul, Sicil’e kayıt zorunluluğunun olmayan kişi ve kurumları belirleme yetkisine sahiptir. Peki bu kişi ve kurumlar nasıl belirlenecektir? Kurul’un bu belirlemede objektif kriterleri kullanması öngörülmüştür. Bunlar:

• Kişisel verinin niteliği.
• Kişisel verinin sayısı.
• Kişisel verinin işlenme amacı.
• Kişisel verinin işlendiği faaliyet alanı.
• Kişisel verinin üçüncü kişilere aktarılma durumu.
• Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
• Kişisel verilerin muhafaza edilmesi süresi.
• Veri konusu kişi grubu veya veri kategorileri.

Bunun yanı sıra, Kurul’un bu konudaki kararından bağımsız olarak Kanun’un m.28 hükmünde sayılan hallerde de Sicile kayıt zorunluluğu bulunmamaktadır. (Kanun metni için tıklayınız.)

Sicile Kayıt Ücretli Mi?

Avrupa Birliği ülkelerinde veri sorumluları siciline kayıt çoğunlukla belirli bir ücrete tabi tutulmaktadır. Hukukumuzda henüz bu yönde bir ücret belirlenmese de 5 Aralık 2017’de yürürlüğe giren Bazı Vergi Kanunları İle Diğer Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un tasarısında Sicile kayıt ücretinin alınmasına dair düzenlemeler yer almıştır. Ancak tasarının kanunlaşması sürecinde ilgili hükümler kabul edilmemiştir. Aynı şekilde Sicil’e kayıt ücretinin belirlenmesine ilişkin Yönetmelik’te de bir düzenleme bulunmamaktadır.

Dolayısıyla Sicil’e kayıt yaptırmak ücretsiz olacaktır.

Sicile Kaydolmamanın Cezası Nedir?

Veri Sorumluları Siciline kayıt yaptırması zorunlu olan bir kişi veya kurumun, bu yükümlülüğü ihlal etmesinin yaptırımı 20.000 TL ila 1.000.000 TL arasında değişen idari para cezasıdır. Cezanın miktarı, Kurul tarafından belirlenecektir.

Sicile Kayıt Başvurusu Nasıl Yapılır?

Sicile kayıt, VERBİS (Veri sorumluları sicil bilgi sistemi) üzerinden dijital ortamda yapılacaktır. Veri sorumluları başvuru için VERBİS’e aşağıdaki bilgileri yüklemek zorundadır:

• Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
• Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi

Yönetmelik, yukarıda yer alan bilgilerin veri sorumluları tarafından oluşturulacak kişisel veri işleme envanterine dayalı olarak sunulmasını zorunlu tutmaktadır.

Nitekim birçok şirket, vakıf, sendika ve dernek bu yükümlülük kapsamında veri işleme envanterlerini hazırlamaya, kayıt için gerekli bilgileri oluşturmaya ve Kanun’a ve Yönetmelik’e uyumun sağlanması adına gerekli aksiyonları almaya başlamıştır.

Yukarıda sayılan bilgilerin yanı sıra Türkiye’de yerleşik veri sorumluları atayacakları irtibat kişisinin bilgilerini de Sicil’e işleyeceklerdir. Türkiye’de yerleşik olmayan veri sorumluları için ise, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneğini, Sicil’e kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kurum’a sunulacaktır. İrtibat Kişisi ve Veri Sorumlusu Temsilcisi hakkında detaylı bilgi için tıklayınız.

Özetle, her veri sorumlusu kişisel veri işleme faaliyetlerine başlamadan önce Veri Sorumluları Sicili’ne VERBİS üzerinden kayıt olmak zorundadır. Ancak Kurul, kayıt zorunluluğu olmayan veri sorumluları belirleyeceği ifade edilmektedir. Ücretsiz olması öngörülen kayıt başvurusu esnasında sunulacak bilgiler Yönetmelik ile düzenlenmiştir. Yönetmelik’e uyumun sağlanması, Sicil’e kayıtla yükümlü her işletme için bir kişisel veri işleme envanteri hazırlanmasını zorunlu kılmaktadır. Ayrıca Türkiye’de yerleşik veri sorumlularının bir irtibat kişisi, yabancı ülkelerde yerleşik olanların ise veri sorumlusu temsilcisi ataması gerekmektedir.

Kişisel Veri İşleme Envanteri: Kişisel veri işleme envanteri, Yönetmelik’te

‘‘Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter’’

olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerini gösteren dokümandır. Veri sorumluları hazırlayacakları envanterde:

• Her bir veri işleme faaliyetinin amacını,
• İşlenen verilerin yer aldığı kategoriyi,
• Veri aktarımı söz konusu ise alıcının yer aldığı kategoriyi ve
• Veri sahibinin yer aldığı kategoriyi ilişkilendirerek göstermelidirler.

Örnek vermek gerekirse, birçok şirket güvenlik amacıyla bina girişlerinde ziyaretçilerden nüfus cüzdanı talep etmekte ve nüfus cüzdanı üzerinde yer alan TCKN bilgisini sistemlerine kaydedebilmektedir. Bu veri işleme faaliyeti için envanterde belirtilmesi gereken aşağıdaki şekilde ifade edilebilir:

Veri işleme amacı            ⇒ Şirket binasında güvenliğin sağlanması

Veri kategorisi                  ⇒ Kimlik bilgisi

Veri konusu kişi grubu    ⇒Ziyaretçi

Bunun yanı sıra envanterde aşağıdaki bilgiler de yer almalıdır:

• Yurt dışına aktarılması öngörülen kişisel veriler.
• Veri güvenliğini sağlamak için alınan tedbirler.
• Kişisel verilerin azami saklama süresi.

Azami Muhafaza Edilme Süresi Nasıl Belirlenmelidir?

Veri sorumluları, Sicil’e başvuruda bildirecekleri veri kategorilerini için mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresini de bildirmekle yükümlüdür. Yönetmelik’e göre, veri sorumlusu tarafından Sicil’e bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicil’e bildirim yapılacaktır.

Azami muhafaza edilme sürenin belirlenmesinde aşağıdaki faktörlerin dikkate alınması öngörülmüştür:

• İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre.
• İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki   ilişkinin devam edeceği süre.
• İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre.
• İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre.
• Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup  olmadığı.
• Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak            zorunda olduğu süre.
• Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

Kişisel Veri İşleme Envanteri Nasıl Hazırlanmalıdır?

Kişisel veri işleme envanterinin hazırlanmasında en önemli husus, envanterin veri sorumlusunun bütün veri işleme faaliyetlerini eksiksiz olarak içermesidir. Bu kapsamda örneğin veri sorumlusu tüzel kişilik bünyesindeki her bir takımın gerek dijital (online ya da offline) ortamda herhangi bir cihaz vasıtasıyla gerekse dijital olmayan yollarla işlediği tüm veriler tespit edilecektir.

Dijital ve fiziki arşivlerde tutulan verilerin de tespit edilip envantere işlenmesinin zorunlu olduğu düşünülürse, bu sürecin ne kadar zor olduğu daha iyi anlaşılabilir. Ayrıca envanterin oluşturulduğu sırada mevcut olmayan fakat daha sonra eklenen veri işleme faaliyetleri de en kısa sürede envantere eklenmelidir.

Bunun yanı sıra her bir faaliyetin; amaç, veri konusu kişi, alıcı grubu ve veri kategorisi ile de doğru ilişkilendirilmesine özen gösterilmelidir. Elbette bir kişisel veri birden çok amaçla işleniyor ya da birden çok kişiye aktarılıyor olabilir. Bu halde kişisel verilerinin farklı işleme amaçlarının ya da aktarım faaliyetlerinin ayrı ayrı gösterilmesi gerekecektir.

Kurul, envanterin hazırlanmasının herhangi bir şekil şartına bağlı olmadığını, kolayca erişilebilir ve veri işleme faaliyetlerine ilişkin doğru bilgilendirmeye elverişli olmak koşuluyla isteğe bağlı olarak metin ya da liste formunda hazırlanabileceğini ifade etmiştir.

Kişisel Veri İşleme Envanteri Ne İşe Yarar?

Yukarıda da ifade edildiği üzere, kişisel veri işleme envanteri bir şirketin (ya da diğer türde bir veri sorumlusunun) bütün kişisel veri işleme faaliyetlerini ortaya koyan bir dokümandır. Envanter:

• Veri Sorumluları Sicili’ne kayıt başvurusunda,
• Aydınlatma yükümlülüğünün yerine getirilmesinde,
• Veri sahiplerinin başvurularının yanıtlanmasında ve
• Açık rızanın kapsamının belirlenmesinde kullanılacaktır.

Özetle, Veri Sorumluları Sicili’ne kayıt olmakla yükümlü olan her şirket aynı zamanda bir kişisel veri işleme envanteri hazırlamak zorundadır. Asgari içeriği Yönetmelik ile belirlenen envanter için özel bir şekil şartı getirilmemiştir. Önemli olan, envanterin bütün veri işleme faaliyetlerini içermesidir. Envanterin oluşturulması kişisel verilerin korunması alanının hukukumuza yeni dahil olduğu düşünüldüğünde başlangıçta karmaşık gözükse de esasen, Kanun’un yürürlüğe girmesinden bu yana uyum sürecini başlatan birçok veri sorumlusunun bu yönde adımlar attığı ifade edilmelidir.

Hassas Veri: Kanun koyucu, işlenmelerinin kişiler hakkında ayrımcılığa yol açma riskinin yüksek olması nedeniyle birtakım verileri özel nitelikli kişisel veri olarak nitelendirmiş ve işlenme şartları daha sıkı bir şekilde düzenlemiştir. Hassas veri olarak da ifade edilen özel nitelikli kişisel veriler Kanun’un 6. maddesinde sıralanmıştır. Buna göre kişilerin

• Irkı ve etnik kökeni,
• Siyasi düşüncesi ve felsefi inancı,
• Dini, mezhebi veya diğer inançları,
• Kılık ve kıyafeti,
• Dernek, vakıf ya da sendika üyeliği,
• Sağlık ve cinsel hayatına ilişkin bilgileri,
• Ceza mahkûmiyeti ve güvenlik tedbirleri ile ilgili verileri ve
• Biyometrik ve genetik verileri

özel nitelikli kişisel veri sayılmaktadır.

Hassas Veriler Kanun’da Sayılanlardan İbaret Midir?

Hassas verilerin sınırlı sayıda olup olmadığı Avrupa Birliği hukukunda tartışmalı olmakla birlikte, Türk hukukunda Kişisel Verileri Koruma Kurumu, “6698 Sayılı Kişisel Verilerin Korunması Kanununun Uygulanmasına Yönelik Soru Cevaplar” rehberinde bu verilerin ilgili hükümde sayılanlarla sınırlı olduğu belirtmiştir.

Dolayısıyla yaygın olarak sanıldığının aksine, kredi kartı bilgileri, TC kimlik numarası gibi bilgiler kişisel veri niteliğinde olmakla birlikte, Kanun kapsamında hassas veri sayılmazlar.

Hassas Veriler Nasıl İşlenmelidir?

Her şeyden önce belirtmek isteriz ki, Kanun’da yer alan genel ilkelere, aydınlatma yükümlülüğüne ve veri güvenliğine ilişkin diğer yükümlülüklere hassas veriler bakımından da uyulması zorunludur. Hassas verilerin işlenme kurallarını özel nitelikli olmayan kişisel verilerden ayıran husus, faaliyetin dayanağı olan açık rızanın istisnalarının farklı düzenlenmiş olmasıdır. Kanun’un 6. maddesine göre, hassas veriler veri sahibinin açık rızası ile işlenebilir. Açık rızanın olmadığı hallerde ise;

• Sağlık ve cinsel hayat dışındaki hassas veriler yalnızca kanunlarda öngörülen hallerde,
• Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Bunun yanı sıra, hassas verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması da şarttır.

Sağlık verilerinin işlenme şartları, 20 Ekim 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Hakkında Yönetmelik ‘e tabidir. (Konuyla ilgili detaylı bilgi için “Sağlık Verilerinin İşlenmesi” başlıklı yazımızı okuyabilirsiniz.)

Hassas Veriler Açık Rıza Olmadan Aktarılabilir Mi?

Hassas verilerin üçüncü kişi ve kurumlarla paylaşılması, belirli şartlar altında açık rıza alınmaksızın da gerçekleştirilebilir. Kanun’un aktarımı düzenleyen 8. maddesi uyarınca hassas veriler, yeterli önlemler alınmak kaydıyla, açık rızanın istisnalarının (Kanun m.6/3) mevcut olması halinde yurt içinde aktarılabilir. Yurt dışına aktarımda ise açık rıza istisnalarının bulunmasına ilave olarak;

• Aktarımın yapılacağı ülkenin yeterli korumaya sahip olması
• Yeterli korumaya sahip değilse her iki ülkedeki veri sorumluların yazılı olarak yeterli korumayı taahhüt etmeleri ve Kurul’un aktarıma izin vermesi

gerekmektedir. Yeterli korumanın olduğu ülkeler, Kurul tarafından belirlenecek olup henüz bu yönde bir belirleme yapılmamıştır.

Özetle, işlenmelerinin ayrımcılık riskini doğurduğu kabul edilen bazı veriler hassas veri olarak nitelendirilmiştir. Hassas verilerin nelerden ibaret olduğu Kanun’un 6. Maddesinde sıralanmıştır. Söz konusu verilerin işlenme şartları farklı düzenlenmiş olup bu özel şartlara riayet edilmesi gerekmektedir. Zira Kurul tarafından uygulanacak idari para cezalarında göz önünde bulundurulacak hususlardan biri de ihlal konusu verilerin niteliğidir. Dolayısıyla hassas verilerle ilgili ihlallerin gerçekleştirilmesi halinde işletmeler daha üst sınırdan idari para cezaları ile karşılaşabileceklerdir.

Açık Rıza: Kişisel verilerin hukuka uygun olarak işlenebilmesi için kural, veri sahibinin açık rızasının alınmasıdır.

Kanun’da açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Tanımdan hareketle açık rızanın aşağıdaki üç şartı taşıması gerektiği söylenebilir:

1) Açık Rızanın Belirli Bir Konuya İlişkin Olması

Açık rızanın belirli bir konuya ilişkin olmasının anlamı, rıza beyanının hangi verilerin işlenebileceğini ve hangi amaçlarla işleme yapılabileceğini açıkça göstermesidir. Veri sorumlusu, rızanın hangi veri işleme faaliyetlerini kapsayacağı konusunda sınırı çizmelidir. Veri işlemenin spesifik amacı belirtilmeden, birçok amacı kapsayabilecek genel ifadeler kullanılarak alınan rızalar hukuka uygun değildir.

Örneğin, “kişisel verilerinizin şirketimiz tarafından her türlü amaçla işlenmesini ve gerekli her kişi ve kuruma aktarılmasını onaylıyor musunuz?” Şeklinde düzenlenen bir rıza metninin belirli bir konuya ilişkin olduğu düşünülemez.

2) Açık Rızanın Özgürce Verilmesi

Açık rızanın geçerliliği için taşıması gereken diğer şart ise, özgürce verilmiş olmasıdır. Geçerli bir rızadan söz edebilmek için veri sahibinin kişisel verilerinin işlenmesine aldatma, zorlama veya korkutma altında onay vermemiş olması gerekir.

Rızanın özgürce verilmiş olması şartı, özellikle işçi- işveren ilişkisinde önem arz eder. Zira bu ilişkinin doğası gereği, işçi işverene bağımlılık duymaktadır. Bu bağımlılık duygusu ise, işçinin rıza vermediği takdirde diğer işçilerden farklı muameleye tabi tutulabileceği ve hatta işten çıkartılabileceği korkusu taşımasına sebep olabilecektir. Bu sebeple Avrupa Birliği otoriteleri tarafından iş ilişkisinde rızanın özgürce verilip verilmediği hususunun titizlikle incelenmesi gerektiği belirtilmektedir.

Ayrıca, rızanın özgürce verilmiş olduğunun kabulü için veri sahibine rızasını dilediği zaman geri alma imkânı da tanınmış olmalıdır

Örneğin, günümüzde X-Ray cihazları alışveriş merkezleri, havalimanları gibi birçok kamuya açık alanda kullanılmaktadır. Cihazdan geçiş anında veri sahibinin kişisel verileri işlendiğinden, bu anda veri işleme şartlarından birinin mevcut olması gerekir. X-Ray cihazlarından geçişin veri sahibinin tercihine bırakıldığı hallerde, kişi uçağını kaçırmamak ya da şüpheli bir kimse izlenimi vermemek adına cihazdan geçişi kabul edecektir. Dolayısıyla, geçmemenin olumsuz sonuçları yüzünden geçiş tercihi yapacaktır. Bu tarz alınan rıza yeterince özgür olmayacağından, bu durumda veri işleme faaliyetinin hukuka uygun dayanağının rıza değil, veri sorumlusunun meşru menfaati olacağını kabul etmek gerekir.

Veri sahibinin rızası, bir sözleşmenin ifasına ya da bir hizmetin sunulmasına da bağlanamaz. Bu durumlarda da rızanın özgürce verildiğinden söz edilemeyecektir.

Örneğin havayolu şirketleri, ABD’ye yapılan uçuşlarda yolcuların PNR bilgilerini ABD yetkili mercileri ile paylaşmaktadırlar. Bu veri aktarımı yolcu ile havayolu şirketi arasındaki sözleşmeye bağladığında, veri sahibine yolculuk etmek istediği takdirde verilerinin işlenmesine rıza vermek zorunda kalacaktır. Dolayısıyla bu rıza özgürce verilme şartını taşımayacaktır.

3) Açık Rızanın Bilgilendirmeye Dayanması

Geçerli bir açık rızadan söz edebilmek için, veri sahibine kişisel verilerin işlenme amacı, hangi verilerin işleneceği vb. hususlarında bilgi verilmiş olması zorunludur. Bilgilendirme yapılmadan onay alınmış olması halinde, alınan onay geçersiz olacaktır. Veri sahiplerine yeterli bilginin sunulduğunun kabulü için aşağıdaki iki şartın sağlanması gerekir:

Bilginin niteliği: Bilgi, ortalama bir veri sahibinin anlayabileceği açıklıkta ve sektöre özgü teknik terimler kullanılmadan verilmelidir. Bilgilendirme metni asgari olarak Kanun’un 10. maddesinde yer alan konuları kapsamalıdır.

Bilginin ulaşılabilirlik ve görülebilirliği: Bilgilendirme, veri sahiplerine doğrudan yapılmalıdır. Bilginin herhangi bir yerde ulaşılabilir olması yeterli değildir. Ayrıca, bilgilendirme metni kolaylıkla okunabilir boyut ve yazı stilinde olmalıdır.

Ancak, temel bilgilerin kısa metin ile sunulması ve bu kısa metinde doğrudan detaylı bilgilendirme metnine açılan bir linke yer verilmesi mümkündür. İngiltere Veri Koruma Otoritesi (Information Commissioner’s Office) bilgilendirme yapılırken bu şekilde “kademeli yaklaşımın” benimsenebileceğini ifade etmektedir.

Bir internet sitesine üye olurken form altına eklenebilecek, yanında onay kutucuğu olan “Kişisel verilerimin Aydınlatma Metni’nde belirtilen şekilde işlenmesine izin veriyorum.” ifadesinin kullanıcı tarafından onaylanmasıyla açık rıza alınabilir. (Ancak rızanın geçerliliği için, Aydınlatma Metni bir köprü ile doğrudan bilgilendirme metnine açılmalıdır.)

Açık Rıza Ne Zaman Alınmalıdır?

Veri sahibinin açık rızası, kişisel verilerinin işlenmesinden önce alınmalıdır. Aksi halde, işlemenin başladığı zamandan rızanın alındığı zamana kadar geçen sürede gerçekleşen işlemeler hukuka aykırı olacaktır.

Açık Rıza Nasıl Alınmalıdır?

Kanun’da rıza alınması için spesifik bir şekli şartı getirilmemiştir, açık rıza sözlü olarak dahi alınabilecektir; örneğin yazılı bir sözleşmeyle rıza alınabileceği gibi, veri işlemesini açıkça onaylayan sözlü bir beyan da yeterli sayılır. Hatta sözlü bir beyan dahi olmaksızın, kişinin açık onayını gösteren aktif davranışları rıza için yeterli sayılacaktır. Ancak, kanunen açık rıza alınırken ilgili kişinin aktif bir hareketi aranmaktadır, diğer bir deyişle zımni rıza olarak alınan rıza Kanun kapsamında geçerli sayılmayacaktır.

Yine de ileride bir uyuşmazlık doğması halinde, açık rıza alındığının gösterilebilmesi için ispat edilebilir yöntemlerle rıza alınması gerekmektedir.

Sonuç olarak, veri sahibinin açık rızası bilgilendirmeye dayanmalı, belirli bir konuya ilişkin olmalı ve özgürce verilmelidir. Açık rıza, kişisel veri işleme faaliyetinin başlamasından önce elde edilmelidir. Rızanın geçerliliği için yazılı olarak alınması zorunlu olmasa da ispat kolaylığı açısından sözlü olarak alınması tavsiye edilmemektedir.

Açık Rıza Aldıktan Sonrası:  Veri Sorumlularının düştüğü en büyük yanılgılardan birisi de veri sahiplerinden açık rıza aldıktan sonra sınırsız bir özgürlüğe sahip olduklarını düşünmeleridir. Ne var ki bu büyük bir hata olup veri sorumluları diğer yükümlülüklerinin farkında olmazlarsa ciddi meblağlarda tazminat ve idari para cezalarına maruz kalabilecekler, hatta hapis cezası ile dahi karşılaşabileceklerdir.

Veri sahiplerinin hukuka uygun olarak elde edilmiş açık rızaları veri işleme faaliyetinin hukuka uygun olması için tek başına yeterli değildir. Açık rıza, veri sorumlularına kişisel verileri diledikleri gibi işleme hakkı bahşetmez. Bütün veri sorumluları, (veri sahibinin açık rızası alınsın ya da alınmasın) kişisel verileri işlerken Kanun’daki genel ilkelere riayet etmek zorundadır. Bu ilkeler şunlardır:

1) Hukuka ve Dürüstlük Kurallarına Uygun Davranma

Kanun bir şemsiye hüküm olarak veri işlerken hukuka ve dürüstlük kurallarına uymayı şart koşmuştur. Bu kapsamda veri işlemenin meşru bir temele dayanması, bireyler aleyhine sonuçlar doğuracak şekilde kullanılmaması, şeffaflıktan taviz vermeden bireylerin makul beklentileri ve öngörüleri doğrultusunda olması gerekmektedir.

Dolayısıyla (veri sahibinden açık rıza alınsa bile) örneğin sağlığa ilişkin kişisel verilerin para karşılığı veri simsarlarına satılması veya sosyal medya sitelerinin kişilik ve karakter analizi yapması hukuka ve dürüstlük kuralına uygun değildir.

Bunlara ilave olarak veri sorumluları; kişisel verilerin korunması hukukuna uygun davranma kapsamında (şartları oluşmuşsa) silme, yok etme veya anonim hale getirme, aydınlatma, sicile kaydolma yükümlülüklerini de yerine getirmelidir.

Kurul; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedebilecektir.

Ayrıca veri sorumluları, veri güvenliğe ilişkin yükümlülükleri kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla da mükellef olup Kurul, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında da 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedebilecektir.

2) Kişisel Verileri Doğru ve Gerektiğinde Güncel Olarak İşleme

Veri sorumluları, kişisel verilerini işledikleri veri sahiplerinin verilerini doğru ve gerektiğinde güncel tutmakla mükelleftir. Bu kapsamda personelinin işe giriş-çıkış saatlerinin olduğundan farklı tutulması yanlış işlemeye, fazla mesailerin kaydedilmemesi de eksik işlemeye örnek olarak verilebilir. Verilerin güncel tutulması gerekliliği bakımından ayrıca, veri sahibinin işletmeye başvurarak teslimat adresini değiştirmesine rağmen siparişinin eski adresine kargolanması durumu örnek olarak verilebilir.

Veri sahipleri söz konusu verilerin güncel ve doğru işlenmesini talep etme hakkı bulunmaktadır.

3) Belirli, açık ve meşru amaçlar için işlenme

Kişisel verilerin işlenmesine ilişkin en önemli ilkelerden birisi de kişisel verileri belirli, açık ve meşru amaçlar için işlemektir. Bu kapsamda veri sahiplerine karşı yoğun biçimde teknik ve hukuki terminoloji içeren dil kullanmaktan kaçınılmalıdır. Benzer şekilde kişisel verileri işleme amaçlarının sadece veri sorumlusu bakımından bilinmesi ya da tahmin edilebilir olması da bu ilkeye aykırıdır. Bu kapsamda örneğin “ilerde gerekli olabilir” düşüncesiyle müşterilerin kullandığı araba modellerinin işlenmesi yahut kan grubunu işlemenin “silisilik asit seviyesinin hemoglobin ve nörotransmitter etkenlere olan tersiniminin santrifüj edilmesi” gibi karmaşık kavramlarla açıklanması bu ilkeye aykırı düşecektir.

Ayrıca, veri işleme amacının meşru olması da zorunludur. Örneğin, bir giyim mağazasının kişilerin ırk bilgileri elde ederek buna göre fiyatlama yapması durumunda meşru bir amaçtan söz edilemez.

4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Veri sorumluları kişisel verileri beyan ettikleri amaçla sınırlı ve bağlantılı olarak ölçülü biçimde işlemekle mükelleftir. Bu kapsamda veri sahiplerinden açık rıza alınsa dahi örneğin tapu işlemleri için aylık gelire, diş tedavisi için gidilen hastanede göz rengine, süpermarketten yapılan içecek alışverişinde kimlik numarasına ilişkin verilerin işlenmesine ihtiyaç yoktur. Benzer bir örnek olarak kredi kartı başvurusunda bulunan kişiden sosyal hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulması da ölçülülük ilkesine aykırılık teşkil edecektir. (Detaylı bilgi için Kişisel verilerin işlenmesinde gereklilik ilkesi” başlıklı yazımıza buradan ulaşabilirsiniz.)

5) Gerekli olan süre kadar muhafaza edilme

Veri sorumluları kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreyle sınırlı olacak şekilde muhafaza etmelidir. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumluları, anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde kişisel verileri silmekle, yok etmekle veya anonim hale getirmekle mükelleftir.

Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları ise; kişisel veri saklama ve imha politikası oluşturmakla mükellef olup, bu politikada belirtilen “periyodik imha süresi” kapsamında anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri silmek, yok etmek veya anonimleştirmekle mükelleftir.

Veri sorumlarının bu yükümlülüğü yerine getirmemesi halinde Türk Ceza Kanunu’nun 138. maddesinde uyarınca “Verileri Yok Etmeme Suçu” kapsamında haklarında 1 yıldan 2 yıla kadar hapis cezasına hükmedilebilecektir.

Toparlamak gerekirse;

Veri Sorumlularının veri işlerken veri sahibinden açık rıza alması tek başına yeterli olmayıp kişisel verilerin korunması hukuku kapsamında uymaları gereken birçok hüküm bulunmaktadır. Veri sorumluları bu hükümlere uymamaları halinde hapis cezasına ve yüklü meblağlarda idari para cezalarına maruz kalabilecekleri gibi zarara uğrayan veri sahiplerine tazminat ödemeye mahkum edilebileceklerdir.

Açık Rıza Gerekmeyen Haller: Kişisel verilerin korunması hukukuna göre kural olarak, veri işleme faaliyetine başlamadan önce veri sahibinden açık rıza alınması gerekmektedir. Ancak açık rıza almanın her durumda zorunlu olması mümkün/makul olmayıp bu mükellefiyet ticari hayatı aksatacak ve veri sorumlularını katlanılması oldukça zor olan büyük bir yük altına sokacaktır. Bu sebeplerle kanun, bazı hallerde açık rıza zorunluluğuna istisna tanımaktadır.

Açık Rıza Nedir?

Kanun’un ifadesiyle açık rıza; belirli bir konuya ilişkin olarak, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Buna göre veri sahibi tarafından yalnızca “rıza” alınması yeterli olmayacak; bu rızanın Kanun’a uygun bir “açık rıza” olabilmesi için aşağıdaki unsurlara sahip olması gerekecektir:

Belirli bir konuya ilişkin olma: Tam olarak veri işlemenin ne ile sınırlandığının belirtilmesini ifade eder. (Örnek: Veri sahibinin bütün verilerinin her türlü amaçla işlenebileceğini onaylamış olması geçerli bir rıza oluşturmayacaktır)

Bilgilendirmeye dayanma: Rıza verecek kişi verilerinin tam olarak nasıl /hangi amaçla işleneceği ile ilgili etkin bir bilgilendirme yapılmış olmalıdır: (Örnek: Ortalama bir veri sahibinin sayfalarca küçük fontlu yazıdan oluşan bilgilendirme metnini okuyup anlaması zor olup yalnızca “okudum, anladım” şeklinde bir butona basması halinde bu rızanın bilgilendirilmeye dayandığı kabul edilmemektedir.)

Özgür iradeyle açıklanma: Geçerli bir rızadan söz edebilmek için veri sahibinin kişisel verilerinin işlenmesine aldatma yahut mecbur bırakma altında onay vermemiş olması gerekir. (Örnek: İşini kaybetme korkusu altında rıza veren bir işçinin bu rızasının özgür iradeye dayandığı kabul edilemez)

Açık rızaya ilişkin daha detaylı bilgi edinmek için Açık Rıza Nedir? başlıklı yazımızı inceleyebilirsiniz. Görüldüğü üzere her seferinde bu şartları taşıyan bir açık rıza almanın ciddi anlamda zorlukları bulunuyor olup bunu zorunlu kılmanın hakkaniyetle bağdaşmadığı durumlar da mevcuttur. İşte bu sebeple Kanun’da açık rıza alma zorunluluğuna birtakım istisnalar tanımıştır:

1) Kanunlarda Açıkça Öngörülmesi

Eğer kişisel verileri işleme, belirli durumlarda Kanunlarca emrediliyor/müsaade ediliyorsa bu durumda veri sahibinden açık rıza alınmasına gerek yoktur. Çalışanlara ait özlük bilgilerinin tutulması veya pay sahiplerinin pay defterinde gösterilmesi bu kapsamda örnek olarak gösterilebilir.

2) Fiili İmkânsızlık

Eğer bir fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin; kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için verisinin işlenmesi zorunlu ise, bu durumda açık rıza aranmaz. Bu konuda en tipik örnekler, kaçırılan bir kişinin konum bilgisinin ya da bayılan bir kişinin kan grubu bilgisinin işlenmesidir.

3) Bir Sözleşmenin Kurulması veya İfası

Bir sözleşmenin taraflarına ait kişisel verilerin işlenmesi, o sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilişkili ise, ayrıca bir açık rıza aranmaz.

Bir E-ticaret sitesinin teslimat için müşterisinin adres bilgilerini kaydetmesi veya bir bankanın kredi talebinde bulunan müşterisinin kayıtlı mal varlıklarına ilişkin bilgileri işlemesi bu kapsamda değerlendirilebilir.

4) Veri Sorumlusunun Hukuki Yükümlülükleri

Eğer veri sorumlusunun hukuki yükümlülüklerini getirmesi için bir zorunluluk varsa, bu durumda da verisi işlenen veri sahibinin açık rızası aranmaz. Örneğin bir işverenin çalışanının maaşını ödemek için banka hesap bilgilerini alması, bankaların veya sermaye piyasası kuruluşlarının müşterilerinin kanunda gösterilen bilgilerini kaydetmesi bu kapsamda değerlendirilebilir.

5) Veri Sahibi Tarafından Alenileştirilmiş Veri

Eğer veri sahibi, kişisel verilerini kendisi alenileştirmiş ise bu durumda da veri işlemek için açık rızanın aranmasına gerek yoktur. Zira veri sahibi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin korunmasındaki hukuki yarar ortadan kalkmaktadır. Örneğin sosyal medya hesabından tuttuğu takımı paylaşan kişinin bu verisinin alenileştiği söylenebilir.

Ancak aleni bilgilerin işlenmesinde de genel ilkeler uyarınca veri işleme amacının meşru, belirli ve açık olması gerektiği unutulmamalıdır. Dolayısıyla, örneğin sosyal medya hesaplarından elde edilen fotoğrafların meşru olmayan amaçlarla kullanılmasının hukuka uygun olduğu düşünülemez.

Aleni verinin ne olduğuna ilişkin daha detaylı bilgi için Aleni Veri Nedir? başlıklı yazımızı inceleyebilirsiniz.

6) Bir Hakkın Tesisi, Kullanılması veya Korunması

Kişisel verilerin işlenmesi; bir hakkın tesisi, kullanılması yahut korunması için zorunlu ise, bu durumda da açık rızanın aranmaz. İşten ayrılan bir çalışana ait bilgilerin dava zamanaşımı boyunca saklanması veya mal teslimine ilişkin müşterilerden alınan imzalı belgenin saklanması bu kapsamda örneklendirilebilir.

7) Veri Sorumlusunun Meşru Menfaati

Kanunun tanıdığı bu istisna oldukça esnek şekilde yorumlanmaya müsait olup bu hususta belirli bir sınırı aşmamak gerekmektedir. Zira “meşru menfaat”in ne ölçüde genişletileceği bir problem olup bunun veri işlenmesine ilişkin sınırsız bir hak sağladığı düşünülemez.

Bu kapsamda, ehliyetli ve liyakatli çalışanların terfi almaları için veya bir şirket devri öncesinde devralacak kişinin şirketin güncel durumuna hâkim olabilmek için birtakım kişisel verileri incelemesi; Veri Sorumlusunun meşru menfaati kapsamında veri işlemesine örnek olarak verilebilir. Benzer şekilde bir kargo şirketinin alıcının adresini açık rıza olmaksızın işlemesi de (Aslında gönderen ve kargo şirketi arasında bir sözleşme olmasına rağmen 3. Kişi olan alıcının bilgileri işlendiğinden) veri sorumlusunun meşru menfaatinden ötürü kabul edilebilecektir.

Ancak meşru menfaat istisnası; Veri Sorumlusunu, veri sahibinin haklarını Kanunun ruhuna aykırı olacak şekilde ihlal etmeye yetkili kılmaz. Dolayısıyla gelecekte reklam yapmak amacıyla kişilerin telefon numaralarını arşivlemek Veri Sorumlusunun meşru menfaati olarak kabul edilemez.

8) Kanun’un Uygulanmayacağı Haller

Bazı hallerde Kişisel Verilerin Korunması Kanunu uygulanmayacağı Kanun’un 28. maddesinde belirtilmiştir. Bu hallerde Kanun uygulanmayacağı için açık rıza zorunluluğu da uygulanmayacaktır.

• Aynı konutta yaşayan aile fertlerinin verilerinin üçüncü kişilerle paylaşmamak ve veri güvenliğine ilişkin yükümlülüklere uymak koşuluyla işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi

bu hallere örnek olarak gösterilebilir.

Toparlamak gerekirse,

Toplumsal ve ticari hayatın hakkaniyete aykırı şekilde zarar görememesi için Kanun, bazı hallerde açık rıza zorunluluğuna istisnalar getirmiştir. Ancak kişisel verilerin, açık rıza alınmasına gerek olmasa da her halükarda hukuka uygun şekilde işlenmesi gerekmektedir. Dolayısıyla örneğin kişilerin ırk ve mezheplerine göre sınıflandırılarak ayrımcılığa uğratılması, söz konusu ırk ve mezhep bilgileri veri sahiplerinin kendisi tarafından alenileştirmiş olsa dahi, hukuk düzeni tarafından korunmayacaktır.

Veri Sorumlusu: kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Günlük dil ile ifade edecek olursak veri sorumlusu, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişidir.

Dolayısıyla örneğin müşterilerinin iletişim bilgilerini toplayan, toplanma amacını ve yöntemini belirleyen, bu verilerin kime gönderileceğine karar veren bir e-ticaret şirketi veri sorumlusudur.

Veri İşleyen Kimdir?

Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Örneğin, Şirketinizin anlaşmalı olduğu, verilerinizi saklayan bulut hizmeti sağlayıcıları veri işleyendir. Zira bulut hizmeti sağlayıcı, hangi kişisel verilerin ne amaçla ve hangi yöntemlerle toplanacağına karar veren bir konumda değildir.

Şirket Çalışanları Veri İşleyen Veya Veri Sorumlusu Mudur?

Şirket çalışanları veri işleyen veya veri sorumlusu sıfatını taşımazlar. Kurul, veri işleyenin şirketin organizasyonu dışında bir kişi ya da kurum olabileceğini ifade etmektedir. Ayrıca her ne kadar kişisel verileri işlemede karar verici mercide olsalar da, (şirket veya dernek gibi) tüzel kişilerin yetkilileri bu yetkileri o tüzel kişiyi temsilen kullandıkları için teknik olarak veri sorumlusu değildirler.

Dolayısıyla örneğin bir anonim şirketin pazarlama müdürü veri işleyen olmadığı gibi veri sorumlusu sıfatına da haiz değildir. Bu örnekte veri sorumlusu sıfatını bizzat tüzel kişiliğin kendisi taşımaktadır.

Ancak bu durum tüzel kişiyi temsil ve ilzama yetkili olan kişilerin sorumluluğunu ortadan kaldırmamaktadır. Veri sorumlusu olan tüzel kişiye kesilen idari para cezası için tüzel kişi, sorumlu yetkiliye rücu edebileceği gibi, ceza hukuku açısından da tüzel kişinin yetkili organlarındaki temsilcilerin cezai sorumlulukları (suçta ve cezada şahsilik ilkesi gereği) devam etmektedir.

Veri sorumlusu mu veri işleyen mi olduğumu nasıl tespit edeceğim?

Bu noktada belirtmeliyiz ki, bir işletme veri işleme faaliyetlerinin tümü bakımından kesin olarak veri sorumlusu ya da veri işleyen sıfatını taşımaz. Hatta çoğu zaman işletmeler bazı faaliyetlerinde veri sorumlusu bazılarında ise veri işleyen olarak nitelendirilmektedir. Örneğin, bir bulut hizmet sağlayıcı firma kendi çalışanlarının verileri bakımından veri sorumlusu iken hizmet sağladığı firmanın bulutta saklanan verileri için veri işleyendir. Dolayısıyla işletmeler, sorumluluklarının tespitinde her bir veri işleme faaliyetlerini ayrı ayrı değerlendirmelidir. Aşağıdaki kriterler bu tespitte göz önünde bulundurulabilir.

Eğer aşağıdaki konularda kararı siz veya işletmeniz alıyorsa siz veya işletmeniz büyük ihtimalle veri sorumlusu sıfatını taşımaktasınızdır:

• Hangi kişisel verilerin toplanacağı,
• Kişisel verilerin hangi amaçlarla işleneceği,
• Hangi kişilerin kişisel verisinin toplanacağına,
• Kişisel verilerin kimlere, hangi amaçla aktarılacağı,
• Kişisel verilerin hangi süre ile saklanacağı

Bu konularda sizin veya işletmenizin karar yetkisi olmayıp yalnızca aşağıdaki hususlarda serbest hareket imkanınız varsa sizin veya işletmenizin veri işleyen olması daha muhtemeldir:

• Kişisel verilerin toplanmasına hangi bilişim sistemlerinin kullanılacağı,
• Kişisel verilerin nasıl saklanacağı,
• Veri güvenliğinin sağlanmasının detayları,
• Kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem,
• Veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem,
• Kişisel verilerin silinmesinde kullanılacak yöntem.

Bu listeler sınırlı olmamakla birlikte, veri sorumlu ile veri işleyenin rollerinin farklılığını ortaya koymaktadır. Bunlara göre, özetle veri işleyen veri sorumlusu adına yürüttüğü faaliyetlerde teknik bilgisini kullanmakta özgürdür.

Toparlamak gerekirse;

Veri sorumlusu kişisel verilerin saklanma süresi, toplanma amacı ve yöntemi gibi esaslı unsurlara karar verici pozisyondaki gerçek veya tüzel kişi iken veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu kapsamda bir tüzel kişinin çalışanları veri işleyen olmayıp bir tüzel kişinin temsil ilzama yetkili kişileri ise teknik olarak veri sorumlusu değildir. Ancak yine de; bu veri sorumlusu olmama hali, tüzel kişiyi temsil ilzama yetkili olan yöneticileri hukuki ve cezai sorumluluktan kurtarmaya tek başına yeterli olmayacaktır.

Aydınlatma Yükümlülüğü: Veri Sorumluları, kişisel verileri açık rıza ya da diğer veri işleme şartlarına dayalı olarak işlemekle yükümlüdür. Ancak bu yükümlülüğe uymak veri işleme faaliyetinin hukuka uygun olması için tek başına yeterli olmaz. Buna ilave olarak veri sorumlusu, kişisel verilerin elde edilme esnasında ; işleyeceği bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki sebeplere dayanılarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği gibi hususlarda Veri Sahibini aydınlatmakla mükelleftir. Aksi takdirde Veri Sorumlusu, birtakım cezai ve hukuki müeyyidelerle karşı karşıya kalacaktır.

Aydınlatma Yükümlülüğü Nasıl Yerine Getirilir?

Kanuna göre kişisel verilerin elde edilmesi sırasında Veri Sorumlusu, bizzat veya yetkilendirdiği kişi aracılığıyla Veri Sahibine

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Veri sahibinin Kanun’un 11’inci maddesinde yer alan hakları ,

konularında bilgi vermekle mükelleftir.

Yanlış anlaşılmalara mahal vermemek adına peşinen belirtmeliyiz ki; kişisel verinin işlenmesinde, açık rızanın gerekmesi veya bu şartın istisna tutulması arasında aydınlatma yükümlülüğü açısından herhangi bir fark bulunmamaktadır. Dolayısıyla açık rıza zorunluluğuna ilişkin (veri sorumlusunun meşru menfaati gibi) bir istisna bulunuyor olsa bile; her ne kadar bu istisnadan ötürü veri sorumlusu Veri Sahibinden açık rıza almak zorunda olmasa dahi Veri Sahibini aydınlatma yükümlülüğü devam etmektedir.

Aydınlatma yükümlülüğü, Veri Sorumlusu açısından kişisel veri elde edilen her aşamada bir mükellefiyet olarak devam etmektedir. Her aşamada aynı tek tip aydınlatma metnini kullanmak doğru olmayıp kişisel verilerin elde edileceği aşamaya göre; toplanma yöntemi ve hukuki sebebi değiştikçe aydınlatma metni de yeni aşamaya göre değiştirilmelidir.

Örneğin bir e-ticaret sitesi önceden müşterilerinin yalnızca kimlik ve adres bilgisini işliyorken sonrasında müşterilerinin alışveriş eğilimlerini de işlemek isteyip (hangi ürüne ne zaman ne kadar süre boyunca baktı, bunu birileriyle Whatsapp’tan paylaştı mı gibi) diğer verileri de işlemek isterse; bunun için yeni bir aydınlatma metni hazırlamalıdır.

Ayrıca aydınlatma yükümlülüğünü yerine getirilirken Veri Sahibine verilecek bilgiler, Veri Sorumluları Sicilinde açıklanan bilgilerle uyumlu ve kategorik şekilde olmalıdır.

Aydınlatma yükümlülüğünün yerine getirilmesi hususunda Kanunda öngörülen herhangi bir şekil şartı bulunmamaktadır. Dolayısıyla kural olarak söz konusu bilgilerin Veri Sahibine sözlü olarak (örneğin fiziki ortamda ya da çağrı merkezi kanalıyla) verilmesi yeterlidir. Ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispatının Veri Sorumlusuna ait olduğu göz önüne alındığında, aydınlatmanın yazılı olarak veya elektronik ortamda yapılıp (eğer aydınlatma elektronik ortamda geçekleşmiş ise zaman damgası ile mühürlenmiş) kayıtlara ilişkin kopyaların saklanması daha sağlıklı olacaktır.

Bu noktada şunu belirtmekte de fayda görmekteyiz: Aydınlatma metinlerinin veri sahibi tarafından onaylanması aranmamaktadır, bilginin kişiye sunulduğunun ispat edilmesi yeterli olacaktır.

Aydınlatma Esnasında Kişisel Verileri Aktardığım Kişi Ve Kurumları Her Birini Belirtmeli miyiz?

Aydınlatma esnasında (eğer aktarılacaksa) kişisel verilerin hangi kişi ve kurumlara hangi amaçla aktarılacağının belirtilmesi gerekmektedir. Ancak veri sorumlusunun bu kapsamda verilerin aktarılacağı kişi ve kurumların isimlerini teker teker saymasına gerek yoktur. Yükümlülüğün yerine getirilmesi bakımından verilerin aktarılacağı tarafların faaliyet alanlarına göre kategorize edilerek belirtilmesi Kurul tarafından yeterli görülmektedir.

Örneğin, sigorta şirketleri, kargo şirketleri, hukuk büroları, grup şirketleri gibi kategorik ifadeler kullanılarak hukuka uygun bir şekilde aydınlatma yapılabilmektedir.

Kişisel verilerin elde edilmesinin ardından  süreç içerisinde (o ana kadar hesapta olmayan) başka bir kuruma veri aktarma ihtiyacının ortaya çıkması halinde bu durumun veri sahibine makul bir süre içerisinde bildirilmesinde fayda vardır.

Aydınlatma Yükümlülüğünü Katmanlı Olarak Gerçekleştirebilir miyiz?

Kişisel verilerin elde edildiği her aşamasında veri sahibini detaylı şekilde bilgilendirmek, uygulaması her zaman kolay bir süreç değildir. Bu kapsamda uygulamada Katmanlı Bilgilendirme yöntemiyle aydınlatma yükümlülüğü yerine getirilebilecektir. Katmanlı bilgilendirme, veri işlemeye ilişkin bilgilendirilme yapılırken, önce kısa ve kolay anlaşılır bir metin sunulup, daha ayrıntılı açıklama talep edilmesi durumunda detaylı açıklamalara işaret edilmesi durumudur.

Bir e-ticaret sitesinin müşterilerine çerezlerin kaydedildiğine dair esaslı noktaları içeren bir pop-up sunup dileyen müşterileri daha detaylı açıklamaların bulunduğu bir sayfaya yönlendirmesi, katmanlı bilgilendirmenin güzel bir örneğidir.

Aydınlatma Metinleri Nasıl Hazırlanmalı?

Aydınlatma metinlerinin dilleri sade ve anlaşılır olmalı; çok küçük puntolar kullanılmamalı ve sektöre özgü teknik terimlerin kullanılmasından kaçınılmalıdır. Aydınlatma metinlerinde kullanılan dil, bilginin hitap ettiği veri sahibi kategorisi göz önüne alınarak belirlenmelidir. Metinlerde eksik ya da veri sahiplerini yanıltıcı bilgilere yer verilmemelidir. Veri sahibinin, kişisel verilerinin işlenmesinin sonuçlarını anlaması sağlanmalıdır

Aydınlatma Yükümlülüğüne Uymamanın Yaptırımı Nedir?

Kişisel Verilerin Korunması Kanunu uyarınca aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk Lirasına kadar idari para cezası uygulanır. Para cezası bandının bu denli geniş tutulmasının nedeni, Kurul’a ceza uygulayacağı Veri Sorumlusunun mali durumuna ve ticari büyüklüğüne göre bir esneklik tanımaktır. Bunlara ilave olarak veri sahibinin aydınlatılmamadan kaynaklanan bir zarara uğraması halinde tazminat talep etme hakkı da saklıdır.

Toparlamak Gerekirse,

Aydınlatma yükümlülüğü Kanun’la getirilen bir zorunluluk olup Veri Sorumlularının cezai ve hukuki müeyyidelere maruz kalmamak için aydınlatma yükümlülüğüne uygun şekilde veri sahiplerini bilgilendirmesi elzemdir. Bu kapsamda Veri Sorumlularının Aydınlatma Yükümlülüklerinin gereklerini yerine getirmeyi ihmal etmemeleri önem arzetmektedir.

Kişisel Verilerin Anonim Hale Getirilmesi: Kanunun tanımıyla anonim hâle getirme, kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.

“Anonimleştirmeden” sonra elde kalan verilerin çeşitli tekniklerle aslında kime ait olduğu anlaşılabiliyorsa gerçek anlamda bir “anonimleştirmeden” söz edilemeyecektir. Dolayısıyla anonimleştirme yalnızca isim silmekten ibaret değildir.

Bu teorik açıklamayı örneklendirmek gerekirse; bir veri tabanında kişinin oturduğu semt(Bakırköy), mesleği (doktor), yaşı (39), boyu (183), kilosu (81) ve araba modeline (Passat) ait bilgiler bulunuyor olup yalnızca kişinin adı silinmek suretiyle bir anonimleştirme yapılmaya çalışıldıysa, ilgili kişiye ait bilgiler muhtemelen anonimleşmemiştir. Zira Bakırköy’de yaşayıp Passat’ı olan 39 yaşında 81 kilogram ve 183 cm olan başka birisi muhtemelen yoktur. Dolayısıyla sadece bu verilerle kişinin kim olduğu tespit edilebilecek ve o veri tabanındaki (yaptığı kazalar, mezun olduğu üniversite vb) diğer verilerin de o kişiye ait olduğu tespit edilebilecektir.

Geçmişten verilebilecek örnekler arasında ise AOL ve Netflix öne çıkmaktadır. İki şirket de sayıları milyonlara varan kullanıcılarının bilgilerini anonim hale getirdiklerini düşünerek İnternet’e sunmuş, ancak veri uzmanları tarafından bazı kullanıcıların kimliği, tarafından tespit edilebilmiştir. Bu örnekler anonimleştirildiği düşünülen verilerin gerçekten anonimleştirildiğinin uzmanlarca test edilmesi gerektiğini göstermektedir.

Ne Zaman ve Nasıl Anonimleştirmek Gerekir?

Öncelikle belirtmek gerekir ki kişisel veriyi anonim hale getirmek bir zorunluluk olmayıp belirli hallerde silme veya yok etmeye bir alternatiftir. Kanun, anonimleştirmeyi (veya silmeyi / yok etmeyi) bütün veri işleme sebeplerinin ortadan kalkması ile veri sorumlusuna yüklemektedir.

Mesela iş başvurusu için bir şirkete gönderilen CV’lerin belirli bir süre sonra anonimleştirilmesi (veya silinmesi / yok edilmesi) gerekmektedir zira belirli bir süreden sonra kişinin o kuruma başvurusu zımnen ortadan kalkıyor olup o verilerin şirket tarafından hala işlenmesinin bir anlamı kalmamaktadır.

Bu bağlamda kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumluları, anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde kişisel verileri anonim hale getirmekle (veya silmekle / yok etmekle) mükelleftir. Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları ise; kişisel veri saklama ve imha politikası oluşturmakla mükellef olup, bu politikada belirtilen “periyodik imha süresi” kapsamında anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri anonimleştirmekle (veya silmekle /yok etmekle)mükelleftir. (Yasal düzenleme uyarınca belirlenecek periyodik imha süresinin 6 aydan daha uzun olması mümkün değildir.)

Bu noktada ayrıca kişisel verilerin ilgili kişinin talebi üzerine en geç otuz gün içinde anonimleştirilmesi (veya silinmesi / yok edilmesi) veri sorumlularına Kanun ile getirilen yükümlülüklerinden birisidir. Bir başka yükümlülük ise kişisel verilerin anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması zorunluluğudur.

Anonimleştirmeyle ilgili uygulanabilecek sayısız teknik olmakla birlikte yaygın olan bazı teknikler aşağıdaki şekilde ifade edilebilir:

1. i) Maskeleme:

Kişisel verilerin belli alanlarının yok edilerek kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kimlik numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur. (32******* 6 vb)

1. ii) Toplulaştırma:

Verilerin bütünselleştirilerek yalnızca toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette erkek çalışan sayısının 234 adet olması ve sayının %23’ünün şirketin servisini kullanmasına ilişkin veriler artık anonim hâle getirilmiştir.

iii) Veri Türetme:

Mevcuttaki detaylı verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, maaş bilgisinin kuruşuna kadar detaylandırılması yerine “2000-5000 TL bandında” şeklinde yazılması durumunda veri türetmek suretiyle anonimleştirmenin yapıldığı söylenebilir.

1. iv) Veri Karması:

Veri kümesi içinde değerlerin yer değiştirilerek kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Bir listedeki kişilerin maaşlarının rastgele şekilde yeniden dağıtılması veri karması yöntemine örnek olarak gösterilebilir.

Anonimleştirmemenin Yaptırımı Nedir?

Kişisel verileri işlenme sebeplerin tümü ortadan kalktığı halde anonimleştirmeyen (veya silmeyen ve yok etmeyen) veri sorumlusu Türk Ceza Kanunu kapsamında Verileri Yok Etmeme suçunu işlemiş olacaktır. İlgili hükme göre süre geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmedikleri takdirde bir yıldan iki yıla kadar hapis cezası verilecektir.

Aynı zamanda yine Kişisel Verilerin Korunması Kanunu kapsamında Kurul’un anonimleştirmeye yönelik kararlarını uygulamayanlar hakkında da 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilmesi öngörülmektedir. Tüm bu cezalara ilave olarak, kişisel verisi anonimleştirilmediği (yahut silinmediği/ yok edilmediği) için zarara uğrayan veri sahibinin de tazminat isteme hakları saklıdır.