KİŞİSEL VERİLERİN KORUNMASI KANUNU
HAKKINDA BİLİNMESİ GEREKENLER
- KİŞİSEL VERİ
6698 sayılı Kişisel Verilerin Korunması Kanununda
(“Kanun”) kişisel veri, kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak
tanımlanmaktadır.
Her türlü bilgi deyimi ile aslında sadece bireyin
kesin teşhisini sağlayan ad, soyad, doğum tarihi,
doğum yeri gibi bilgiler değil; aynı zamanda bireyin
belirlenebilir kılınmasını sağlayan fiziki, ailevi,
ekonomik, sosyal ve buna benzer özelliklere ilişkin
bilgiler de kastedilmektedir.
Kanunda, kişisel veriler sınırlı sayma yoluyla
belirlenmediğinden, her somut olayın özelliğine
göre kişisel verinin kapsamının genişletilmesi de
mümkündür.
Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası,
mülakat sonuçları, kullandığı elektronik cihazların
IP adresleri, ses ve görüntü kayıtları, konum bilgisi,
adli sicil kaydı, kredi kartı ekstreleri, sosyal medya
beğenileri, parmak izleri vb. bilgiler de kişisel veri
1
olarak tanımlanabilmektedir.
ÖRNEK: Bir video gözetim sistemi tarafından
yakalanan bireylerin görüntüleri bireylerin tanınabilir
olması halinde kişisel veri kapsamında sayılabilir.
ÖRNEK: Telefon bankacılığı sisteminde, müşterinin
bankaya talimat verdiği ses kaydı kişisel veri olarak
kabul edilebilir.
ÖRNEK: Bir velayet davasında ailesine ilişkin çocuğa
yaptırılan çizim, çocuğun ailesine karşı duygularını
göstereceği için kişisel veri kapsamındadır. Diğer
yandan, bu çizim aracılığıyla anne ve babanın aile
içindeki davranışları da anlaşılabiliyorsa, çizim aynı
zamanda anne ve babanın da kişisel verisi sayılır.
Kanuna göre bir bilginin kişisel veri sayılması için
öncelikle bir gerçek kişiye ait olması gerekmekte
olup tüzel kişilere ilişkin veriler kişisel verinin tanımı
dışında tutulmaktadır.
ÖRNEK: Bir şirketin ticaret unvanı ya da adresi
gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle
ilişkilendirileceği durumlar hariç) kişisel veri
sayılmamaktadır.
Kişisel veri olabilmesi için bilginin, kimliği belirli
ya da belirlenebilir gerçek bir kişiye ilişkin olması
gerekmektedir.
Belirli olma ifadesi, verinin bir gerçek kişinin
doğrudan kimliğini gösterebileceği durumlar;
belirlenebilir olma ifadesi ise herhangi bir kayıtla
ilişkilendirilmesi sonucunda kişinin belirlenmesini
sağlıyor olması anlamına gelmektedir.
ÖRNEK: Ad ve soyad tek başına kişisel veridir ve
bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad
her zaman bir gerçek kişiyi belirlemek için yeterli
olmayabilir, bazı durumlarda bir gerçek kişiyi tespit
edebilmesi için ad ve soyadı ile birlikte başka bilgilere
de gerek duyulabilir.
ÖRNEK: Yaygın olarak kullanılan ad ve soyadı
kombinasyonları bakımından ad ve soyad tek başına
bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi
belirlenebilir kılma özelliğinden dolayı her zaman
kişisel veridir. Ad soyad, bazen tek olması halinde
doğrudan ilgili kişiyi belirler bazen de birden çok
olması halinde dolaylı olarak ilgili kişiyi belirler. Bu
durum, ad ve soyadı kişisel veri olmaktan çıkarmaz.
Benzer şekilde, bazı durumlarda ise ad ve soyadı
belirtilmeden dahi bir kişinin belirlenmesi mümkün
3
olabilmektedir.
ÖRNEK: “A Kurumunun B biriminde çalışan, X
marka ve kırmızı renkte araca sahip olan, orta yaşta
ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek
bir kişi olması durumunda bu kişiyi belirlenebilir
kılması nedeniyle kişisel veri sayılır.
ÖRNEK: Takma isimler, lakaplar tek başına veya başka
kaynaklarla birleştirildiğinde kişiyi tanımlamayı
sağlayacak nitelikte ise bu tarz veriler kişisel veri
olarak kabul edilir.
Ancak, yine de bilginin ait olduğu gerçek kişinin
belirlenebilirliğinin tespitinde, her somut olay
özelinde, verinin kişiyi tanımlayabilme kabiliyeti
dikkate alınarak değerlendirme yapılmalıdır. - GENEL (TEMEL) İLKELER
Kişisel verilerin işlenmesinde uyulması gereken genel
ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu
ilkeler;
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar muhafaza edilme
şeklinde sıralanmıştır.
Veri işleme faaliyeti hangi hukuki sebebe/işleme
şartına dayanırsa dayansın tüm veri işleme faaliyetleri
bu ilkelere uygun olarak gerçekleştirilmelidir.
a) HUKUKA VE DÜRÜSTLÜK KURALLARINA
UYGUN OLMA
Bu ilke; kişisel verilerin işlenmesinde, kanunlarla ve
diğer hukuki düzenlemelerle getirilen ilkelere uygun
hareket etmeyi, ayrıca veriler işlenirken ilgili kişilerin
çıkarlarını ve makul beklentilerini dikkate almayı
ifade eder.
5
NOT: Hukuka uygunluk, veri işlemenin, kişisel
verilerin korunması kanununa veya diğer mevzuata
aykırı olmamasıdır.
NOT: Dürüstlük, ilgili kişinin kişisel verisinin
ilgili kişiye karşı haksızlığa yol açacak şekilde
kullanılmaması, ilgili kişinin makul beklentisinin
karşılanması ve kişisel veriyi toplama amacının
aşılmamasıdır.
b) DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA
Bu ilke; verinin, hakkında bilgi verdiği konuyu doğru
anlatabilmesini ifade eder. Bu açıdan doğru ve güncel
olma ilkesi ilgili kişilerin verilerin düzeltilmesini
talep etme hakkı ile de uyumludur.
ÖRNEK: Asgari Geçim İndirimi (AGİ) hesaplanırken
çocuk sayısının ve eşin çalışma durumunun güncel
olması AGİ’nin doğru hesaplanması ve kişinin
ekonomik çıkarları açısından önemlidir.
c) BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN
İŞLENME
Bu ilke, veri sorumlusunun veri işleme amacını açık
ve anlaşılır olarak belirlemesini ve bu amacın meşru
olmasını zorunlu kılmaktadır. Veri sorumlularının,
ilgili kişiye belirttikleri amaçlar dışında başka
amaçlarla veriyi işlemeleri halinde, bu fiillerinden
dolayı sorumlulukları doğacaktır.
Amacın meşru olması; işlenen kişisel verinin, veri
sorumlusunun yaptığı iş veya sunduğu hizmetle
bağlantılı ve bunlar için gerekli olması anlamına
gelmektedir.
ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin
ad, soyad ve kargo gönderimi için adres bilgilerini
işlemesi meşru amaç kapsamındayken, anne kızlık
soyadı veya kan grubu bilgisini işlemesi meşru amaç
kapsamında değerlendirilemeyecektir.
d) İŞLENDİKLERİ AMAÇLA BAĞLANTILI,
SINIRLI VE ÖLÇÜLÜ OLMA
Bu ilke, işlenen verilerin belirlenen amaçların
gerçekleştirilmesine elverişli olmasını, amacın
7
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden
kaçınılmasını ifade eder.
ÖRNEK: Kredi kartı başvurusunda bulunan kişiden,
sosyal hayatındaki tercihlerine yönelik bilgi talep
edilmesi ölçülülük ilkesine aykırılık oluşturur.
Amaç için gerekli olanın dışında veri işlenmesi,
amaçla sınırlı veri işlenmesi ilkesine aykırılık
oluşturmaktadır.
ÖRNEK: Bir vakıf üniversitesi tarafından düzenlenen
sempozyuma katılım için e-posta adresini bildiren
kişiye, bu üniversite tarafından e-posta ile reklam
gönderilmesi, amaçla sınırlı olma ilkesine aykırılık
oluşturur.
e) İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA
İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN
SÜRE KADAR MUHAFAZA EDİLME
Bu ilkeye göre veri sorumluları, ilgili mevzuatta
verilerin saklanması için öngörülen bir süre varsa
bu süreye uyacak; böyle bir süre yoksa verileri,
ancak işlendikleri amaç için gerekli olan süre kadar
muhafaza edebileceklerdir.
ÖRNEK: Bir benzin istasyonunun belirli bir sürede
belirli miktarda benzin alan kişilere ödül vereceği bir
kampanyada, kampanyaya katılım için topladığı isim
ve araç plaka bilgilerini başka herhangi bir işleme
şartı yok ise kampanya bitiminde silmesi gerekir.
Kişisel veriler, belirlenen süre dolduktan, amaç
gerçekleştikten ya da veri işleme şartı ortadan
kalktıktan sonra gelecekte kullanma ihtimalinin
varlığına dayanarak saklanamazlar.
9
- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin hukuka uygun olarak işlenebilmesi
için Kanunun 5. maddesinde sayılan veri
işleme şartlarından en az birinin mevcut olması
gerekmektedir. Bu şartlar:
a) İLGİLİ KİŞİNİN AÇIK RIZASI
İlgili kişinin açık rızası; belirli bir konuya ilişkin
olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş
olmalıdır.
NOT: Açık rızanın alınmış olması kişisel verilerin
Kanun’un 4. maddesinde sıralanan genel ilkelere
aykırı işlenebileceği anlamına gelmemektedir.
b) KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ
Kişisel veri işlenmesi ile ilgili olarak herhangi bir
kanunda açık bir hüküm varsa bu açık hükme
istinaden kişisel verilerin işlenmesi mümkündür.
ÖRNEK: İş Kanunu gereğince çalışana ait özlük
bilgilerinin tutulması.
ÖRNEK: Bankacılık Kanunu m. 42 uyarınca bankalar
nezdinde tutulan müşteri bilgilerinin işlenmesi.
ÖRNEK: 6698 sayılı Kanunun 16.maddesinde
düzenlenen Veri Sorumluları Siciline kayıt
yükümlülüğü kapsamında veri sorumlularının
VERBİS’e bilgi girişi yapması.
ÖRNEK: Gelir Vergisi Kanununun 70. maddesi
gereği, gayrimenkulünü kiraya verenlerin, vermek
zorunda olduğu yıllık beyanname kapsamında
kendisine ait kişisel verilerin Maliye Bakanlığının
ilgili birimlerince işlenmesi. c) FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI
AÇIKLAYAMAYACAK DURUMDA BULUNAN
VEYA RIZASINA HUKUKİ GEÇERLİLİK
TANINMAYAN KİŞİNİN KENDİSİNİN YA
DA BİR BAŞKASININ HAYATI VEYA BEDEN
BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU
OLMASI
Kişisel verisi işlenecek kişinin herhangi bir fiili
imkânsızlık nedeniyle rızasını açıklayamayacak
durumda olması veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisi veya başkasının hayatı ve
11
beden bütünlüğünün korunması için zorunlu olması
halinde kişisel verilerin işlenmesi mümkündür.
ÖRNEK: Bilinci yerinde olmayan bir kişinin beden
bütünlüğünün korunması amacıyla tıbbi müdahale
yapılması gereken durumlarda; yakınlarına haber
vermek, yetkili sağlık kurumları tarafından tutulan
kayıtlar üzerinden hasta geçmişini öğrenerek gerekli
müdahaleyi yapmak gibi amaçlarla kişinin adı,
soyadı, kimlik numarası, telefon numarası vb. kişisel
verilerinin işlenmesi bu kapsamdadır.
ÖRNEK: Hürriyeti kısıtlanan bir kişinin kurtarılması
amacıyla, kendisinin ya da şüphelinin cep telefonu
sinyali, kredi kartı kullanım ve işlem hareketleri, araç
takip sistemi bilgileri, MOBESE kayıtları vb. kişisel
verilerinin ilgili birimlerce işlenerek yer tespitini
yapılması.
ÖRNEK: Dağda mahsur kalan bir kişinin kurtarılması
amacıyla, cep telefonu sinyali, GPS ve mobil trafik
verisinin işlenerek yerinin belirlenmesi. d) BİR SÖZLEŞMENİN KURULMASI VEYA
İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI
KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT
KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ
OLMASI
Bu veri işleme şartına dayanarak kişisel veri
işlenebilmesi için işlemenin gerçekten bu amaca
hizmet ediyor olması ve bu amaçla sınırlı olarak
gerçekleştiriliyor olması gereklidir.
Ayrıca, işlenen kişisel verilerin sadece sözleşmenin
taraflarına ait olması ve sözleşme çerçevesiyle sınırlı
olmak kaydıyla kişisel veri işlenmesinin gerektiği de
unutulmamalıdır.
ÖRNEK: Bir emlakçının, kira sözleşmesi ile ilgili
olarak ev sahibi ve kiracı arasında imzalanan sözleşme
kapsamında tarafların kimlik numarası, banka hesap
numarası, adres, imza ve telefon gibi kişisel verilerini
işlemesi, dosyasında muhafaza etmesi.
ÖRNEK: Bir satıcının müşterisine sattığı bir malı
teslim etmek amacıyla müşterisinin adresini taşıma
şirketine vermesi.
13
ÖRNEK: Bir bankanın, maaş müşterisi ile imzaladığı
sözleşme kapsamında müşterinin kimlik numarası,
elektronik posta, adres, imza, cep telefon numarası
gibi kişisel verilerini işlemesi ve dosyasında muhafaza
etmesi.
e) VERİ SORUMLUSUNUN HUKUKİ
YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ
İÇİN ZORUNLU OLMASI
Bu veri işleme şartının uygulanabilmesi için kişisel veri
işleme, veri sorumlusunun hukuki yükümlülüğünü
yerine getirebilmesi için gerekli ve bu amaçla sınırlı
olarak gerçekleştiriliyor olmalıdır.
ÖRNEK: Taşıma işiyle yükümlü bulunan bir kargo
firması tarafından, kişiye teslimat yapılabilmesi için,
alıcının adres ve iletişim bilgilerinin kaydedilmesi.
ÖRNEK: Bir şirketin çalışanına maaş ödeyebilmesi
için banka hesap bilgilerini işlemesi.
ÖRNEK: Seminer organizasyonu yapılan bir hizmet
binasında, gerek katılımcıların gerekse de binanın
güvenliğini sağlamak amacıyla katılımcıların
kimlik numarası, imza, telefon numarası gibi kişisel
verilerinin işlenmesi.
f) İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN
ALENİLEŞTİRİLMİŞ OLMASI
Alenileştirilmiş, diğer bir ifadeyle herhangi bir
şekilde kamuoyuna açıklanmış kişisel veriler ilgili
kişinin alenileştirme amacıyla bağlantılı olmak
koşuluyla işlenebilir. Diğer bir ifadeyle bu durumda,
alenileştirme iradesine bağlı olarak kişisel veri
işlenmesi mümkündür.
Alenileştirmede irade beyanı esastır. Bu nedenle,
kişinin kendisi tarafından alenileştirilmiş olması,
alenileştirme iradesi dışındaki herhangi bir amaç için
bu kişisel verinin kullanılabileceği ve işlenebileceği
anlamına gelmeyecektir.
ÖRNEK: Bir kamu kurumunda çalışan personelin
ad, soyad ve iş telefonu bilgilerinin vatandaşların
kolay erişimini sağlamak amacıyla kurumun internet
sitesinde paylaşılması durumunda, bu telefon
numaraları, kamu kurumunun yetki alanındaki iş ve
işlemlerde kullanılabilecektir.
15
ÖRNEK: İkinci el araç satışı yapılan internet
sitesinde aracını satmak isteyen ilgili kişinin iletişim
bilgilerinin, araç alım satımı dışında pazarlama
amacıyla kullanılması, bu veri işleme şartı kapsamında
değerlendirilmemektedir.
ÖRNEK: Bir avukatın kartvizitini verdiği kişi, sadece
hukuki konularda danışma gibi bir amaçla kartvizitte
yer alan GSM numarası kullanabilir. Ancak söz konusu
GSM numarasına reklam ve kampanya içerikli SMS
gönderilmesi veya arama yapılması avukatın irade
beyanına aykırıdır.
g) BİR HAKKIN TESİSİ, KULLANILMASI VEYA
KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU
OLMASI
Veri sorumlularınca ilgili kişilere bir hakkın
tesis edilmesi, kullandırılması veya ilgili kişilerin
haklarının korunması için gerekli olması halinde
kişisel veri işlenebilecektir.
ÖRNEK: Bir şirketin kendi çalışanı tarafından açılan
bir davada, ispat için bazı verileri kullanması bu
kapsamda değerlendirilir.
ÖRNEK: Mahkeme tarafından veli/vasi olarak
atanmış bir kişinin, kendisine veli/vasi olarak atanan
kişi adına ilgili kamu kurumlarına başvuru yapması
için onun verilerini işlemesi.
ÖRNEK: Bir avukatın, müvekkili ile imzaladığı
sözleşme kapsamında, mahkeme nezdinde müvekkili
adına dava açma, onu temsil etme veya diğer adli
işlemlerini yapma gibi haklarını kullanabilmesine
imkan sağlaması için kişisel verileri işlemesi.
h) İLGİLİ KİŞİNİN TEMEL HAK VE
ÖZGÜRLÜKLERİNE ZARAR VERMEMEK
KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU
MENFAATLERİ İÇİN VERİ İŞLENMESİNİN
ZORUNLU OLMASI
Bu hükmün uygulanabilmesi için; veri işlemenin veri
sorumlusunun meşru menfaati için zorunlu olması
ve ilgili kişinin temel hak ve özgürlüklerine zarar
vermemesi gerekmektedir.
ÖRNEK: Bir işletmenin satılması, devralınması
gibi bir durumun varlığı halinde, şirketi satın
alacak kişinin personelin kişisel verilerinin dâhil
olduğu birtakım bilgileri incelemesi meşru menfaat
17
kapsamında değerlendirilebilir.
ÖRNEK: Bir işverenin, nükleer santraldeki
çalışanların güvenliğini sağlamaya yönelik iş güvenliği
mekanizmalarının kurulması amacıyla çalışanların
kişisel verilerini işlemesi. - ÖZEL NİTELİKLİ KİŞİSEL VERİ
(HASSAS VERİ)
Kişisel verilerin daha sıkı tedbirlerle korunmasını
gerektiren bir kategori olan özel nitelikli (hassas)
kişisel veriler, başkaları tarafından öğrenildiği takdirde
ilgili kişinin mağdur olmasına, ayrımcılığa maruz
kalmasına ya da şeref ve onurunun zedelenmesine
neden olabilecek nitelikteki verilerdir. Bu nedenle,
hangi kişisel verilerin özel nitelikli veriler olduğu ve
özel nitelikli kişisel verilerin işlenme şartları Kanunda
ayrıca düzenlemiştir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi
inancı, dini, mezhebi veya diğer inançları, kılık
ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri özel nitelikli kişisel veriler olarak sayılmıştır.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları:
Bu verilerin işlenme şartları, Kanunun 6. maddesinde
özel olarak düzenlenmiştir.
Özel nitelikli kişisel verilerin işlenebilmesi için kural
olarak ilgili kişinin açık rızası gerekir.
19
ÖRNEK: Klinik araştırmalar kapsamında gönüllü
olan kişilerin açık rızalarının alınması gerekir.
İlgili kişinin açık rızasının bulunmadığı bazı
durumlarda da özel nitelikli kişisel verilerin işlenmesi
mümkündür. Ancak, ilgili kişinin açık rızası olmadan
bu verilerin işlenebileceği durumlar sağlık ve cinsel
hayata ilişkin veriler ile diğer özel nitelikli kişisel
veriler bakımından bir ayrıma tabi tutulmuştur. Buna
göre;
*Sağlık ve cinsel hayat dışındaki özel nitelikli veriler;
ancak kanunlarda öngörülen hallerde kişinin açık
rızası olmaksızın işlenebilecektir.
*Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbî teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından
ilgilinin açık rızası aranmaksızın işlenebilecektir.
NOT: Kanunda sağlık hizmetinin sağlanması
açısından geçerli olan bazı veri türlerinin işlenmesine
istisna getirilmiş ve bu istisna sadece sır saklama
yükümlülüğüne tabi olan kişiler ile sınırlandırılmıştır.
ÖRNEK: Bir kişinin, A hastanesinde tansiyon
tedavisi, B hastanesinde ise kalp rahatsızlığı tedavisi
gördüğü bir durumda, kalp rahatsızlığı nedeniyle
ameliyat olması gereken hasta hakkında bu iki hastane
doktorunun sağlık verilerini birbirlerine aktarması.
Kanunun 6. maddesinin 4. fıkrası gereği Özel nitelikli
kişisel verilerin işlenmesinde, ayrıca Kurul tarafından
belirlenen yeterli önlemlerin alınması şarttır.
NOT: Kanunun 6. maddesinin 4. fıkrası gereği Kişisel
Verileri Koruma Kurulunca “Özel Nitelikli Kişisel
Verilerin İşlenmesinde Veri Sorumlularınca Alınması
Gereken Yeterli Önlemler” başlıklı, 31/01/2018 tarihli
ve 2018/10 sayılı kararı 07/03/2018 tarihli Resmi
Gazetede yayımlanmıştır.
21 - KİŞİSEL VERİLERİN SİLİNMESİ, YOK
EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kanunun 7. maddesine göre kişisel veriler hukuka
uygun şekilde işlenmiş olsalar dahi, işlenmeyi
gerektiren sebepler ortadan kalktığında veri
sorumlusu tarafından resen veya ilgili kişinin talebi
üzerine silinmeli, yok edilmeli veya anonim hale
getirilmelidir.
ÖRNEK: Bir alışveriş merkezinde yapılan çekiliş için
toplanan ad, soyad, telefon numarası gibi bilgiler,
alışveriş merkezi tarafından başka kampanyalar için
kullanılmamalı, çekilişin tamamlanmasının ardından
silinmelidir.
NOT: Kanunun 7. maddesinin 3. fıkrasının verdiği
yetkiye dayanarak Kişisel Verileri Koruma Kurulunca
hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Yönetmeliği”
28.10.2017 tarihli Resmi Gazete’de yayımlanarak
01.01.2018 tarihinde yürürlüğe girmiştir.
NOT: Kanunun 22. maddesinin (1) numaralı
fıkrasının (g) bendi gereği Kişisel Verileri Koruma
Kurulunca, veri sorumlularına silme, yok etme veya
anonim hale getirme konusunda rehberlik etmek ve
iyi uygulama örneklerini göstermek amacıyla “Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Rehberi” hazırlanmış olup anılan rehbere,
Kurumun internet sitesinden ulaşılabilir.
a) KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesi, kişisel verilerin ilgili
kullanıcılar (veri sorumlusu veya veri işleyen
nezdinde verileri teknik olarak depolama, koruma
ve yedeklemeden sorumlu olanlar hariç herkes) için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir.
ÖRNEK: Çalışanlarına ait özlük verilerini sunucuda
tutmakta olan bir şirket, çalışanlardan birinin
işten ayrılması durumunda, bu verinin bulunduğu
sunucuyu tamamen yok edemeyeceği için veriye silme
işlemi uygular. Bu veri, bazı teknikler uygulanmak
suretiyle veri tabanı yöneticisi tarafından geri
getirilebilecek durumda olmakla birlikte insan
kaynakları veya diğer birimdekiler tarafından hiçbir
şekilde erişilemez hale gelmiş olacaktır.
ÖRNEK: Bir şirkette, bir pozisyon için başvurular
alınmış ve tüm başvurularda yer alan kişisel veriler,
23
adayların kimlik numarasına göre kağıt ortamında
listeye aktarılmış, başvuru evrakları da muhafaza
edilmek üzere ilgili dosyada arşive kaldırılmıştır.
Şirkette değerlendirmeler devam ederken başvuru
sahiplerinden birisinin başvurudan vazgeçmiş olması
halinde bu kişiye ait işleme şartı ortadan kalktığı için
bu verilerin silinmesi yok edilmesi veya anonim hale
getirilmesi gerekliliği ortaya çıkmıştır. Bu durumda,
başvuru evrakının yok edilmesi mümkündür.
Bununla birlikte, tüm başvuruları içeren bir liste
hazırlanmışsa, bu listedeki diğer kişilere ait işleme
şartlarının devam etmesi nedeniyle bu listenin yok
edilmesi doğru olmayacağından sadece başvurudan
vazgeçmiş olan kişiye ait verilere, ilgili listede
karartma işlemi yapılabilecektir.
b) KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesi, kişisel verilerin hiç
kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi
işlemidir.
ÖRNEK: Bir sempozyum kapsamında organizasyon
firması tarafından sempozyuma katılım sağlayacak
kişilere ait kişisel veriler taşınabilir bellekte veya
CD’de tutulmaktadır. Sempozyumun tamamlanması
ve gerekli saklama süresinin sona ermesinden
itibaren söz konusu verilerin yok edilmesi gerekir. Bu
durumda, katılımcılara ait kişisel verilerin bulunduğu
taşınabilir bellek veya CD kırılıp parçalanabilir,
yakılabilir veya metal öğütücüden geçirilebilir.
c) KİŞİSEL VERİLERİN ANONİM HALE
GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, bu verilerin
başka verilerle eşleştirilse dahi hiçbir surette kimliği
belirlenebilir bir gerçek kişiyle ilişkilendirilememesini
ifade etmektedir.
ÖRNEK: Bir kamuoyu araştırma şirketi tarafından
bir mahallede yapılan araştırmada ad, soyad, TC
kimlik numarası, yaş, cinsiyet, ödeme tercihleri,
kullanılan cep telefonu modeli, sahip olunan araç
markası, kıyafet ve marka tercihleri gibi bilgiler
sorulmuş ve araştırma sonucu da kamuoyu ile
paylaşılmak istenmiştir. Buna göre; ad, soyad, TC
kimlik numarası gibi doğrudan herhangi bir kişiyi
belirli veya belirlenebilir kılabilecek olanların listeden
çıkarılması, yıldızlanarak / bastırılarak görünmez hale
getirilmesi, genelleştirilmesi, k-anonimlik, l-çeşitlilik,
25
t-yakınlık gibi teknikler kullanılarak anonim hale
getirilebilir.
NOT: Herkesin veri sorumlusuna başvurarak
kendisiyle ilgili kişisel verilerin Kanunun 7. maddesinde
öngörülen şartlar çerçevesinde silinmesini veya yok
edilmesini isteme hakkı bulunmaktadır.
26 - AYDINLATMA YÜKÜMLÜLÜĞÜ
Veri sorumlusu veya yetkilendirdiği kişi, kişisel
verilerin elde edilmesi sırasında ilgili kişileri
Kanunun 10. maddesine göre aşağıdaki konularda
bilgilendirmekle yükümlüdür:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, - Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin Kanunun 11. maddesinde sayılan diğer
hakları.
NOT: 10.03.2018 tarihli Resmi Gazete’de yayımlanan
“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde
Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile veri
sorumlularınca bu yükümlülük yerine getirilirken
dikkat edilmesi gereken hususlar düzenlenmiştir.
Aydınlatma yapılırken;
•Kişisel veri işleme amacı belirli, açık ve meşru olmalı,
•İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı,
•Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi
göz önüne alınarak belirlenmeli,
27
•Metinlerde muğlak ifadelerden ve teknik terimlerden
kaçınılmalı,
•Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer
verilmemelidir.
Aydınlatma yükümlüğü kapsamında ilgili kişilerin
yazılı veya sözlü şekilde bilgilendirilmeleri mümkün
olabileceği gibi elektronik ortamda gönderilecek bir
e-posta, ses kaydı veya çağrı merkezi aracılığıyla da
bilgilendirilmeleri mümkündür.
NOT: Kişisel verilerin, ilgili kişinin açık rızası ile ya
da Kanundaki diğer veri işleme şartlarına dayalı olarak
işlenmesi hallerinde aydınlatma yükümlülüğünün
yerine getirilmesi zorunludur.
NOT: Veri sorumlusu, ilgili kişinin talebini
beklemeksizin aydınlatma yükümlülüğünü yerine
getirmelidir.
NOT: Veri sorumlusu, aydınlatma yükümlülüğünü
yerine getirdiğini ispat etmekle yükümlüdür.
NOT: Kişisel Verileri Koruma Kurumunca,
aydınlatma yükümlülüğünün yerine getirilmesi
hususunda veri sorumlularına rehberlik etmek
ve iyi uygulama örneklerini göstermek amacıyla
28
29
“Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Rehberi” hazırlanarak Kurum internet sayfasında
yayımlanmıştır.
- İLGİLİ KİŞİNİN HAKLARI
Kanunun 11. maddesine göre ilgili kişiler, her zaman
veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep
etme, - Kişisel verilerinin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme, - Yurt içinde veya yurt dışında kişisel verilerinin
aktarıldığı üçüncü kişileri bilme, - Kişisel verilerinin eksik veya yanlış işlenmiş olması
hâlinde bunların düzeltilmesini isteme, - Kanunun 7. maddesinde öngörülen şartlar
çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme, - Düzeltilme, silinme veya yok edilme işlemlerinin,
kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme, - İşlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme, - Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme
haklarına sahiptir.
30
NOT: Veri sorumlusunca talebe en kısa sürede ve
en geç 30 gün içinde cevap verilmesi gerekmektedir.
Ancak başvurunun reddedilmesi veya verilen cevabın
yetersiz olması hallerinde 30 gün içinde, başvuruya
süresinde cevap verilmemesi hallerinde ise başvuru
tarihinden itibaren 60 gün içinde ilgili kişiler Kurula
şikâyet yoluna gidebilir.
NOT: İlgili kişiler, Kanunun 11. maddesindeki
taleplerine ilişkin olarak öncelikle veri sorumlularına
başvurmalıdır. Bu yol tüketilmeden Kişisel Verileri
Koruma Kuruluna şikâyet yoluna gidilmemelidir.
31
- VERİ SORUMLUSUNA BAŞVURU
Kanunun 13. maddesinde, ilgili kişinin veri
sorumlusuna başvurusuna ilişkin hususlar
düzenlenmektedir.
Maddenin 1. fıkrasına göre, ilgili kişilerin Kanunun
uygulanmasıyla ilgili taleplerini, öncelikle veri
sorumlusuna iletmeleri zorunludur. İlgili kişilerin,
taleplerini veri sorumlusuna yazılı olarak ya
da Kurulun belirleyeceği diğer yöntemlerle
iletebilmelerine imkân sağlanmaktadır.
NOT: İlgili kişilerce veri sorumlusuna yapılacak
başvuru yazılı olarak ya da Kurulun belirleyeceği
diğer yöntemlerle iletilebilmektedir. Bu kapsamda
Kurul tarafından belirlenen diğer yöntemler,
10.03.2018 tarihli Resmi Gazete’de yayımlanan “Veri
Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ”de düzenlenmektedir.
NOT: Tebliğin 5. maddesine göre ilgili kişi, Kanunun - maddesinde belirtilen hakları kapsamındaki
taleplerini, yazılı olarak veya kayıtlı elektronik posta
(KEP) adresi, güvenli elektronik imza, mobil imza ya
da ilgili kişi tarafından veri sorumlusuna daha önce
bildirilen ve veri sorumlusunun sisteminde kayıtlı
bulunan elektronik posta adresini kullanmak suretiyle
veya başvuru amacına yönelik geliştirilmiş bir yazılım
ya da uygulama vasıtasıyla veri sorumlusuna iletir.
Aynı maddenin 2. fıkrasında, talebi alan veri
sorumlusunun; ücretsiz olarak veya işlemin ayrıca
bir maliyeti gerektirmesi halinde, Kurul tarafından
belirlenen tarifeye göre, alacağı ücret mukabilinde en
kısa sürede ve en geç 30 gün içinde talebi incelemesi,
kabul veya gerekçesini açıklayarak reddetmesi, ayrıca
cevabı ilgili kişiye bildirmesi öngörülmektedir.
NOT: Veri sorumlusunun gerçek kişi veya özel şirket
olabileceği ve bunların 7201 sayılı Tebligat Kanununa
tabi olmamaları dikkate alınmış ve veri sorumlusunun
cevabını ilgili kişiye “bildirmesi” gerektiği burada
hükme bağlanmıştır.
Bu bildirim, bir ispat sorunu olup gerektiğinde yargı
mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi
kurum ve kuruluşların bu bildirimleri anılan Kanun
hükümleri uyarınca resmi tebligat yoluyla yapacakları
ise açıktır.
Maddenin 3. fıkrası gereğince, veri sorumlusu talebi
kabul eder veya gerekçesini açıklayarak reddeder.
Veri sorumlusu cevabını ilgili kişiye yazılı olarak veya
33
elektronik ortamda bildirir.
Başvuruda yer alan talebin kabul edilmesi hâlinde veri
sorumlusunca gereği yerine getirilir. Başvurunun veri
sorumlusunun hatasından kaynaklanması hâlinde
alınan ücret ilgiliye iade edilir.
ÖRNEK: Çalıştığı şirketten ayrılan bir kişi, kendisi ile
ilgili verilerinin silinmesini, yok edilmesini Kurulun
belirlediği yöntemler vasıtasıyla veri sorumlusuna
başvurarak talep edebilir. Veri sorumlusu
değerlendirmesini yapıp ilgili kişiye bir cevap verir.
Veri sorumlusu ilgili kişinin talebini, 30 gün içerisinde
kabul eder veya gerekçesini açıklayarak reddeder.
Başvurusunun reddedilmesi veya verilen cevabın
ilgili kişi nezdinde yetersiz kalması durumunda ilgili
kişi cevabı aldığı tarihten itibaren 30 gün içerisinde
Kurula şikâyet yoluna gidebilir. Veri sorumlusu
tarafından başvuruya cevap verilmemesi durumunda
ise; başvuru tarihinden itibaren 60 gün içinde Kurula
şikâyette bulunabilir.
ÖRNEK: Bir banka müşterisi olan kişinin adresi
değiştiği için kredi kartı ekstreleri eski adresine
gönderilmekte ve kişi ekstrelerine ulaşamamaktadır.
Kişi, veri sorumlusuna başvurarak kendisiyle
ilgili eksik veya yanlış işlenmiş olan verilerinin
düzeltilmesini isteme hakkına sahiptir. İlgili kişi, veri
sorumlusundan aldığı cevap neticesinde gerekmesi
durumunda Kurula şikâyet yoluna da gidebilir.
ÖRNEK: Hastanede kayıt işlemi sırasında bilgilerini
kayıt görevlisine bildiren kişinin bilgileri, görevli
personelin bu bilgileri yüksek sesle tekrarlaması
sonucu sırada bulunan diğer kişiler tarafından
öğrenilmiştir. Bu durumdan rahatsız olan ilgili kişi
öncelikle veri sorumlusu olan hastaneye başvurup
aldığı cevabın niteliğine göre Kurula şikayet yolunu
tercih edebilir.
ÖRNEK: Kişisel verisinin bir veri sorumlusu
tarafından Kanuna aykırı olarak işlendiğini öğrenen
bir kişi, veri sorumlusunun başvuru amacına yönelik
geliştirdiği mobil uygulama üzerinden başvurusunu
iletmişse, bu tarihten itibaren en kısa sürede ve en
geç 30 gün içerisinde veri sorumlusu tarafından
cevap verilmesi gerekmektedir. Ancak başvurunun
reddedilmesi veya verilen cevabın yetersiz olması
hallerinde 30 gün içinde, başvuruya süresinde cevap
verilmemesi hallerinde ise başvuru tarihinden
itibaren 60 gün içinde ilgili kişiler Kurula şikâyet
yoluna gidebilir.
35 - KURULA ŞİKÂYET VE İNCELEME SÜRECİ
Kişisel verisi işlenen ilgili kişilerin, Kanunun 11.
maddesi ile öngörülen haklarını kullanırken önce
veri sorumlusuna başvurması, cevabın niteliğine göre
ise Kurula şikâyet yoluna gitmesi mümkündür.
a) KURULA ŞİKÂYET
Kanunun 14. maddesi ile Kurula şikâyet konusu
düzenlenmektedir.
Buna göre; Kanunun 13. maddesi kapsamında yapmış
olduğu başvurunun reddedilmesi, verilen cevabın
yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hallerinde ilgili kişi, veri sorumlusunun
cevabını öğrendiği tarihten itibaren 30 ve her halde
başvuru tarihinden itibaren 60 gün içinde Kurula
şikâyette bulunabilir.
Maddenin 2. fıkrasında, Kanunun 13. maddesinde
düzenlenen başvuru aşamasının zorunlu bir başvuru
yolu olduğu ve bu yol tüketilmeden şikâyet yoluna
gidilemeyeceği hükme bağlanmaktadır. Böylece
uyuşmazlıkların belirli bir kısmının veri sorumluları
tarafından giderilmesi ve bu suretle Kurulun yoğun
36
bir iş yüküyle karşı karşıya kalmasının önlenmesi
amaçlanmaktadır.
Başvuru yoluna gitmenin zorunlu, şikâyet yoluna
gitmenin ise ihtiyari olması sebebiyle, başvurusu
zımnen veya açıkça reddedilen ilgili kişinin bir
yandan Kurula şikâyette bulunabilmesi, diğer yandan
ise adli veya idari yargı yoluna gidebilmesi mümkün
olacaktır.
Maddenin 3. fıkrası ile kişilik hakları ihlal edilenlerin,
genel hükümlere göre tazminat hakkının saklı
tutulduğu düzenlenmektedir. Bu kapsamda, veri
sorumlusunun hukuki statüsüne göre ilgililer adli ya
da idari yargıda dava açabileceklerdir.
ÖRNEK: Veri sorumlusu tarafından ilgili kişinin
izni olmaksızın telefonuna reklam ve kampanya
içerikli SMS gönderilmektedir. Bu durumda ilgili
kişi; veri sorumlusuna yazılı veya elektronik ortamda
başvurarak talebini bildirebilir. Veri sorumlusu ilgili
kişinin talebine 30 gün içerisinde cevap vermekle
yükümlüdür. Veri sorumlusundan aldığı cevaba göre
ilgili kişi isterse Kurula şikâyet yoluna gidebilir.
NOT: Veri sorumlusuna hiçbir şekilde ulaşılamadığı,
veri sorumlusunun tespitinin sağlanamadığı
37
durumlarda ilgili kişi elinde kanıtlanabilir nitelikte
belge olmak kaydıyla, doğrudan Kurula şikâyet
yoluna gidebilir.
b) ŞİKÂYET ÜZERİNE VEYA RESEN
İNCELEMENİN USUL VE ESASLARI
Kanunun 15. maddesi ile Kurul tarafından yapılacak
incelemenin usul ve esasları düzenlenmektedir.
Buna göre Kurul, şikâyet üzerine veya ihlal iddiasını
öğrenmesi halinde resen, görev alanına giren
konularda gerekli incelemeyi yapabilecektir. Bu
inceleme şikâyete ya da resen öğrenilen şikâyet
konusuna özgü olacaktır.
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair
Kanunun 6. maddesinde belirtilen şartları taşımayan
ihbar ve şikâyetler incelemeye alınmayacaktır.
Veri sorumluları, devlet sırrı niteliğindeki bilgi ve
belgeler hariç, talep edilen bilgi ve belgeleri Kurula
15 gün içinde göndermek veya gerektiğinde yerinde
inceleme yapılmasına imkân sağlamak zorundadır.
Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir
38
cevap verir. Şikâyet tarihinden itibaren 60 gün içinde
cevap verilmezse talep reddedilmiş sayılır.
Buna göre, şikâyet tarihinden itibaren 60 günlük
sürenin geçmesiyle idari yargıda dava açma süresi
başlayacaktır. Kurulun, şikâyet üzerine yapacağı
inceleme için 60 günlük süre öngörülmüş ise de resen
yapacağı incelemeler yönünden herhangi bir süre
öngörülmemektedir.
NOT: Unutulmamalıdır ki; ilgili kişinin şikâyeti
üzerine Kurul, talebi inceleyerek ilgililere bir
cevap verir. Kurulun bir cevap vermesi başvuruyu
sonuçlandırdığı anlamına gelmez. İnceleme süreci
devam edebilir.
Şikâyet üzerine veya resen yapılan inceleme
sonucunda, ihlalin varlığının anlaşılması hâlinde
Kurul, tespit ettiği hukuka aykırılıkların veri
sorumlusu tarafından giderilmesine karar vererek
ilgililere tebliğ eder. Bu karar, tebliğinden itibaren
gecikmeksizin ve en geç 30 gün içinde yerine getirilir.
Şikâyet üzerine veya resen yapılan inceleme
sonucunda, ihlalin yaygın olduğunun tespit edilmesi
durumunda, gerekli ise ilgili kurum ve kuruluşların
görüşleri de alınarak Kurul tarafından ilke kararı
39
alınarak yayımlanır.
Telafisi güç veya imkânsız zararların doğması ve
açıkça hukuka aykırılık olması hâlinde, Kurul’a veri
işlenmesinin veya verinin yurt dışına aktarılmasının
durdurulmasına karar verme yetkisi tanınmıştır.
ÖRNEK: 6698 sayılı Kanuna açıkça aykırılık teşkil
etmesi durumunda Kurul, 18. madde kapsamında
idari para cezası uygulayabileceği gibi, telafisi güç veya
imkânsız zararların doğması halinde, veriye erişimin
kısıtlanmasına, verinin işlenmesine veya yurt dışına
aktarılmasının durdurulmasına da karar verebilir.
40 - VERİ SORUMLULARI SİCİLİNE KAYIT
Kanunun 16. maddesi, veri sorumlularının kayıt olması
gereken Veri Sorumluları Sicilini düzenlemektedir.
Veri Sorumluları Sicili, Kişisel Verileri Koruma
Kurulunun gözetiminde Başkanlık tarafından
kamuya açık olarak tutulur.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri
işlemeye başlamadan önce Veri Sorumluları Siciline
kaydolmak zorundadır.
Ancak işlenen verinin niteliği, sayısı, veri işlemenin
kanundan kaynaklanması veya üçüncü kişilere
aktarılma durumu gibi Kurulca belirlenecek
objektif kriterler göz önüne alınmak suretiyle,
Sicile kayıt zorunluluğuna Kurul tarafından istisna
getirilebilecektir.
NOT: Kanunun 16. maddesinin (1) numaralı fıkrası
ve Veri Sorumluları Sicili Hakkında Yönetmeliğin
ilgili maddeleri gereği Veri Sorumluları Sicil Bilgi
Sistemi (VERBİS) hazırlanarak kullanıma açılmıştır.
İstisnalar hariç olmak üzere, kişisel verileri işlemekte
olan gerçek ve tüzel kişiler VERBİS’e kaydolmakla
yükümlüdür.
41
Veri Sorumluları Siciline kayıt başvurusu aşağıdaki
hususları içeren bir bildirimle yapılır;
- Veri sorumlusu ve varsa temsilcisinin kimlik ve
adres bilgileri, - Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait
veri kategorileri hakkındaki açıklamalar, - Kişisel verilerin aktarılabileceği alıcı veya alıcı
grupları, - Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan
azami süre.
Veri sorumluları tarafından, bu bilgileri içeren
bir bildirimle VERBİS’e kayıt yapılır. Söz konusu
bilgilerde meydana gelen değişiklikler derhal Kurum
Başkanlığına bildirilir.
42
NOT: Veri Sorumluları Sicili Hakkında Yönetmeliğin
- maddesine göre, Sicilde kayıtlı bilgilerde değişiklik
olması halinde, değişikliğin meydana geldiği tarihten
itibaren 7 gün içinde VERBİS üzerinden güncelleme
yapılması gerekmektedir.
Veri Sorumluları Siciline ilişkin diğer usul ve esaslar
Yönetmelikle düzenlenir.
NOT: Kanunun 16. maddesinin (5) numaralı
fıkrasının verdiği yetkiye dayanarak Kişisel Verileri
Koruma Kurulunca hazırlanan “Veri Sorumluları
Sicili Hakkında Yönetmelik” 01.01.2018 tarihi
itibariyle yürürlüğe girmiştir.
NOT: VERBİS’e kayıt tarihleri 2018/88 sayılı Kurul
Kararı ile belirlenmiştir. İlgili Kurul Kararına www.
kvkk.gov.tr adresi üzerinden erişim sağlanabilir.
2018/88 Sayılı Kurul Kararında Sicile kayıt
yükümlülüğü başlama tarihleri aşağıdaki gibi
belirlenerek ilan edilmiştir:
43
Veri sorumluları Kayıt başlama
tarihi Süre Kayıt için son
tarih
Yıllık çalışan sayısı
50’den çok veya
yıllık mali bilanço
toplamı 25 milyon
TL’ den çok olan
gerçek ve tüzel kişi
veri sorumluları
01.10.2018 12 ay 30.09.2019
Yurtdışında
yerleşik gerçek
ve tüzel kişi veri
sorumluları için
01.10.2018 12 ay 30.09.2019
Yıllık çalışan
sayısı 50’den az ve
yıllık mali bilanço
toplamı 25 milyon
TL’ den az olup
ana faaliyet konusu
özel nitelikli kişisel
veri işleme olan
gerçek ve tüzel kişi
veri sorumluları
01.01.2019 15 ay 31.03.2020
Kamu Kurum
ve Kuruluşu veri
sorumluları
01.04.2019 15 ay 30.06.2020
NOT: Kurul kararlarında yer alan yıllık çalışan
sayısının hesaplanması için öncelikle tamamlanmış
bir yıl olması ve bu tamamlanmış yıl içerisindeki 12
aydan en az 7 sinin her birinde veri sorumlusunca
yetkili kamu kurum ve kuruluşlarına aylık verilmekte
olan prim ve muhtasar beyannamede bildirilen
çalışan sayısının dikkate alınması gerekmektedir.
Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak
kaydıyla ardışık olması zorunlu değildir. Buna göre,
44
bir veri sorumlusunun 2017 yılı içerisinde Sosyal
Güvenlik Kurumuna vermiş olduğu muhtasar ve
prim hizmet beyannamelerinden en az 7 sinin her
birinde bildirmiş olduğu çalışan sayısının 50 den
çok olması halinde kayıt yükümlülüğü 01.10.2018
tarihinde başlamış olacaktır.
NOT: Kurul kararlarında yer alan yıllık mali bilanço
toplamının hesaplanması için öncelikle tamamlanmış
bir yıl olması ve bu tamamlanmış yıl içerisinde
veri sorumlusu tarafından yetkili kamu kurumuna
yıllık olarak verilmekte olan gelir veya kurumlar
vergisi beyanname ekindeki mali tablolarda “aktif ”
ya da “pasif ” bölümde yer alan toplam rakamı esas
alınmalıdır.
NOT: Kurul kararlarında yer alan ana faaliyet
konusunun özel nitelikli kişisel veri işleme olup
olmadığının tespitinde, veri sorumlularının en çok
katma değer ürettiği faaliyetleri veya yürüttükleri temel
iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi
durumunun söz konusu olup olmadığı dikkate alınır.
Diğer bir deyişle burada değerlendirilmesi gereken;
veri sorumlularının herhangi bir faaliyeti içerisinde
özel nitelikli kişisel verinin işleniyor olması değil,
ana faaliyetleri kapsamında yürütmekte oldukları
işlerinin konusunun özel nitelikli kişisel veri olup
45
olmadığıdır.
Ayrıca 5429 sayılı Kanunun 11. maddesine istinaden
2012 yılından itibaren ülkemizde tüm kamu
kurum ve kuruluşlarında TÜİK koordinasyonunda
oluşturulan NACE Rev.2 ekonomik faaliyet
sınıflaması kullanılmakta olup Kurumumuzca
da veri sorumlularının faaliyet konularının
tespitinde söz konusu NACE faaliyet kodlarından
faydalanılmaktadır. Bu kapsamda, veri sorumlularının
ticaret sicil kaydında veya vergi levhasında yer alan
faaliyet kodları göz önünde bulundurulmaktadır.
NOT: Kurul kararında, yurtdışında yerleşik tüm veri
sorumluları için Sicile kayıt yükümlülüğü başlama
tarihi 01.10.2018 olarak belirlenmiştir. Buna göre,
yurt dışında yerleşik veri sorumlularının Sicile kayıt
yükümlülüğünün başlama tarihinin tespitinde yıllık
çalışan sayısı, mali bilanço toplamı veya ana faaliyet
konusunun özel nitelikli kişisel veri olup olmadığı
bilgisi dikkate alınmamaktadır.
ÖRNEK: Yurtiçinde yerleşik bir otomotiv şirketinin
insan kaynakları departmanında, çalışanların
kişisel verilerinin yanı sıra birtakım sağlık verileri
de işlenmektedir. Bu durumda şirketin Sicile kayıt
yükümlüsü olup olmadığını tespit edebilmek için
46
öncelikle ana faaliyet konusunun belirlenmesi
gerekmektedir. Çalışanların kişisel verilerinin yanı
sıra birtakım sağlık verilerinin de işleniyor olması
ana faaliyetinin özel nitelikli kişisel veri işleme olduğu
anlamına gelmez. Otomotiv şirketi olması nedeniyle
şirketin ana faaliyeti özel nitelikli kişisel veri işleme
sayılmayacaktır. Burada, 2018/88 sayılı Kurul
Kararındaki kriterler sağlanıyor mu buna bakılmalı
ve kayıt yükümlüsü olup olmadığı tespit edilmelidir.
ÖRNEK: Merkezi yurtdışında bulunan bir şirketin
Türkiye’de faaliyet gösteren bir şubesi bulunmaktadır.
Türkiye’de faaliyet gösteren şubenin VERBİS’e kayıt
yükümlüsü olup olmadığını tespit edebilmek için
Türkiye’deki şubenin;
- Farklı bir tüzel kişiliğe sahip mi?
- Kişisel veri işleme amaç ve yöntemlerini kendisi mi
belirliyor? - Veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu mu?
sorularına olumlu cevap vermesi gerekir.
Bu durumda, eğer yurtdışındaki şirketten farklı olarak
bir veri sorumlusu niteliğini taşıyorsa Türkiye’deki
şubenin, 2018/88 sayılı Kurul Kararındaki kriterlerden
birini sağlaması durumunda VERBİS’e kayıt olması
gerekmektedir.
47
NOT: Kanunun 16. maddesi 2. fıkrasının verdiği
yetkiye dayanarak Kişisel Verileri Koruma
Kurulunca bazı veri sorumluları için VERBİS’e kayıt
yükümlülüğüne istisna getirilmiştir. Bu istisnalar,
15.05.2018 ve 18.08.2018 tarihli Resmi Gazete’de ilan
edilerek Kurumun internet sitesinde duyurulmuştur.
Kurul Kararıyla Sicile Kayıt Yükümlülüğünden
İstisna Olan Veri Sorumluları
15.05.2018 Tarihli Resmi Gazetede
Yayımlanan Kurul Kararları
18.08.2018 Tarihli Resmi Gazetede
Yayımlanan Kurul Kararları
Otomatik Olmayan Yollarla
Kişisel Veri İşleyenler Gümrük Müşavirleri
Noterler Arabulucular
Siyasi Partiler, Dernekler,
Vakıflar, Sendikalar Yıllık Çalışan Sayısı 50’den az ve Yıllık
Mali Bilanço 25 Milyon TL’den Az olup
Ana Faaliyeti Özel Nitelikli Kişisel Veri
İşleme Olmayanlar
Avukatlar
Serbest Muhasebeci Mali Müşavirler ve
Yeminli Mali Müşavirler
İstisna kapsamında olmayan tüm veri sorumlularının
www.kvkk.gov.tr üzerinden giriş yaparak VERBİS’e
kayıt olması gerekmektedir. VERBİS’e kayıt olurken
veri sorumluları tarafından kesinlikle kişisel veriye
yer verilmeyecek, sadece kategorik bazda üst başlıklar
halinde ne tür kişisel veri işlendiği, bunların hangi
amaçla işlendiği, kimlere aktarıldığı, alınan tedbirlerin
neler olduğu gibi bilgiler sisteme girilecektir.
48
ÖRNEK: Bir şirket veri olarak ad-soyad, kimlik
numarası işliyorsa VERBİS’e kayıt esnasında ‘kimlik
bilgisi işliyorum’ seçeneğini işaretleyecektir. Bu
anlamda VERBİS, kamuya açık olup şeffaflık ve hesap
verilebilirlik ilkelerini temel almaktadır.
Veri sorumluları tarafından işlenen kişisel verilerin,
VERBİS’te bulunan kategorilerde bir karşılığı yoksa,
bu veri kategorileri VERBİS’te yer alan ‘diğer’
butonuna tıklanarak manuel şekilde girilebilir.
Bu sisteme kayıt olunmaması halinde Kurul tarafından
20 bin TL’den 1 milyon TL’ye kadar idari para cezası
verilecektir. Söz konusu idari para cezası miktarları,
her yıl “yeniden değerleme” oranında artırılmaktadır.
Kamu kurum ve kuruluşlarının VERBİS’e kayıt
olmaması halinde ise; disiplin hükümlerine göre
işlem yapılacak ve sonucu Kurula bildirilecektir.
49
- İSTİSNALAR
Kanunun 28. maddesi ile tamamen Kanunun kapsamı
dışında kalan durumlar ve kısmen Kanunun kapsamı
dışında kalan faaliyetler düzenlenmiştir.
a) KANUNUN TAMAMEN UYGULANMAYACAĞI
HALLER
Kanunun 28. maddesinin 1. fıkrasında, Kanun
hükümlerinin hangi durumlarda uygulanmayacağı,
diğer bir ifade ile tamamen Kanunun kapsamı dışında
tutulan hususlar düzenlenmektedir.
NOT: Kişisel verilerin işlenmesine ilişkin ilkeler, tüm
kişisel veri işleme faaliyetlerinin özünde bulunmalı ve
tüm kişisel veri işleme faaliyetleri bu ilkelere uygun
olarak gerçekleştirilmelidir. Dolayısıyla, her ne kadar
çeşitli faaliyetler bazında Kanun’dan tam ve kısmi
istisnalar sağlansa da, temel ilkelere uygun ve orantılı
olmak kaydıyla kişisel veriler işlenmelidir.
Buna göre aşağıda belirtilen durumlarda 6698 sayılı
Kanun hükümleri uygulanmayacaktır;
50 - Kişisel verilerin, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi,
ÖRNEK: Bir annenin üçüncü kişilere vermemek
ve veri güvenliğine ilişkin yükümlülüklere uymak
kaydıyla, aynı konutta yaşadığı çocuğu veya eşinin
fotoğraflarını cep telefonuyla çekmesi, kaydetmesi,
kimlik bilgilerini rehbere işlemesi gibi durumlar
Kanun kapsamı dışında kalmaktadır. - Kişisel verilerin resmi istatistik ile anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi,
ÖRNEK: Yetkili kamu kurumu tarafından Resmi
İstatistik Programı (RİP) kapsamında işlenmekte olan
kişisel veriler Kanunun kapsamı dışındadır. Bununla
birlikte, söz konusu kamu kurumunun resmi istatistik
dışında işlemekte olduğu kişisel veriler bakımından
ise 6698 sayılı Kanuna uyum yükümlülüğü devam
etmektedir.
ÖRNEK: Bir veri sorumlusu tarafından; anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik
51
gibi amaçlarla işlenen kişisel veriler de Kanunun
kapsamı dışında kalmaktadır. Bununla birlikte, bu
şekilde işlenen kişisel verilerin anonim hale getirilmiş
olduğundan emin olunmalıdır. - Kişisel verilerin millî savunmayı, millî güvenliği,
kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını
ihlal etmemek ya da suç teşkil etmemek kaydıyla,
sanat, tarih, edebiyat veya bilimsel amaçlarla ya da
ifade özgürlüğü kapsamında işlenmesi,
ÖRNEK: İfade özgürlüğü kapsamında işlenen kişisel
veriler her ne kadar Kanun kapsamı dışında kalmış
olsa da, ifade özgürlüğü ile kişisel verilerin korunması
arasında bir tür denge testi yapılması önerilir. İfade
özgürlüğü ile, bireyin kişisel verilerinin korunması
hakkından yararlanması noktasında var olan beklenti
ve talep arasında adil ve makul bir denge gözetilerek
ifade özgürlüğü ile kişisel verilerin korunması
hakkı arasında somut olay esas alınarak bir denge
kurulmalıdır.
ÖRNEK: Kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya
kişilik haklarını ihlal etmemek ya da suç teşkil
52
etmemek kaydıyla, halk tarafından bilinen bir
sanatçının hayatının biyografi şekline getirilmesi
durumu bu faaliyet alanı ile sınırlı olmak kaydıyla
6698 sayılı Kanunun kapsamı dışındadır. - Kişisel verilerin millî savunmayı, millî güvenliği,
kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve
yetki verilmiş kamu kurum ve kuruluşları tarafından
yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi,
ÖRNEK: İstihbarat birimleri tarafından millî
savunma, millî güvenlik, kamu güvenliği, kamu
düzeni veya ekonomik güvenliği sağlamaya yönelik
olarak işlenen veriler Kanunun kapsamı dışında
kalmaktadır.
Aynı şekilde, suç gelirlerinin aklanması, terörizmin
finansmanının önlenmesi ve mali suçların araştırılması
konusunda yetkili birimlerce veri toplamak, mali
istihbarat elde etmek, şüpheli işlem bildirimleri
almak ve analiz ederek ilgili kurumlarla paylaşmak
amacıyla yürütülen faaliyetler kapsamında işlenen
veriler Kanunun kapsamı dışında kalmaktadır.
53 - Kişisel verilerin soruşturma, kovuşturma,
yargılama veya infaz işlemlerine ilişkin olarak yargı
makamları veya infaz mercileri tarafından işlenmesi.
ÖRNEK: Adli bir olayın kovuşturulması sırasında
mahkemeler tarafından konuyla ilgili kişilerin
verilerinin işlenmesi Kanunun kapsamı dışında
kalmaktadır.
NOT: 6698 sayılı Kanunun 28. maddesinin (1)
numaralı fıkrasında sayılan faaliyetler kapsamında
işlenen kişisel veriler için Kanunun hükümleri
uygulanmayacakken, bu faaliyetler dışında
gerçekleşen veri işleme faaliyetleri bakımından
Kanuna uyum yükümlülüğü devam etmektedir.
b) KANUNUN BAZI MADDELERİNİN
UYGULANMAYACAĞI HALLER
Kanunun 28. maddesinin (2) numaralı fıkrasında,
kısmen Kanunun kapsamı dışında kalan hususlar
düzenlenmektedir. Buna göre, kural olarak bu
fıkrada sayılan hallerde Kanuna uyum yükümlülüğü
bulunmakla birlikte, yalnızca belirli hükümler
bakımından yükümlülük bulunmamaktadır. Diğer
bir ifade ile bu fıkra kapsamında; veri sorumlusunun
54
aydınlatma yükümlülüğünü düzenleyen 10. madde,
zararın giderilmesini talep etme hakkı hariç olmak
üzere ilgili kişinin haklarını düzenleyen 11. madde
ve Veri Sorumluları Siciline kayıt yükümlülüğünü
düzenleyen 16. madde hükümlerinin sayılan
durumlarda uygulanmayacağı belirtilmiştir.
Burada yalnızca belirli durumlarda ve belirli hususlara
ilişkin istisna öngörülmüş olup bu hususlar dışında
Kanunun getirdiği yükümlülüklere uyumlu olma
şartı her zaman aranacaktır. Bu kapsamda, Kanunun
amacına ve temel ilkelerine uygun ve orantılı olmak
şartı ile Kanunun 10, 11 ve 16. maddelerinden muaf
tutulan durumlar şunlardır;
- Kişisel veri işlemenin suç işlenmesinin önlenmesi
veya suç soruşturması için gerekli olması.
ÖRNEK: Otomobili ile yolculuk etmekte olan
bir aile, yol üzerinde güvenlik güçleri tarafından
durdurulmuştur. Suç soruşturması kapsamında,
ailenin kimlik kontrollerinin yapılmasının gerekli
olması bakımından, güvenlik güçlerinin ilgili kişileri
aydınlatma, ilgili kişi başvurusuna cevap verme ve
VERBİS’e kayıt sırasında bu beyannamelere ait bilgi
girişi yapma yükümlülüğü bulunmamaktadır.
55 - İlgili kişinin kendisi tarafından alenileştirilmiş
kişisel verilerin işlenmesi.
Kişisel verinin ilgili kişinin kendisi tarafından
alenileştirilmiş olması halinde üçüncü kişiler
tarafından işlenebilmesi için söz konusu veri işleme
faaliyetinin alenileştirme iradesi ve amacına uygun
olması gereklidir.
ÖRNEK: Kişinin, herkesin erişimine açık bir şekilde
sosyal medya hesabında adı, soyadı ve telefon
numarası paylaşarak tanıdıklarının kendisine
ulaşabileceğini belirtmesi halinde tanıdıklarının
kendisine SMS göndermesi durumunda Kanunun
10, 11 ve 16. maddesi hükümlerinin uygulanması
zorunlu değildir.
ÖRNEK: Özel muayenehanesi olan bir doktor,
reklam amacıyla gazete ilanı verdiğinde, bu amaçla
sınırlı olmak üzere ilanda yer alan iletişim bilgilerini
alenileştirmiş olmaktadır. Bu iletişim bilgilerini
kullanarak hizmet almak amacıyla doktora ulaşacak
kişinin Kanunun 10, 11 ve 16. madde hükümlerine
uyması zorunlu değildir. - Kişisel veri işlemenin Kanunun verdiği yetkiye
dayanılarak görevli ve yetkili kamu kurum ve
56
kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme
görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
ÖRNEK: Bir kamu kurumunun, denetim
elemanlarınca kurum personeli hakkında yaptığı
disiplin soruşturması esnasında o personel ile ilgili
kişisel verileri işlemesi mümkündür. Bu durumda, ilgili
personele aydınlatma yapılması, varsa başvurusuna
cevap verilmesi ve kamu kurumunun VERBİS’e kaydı
esnasında bu veri kategorisini bildirmesi gibi hususlar
zorunlu değildir.
ÖRNEK: Bankacılık Düzenleme ve Denetleme
Kurumu (BDDK) ile Radyo ve Televizyon Üst Kurulu
(RTÜK) gibi düzenleyici denetleyici kurumların;
kanunun verdiği yetkiye dayanılarak denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin
soruşturma veya kovuşturması için gerekli olması
durumlarında, sadece bu görevleri kapsamında
işlediği kişisel verilerle sınırlı olmak üzere Kanunun
10, 11 ve 16. madde hükümlerinin uygulanması
zorunlu değildir. - Kişisel veri işlemenin bütçe, vergi ve mali konulara
ilişkin olarak Devletin ekonomik ve mali çıkarlarının
57
korunması için gerekli olması.
ÖRNEK: İlgili kişiler tarafından Gelir İdaresi
Başkanlığına kira beyannamesi sunulması sırasında
paylaşılan kişisel verilerin işlenmesi bakımından,
Gelir İdaresi Başkanlığının ilgili kişiyi aydınlatma,
ilgili kişi başvurusuna cevap verme ve VERBİS’e kayıt
sırasında bu beyannamelere ait bilgi girişi zorunluluğu
bulunmamaktadır.
58 - VERİ SORUMLUSU VE VERİ İŞLEYEN
Veri sorumlusu; kişisel verilerin işleme amaçlarını
ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel
verileri işleme konusunda gerçekleştirdiği faaliyetler
kapsamında bizzat kendileri veri sorumlusu olup
ilgili düzenlemelerde belirtilen hukuki sorumluluk
tüzel kişinin şahsında doğacaktır.
Bu konuda kamu hukuku tüzel kişileri ve özel hukuk
tüzel kişileri bakımından bir farklılık gözetilmemiştir.
Bu çerçevede gerek cezai gerek hukuki sorumluluk
bakımından, tüzel kişilerin sorumluluğuna ilişkin
özel hukuk ve kamu hukukundaki genel hükümler
uygulanır.
ÖRNEK: Personelin maaşını ödeyebilmek için isim,
telefon numarası, banka hesap numarası gibi bir takım
kişisel verilerini bir veri tabanında tutan bir beyaz
eşya imalat firması bu kapsamda hem kişisel veri
işleme amacını hem veri işleme araç ve yöntemlerini
belirlemekte ve ayrıca buna yönelik bir veri kayıt
sistemi de oluşturmuş durumdadır. Kısaca neden ve
nasıl kişisel veri işlediğine kendisi karar vermektedir.
Bu nedenle söz konusu firma, Kanun bakımından
59
veri sorumlusudur.
Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği
bulunmadığından, bu birimlerin veri sorumlusu
olması mümkün değildir. Bununla birlikte, bir
şirketler topluluğunu oluşturan her bir şirket tüzel
kişiliğe sahip olduğundan, bu şirketlerin her birinin
ayrı ayrı veri sorumlusu olması mümkündür.
Veri işleyen ise; veri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel verileri işleyen, veri
sorumlusunun organizasyonu dışındaki gerçek
veya tüzel kişiler olarak tanımlanmaktadır. Bu
kişiler, kişisel verileri, kendisine verilen talimatlar
çerçevesinde işleyen, veri sorumlusunun kişisel veri
işleme sözleşmesi yapmak suretiyle yetkilendirdiği
ayrı bir gerçek veya tüzel kişidir.
NOT: Veri işleyen, veri sorumlusu ile imzaladığı
sözleşme çerçevesinde veri sorumlusundan aldığı
yetki ve talimat dışına çıkarak kendisi adına kişisel
veri işlemeye başladığı durumda o kişisel veriler
için veri işleyen statüsünden çıkarak veri sorumlusu
statüsünde olacaktır.
ÖRNEK: Bir özel şirketin, topladığı kişisel verilerin
saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme
60
yapması durumunda, bulut hizmeti sağlayıcısı veri
işleyen durumundadır. Çünkü taraflar arasındaki
sözleşme gereği bulut hizmeti sağlayıcısının verileri
kendi amaçları için kullanması mümkün değildir.
Ayrıca, bulut hizmeti sağlayıcısının kendisi de veri
toplamamaktadır. Tek faaliyeti şirketten gelen kişisel
verileri yine özel şirketin talimatlarına uygun olarak
saklamaktır.
NOT: Herhangi bir gerçek veya tüzel kişi aynı
zamanda hem veri sorumlusu, hem de veri işleyen
olabilir.
ÖRNEK: Bir muhasebe şirketi kendi personeliyle
ilgili tuttuğu verilere ilişkin olarak veri sorumlusu
sayılırken, müşterisiyle imzaladığı sözleşme
kapsamında müşterisi için işlediği kişisel veriler
bakımından veri işleyen sayılacaktır. Bununla birlikte,
sözleşme kapsamı dışına çıkıp veri sorumlusunun
talimatına aykırı olarak kendisi adına kişisel veri
işlemesi halinde ayrı bir veri sorumlusu olacaktır.
ÖRNEK: Bir Kurum bünyesinde bulunan ve dışarıdan
hizmet alımı çağrı merkezi hizmeti veren şirket,
Kurum nezdinde işlediği veriler bakımından veri
işleyen konumunda iken, kendi personeli hakkında
tuttuğu özlük dosyaları bakımından veri sorumlusu
61
statüsünde olabilmektedir.
Veri işleyenin faaliyetleri, veri işlemenin daha
çok teknik kısımları ile sınırlıdır. Kişisel verilerin
işlenmesine ilişkin kararların alınması yetkisi ise veri
sorumlusuna aittir. Veri sorumlusu kişisel verilerin
işlenme amacını ve yöntemini belirleyen kişidir. Yani
kendi adına karar alma yetkisi olan, kişisel veri işleme
faaliyetinin “neden” ve “nasıl” yapılacağı sorularının
cevabını verecek kişidir.
Veri sorumlusunun tespiti için;
- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Toplanan verilerin hangi amaçlarla kullanılacağı,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Toplanan verilerin paylaşılıp paylaşılmayacağı,
paylaşılacaksa kiminle paylaşılacağı, - Verilerin ne kadar süreyle saklanacağı,
- İlgili kişilerin haklarının nasıl sağlanacağı
hususlarında kimin karar verdiği dikkate alınır.
Bununla birlikte veri sorumlusu, yapacağı kişisel veri
işleme sözleşmesi ile; - Kişisel verilerin toplanması için hangi bilgi
teknolojileri sistemlerinin veya diğer metotların
62
kullanılacağı, - Kişisel verilerin hangi yöntemle saklanacağı,
- Kişisel verilerin korunması için alınacak güvenlik
önlemlerinin detayları, - Kişisel verilerin aktarımının hangi yöntemle
yapılacağı, - Kişisel verilerin saklanmasına ilişkin sürelerin
doğru uygulanabilmesi için kullanılacak metot, - Kişisel verilerin silinmesi, yok edilmesi ve anonim
hale getirilmesi yöntemleri
hususlarında karar verme yetkisini veri işleyene
bırakabilir.
NOT: Veri sorumlusu, kişisel verilerin kendi
adına başka bir gerçek veya tüzel kişi (veri işleyen)
tarafından işlenmesi halinde; alınan her türlü teknik
ve idari tedbirler hususunda bu kişilerle birlikte
müştereken sorumludur.
Veri sorumlusuyla veri işleyen arasında bazı ortak
noktalar vardır. Bunlar;
a) Veri sorumlusu ifadesiyle, bir şirket içerisinde veri
işleme faaliyetlerinden sorumlu herhangi bir kimse
kastedilmemektedir. Veri sorumlusu bizatihi tüzel
kişiliğin kendisidir.
63
Veri sorumlusu (aynı şekilde veri işleyen de) olmak,
Kanunun hukuki yükümlülükleri tayin etmek
amacıyla belirlediği bir statüdür ve tanımda verilen
özellikleri karşılaması durumunda, şirketin tüzel
kişiliği de bu statüye sahip olacaktır.
Örneğin, veri işleme faaliyetinin bir parçası olarak
bir şirkette belge teslim alan ve kaydeden kişi değil,
şirketin kendisi “veri sorumlusu” sıfatına sahiptir.
ÖRNEK: Bir şirkete iş başvurusu sırasında başvuru
formunun, İnsan Kaynakları Departmanına teslim
edilmesi veri sorumlusunun İnsan Kaynakları
Departmanı olduğu anlamına gelmez. Burada veri
sorumlusu, tüzel kişiliği haiz bulunan şirketin bizatihi
kendisidir.
ÖRNEK: Otel rezervasyonları için hizmet sağlayan
bir internet sitesine, rezervasyon için verilen bilgiler
bakımından bu bilgileri ilk elden alan hizmet
sağlayıcısı internet sitesi veri sorumlusu gibi gözükse
de, burada kişisel verilerin işleme amacını ve vasıtasını
belirleyen otel olduğu için veri sorumlusu statüsüne
haiz olan tüzel kişilik, oteldir.
b) Her iki kavram da, hem gerçek hem de tüzel
kişiler için geçerlidir. Örneğin serbest çalışan bir
64
muhasebeci veya bir mali müşavirlik firması hem
veri sorumlusu, hem de veri işleyen olabilir. Ayrıca
bir şirketler topluluğunu oluşturan her bir şirket tüzel
kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı
iki statüde de yer alabilir.