Kişisel veri nedir?
Kişisel Verilerin Korunması Kanunu’ndaki tanımına göre kişisel veri, kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kimliği belirli veya belirlenebilir ifadesi; veri sahibinin “topluluk içerisinde iken onu diğer
kişilerden ayırt edilmesini sağlayan” veya “ayırt edilmesini mümkün kılan” anlamını
taşımaktadır. Her ne kadar kişiyi tanımlayabilme özelliğine göre her somut olay bakımından
ayrı değerlendirilmesinin yanı sıra takma adlar, IP adresleri, ses veya görüntü gibi veriler tek
başına veya başka kaynaklar ile birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise
kişisel veri olarak kabul edilecektir. Örneğin bir kişiye ait ayak izi dahi kişisel veri olarak
tanımlanabilecektir.
Kanun uyarınca bir verinin kişisel veri olarak değerlendirilebilmesi için verinin bir gerçek
kişiye ait olması gerekmektedir. Tüzel kişilere ilişkin veriler kişisel verinin tanımının
dışındadır. Şirketin ticaret unvanı, adresi, vergi kimlik numarası, MERSİS numarası ve cirosu
gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde)
kişisel veri sayılmayacaktır.
Aydınlatma yükümlülüğünün yerine getirilmesinde şekil şartı var mıdır?
Aydınlatma yükümlülüğünün yerine getirilmesinde şekil şartı bulunmamaktadır. Aydınlatma
ikonlarla yapılabileceği gibi (Örneğin; kameranın altına kamera ikonu ve “burası 7/24
kamerayla izleniyor” ifadeleri) katmanlı olarak da (Örneğin; “Aydınlatma Metni İçin
Tıklayınız” linki ile) aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün
yerine getirildiğinin ispatı veri sorumlusuna aittir.
Aydınlatma yükümlülüğünün yerine getirilmesi esnasında aynı zamanda veri sahibinin açık
rızası da alınabilir mi?
Aydınlatma yükümlülüğünün yerine getirilmesi kapsamında aydınlatma metni ile veri
sahibinin açık rızasına dayalı olarak işlenecek veriler bakımından açık rıza metninin ayrı
dokümanlarda düzenlenmesi gerekmektedir. Dolayısıyla aydınlatma metni için veri
sahibinden açık rıza alınmış olması veri işleme faaliyeti için onay alındığı anlamına
gelmemektedir. Aydınlatma metni ve açık rıza metninin veri sahibi tarafından ayrı ayrı
okunmuş ve onaylanmış olması gerekmektedir.
Açık rıza alınması gerekmeyen veri işleme hallerinde de aydınlatma yükümlülüğünün
yerine getirilmesi gerekli midir?
Veri işleme faaliyetinin veri sahibinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki
başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği
kişinin veri sahibini aydınlatma yükümlülüğü devam etmektedir.
Veri Sorumlusu ve Veri İşleyen Kimdir? Veri Sorumlusu ve Veri İşleyen’in ayrı kişiler olması
halinde sorumluluk rejimi nasıl olmalıdır?Kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel
verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel
verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle
saklanacağı, veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi
hususlara karar verme yetkisi olan gerçek veya tüzel kişiler veri sorumlusu olarak
addedilmektedir. Tüzel kişiler bakımından veri sorumlusu doğrudan tüzel kişiliğin kendisidir.
Tüzel kişiliğin içerisinde yer alan gerçek kişiler Kanun’un uygulanması bakımından veri
sorumlusu sayılmazlar.
Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen gerçek
veya tüzel kişidir. Veri sorumlusu ile kişisel veri işleme bakımından hukuki ilişki içinde olan
her bir gerçek veya tüzel kişi veri işleyen sayılmaktadır. Örneğin mali müşavirler, avukatlar,
sigorta şirketleri, çağrı merkezleri vb. kişiler veri sorumlusu adına veri işleme faaliyetinde
bulunduklarında veri işleyen olarak kabul edilmektedir.
Kanun’da kişisel veri güvenliğinin sağlanması, verilerin hukuka aykırı olarak erişilmesinin ve
işlenmesinin önlenmesi bakımından veri sorumlusunun gerekli idari ve teknik tedbirleri
alması gerektiği düzenlenmiştir. Ancak veri sorumlusunun, kişisel verilerin işlenmesi
bakımından veri işleyene yetki vermesi durumunda sorumluluk müşterek hale gelmektedir.
Nitekim veri işleyenin, veri sorumlusu tarafından verilen talimatlara uygun hareket etmek
zorunda olduğu göz önüne alındığında ve bu talimatlara uyulmaması halinde veri
sorumlusuna yapılacak başvurular bakımından veri işleyene rücu ihtimali de gündeme
gelebilecektir. Ancak her halükarda veri sorumluları ile veri işleyenler, öğrendikleri kişisel
verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında
kullanamazlar.
Veri işlenmesi için gerekli hukuki sebepler nelerdir? Kanun’da yer alan istisna sebeplerinin
bulunması halinde alınan açık rıza geçerli midir?
Kişisel verilerin işlenmesi Kanun’da yer alan hukuki sebeplerden birine dayanmalıdır. Kişisel
verilerin ve özel nitelikli işlenmesinin hukuki sebepleri ise Kanun’un 5. ve 6. Maddelerinde
düzenlenmiştir. Kanun’un 5. Maddesi uyarınca; veri sahibinin açık rızasının varlığı,
kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, veri sahibinin kendisi tarafından alenileştirilmiş olması, bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, veri sahibinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması şartlarından birinin bulunması halinde özel nitelikli
olmayan kişisel veriler geçerli bir hukuki sebebe dayalı olarak işlenmiş kabul edilecektir.
Kişisel verilerin işlenmesi, açık rıza dışındaki şartlardan birine dayanıyor ise ayrıca veri
sahibinin açık rızası alınmamalıdır. Zira bu durumda alınan açık rıza battaniye rıza olarak
değerlendirilebileceği gibi, açık rıza dışında bir dayanakla veri işlemesi mümkün iken açık
rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı anlamına gelebilecektir.
Veri Sorumlusunun meşru menfaati kapsamında veri işleyebilmesi için hangi koşulların
sağlanmış olması gerekmektedir?
Kanun’un 5. Maddesinin f bendinde düzenlenen “meşru menfaat” işleme şartına dayalı
olarak veri işlenebilmesi için, veri sorumlusunun kişisel veri işleme faaliyetinde meşru
menfaatinin bulunması ve veri sahibinin temel hak ve özgürlüklerine zarar verilmemesi
gerekmektedir. Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme
sonucunda elde edeceği çıkara ve faydaya yöneliktir. Burada iki aşamalı değerlendirme
yapılması gerekmektedir. İlk değerlendirmede veri sorumlusunun elde edeceği çıkar ve fayda
tespit edilmeli, ikinci aşamada da bu menfaatin veri sahibinin temel hak ve özgürlüklerine de
zarar vermediği belirlenmelidir. Meşru menfaat şartı, Kanun’da yer alan diğer şartların
uygulanamadığı hallerde veri işlemesi bakımından başvurulacak son çare olmadığı gibi her
şeyi kapsamına dahil edebilecek ve tüm kişisel veri işleme faaliyetlerini yasal hale getirecek
bir düzenleme de değildir.
Veri Minimizasyonu ilkesi nedir?
Veri minimizasyonu ilkesi, kişisel verilerin işlenme amacının gerektirdiği kadar talep edilmesi
ve işlenmesi, kullanım amacının sona ermesi halinde ise verilerin tamamen silinmesi
anlamına gelmektedir. Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
Halihazırda işlenme amacı olmamakla birlikte ilerleyen süreçte kullanılması göz önüne
alınmak suretiyle veri işlemesi yapılması Kanun’a aykırılık teşkil etmekle birlikte kişisel veri
işleme faaliyetinin gerçekleşmesi için gereğinden fazla kişisel veri toplanmamalı ve/veya
işlenmemelidir. Örneğin, abonelik esnasında isim soy isim bilgilerinin paylaşılması yeterli iken
veri sahibinden kimlik fotokopisinin talep edilmesi veri minimizasyonu ilkesine ve Kanun’a
aykırılık teşkil edecektir.
Kişisel verilerin yurt içinde aktarımı için veri sahibinin açık rızası alınmalı mıdır? Grup
şirketler içerisinde yapılan aktarım için açık rıza alınmalı mıdır?
Kural olarak kişisel veriler veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarılamaz.
Ancak Kanun’un 5. ve 6. Maddelerinde düzenlenen işlenme şartlarından birinin bulunması
halinde açık rıza olmaksızın yurt içinde veri aktarımı yapılması mümkündür.
Tüzel kişi veri sorumlusunun birimleri arasında yapılan aktarım üçüncü kişiye aktarım olarak
değerlendirilmezken bir şirketler topluluğu altında yer alan farklı şirketler arasında veri
aktarımı yapılması üçüncü kişiye aktarım olarak kabul edilmelidir. Dolayısıyla ilk durumda veri
sahibinden ayrıca açık rıza alınmasına gerek bulunmamakta, ikinci durumda ise veri sahibi bu
konu hakkında ayrıca aydınlatılması ve açık rızası alınmalı veya Kanun’da yer alan işlenme
şartlarından birine dayanılması ve Kanun’un 8. Maddesi çerçevesinde bu aktarımın yapılması
gerekmektedir.
Kişisel verilerin aktarılacağı üçüncü kişilere ait hangi bilgiler veri sahiplerine bildirilmelidir?
Kişisel verilerin üçüncü kişilere aktarımı söz konusu ise bu hususun aydınlatma yükümlülüğü
kapsamında veri sahiplerine bildirilmesi zorunludur. Ancak aktarılacak kişilerin açıkça
aydınlatma metninde bulunması gerekli değildir. Örneğin, taşıma ve teslimat işlemleri
için veri sahibinin verileri kargo firmasına aktarılıyor ise bu durumda aydınlatma metninde
kişisel verilerin kargo firması ile paylaşılacağı bilgisinin bulunması yeterli olacaktır.
Ancak veri sahibinin haklarını düzenleyen Kanun’un 11. Maddesi uyarınca veri sahibi
tarafından veri sorumlusuna başvurulmak suretiyle kişisel verilerinin kimlere aktarıldığı
bilgisinin talep edilmesi halinde aktarım yapılan tüm üçüncü kişilerin açıkça veri sahibine
bildirilmesi gerekmektedir.
Kişisel verilerin güvenliğinin sağlanması bakımından veri sorumluları tarafından alınması
gereken önlemler nelerdir? Veri işleyenler bakımından bu yükümlülük söz konusu mudur?
Veri sorumlusu, işlediği kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka
aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla
yükümlüdür. Bu kapsamda idari tedbirler bakımından çalışanlara eğitimler verilmeli,
çalışanların yetkileri denetlenmeli, yetki kontrolleri düzenli olarak yapılmalı, teknik tedbirler
bakımından ise Kişisel Verileri Koruma Kurulu tarafından belirlenen asgari güvenlik
önlemlerinin alınması gerekmektedir. Ayrıca özel nitelikli kişisel verilerin işlenmesi halinde
Kişisel Verileri Koruma Kurulu tarafından alınması gerekli önlemler ayrıca düzenlenmiş olup
veri sorumluları tarafından bu düzenlemelere uygun olarak özel nitelikli kişisel verilerin
işlenmesi gerekmektedir.
Veri işleme faaliyetinin veri sorumlusu adına veri işleyen tarafından yerine getirilmesi halinde
veri sorumlusu, söz konusu idari ve teknik tedbirlerin alınması bakımından veri işleyenleri
denetlemek ve güvenlik tedbirlerinin alındığını temin etmekle yükümlüdür.
Veri Sorumluları Sicili’ne kimler kayıt olmalıdır?
Kişisel veri işleme faaliyetinde bulunan gerçek ve tüzel kişiler veri işlemeye başlamadan önce
Veri Sorumluları Sicili’ne kayıt olmakla yükümlüdür. Bu kapsamda; yıllık çalışan sayısı 50’den
çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri
sorumluları, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az
olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi
veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ve kamu kurum ve
kuruluşu veri sorumlularının Kişisel Verileri Koruma Kurul’u tarafından belirlenen süreler
içerisinde Sicil’e kayıt yaptırmaları zorunludur.
Sicilin kamuya açık olması ne anlama gelmektedir?
Veri Sorumluları Sicili kamuya açık olarak tutulacak olup, veri sorumlusu veya veri sorumlusu
temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi dışında kişisel
veri barındırmayacaktır. Veri sorumluları tarafından Sicli’e girilen bilgiler www.kvkk.gov.tr
adresinde kategorik bazda kamuya açık olarak yayımlanacaktır.
Sicil’e kayıt yükümlülüğünün yerine getirilmemesi halinde ne tür yaptırım uygulanacaktır?
Kanun uyarınca Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket
edenler hakkında 20.000,00 TL’den 1.000.000,00 TL’ye kadar, idari para cezası verilmesi
öngörülmüştür.