KİŞİSEL VERİLERİN KORUNMASI KANUNU
HAKKINDA BİLİNMESİ GEREKENLER

  1. KİŞİSEL VERİ
    6698 sayılı Kişisel Verilerin Korunması Kanununda
    (“Kanun”) kişisel veri, kimliği belirli veya
    belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak
    tanımlanmaktadır.
    Her türlü bilgi deyimi ile aslında sadece bireyin
    kesin teşhisini sağlayan ad, soyad, doğum tarihi,
    doğum yeri gibi bilgiler değil; aynı zamanda bireyin
    belirlenebilir kılınmasını sağlayan fiziki, ailevi,
    ekonomik, sosyal ve buna benzer özelliklere ilişkin
    bilgiler de kastedilmektedir.
    Kanunda, kişisel veriler sınırlı sayma yoluyla
    belirlenmediğinden, her somut olayın özelliğine
    göre kişisel verinin kapsamının genişletilmesi de
    mümkündür.
    Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası,
    mülakat sonuçları, kullandığı elektronik cihazların
    IP adresleri, ses ve görüntü kayıtları, konum bilgisi,
    adli sicil kaydı, kredi kartı ekstreleri, sosyal medya
    beğenileri, parmak izleri vb. bilgiler de kişisel veri
    1
    olarak tanımlanabilmektedir.
    ÖRNEK: Bir video gözetim sistemi tarafından
    yakalanan bireylerin görüntüleri bireylerin tanınabilir
    olması halinde kişisel veri kapsamında sayılabilir.
    ÖRNEK: Telefon bankacılığı sisteminde, müşterinin
    bankaya talimat verdiği ses kaydı kişisel veri olarak
    kabul edilebilir.
    ÖRNEK: Bir velayet davasında ailesine ilişkin çocuğa
    yaptırılan çizim, çocuğun ailesine karşı duygularını
    göstereceği için kişisel veri kapsamındadır. Diğer
    yandan, bu çizim aracılığıyla anne ve babanın aile
    içindeki davranışları da anlaşılabiliyorsa, çizim aynı
    zamanda anne ve babanın da kişisel verisi sayılır.
    Kanuna göre bir bilginin kişisel veri sayılması için
    öncelikle bir gerçek kişiye ait olması gerekmekte
    olup tüzel kişilere ilişkin veriler kişisel verinin tanımı
    dışında tutulmaktadır.
    ÖRNEK: Bir şirketin ticaret unvanı ya da adresi
    gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle
    ilişkilendirileceği durumlar hariç) kişisel veri
    sayılmamaktadır.
    Kişisel veri olabilmesi için bilginin, kimliği belirli
    ya da belirlenebilir gerçek bir kişiye ilişkin olması
    gerekmektedir.
    Belirli olma ifadesi, verinin bir gerçek kişinin
    doğrudan kimliğini gösterebileceği durumlar;
    belirlenebilir olma ifadesi ise herhangi bir kayıtla
    ilişkilendirilmesi sonucunda kişinin belirlenmesini
    sağlıyor olması anlamına gelmektedir.
    ÖRNEK: Ad ve soyad tek başına kişisel veridir ve
    bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad
    her zaman bir gerçek kişiyi belirlemek için yeterli
    olmayabilir, bazı durumlarda bir gerçek kişiyi tespit
    edebilmesi için ad ve soyadı ile birlikte başka bilgilere
    de gerek duyulabilir.
    ÖRNEK: Yaygın olarak kullanılan ad ve soyadı
    kombinasyonları bakımından ad ve soyad tek başına
    bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi
    belirlenebilir kılma özelliğinden dolayı her zaman
    kişisel veridir. Ad soyad, bazen tek olması halinde
    doğrudan ilgili kişiyi belirler bazen de birden çok
    olması halinde dolaylı olarak ilgili kişiyi belirler. Bu
    durum, ad ve soyadı kişisel veri olmaktan çıkarmaz.
    Benzer şekilde, bazı durumlarda ise ad ve soyadı
    belirtilmeden dahi bir kişinin belirlenmesi mümkün
    3
    olabilmektedir.
    ÖRNEK: “A Kurumunun B biriminde çalışan, X
    marka ve kırmızı renkte araca sahip olan, orta yaşta
    ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek
    bir kişi olması durumunda bu kişiyi belirlenebilir
    kılması nedeniyle kişisel veri sayılır.
    ÖRNEK: Takma isimler, lakaplar tek başına veya başka
    kaynaklarla birleştirildiğinde kişiyi tanımlamayı
    sağlayacak nitelikte ise bu tarz veriler kişisel veri
    olarak kabul edilir.
    Ancak, yine de bilginin ait olduğu gerçek kişinin
    belirlenebilirliğinin tespitinde, her somut olay
    özelinde, verinin kişiyi tanımlayabilme kabiliyeti
    dikkate alınarak değerlendirme yapılmalıdır.
  2. GENEL (TEMEL) İLKELER
    Kişisel verilerin işlenmesinde uyulması gereken genel
    ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu
    ilkeler;
  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç
    için gerekli olan süre kadar muhafaza edilme
    şeklinde sıralanmıştır.
    Veri işleme faaliyeti hangi hukuki sebebe/işleme
    şartına dayanırsa dayansın tüm veri işleme faaliyetleri
    bu ilkelere uygun olarak gerçekleştirilmelidir.
    a) HUKUKA VE DÜRÜSTLÜK KURALLARINA
    UYGUN OLMA
    Bu ilke; kişisel verilerin işlenmesinde, kanunlarla ve
    diğer hukuki düzenlemelerle getirilen ilkelere uygun
    hareket etmeyi, ayrıca veriler işlenirken ilgili kişilerin
    çıkarlarını ve makul beklentilerini dikkate almayı
    ifade eder.
    5
    NOT: Hukuka uygunluk, veri işlemenin, kişisel
    verilerin korunması kanununa veya diğer mevzuata
    aykırı olmamasıdır.
    NOT: Dürüstlük, ilgili kişinin kişisel verisinin
    ilgili kişiye karşı haksızlığa yol açacak şekilde
    kullanılmaması, ilgili kişinin makul beklentisinin
    karşılanması ve kişisel veriyi toplama amacının
    aşılmamasıdır.
    b) DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA
    Bu ilke; verinin, hakkında bilgi verdiği konuyu doğru
    anlatabilmesini ifade eder. Bu açıdan doğru ve güncel
    olma ilkesi ilgili kişilerin verilerin düzeltilmesini
    talep etme hakkı ile de uyumludur.
    ÖRNEK: Asgari Geçim İndirimi (AGİ) hesaplanırken
    çocuk sayısının ve eşin çalışma durumunun güncel
    olması AGİ’nin doğru hesaplanması ve kişinin
    ekonomik çıkarları açısından önemlidir.
    c) BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN
    İŞLENME
    Bu ilke, veri sorumlusunun veri işleme amacını açık
    ve anlaşılır olarak belirlemesini ve bu amacın meşru
    olmasını zorunlu kılmaktadır. Veri sorumlularının,
    ilgili kişiye belirttikleri amaçlar dışında başka
    amaçlarla veriyi işlemeleri halinde, bu fiillerinden
    dolayı sorumlulukları doğacaktır.
    Amacın meşru olması; işlenen kişisel verinin, veri
    sorumlusunun yaptığı iş veya sunduğu hizmetle
    bağlantılı ve bunlar için gerekli olması anlamına
    gelmektedir.
    ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin
    ad, soyad ve kargo gönderimi için adres bilgilerini
    işlemesi meşru amaç kapsamındayken, anne kızlık
    soyadı veya kan grubu bilgisini işlemesi meşru amaç
    kapsamında değerlendirilemeyecektir.
    d) İŞLENDİKLERİ AMAÇLA BAĞLANTILI,
    SINIRLI VE ÖLÇÜLÜ OLMA
    Bu ilke, işlenen verilerin belirlenen amaçların
    gerçekleştirilmesine elverişli olmasını, amacın
    7
    gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
    duyulmayan kişisel verilerin işlenmesinden
    kaçınılmasını ifade eder.
    ÖRNEK: Kredi kartı başvurusunda bulunan kişiden,
    sosyal hayatındaki tercihlerine yönelik bilgi talep
    edilmesi ölçülülük ilkesine aykırılık oluşturur.
    Amaç için gerekli olanın dışında veri işlenmesi,
    amaçla sınırlı veri işlenmesi ilkesine aykırılık
    oluşturmaktadır.
    ÖRNEK: Bir vakıf üniversitesi tarafından düzenlenen
    sempozyuma katılım için e-posta adresini bildiren
    kişiye, bu üniversite tarafından e-posta ile reklam
    gönderilmesi, amaçla sınırlı olma ilkesine aykırılık
    oluşturur.
    e) İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA
    İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN
    SÜRE KADAR MUHAFAZA EDİLME
    Bu ilkeye göre veri sorumluları, ilgili mevzuatta
    verilerin saklanması için öngörülen bir süre varsa
    bu süreye uyacak; böyle bir süre yoksa verileri,
    ancak işlendikleri amaç için gerekli olan süre kadar
    muhafaza edebileceklerdir.
    ÖRNEK: Bir benzin istasyonunun belirli bir sürede
    belirli miktarda benzin alan kişilere ödül vereceği bir
    kampanyada, kampanyaya katılım için topladığı isim
    ve araç plaka bilgilerini başka herhangi bir işleme
    şartı yok ise kampanya bitiminde silmesi gerekir.
    Kişisel veriler, belirlenen süre dolduktan, amaç
    gerçekleştikten ya da veri işleme şartı ortadan
    kalktıktan sonra gelecekte kullanma ihtimalinin
    varlığına dayanarak saklanamazlar.
    9
  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
    Kişisel verilerin hukuka uygun olarak işlenebilmesi
    için Kanunun 5. maddesinde sayılan veri
    işleme şartlarından en az birinin mevcut olması
    gerekmektedir. Bu şartlar:
    a) İLGİLİ KİŞİNİN AÇIK RIZASI
    İlgili kişinin açık rızası; belirli bir konuya ilişkin
    olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş
    olmalıdır.
    NOT: Açık rızanın alınmış olması kişisel verilerin
    Kanun’un 4. maddesinde sıralanan genel ilkelere
    aykırı işlenebileceği anlamına gelmemektedir.
    b) KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ
    Kişisel veri işlenmesi ile ilgili olarak herhangi bir
    kanunda açık bir hüküm varsa bu açık hükme
    istinaden kişisel verilerin işlenmesi mümkündür.
    ÖRNEK: İş Kanunu gereğince çalışana ait özlük
    bilgilerinin tutulması.
    ÖRNEK: Bankacılık Kanunu m. 42 uyarınca bankalar
    nezdinde tutulan müşteri bilgilerinin işlenmesi.
    ÖRNEK: 6698 sayılı Kanunun 16.maddesinde
    düzenlenen Veri Sorumluları Siciline kayıt
    yükümlülüğü kapsamında veri sorumlularının
    VERBİS’e bilgi girişi yapması.
    ÖRNEK: Gelir Vergisi Kanununun 70. maddesi
    gereği, gayrimenkulünü kiraya verenlerin, vermek
    zorunda olduğu yıllık beyanname kapsamında
    kendisine ait kişisel verilerin Maliye Bakanlığının
    ilgili birimlerince işlenmesi. c) FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI
    AÇIKLAYAMAYACAK DURUMDA BULUNAN
    VEYA RIZASINA HUKUKİ GEÇERLİLİK
    TANINMAYAN KİŞİNİN KENDİSİNİN YA
    DA BİR BAŞKASININ HAYATI VEYA BEDEN
    BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU
    OLMASI
    Kişisel verisi işlenecek kişinin herhangi bir fiili
    imkânsızlık nedeniyle rızasını açıklayamayacak
    durumda olması veya rızasına hukuki geçerlilik
    tanınmayan kişinin kendisi veya başkasının hayatı ve
    11
    beden bütünlüğünün korunması için zorunlu olması
    halinde kişisel verilerin işlenmesi mümkündür.
    ÖRNEK: Bilinci yerinde olmayan bir kişinin beden
    bütünlüğünün korunması amacıyla tıbbi müdahale
    yapılması gereken durumlarda; yakınlarına haber
    vermek, yetkili sağlık kurumları tarafından tutulan
    kayıtlar üzerinden hasta geçmişini öğrenerek gerekli
    müdahaleyi yapmak gibi amaçlarla kişinin adı,
    soyadı, kimlik numarası, telefon numarası vb. kişisel
    verilerinin işlenmesi bu kapsamdadır.
    ÖRNEK: Hürriyeti kısıtlanan bir kişinin kurtarılması
    amacıyla, kendisinin ya da şüphelinin cep telefonu
    sinyali, kredi kartı kullanım ve işlem hareketleri, araç
    takip sistemi bilgileri, MOBESE kayıtları vb. kişisel
    verilerinin ilgili birimlerce işlenerek yer tespitini
    yapılması.
    ÖRNEK: Dağda mahsur kalan bir kişinin kurtarılması
    amacıyla, cep telefonu sinyali, GPS ve mobil trafik
    verisinin işlenerek yerinin belirlenmesi. d) BİR SÖZLEŞMENİN KURULMASI VEYA
    İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI
    KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT
    KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ
    OLMASI
    Bu veri işleme şartına dayanarak kişisel veri
    işlenebilmesi için işlemenin gerçekten bu amaca
    hizmet ediyor olması ve bu amaçla sınırlı olarak
    gerçekleştiriliyor olması gereklidir.
    Ayrıca, işlenen kişisel verilerin sadece sözleşmenin
    taraflarına ait olması ve sözleşme çerçevesiyle sınırlı
    olmak kaydıyla kişisel veri işlenmesinin gerektiği de
    unutulmamalıdır.
    ÖRNEK: Bir emlakçının, kira sözleşmesi ile ilgili
    olarak ev sahibi ve kiracı arasında imzalanan sözleşme
    kapsamında tarafların kimlik numarası, banka hesap
    numarası, adres, imza ve telefon gibi kişisel verilerini
    işlemesi, dosyasında muhafaza etmesi.
    ÖRNEK: Bir satıcının müşterisine sattığı bir malı
    teslim etmek amacıyla müşterisinin adresini taşıma
    şirketine vermesi.
    13
    ÖRNEK: Bir bankanın, maaş müşterisi ile imzaladığı
    sözleşme kapsamında müşterinin kimlik numarası,
    elektronik posta, adres, imza, cep telefon numarası
    gibi kişisel verilerini işlemesi ve dosyasında muhafaza
    etmesi.
    e) VERİ SORUMLUSUNUN HUKUKİ
    YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ
    İÇİN ZORUNLU OLMASI
    Bu veri işleme şartının uygulanabilmesi için kişisel veri
    işleme, veri sorumlusunun hukuki yükümlülüğünü
    yerine getirebilmesi için gerekli ve bu amaçla sınırlı
    olarak gerçekleştiriliyor olmalıdır.
    ÖRNEK: Taşıma işiyle yükümlü bulunan bir kargo
    firması tarafından, kişiye teslimat yapılabilmesi için,
    alıcının adres ve iletişim bilgilerinin kaydedilmesi.
    ÖRNEK: Bir şirketin çalışanına maaş ödeyebilmesi
    için banka hesap bilgilerini işlemesi.
    ÖRNEK: Seminer organizasyonu yapılan bir hizmet
    binasında, gerek katılımcıların gerekse de binanın
    güvenliğini sağlamak amacıyla katılımcıların
    kimlik numarası, imza, telefon numarası gibi kişisel
    verilerinin işlenmesi.
    f) İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN
    ALENİLEŞTİRİLMİŞ OLMASI
    Alenileştirilmiş, diğer bir ifadeyle herhangi bir
    şekilde kamuoyuna açıklanmış kişisel veriler ilgili
    kişinin alenileştirme amacıyla bağlantılı olmak
    koşuluyla işlenebilir. Diğer bir ifadeyle bu durumda,
    alenileştirme iradesine bağlı olarak kişisel veri
    işlenmesi mümkündür.
    Alenileştirmede irade beyanı esastır. Bu nedenle,
    kişinin kendisi tarafından alenileştirilmiş olması,
    alenileştirme iradesi dışındaki herhangi bir amaç için
    bu kişisel verinin kullanılabileceği ve işlenebileceği
    anlamına gelmeyecektir.
    ÖRNEK: Bir kamu kurumunda çalışan personelin
    ad, soyad ve iş telefonu bilgilerinin vatandaşların
    kolay erişimini sağlamak amacıyla kurumun internet
    sitesinde paylaşılması durumunda, bu telefon
    numaraları, kamu kurumunun yetki alanındaki iş ve
    işlemlerde kullanılabilecektir.
    15
    ÖRNEK: İkinci el araç satışı yapılan internet
    sitesinde aracını satmak isteyen ilgili kişinin iletişim
    bilgilerinin, araç alım satımı dışında pazarlama
    amacıyla kullanılması, bu veri işleme şartı kapsamında
    değerlendirilmemektedir.
    ÖRNEK: Bir avukatın kartvizitini verdiği kişi, sadece
    hukuki konularda danışma gibi bir amaçla kartvizitte
    yer alan GSM numarası kullanabilir. Ancak söz konusu
    GSM numarasına reklam ve kampanya içerikli SMS
    gönderilmesi veya arama yapılması avukatın irade
    beyanına aykırıdır.
    g) BİR HAKKIN TESİSİ, KULLANILMASI VEYA
    KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU
    OLMASI
    Veri sorumlularınca ilgili kişilere bir hakkın
    tesis edilmesi, kullandırılması veya ilgili kişilerin
    haklarının korunması için gerekli olması halinde
    kişisel veri işlenebilecektir.
    ÖRNEK: Bir şirketin kendi çalışanı tarafından açılan
    bir davada, ispat için bazı verileri kullanması bu
    kapsamda değerlendirilir.
    ÖRNEK: Mahkeme tarafından veli/vasi olarak
    atanmış bir kişinin, kendisine veli/vasi olarak atanan
    kişi adına ilgili kamu kurumlarına başvuru yapması
    için onun verilerini işlemesi.
    ÖRNEK: Bir avukatın, müvekkili ile imzaladığı
    sözleşme kapsamında, mahkeme nezdinde müvekkili
    adına dava açma, onu temsil etme veya diğer adli
    işlemlerini yapma gibi haklarını kullanabilmesine
    imkan sağlaması için kişisel verileri işlemesi.
    h) İLGİLİ KİŞİNİN TEMEL HAK VE
    ÖZGÜRLÜKLERİNE ZARAR VERMEMEK
    KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU
    MENFAATLERİ İÇİN VERİ İŞLENMESİNİN
    ZORUNLU OLMASI
    Bu hükmün uygulanabilmesi için; veri işlemenin veri
    sorumlusunun meşru menfaati için zorunlu olması
    ve ilgili kişinin temel hak ve özgürlüklerine zarar
    vermemesi gerekmektedir.
    ÖRNEK: Bir işletmenin satılması, devralınması
    gibi bir durumun varlığı halinde, şirketi satın
    alacak kişinin personelin kişisel verilerinin dâhil
    olduğu birtakım bilgileri incelemesi meşru menfaat
    17
    kapsamında değerlendirilebilir.
    ÖRNEK: Bir işverenin, nükleer santraldeki
    çalışanların güvenliğini sağlamaya yönelik iş güvenliği
    mekanizmalarının kurulması amacıyla çalışanların
    kişisel verilerini işlemesi.
  2. ÖZEL NİTELİKLİ KİŞİSEL VERİ
    (HASSAS VERİ)
    Kişisel verilerin daha sıkı tedbirlerle korunmasını
    gerektiren bir kategori olan özel nitelikli (hassas)
    kişisel veriler, başkaları tarafından öğrenildiği takdirde
    ilgili kişinin mağdur olmasına, ayrımcılığa maruz
    kalmasına ya da şeref ve onurunun zedelenmesine
    neden olabilecek nitelikteki verilerdir. Bu nedenle,
    hangi kişisel verilerin özel nitelikli veriler olduğu ve
    özel nitelikli kişisel verilerin işlenme şartları Kanunda
    ayrıca düzenlemiştir.
    Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi
    inancı, dini, mezhebi veya diğer inançları, kılık
    ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
    sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik
    tedbirleriyle ilgili verileri ile biyometrik ve genetik
    verileri özel nitelikli kişisel veriler olarak sayılmıştır.
    Özel Nitelikli Kişisel Verilerin İşlenme Şartları:
    Bu verilerin işlenme şartları, Kanunun 6. maddesinde
    özel olarak düzenlenmiştir.
    Özel nitelikli kişisel verilerin işlenebilmesi için kural
    olarak ilgili kişinin açık rızası gerekir.
    19
    ÖRNEK: Klinik araştırmalar kapsamında gönüllü
    olan kişilerin açık rızalarının alınması gerekir.
    İlgili kişinin açık rızasının bulunmadığı bazı
    durumlarda da özel nitelikli kişisel verilerin işlenmesi
    mümkündür. Ancak, ilgili kişinin açık rızası olmadan
    bu verilerin işlenebileceği durumlar sağlık ve cinsel
    hayata ilişkin veriler ile diğer özel nitelikli kişisel
    veriler bakımından bir ayrıma tabi tutulmuştur. Buna
    göre;
    *Sağlık ve cinsel hayat dışındaki özel nitelikli veriler;
    ancak kanunlarda öngörülen hallerde kişinin açık
    rızası olmaksızın işlenebilecektir.
    *Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu
    sağlığının korunması, koruyucu hekimlik, tıbbî teşhis,
    tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
    hizmetleri ile finansmanının planlanması ve yönetimi
    amacıyla, sır saklama yükümlülüğü altında bulunan
    kişiler veya yetkili kurum ve kuruluşlar tarafından
    ilgilinin açık rızası aranmaksızın işlenebilecektir.
    NOT: Kanunda sağlık hizmetinin sağlanması
    açısından geçerli olan bazı veri türlerinin işlenmesine
    istisna getirilmiş ve bu istisna sadece sır saklama
    yükümlülüğüne tabi olan kişiler ile sınırlandırılmıştır.
    ÖRNEK: Bir kişinin, A hastanesinde tansiyon
    tedavisi, B hastanesinde ise kalp rahatsızlığı tedavisi
    gördüğü bir durumda, kalp rahatsızlığı nedeniyle
    ameliyat olması gereken hasta hakkında bu iki hastane
    doktorunun sağlık verilerini birbirlerine aktarması.
    Kanunun 6. maddesinin 4. fıkrası gereği Özel nitelikli
    kişisel verilerin işlenmesinde, ayrıca Kurul tarafından
    belirlenen yeterli önlemlerin alınması şarttır.
    NOT: Kanunun 6. maddesinin 4. fıkrası gereği Kişisel
    Verileri Koruma Kurulunca “Özel Nitelikli Kişisel
    Verilerin İşlenmesinde Veri Sorumlularınca Alınması
    Gereken Yeterli Önlemler” başlıklı, 31/01/2018 tarihli
    ve 2018/10 sayılı kararı 07/03/2018 tarihli Resmi
    Gazetede yayımlanmıştır.
    21
  3. KİŞİSEL VERİLERİN SİLİNMESİ, YOK
    EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
    Kanunun 7. maddesine göre kişisel veriler hukuka
    uygun şekilde işlenmiş olsalar dahi, işlenmeyi
    gerektiren sebepler ortadan kalktığında veri
    sorumlusu tarafından resen veya ilgili kişinin talebi
    üzerine silinmeli, yok edilmeli veya anonim hale
    getirilmelidir.
    ÖRNEK: Bir alışveriş merkezinde yapılan çekiliş için
    toplanan ad, soyad, telefon numarası gibi bilgiler,
    alışveriş merkezi tarafından başka kampanyalar için
    kullanılmamalı, çekilişin tamamlanmasının ardından
    silinmelidir.
    NOT: Kanunun 7. maddesinin 3. fıkrasının verdiği
    yetkiye dayanarak Kişisel Verileri Koruma Kurulunca
    hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi
    veya Anonim Hale Getirilmesi Yönetmeliği”
    28.10.2017 tarihli Resmi Gazete’de yayımlanarak
    01.01.2018 tarihinde yürürlüğe girmiştir.
    NOT: Kanunun 22. maddesinin (1) numaralı
    fıkrasının (g) bendi gereği Kişisel Verileri Koruma
    Kurulunca, veri sorumlularına silme, yok etme veya
    anonim hale getirme konusunda rehberlik etmek ve
    iyi uygulama örneklerini göstermek amacıyla “Kişisel
    Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
    Getirilmesi Rehberi” hazırlanmış olup anılan rehbere,
    Kurumun internet sitesinden ulaşılabilir.
    a) KİŞİSEL VERİLERİN SİLİNMESİ
    Kişisel verilerin silinmesi, kişisel verilerin ilgili
    kullanıcılar (veri sorumlusu veya veri işleyen
    nezdinde verileri teknik olarak depolama, koruma
    ve yedeklemeden sorumlu olanlar hariç herkes) için
    hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
    getirilmesi işlemidir.
    ÖRNEK: Çalışanlarına ait özlük verilerini sunucuda
    tutmakta olan bir şirket, çalışanlardan birinin
    işten ayrılması durumunda, bu verinin bulunduğu
    sunucuyu tamamen yok edemeyeceği için veriye silme
    işlemi uygular. Bu veri, bazı teknikler uygulanmak
    suretiyle veri tabanı yöneticisi tarafından geri
    getirilebilecek durumda olmakla birlikte insan
    kaynakları veya diğer birimdekiler tarafından hiçbir
    şekilde erişilemez hale gelmiş olacaktır.
    ÖRNEK: Bir şirkette, bir pozisyon için başvurular
    alınmış ve tüm başvurularda yer alan kişisel veriler,
    23
    adayların kimlik numarasına göre kağıt ortamında
    listeye aktarılmış, başvuru evrakları da muhafaza
    edilmek üzere ilgili dosyada arşive kaldırılmıştır.
    Şirkette değerlendirmeler devam ederken başvuru
    sahiplerinden birisinin başvurudan vazgeçmiş olması
    halinde bu kişiye ait işleme şartı ortadan kalktığı için
    bu verilerin silinmesi yok edilmesi veya anonim hale
    getirilmesi gerekliliği ortaya çıkmıştır. Bu durumda,
    başvuru evrakının yok edilmesi mümkündür.
    Bununla birlikte, tüm başvuruları içeren bir liste
    hazırlanmışsa, bu listedeki diğer kişilere ait işleme
    şartlarının devam etmesi nedeniyle bu listenin yok
    edilmesi doğru olmayacağından sadece başvurudan
    vazgeçmiş olan kişiye ait verilere, ilgili listede
    karartma işlemi yapılabilecektir.
    b) KİŞİSEL VERİLERİN YOK EDİLMESİ
    Kişisel verilerin yok edilmesi, kişisel verilerin hiç
    kimse tarafından hiçbir şekilde erişilemez, geri
    getirilemez ve tekrar kullanılamaz hale getirilmesi
    işlemidir.
    ÖRNEK: Bir sempozyum kapsamında organizasyon
    firması tarafından sempozyuma katılım sağlayacak
    kişilere ait kişisel veriler taşınabilir bellekte veya
    CD’de tutulmaktadır. Sempozyumun tamamlanması
    ve gerekli saklama süresinin sona ermesinden
    itibaren söz konusu verilerin yok edilmesi gerekir. Bu
    durumda, katılımcılara ait kişisel verilerin bulunduğu
    taşınabilir bellek veya CD kırılıp parçalanabilir,
    yakılabilir veya metal öğütücüden geçirilebilir.
    c) KİŞİSEL VERİLERİN ANONİM HALE
    GETİRİLMESİ
    Kişisel verilerin anonim hale getirilmesi, bu verilerin
    başka verilerle eşleştirilse dahi hiçbir surette kimliği
    belirlenebilir bir gerçek kişiyle ilişkilendirilememesini
    ifade etmektedir.
    ÖRNEK: Bir kamuoyu araştırma şirketi tarafından
    bir mahallede yapılan araştırmada ad, soyad, TC
    kimlik numarası, yaş, cinsiyet, ödeme tercihleri,
    kullanılan cep telefonu modeli, sahip olunan araç
    markası, kıyafet ve marka tercihleri gibi bilgiler
    sorulmuş ve araştırma sonucu da kamuoyu ile
    paylaşılmak istenmiştir. Buna göre; ad, soyad, TC
    kimlik numarası gibi doğrudan herhangi bir kişiyi
    belirli veya belirlenebilir kılabilecek olanların listeden
    çıkarılması, yıldızlanarak / bastırılarak görünmez hale
    getirilmesi, genelleştirilmesi, k-anonimlik, l-çeşitlilik,
    25
    t-yakınlık gibi teknikler kullanılarak anonim hale
    getirilebilir.
    NOT: Herkesin veri sorumlusuna başvurarak
    kendisiyle ilgili kişisel verilerin Kanunun 7. maddesinde
    öngörülen şartlar çerçevesinde silinmesini veya yok
    edilmesini isteme hakkı bulunmaktadır.
    26
  4. AYDINLATMA YÜKÜMLÜLÜĞÜ
    Veri sorumlusu veya yetkilendirdiği kişi, kişisel
    verilerin elde edilmesi sırasında ilgili kişileri
    Kanunun 10. maddesine göre aşağıdaki konularda
    bilgilendirmekle yükümlüdür:
  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla
    aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin Kanunun 11. maddesinde sayılan diğer
    hakları.
    NOT: 10.03.2018 tarihli Resmi Gazete’de yayımlanan
    “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde
    Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile veri
    sorumlularınca bu yükümlülük yerine getirilirken
    dikkat edilmesi gereken hususlar düzenlenmiştir.
    Aydınlatma yapılırken;
    •Kişisel veri işleme amacı belirli, açık ve meşru olmalı,
    •İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı,
    •Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi
    göz önüne alınarak belirlenmeli,
    27
    •Metinlerde muğlak ifadelerden ve teknik terimlerden
    kaçınılmalı,
    •Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer
    verilmemelidir.
    Aydınlatma yükümlüğü kapsamında ilgili kişilerin
    yazılı veya sözlü şekilde bilgilendirilmeleri mümkün
    olabileceği gibi elektronik ortamda gönderilecek bir
    e-posta, ses kaydı veya çağrı merkezi aracılığıyla da
    bilgilendirilmeleri mümkündür.
    NOT: Kişisel verilerin, ilgili kişinin açık rızası ile ya
    da Kanundaki diğer veri işleme şartlarına dayalı olarak
    işlenmesi hallerinde aydınlatma yükümlülüğünün
    yerine getirilmesi zorunludur.
    NOT: Veri sorumlusu, ilgili kişinin talebini
    beklemeksizin aydınlatma yükümlülüğünü yerine
    getirmelidir.
    NOT: Veri sorumlusu, aydınlatma yükümlülüğünü
    yerine getirdiğini ispat etmekle yükümlüdür.
    NOT: Kişisel Verileri Koruma Kurumunca,
    aydınlatma yükümlülüğünün yerine getirilmesi
    hususunda veri sorumlularına rehberlik etmek
    ve iyi uygulama örneklerini göstermek amacıyla
    28
    29
    “Aydınlatma Yükümlülüğünün Yerine Getirilmesi
    Rehberi” hazırlanarak Kurum internet sayfasında
    yayımlanmıştır.
  1. İLGİLİ KİŞİNİN HAKLARI
    Kanunun 11. maddesine göre ilgili kişiler, her zaman
    veri sorumlusuna başvurarak kendisi ile ilgili;
  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep
    etme,
  • Kişisel verilerinin işlenme amacını ve bunların
    amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinin
    aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinin eksik veya yanlış işlenmiş olması
    hâlinde bunların düzeltilmesini isteme,
  • Kanunun 7. maddesinde öngörülen şartlar
    çerçevesinde kişisel verilerin silinmesini veya yok
    edilmesini isteme,
  • Düzeltilme, silinme veya yok edilme işlemlerinin,
    kişisel verilerin aktarıldığı üçüncü kişilere
    bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler
    vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
    aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi
    sebebiyle zarara uğraması hâlinde zararın
    giderilmesini talep etme
    haklarına sahiptir.
    30
    NOT: Veri sorumlusunca talebe en kısa sürede ve
    en geç 30 gün içinde cevap verilmesi gerekmektedir.
    Ancak başvurunun reddedilmesi veya verilen cevabın
    yetersiz olması hallerinde 30 gün içinde, başvuruya
    süresinde cevap verilmemesi hallerinde ise başvuru
    tarihinden itibaren 60 gün içinde ilgili kişiler Kurula
    şikâyet yoluna gidebilir.
    NOT: İlgili kişiler, Kanunun 11. maddesindeki
    taleplerine ilişkin olarak öncelikle veri sorumlularına
    başvurmalıdır. Bu yol tüketilmeden Kişisel Verileri
    Koruma Kuruluna şikâyet yoluna gidilmemelidir.
    31
  1. VERİ SORUMLUSUNA BAŞVURU
    Kanunun 13. maddesinde, ilgili kişinin veri
    sorumlusuna başvurusuna ilişkin hususlar
    düzenlenmektedir.
    Maddenin 1. fıkrasına göre, ilgili kişilerin Kanunun
    uygulanmasıyla ilgili taleplerini, öncelikle veri
    sorumlusuna iletmeleri zorunludur. İlgili kişilerin,
    taleplerini veri sorumlusuna yazılı olarak ya
    da Kurulun belirleyeceği diğer yöntemlerle
    iletebilmelerine imkân sağlanmaktadır.
    NOT: İlgili kişilerce veri sorumlusuna yapılacak
    başvuru yazılı olarak ya da Kurulun belirleyeceği
    diğer yöntemlerle iletilebilmektedir. Bu kapsamda
    Kurul tarafından belirlenen diğer yöntemler,
    10.03.2018 tarihli Resmi Gazete’de yayımlanan “Veri
    Sorumlusuna Başvuru Usul ve Esasları Hakkında
    Tebliğ”de düzenlenmektedir.
    NOT: Tebliğin 5. maddesine göre ilgili kişi, Kanunun
  2. maddesinde belirtilen hakları kapsamındaki
    taleplerini, yazılı olarak veya kayıtlı elektronik posta
    (KEP) adresi, güvenli elektronik imza, mobil imza ya
    da ilgili kişi tarafından veri sorumlusuna daha önce
    bildirilen ve veri sorumlusunun sisteminde kayıtlı
    bulunan elektronik posta adresini kullanmak suretiyle
    veya başvuru amacına yönelik geliştirilmiş bir yazılım
    ya da uygulama vasıtasıyla veri sorumlusuna iletir.
    Aynı maddenin 2. fıkrasında, talebi alan veri
    sorumlusunun; ücretsiz olarak veya işlemin ayrıca
    bir maliyeti gerektirmesi halinde, Kurul tarafından
    belirlenen tarifeye göre, alacağı ücret mukabilinde en
    kısa sürede ve en geç 30 gün içinde talebi incelemesi,
    kabul veya gerekçesini açıklayarak reddetmesi, ayrıca
    cevabı ilgili kişiye bildirmesi öngörülmektedir.
    NOT: Veri sorumlusunun gerçek kişi veya özel şirket
    olabileceği ve bunların 7201 sayılı Tebligat Kanununa
    tabi olmamaları dikkate alınmış ve veri sorumlusunun
    cevabını ilgili kişiye “bildirmesi” gerektiği burada
    hükme bağlanmıştır.
    Bu bildirim, bir ispat sorunu olup gerektiğinde yargı
    mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi
    kurum ve kuruluşların bu bildirimleri anılan Kanun
    hükümleri uyarınca resmi tebligat yoluyla yapacakları
    ise açıktır.
    Maddenin 3. fıkrası gereğince, veri sorumlusu talebi
    kabul eder veya gerekçesini açıklayarak reddeder.
    Veri sorumlusu cevabını ilgili kişiye yazılı olarak veya
    33
    elektronik ortamda bildirir.
    Başvuruda yer alan talebin kabul edilmesi hâlinde veri
    sorumlusunca gereği yerine getirilir. Başvurunun veri
    sorumlusunun hatasından kaynaklanması hâlinde
    alınan ücret ilgiliye iade edilir.
    ÖRNEK: Çalıştığı şirketten ayrılan bir kişi, kendisi ile
    ilgili verilerinin silinmesini, yok edilmesini Kurulun
    belirlediği yöntemler vasıtasıyla veri sorumlusuna
    başvurarak talep edebilir. Veri sorumlusu
    değerlendirmesini yapıp ilgili kişiye bir cevap verir.
    Veri sorumlusu ilgili kişinin talebini, 30 gün içerisinde
    kabul eder veya gerekçesini açıklayarak reddeder.
    Başvurusunun reddedilmesi veya verilen cevabın
    ilgili kişi nezdinde yetersiz kalması durumunda ilgili
    kişi cevabı aldığı tarihten itibaren 30 gün içerisinde
    Kurula şikâyet yoluna gidebilir. Veri sorumlusu
    tarafından başvuruya cevap verilmemesi durumunda
    ise; başvuru tarihinden itibaren 60 gün içinde Kurula
    şikâyette bulunabilir.
    ÖRNEK: Bir banka müşterisi olan kişinin adresi
    değiştiği için kredi kartı ekstreleri eski adresine
    gönderilmekte ve kişi ekstrelerine ulaşamamaktadır.
    Kişi, veri sorumlusuna başvurarak kendisiyle
    ilgili eksik veya yanlış işlenmiş olan verilerinin
    düzeltilmesini isteme hakkına sahiptir. İlgili kişi, veri
    sorumlusundan aldığı cevap neticesinde gerekmesi
    durumunda Kurula şikâyet yoluna da gidebilir.
    ÖRNEK: Hastanede kayıt işlemi sırasında bilgilerini
    kayıt görevlisine bildiren kişinin bilgileri, görevli
    personelin bu bilgileri yüksek sesle tekrarlaması
    sonucu sırada bulunan diğer kişiler tarafından
    öğrenilmiştir. Bu durumdan rahatsız olan ilgili kişi
    öncelikle veri sorumlusu olan hastaneye başvurup
    aldığı cevabın niteliğine göre Kurula şikayet yolunu
    tercih edebilir.
    ÖRNEK: Kişisel verisinin bir veri sorumlusu
    tarafından Kanuna aykırı olarak işlendiğini öğrenen
    bir kişi, veri sorumlusunun başvuru amacına yönelik
    geliştirdiği mobil uygulama üzerinden başvurusunu
    iletmişse, bu tarihten itibaren en kısa sürede ve en
    geç 30 gün içerisinde veri sorumlusu tarafından
    cevap verilmesi gerekmektedir. Ancak başvurunun
    reddedilmesi veya verilen cevabın yetersiz olması
    hallerinde 30 gün içinde, başvuruya süresinde cevap
    verilmemesi hallerinde ise başvuru tarihinden
    itibaren 60 gün içinde ilgili kişiler Kurula şikâyet
    yoluna gidebilir.
    35
  3. KURULA ŞİKÂYET VE İNCELEME SÜRECİ
    Kişisel verisi işlenen ilgili kişilerin, Kanunun 11.
    maddesi ile öngörülen haklarını kullanırken önce
    veri sorumlusuna başvurması, cevabın niteliğine göre
    ise Kurula şikâyet yoluna gitmesi mümkündür.
    a) KURULA ŞİKÂYET
    Kanunun 14. maddesi ile Kurula şikâyet konusu
    düzenlenmektedir.
    Buna göre; Kanunun 13. maddesi kapsamında yapmış
    olduğu başvurunun reddedilmesi, verilen cevabın
    yetersiz bulunması veya süresinde başvuruya cevap
    verilmemesi hallerinde ilgili kişi, veri sorumlusunun
    cevabını öğrendiği tarihten itibaren 30 ve her halde
    başvuru tarihinden itibaren 60 gün içinde Kurula
    şikâyette bulunabilir.
    Maddenin 2. fıkrasında, Kanunun 13. maddesinde
    düzenlenen başvuru aşamasının zorunlu bir başvuru
    yolu olduğu ve bu yol tüketilmeden şikâyet yoluna
    gidilemeyeceği hükme bağlanmaktadır. Böylece
    uyuşmazlıkların belirli bir kısmının veri sorumluları
    tarafından giderilmesi ve bu suretle Kurulun yoğun
    36
    bir iş yüküyle karşı karşıya kalmasının önlenmesi
    amaçlanmaktadır.
    Başvuru yoluna gitmenin zorunlu, şikâyet yoluna
    gitmenin ise ihtiyari olması sebebiyle, başvurusu
    zımnen veya açıkça reddedilen ilgili kişinin bir
    yandan Kurula şikâyette bulunabilmesi, diğer yandan
    ise adli veya idari yargı yoluna gidebilmesi mümkün
    olacaktır.
    Maddenin 3. fıkrası ile kişilik hakları ihlal edilenlerin,
    genel hükümlere göre tazminat hakkının saklı
    tutulduğu düzenlenmektedir. Bu kapsamda, veri
    sorumlusunun hukuki statüsüne göre ilgililer adli ya
    da idari yargıda dava açabileceklerdir.
    ÖRNEK: Veri sorumlusu tarafından ilgili kişinin
    izni olmaksızın telefonuna reklam ve kampanya
    içerikli SMS gönderilmektedir. Bu durumda ilgili
    kişi; veri sorumlusuna yazılı veya elektronik ortamda
    başvurarak talebini bildirebilir. Veri sorumlusu ilgili
    kişinin talebine 30 gün içerisinde cevap vermekle
    yükümlüdür. Veri sorumlusundan aldığı cevaba göre
    ilgili kişi isterse Kurula şikâyet yoluna gidebilir.
    NOT: Veri sorumlusuna hiçbir şekilde ulaşılamadığı,
    veri sorumlusunun tespitinin sağlanamadığı
    37
    durumlarda ilgili kişi elinde kanıtlanabilir nitelikte
    belge olmak kaydıyla, doğrudan Kurula şikâyet
    yoluna gidebilir.
    b) ŞİKÂYET ÜZERİNE VEYA RESEN
    İNCELEMENİN USUL VE ESASLARI
    Kanunun 15. maddesi ile Kurul tarafından yapılacak
    incelemenin usul ve esasları düzenlenmektedir.
    Buna göre Kurul, şikâyet üzerine veya ihlal iddiasını
    öğrenmesi halinde resen, görev alanına giren
    konularda gerekli incelemeyi yapabilecektir. Bu
    inceleme şikâyete ya da resen öğrenilen şikâyet
    konusuna özgü olacaktır.
    3071 sayılı Dilekçe Hakkının Kullanılmasına Dair
    Kanunun 6. maddesinde belirtilen şartları taşımayan
    ihbar ve şikâyetler incelemeye alınmayacaktır.
    Veri sorumluları, devlet sırrı niteliğindeki bilgi ve
    belgeler hariç, talep edilen bilgi ve belgeleri Kurula
    15 gün içinde göndermek veya gerektiğinde yerinde
    inceleme yapılmasına imkân sağlamak zorundadır.
    Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir
    38
    cevap verir. Şikâyet tarihinden itibaren 60 gün içinde
    cevap verilmezse talep reddedilmiş sayılır.
    Buna göre, şikâyet tarihinden itibaren 60 günlük
    sürenin geçmesiyle idari yargıda dava açma süresi
    başlayacaktır. Kurulun, şikâyet üzerine yapacağı
    inceleme için 60 günlük süre öngörülmüş ise de resen
    yapacağı incelemeler yönünden herhangi bir süre
    öngörülmemektedir.
    NOT: Unutulmamalıdır ki; ilgili kişinin şikâyeti
    üzerine Kurul, talebi inceleyerek ilgililere bir
    cevap verir. Kurulun bir cevap vermesi başvuruyu
    sonuçlandırdığı anlamına gelmez. İnceleme süreci
    devam edebilir.
    Şikâyet üzerine veya resen yapılan inceleme
    sonucunda, ihlalin varlığının anlaşılması hâlinde
    Kurul, tespit ettiği hukuka aykırılıkların veri
    sorumlusu tarafından giderilmesine karar vererek
    ilgililere tebliğ eder. Bu karar, tebliğinden itibaren
    gecikmeksizin ve en geç 30 gün içinde yerine getirilir.
    Şikâyet üzerine veya resen yapılan inceleme
    sonucunda, ihlalin yaygın olduğunun tespit edilmesi
    durumunda, gerekli ise ilgili kurum ve kuruluşların
    görüşleri de alınarak Kurul tarafından ilke kararı
    39
    alınarak yayımlanır.
    Telafisi güç veya imkânsız zararların doğması ve
    açıkça hukuka aykırılık olması hâlinde, Kurul’a veri
    işlenmesinin veya verinin yurt dışına aktarılmasının
    durdurulmasına karar verme yetkisi tanınmıştır.
    ÖRNEK: 6698 sayılı Kanuna açıkça aykırılık teşkil
    etmesi durumunda Kurul, 18. madde kapsamında
    idari para cezası uygulayabileceği gibi, telafisi güç veya
    imkânsız zararların doğması halinde, veriye erişimin
    kısıtlanmasına, verinin işlenmesine veya yurt dışına
    aktarılmasının durdurulmasına da karar verebilir.
    40
  4. VERİ SORUMLULARI SİCİLİNE KAYIT
    Kanunun 16. maddesi, veri sorumlularının kayıt olması
    gereken Veri Sorumluları Sicilini düzenlemektedir.
    Veri Sorumluları Sicili, Kişisel Verileri Koruma
    Kurulunun gözetiminde Başkanlık tarafından
    kamuya açık olarak tutulur.
    Kişisel verileri işleyen gerçek ve tüzel kişiler, veri
    işlemeye başlamadan önce Veri Sorumluları Siciline
    kaydolmak zorundadır.
    Ancak işlenen verinin niteliği, sayısı, veri işlemenin
    kanundan kaynaklanması veya üçüncü kişilere
    aktarılma durumu gibi Kurulca belirlenecek
    objektif kriterler göz önüne alınmak suretiyle,
    Sicile kayıt zorunluluğuna Kurul tarafından istisna
    getirilebilecektir.
    NOT: Kanunun 16. maddesinin (1) numaralı fıkrası
    ve Veri Sorumluları Sicili Hakkında Yönetmeliğin
    ilgili maddeleri gereği Veri Sorumluları Sicil Bilgi
    Sistemi (VERBİS) hazırlanarak kullanıma açılmıştır.
    İstisnalar hariç olmak üzere, kişisel verileri işlemekte
    olan gerçek ve tüzel kişiler VERBİS’e kaydolmakla
    yükümlüdür.
    41
    Veri Sorumluları Siciline kayıt başvurusu aşağıdaki
    hususları içeren bir bildirimle yapılır;
  • Veri sorumlusu ve varsa temsilcisinin kimlik ve
    adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait
    veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı
    grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan
    azami süre.
    Veri sorumluları tarafından, bu bilgileri içeren
    bir bildirimle VERBİS’e kayıt yapılır. Söz konusu
    bilgilerde meydana gelen değişiklikler derhal Kurum
    Başkanlığına bildirilir.
    42
    NOT: Veri Sorumluları Sicili Hakkında Yönetmeliğin
  1. maddesine göre, Sicilde kayıtlı bilgilerde değişiklik
    olması halinde, değişikliğin meydana geldiği tarihten
    itibaren 7 gün içinde VERBİS üzerinden güncelleme
    yapılması gerekmektedir.
    Veri Sorumluları Siciline ilişkin diğer usul ve esaslar
    Yönetmelikle düzenlenir.
    NOT: Kanunun 16. maddesinin (5) numaralı
    fıkrasının verdiği yetkiye dayanarak Kişisel Verileri
    Koruma Kurulunca hazırlanan “Veri Sorumluları
    Sicili Hakkında Yönetmelik” 01.01.2018 tarihi
    itibariyle yürürlüğe girmiştir.
    NOT: VERBİS’e kayıt tarihleri 2018/88 sayılı Kurul
    Kararı ile belirlenmiştir. İlgili Kurul Kararına www.
    kvkk.gov.tr adresi üzerinden erişim sağlanabilir.
    2018/88 Sayılı Kurul Kararında Sicile kayıt
    yükümlülüğü başlama tarihleri aşağıdaki gibi
    belirlenerek ilan edilmiştir:
    43
    Veri sorumluları Kayıt başlama
    tarihi Süre Kayıt için son
    tarih
    Yıllık çalışan sayısı
    50’den çok veya
    yıllık mali bilanço
    toplamı 25 milyon
    TL’ den çok olan
    gerçek ve tüzel kişi
    veri sorumluları
    01.10.2018 12 ay 30.09.2019
    Yurtdışında
    yerleşik gerçek
    ve tüzel kişi veri
    sorumluları için
    01.10.2018 12 ay 30.09.2019
    Yıllık çalışan
    sayısı 50’den az ve
    yıllık mali bilanço
    toplamı 25 milyon
    TL’ den az olup
    ana faaliyet konusu
    özel nitelikli kişisel
    veri işleme olan
    gerçek ve tüzel kişi
    veri sorumluları
    01.01.2019 15 ay 31.03.2020
    Kamu Kurum
    ve Kuruluşu veri
    sorumluları
    01.04.2019 15 ay 30.06.2020
    NOT: Kurul kararlarında yer alan yıllık çalışan
    sayısının hesaplanması için öncelikle tamamlanmış
    bir yıl olması ve bu tamamlanmış yıl içerisindeki 12
    aydan en az 7 sinin her birinde veri sorumlusunca
    yetkili kamu kurum ve kuruluşlarına aylık verilmekte
    olan prim ve muhtasar beyannamede bildirilen
    çalışan sayısının dikkate alınması gerekmektedir.
    Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak
    kaydıyla ardışık olması zorunlu değildir. Buna göre,
    44
    bir veri sorumlusunun 2017 yılı içerisinde Sosyal
    Güvenlik Kurumuna vermiş olduğu muhtasar ve
    prim hizmet beyannamelerinden en az 7 sinin her
    birinde bildirmiş olduğu çalışan sayısının 50 den
    çok olması halinde kayıt yükümlülüğü 01.10.2018
    tarihinde başlamış olacaktır.
    NOT: Kurul kararlarında yer alan yıllık mali bilanço
    toplamının hesaplanması için öncelikle tamamlanmış
    bir yıl olması ve bu tamamlanmış yıl içerisinde
    veri sorumlusu tarafından yetkili kamu kurumuna
    yıllık olarak verilmekte olan gelir veya kurumlar
    vergisi beyanname ekindeki mali tablolarda “aktif ”
    ya da “pasif ” bölümde yer alan toplam rakamı esas
    alınmalıdır.
    NOT: Kurul kararlarında yer alan ana faaliyet
    konusunun özel nitelikli kişisel veri işleme olup
    olmadığının tespitinde, veri sorumlularının en çok
    katma değer ürettiği faaliyetleri veya yürüttükleri temel
    iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi
    durumunun söz konusu olup olmadığı dikkate alınır.
    Diğer bir deyişle burada değerlendirilmesi gereken;
    veri sorumlularının herhangi bir faaliyeti içerisinde
    özel nitelikli kişisel verinin işleniyor olması değil,
    ana faaliyetleri kapsamında yürütmekte oldukları
    işlerinin konusunun özel nitelikli kişisel veri olup
    45
    olmadığıdır.
    Ayrıca 5429 sayılı Kanunun 11. maddesine istinaden
    2012 yılından itibaren ülkemizde tüm kamu
    kurum ve kuruluşlarında TÜİK koordinasyonunda
    oluşturulan NACE Rev.2 ekonomik faaliyet
    sınıflaması kullanılmakta olup Kurumumuzca
    da veri sorumlularının faaliyet konularının
    tespitinde söz konusu NACE faaliyet kodlarından
    faydalanılmaktadır. Bu kapsamda, veri sorumlularının
    ticaret sicil kaydında veya vergi levhasında yer alan
    faaliyet kodları göz önünde bulundurulmaktadır.
    NOT: Kurul kararında, yurtdışında yerleşik tüm veri
    sorumluları için Sicile kayıt yükümlülüğü başlama
    tarihi 01.10.2018 olarak belirlenmiştir. Buna göre,
    yurt dışında yerleşik veri sorumlularının Sicile kayıt
    yükümlülüğünün başlama tarihinin tespitinde yıllık
    çalışan sayısı, mali bilanço toplamı veya ana faaliyet
    konusunun özel nitelikli kişisel veri olup olmadığı
    bilgisi dikkate alınmamaktadır.
    ÖRNEK: Yurtiçinde yerleşik bir otomotiv şirketinin
    insan kaynakları departmanında, çalışanların
    kişisel verilerinin yanı sıra birtakım sağlık verileri
    de işlenmektedir. Bu durumda şirketin Sicile kayıt
    yükümlüsü olup olmadığını tespit edebilmek için
    46
    öncelikle ana faaliyet konusunun belirlenmesi
    gerekmektedir. Çalışanların kişisel verilerinin yanı
    sıra birtakım sağlık verilerinin de işleniyor olması
    ana faaliyetinin özel nitelikli kişisel veri işleme olduğu
    anlamına gelmez. Otomotiv şirketi olması nedeniyle
    şirketin ana faaliyeti özel nitelikli kişisel veri işleme
    sayılmayacaktır. Burada, 2018/88 sayılı Kurul
    Kararındaki kriterler sağlanıyor mu buna bakılmalı
    ve kayıt yükümlüsü olup olmadığı tespit edilmelidir.
    ÖRNEK: Merkezi yurtdışında bulunan bir şirketin
    Türkiye’de faaliyet gösteren bir şubesi bulunmaktadır.
    Türkiye’de faaliyet gösteren şubenin VERBİS’e kayıt
    yükümlüsü olup olmadığını tespit edebilmek için
    Türkiye’deki şubenin;
  • Farklı bir tüzel kişiliğe sahip mi?
  • Kişisel veri işleme amaç ve yöntemlerini kendisi mi
    belirliyor?
  • Veri kayıt sisteminin kurulmasından ve
    yönetilmesinden sorumlu mu?
    sorularına olumlu cevap vermesi gerekir.
    Bu durumda, eğer yurtdışındaki şirketten farklı olarak
    bir veri sorumlusu niteliğini taşıyorsa Türkiye’deki
    şubenin, 2018/88 sayılı Kurul Kararındaki kriterlerden
    birini sağlaması durumunda VERBİS’e kayıt olması
    gerekmektedir.
    47
    NOT: Kanunun 16. maddesi 2. fıkrasının verdiği
    yetkiye dayanarak Kişisel Verileri Koruma
    Kurulunca bazı veri sorumluları için VERBİS’e kayıt
    yükümlülüğüne istisna getirilmiştir. Bu istisnalar,
    15.05.2018 ve 18.08.2018 tarihli Resmi Gazete’de ilan
    edilerek Kurumun internet sitesinde duyurulmuştur.
    Kurul Kararıyla Sicile Kayıt Yükümlülüğünden
    İstisna Olan Veri Sorumluları
    15.05.2018 Tarihli Resmi Gazetede
    Yayımlanan Kurul Kararları
    18.08.2018 Tarihli Resmi Gazetede
    Yayımlanan Kurul Kararları
    Otomatik Olmayan Yollarla
    Kişisel Veri İşleyenler Gümrük Müşavirleri
    Noterler Arabulucular
    Siyasi Partiler, Dernekler,
    Vakıflar, Sendikalar Yıllık Çalışan Sayısı 50’den az ve Yıllık
    Mali Bilanço 25 Milyon TL’den Az olup
    Ana Faaliyeti Özel Nitelikli Kişisel Veri
    İşleme Olmayanlar
    Avukatlar
    Serbest Muhasebeci Mali Müşavirler ve
    Yeminli Mali Müşavirler
    İstisna kapsamında olmayan tüm veri sorumlularının
    www.kvkk.gov.tr üzerinden giriş yaparak VERBİS’e
    kayıt olması gerekmektedir. VERBİS’e kayıt olurken
    veri sorumluları tarafından kesinlikle kişisel veriye
    yer verilmeyecek, sadece kategorik bazda üst başlıklar
    halinde ne tür kişisel veri işlendiği, bunların hangi
    amaçla işlendiği, kimlere aktarıldığı, alınan tedbirlerin
    neler olduğu gibi bilgiler sisteme girilecektir.
    48
    ÖRNEK: Bir şirket veri olarak ad-soyad, kimlik
    numarası işliyorsa VERBİS’e kayıt esnasında ‘kimlik
    bilgisi işliyorum’ seçeneğini işaretleyecektir. Bu
    anlamda VERBİS, kamuya açık olup şeffaflık ve hesap
    verilebilirlik ilkelerini temel almaktadır.
    Veri sorumluları tarafından işlenen kişisel verilerin,
    VERBİS’te bulunan kategorilerde bir karşılığı yoksa,
    bu veri kategorileri VERBİS’te yer alan ‘diğer’
    butonuna tıklanarak manuel şekilde girilebilir.
    Bu sisteme kayıt olunmaması halinde Kurul tarafından
    20 bin TL’den 1 milyon TL’ye kadar idari para cezası
    verilecektir. Söz konusu idari para cezası miktarları,
    her yıl “yeniden değerleme” oranında artırılmaktadır.
    Kamu kurum ve kuruluşlarının VERBİS’e kayıt
    olmaması halinde ise; disiplin hükümlerine göre
    işlem yapılacak ve sonucu Kurula bildirilecektir.
    49
  1. İSTİSNALAR
    Kanunun 28. maddesi ile tamamen Kanunun kapsamı
    dışında kalan durumlar ve kısmen Kanunun kapsamı
    dışında kalan faaliyetler düzenlenmiştir.
    a) KANUNUN TAMAMEN UYGULANMAYACAĞI
    HALLER
    Kanunun 28. maddesinin 1. fıkrasında, Kanun
    hükümlerinin hangi durumlarda uygulanmayacağı,
    diğer bir ifade ile tamamen Kanunun kapsamı dışında
    tutulan hususlar düzenlenmektedir.
    NOT: Kişisel verilerin işlenmesine ilişkin ilkeler, tüm
    kişisel veri işleme faaliyetlerinin özünde bulunmalı ve
    tüm kişisel veri işleme faaliyetleri bu ilkelere uygun
    olarak gerçekleştirilmelidir. Dolayısıyla, her ne kadar
    çeşitli faaliyetler bazında Kanun’dan tam ve kısmi
    istisnalar sağlansa da, temel ilkelere uygun ve orantılı
    olmak kaydıyla kişisel veriler işlenmelidir.
    Buna göre aşağıda belirtilen durumlarda 6698 sayılı
    Kanun hükümleri uygulanmayacaktır;
    50
  2. Kişisel verilerin, üçüncü kişilere verilmemek ve veri
    güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
    gerçek kişiler tarafından tamamen kendisiyle veya
    aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
    kapsamında işlenmesi,
    ÖRNEK: Bir annenin üçüncü kişilere vermemek
    ve veri güvenliğine ilişkin yükümlülüklere uymak
    kaydıyla, aynı konutta yaşadığı çocuğu veya eşinin
    fotoğraflarını cep telefonuyla çekmesi, kaydetmesi,
    kimlik bilgilerini rehbere işlemesi gibi durumlar
    Kanun kapsamı dışında kalmaktadır.
  3. Kişisel verilerin resmi istatistik ile anonim hâle
    getirilmek suretiyle araştırma, planlama ve istatistik
    gibi amaçlarla işlenmesi,
    ÖRNEK: Yetkili kamu kurumu tarafından Resmi
    İstatistik Programı (RİP) kapsamında işlenmekte olan
    kişisel veriler Kanunun kapsamı dışındadır. Bununla
    birlikte, söz konusu kamu kurumunun resmi istatistik
    dışında işlemekte olduğu kişisel veriler bakımından
    ise 6698 sayılı Kanuna uyum yükümlülüğü devam
    etmektedir.
    ÖRNEK: Bir veri sorumlusu tarafından; anonim hâle
    getirilmek suretiyle araştırma, planlama ve istatistik
    51
    gibi amaçlarla işlenen kişisel veriler de Kanunun
    kapsamı dışında kalmaktadır. Bununla birlikte, bu
    şekilde işlenen kişisel verilerin anonim hale getirilmiş
    olduğundan emin olunmalıdır.
  4. Kişisel verilerin millî savunmayı, millî güvenliği,
    kamu güvenliğini, kamu düzenini, ekonomik
    güvenliği, özel hayatın gizliliğini veya kişilik haklarını
    ihlal etmemek ya da suç teşkil etmemek kaydıyla,
    sanat, tarih, edebiyat veya bilimsel amaçlarla ya da
    ifade özgürlüğü kapsamında işlenmesi,
    ÖRNEK: İfade özgürlüğü kapsamında işlenen kişisel
    veriler her ne kadar Kanun kapsamı dışında kalmış
    olsa da, ifade özgürlüğü ile kişisel verilerin korunması
    arasında bir tür denge testi yapılması önerilir. İfade
    özgürlüğü ile, bireyin kişisel verilerinin korunması
    hakkından yararlanması noktasında var olan beklenti
    ve talep arasında adil ve makul bir denge gözetilerek
    ifade özgürlüğü ile kişisel verilerin korunması
    hakkı arasında somut olay esas alınarak bir denge
    kurulmalıdır.
    ÖRNEK: Kişisel verilerin millî savunmayı, millî
    güvenliği, kamu güvenliğini, kamu düzenini,
    ekonomik güvenliği, özel hayatın gizliliğini veya
    kişilik haklarını ihlal etmemek ya da suç teşkil
    52
    etmemek kaydıyla, halk tarafından bilinen bir
    sanatçının hayatının biyografi şekline getirilmesi
    durumu bu faaliyet alanı ile sınırlı olmak kaydıyla
    6698 sayılı Kanunun kapsamı dışındadır.
  5. Kişisel verilerin millî savunmayı, millî güvenliği,
    kamu güvenliğini, kamu düzenini veya ekonomik
    güvenliği sağlamaya yönelik olarak kanunla görev ve
    yetki verilmiş kamu kurum ve kuruluşları tarafından
    yürütülen önleyici, koruyucu ve istihbari faaliyetler
    kapsamında işlenmesi,
    ÖRNEK: İstihbarat birimleri tarafından millî
    savunma, millî güvenlik, kamu güvenliği, kamu
    düzeni veya ekonomik güvenliği sağlamaya yönelik
    olarak işlenen veriler Kanunun kapsamı dışında
    kalmaktadır.
    Aynı şekilde, suç gelirlerinin aklanması, terörizmin
    finansmanının önlenmesi ve mali suçların araştırılması
    konusunda yetkili birimlerce veri toplamak, mali
    istihbarat elde etmek, şüpheli işlem bildirimleri
    almak ve analiz ederek ilgili kurumlarla paylaşmak
    amacıyla yürütülen faaliyetler kapsamında işlenen
    veriler Kanunun kapsamı dışında kalmaktadır.
    53
  6. Kişisel verilerin soruşturma, kovuşturma,
    yargılama veya infaz işlemlerine ilişkin olarak yargı
    makamları veya infaz mercileri tarafından işlenmesi.
    ÖRNEK: Adli bir olayın kovuşturulması sırasında
    mahkemeler tarafından konuyla ilgili kişilerin
    verilerinin işlenmesi Kanunun kapsamı dışında
    kalmaktadır.
    NOT: 6698 sayılı Kanunun 28. maddesinin (1)
    numaralı fıkrasında sayılan faaliyetler kapsamında
    işlenen kişisel veriler için Kanunun hükümleri
    uygulanmayacakken, bu faaliyetler dışında
    gerçekleşen veri işleme faaliyetleri bakımından
    Kanuna uyum yükümlülüğü devam etmektedir.
    b) KANUNUN BAZI MADDELERİNİN
    UYGULANMAYACAĞI HALLER

Kanunun 28. maddesinin (2) numaralı fıkrasında,
kısmen Kanunun kapsamı dışında kalan hususlar
düzenlenmektedir. Buna göre, kural olarak bu
fıkrada sayılan hallerde Kanuna uyum yükümlülüğü
bulunmakla birlikte, yalnızca belirli hükümler
bakımından yükümlülük bulunmamaktadır. Diğer
bir ifade ile bu fıkra kapsamında; veri sorumlusunun
54
aydınlatma yükümlülüğünü düzenleyen 10. madde,
zararın giderilmesini talep etme hakkı hariç olmak
üzere ilgili kişinin haklarını düzenleyen 11. madde
ve Veri Sorumluları Siciline kayıt yükümlülüğünü
düzenleyen 16. madde hükümlerinin sayılan
durumlarda uygulanmayacağı belirtilmiştir.
Burada yalnızca belirli durumlarda ve belirli hususlara
ilişkin istisna öngörülmüş olup bu hususlar dışında
Kanunun getirdiği yükümlülüklere uyumlu olma
şartı her zaman aranacaktır. Bu kapsamda, Kanunun
amacına ve temel ilkelerine uygun ve orantılı olmak
şartı ile Kanunun 10, 11 ve 16. maddelerinden muaf
tutulan durumlar şunlardır;

  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi
    veya suç soruşturması için gerekli olması.
    ÖRNEK: Otomobili ile yolculuk etmekte olan
    bir aile, yol üzerinde güvenlik güçleri tarafından
    durdurulmuştur. Suç soruşturması kapsamında,
    ailenin kimlik kontrollerinin yapılmasının gerekli
    olması bakımından, güvenlik güçlerinin ilgili kişileri
    aydınlatma, ilgili kişi başvurusuna cevap verme ve
    VERBİS’e kayıt sırasında bu beyannamelere ait bilgi
    girişi yapma yükümlülüğü bulunmamaktadır.
    55
  2. İlgili kişinin kendisi tarafından alenileştirilmiş
    kişisel verilerin işlenmesi.
    Kişisel verinin ilgili kişinin kendisi tarafından
    alenileştirilmiş olması halinde üçüncü kişiler
    tarafından işlenebilmesi için söz konusu veri işleme
    faaliyetinin alenileştirme iradesi ve amacına uygun
    olması gereklidir.
    ÖRNEK: Kişinin, herkesin erişimine açık bir şekilde
    sosyal medya hesabında adı, soyadı ve telefon
    numarası paylaşarak tanıdıklarının kendisine
    ulaşabileceğini belirtmesi halinde tanıdıklarının
    kendisine SMS göndermesi durumunda Kanunun
    10, 11 ve 16. maddesi hükümlerinin uygulanması
    zorunlu değildir.
    ÖRNEK: Özel muayenehanesi olan bir doktor,
    reklam amacıyla gazete ilanı verdiğinde, bu amaçla
    sınırlı olmak üzere ilanda yer alan iletişim bilgilerini
    alenileştirmiş olmaktadır. Bu iletişim bilgilerini
    kullanarak hizmet almak amacıyla doktora ulaşacak
    kişinin Kanunun 10, 11 ve 16. madde hükümlerine
    uyması zorunlu değildir.
  3. Kişisel veri işlemenin Kanunun verdiği yetkiye
    dayanılarak görevli ve yetkili kamu kurum ve
    56
    kuruluşları ile kamu kurumu niteliğindeki meslek
    kuruluşlarınca, denetleme veya düzenleme
    görevlerinin yürütülmesi ile disiplin soruşturma veya
    kovuşturması için gerekli olması.
    ÖRNEK: Bir kamu kurumunun, denetim
    elemanlarınca kurum personeli hakkında yaptığı
    disiplin soruşturması esnasında o personel ile ilgili
    kişisel verileri işlemesi mümkündür. Bu durumda, ilgili
    personele aydınlatma yapılması, varsa başvurusuna
    cevap verilmesi ve kamu kurumunun VERBİS’e kaydı
    esnasında bu veri kategorisini bildirmesi gibi hususlar
    zorunlu değildir.
    ÖRNEK: Bankacılık Düzenleme ve Denetleme
    Kurumu (BDDK) ile Radyo ve Televizyon Üst Kurulu
    (RTÜK) gibi düzenleyici denetleyici kurumların;
    kanunun verdiği yetkiye dayanılarak denetleme veya
    düzenleme görevlerinin yürütülmesi ile disiplin
    soruşturma veya kovuşturması için gerekli olması
    durumlarında, sadece bu görevleri kapsamında
    işlediği kişisel verilerle sınırlı olmak üzere Kanunun
    10, 11 ve 16. madde hükümlerinin uygulanması
    zorunlu değildir.
  4. Kişisel veri işlemenin bütçe, vergi ve mali konulara
    ilişkin olarak Devletin ekonomik ve mali çıkarlarının
    57
    korunması için gerekli olması.
    ÖRNEK: İlgili kişiler tarafından Gelir İdaresi
    Başkanlığına kira beyannamesi sunulması sırasında
    paylaşılan kişisel verilerin işlenmesi bakımından,
    Gelir İdaresi Başkanlığının ilgili kişiyi aydınlatma,
    ilgili kişi başvurusuna cevap verme ve VERBİS’e kayıt
    sırasında bu beyannamelere ait bilgi girişi zorunluluğu
    bulunmamaktadır.
    58
  5. VERİ SORUMLUSU VE VERİ İŞLEYEN
    Veri sorumlusu; kişisel verilerin işleme amaçlarını
    ve vasıtalarını belirleyen, veri kayıt sisteminin
    kurulmasından ve yönetilmesinden sorumlu
    olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel
    verileri işleme konusunda gerçekleştirdiği faaliyetler
    kapsamında bizzat kendileri veri sorumlusu olup
    ilgili düzenlemelerde belirtilen hukuki sorumluluk
    tüzel kişinin şahsında doğacaktır.
    Bu konuda kamu hukuku tüzel kişileri ve özel hukuk
    tüzel kişileri bakımından bir farklılık gözetilmemiştir.
    Bu çerçevede gerek cezai gerek hukuki sorumluluk
    bakımından, tüzel kişilerin sorumluluğuna ilişkin
    özel hukuk ve kamu hukukundaki genel hükümler
    uygulanır.
    ÖRNEK: Personelin maaşını ödeyebilmek için isim,
    telefon numarası, banka hesap numarası gibi bir takım
    kişisel verilerini bir veri tabanında tutan bir beyaz
    eşya imalat firması bu kapsamda hem kişisel veri
    işleme amacını hem veri işleme araç ve yöntemlerini
    belirlemekte ve ayrıca buna yönelik bir veri kayıt
    sistemi de oluşturmuş durumdadır. Kısaca neden ve
    nasıl kişisel veri işlediğine kendisi karar vermektedir.
    Bu nedenle söz konusu firma, Kanun bakımından
    59
    veri sorumlusudur.
    Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği
    bulunmadığından, bu birimlerin veri sorumlusu
    olması mümkün değildir. Bununla birlikte, bir
    şirketler topluluğunu oluşturan her bir şirket tüzel
    kişiliğe sahip olduğundan, bu şirketlerin her birinin
    ayrı ayrı veri sorumlusu olması mümkündür.
    Veri işleyen ise; veri sorumlusunun verdiği yetkiye
    dayanarak onun adına kişisel verileri işleyen, veri
    sorumlusunun organizasyonu dışındaki gerçek
    veya tüzel kişiler olarak tanımlanmaktadır. Bu
    kişiler, kişisel verileri, kendisine verilen talimatlar
    çerçevesinde işleyen, veri sorumlusunun kişisel veri
    işleme sözleşmesi yapmak suretiyle yetkilendirdiği
    ayrı bir gerçek veya tüzel kişidir.
    NOT: Veri işleyen, veri sorumlusu ile imzaladığı
    sözleşme çerçevesinde veri sorumlusundan aldığı
    yetki ve talimat dışına çıkarak kendisi adına kişisel
    veri işlemeye başladığı durumda o kişisel veriler
    için veri işleyen statüsünden çıkarak veri sorumlusu
    statüsünde olacaktır.
    ÖRNEK: Bir özel şirketin, topladığı kişisel verilerin
    saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme
    60
    yapması durumunda, bulut hizmeti sağlayıcısı veri
    işleyen durumundadır. Çünkü taraflar arasındaki
    sözleşme gereği bulut hizmeti sağlayıcısının verileri
    kendi amaçları için kullanması mümkün değildir.
    Ayrıca, bulut hizmeti sağlayıcısının kendisi de veri
    toplamamaktadır. Tek faaliyeti şirketten gelen kişisel
    verileri yine özel şirketin talimatlarına uygun olarak
    saklamaktır.
    NOT: Herhangi bir gerçek veya tüzel kişi aynı
    zamanda hem veri sorumlusu, hem de veri işleyen
    olabilir.
    ÖRNEK: Bir muhasebe şirketi kendi personeliyle
    ilgili tuttuğu verilere ilişkin olarak veri sorumlusu
    sayılırken, müşterisiyle imzaladığı sözleşme
    kapsamında müşterisi için işlediği kişisel veriler
    bakımından veri işleyen sayılacaktır. Bununla birlikte,
    sözleşme kapsamı dışına çıkıp veri sorumlusunun
    talimatına aykırı olarak kendisi adına kişisel veri
    işlemesi halinde ayrı bir veri sorumlusu olacaktır.
    ÖRNEK: Bir Kurum bünyesinde bulunan ve dışarıdan
    hizmet alımı çağrı merkezi hizmeti veren şirket,
    Kurum nezdinde işlediği veriler bakımından veri
    işleyen konumunda iken, kendi personeli hakkında
    tuttuğu özlük dosyaları bakımından veri sorumlusu
    61
    statüsünde olabilmektedir.
    Veri işleyenin faaliyetleri, veri işlemenin daha
    çok teknik kısımları ile sınırlıdır. Kişisel verilerin
    işlenmesine ilişkin kararların alınması yetkisi ise veri
    sorumlusuna aittir. Veri sorumlusu kişisel verilerin
    işlenme amacını ve yöntemini belirleyen kişidir. Yani
    kendi adına karar alma yetkisi olan, kişisel veri işleme
    faaliyetinin “neden” ve “nasıl” yapılacağı sorularının
    cevabını verecek kişidir.
    Veri sorumlusunun tespiti için;
  • Kişisel verilerin toplanması ve toplama yöntemi,
  • Toplanacak kişisel veri türleri,
  • Toplanan verilerin hangi amaçlarla kullanılacağı,
  • Hangi bireylerin kişisel verilerinin toplanacağı,
  • Toplanan verilerin paylaşılıp paylaşılmayacağı,
    paylaşılacaksa kiminle paylaşılacağı,
  • Verilerin ne kadar süreyle saklanacağı,
  • İlgili kişilerin haklarının nasıl sağlanacağı
    hususlarında kimin karar verdiği dikkate alınır.
    Bununla birlikte veri sorumlusu, yapacağı kişisel veri
    işleme sözleşmesi ile;
  • Kişisel verilerin toplanması için hangi bilgi
    teknolojileri sistemlerinin veya diğer metotların
    62
    kullanılacağı,
  • Kişisel verilerin hangi yöntemle saklanacağı,
  • Kişisel verilerin korunması için alınacak güvenlik
    önlemlerinin detayları,
  • Kişisel verilerin aktarımının hangi yöntemle
    yapılacağı,
  • Kişisel verilerin saklanmasına ilişkin sürelerin
    doğru uygulanabilmesi için kullanılacak metot,
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim
    hale getirilmesi yöntemleri
    hususlarında karar verme yetkisini veri işleyene
    bırakabilir.
    NOT: Veri sorumlusu, kişisel verilerin kendi
    adına başka bir gerçek veya tüzel kişi (veri işleyen)
    tarafından işlenmesi halinde; alınan her türlü teknik
    ve idari tedbirler hususunda bu kişilerle birlikte
    müştereken sorumludur.
    Veri sorumlusuyla veri işleyen arasında bazı ortak
    noktalar vardır. Bunlar;
    a) Veri sorumlusu ifadesiyle, bir şirket içerisinde veri
    işleme faaliyetlerinden sorumlu herhangi bir kimse
    kastedilmemektedir. Veri sorumlusu bizatihi tüzel
    kişiliğin kendisidir.
    63
    Veri sorumlusu (aynı şekilde veri işleyen de) olmak,
    Kanunun hukuki yükümlülükleri tayin etmek
    amacıyla belirlediği bir statüdür ve tanımda verilen
    özellikleri karşılaması durumunda, şirketin tüzel
    kişiliği de bu statüye sahip olacaktır.
    Örneğin, veri işleme faaliyetinin bir parçası olarak
    bir şirkette belge teslim alan ve kaydeden kişi değil,
    şirketin kendisi “veri sorumlusu” sıfatına sahiptir.
    ÖRNEK: Bir şirkete iş başvurusu sırasında başvuru
    formunun, İnsan Kaynakları Departmanına teslim
    edilmesi veri sorumlusunun İnsan Kaynakları
    Departmanı olduğu anlamına gelmez. Burada veri
    sorumlusu, tüzel kişiliği haiz bulunan şirketin bizatihi
    kendisidir.
    ÖRNEK: Otel rezervasyonları için hizmet sağlayan
    bir internet sitesine, rezervasyon için verilen bilgiler
    bakımından bu bilgileri ilk elden alan hizmet
    sağlayıcısı internet sitesi veri sorumlusu gibi gözükse
    de, burada kişisel verilerin işleme amacını ve vasıtasını
    belirleyen otel olduğu için veri sorumlusu statüsüne
    haiz olan tüzel kişilik, oteldir.
    b) Her iki kavram da, hem gerçek hem de tüzel
    kişiler için geçerlidir. Örneğin serbest çalışan bir
    64
    muhasebeci veya bir mali müşavirlik firması hem
    veri sorumlusu, hem de veri işleyen olabilir. Ayrıca
    bir şirketler topluluğunu oluşturan her bir şirket tüzel
    kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı
    iki statüde de yer alabilir.