Skip to main content

YAYINLAR

KVKK Uyum Çalışmaları ve Dikkat Edilmesi Gereken Hususlar

Yazar: Aktay
Tarih: 28 Şubat 2022

6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayınlanarak yürürlüğe girmiştir. Kanun ve ilgili mevzuatın iyi anlaşılması yükümlüklerin tam ve eksiksiz şekilde yerine getirilmesi için önem taşımaktadır. İlgili mevzuat hükümlerinin yürürlüğe girmesinden bu yana Kişisel Verileri Koruma Kurulu (“Kurul”) farklı sektörlerden gelen pek çok dosyayı karara bağlayarak yüksek idari para cezası uygulamıştır. Bu açıdan mevzuattaki değişikliklerin yanı sıra Kurul ve Avrupa otoriteleri tarafından verilen kararların yakından takip edilmesi, karşılaşılabilecek cezaların en aza indirilmesi için büyük önem taşımaktadır.

Bu bilgi notunda, farklı sektörden pek çok müvekkilimiz için yaptığımız çalışmaları baz alarak, sizlere kolaylık olması açısından KVKK uyum çalışmaları hakkında genel bir bilgi notu ve dikkat edilmesi gereken hususları ele aldık. Kişisel Verileri Koruma Kurumu’nun (“Kurum”) en son 26 Haziran 2020 tarihinde yayınladığı Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusunu da dikkate alarak bilgi notumuzu güncelledik.

Son olarak Kurul’un 23 Haziran 2020 tarihli ve 2020/482 sayılı Kararı ile Veri Sorumluları Siciline (“VERBİS”) kayıt yükümlülüğünün

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 mln TL’den çok olan veya yurtdışında yerleşik gerçek ve tüzel kişi Veri Sorumluları için 30 Eylül 2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık bilançosu 25 mln TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi Veri Sorumluları için 31 Mart 2021 tarihine

kadar ertelendiğini hatırlatmak isteriz. Herhangi bir soru veya sorununuz olması halinde bizimle iletişime geçmekten çekinmeyiniz.

  1. KVKK GENEL BAKIŞ

1.1. İlgili Mevzuat

Kısaca özetlemek için, Kişisel Verilerin Korunması Kanunu ve KVKK uyum politikası oluştururken göz önünde tutulması gereken ilgili mevzuatı (“KVKK Mevzuat”) şu şekilde sıralayabiliriz:

  • 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun[1]
  • Kişisel Verilen Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik[2]
  • Veri Sorumluları Sicili Hakkında Yönetmelik[3]
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ[4]
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ[5]
  • 5237 sayılı Türk Ceza Kanunu[6] (“TCK”); ve
  • Kişisel Verileri Koruma Kurulu Kararları.

1.2. KVKK Tanımlar ve Genel Yükümlülükler

Kişisel veri Kanun’un 3. maddesi 1. fıkrası (d) bendi kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlanmıştır. Kişisel verilerin işlenmesi ise 3. maddenin 1. fıkrası (e) bendi uyarınca “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Dolayısıyla KVKK Mevzuatına tabi kişisel verilerin kapsamı oldukça geniş tutulmuş ve gerçek bir kişiye ait herhangi bir veri üzerinden yapılan herhangi bir işlem kişisel verinin işlenmesi sonucunu doğurmuştur.

Bu tanımlara ilaveten, Veri Sorumlusu aynı maddenin (ğ) bendi kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ve Veri İşleyen aynı maddenin (i) bendinde Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu iki tanım yoluyla Veri Sorumlusu ile veri işleyen arasında bir ayrım yapılmış ve Veri Sorumlusunun veri işleyenden farklı olabilmesine imkân tanınmıştır. Ancak ülkemizde genel olarak Veri Sorumlusu ile veri işleyen sıfatlarının aynı veri işleyen tüzel kişiyi ifade ettiği görülmektedir.

Bu açıdan Veri Sorumlularının genel olarak KVKK yükümlülüklerini aşağıdaki şekilde özetleyebiliriz:

  • Kanun’un 4. maddesinde sayılan genel ilkelere uygun olarak kişisel verilerin işlenmesi ve bu amaçla kişisel verilere ilişkin “KVKK politikası” oluşturulması;
  • Kanun’un 5. maddesi uyarınca “Açık rıza beyanı” alınması gereken hallerde ilgili kişilerden rıza alınması;
  • Veri Sorumlusunun Kanun’un 10. maddesi uyarınca “Aydınlatma yükümlülüğünü” yerine getirmesi;
  • Veri Sorumlusunun Kanun’un 12. maddesi uyarınca veri güvenliğine ilişkin tüm tedbirleri alması;
  • İlgili KVKK Mevzuat hükümleri uyarınca şartları taşımaları halinde “Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) kayıt” yapılması;
  • İlgili KVKK Mevzuat hükümleri uyarınca “Kişisel Veri İşleme Envanteri” ve “Kişisel Veri Saklama ve İmha Politikası” oluşturulması; ve
  • Saklama süresi sonunda verilerin usulüne uygun olarak silinmesi, yok edilmesi veya anonim hale getirilmesi.
  1. KVKK UYUM ÇALIŞMALARI

2.1. KVKK Uyum Metinleri

KVKK mevzuatının yayınlandığı 2016 tarihinden bu yana KVKK uyum çalışmaları kapsamında (i) KVKK ve Gizlilik Politikası, (ii) Açık Rıza Beyanı, (iii) Aydınlatma Beyanı, (iv) Başvuru Formu, (v) Kişisel Veri Saklama ve İmha Politikası ve (vi) Kişisel Veri İşleme Envanteri bir KVKK uyum metinleri seti olarak hazırlanmıştır. Bu kapsamda özellikle bu metinlerin hazırlanması ve güncellenmesi hususlarında nelere dikkat edilmesi gerektiği ile ilgili aşağıdaki açıklamalarımızdan faydalanabilirsiniz.

2.2. Kişisel Verilerin İşlenmesi Şartları – Açık Rıza Beyanı ve Özel Nitelikli Kişisel Veriler

KVKK Mevzuatı kapsamında kişisel verilerin işlenme şartlarına ilişkin kaideler Kanun’un 5. maddesinde düzenlenmiştir. Kanun 5. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir. Maddenin devamında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği haller şu şekilde sıralanmıştır:

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Sayılan bu haller hukuka uygunluk halleri olup Kanun’da sınırlı sayıda sayılmışlardır. Veri Sorumlusu kişisel verileri yukarıdaki hukuka uygunluk hallerinden birisinin varlığı halinde açık rıza alınmasına gerek duymadan işleyebilecektir. Fakat bu hallerin varlığı hususu iyi değerlendirilmelidir. Şöyle ki, 7 Kasım 2019 tarih ve 2019/331 No’lu Kurul kararında Kurul, şikâyette bulunan ilgili kişinin bir Sigorta şirketi tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması ile ilgili şikâyet üzerine incelemede bulunmuştur. Buna göre, şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılmış olsa dahi söz konusu kişisel verinin, sigorta şirketi tarafından ilgili kişinin internet sitesinden alınıp işlenmiş olmasına rağmen, ilgili kişisel verinin alenileştirme amacı dışında sigortacılık faaliyetleri için işlenmesini ihlal kapsamında değerlendirilmiş ve ilgili sigorta şirketine 100.000 TL idari para cezası uygulanmıştır.

Kanun kişisel verilerin bir kısmını ise özel nitelikli kişisel veri olarak nitelendirmiştir. Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki kişisel verilerdir ve Kanun’un 6. maddesinde şu şekilde sayılmışlardır: “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler”. Maddede özel nitelikli kişisel verilerin işlenmesi açık rıza şartına bağlanmışsa da sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir. Buna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen haller,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlendiği haller.

Öte yandan özel nitelikli kişisel verilerin işlenmesi için verilen açık rızanın da “belirli bir konuya ilişkin olması”, “rızanın bilgilendirmeye dayanması” ve “özgür iradeyle açıklanması” şeklinde üç şartı bulunmaktadır. Bu husustaki 25 Mart 2019 tarih ve 2019/81 sayılı ve 31 Mayıs 2019 tarih ve 2019/165 sayılı Kurul kararlarına göre veri işlemek üzere verilen açık rızanın geçerli olması için:

  • Açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği,
  • Veri Sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği,
  • Açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği

belirtilmiştir.

Belirtmemiz gerekir ki yukarıda atıf yapılan kararda da belirtildiği gibi herhangi bir ürün ve/veya hizmetin sunumunun açık rıza ön şartına bağlanmaması gerekir. Bunun yanında, yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemek mümkün olmayacaktır. Dolayısıyla Veri Sorumlularının işledikleri özel nitelikli kişisel verilere ilişkin ilgililerden alacakları açık rızalarda yukarıda sayılan şartlara uymalarının zorunluluğu unutulmamalıdır.

Zaman zaman özel nitelikli kişisel verilerin işlendiği durumlarda metinlerde, Kanun’un 6. maddesinin 3. fıkrasında belirtilen “sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak (i) kamu sağlığının korunması, (ii) koruyucu hekimlik, (iii) tıbbî teşhis, (iv) tedavi ve bakım hizmetlerinin yürütülmesi, (v) sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” ifadesine yer verilmektedir. Her ne kadar Kanun’un bu maddesinden doğrudan alıntı yapılarak sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerde açık rıza alınmayabileceği belirtilse, bu istisnanın ilgili olduğu ölçüde kullanılabileceği ve bu kapsam dahilinde herhangi bir veri işlemeyen şirketlerin aynı atfı kullanmasının yanlış yönlendirici olabileceği kanaatindeyiz.  Özel nitelikli kişisel verilere ilişkin mutlaka açıkça hangi özel nitelikli kişisel verilerin işlendiğinin belirtilmesi ve bunlar için açık rıza alınıp alınmadığının vurgulanması faydalı olacaktır.

2.3. Aydınlatma Beyanı – İlgili Kişilerin Bilgilendirilmesi Yükümlülüğü

KVKK uyum çalışmaları denilince en çok bilinen metin Aydınlatma Beyanıdır. Kanun’un 10. maddesi, aydınlatma beyanında yer alması gereken asgari unsurları belirtmiştir. Buna göre, kişisel verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri Sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları

konularında bilgi vermekle yükümlüdür.

Veri Sorumluları tarafından hazırlanan Aydınlatma Beyanlarının özenle hazırlanması gerekmektedir. Fakat uygulamada sıklıkla KVKK Uyum Metinlerinin muğlak ifadelerle hazırladığı görülmektedir. Nitekim 2 Mayıs 2019 tarih ve 2019/122 sayılı Kurul kararında Veri Sorumlusunun Aydınlatma Metni’nde kişisel veri işleme amaçları sıralandıktan sonra metin içerisinde yer verilen “… gibi amaçlar kapsamında işlenmektedir” ifadesinin “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”ine uygun olmadığı kararına varmıştır. İlgili Tebliğ’in[7] 5. maddesi (g) hükmü uyarınca Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.” 

KVKK uyum çalışmalarında dikkat edilmesi gereken “belirli, açık ve meşru amaçlar için işlenme ilkesi” uyarınca özellikle Aydınlatma Beyanı ve Gizlilik Politikası metinlerinde kişisel verilerin işlenme amaçlarından bahsedilirken, hangi kişisel veri gruplarının hangi amaçlarla işlendiği hususunda VERBIS kapsamında sunulan eşleştirmenin KVKK uyum metinlerine de aktarılması önemlidir. Zira bu açıdan Tebliğ’in 5(ç) maddesinde, VERBIS kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, VERBIS’te açıklanan bilgilerle uyumlu olması gerektiği açıkça belirtilmiştir. Bu nedenle, daha önceden hazırlanan Aydınlatma Beyanı ile VERBIS’te kaydedilen bilgiler mutlaka uyumlu hale getirilmelidir.

Yine Tebliğ’in 5(d) ve 5(e) maddelerine göre aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir ve aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Son olarak Tebliğ’in 6. maddesi, kişisel verilerin ilgili kişiden elde edilmemesi halinde Aydınlatma Beyanının alınması gerektiğini belirtmiş ve buna göre;

  • Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  • Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  • Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi zorunluluğu getirilmiştir.

2.4. VERBİS Kayıtları

KVKK uyum metinlerinin yanı sıra Kanun’un 16. maddesinde belirtilen ve Veri Sorumluları Sicili Hakkında Yönetmelik’te detaylarına yer verilen VERBİS’e kayıt işlemlerinin ve ardından bildirimlerinin tamamlanması ve gerektiği hallerde bu bildirimlerin güncellenmesi gerekmektedir.

VERBİS Adalet Bakanlığı’nın oluşturduğu ve yönettiği bilişim sistemi olup veri denetleyicileri tarafından bildirilen veri işleme faaliyetlerinin halka açıklanması yoluyla kişisel verilerin işlenmesinde şeffaflığı amaçlamaktadır. Sicil Kanun’un 16. maddesi uyarınca Başkanlık tarafından Kurul’un gözetiminde kamuya açık olarak tutulur.

Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişilerin 30 Eylül 2020’ye, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumluları için 31 Mart 2021’ye, kamu kurum ve kuruluşu Veri Sorumluları için 31 Mart 2020’ye kadar VERBİS’e kayıt zorunluluğu bulunmaktadır.

2 Nisan 2018 tarih tarih ve 2018/32 Kurul kararı uyarınca noterler, avukatlar, siyasi partiler, serbest muhasebeci ve yeminli mali müşavirler, dernekler, vakıflar ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanları ile sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına, bağışçılarına yönelik kişisel veri işleyenler VERBİS’e kayıttan istisna tutulan Veri Sorumlularıdır.

2.4.1. Veri Kategorileri

Veri Sorumlularının KVKK Uyum Metinlerinde ve yapacakları VERBİS bildirimlerinde işledikleri tüm veri kategorilerini belirtmeleri gerekmektedir. Dolayısıyla hem KVKK uyum metinlerinin hazırlanmasında hem de VERBİS kaydı oluşturulmasında öncelikle işlenen kişisel verilerin hangi veri kategorileri altında gruplandırılabileceğinin tespiti önem arz etmektedir.

Kurum, veri kategorileri kapsamında şu kategorilere yer vermiştir: (i) kimlik, (ii) iletişim, (iii) lokasyon, (iv) özlük, (v) hukuki işlem, (vi) müşteri işlem, (vii) fiziksel mekan güvenliği, (viii) işlem güvenliği, (ix) risk yönetimi, (x) finans, (xi) mesleki deneyim, (xii) pazarlama, (xiii) görsel ve işitsel kayıtlar, (xiv) ırk ve etnik köken, (xv) siyasal düşünce bilgileri, (xvi) felsefi inanç, din, mezhep ve diğer inançlar, (xvii) kılık ve kıyafet, (xviii) dernek üyeliği, (xix) vakıf üyeliği, (xx) sendika üyeliği, (xxi) sağlık bilgileri, (xxii) cinsel hayat, (xxiii) ceza, mahkumiyet ve güvenlik tedbirleri, (xxiv) biyometrik veri, (xxv) genetik veri, (xxvi) diğer bilgiler.

Kişisel veri kategorilerinin tespiti yanında Veri Sorumlularının dikkat etmesi gereken bir diğer husus ise veri işleme faaliyetlerinin ölçülülük ilkesine uygunluğudur. 31 Mayıs 2019 tarih ve 2019/165 sayılı Kurul kararında detaylı olarak ele alınan ölçülülük ilkesi, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına gelmektedir. Örnek vermek gerekir ise bir market zincirinin müşterileri için çıkarttığı market kartının müşteriye sağlanması sırasında yalnızca faaliyetinin gerçekleştirilmesi için gereken azami verilerin işlenmesi, ceza mahkumiyeti, biyolojik veri gibi faaliyetin gerçekleştirilmesi için gereksiz olarak nitelendirilebilecek veri kategorilerine ait kişisel verilerin işlenmemesi gerekir. Dolayısıyla Veri Sorumlusu faaliyetinin gerçekleşmesi için ilgili kişiden en az seviyede bilgi talep etmeli, amaç için gerekli olmayan veri işlemelerinden kaçınmalıdır.

Kafa karışıklıklarının ve KVKK Uyum Metinleri ile VERBİS bildirimleri arasında oluşabilecek tutarsızlıkların önüne geçmek için VERBİS kaydından önce oluşturulan KVKK ve Gizlilik Politikasındaki ifadelerin mutlaka VERBİS’te Kurum’a sunulan beyanlarla aynı olduğundan emin olunması ve bunun için ayrı bir çalışma yürütülmesi gerekmektedir. Nitekim 25 Mart 2019 tarih ve 2019/82 sayılı Kurul kararında da KVKK Uyum Metinleri arasında tutarsızlıklar bulunmaması gerektiği ifade edilmiştir.  

İşlenmediği Kurum’a taahhüt edilen veri kategorilerinin mutlaka tek tek KVKK ve Gizlilik Politikasında belirtilmesi ve verisi işlenen ilgili kişiye de aydınlatma yükümlülüğü kapsamında bilgi verilmesi gerekmektedir.

2.4.2. Kişisel Veri İşleme Amaçları

Kanunun 4. maddesi 2. fıkrası (ç) bendi gereğince KVKK Uyum Metinleri kapsamında hazırlanan KVKK ve Gizlilik Politikası metinlerinde özellikle kişisel verilerin işleme amaçlarının ayrıca belirtilmesi gerekmektedir. Veri Sorumlusu işlemekte olduğu herhangi bir kişisel veri hususunda işleme amacından yoksun ise bu durumda bu veriyi işlememeli veya işlenmişse söz konusu veri için imha işlemi uygulamalıdır.

Veri Sorumluları faaliyetleri kapsamında işledikleri kişisel verileri hangi işleme amacına dayanarak işlediklerini tek tek belirtmelidirler. Kanunun 4. maddesi 2. fıkrası (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesinin bir gereğidir. Bunun haricinde Tebliğ madde 5(1)(g)’de de aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerektiği ifade edilmiştir. Dolayısıyla bu hazırlanan uyum belgelerinde bu veri işleme amaçları doğru ve açık bir şekilde tek tek belirtilmelidir.

Burada dikkat edilmesi gereken bir diğer husus ise işlenen bir kişisel veri için işleme amacı tespit edilemiyorsa bu verinin işlenmemesi gerektiğidir.

Kişisel verileri işleme amaçlarına (i) reklam / kampanya / promosyon süreçlerinin yürütülmesi;(ii) denetim, eğitim, iletişim faaliyetlerinin yürütülmesi; (iii) ücret politikası; (iv) sözleşme süreçlerinin yürüülmesi (v) iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi gibi örnekler verilebilecektir. Bu örneklere Temmuz 2019 tarihinde Kurum tarafından hazırlanan Kişisel Veri İşleme Envanteri Hazırlama Rehberi’nde erişebilirsiniz.

2.4.3. Veri Aktarım Alıcı Grupları

Veri aktarım alıcı grupları Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorileri olarak tanımlanmaktadır[8]. Kurum veri aktarım alıcı grupları olarak şu kategorilere yer vermektedir: (i) gerçek kişiler veya özel hukuk tüzel kişileri, (ii) hissedarlar, (iii) iş ortakları, (iv) iştirakler ve bağlı ortaklıklar, (v) tedarikçiler, (vi) topluluk şirketleri, (vii) yetkili kamu kurum ve kuruluşları, (viii) diğerleri.

Kanun’un 8. maddesi 1. fıkrasına uyarınca kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacaktır. Kanun’un aynı maddesinin devamında (i) 5. maddenin 2. fıkrasında ve (ii) yeterli önlemler alınmak kaydıyla, 6. maddenin 3. fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği düzenlenmiştir. Dolayısıyla gerekli şartların sağlanması durumunda Veri Sorumlusu tarafından işlenen kişisel veriler yurtiçinde ve yurtdışındaki veri aktarım alıcı gruplarına aktarılabilecektir. Bilinmelidir ki, Kurul gerekli şartlar sağlanmadan kişisel verilerin aktarılması durumunda idari para cezalarına karar vermekten çekinmemektedir. 27 Ocak 2020 tarih ve 2020/58 No’lu Kurul kararda, sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında inceleme yapılmıştır. Kurul, Veri Sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığı gerekçesiyle 22.500 TL idari para cezasının uygulanmasına karar vermiştir. Dolayısıyla bu ve benzer risklerin ortadan kaldırılması için KVKK Mevzuatında belirtilen şartlar sağlanmadan kişisel verilerin aktarımı işlemi yapılmamalıdır.

2.4.4. Veri Saklama Süreleri

Kanun’un 4. maddesinin 2. fıkrasında kişisel verilerin işlenmesine ilişkin ilkeler sırasıyla sayılmış ve (d) bendinde de “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde veri saklama sürelerine yer verilmiştir. Buna göre Veri Sorumlularının, faaliyetleri kapsamında işledikleri kişisel verilerin saklama sürelerini tek tek kişisel veri bazında belirlemesi gerekmektedir.

Veri Sorumluları için kişisel verileri saklama süreleri hususunda önem taşıyan husus saklama sürelerinin belirlenmesinde alınacak olan kıstaslardır. Temel kural Veri Sorumluları Sicili Hakkında Yönetmelik’in 9. maddesinin 4. fıkrasında belirtilmiştir. Buna göre öncelikle, işlenen kişisel verilerle ilgili mevzuatta herhangi bir saklama süresi öngörülüp öngörülmediğine bakılmalıdır. İlgili mevzuatta bir süre öngörülmüşse saklama süresi olarak bu süre belirtilmelidir. Eğer ilgili mevzuatta bir süre öngörülmemişse bu durumda da:

  • İlgili veri kategorisinin işlenme amacı kapsamında Veri Sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre;
  • İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre;
  • İlgili veri kategorisinin işlenme amacına bağlı olarak Veri Sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre;
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre;
  • Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı;
  • Veri Sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre;
  • Veri Sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alacaktır. Unutmamak gerekir ki, 25 Mart 2019 tarih ve 2019/81 sayılı ve 31 Mayıs 2019 tarih ve 2019/165 sayılı Kurul kararları gereği ölçülülük ilkesi uyarınca Veri Sorumlusu tarafından işlenen kişisel verilerin işleme amacı için gerekli olandan uzun süre tutulmamalıdır.

2.4.5. Veri Konusu Kişi Grupları

Veri konusu kişi grubu, kişisel verilerin hangi veri konusu kişi grupları için işlendiğine ilişkindir. Örnek olarak özlük dosyası veri kategorisi ile sadece çalışan ve stajyer kişi grupları eşleştirilirken, pazarlama veri kategorisi altında gruplanan veriler potansiyel ürün ve hizmet alıcısı, ürün ve hizmet alan kişi ve hatta ziyaretçi kişi grupları ile eşleştirilmektedir. Veri Sorumluları tarafından yapılacak KVKK uyum çalışması ile faaliyetler kapsamında işlenen kişisel verilerin hangi kişi veya kişi grupları ile ilgili olarak işlediğinin tek tek kişisel veri bazında belirlemesi gerekmektedir. Yapılacak bu eşleşmelerin büyük bir titizlikle gözden geçirilmesi gerektiği hallerde hem KVKK uyum metinlerinin hem de VERBIS kayıtlarının güncellenmesi gereklidir.

2.4.6. Yabancı Ülkelere Aktarılacak Bilgiler

Özellikle yabancı şirketlerde verilerin yurtdışına aktarılması gündeme gelebilmektedir. Bu husus Kanun’un 9. maddesinde düzenlenmiştir. Buna göre temel kural, kişisel verilerin yurtdışına aktarımında veri sahibinin açık rızasının aranmasıdır. Fakat açık rıza dışındaki hallerde, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirilmiştir. Yeterli korumanın bulunduğu ülkelere ilgili kişinin kişisel verileri ayrıca açık rızası aranmaksızın aktarılabilecektir. Ancak maalesef Kurul yeterli korumanın bulunduğu ülkeler listesini halen ilan etmemiştir.

Kanun’un aynı maddesi, yeterli korumaya sahip olmayan ülkelere veri aktarımı için ise (i) Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve (ii) Kurulun izninin bulunması durumunda veri aktarılabileceğini belirtmiştir. Yine uygulama karşılaştığımız bir başka sorun, Kurum’a sunulan yazılı taahhütlere Kurum tarafından resmi cevap alınamamaktadır. Bu nedenle bu alanda yaşanan belirsizlikler devam etmektedir.

2.4.7. Veri Güvenliği Tedbirleri

Kanunun 12. maddesinin 1. fıkrasına göre Veri Sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu tedbirlerden bir kısmı düşük maliyetler ve kısa çalışmalarla da sağlanabilecek türdendir. Dolayısıyla gerekli güvenlik tedbirlerinin alınmaması sonucunda karşılaşılabilecek olası cezalar göz önünde bulundurulduğunda bu tedbirlerin faydası ortaya çıkacaktır. Nitekim 16 Mayıs 2019 tarih ve 2019/144 sayılı Kurul kararında Kurul 13 Mart 2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Veri Sorumlusunun Mart 2018 tarihinde haberdar olmasına rağmen ihlalin yaklaşık 2 ay sonra 7 Mayıs 2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı tespit etmiştir. Kurul veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Veri Sorumlusu hakkında 450.000 Türk lirası idari para cezası uygulanmasına karar vermiştir.

Kişisel veri güvenliğine ilişkin idari tedbir adımları:

  • Mevcut risk ve tehditlerin belirlenmesi,
  • Çalışanların eğitilmesi ve farkındalık çalışmaları,
  • Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi,
  • Kişisel verilerin ölçülülük ilkesi gereği mümkün olduğunca azaltılması,
  • Veri işleyenler ile ilişkilerin yönetimi,

olarak sayılabilecek iken teknik tedbirler ise:

  • Siber güvenliğin sağlanması,
  • Kişisel veri güvenliğini takibi (log kayıtlarının tutulması vb.),
  • Kişisel veri içeren fiziki ortamların çalınma, kaybolma, yangın, sel vb. risklere karşı güvenliğinin sağlanması,
  • Kişisel verilerin bulut sisteminde tutulması,
  • Bilgi teknolojileri sistemleri tedariki, geliştirme ve bakımı,
  • Kişisel verilerin yedeklenmesi

olarak sayılabilecektir.

Kanun’un 6. maddesinin 4. fıkrasında ise veri güvenliği tedbirlerine ek olarak özel nitelikli kişisel verilerin işlenmesinde “Kurul tarafından belirlenen yeterli önlemlerin alınması” şart koşulmuştur. Bu maddede belirtilen yeterli önlemler Kurul tarafından 31 Aralık 2018 tarih ve 2018/10 No’lu Kurul kararında detaylı olarak belirtilmiştir. Çalışanlar ile gizlilik sözleşmesinin yapılması, veriler elektronik ortamda tutuluyor ise kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler fiziksel ortamlarda tutuluyor ise bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi bu tedbirlere örnek olarak verilebilecektir.

Avrupa’daki otoriterlerin de kişisel verilerin korunması tedbirleri hususunda idari para cezaları uygulamaktan çekinmediğini görmekteyiz. Nitekim İngiltere’de yetkili otorite olan ICO’nun (Information Commisioner’s Office) Royal & Sun Alliance Insurance PLC (RSA) kararında 60.000 bine yakın kişinin kişisel verilerini içeren cihazın çalınması akabinde şirket £ 150.000 idari para cezasına çarptırılmıştır. ICO bu kararında cezalandırılan şirketin kişisel verilerin korunmasına yönelik gerekli tedbirleri almadığı kanaatine varmıştır. Dolayısıyla Veri Sorumlularının olası risklerini en aza indirmeleri için kişisel veri güvenliği tedbirleri mümkün olduğunca sıkı ve organize bir şekilde alması önem arz etmektedir.

2.5. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kanun’un 7. maddesi 3. fıkrasına göre: “kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir”. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla çıkartılmıştır. İlgili Yönetmeliğin;

  • maddesinde, kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak;
  • maddesinde, kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak;
  • maddesinde, kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak

tanımlanmıştır.

Bu yollardan her birisi için farklı teknikler mevcuttur. Örnek vermek gerekir ise ilgili kişisel veriyi anonimleştirmek için maskeleme, veri tüketme ve veri karması tekniklerine başvurulabilecektir.

Veri Sorumlusunun işlediği veriyi işleme nedeni ortadan kalktığında ilgili kişisel veriyi silmesi, yok etmesi veya anonim hale getirmesi gerekir. Kurul tarafından Veri Sorumlusuna bu yollardan herhangi birisini seçme zorunluluğu getirilmediğinden Veri Sorumlusu istediği yola başvurabilecektir. Veri Sorumlusunun bu yükümlülüğüne aykırı davranması halinde karşılaşacağı durumları suçlar ve kabahatler başlığı altında ele aldığımızdan burada tekrar etme gereği duymuyoruz.

  1. İLGİLİ KİŞİNİN HAKLARI

Kanunda kapsamında verileri korunan kişiler sadece gerçek kişilerdir ve kişisel verisi işlenen bu gerçek kişiyi ifade etmek için “ilgili kişi” [9] ifadesi kullanılmıştır. Kanun’un 11. maddesinde ilgili kişinin haklarına ver verilmiştir. Buna göre ilgili kişi:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

3.1. Veri Sorumlusuna Başvuru ve Başvuru Formu

Kanun’un 13. maddesinde Veri Sorumlusuna başvuru düzenlenmiştir. İlgili kişi yukarıda sayılan haklarına ilişkin taleplerde bulunmak için Veri Sorumlusuna başvuruda bulunabilecektir. Buna göre “ilgili kişi bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Veri Sorumlusuna iletir.”. Bu kapsamda Veri Sorumluları ilgili kişilerin başvuru haklarını kullanabilmeleri için fiziki ya da sanal bir adrese KVKK Uyum Metinlerinde yer vermek zorundadırlar. Buna ilişkin yükümlülüğü kapsamlı bir Başvuru Formu düzenleyerek yerine getirmek mümkündür.

Veri Sorumlusu tarafından başvuru hakkının kullanılması için Kanun’da ya da Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle ilgili kişinin başvuru yapma hakkının engellenmesi, ilgili Tebliğ’in 6. maddesinde sayılan hukuka uygunluk ve dürüstlük kuralına aykırıdır. Benzer bir durumda 1 Ekim 2019 tarih ve 2019/296 sayılı Kurul kararıyla Veri Sorumlusu bir operatör şirketi ilgili Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin göstermesi hususunda talimatlandırılmıştır.

Başvurunun usul ve esasları Tebliğ’de belirtilmiştir. Veri Sorumlusu söz konusu başvuruyu ücretsiz olarak niteliğine göre en kısa sürede ve en geç 30 gün içerisinde sonuçlandıracaktır. Fakat ilgili Tebliğ’in 7. maddesi uyarınca ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfanın üzerindeki her sayfa için 1 Türk lirası işlem ücreti alınabilecektir.

Maddenin 3. Fıkrası uyarınca “Veri Sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Veri Sorumlusunca gereği yerine getirilir.”.

Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. Buna göre Kurula Şikâyet başlığı altında detaylı olarak inceleyeceğimiz üzere Kanun’un 14. maddesinin 2. fıkrasına göre Veri Sorumlusuna başvuru yolu tüketilmeden Kurula başvuruda bulunulamayacaktır.

3.2. Kurula Şikâyet

Kanun’un 13. maddesinde yer verilen Veri Sorumlusuna şikâyet yolunu tüketen ilgili kişi Kanun’un 14. maddesi uyarınca Kurul’a şikayet yoluna başvurabilecektir. Kanun’un 14. maddesine göre ilgili kişinin başvurusunun reddedilmesi, başvurusuna verilen cevabın yetersiz bulunması veya süresinde başvurusuna cevap verilmemesi hallerinde; “ilgili kişi, Veri Sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.”.

Belirtmek gerekir ki, Kanun’un 14. maddesinin 3. fıkrası uyarınca hakları zarara uğratılan ilgili kişinin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkündür.

24 Ocak 2019 tarih ve 2019/9 sayılı Kurul kararına göre ilgili kişi, Veri Sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilecektir.

3.3. Şikâyet Üzerine veya Re’sen İncelemenin Usul ve Esasları

Şikâyet üzerine veya re’sen incelemenin usul ve esasları Kanun’un 15. maddesinde düzenlenmiştir. İlgili maddenin 1. fırkasına göre “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.”. Dolayısıyla Kurul ilgili kişinin şikâyeti haricinde re’sen de inceleme yapabilmektedir.

Maddenin 2. fıkrasına göre 10 Kasım 1984 tarih ve 18571 sayılı Resmî Gazete’de yayınlanarak yürürlüğe giren 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen şartları taşımayan ihbar ve şikayetler dikkate alınmayacaktır.

Kanun’un 15. maddesinin 4. fıkrasına göre Kurul şikâyetten itibaren 60 gün içerisinde herhangi bir cevap vermezse şikâyet reddedilmiş sayılır. İlgili maddenin 5. fıkrası uyarınca ise “şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların Veri Sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.”.  Aynı maddenin 6. fıkrasına göre ise şikâyet üzerine veya resen yapılan inceleme sonucunda, Kanuna aykırı uygulamanın yaygın olduğu Kurul tarafından tespit edilirse ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır.

İlgili maddenin son fıkrası uyarınca ise “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.”.

  1. KİŞİSEL VERİLERİN İHLALİ

Kişisel Verileri Koruma Hukuku uyum çalışmaları kapsamında dikkatli olunması gereken bir diğer husus ise kişisel verilerin ihlali durumlarıdır. Kanun’un 12. maddesinin 5. fıkrası uyarınca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Veri Sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirecektir. Kurul 24 Ocak 2019 tarih ve 2019/10 sayılı Kurul kararında maddedeki en kısa süre ifadesinden 72 saat anlaşılması gerektiği hususunda açıklama getirmiştir.

Veri Sorumlusu kişisel verilerin hukuka aykırı yollarla üçüncü kişi tarafından elde edilmesi halinde 72 saat içerisinde “Kişisel Veri İhlal Bildirim Formunu” doldurarak Kurul’a iletmelidir. 18 Eylül 2019 tarih ve 2019/271 sayılı Kurul kararında ihlalin Kurul dışında ilgili kişiye de yapılması gerektiği belirtilmiş ve yapılacak bildirimin açık ve sade bir dille yapılması ve asgari olarak;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da Veri Sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer vermesi gerektiği belirtilmiştir.

16 Mayıs 2019 tarih ve 2019/144 sayılı Kurul kararında Kurul “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırı hareket eden Veri Sorumlusuna 100.000 Türk lirası idari para cezası uygulanmasına karar vermiştir. Bu karar ve yukarıdaki açıklamalar göz önüne alındığında görülecektir ki, veri ihlallerinin en hızlı şekilde tespiti ve bu tespitin ardından gerek ilgili kişiye gerekse Kurul’a 72 saat içerisinde ihlalin bildirilmesi hayati önem taşımaktadır. Veri Sorumlusu tarafından veriler için gerekli idari ve teknik güvenlik tedbirlerin alınmasının yanında bu koşullara uyularak yapılacak bildirimler Veri Sorumlularının karşılaşabileceği olası idari para cezalarının önüne geçilmesini sağlayacaktır.

  1. SUÇLAR VE KABAHATLER

Kanun’da öngörülen yaptırımlar Suçlar ve Kabahatler olarak iki ayrı başlık altında düzenlenmiştir.  Kanun’un 17. maddesinde kişisel verilere ilişkin suçlar bakımından TCK 135-140. maddelerine atıf yapılmıştır.

TCK’nin 135. maddesine uyarınca hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilecektir. Maddenin 2. fıkrasında ise hukuka aykırı olarak kaydedilen kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumu, suçun nitelikli hali olarak kabul edilmiş olup verilecek cezanın normalin %50 fazlası olacağı düzenlenmiştir. TCK m. 136’da ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir. TCK’nın 137. maddesinde ise 135 ve 136. maddelerde yer alan suçların nitelikli hallerine yer verilirken 138. madde de ise verileri yok etmeme suçu düzenlenmiştir. Buna göre “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.”. TCK 139. maddede ise şikâyet 140. maddede ise tüzel kişiler hakkında güvenlik tedbiri uygulanması düzenlenmiştir.

Kanun’un 18. maddesinde aydınlatma yükümlülüğünün, veri güvenliğine ilişkin yükümlülüklerin ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesini ve Kişisel Verileri Koruma Kurulu tarafından verilen kararlara uyulmamasını TCK kapsamı dışında tutarak kabahat sayılan eylemler olarak nitelendirmiştir. Söz konusu madde ile:

  • Kanun’un 10. maddesinde öngörülen aydınlatma yükümlülüğüne yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Kanun’un 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kanun’un 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kanun’un 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verileceği düzenlenmiştir.

Veri Sorumlularının gerek TCK gerekse Kanun çerçevesinde cezalandırılmasının önüne geçilmesi için KVKK Mevzuatında öngörülen KVKK Uyum Çalışmalarının eksiksiz bir şekilde tamamlanması ve bunun haricinde Veri Sorumlusu çalışanlarının bu hususta en iyi şekilde eğitilerek gerekli tedbirlerin alınması önem taşımaktadır.

İŞBU BELGE MÜVEKKİLLERİMİZİN BİLGİLENDİRİLMESİ AMACIYLA HAZIRLANMIŞ OLUP, HUKUKİ TAVSİYE OLARAK DEĞERLENDİRİLEMEZ.

Daha fazla bilgi için lütfen iletişime geçiniz.

[1] 7 Nisan 2016 tarih ve ve 29677 sayılı Resmi Gazete’de yayınlanmıştır.

[2] 28 Ekim 2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanmıştır.

[3] 30 Aralık 2017 tarih ve 30286 sayılı Resmi Gazete’de yayınlanmıştır.

[4] 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayınlanmıştır.

[5] 10 Mart 2018 tarih ve 30356 sayılı Resmi  Gazete’de yayınlanmıştır.

[6] 26 Eylül 2004 tarih ve 25611 sayılı  Resmi Gazete’de yayınlanmıştır.

[7] 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanmış olan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”

[8] Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ madde 3/1(a)

[9] Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 3. Maddesi 1. fıkrası (c) bendi

© Tüm hakları saklıdır. 2022 Aktay Hukuk Bürosu | K.V.K.K.