Yeni - 100 Soruda Kişisel Verilerin Korunması Kanunu

SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU 59 1 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU KVKK Yayınları No: 59 Mart 2025, Ankara KİŞİSEL VERİLERİ KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu 3 İÇİNDEKİLER 1. Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur? ........ 13 2. Kişisel Verilerin Korunması Hakkının Dayanağı Nedir ve Bu Hak Sınırsız Bir Hak mıdır? ................................................................. 14 3. Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir? ....................................................................................................... 15 4. Kişisel Verilerin Korunması Kanununun Amacı Nedir? ................... 15 5. Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır? ...... 16 6. Kanun Kapsamına Dahil Olmayan Kişiler Var mıdır? ....................... 16 7. Her Türlü Veri İşleme Faaliyeti İçin Bu Kanun Hükümleri Uygulanacak mıdır? .....................................................................................17 8. Kanun Kapsamındaki Tam İstisna Halleri Nelerdir? .........................17 9. Kanun Kapsamındaki Kısmi İstisna Halleri Nelerdir? ...................... 18 10. Kişisel Verilerin Korunması Ne Demektir? ........................................ 19 11. Kişisel Veri Nedir? .....................................................................................20 12. Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir? ............................ 22 13. Özel Nitelikli Kişisel Veriler Nelerdir? ................................................. 22 14. Kişisel Sağlık Verisi Nedir? ..................................................................... 22 15. İlgili Kişi Kimdir? ....................................................................................... 23 16. Kişisel Verilerin İşlenmesi Ne Demektir? .......................................... 23 17. Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir? ........ 24 18. Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi

14. Kişisel Sağlık Verisi Nedir? ..................................................................... 22 15. İlgili Kişi Kimdir? ....................................................................................... 23 16. Kişisel Verilerin İşlenmesi Ne Demektir? .......................................... 23 17. Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir? ........ 24 18. Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir? ............................................................................................. 25 19. Veri Kayıt Sistemi Nedir? ........................................................................ 25 4 20. Açık Rıza Nedir? ........................................................................................26 21. Açık Rıza Herhangi Bir Şekil Şartına Tabi midir? ............................. 27 22. Açık Rıza Geri Alınabilir mi? ...................................................................28 23. Veri Sorumlusu Kimdir? ..........................................................................28 24. Veri İşleyen Kimdir? ................................................................................. 31 25. Herhangi Bir Gerçek veya Tüzel Kişi Aynı Zamanda Hem Veri Sorumlusu Hem de Veri İşleyen Olabilir mi? ................................... 31 26. Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir? ................. 31 27. Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler Nelerdir? .. 32 28. Hukuka ve Dürüstlük Kurallarına Uygun Olma Ne Demektir? ..... 33 29. Doğru ve Gerektiğinde Güncel Olma Ne Demektir? .......................34 30. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi Ne Demektir? ................................................................. 35 31. Amacın Meşru Olması Ne Demektir? ................................................... 37 32. Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi Ne Demektir? ....................................................................... 37 33. Kişisel Verilerin Ancak İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi Ne Demektir? ............................................................................38 34. Kişisel Verilerin İşlenme Şartları Nelerdir? ......................................40 35. Kişisel Verilerin Aleni Olması Ne Demektir? .................................... 41 36. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması Ne Anlama Gelmektedir? ..............42 5 37. Veri Sorumlusunun Meşru Menfaatini Tespit Etmek İçin Göz Önünde Bulundurulması Gereken Hususlar Nelerdir? .................43

Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması Ne Anlama Gelmektedir? ..............42 5 37. Veri Sorumlusunun Meşru Menfaatini Tespit Etmek İçin Göz Önünde Bulundurulması Gereken Hususlar Nelerdir? .................43 38. Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir? ............45 39. Kişisel Verilerin Silinmesi Nedir? ........................................................46 40. Kişisel Verilerin Yok Edilmesi Nedir? ................................................. 47 41. Kişisel Verilerin Anonim Hale Getirilmesi Nedir? ...........................48 42. Anonim Veri ve Anonim Hale Getirilmiş Veri Arasındaki Fark Nedir? ..................................................................................................50 43. Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli veya Anonim Hale Getirilmelidir? .................................................................50 44. Kişisel Verilerin Yurt İçinde Aktarılması Kanunda Nasıl Düzenlenmiştir? ........................................................................................50 45. Kişisel Verilerin Yurt Dışına Aktarılması Kanunda Nasıl Düzenlenmiştir?...............................................................................51 46. Yabancı Ülkede Yeterli Koruma Bulunup Bulunmadığının Belirlenmesinde ve Yeterli Korumanın Bulunmaması Halinde Verilerin Yurt Dışına Aktarılmasına İzin Verirken Kurul Hangi Kriterleri Dikkate Alacaktır?....................................................... 53 47. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir? ......................................................................................... 57 48. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var mıdır? ...............................................................................58 49. İlgili Kişinin Hakları Nelerdir? ...............................................................58 50. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir? .......................................................................59 6 51. Kişisel Verilerin Veri Sorumlusu Adına Başka Bir Gerçek veya Tüzel Kişi Tarafından İşlenmesi Durumunda Veri Güvenliğine İlişkin Olarak Veri Sorumlusunun Sorumluluğu Nasıl Düzenlenmiştir? ........................................................................................60 52. Kişisel Verilerin Korunması Kapsamındaki Başvurular Kime Yapılır? ............................................................................................. 61 53. Veri Sorumlusuna Başvuru Yolu İçin Herhangi Bir Şart Bulunmakta mıdır? .................................................................................. 61 54. Veri Sorumlusuna Başvuru İçin Herhangi Bir Ücret Öngörülmüş müdür? ...............................................................................62 55. Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Yerine Getirir? ............................................................................................62

53. Veri Sorumlusuna Başvuru Yolu İçin Herhangi Bir Şart Bulunmakta mıdır? .................................................................................. 61 54. Veri Sorumlusuna Başvuru İçin Herhangi Bir Ücret Öngörülmüş müdür? ...............................................................................62 55. Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Yerine Getirir? ............................................................................................62 56. Veri Sorumlusu İlgili Kişinin Talebi Üzerine Neler Yapabilir? .....63 57. Veri Sorumlusu Cevabını İlgili Kişiye Nasıl Bildirir? .......................63 58. Kurula Şikâyet Hangi Süre İçinde Yapılmalıdır? ..............................63 59. Doğrudan Kurula Şikâyet Yoluna Gidilebilir mi? ............................64 60. Kurula Şikâyet Yoluna Gitmenin Bir Ön Şartı Var mıdır? ..............65 61. Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda Yargı Yoluna Gidilebilir mi? ............................................................................................65 62. İlgili Kişinin Tazminat Davası Açma Hakkı Var mıdır? ....................65 63. Kurulun Resen İnceleme Yetkisi Var mıdır? ......................................65 64. Kurula Şikâyet İçin Herhangi Bir Şart Öngörülmüş müdür? ........66 65. Veri sorumlusunun Hangi Süre İçerisinde Kurula Cevap Vermesi Gerekir? ..........................................................................66 66. Kurul Her Türlü Belgeyi Veri Sorumlusundan İsteyebilir mi? .....66 67. Kurul Hangi Süre İçinde İlgili Kişiye Cevap Vermelidir? ................66 7 68. Kurul Öngörülen Süre İçinde İlgili Kişiye Cevap Vermezse Ne Olur? ....................................................................................................... 67 69. Kurulun İhlale İlişkin Kararları Kim Tarafından Hangi Süre İçinde Yerine Getirilir? ......................................................................................... 67 70. Kurul İlke Kararı Alabilir mi? ................................................................. 67 71. Kurulun Veri İşlenmesini Durdurma Yetkisi Var mıdır? ................. 67 72. Veri Sorumluları Sicili Nedir? ................................................................69 73. Veri Sorumluları Siciline Kayıt Ne Zaman Başlar? ..........................69 74. Veri Sorumluları Siciline Kimler Kayıt Olmalıdır? ........................... 70 75. Türkiye’de Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırır? ........................................................................................................71 76. Veri Sorumluları Siciline Kayıt Olma Yükümlülüğünün İstisnası

74. Veri Sorumluları Siciline Kimler Kayıt Olmalıdır? ........................... 70 75. Türkiye’de Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırır? ........................................................................................................71 76. Veri Sorumluları Siciline Kayıt Olma Yükümlülüğünün İstisnası Var mıdır? .....................................................................................................71 77. Veri Sorumluları Siciline Bildirim Hangi Unsurları İçerir? ............ 75 78. Veri Sorumluları Sicilinin Kamuya Açık Olması Ne Demektir? .... 75 79. Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar Konusunda Kişisel Verilerin Korunması Kanunu Nasıl Bir Düzenleme Öngörmektedir? ........................................................................................ 76 80. Kişisel Verilerin Korunması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür? ........................................................77 81. Kurul Kimler Hakkında İdari Yaptırım Kararı Verebilir? .................77 82. Kişisel Verileri Koruma Kurumunun Hukuki Statüsü Nedir? ....... 78 83. Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu Kanunda Nasıl Düzenlenmiştir? ............................................ 78 84. Kurumun Görevleri Nelerdir? ............................................................... 78 8 85. Kurul Kaç Kişiden Oluşur ve Kurul Üyeleri ....................................... 79 86. Kurul Üyeliğine Seçilebilmek İçin Hangi Şartlar Aranır? .............. 79 87. Kurul Başkanı ve İkinci Başkan Nasıl Seçilir? ................................... 79 88. Kurul Üyelerinin Görev Süresi Kaç Yıldır? ......................................... 79 89. Kurul Üyeleri Nasıl ve Nerede Yemin Ederler? ................................80 90. Kurul Üyeleri Başka Bir Görev Yapabilirler mi? ...............................80 91. Kurul Üyelerinin Görevine Son Verilebilir mi? .................................80 92. Kurulun Görevleri Nelerdir? .................................................................. 81 93. Kurulun Çalışma Esasları Nasıldır? .....................................................82 94. Kurul Üyelerinin Sır Saklama Yükümlülüğü Var mıdır? ................83 95. Başkanın Statüsü Nasıldır? ...................................................................83 96. Başkanın Görevleri Nelerdir? ................................................................84 97. Başkanlığın Oluşumu Nasıldır? ............................................................85 98. Başkanlığın Görevleri Nelerdir? ...........................................................85 99. Kurumun Bütçesi ve Gelirleri Nelerdir? .............................................86 100. Kanunun Yayımından Önce İşlenmiş Kişisel Veriler İçin Bir Geçiş Süresi Var mıdır? .................................................................. 87 9 100 SORUDA

97. Başkanlığın Oluşumu Nasıldır? ............................................................85 98. Başkanlığın Görevleri Nelerdir? ...........................................................85 99. Kurumun Bütçesi ve Gelirleri Nelerdir? .............................................86 100. Kanunun Yayımından Önce İşlenmiş Kişisel Veriler İçin Bir Geçiş Süresi Var mıdır? .................................................................. 87 9 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU 100 Soruda Kişisel Verilerin Korunması Kanunu Günümüzde bireylere ilişkin çeşitli veriler gelişen teknolojinin de etkisiyle her gün farklı platformlarda kolaylıkla işlenebil- mekte ve aktarılabilmektedir. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantaj- lar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Bu nedenle, kişisel verileri koruyabilmek adına hukuki bir altyapının oluşturulması da zorunluluk haline gel- mektedir. Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır. Bu açıdan bakıldığında, kişisel verilerin korunma- sı hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. 2010 yılında yapılan değişiklik sonucunda Anayasanın 20 nci maddesine eklenen fıkra ile kişisel verilerin korunması Ana- yasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağ- lanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir. 11 12 | 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU

ilişkin usul ve esasların kanunla düzenleneceği hükme bağ- lanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir. 11 12 | 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU Kanunla, kişisel verilerin işlenmesi disiplin altına alınarak sı- nırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin eri- şimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu amaçla, kişisel verilerin işlenmesine iliş- kin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir. Kanun kişisel verilerin işlenmesini sınırlamamakta, tam tersi- ne veri temelli ekonomide daha rekabetçi bir noktada olabil- mek adına kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir. Diğer bir ifadeyle, Kanunda kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesi gözetilmektedir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tama- men veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. 100 Soruda Kişisel Verilerin Korunması Kanunu konulu çalışma, Kanun ve gerekçesi çerçevesinde hazırlanmış ve bu konuda soru- cevap yaklaşımıyla ilgililere faydalı olunması amaçlanmıştır. Saygılarımla. Prof. Dr. Faruk BİLİR Başkan 12 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 13 1. Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur?

cevap yaklaşımıyla ilgililere faydalı olunması amaçlanmıştır. Saygılarımla. Prof. Dr. Faruk BİLİR Başkan 12 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 13 1. Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur? Gerek kamu, gerekse özel kurum ve kuruluşlar, bir görevin ye- rine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir toplamakta- dırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Be- lirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel toplan- masının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edil- mesinin önüne geçilmesi gereklidir. Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkeler- de kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihin- de imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarihli ve 29656 sayılı Resmî Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunma- sına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. 13

sözleşme 17 Mart 2016 tarihli ve 29656 sayılı Resmî Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunma- sına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. 13 14 | 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarihli ve E:2013/122, K:2014/74 sayılı kararında da; “Kişisel verilerin ko- runması hakkı, kişinin insan onurunun korunmasının ve kişili- ğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasın- da korumayı […]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neti- cesinde, özel sektör unsurlarınca yaratılan risklerin daha yay- gın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir. 2. Kişisel Verilerin Korunması Hakkının Dayanağı Nedir ve Bu Hak Sınırsız Bir Hak mıdır? 2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel ha- yatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendi- rilme, bu verilere erişme, bunların düzeltilmesini veya silinme- sini talep etme ve amaçları doğrultusunda kullanılıp kullanıl- madığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzen- lenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır. 14 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 15

verilerin korunmasına ilişkin esas ve usuller kanunla düzen- lenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır. 14 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 15 Temel bir hak olarak düzenlenen kişisel verilerin korunması- nı isteme hakkı, anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve öz- gürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, kişisel verile- rin korunmasına ilişkin 20. maddede tanınan her bir hakkın uygulanması ve diğer haklar lehine sınırlanmasına ilişkin dü- zenlemeler ancak kanun yoluyla gerçekleştirilebilir. 3. Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir? Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Baş- kanlığına sevk edilmiştir. Söz konusu metin 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış olup 7 Nisan 2016 ta- rihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. 4. Kişisel Verilerin Korunması Kanununun Amacı Nedir? Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülke- miz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koru- ma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlen- 15 16 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

ile kişisel verilerin çağdaş standartlarda işlenmesi ve koru- ma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlen- 15 16 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU mesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahre- miyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplan- ması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilme- sinin önüne geçilmesi amaçlanmaktadır. 5. Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır? Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tama- men veya kısmen otomatik olan ya da herhangi bir veri kayıt sis- teminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olma- yan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açı- sından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır. 6. Kanun Kapsamına Dahil Olmayan Kişiler Var mıdır? Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kulla- nıldığından, verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. 16 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 17 Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

16 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 17 Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur. 7. Her Türlü Veri İşleme Faaliyeti İçin Bu Kanun Hükümleri Uy- gulanacak mıdır? Kanunun 28. maddesinde, bazı hallerde Kanun hükümlerinin uygulanmayacağı belirtilmektedir. Bu çerçevede, Kanun kap- samına girmeyen haller, 28. maddede tamamen veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutul- muştur. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna hallerinde, Kanunun sadece bazı hükümleri (aydınlatma yü- kümlülüğü, zararın giderilmesini talep etme hakkı hariç ilgili kişinin hakları ve Veri Sorumluları Siciline kayıt) uygulanma- maktadır. 8. Kanun Kapsamındaki Tam İstisna Halleri Nelerdir? Aşağıda belirtilen durumlarda Kanun hükümleri uygulanma- yacaktır; • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenli- ğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. 17 18 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla iş- lenmesi. • Kişisel verilerin millî savunmayı, millî güvenliği, kamu gü- venliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teş- kil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

venliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teş- kil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. • Kişisel verilerin millî savunmayı, millî güvenliği, kamu gü- venliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve is- tihbari faaliyetler kapsamında işlenmesi. • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 9. Kanun Kapsamındaki Kısmi İstisna Halleri Nelerdir? Kural olarak aşağıda belirtilen haller yalnızca belirli Kanun hükümlerinden istisna tutulmakta olup, bunun dışında kalan Kanun hükümlerine ise tabidirler. Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartıyla Kanunda veri sorum- lusunun aydınlatma yükümlülüğünün düzenlendiği 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarının düzenlendiği 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünün düzenlendiği 16. madde hüküm- 18 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 19 leri, belirtilen faaliyet alanları ile sınırlı olmak üzere uygulan- mamaktadır. Bu kapsamda, Kanunun amacına ve temel ilke- lerine uygun ve orantılı olma şartı ile bazı hükümlerden muaf tutulan haller şunlardır; a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel veri- lerin işlenmesi, c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak

tutulan haller şunlardır; a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel veri- lerin işlenmesi, c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzen- leme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 10. Kişisel Verilerin Korunması Ne Demektir? Kişisel verilerin korunması, kişisel verilerin işlenmesinin disip- lin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacı- 19 20 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU na yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verile- rinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir. 11. Kişisel Veri Nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye iliş- kin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz ede- bilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;

11. Kişisel Veri Nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye iliş- kin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz ede- bilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre; 1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dı- şındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilen- dirilebilecekleri durumlar haricinde) kişisel veri sayılmaya- caktır. 2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili ki- şinin doğrudan kimliğini gösterebileceği gibi, o kişinin kim- liğini doğrudan göstermemekle birlikte, herhangi bir kayıtla 20 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 21 ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar. 3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numara- sı, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunu- lan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının geniş- letilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiri- liyor olması ya da onu tanımlayabilmesidir.

veriler kişisel veri olarak kabul edilmektedir. Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının geniş- letilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiri- liyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek ki- şiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı eks- treleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi raporlar/belgeler/yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir. 21 22 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir. 12. Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir? Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği tak- dirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olma riski taşıyan verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir. 13. Özel Nitelikli Kişisel Veriler Nelerdir?

hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir. 13. Özel Nitelikli Kişisel Veriler Nelerdir? Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi dü- şüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir. 14. Kişisel Sağlık Verisi Nedir? Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler- dir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalık- lar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel 22 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 23 sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabi olmakla birlikte özel nitelikli kişisel verilerin işlenmesinde Kurulca belirlenen yeterli önlemlerin alınması gerekmektedir. 15. İlgili Kişi Kimdir?

sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabi olmakla birlikte özel nitelikli kişisel verilerin işlenmesinde Kurulca belirlenen yeterli önlemlerin alınması gerekmektedir. 15. İlgili Kişi Kimdir? İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmüş, tü- zel kişilerin verileri Kanun kapsamı dışında tutulmuştur. Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belir- lenebilir kılması halinde, bu veriler de Kanun kapsamında ko- ruma altındadır. Ancak, burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenle- memektedir. 16. Kişisel Verilerin İşlenmesi Ne Demektir? Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kıs- men otomatik olan ya da herhangi bir veri kayıt sisteminin par- çası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanıl- masının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. 23 24 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU Örneğin, kişisel verilerin sadece bir hard diskte, CD’de, su- nucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlaya- rak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. 17. Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir?

Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlaya- rak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. 17. Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir? Kanunda, otomatik işlemenin ne olduğu tanımlanmamıştır. Bununla birlikte, gerekçede, Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sek- törü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.” denilerek dolaylı yoldan otomatik işle- menin, bilişim sistemleri üzerinden gerçekleştirilen faaliyetler olduğu belirtilmiştir. Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyacın asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, si- linmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir. Başka bir ifade ile, otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine geti- rilen, yazılım veya donanım özellikleri aracılığıyla önceden ha- 24 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 25 zırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. 18. Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?

24 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 25 zırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. 18. Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir? Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlam- landırmayı kolaylaştıran işleme faaliyetini ifade eder. Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar da, bir “veri kayıt sistemi” aracılığıyla işlendikle- rinde de Kanun hükümlerine tabi olmaktadır. Diğer bir ifade ile Kanun, otomatik olmayan yollarla veri işlenmesini tamamen Kanun kapsamı dışında tutmamakta, otomatik olmayan yolla veri işleme eğer bir veri kayıt sisteminin parçası ise, veri işleme faaliyeti Kanun kapsamında kabul edilmektedir. 19. Veri Kayıt Sistemi Nedir? Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılan- dırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyala- ma sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt siste- minde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyen- lere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Örneğin, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kağıtta 25 26 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kağıda kaydedil- mesi halinde, bu veri kaydı Kanun kapsamında değerlendi- rilmektedir. 20. Açık Rıza Nedir? Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür iradeyle açıklanan rızayı ifade eder. Açık rızanın üç un- suru bulunmaktadır:

mesi halinde, bu veri kaydı Kanun kapsamında değerlendi- rilmektedir. 20. Açık Rıza Nedir? Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür iradeyle açıklanan rızayı ifade eder. Açık rızanın üç un- suru bulunmaktadır: 1. Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyo- rum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun kapsamında açık rıza olarak kabul edilemez. Diğer bir ifade ile battaniye rızalar hukuken geçersizdir. 2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade be- yanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişi- ye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kul- lanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çe- keceği oranda küçük puntolar kullanılmamalıdır. 26 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 27 3. Özgür iradeyle açıklanması: Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olma- sı halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muh- temel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.

vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muh- temel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili ki- şinin açık rızasının alınması, bir ürün veya hizmetin sunulma- sının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağ- lanması, alışveriş yapmak isteyen bir kişinin üye olmasının zorunlu tutulması ve ayrıca üyelik sözleşmesinin kurulması için anne kızlık soyadının zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilke- sine aykırı olacaktır. 21. Açık Rıza Herhangi Bir Şekil Şartına Tabi midir? Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlana- bilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, 27 28 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili ki- şinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükümlülüğü ise veri sorumlusuna aittir. 22. Açık Rıza Geri Alınabilir mi?

rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili ki- şinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükümlülüğü ise veri sorumlusuna aittir. 22. Açık Rıza Geri Alınabilir mi? Açık rıza geri alınabilir. Çünkü bu kişiye sıkı sıkıya bağlı bir hak- tır. Ayrıca kişisel verilerin geleceğini belirleme hakkı ilgili kişiye aittir. Bu bağlamda kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak geri alma işlemi ileriye yönelik sonuç doğurur. Geri alma, beyanın veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır. Geri alma, beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurur. 23. Veri Sorumlusu Kimdir? Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtala- rını belirleyen, veri kayıt sisteminin kurulmasından ve yönetil- mesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. 28 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 29 Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılma- yacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar sürey- le saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.

verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılma- yacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar sürey- le saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır. Burada belirtilmesi gereken diğer bir husus ise, eğer veri iş- leme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin bizzat kendisidir. Tüzel ki- şiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan ger- çek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda kamu hukuku tü- zel kişileri ve özel hukuk tüzel kişileri bakımından da Kanun- da bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır. 29 30 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 30 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 31 24. Veri İşleyen Kimdir?

özel hukuk ve kamu hukukundaki genel hükümler uygulanır. 29 30 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 30 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 31 24. Veri İşleyen Kimdir? Veri işleyen, veri sorumlusu adına kişisel verileri kendisine ve- rilen talimatlar çerçevesinde işleyen ve veri sorumlusu bünyesi dışında olan gerçek veya tüzel kişidir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultu- sunda gerçekleştirmesidir. Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kap- samında veri işleyen olarak kabul edilecektir. 25. Herhangi Bir Gerçek veya Tüzel Kişi Aynı Zamanda Hem Veri Sorumlusu Hem de Veri İşleyen Olabilir mi? Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin ni- teliğine göre ilgili tarafı tanımlamaktadır. Dolayısıyla, herhangi bir gerçek veya tüzel kişi, yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu kişisel veriler bakımından ise veri iş- leyen olarak kabul edilecektir. 26. Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir? 31 32 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

şirketlere ilişkin tuttuğu kişisel veriler bakımından ise veri iş- leyen olarak kabul edilecektir. 26. Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir? 31 32 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yü- kümlülüklerin yerine getirilmesinde veri sorumlusu esas alın- maktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır. 27. Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler Neler- dir? Kişisel verilerin işlenmesinde her zaman Kanunda ortaya ko- nulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır: a. Hukuka ve dürüstlük kurallarına uygun olma. b. Doğru ve gerektiğinde güncel olma. c. Belirli, açık ve meşru amaçlar için işlenme. ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işle- me faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. 32 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 33 28. Hukuka ve Dürüstlük Kurallarına Uygun Olma Ne Demektir? Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenle- melerle getirilen ilkelere uygun hareket edilmesi zorunluluğu- nu ifade etmektedir.

Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenle- melerle getirilen ilkelere uygun hareket edilmesi zorunluluğu- nu ifade etmektedir. Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasını ifade eder. Veri işleme faaliyetinde bu- lunanların, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, özgürlüğünü, onurunu ihlal edecek şekilde veri işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir. Bu kapsamda, dürüstlük ilkesi uyarın- ca, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre işlenebilecek en az miktarda veri işlemeleri (veri minimizasyonu ilkesi), ilgili kişinin öngöre- meyeceği biçimde hareket etmemeleri, ilgili kişinin çıkarlarını ve makul beklentilerini göz önüne almaları gibi davranışları gerektirir. Bu ilkelere uygun hareket edilmeksizin veri işlenmesi dürüst- lük kuralına dolayısıyla hukuka uygun veri işlenmesine aykırı olacaktır. 33 34 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 29. Doğru ve Gerektiğinde Güncel Olma Ne Demektir? Veri, hakkında bilgi vermesi gereken şeyi doğru şekilde an- latabilmelidir. Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlu- sunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir.

önemini vurgulayan bu ilke Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlu- sunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Veri sorumlusu eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç ortaya çıkarıyor ise kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında veri so- rumlusunun aktif özen yükümlülüğü bulunmaktadır. Bunun dı- şında veri sorumlusu her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi mümkün- dür. Örneğin bir kişinin veri sorumlusunun sisteminde kayıtlı telefon numarasının doğru olmaması ya da artık ilgili kişi ta- rafından kullanılmıyor oluşu, o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı sonuçların ortaya çıkmasına neden olabilmektedir. Yine, adres bilgisi yanlış kaydedilen bir kişinin kendisine ait tebligatları zamanında alamaması veya söz ko- nusu tebligatların yanlış bir kişiye tebliğ edilmesi durumunda ilgili kişi maddi ve manevi zarar görebilir. Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynaklar belirli olmalı, kişisel 34 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 35 verilerin toplandığı kaynağın doğruluğu test edilmeli, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır. 30. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi Ne De- mektir? Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık ol- ması ilkesi; • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, • Kişisel veri işleme faaliyetlerinin kanundaki hangi işleme

mektir? Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık ol- ması ilkesi; • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, • Kişisel veri işleme faaliyetlerinin kanundaki hangi işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, • Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleşti- rilme amacının belirliliğini sağlayacak detayda ortaya ko- nulmasını sağlamaktadır. Kişisel veri işleme amaçlarının belirli, açık ve meşru olması ilkesi özellikle açık rıza ve aydınlatma metinlerinin kaleme alınması sırasında; kişisel veri işleme faaliyetlerinin hukuka uygun olarak gerçekleştirildiğinin tespitinin sağlanması nokta- sında önem taşır. Açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, Veri Sorumluları Siciline kayıt) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmesi, anlaşılmayan terminoloji kullanımın- dan kaçınılmasıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir. 35 36 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 37 31. Amacın Meşru Olması Ne Demektir? Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirileme- yecektir. 32. Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi Ne Demektir?

bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirileme- yecektir. 32. Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi Ne Demektir? “Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir. Kişisel veriler işlendikleri amaç- la bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri top- lanmamalıdır. Kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri toplanmamalı ve/ veya iş- lenmemelidir. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalıdır. Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyeti için 37 38 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir. Bunun yanı sıra işlenen veri, sadece veri işleme amacının ger- çekleştirilmesi için gerekli olanla sınırlı tutulmalıdır. Örneğin, bir tekstil firması tarafından müşterilere ilişkin kimlik ya da ile- tişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlar- la bağdaşırken, müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü olduğu söylenemez.

bir tekstil firması tarafından müşterilere ilişkin kimlik ya da ile- tişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlar- la bağdaşırken, müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü olduğu söylenemez. Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için ayrı ayrı değerlendirilmesi gerekmek- tedir. Çünkü belirli bir kişi ve süreç için gerekli olan bilgi, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle özel nitelikli kişisel veriler konusunda dikkat edilmesi gerekir. Bir iş yerinde insan kaynakları birimince çalışanların mali haklarının belirlenebilmesi için sendika üyeliği verisinin alınması ölçülü kabul edilecekken, aynı iş yerinin AR-GE birimince söz konusu verinin alınması ölçülü olarak kabul edilmeyecektir. 33. Kişisel Verilerin Ancak İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi Ne Demektir? Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlen- dikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verile- rin saklanması için öngörülen bir süre varsa bu süreye uyacak, 38 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 39 kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklan- ması için geçerli bir sebep bulunmaması halinde, o veri siline- cek, yok edilecek veya anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir. Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Veri So- rumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.

ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir. Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Veri So- rumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta aza- mi muhafaza edilme süresi öngörülmüşse öngörülen bu süre, yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Burada önemle belirtmek gerekir ki, mevzuat kapsamında ön- görülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşıl- ması durumunda, kişisel verilerin veri sorumlusu tarafından; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Ge- 39 40 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU tirilmesi Hakkında Yönetmeliğe göre silinmesi, yok edilmesi veya anonim hale getirilmesinin temin edilmesi gerekir. 34. Kişisel Verilerin İşlenme Şartları Nelerdir?

39 40 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU tirilmesi Hakkında Yönetmeliğe göre silinmesi, yok edilmesi veya anonim hale getirilmesinin temin edilmesi gerekir. 34. Kişisel Verilerin İşlenme Şartları Nelerdir? Kanunun 5. maddesinde kişisel verilerin işlenme şartları dü- zenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır. Bu çer- çevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin iş- lenmesi için yeterli hukuki şartı oluşturacaktır. Bu şartlar; 1. İlgili kişinin açık rızasının varlığı, 2. Kanunlarda açıkça öngörülmesi, 3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlü- ğünün korunması için zorunlu olması, 4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel ve- rilerin işlenmesinin gerekli olması, 5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebil- mesi için zorunlu olması, 6. İlgili kişinin kendisi tarafından alenileştirilmiş olması, 7. Bir hakkın tesisi, kullanılması veya korunması için veri işle- menin zorunlu olması, 40 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 41 8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri iş- lenmesinin zorunlu olması

menin zorunlu olması, 40 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 41 8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri iş- lenmesinin zorunlu olması olarak sayılmıştır. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez. Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şart- lardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı ni- teliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faali- yetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir. Kişisel Verileri Koruma Kurulunun, kişisel verilerin işlenme şartlarına ilişkin olarak 2018/119 sayılı ilke kararı ile rehberlik hizmeti veren internet sitelerinde / uygulamalarda kişisel veri- lerin korunmasına yönelik 2017/61 sayılı ilke kararı incelenerek konu hakkında bilgi edinilebilir 35. Kişisel Verilerin Aleni Olması Ne Demektir? Herhangi bir şekilde ilgili kişi tarafından kamuoyuna açıklan- mış olan, bir başka ifadeyle ilgili kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına uygun bir 41 42 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

35. Kişisel Verilerin Aleni Olması Ne Demektir? Herhangi bir şekilde ilgili kişi tarafından kamuoyuna açıklan- mış olan, bir başka ifadeyle ilgili kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına uygun bir 41 42 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU şekilde açık rıza aranmaksızın işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bili- nebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Kişisel verinin, aleni kabul edilebilmesi için, ait olduğu kişi- nin aleni olmasını istemesi gerekir. Başka bir ifade ile, aleni- leştirmenin gerçekleştirilebilmesi için alenileştirme iradesi- nin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması, aleni olduğu anlamına gelmez. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapılan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amaçlarıyla kullanılması müm- kün değildir. 36. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması Ne Anlama Gelmektedir? Kanuna göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verilerin işlenebileceği düzenlenmiştir. Veri sorumlusunun meşru men- faati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabi- lecek düzeyde etkin, belirli ve mevcut bir menfaatine ilişkin olmalıdır. Yani veri sorumlusunun meşru menfaati ve ilgili ki- 42 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 43 şinin temel hak ve özgürlükleri arasında makul bir dengenin kurulması gerekmektedir.

lecek düzeyde etkin, belirli ve mevcut bir menfaatine ilişkin olmalıdır. Yani veri sorumlusunun meşru menfaati ve ilgili ki- 42 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 43 şinin temel hak ve özgürlükleri arasında makul bir dengenin kurulması gerekmektedir. Örneğin bir şirket sahibi, çalışanlarının temel hak ve özgür- lüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da iş- letmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verile- rini işleyebilecektir. Burada, işletmenin yeniden yapılandı- rılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru men- faatinedir. Bu şarta dayalı olarak veri işlenebilmesi için, veri sorumlusu- nun meşru menfaatinin bulunması ve ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi gerekmektedir. 37. Veri Sorumlusunun Meşru Menfaatini Tespit Etmek İçin Göz Önünde Bulundurulması Gereken Hususlar Nelerdir? Veri sorumlusunun meşru menfaat şartına dayanması duru- munda bu şartın varlığını tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir: a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır. 43 44 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU b. Menfaatin meşruluğu: Veri işleme şartının varlığından bah- sedebilmek için veri sorumlusunun menfaatinin sadece mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin elde edilmesi mümkün değil- dir. Madde kapsamında kabul edilen meşru menfaat kavra- mı, hali hazırda mevcut olan bir menfaati ifade etmektedir.

mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin elde edilmesi mümkün değil- dir. Madde kapsamında kabul edilen meşru menfaat kavra- mı, hali hazırda mevcut olan bir menfaati ifade etmektedir. c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı: Veri sorum- lusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı bir denge testi uygulanmalıdır. Bu kapsamda ya- pılacak olan ilk değerlendirmede veri sorumlusunun meş- ru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun meşru menfaati ile kişisel ve- rileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır. Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması durumu, maddede yer alan diğer haller uy- gulanamadığı takdirde başvurulacak son çare olmadığı gibi, her 44 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 45 şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlen- mesi faaliyetlerini hukuka uygun kılacak bir unsur da değildir. 38. Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?

44 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 45 şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlen- mesi faaliyetlerini hukuka uygun kılacak bir unsur da değildir. 38. Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir? Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden ola- bilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmek- tedir. Kanun'un 6'ncı maddesi uyarınca özel nitelikli verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlü- ğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileş- tirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yet- kili kurum ve kuruluşlarca, kamu sağlığının korunması, ko- 45 46 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

tirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yet- kili kurum ve kuruluşlarca, kamu sağlığının korunması, ko- 45 46 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU ruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hiz- metler ve sosyal yardım alanlarındaki hukuki yükümlülük- lerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşum- ların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklan- mamak kaydıyla; mevcut veya eski üyelerine ve mensupları- na veyahut bu kuruluş ve oluşumlarla düzenli olarak temas- ta olan kişilere yönelik olması, halinde mümkündür. Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel ve- rilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. 39. Kişisel Verilerin Silinmesi Nedir? Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak 46 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 47

Hale Getirilmesi Hakkında Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak 46 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 47 üzere veri sorumlusu organizasyonu içerisinde veya veri sorum- lusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır. Buna göre ilgili kullanıcı, veri sorumlusu bünyesinde olmakla birlikte verilerin teknik olarak depolanması, korunması ve ye- deklenmesinden sorumlu olan arşiv sorumlusu ve/veya veri tabanı yöneticisi gibi bir kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde yer alan tüm çalışanlar ve birimler ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri tanımlamaktadır. Örneğin bir veri sorumlusu ile bilgi işlem altyapısı iş ve işlem- lerini onun yetki ve talimatları çerçevesinde yerine getirmek üzere anlaşma yapmış olan ve bu konuda çalışan bir firma veri işleyen sayılacaktır. Bu durumda bu veri sorumlusunun veri tabanı yöneticiliği yapan birim ya da personeli bulun- muyorsa tüm çalışanları ilgili kullanıcı olacaktır. Ayrıca veri işleyen firmanın da veri tabanı yöneticisi hariç geri kalan tüm çalışanları da ilgili kullanıcı kavramı içerisinde yer alacaktır. Kişisel verilerin silinmesi ve yok edilmesi arasındaki fark da ilgili kullanıcı kavramına göre şekillenmiştir. 40. Kişisel Verilerin Yok Edilmesi Nedir? Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale geti- 47 48 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

ilgili kullanıcı kavramına göre şekillenmiştir. 40. Kişisel Verilerin Yok Edilmesi Nedir? Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale geti- 47 48 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU rilmesi işlemidir. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır. 41. Kişisel Verilerin Anonim Hale Getirilmesi Nedir? Anonim hale getirme, kişisel verilerin başka verilerle eşleştiril- se dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişki- lendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kim- liğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabi- liyorsa, bu verinin anonim hale getirildiği kabul edilemez. Anonim hale getirilen veri artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümleri kapsamında değerlendi- rilemeyecektir. Veri setleri anonim hale getirilme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip ol- duklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir. 48 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 49 49 50 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 42. Anonim Veri ve Anonim Hale Getirilmiş Veri Arasındaki Fark Nedir?

işlem kişisel verilerin işlenmesi olarak kabul edilmektedir. 48 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 49 49 50 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 42. Anonim Veri ve Anonim Hale Getirilmiş Veri Arasındaki Fark Nedir? Anonim veri başından beri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonim hale getirilmiş veri ise daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir. 43. Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli veya Anonim Hale Getirilmelidir? Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından sili- nir, yok edilir veya anonim hale getirilir. 44. Kişisel Verilerin Yurt İçinde Aktarılması Kanunda Nasıl Dü- zenlenmiştir? Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir. Bununla birlikte, Kanunun 5. ve 6. maddesindeki şartların sağlanma- sı halinde yeterli önlemler alınarak kişisel verilerin açık rıza aranmaksızın yurt içinde aktarılmasına da imkan tanınmıştır. Bu kapsamda; 1. Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından en az birinin bulunması, 2. Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun 6. maddesinin 3. fıkrasında belir- 50 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 51 tilen şartlardan birinin bulunması halinde, ilgili kişinin açık rı- zası aranmaksızın kişisel verilerinin aktarılması mümkündür. 45. Kişisel Verilerin Yurt Dışına Aktarılması Kanunda Nasıl Dü- zenlenmiştir?

50 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 51 tilen şartlardan birinin bulunması halinde, ilgili kişinin açık rı- zası aranmaksızın kişisel verilerinin aktarılması mümkündür. 45. Kişisel Verilerin Yurt Dışına Aktarılması Kanunda Nasıl Dü- zenlenmiştir? Kanun'un 9'uncu maddesinin 1'inci fıkrası uyarınca; 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarı- mın yapılacağı ülke, ülke içerisindeki sektörler veya uluslara- rası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına ak- tarılabilir. Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve ku- ruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygu- laması ile kişisel verilerin aktarılacağı uluslararası kurulu- şun tâbi olduğu kurallar. 51 52 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU e) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuru- luşun tâbi olduğu bağımsız ve etkin bir veri koruma kuru- munun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası ku- ruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuru- luşun, Türkiye’nin üye olduğu küresel veya bölgesel kuru- luşlara üye olma durumu.

ruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuru- luşun, Türkiye’nin üye olduğu küresel veya bölgesel kuru- luşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. Kanun'un 9. maddesinin 9. fıkrası uyarınca; kişisel veriler, ulus- lararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. Kanunun 9 uncu maddesinin on birinci fıkrasında "Bu mad- denin uygulanmasına ilişkin usul ve esaslar yönetmelikle dü- zenlenir" hükmü yer almaktadır. Bu kapsamda Kişisel Verile- rin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete'de yayınlanarak yürürlüğe girmiştir. Ayrıca Kanunun 9 uncu maddesinde sayılan uygun güvence- lerden olan standart sözleşmeler ile Bağlayıcı Şirket Kuralları hakkında Kurumumuz resmî internet sitesinde bir kamuoyu 52 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 53 duyurusu yapılmıştır. Mezkûr duyuruda kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinle- ri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yar- dımcı kılavuzlar kamuoyunun dikkatine sunulmaktadır. 46. Yabancı Ülkede Yeterli Koruma Bulunup Bulunmadığının Belirlenmesinde ve Yeterli Korumanın Bulunmaması Halin- de Verilerin Yurt Dışına Aktarılmasına İzin Verirken Kurul Hangi Kriterleri Dikkate Alacaktır?

dımcı kılavuzlar kamuoyunun dikkatine sunulmaktadır. 46. Yabancı Ülkede Yeterli Koruma Bulunup Bulunmadığının Belirlenmesinde ve Yeterli Korumanın Bulunmaması Halin- de Verilerin Yurt Dışına Aktarılmasına İzin Verirken Kurul Hangi Kriterleri Dikkate Alacaktır? Kanun'un 9'Uncu maddesinin 4'üncü fıkrası uyarınca; Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kay- dıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafın- dan yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında ya- pılan uluslararası sözleşme niteliğinde olmayan anlaşma- nın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünye- sindeki şirketlerin uymakla yükümlü oldukları, kişisel ve- 53 54 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

nın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünye- sindeki şirketlerin uymakla yükümlü oldukları, kişisel ve- 53 54 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU rilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarı- mının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. Kanun'un 9'uncu maddesinin 5'inci fıkrası uyarınca; Standart sözleşme, imzalanmasından itibaren beş iş günü için- de veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir. Söz konusu bildirim yükümlülüğünü yerine getirmeyenler hak- kında, Kanun'un 18'inci maddesi uyarınca, 50.000 Türk lirasın- dan 1.000.000 Türk lirasına kadar idari para cezası verilir. Kanun'un 9'uncu maddesinin 6'ncı fıkrası uyarınca; Veri sorumluları ve veri işleyenler, yeterlilik kararının bulun- maması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kay- dıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. 54 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 55 b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleş- menin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

54 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 55 b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleş- menin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir ger- çek veya tüzel kişi arasında yapılacak bir sözleşmenin ku- rulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durum- da bulunan veya rızasına hukuki geçerlilik tanınmayan ki- şinin kendisinin ya da bir başkasının hayatı veya beden bü- tünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartla- rın sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluş- larının kamu hukukuna tâbi faaliyetlerine uygulanmaz. Not: Kişisel Verileri Koruma Kurulunun 02/05/2019 tarihli ve 2019/125 sayılı Kararı ile, yeterli korumaya sahip ülkelerin be- lirlenmesinde esas alınacak kriterlere ilişkin form hazırlanarak Kurumun internet sayfasında yayımlanmıştır. 55 56 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 56 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 57 47. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir?

Kurumun internet sayfasında yayımlanmıştır. 55 56 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 56 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 57 47. Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir? Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yüküm- lülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları ko- nusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına ya da isteğine bağlı değildir. Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri So- rumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlülüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir. Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir. Yani her durum ve şartta, her amaç için ayrı ayrı aydınlatma yükümlü- lüğünün yerine getirilmesi gerekmektedir. 57 58 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 48. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var mıdır?

durum ve şartta, her amaç için ayrı ayrı aydınlatma yükümlü- lüğünün yerine getirilmesi gerekmektedir. 57 58 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 48. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var mıdır? Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir. 49. İlgili Kişinin Hakları Nelerdir? Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a. Kişisel verilerinin işlenip işlenmediğini öğrenme, b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçün- cü kişileri bilme, d. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde ki- şisel verilerin silinmesini veya yok edilmesini isteme, f. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla 58 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 59 analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonu- cun ortaya çıkmasına itiraz etme, ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. 50. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?

cun ortaya çıkmasına itiraz etme, ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. 50. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir? Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenme- sini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Not: Veri sorumlularının alması gereken teknik ve idari tedbir- ler konusunda veri sorumlularına rehberlik etmek amacıyla “Kişisel Veri Güvenliği Rehberi” hazırlanmış olup bu rehbere, Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden “Ya- yınlar” bölümündeki “Rehberler” adımından ulaşılabilir. Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hüküm- lerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri Kanun hüküm- lerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmala- rından sonra da devam eder. Öte yandan, veri sorumluları için 59 60 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU düzenlenen sır saklama yükümlülüğü Kanun ile veri işleyenler için de getirilmiştir. Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilir.

verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilir. Not: Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında; Kanunun 12. maddesinin beşinci fıkra- sının “İşlenen kişisel verilerin kanuni olmayan yollarla başka- ları tarafından elde edilmesi hâlinde, veri sorumlusu bu duru- mu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği ta- rihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine karar verildiği belirtilmiştir. 51. Kişisel Verilerin Veri Sorumlusu Adına Başka Bir Gerçek veya Tüzel Kişi Tarafından İşlenmesi Durumunda Veri Gü- venliğine İlişkin Olarak Veri Sorumlusunun Sorumluluğu Nasıl Düzenlenmiştir? Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi ta- rafından işlenmesi durumunda, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için 60 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 61 uygun güvenlik düzeyini temin etmeye yönelik gerekli her tür- lü teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü al- tındadır. 52. Kişisel Verilerin Korunması Kapsamındaki Başvurular Kime Yapılır?

lü teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü al- tındadır. 52. Kişisel Verilerin Korunması Kapsamındaki Başvurular Kime Yapılır? Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu dü- zenlenmiştir. Buna göre, ilgili kişilerin Kanunun uygulanma- sıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanunun 14. maddesi gereği; Veri sorumlusuna başvuru yolu tüketilmeden Kurula şikayet yoluna gidilemez. 53. Veri Sorumlusuna Başvuru Yolu İçin Herhangi Bir Şart Bu- lunmakta mıdır? Veri sorumlusuna yapılacak başvurularda uyulması gereken usul ve esaslar Kanunun 13. maddesinde belirlenmiştir. Ayrıca bu maddeye istinaden Kurul tarafından hazırlanarak 10.03.2018 tarihli Resmi Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile veri sorumlusuna yapılacak başvurulara ilişkin yöntemler belirlenmiştir. Buna göre ilgili kişinin, Kanunun uygulanmasıyla ilgili talep- lerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından 61 62 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullan- mak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletmesi üzerine, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. 54. Veri Sorumlusuna Başvuru İçin Herhangi Bir Ücret Öngö- rülmüş müdür?

üzerine, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. 54. Veri Sorumlusuna Başvuru İçin Herhangi Bir Ücret Öngö- rülmüş müdür? Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Buna göre, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınmaz. On sayfanın üzerin- deki her sayfa için 1 Türk Lirası başvuru ücreti alınabilir. Öte yandan, başvurunun cevabının bir kayıt ortamında verilme- si halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez. Başvurunun veri sorum- lusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir. 55. Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Ye- rine Getirir? Veri sorumlusunun ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde kabul veya gerekçesi- 62 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 63 ni açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekmektedir. 56. Veri Sorumlusu İlgili Kişinin Talebi Üzerine Neler Yapabilir? Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusu tarafından gereği yerine getirilir. 57. Veri Sorumlusu Cevabını İlgili Kişiye Nasıl Bildirir? Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik or- tamda bildirir. 58. Kurula Şikâyet Hangi Süre İçinde Yapılmalıdır?

reddeder. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusu tarafından gereği yerine getirilir. 57. Veri Sorumlusu Cevabını İlgili Kişiye Nasıl Bildirir? Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik or- tamda bildirir. 58. Kurula Şikâyet Hangi Süre İçinde Yapılmalıdır? İlgili kişinin veri sorumlusuna yaptığı başvurunun reddedilme- si veya veri sorumlusunca verilen cevabın ilgili kişi tarafından yetersiz bulunması durumunda ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün, her halde veri so- rumlusuna başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. Veri sorumlusu tarafından başvuruya ce- vap verilmemesi durumunda ise; başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. Veri sorumlusu tara- fından başvuruya cevap verilmemesi durumunda ise; başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. Not: Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile; 63 64 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorum- lusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği, • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre geçtikten sonra bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı bekle- mekle yükümlü olmadığı ve veri sorumlusuna tanınan süre- nin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusu- na başvurduğu tarihten itibaren 60 gün içinde Kurula şikâ- yette bulunabileceği hükme bağlanmıştır.

nin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusu- na başvurduğu tarihten itibaren 60 gün içinde Kurula şikâ- yette bulunabileceği hükme bağlanmıştır. 59. Doğrudan Kurula Şikâyet Yoluna Gidilebilir mi? Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, Kurula şikâyette bulunabilir. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. Bu kapsamda, il- gili kişilerin Kanunun uygulanması ile ilgili taleplerini öncelikle 64 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 65 veri sorumlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez. 60. Kurula Şikâyet Yoluna Gitmenin Bir Ön Şartı Var mıdır? Kişisel verilerin korunması ile ilgili taleplerde öncelikle veri so- rumlusuna başvuru yapılması zorunlu olup, bu yol tüketilme- den şikâyet yoluna gidilemez. Böylece uyuşmazlıkların belirli bir kısmının veri sorumluları tarafından giderilmesi amaçlan- maktadır. Dolayısıyla başvuru yoluna gitmek zorunlu, şikâyet yoluna gitmek ise ihtiyaridir. 61. Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda Yargı Yoluna Gidilebilir mi? Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise isteğe bağlı olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette buluna- bilmesi, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna gidebilmesi mümkündür. 62. İlgili Kişinin Tazminat Davası Açma Hakkı Var mıdır? Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler yargı yoluna gidebi- lirler. 63. Kurulun Resen İnceleme Yetkisi Var mıdır?

yoluna gidebilmesi mümkündür. 62. İlgili Kişinin Tazminat Davası Açma Hakkı Var mıdır? Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler yargı yoluna gidebi- lirler. 63. Kurulun Resen İnceleme Yetkisi Var mıdır? Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapa- 65 66 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU bilir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konu- suna münhasır olacaktır. 64. Kurula Şikâyet İçin Herhangi Bir Şart Öngörülmüş müdür? İhbar ve şikayetlerin, işleme konulabilmesi için 3071 sayılı Di- lekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen hükümlere uygun olarak Kuruma sunulması gerek- mektedir. Bu şartları taşımayan ihbar ve şikâyetler incelemeye alınmamaktadır. İlgili kişilerin haklarını kullanma konusunda veri sorumlusuna başvuru yapmadan şikâyette bulunmaları mümkün değildir. Bu nedenle Kurula şikâyette bulunmanın ön şartlarından birisi de veri sorumlusuna başvuru yapmak olarak kabul edilmektedir. 65. Veri sorumlusunun Hangi Süre İçerisinde Kurula Cevap Ver- mesi Gerekir? Veri sorumlusu talep edilen bilgi ve belgeleri Kurula on beş gün içinde göndermek zorundadır. 66. Kurul Her Türlü Belgeyi Veri Sorumlusundan İsteyebilir mi? Veri sorumluları, devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri Kurula göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. 67. Kurul Hangi Süre İçinde İlgili Kişiye Cevap Vermelidir? Kurulun, altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür. 66 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 67 68. Kurul Öngörülen Süre İçinde İlgili Kişiye Cevap Vermezse Ne Olur?

Kurulun, altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür. 66 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 67 68. Kurul Öngörülen Süre İçinde İlgili Kişiye Cevap Vermezse Ne Olur? Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda şikâyet tarihinden itibaren altmış gün içinde ilgiliye bir cevap verilmezse söz konusu talebin reddedilmiş sayılacağı hükme bağlanmıştır. 69. Kurulun İhlale İlişkin Kararları Kim Tarafından Hangi Süre İçinde Yerine Getirilir? Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırı- lıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. 70. Kurul İlke Kararı Alabilir mi? Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihla- lin yaygın olduğunun tespit edilmesi hâlinde, ilgili kurum ve kuruluşların da görüşlerini alarak Kurul bu konuda ilke kararı alır ve yayımlar. 71. Kurulun Veri İşlenmesini Durdurma Yetkisi Var mıdır? Kanunda telafisi güç veya imkânsız zararların doğması ve açık- ça hukuka aykırılık olması hâlinde, Kurula veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır. 67 68 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 68 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 69 72. Veri Sorumluları Sicili Nedir? Veri Sorumluları Sicili, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. Veri Sorumlu- ları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Baş- kanlık tarafından kamuya açık olarak tutulan sicildir. 73. Veri Sorumluları Siciline Kayıt Ne Zaman Başlar?

gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. Veri Sorumlu- ları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Baş- kanlık tarafından kamuya açık olarak tutulan sicildir. 73. Veri Sorumluları Siciline Kayıt Ne Zaman Başlar? Kanunun Geçici 1. maddesinde, Kanunun yürürlüğe girmesi akabinde veri sorumlularınca yerine getirilecek hususlar be- lirlenmiştir. Anılan maddenin 2. fıkrasında, “Veri sorumluları, Kurul tara- fından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Bu kapsamda Kişisel Verileri Koruma Kurulunca kayıt yükümlü- lüğü için başlangıç tarihleri belirlenmiş olup, söz konusu ta- rihlerin Kurulun 19/07/2018 tarihli ve 2018/88 sayılı Kararıyla belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlamıştır. 11/03/2021 tarihli ve 2021/238 sayılı Kişisel Verileri Koruma Kurulu kararıyla ise Veri Sorumluları Si- ciline kayıt süreleri uzatılmıştır. Anılan karar Kurumun internet sitesinde ve 16/03/2021 tarihli ve 31425 sayılı Resmî Gazete'de yayınlanmıştır. 69 70 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU Kişisel Verileri Koruma Kurulunca 6698 Sayılı Kanunun Geçici 1. maddesine göre ilan edilen Veri Sorumluları Siciline kayıt tarihleri Veri Sorumluları Kayıt Kayıt için yükümlülüğü son tarih başlangıç tarihi Yıllık çalışan sayısı 50’den 01.10.2018 31.12.2021 çok veya yıllık mali bilanço 1 toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları 2 Yurt dışında yerleşik gerçek ve 01.10.2018 31.12.2021 tüzel kişi veri sorumluları Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 3 25 milyon TL’den az olup ana 01.01.2019 31.12.2021 faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları

tüzel kişi veri sorumluları Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 3 25 milyon TL’den az olup ana 01.01.2019 31.12.2021 faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 4 Kamu kurum ve kuruluşu veri 01.04.2019 31.12.2021 sorumluları Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumlu- ları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır. 74. Veri Sorumluları Siciline Kimler Kayıt Olmalıdır? Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye baş- lamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin ka- nundan kaynaklanması veya üçüncü kişilere aktarılma durumu 70 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 71 gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zo- runluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddesin- de belirtilen faaliyetlerle sınırlı olmak üzere, veri sorumluları- nın sicile kayıt yükümlülüğü bulunmamaktadır. 75. Türkiye’de Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırır? Türkiye’de yerleşik olmayan veri sorumluları, kişisel veri işle- meye başlamadan önce veri sorumlusu temsilcisi marifetiyle Veri Sorumluları Siciline kaydolmak zorundadır. Veri sorumlusu temsilcisi, Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları Sicili Hakkında Yönetmelikte belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade etmektedir. Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim; Tür- kiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi vasıtasıyla gerçekleştirilir.

tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade etmektedir. Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim; Tür- kiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi vasıtasıyla gerçekleştirilir. 76. Veri Sorumluları Siciline Kayıt Olma Yükümlülüğünün İs- tisnası Var mıdır? Kural olarak, tüm veri sorumlularının Veri Sorumluları Sicili- ne kaydolmaları gerekmektedir. Bununla birlikte, Kanunun 16. maddesinde Kurula, Sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Buna istinaden Kurul tarafından söz konu- 71 72 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU su kriterler belirlenmiş ve 30.12.2017 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte bu kriterler sayılmıştır. Söz konusu kriterler; kişisel verinin nite- liği, kişisel verinin sayısı, kişisel verinin işlenme amacı, kişisel verinin işlendiği faaliyet alanı, kişisel verinin üçüncü kişilere aktarılma durumu, kişisel veri işleme faaliyetinin kanunlardan kaynaklanması, kişisel verilerin muhafaza edilmesi süresi, veri konusu kişi grubu veya veri kategorileri ile veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi olarak belirlenmiştir. Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Not: Kanunun 16.maddesi 2.fıkrasının verdiği yetkiye dayana- rak Kişisel Verileri Koruma Kurulunca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiş olup söz konusu istisna getiren Kurul kararları 15.05.2018 ve 18.08.2018 tarihli Resmi Gazetelerde yayımlanmıştır. 72 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 73 Kişisel Verileri Koruma Kurulunca 6698 sayılı Kanunun 16 ncı maddesine göre Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları

Resmi Gazetelerde yayımlanmıştır. 72 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 73 Kişisel Verileri Koruma Kurulunca 6698 sayılı Kanunun 16 ncı maddesine göre Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları Veri Sorumluları Kurul Kararı Tarihi Resmi Sayısı Gazete’de Yayım Tarihi Herhangi bir veri kayıt sisteminin parçası 1 olmak kaydıyla yalnızca 02.04.2018 2018/32 15.05.2018 otomatik olmayan yollarla kişisel veri işleyenler 1512 sayılı Noterlik 2 Kanunu uyarınca 02.04.2018 2018/32 15.05.2018 faaliyet gösteren noterler 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanuna göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa 3 göre kurulmuş 02.04.2018 2018/32 15.05.2018 sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler 2820 sayılı Siyasi 2018/32 15.05.2018 4 Partiler Kanununa göre 02.04.2018 kurulmuş siyasi partiler 73 74 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 1136 sayılı Avukatlık 5 Kanunu uyarınca 02.04.2018 2018/32 15.05.2018 faaliyet gösteren avukatlar 3568 sayılı Serbest 02.04.2018 2018/32 15.05.2018 Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu 6 uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler 4458 sayılı Gümrük Kanunu uyarınca 7 faaliyet gösteren 28.06.2018 2018/68 18.08.2018 Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri 8 Arabulucular 05.07.2018 2018/75 18.08.2018

Müşavirler ve Yeminli Mali Müşavirler 4458 sayılı Gümrük Kanunu uyarınca 7 faaliyet gösteren 28.06.2018 2018/68 18.08.2018 Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri 8 Arabulucular 05.07.2018 2018/75 18.08.2018 Yıllık çalışan sayısı 19.07.2018 2018/87 18.08.2018 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olan 9 gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar 10 Köy Tüzel Kişilikleri 14.12.2023 2023/2135 12.01.2024 74 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 75 77. Veri Sorumluları Siciline Bildirim Hangi Unsurları İçerir? Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir: a. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgi- leri, b. Kişisel verilerin hangi amaçla işleneceği, c. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri ka- tegorileri hakkındaki açıklamalar, ç. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, d. Yabancı ülkelere aktarımı öngörülen kişisel veriler, e. Kişisel veri güvenliğine ilişkin alınan tedbirler, f. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. 78. Veri Sorumluları Sicilinin Kamuya Açık Olması Ne Demektir? Kişisel verisi işlenen gerçek kişilerce verileri üzerinde kont- rolün sağlanabilmesi, kişisel verilerini işlediği gerçek kişilere her zaman hesap verebilir olması ve şeffaflık ilkeleri gereği VERBİS’e girilen bilgilerin görüntülenebilmesi ve varsa ihlalin tespiti için Kanun, kamuya açıklık ilkesini benimsemiştir. Örneğin bir kişi, bir veri sorumlusu tarafından kendisiyle ilgili kişisel verinin Kanunumuzda sayılan şartlar olmadığı halde işlendiğini düşünüyorsa bu durumda www.kvkk.gov. tr adresinde, VERBİS ana sayfa içerisindeki “Sicil Sorgula- ma” bölümünden bunu görüntüleyebilecektir. Bunun için, 75 76 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU

halde işlendiğini düşünüyorsa bu durumda www.kvkk.gov. tr adresinde, VERBİS ana sayfa içerisindeki “Sicil Sorgula- ma” bölümünden bunu görüntüleyebilecektir. Bunun için, 75 76 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU veri sorumlusunun ad/unvan bilgisini sisteme girmeli, eğer veri sorumlusu VERBİS’e kayıt olmuşsaburadan söz konusu kişisel veri kategorisini işleyip işlemediğini, işleme amacını, saklama süresini, aktarıma ilişkin hususları ve aldığı güven- lik tedbirlerini görebilecektir. Veri sorumlusu bu kategoride bir veri işlediğini belirtmemişse veya işlendiği belirtilen veri kategorisinin işleme amacıyla ör- tüşmediğini düşünüyorsa bu durumda önce veri sorumlusuna başvuracak, veri sorumlusunun vereceği cevaba göre de gerek duyması halinde Kurulumuza şikâyet başvurusunda bulunu- labilecektir. Bu kontrol mekanizması sayesinde, veri sorumlularının geli- şigüzel veri işlemesinin önüne geçilmesi ve sadece Kanunda belirtilen işleme şartları mevcut olan kategorik bazda kişisel verilerin işlenmesi sağlanmış olacaktır. Bu da, VERBİS’in şeffaf- lık ve hesap verebilirlik anlamında iki önemli özelliği ön plana çıkarmaktadır. 79. Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar Konusun- da Kişisel Verilerin Korunması Kanunu Nasıl Bir Düzenleme Öngörmektedir? Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenle- rin ise Türk Ceza Kanununun 138. maddesine göre cezalandırı- lacağı hüküm altına alınmıştır. 76 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 77 80. Kişisel Verilerin Korunması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür?

rin ise Türk Ceza Kanununun 138. maddesine göre cezalandırı- lacağı hüküm altına alınmıştır. 76 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 77 80. Kişisel Verilerin Korunması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür? Kanunda öngörülen yükümlülüklere aykırı davranılması halin- de uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlü- lüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır. Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir. 81. Kurul Kimler Hakkında İdari Yaptırım Kararı Verebilir? İdari para cezaları; aydınlatma ve veri güvenliğine ilişkin yü- kümlülüğünü ve Kurul tarafından verilen kararları yerine ge- tirmeyen, Veri Sorumluları Siciline kayıt yükümlülüğüne aykı- rı hareket eden veri sorumluları ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları ve veri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Kabahat kapsamında sayı- lan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halin- de, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. 77 78 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 82. Kişisel Verileri Koruma Kurumunun Hukuki Statüsü Nedir? Kişisel Verileri Koruma Kurumu, idari ve mali özerkliğe sahip, kamu tüzel kişiliğini haizdir. 83. Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu Kanunda Nasıl Düzenlenmiştir?

82. Kişisel Verileri Koruma Kurumunun Hukuki Statüsü Nedir? Kişisel Verileri Koruma Kurumu, idari ve mali özerkliğe sahip, kamu tüzel kişiliğini haizdir. 83. Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu Kanunda Nasıl Düzenlenmiştir? Kanunda Kurumun Cumhurbaşkanının görevlendireceği bakan ile ilişkili olduğu ve merkezinin Ankara’da olduğu hüküm altına alınmıştır. Bu kapsamda Kurum, Adalet Bakanlığı ile ilişkilen- dirilmiştir. 84. Kurumun Görevleri Nelerdir? Kişisel Verileri Koruma Kurumunun başlıca görevleri şunlardır: a. Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişme- leri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak, b. İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak, c. Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve de- ğerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak, ç. Yıllık faaliyet raporunu Cumhurbaşkanlığına ve Türkiye Bü- yük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunmak, d. Kanunlarla verilen diğer görevleri yerine getirmek. 78 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 79 85. Kurul Kaç Kişiden Oluşur ve Kurul Üyeleri Nasıl Seçilir? Kurul dokuz üyeden oluşur, beş üye Türkiye Büyük Millet Mec- lisi, dört üye Cumhurbaşkanı tarafından seçilir. 86. Kurul Üyeliğine Seçilebilmek İçin Hangi Şartlar Aranır?

85. Kurul Kaç Kişiden Oluşur ve Kurul Üyeleri Nasıl Seçilir? Kurul dokuz üyeden oluşur, beş üye Türkiye Büyük Millet Mec- lisi, dört üye Cumhurbaşkanı tarafından seçilir. 86. Kurul Üyeliğine Seçilebilmek İçin Hangi Şartlar Aranır? Kurula üye olabilmek için; Kurumun görev alanındaki konu- larda bilgi ve deneyim sahibi olmak, Devlet memuru olmaya ilişkin genel şartları taşımak, herhangi bir siyasi parti üyesi olmamak, en az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak ve kamu kurum ve kuruluşlarında, uluslararası kuruluşlarda, sivil toplum kuruluşlarında veya kamu kurumu niteliğindeki meslek kuruluşlarında ya da özel sektörde top- lamda en az on yıl çalışmış olmak gerekmektedir. 87. Kurul Başkanı ve İkinci Başkan Nasıl Seçilir? Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer. Kuru- lun Başkanı, Kurumun da başkanıdır. 88. Kurul Üyelerinin Görev Süresi Kaç Yıldır? Kurul üyelerinin görev süresi dört yıldır. Süresi biten üye ye- niden seçilebilir. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlar. 79 80 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 89. Kurul Üyeleri Nasıl ve Nerede Yemin Ederler? Kurul Üyeleri, Yargıtay Birinci Başkanlık Kurulu huzurunda; “Görevimi Anayasaya ve kanunlara uygun olarak, tam bir ta- rafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim.” şek- linde yemin ederler. 90. Kurul Üyeleri Başka Bir Görev Yapabilirler mi?

“Görevimi Anayasaya ve kanunlara uygun olarak, tam bir ta- rafsızlık, dürüstlük, hakkaniyet ve adalet anlayışı içinde yerine getireceğime, namusum ve şerefim üzerine yemin ederim.” şek- linde yemin ederler. 90. Kurul Üyeleri Başka Bir Görev Yapabilirler mi? Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmî görevlerinin yürütülmesi dışında resmî veya özel hiçbir görev alamaz, dernek, vakıf, kooperatif ve benzeri yerlerde yönetici- lik yapamaz, ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz, hakemlik ve bilirkişilik yapamazlar. Ancak, Kurul üyeleri, asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan do- ğacak telif hakları ile ders ve konferans ücretlerini alabilirler. 91. Kurul Üyelerinin Görevine Son Verilebilir mi? Kurul üyelerinin süreleri dolmadan herhangi bir nedenle gö- revlerine son verilemez. Kurul üyelerinin; seçilmek için gere- ken şartları taşımadıklarının sonradan anlaşılması, görevleriy- le ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet kararının kesinleşmesi, görevlerini yerine geti- remeyeceklerinin sağlık kurulu raporuyla kesin olarak tespit edilmesi, görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş gün ya da bir yılda toplam otuz gün süreyle devam etme- 80 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 81 diklerinin tespit edilmesi ve bir ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına katılmadıklarının tespit edilmesi hâllerinde Kurul kararıyla üyelikleri sona erer. 92. Kurulun Görevleri Nelerdir? Kurulun görev ve yetkileri şunlardır: 1. Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, 2. Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, 3. Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda

Kurulun görev ve yetkileri şunlardır: 1. Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, 2. Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, 3. Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanun- lara uygun olarak işlenip işlenmediğini incelemek ve gerek- tiğinde bu konuda geçici önlemler almak, 4. Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, 5. Veri Sorumluları Sicilinin tutulmasını sağlamak, 6. Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, 7. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak, 8. Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumlu- luklarına ilişkin düzenleyici işlem yapmak, 81 82 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 9. Bu Kanunda öngörülen idari yaptırımlara karar vermek, 10. Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek, 11. Kurumun; stratejik planını karara bağlamak, amaç ve hedef- lerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek, 12. Kurumun stratejik planı ile amaç ve hedeflerine uygun ola- rak hazırlanan bütçe teklifini görüşmek ve karara bağlamak, 13. Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak, 14. Taşınmaz alımı, satımı ve kiralanması konularındaki öneri- leri görüşüp karara bağlamak, 15. Kanunlarla verilen diğer görevleri yerine getirmek, 16. Kurulun Çalışma Usul ve Esasları Hakkında Yönetmelikte verilen diğer görevleri yerine getirmek. 93. Kurulun Çalışma Esasları Nasıldır?

14. Taşınmaz alımı, satımı ve kiralanması konularındaki öneri- leri görüşüp karara bağlamak, 15. Kanunlarla verilen diğer görevleri yerine getirmek, 16. Kurulun Çalışma Usul ve Esasları Hakkında Yönetmelikte verilen diğer görevleri yerine getirmek. 93. Kurulun Çalışma Esasları Nasıldır? Kurulun toplantı günlerini ve gündemini Başkan belirler. Baş- kan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir. Kurul, başkan dâhil en az altı üye ile toplanır ve üye tam sayısı- nın salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kul- 82 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 83 lanamaz. Kurul üyelerinin kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılmaları yasaklanmıştır. Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur. Aksi kararlaştırılmadıkça, Kurul toplantılarındaki gö- rüşmeler gizlidir. 94. Kurul Üyelerinin Sır Saklama Yükümlülüğü Var mıdır? Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mer- cilerden başkasına açıklayamazlar ve kendi yararlarına kulla- namazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. 95. Başkanın Statüsü Nasıldır?

ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mer- cilerden başkasına açıklayamazlar ve kendi yararlarına kulla- namazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. 95. Başkanın Statüsü Nasıldır? Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar. Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu so- rumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar. 83 84 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 96. Başkanın Görevleri Nelerdir? Başkanın görevleri şunlardır: 1. Kurul toplantılarını idare etmek, 2. Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek, 3. Başkan Yardımcısını, daire başkanlarını ve Kurum persone- lini atamak, 4. Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak, 5. Stratejik planın uygulanmasını sağlamak, hizmet kalite stan- dartları doğrultusunda insan kaynakları ve çalışma politi- kalarını oluşturmak, 6. Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak, 7. Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağ- lamak, 8. Kurumun diğer kuruluşlarla ilişkilerini yürütmek, 9. Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek, 10. Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek. 84 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 85 97. Başkanlığın Oluşumu Nasıldır?

9. Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek, 10. Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek. 84 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 85 97. Başkanlığın Oluşumu Nasıldır? Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile sekretar- ya hizmetlerini yerine getirir. Başkanlık; Başkana bağlı, Başkan Yardımcısı ve Hizmet Birimlerinden oluşur. Kanunda Başkan Yardımcısı ve Daire Başkanlarının nitelikleri ve atanma usulü ile Başkanlığın görevleri ayrıntılı olarak düzenlenmiştir. Hizmet birimleri ile bu birimlerin çalışma usul ve esasları Kişisel Ve- rileri Koruma Kurumu Teşkilat Yönetmeliği ile düzenlenmiştir. 98. Başkanlığın Görevleri Nelerdir? Başkanlığın görevleri şunlardır: 1. Veri Sorumluları Sicilini tutmak, 2. Kurumun ve Kurulun büro ve sekretarya işlemlerini yürüt- mek, 3. Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek, 4. Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek, 5. Kanunlarla mali hizmet ve strateji geliştirme birimlerine ve- rilen görevleri yapmak, 6. Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sis- teminin kurulmasını ve kullanılmasını sağlamak, 7. Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan ko- nularda rapor taslaklarını hazırlamak ve Kurula sunmak, 85 86 | 100 SORUDA KİŞİSEL VERİLERİN KORUMA KANUNU 8. Kurumun stratejik plan taslağını hazırlamak, 9. Kurumun personel politikasını belirlemek, personelin kari- yer ve eğitim planlarını hazırlamak ve uygulamak, 10. Personelin atama, nakil, disiplin, performans, terfi, emek- lilik ve benzeri işlemlerini yürütmek, 11. Personelin uyacağı etik kuralları belirlemek ve gerekli eği- timi vermek, 12. 10.12.2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kont-

yer ve eğitim planlarını hazırlamak ve uygulamak, 10. Personelin atama, nakil, disiplin, performans, terfi, emek- lilik ve benzeri işlemlerini yürütmek, 11. Personelin uyacağı etik kuralları belirlemek ve gerekli eği- timi vermek, 12. 10.12.2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kont- rol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek, 13. Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak, 14. Kurul veya Başkan tarafından verilen diğer görevleri yapmak. 99. Kurumun Bütçesi ve Gelirleri Nelerdir? Kurumun bütçesi, 5018 sayılı Kanunda belirlenen usul ve esas- lara göre hazırlanır ve kabul edilir. Kurumun gelirleri; genel bütçeden yapılacak hazine yardımları, Kuruma ait taşınır ve taşınmazlardan elde edilen gelirler, alınan bağış ve yardımlar, gelirlerinin değerlendirilmesinden elde edilen gelirler ve diğer gelirlerden oluşur. 86 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU | 87 100. Kanunun Yayımından Önce İşlenmiş Kişisel Veriler İçin Bir Geçiş Süresi Var mıdır? Kanunun Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlen- miş kişisel verilerin durumu düzenlenmiştir. Buna göre, Ka- nunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, Kanunun yayımı tarihinden itibaren iki yıl içinde Kanun hü- kümlerine uygun hâle getirilmesi gerekmektedir. Bu süreç içe- risinde, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun ola- rak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, bu Kanuna uygun kabul edilir. 87 88 89 Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu