Yeni - 6698 Sayılı Kanun'da Yer Alan Temel Kavramlar

KANUNDA YER ALAN TEMEL KAVRAMLAR -- 1 of 34 -- 6698 SAYILI KANUNDA YER ALAN KAVRAMLAR KVKK Yayınları No: 97 Haziran 2025, Ankara KİŞİSEL VERİLERİ KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr -- 2 of 34 -- “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu -- 3 of 34 -- -- 4 of 34 -- 6698 SAYILI KANUN’DA YER ALAN TEMEL KAVRAMLAR 1. Açık Rıza 6698 sayılı Kanun’un yürürlüğe girmesi sonrasın- da, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan biri de “açık rıza” kavramıdır. 6698 sayılı Kanun’un 3. maddesinde açık rıza; “Belirli bir konuya ilişkin, bilgilendiril- meye dayanan ve özgür iradeyle açıklanan rıza.” şeklinde tanımlanmıştır. Ayrıca Anayasa’nın 20. maddesinin 3. fıkrasında, ki- şisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm al- tına alınmıştır. Açık rıza, 6698 sayılı Kanun’da hem özel nitelikli kişisel verilerin hem de özel nitelikli olmayan kişisel verilerin işlenmesi bakımından söz konusu olan hukuka uygunluk sebeplerinden bir tanesidir. -- 5 of 34 --

veya kişinin açık rızasıyla işlenebileceği hüküm al- tına alınmıştır. Açık rıza, 6698 sayılı Kanun’da hem özel nitelikli kişisel verilerin hem de özel nitelikli olmayan kişisel verilerin işlenmesi bakımından söz konusu olan hukuka uygunluk sebeplerinden bir tanesidir. -- 5 of 34 -- 6 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR Buna göre sırasıyla 6698 sayılı Kanun’un; • 5. maddesinin 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, • 6. maddesinin 3. fıkrasında “Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması”, • 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.”, • 9. maddesinin 6. fıkrasının (a) bendinde; “İlgili kişinin, muhtemel riskler hakkında bilgilendiril- mesi kaydıyla, aktarıma açık rıza vermesi” düzenlemeleri yer almaktadır. Açık rıza, uluslararası metinlerde de kendine yer bulan önemli bir kavramdır. Bununla birlikte GDPR’da rıza ve açık rıza kavramlarının her ikisi de yer almakta ancak sadece rıza kavramının tanımı verilmektedir. GDPR’a göre rıza; bir beyan veya olumlayıcı eylem şeklinde ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine mutabık kaldığını -- 6 of 34 --

GDPR’da rıza ve açık rıza kavramlarının her ikisi de yer almakta ancak sadece rıza kavramının tanımı verilmektedir. GDPR’a göre rıza; bir beyan veya olumlayıcı eylem şeklinde ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine mutabık kaldığını -- 6 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 7 gösteren özgürce verilmiş, konuya özel, bilgilendi- rilmiş ve ilgili kişinin isteklerinin belirsizlik içer- meyen bir ifadesi olarak tanımlanmıştır. GDPR’da kişisel verilerin işlenmesi için rıza alınması aranır- ken özel nitelikli kişisel verilerin işlenmesi için açık rızaya ihtiyaç duyulmaktadır. 6698 sayılı Kanun’da ise hem kişisel verilerin hem de özel nitelikli kişi- sel verilerin işlenmesi için açık rıza alınması kişisel veri işleme şartları arasında sayılmaktadır. 6698 sayılı Kanun çerçevesinde açık rıza, kişinin kişisel verisinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza açıklamasının bir diğer önemi de; kişisel veri işleyecek kişilere ger- çekleştirecekleri fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlu- suna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza açıklaması; ilgili kişi- nin, işlenmesine izin verdiği kişisel verinin sınırları ile kapsamını ve işleme faaliyetinin gerçekleştiril- me biçimini de belirlemesini sağlayacaktır. -- 7 of 34 --

suna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza açıklaması; ilgili kişi- nin, işlenmesine izin verdiği kişisel verinin sınırları ile kapsamını ve işleme faaliyetinin gerçekleştiril- me biçimini de belirlemesini sağlayacaktır. -- 7 of 34 -- 8 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR Açık rızanın bu anlamda, rıza veren kişinin “olum- lu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın alınması şekil şartına bağlı değildir. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada 6698 sa- yılı Kanun’a uygun bir şekilde açık rıza alındığına ilişkin ispat yükümlülüğü veri sorumlusuna aittir. 6698 sayılı Kanun’un 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır: • Belirli bir konuya ilişkin olma. • Bilgilendirmeye dayanma. • Özgür iradeyle açıklanma. a. Belirli Bir Konuya İlişkin Olma Kişisel veri işlemek üzere verilen açık rızanın geçer- li olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin -- 8 of 34 --

• Özgür iradeyle açıklanma. a. Belirli Bir Konuya İlişkin Olma Kişisel veri işlemek üzere verilen açık rızanın geçer- li olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin -- 8 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 9 olarak istenildiğinin açıkça ortaya konulması ge- rekmektedir. Buna göre; ilgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rıza beyanı, tek başına 6698 sayılı Kanun bağlamında “açık rıza” olarak kabul edilemez. Eğer birden çok kategoriye ilişkin kişisel verinin iş- lenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi kişisel verilerin hangi amaçlarla işleneceği gibi işlemenin farklı noktaları açısından da verilmiş olması gerekir. Veri sorumlusunun, kişisel veriyi kullanımı son- rasında gerçekleştireceği ikincil işlemler için ise (örneğin yurt dışına kişisel veri aktarımı gibi), baş- kaca bir işleme şartı bulunmuyorsa, ayrıca açık rıza alması gerekecektir. Aynı durum, kişisel verilerin işlenme amaçlarının değişmesi halinde de geçer- lidir. Yani her amaç için ayrı bir açık rıza alınması gerekir. -- 9 of 34 --

kaca bir işleme şartı bulunmuyorsa, ayrıca açık rıza alması gerekecektir. Aynı durum, kişisel verilerin işlenme amaçlarının değişmesi halinde de geçer- lidir. Yani her amaç için ayrı bir açık rıza alınması gerekir. -- 9 of 34 -- 10 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR b. Bilgilendirmeye Dayanma Açık rıza bir irade beyanı olup kişinin özgür bir şe- kilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Bilgilendirme, kişisel veri işleme ile ilgili bütün ko- nularda açık ve anlaşılır bir biçimde gerçekleşti- rilmelidir. Bilgilendirmenin mutlaka kişisel verinin işlenmesinden önce yapılması gerekir. İşlenecek verinin niteliği, aynı zamanda bilgilendirme düze- yini belirleyecektir. İlgili kişinin bilgilendirilmesi aynı zamanda kişinin kendi kişisel verilerinin ge- leceğini belirleme hakkının bir yansımasını oluş- turmaktadır. Bilgilendirme yapılırken elde edilecek kişisel veri- lerin hangi amaçlarla kullanılacağı açıkça belirtil- meli, kişinin anlamayacağı terimler ya da yazılı bil- gilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır. -- 10 of 34 --

turmaktadır. Bilgilendirme yapılırken elde edilecek kişisel veri- lerin hangi amaçlarla kullanılacağı açıkça belirtil- meli, kişinin anlamayacağı terimler ya da yazılı bil- gilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır. -- 10 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 11 c. Özgür İradeyle Açıklanma Kişinin irade beyanı olan rıza, kişinin yaptığı dav- ranışın bilincinde olması ve bu davranışın kişinin kendi kararından kaynaklanması halinde geçerli- lik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür bi- çimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda özgür bir irade açıklamasından bahsedilemez. Ancak, buradaki her sebep kendi içerisinde değerlendirilmeli ve her bir sebebin rı- zayı etkileme derecesi belirlenmelidir. Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle de- ğerlendirilmesi gerekir. Özellikle işçi-işveren iliş- kisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğura- cağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. -- 11 of 34 --

ğerlendirilmesi gerekir. Özellikle işçi-işveren iliş- kisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğura- cağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. -- 11 of 34 -- 12 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR Öte yandan, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı ola- rak ileri sürülmemelidir. Yani açık rıza herhangi bir hizmet şartına bağlanamaz. Örneğin; bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen il- gili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza, açık rızanın özgür irade ile verilmesi unsurunu taşımayacak ve parmak izi almak suretiyle biyometrik verinin işlenmesi ölçü- lülük ilkesine aykırı olacaktır. 2. Anonim Hale Getirme (Anonimleştirme) Anonim hale getirme veya anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir su- rette kimliği belirli veya belirlenebilir bir gerçek ki- şiyle ilişkilendirilemeyecek hale getirilmesini ifade -- 12 of 34 --

lülük ilkesine aykırı olacaktır. 2. Anonim Hale Getirme (Anonimleştirme) Anonim hale getirme veya anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir su- rette kimliği belirli veya belirlenebilir bir gerçek ki- şiyle ilişkilendirilemeyecek hale getirilmesini ifade -- 12 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 13 etmektedir. Bu kapsamda, elde kalan veri üzerin- den bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Bu noktada dikkat çekilmesi gereken husus, ano- nim veri ve anonimleştirilmiş veri arasındaki fark- tır. Anonim veri; başlangıçtan itibaren belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri; daha önce- sinde bir kişiyle ilişkilendirilmiş ancak artık bağ- lantısı kesilmiş veridir. 3. İlgili Kişi 6698 sayılı Kanun’da, yalnızca gerçek kişilerin ve- rilerinin korunması öngörülmektedir. Bu nedenle 6698 sayılı Kanun’da kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanıl- mıştır. 6698 sayılı Kanun uyarınca korunan kişi; bu Kanun’un tanımlar kısmında açıkça belirtildiği üze- re “gerçek kişi”dir. -- 13 of 34 --

6698 sayılı Kanun’da kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanıl- mıştır. 6698 sayılı Kanun uyarınca korunan kişi; bu Kanun’un tanımlar kısmında açıkça belirtildiği üze- re “gerçek kişi”dir. -- 13 of 34 -- 14 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR 6698 sayılı Kanun’da yer alan kişisel verinin tanımı gereğince tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de 6698 sayılı Kanun kapsamın- da koruma altındadır. Ancak burada korunan men- faat tüzel kişiye değil, düzenlemenin temellendir- diği öncelik gereğince tüzel kişinin verisi üzerinden belirli ya da belirlenebilir hale gelen gerçek kişiye ait olacaktır. 4. İlgili Kullanıcı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Ano- nim Hale Getirilmesi Hakkında Yönetmelik’in 4. maddesinde “ilgili kullanıcı” kavramı; “Verilerin teknik olarak depolanması, korunması ve yedek- lenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içeri- sinde veya veri sorumlusundan aldığı yetki ve tali- mat doğrultusunda kişisel verileri işleyen kişiler.” olarak tanımlanmaktadır. -- 14 of 34 --

teknik olarak depolanması, korunması ve yedek- lenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içeri- sinde veya veri sorumlusundan aldığı yetki ve tali- mat doğrultusunda kişisel verileri işleyen kişiler.” olarak tanımlanmaktadır. -- 14 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 15 5. Kişisel Veri Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda ki- şisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre; kişisel veriden söz edebilmek için, veri- nin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri; bireyin şahsi, mesleki ve ailevi özellik- lerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. 6698 sayılı Kanun’da kişisel veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haber- leşmeler, ikamet adresi, kredi kartı bilgisi, kişisel düşünce ve inançları, dernek, vakıf ya da sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. -- 15 of 34 --

yaşamı, aile hayatı, başkaları ile yaptığı haber- leşmeler, ikamet adresi, kredi kartı bilgisi, kişisel düşünce ve inançları, dernek, vakıf ya da sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. -- 15 of 34 -- 16 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR 6698 sayılı Kanun’da yer alan kişisel veri tanımı doğrultusunda bir gerçek kişiyi belirli veya belir- lenebilir kılan her türlü bilginin kişisel veri olarak kabul edilmesi gerekmektedir. 6698 sayılı Kanun’da yapılan tanımlamada hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esa- sının benimsenmediği görülmekte olup gelişen teknolojilerle türetilebilecek veri kategorilerini de içerebilecek şekilde geniş bir kişisel veri tanımı su- nulmaktadır. Bir kişinin belirli veya belirlenebilir olması, mev- cut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir.6698 sayılı Ka- nun’un gerekçesinde bireyin adı, soyadı, doğum ta- rihi ve doğum yeri gibi onun kesin teşhisini sağla- yan verilerin yanı sıra kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiştir. Kişisel veriler, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut -- 16 of 34 --

yan verilerin yanı sıra kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiştir. Kişisel veriler, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut -- 16 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 17 bir içerik taşıyabileceği gibi kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilme- si sonucunda kişinin belirlenmesini sağlayan tüm verileri kapsamaktadır. Nitekim 6698 sayılı Kanun’un gerekçesinde de; te- lefon numarası, motorlu taşıt plakası, sosyal gü- venlik numarası, pasaport numarası, özgeçmiş, re- sim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirle- nebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir. 6. Kişisel Verilerin İşlenmesi Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. 6698 sayılı Kanun’un 2. maddesinde, kişisel verilerin tamamen veya kıs- men otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olma- yan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, kişisel veri işleme olarak tanımlanmıştır. Kişisel verilerin be- -- 17 of 34 --

men otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olma- yan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, kişisel veri işleme olarak tanımlanmıştır. Kişisel verilerin be- -- 17 of 34 -- 18 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR lirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar geçen süreçte kişisel veriler üzerinde gerçekleştirilen her türlü faaliyet 6698 sayılı Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. Esasen, kişisel veriler söz konusu olduğunda ki- şisel verinin nasıl tutulduğu ve kullanıldığı en az verinin kendisi kadar önemlidir. Kişisel verileri işleme yöntemlerinden bazıları aşa- ğıda açıklanmaktadır: • Elde edilme veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili baş- lamaktadır. • Depolama / Muhafaza etme: Dijital ya da fizik- sel ortamda kişisel verilerin saklanması, barın- dırılması ya da depolanması işleme kapsamında kabul edilir. • Değiştirme / Yeniden Düzenleme: Kişisel veri- lerin, çeşitli yöntemler kullanılmak suretiyle değiştirilmesi ya da yeniden düzenlenmesi de işleme sayılır. -- 18 of 34 --

sel ortamda kişisel verilerin saklanması, barın- dırılması ya da depolanması işleme kapsamında kabul edilir. • Değiştirme / Yeniden Düzenleme: Kişisel veri- lerin, çeşitli yöntemler kullanılmak suretiyle değiştirilmesi ya da yeniden düzenlenmesi de işleme sayılır. -- 18 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 19 • Aktarılma / Devralınma: Kişisel verilerin çeşitli yöntemlerle iletilmesi de işleme faaliyeti kap- samındadır. Kişisel veriler otomatik veya otomatik olmayan yollarla işlenebilecektir: a. Otomatik İşleme 95/46/EC sayılı Direktif’te ve 6698 sayılı Kanun’da otomatik işlemenin ne olduğuna ilişkin bir tanım yer almazken, OECD tarafından yapılan tanım; “İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen veri işleme faaliyeti.” şeklindedir. Bununla birlikte 6698 sayılı Kanun’un gerekçesinde bu Kanun’un kapsamı açık- lanırken; “Günümüzde bu veriler, gerek özel sektör gerek kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmakta- dır.” denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinde gerçekleştirilen faali- yetler olduğu belirtilmiştir. -- 19 of 34 --

lanırken; “Günümüzde bu veriler, gerek özel sektör gerek kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmakta- dır.” denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinde gerçekleştirilen faali- yetler olduğu belirtilmiştir. -- 19 of 34 -- 20 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR Buna göre, otomatik olarak kişisel veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algorit- malar kapsamında insan müdahalesinin en aza in- dirilmesi suretiyle gerçekleşen işleme faaliyetidir. b. Otomatik Olmayan Yollarla İşleme (Veri Kayıt Sisteminin Parçası Olmak Kaydıyla) Yukarıda belirtildiği gibi; kişisel veriler otomatik işlemeye tabi tutulmasalar da, “veri kayıt sistemi”- nin bir parçası olarak işlendiklerinde de 6698 sayılı Kanun hükümlerine tabi olacaklardır. 6698 sayılı Kanun’da veri kayıt sistemi; “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt siste- mi.” olarak tanımlanmaktadır. Bu sistemler elekt- ronik yahut fiziki ortamda oluşturulabilir. Örneğin; veri kayıt sisteminde kişisel veriler ad, soyadı veya kimlik numarası üzerinden sınıflandırılabileceği gibi kredi borcunu ödemeyenlere ilişkin oluşturu- lacak sınıflandırma da bu kapsamda değerlendiri- lebilecektir. 6698 sayılı Kanun, otomatik olmayan -- 20 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 21 yollarla kişisel veri işlenmesini tamamen kapsamı dışında tutmamaktadır. Yani, otomatik olmayan yolla kişisel veri işleme eğer veri kayıt sisteminin parçası ise bu kişisel veri işleme faaliyeti de 6698 sayılı Kanun kapsamında kabul edilecektir. -- 21 of 34 --

yollarla kişisel veri işlenmesini tamamen kapsamı dışında tutmamaktadır. Yani, otomatik olmayan yolla kişisel veri işleme eğer veri kayıt sisteminin parçası ise bu kişisel veri işleme faaliyeti de 6698 sayılı Kanun kapsamında kabul edilecektir. -- 21 of 34 -- 22 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR 7. Veri Sorumlusu ve Veri İşleyen a. Genel Olarak Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin ku- rulmasından ve yönetilmesinden sorumlu olan ger- çek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyet- ler kapsamında bizzat kendileri “veri sorumlusu” olup ilgili düzenlemelerde belirtilen hukuki sorum- luluk doğrudan tüzel kişiye ait olacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişi- leri bakımından bir farklılık gözetilmemiştir. Bir şirket bünyesinde yer alan birimlerin ayrı birer tüzel kişiliği bulunmadığından bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlik- te, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı ayrı veri sorumlusu olması mümkündür. Veri işleyen ise; veri sorumlusunun verdiği yetki- ye dayanarak onun adına kişisel verileri işleyen, -- 22 of 34 --

te, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı ayrı veri sorumlusu olması mümkündür. Veri işleyen ise; veri sorumlusunun verdiği yetki- ye dayanarak onun adına kişisel verileri işleyen, -- 22 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 23 veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişi- ler, kişisel verileri kendisine verilen talimatlar çer- çevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdi- ği, veri sorumlusunun organizasyonu dışındaki ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin; bir muhasebe şirketi kendi personeliyle ilgili işlediği kişisel verilere ilişkin olarak veri so- rumlusu sayılırken, müşterisi olan şirketlerin iş ve işlemlerine ilişkin işlediği kişisel veriler bakımın- dan veri işleyen olarak kabul edilecektir. Veri işleyenin faaliyetleri kişisel veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin iş- lenmesine ilişkin kararların alınmasına yönelik yet- ki ise veri sorumlusuna aittir. Veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani kişisel veri işleme kapsamında kendi adına karar alma yetkisi olan ve kişisel veri işleme -- 23 of 34 --

lenmesine ilişkin kararların alınmasına yönelik yet- ki ise veri sorumlusuna aittir. Veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani kişisel veri işleme kapsamında kendi adına karar alma yetkisi olan ve kişisel veri işleme -- 23 of 34 -- 24 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR faaliyetinin “neden” ve “nasıl” yapılacağı soruları- nın cevabını verecek olan kişidir. Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır: • Kişisel verilerin toplanması ve toplama yöntemi, • Toplanacak kişisel veri türleri, • Toplanan kişisel verilerin hangi amaçlarla kul- lanılacağı, • Hangi bireylerin kişisel verilerinin toplanacağı, • Toplanan kişisel verilerin paylaşılıp paylaşılma- yacağı, paylaşılacaksa kiminle paylaşılacağı, • Kişisel verilerin ne kadar süreyle saklanacağı. Bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesiyle, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri iş- leyene bırakabilir: • Kişisel verilerin toplanması için hangi bilgi tek- nolojileri sistemlerinin veya diğer metotların kullanılacağı, -- 24 of 34 --

Bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesiyle, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri iş- leyene bırakabilir: • Kişisel verilerin toplanması için hangi bilgi tek- nolojileri sistemlerinin veya diğer metotların kullanılacağı, -- 24 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 25 • Kişisel verilerin hangi yöntemle saklanacağı, • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, • Kişisel verilerin aktarımının hangi yöntemle ya- pılacağı, • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, • Kişisel verilerin silinmesi, yok edilmesi ve ano- nim hale getirilmesi yöntemi. Bu noktada, veri sorumlusuyla veri işleyen arasında- ki bazı ortak noktaların belirtilmesi gerekmektedir: İlk olarak belirtmek gerekir ki; veri sorumlusu ifa- desiyle, bir şirket içerisinde kişisel veri işleme faa- liyetlerinden sorumlu bir şahıs kastedilmemekte- dir. Veri sorumlusu bizzat tüzel kişiliğin kendisidir. Veri sorumlusu (aynı şekilde veri işleyen de) olmak, 6698 sayılı Kanun’un hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve 6698 sa- yılı Kanun’da bulunan tanımda belirtilen özellikleri karşılaması durumunda, şirket tüzel kişiliğinin biz- -- 25 of 34 --

Veri sorumlusu (aynı şekilde veri işleyen de) olmak, 6698 sayılı Kanun’un hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve 6698 sa- yılı Kanun’da bulunan tanımda belirtilen özellikleri karşılaması durumunda, şirket tüzel kişiliğinin biz- -- 25 of 34 -- 26 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR zat kendisi bu statüde yer alacaktır. Örneğin; kişi- sel veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirket tüzel kişiliğinin bizzat kendisi “veri sorumlu- su” sıfatına sahiptir. İkinci olarak ifade edilmesi gereken husus; her iki kavramın da hem gerçek hem de tüzel kişiler için geçerli olduğudur. Örneğin; serbest çalışan bir mali müşavir de mali müşavirlik şirketi de hem veri sorumlusu hem de veri işleyen olabilir. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulun- madığından, bu birimlerin veri sorumlusu veya veri işleyen olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, veri sorumlusu tanımındaki diğer unsurları da taşıyorsa, bu şir- ketlerin her biri ayrı iki statüde de yer alabilir. Son olarak ise; bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu hem de veri işleyen ola- bileceğini söylemek mümkündür. Örneğin; bir bulut bilişim hizmeti sunan şirket, kendi çalışanlarının -- 26 of 34 --

ketlerin her biri ayrı iki statüde de yer alabilir. Son olarak ise; bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu hem de veri işleyen ola- bileceğini söylemek mümkündür. Örneğin; bir bulut bilişim hizmeti sunan şirket, kendi çalışanlarının -- 26 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 27 kişisel verileri bakımından “veri sorumlusu” iken müşterileri konumunda bulunan şirketlerin iş ve işlemleri kapsamında işlediği kişisel veriler bakı- mından “veri işleyen” sıfatıyla hareket etmektedir. b. Örnekler1 i. Pazar Araştırması Şirketleri Bir ilaç firması ile yaptığı sözleşme uyarınca bir araştırma şirketi, ilaç firması için çalışan mem- nuniyeti anketi düzenlemeyi üstlenmiştir. Firma, anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu araştırma şirketine bırakmıştır. Bu durumda araştırma şirketi, her ne kadar firma adına anketi yapıyor ve kişisel verileri işliyor olsa da ilaç firması ile birlikte veri sorumlusu statüsün- dedir. Zira hangi çalışanlarla anket yapılacağı, han- gi kişisel verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir. 1 Bu bölümde anlatılanlar sadece örnek mahiyetinde olup söz konusu aktörler açısından genel bir değerlendirme ni- teliğinde değildir. -- 27 of 34 --

dedir. Zira hangi çalışanlarla anket yapılacağı, han- gi kişisel verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir. 1 Bu bölümde anlatılanlar sadece örnek mahiyetinde olup söz konusu aktörler açısından genel bir değerlendirme ni- teliğinde değildir. -- 27 of 34 -- 28 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR ii. Ödeme Servisleri İnternet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşte- rilerinin kişisel verilerinin işlenmesi durumda; öde- me hizmeti şirketi, satıcının veri işleyeni konumunda olmayıp bu kişisel verilerin işlenmesi bakımından veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1) Ödemelerin doğru yapılabilmesi için müşteri- lerden hangi verilerin toplanması gerektiğine karar vermektedir. (2) Toplanan kişisel verilerin hangi amaçla kullanı- lacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel veri- leri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4) Satıcıdan bağımsız olarak kendi tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi. -- 28 of 34 --

(3) Satıcıdan bağımsız olarak doğrudan kişisel veri- leri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4) Satıcıdan bağımsız olarak kendi tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi. -- 28 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 29 iii. Avukatlar Bir şirketin işten ayrılan çalışanlarından birinin şirketin müşteri listesini çaldığı ve buna karşılık şirketin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir örnekte; şirketin eski çalışanıyla ilgili kişisel verileri avukata tes- lim etmesiyle avukat da veri sorumlusu statüsüne sahip olur. Bu durumda avukatın şirketin adına işlem yapıyor olması bunu değiştirmez. Zira avu- kat, elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem şirket hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmak- tadır (örneğin; ilgili kişinin kişisel veriye erişim ta- lebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur). iv. Mali Müşavirler Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. Zira -- 29 of 34 --

lebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur). iv. Mali Müşavirler Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. Zira -- 29 of 34 -- 30 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR mali müşavirlerin işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan birçok mesleki yasal yükümlülükleri bulunmaktadır. Örneğin; bir şirketin hesaplarını incelerken yolsuzluğa rastla- maları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmakta olup mali mü- şavirin bu bildirimi yaparken müşterisinin talimat- ları doğrultusunda hareket etmeyeceği açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi olduk- ları sürece veri sorumlusu statüsünde bulunacak- lardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla/sözleşmeyle müşte- rilerine kısmen veya tamamen devretmeleri müm- kün olmayacaktır. v. Bulut Hizmeti Sağlayıcıları Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıy- la sözleşme yapması durumunda, bulut hizmeti -- 30 of 34 --

rilerine kısmen veya tamamen devretmeleri müm- kün olmayacaktır. v. Bulut Hizmeti Sağlayıcıları Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıy- la sözleşme yapması durumunda, bulut hizmeti -- 30 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 31 sağlayıcısı veri işleyen statüsündedir. Zira taraf- lar arasındaki sözleşme gereğince bulut hizmeti sağlayıcısının kişisel verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, verdiği hizmet kapsamında kendisi adı- na kişisel veri işlememektedir. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu ku- ruluşunun talimatlarına uygun olarak saklamaktır. 8. Veri Kayıt Sistemi Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki or- tamda oluşturulabilir. Veri kayıt sisteminde kişisel veriler; ad-soyadı veya kimlik numarası üzerinden sınıflandırılabileceği gibi örneğin; kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir. 6698 sayılı Kanun’un gerekçesine göre; otomatik olmayan yol- larla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse bu Kanun kapsamında değerlendi- rilmeyecektir. -- 31 of 34 --

ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir. 6698 sayılı Kanun’un gerekçesine göre; otomatik olmayan yol- larla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse bu Kanun kapsamında değerlendi- rilmeyecektir. -- 31 of 34 -- 32 | 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR 6698 sayılı Kanun aşağıdaki iki durumda uygulama alanı bulacaktır: • Kişisel verilerin kısmen veya tamamen otomatik yollarla işlenmesi. • Kişisel verilerin otomatik olmayan yollarla fakat bir veri kayıt sistemi içerisinde işlenmesi. Veri kayıt sisteminin tanımına göre kişisel veri üze- rinde gerçekleştirilen bir işleme faaliyetinin; 1) Öncelikle otomatik olup olmadığının belirlen- mesi, 2) Otomatik olmayan işleme varsa, bu defa da kişi- sel verinin bir veri kayıt sistemi içerisinde işlenip işlenmediğinin tespit edilmesi gerekmektedir. 9. Veri Aktaran ve Veri Alıcısı a. Veri Aktaran 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hak- kında Yönetmelik’in 4. maddesinin 1. fıkrasının (ğ) -- 32 of 34 -- 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR | 33 bendinde “veri aktaran” kavramı; “Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işle- yen.” şeklinde tanımlanmıştır. b. Veri Alıcısı Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 4. madde- sinin 1. fıkrasının (h) bendinde “veri alıcısı” kavra- mı; “Veri aktarandan kişisel verileri alan yurt dı- şındaki veri sorumlusu veya veri işleyen.” şeklinde tanımlanmıştır. -- 33 of 34 -- Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu -- 34 of 34 --