AMAÇ: Bu prsedürün amacı çalışanlarımız ,tedarikçilerimiz,müşterilerimiz ve diğer taraf kişilerinin kişisel haklarının ve bu bağlamda kişisel bilgilerinin diğer bir deyişle kişisel verilerin korunması hakkında yönetmelik şartlarını ve uygulamalarını anlatmaktır.

KAPSAM: Karaholding bünyesinde çalışanlarının ve tüm paydaşları

SORUMLULAR: KVKK Veri Sorumlusu

ÖZET

Her türlü bilgiye ulaşmanın ve ulaşılan bilgileri paylaşmanın giderek kolaylaşmasıyla paralel olarak; kişisel bilgilerin ve mahremiyet alanlarının korunması aynı derecede zorlaşmaktadır. Çalışma hayatı, ticari hayat, pazarlama ve reklamcılık faaliyetleri yahut da kamu hizmetlerinin sağlanması gibi birçok alan ve mecrada kişisel bilgiler sahibinin rızasıyla ya da rızası olmadan saklanmakta, aktarılmakta olup, bu durum kişisel bilgilerin güvenliğinin ciddi şekilde tehlikeye düşmesine ve kişisel hakların, özel hayatın gizliliğinin ihlal edilmesine neden olmaktadır. Çağımızın bu gerçeği karşısında kişilerin kişisel haklarının ve bu bağlamda kişisel bilgilerinin diğer bir deyişle kişisel verilerin korunması için çağa uygun ve mevcut riskleri karşılamak açısından yeterli bütün önlemlerin alınması gerekmiş, bu gereklilik de ülkelerin yasal mevzuatlarında kendisine yer bulmuş, bulmaya da devam etmektedir.

Ülkemizde de kişisel haklar ve kişisel verilerin korunması Anayasal bir gereklilik olmakla birlikte bu doğrultuda gerçekleştirilen hak ve veri güvenliği ihlalleri gerek Türk Medeni Kanunu gerekse de Türk Ceza Kanunu çerçevesinde yaptırımlarla karşılaşmaktadır. Bunların yanı sıra yukarıda da değindiğimiz üzere çağa ve çağın getirdiği mevcut risklere uyumlu bir düzenleme olan 6698 sayılı Kişisel Verilerin  Korunması  Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.

Bu çalışmamızda; bu kişisel verilerin korunması ile ilgili uluslararası ve ulusal düzenlemelere kısaca değinilecek, sonrasında Kişisel Verilerin Korunması Kanunu çerçevesinde kişisel verilerin neler olduğu, bu verilerin elde edilme, saklanma ve yok edilmeleriyle ilgili süreçlerin nasıl işlemesi gerektiği, kişisel verilerin güvenliğinin ihlali halinde karşılaşılma ihtimali bulunan yaptırımların neler olduğu açıklanacaktır.

GİRİŞ

Kişisel verilerin korunması ile ilgili gerek diğer ülke yasal mevzuatlarında gerekse de uluslararası mecrada önemli düzenlemeler yapılmıştır. Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Türkiye de bu Sözleşmeyi 28 Ocak 1981 tarihinde imzalamış ve 17 Mart 1985 tarihinde 29656 sayılı Resmi Gazete’de yayımlayarak iç hukuka dahil etmiştir. Yine Avrupa Konseyi bünyesinde imzalanan 181 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”de taraf devletler ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmiştir. Türkiye, bu protokolü 8 Kasım 2001 tarihinde imzalayarak 5 Mayıs 2016 tarihinde 29703 sayılı Resmi Gazete’de yayımlayarak yürürlüğe koymuştur.

Avrupa Birliği üyesi ülkelerdeki kişisel verilerin korunmasına yönelik düzenlemelerin uyumlu hale getirilmesi amacıyla 1995 yılındaAvrupa Parlamentosu ve Avrupa Konseyi“Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifi” kabul etmiştir. AB üyesi ülkeler, kişisel verilerin korunmasına ilişkin kanuni ve sektörel bazlı düzenlemeleri bu Direktifi esas alarak yapmışlardır. Sektörel bazlı düzenlemelerden en önemlisi “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin Korunmasına İlişkin Direktif”tir. Kişisel verilerin korunmasına ilişkin olarak yeni düzenlemelere ihtiyaç duyulması sonucunda Avrupa Birliği 2012 yılında yeni bir tüzük çalışması başlatmıştır. Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılan tüzük 2016 yılında kabul edilmiş olup, 25 Mayıs 2018 tarihinde

95/46  sayılı  Direktif’i  ilga  ederek  yürürlüğe  girmiştir.  Türkiye’de  bu  alanda  yapılan düzenlemeler de Avrupa Birliği Direktifleri temel alınarak yapılmıştır.

Ülkemizi  kişisel  verilerin  korunmasına yönelik  kanuni  bir  düzenleme hazırlamaya yönelten temel etkenlerin özetle; insan haklarının etkin bir biçimde korunması, Avrupa Birliği ile yürütülen üyelik müzakereleri ve uluslararası iş birliği ve ticaretin artırılması ihtiyacı olduğu söylenebilir. Kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile

doğrudan bağlantılıdır. Kişilerin özel hayatının gizliliğini sağlayabilmek için üçüncü kişilerin eline geçmesinde sakınca bulunan verilerin hukuken korunması gereklidir. Bu bağlamda, taraf olduğumuz yukarıda belirtilen uluslararası sözleşmeler haricinde iç hukukumuzda da çeşitli düzenlemelere gidilmiştir. 2010 yılında Anayasa’nın 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler,  ancak kanunda  öngörülen  hallerde veya  kişinin  açık rızasıyla işlenebilir.  Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenmiştir. Dolayısıyla kişilerin kişisel verilerin korunmasını isteme hakkı dolaylı olarak değil doğrudan Anayasal temellere dayandırılmıştır. Hem bu Anayasa hükmü hem de “İnsan Hakları Avrupa Sözleşmesi” ve “Avrupa Birliği Kişisel Verilerin Korunması Direktifi” doğrultusunda hazırlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu(“KVKK”) 07.04.2016 tarihinde yürürlüğe girmiştir. Yürürlük maddesine göre, kanuna muhatap kurumların ellerindeki verileri

2 sene içinde mevzuata uyumlu hale getirmeleri gerekirken, kanunun bazı maddeleri yürürlük tarihinden itibaren 6 ay sonra uygulanmaya başlayacağını öngörmektedir. Kişisel verilerin korunmasıyla ilgili özel kanun Kişisel Verilerin Korunması Kanunu olsa da Anayasa, Türk Borçlar Kanunu,  Türk  Ceza Kanunu,  Türk  Ticaret  Kanunu,  İş  Kanunu  ve  İş  Sağlığı  ve Güvenliği Kanunu gibi çeşitli kanun ve yönetmeliklerde konuyla doğrudan bağlantılı münhasır hükümler bulunmaktadır.

KVKK bu kapsamda getirilen uygulamalar, uluslararası yükümlülüklerinin yerine getirilmesini sağlama ve bu bağlamda uluslararası iş birliği ve ticaretin kişisel veri güvenliği açısından sekteye uğramasının önüne geçilmesi açısından oldukça önemlidir. Bunların yanı sıra KVKK ile; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin ve uyacakları usullerin düzenlemesi, kişisel verilerin üçüncü kişilere ve yurtdışına transfer edilme esaslarının belirlenmesi, kişisel verilerin güvenliğinin sağlanmasına yönelik ilkelerin belirlenmesi, kişisel verilerin işlenmesi esnasında ortaya çıkan hukuka aykırılıklar için adli ve idari yaptırımların öngörülmesi, kişisel verilerin işlenmesi alanını düzenlemek ve denetlemek amacıyla bağımsız ve tarafsız bir düzenleyici ve denetleyici kamu kurumu ihdas edilmesi amaçlanmıştır. Dolayısıyla KVKK’nın, kişisel bilgi güvenliği açısından esaslı bir bilinç oluşturma ve bu doğrultuda uygulama geliştirme açısından oldukça gerekli ve önemli bir düzenleme olduğu söylenebilecektir.

Çalışmamızın birinci bölümünde kişisel verinin ne olduğu ve bu verilerin korunmasının neden önemli olduğuna değinilerek kişisel verilerin işlenmesi ve aktarılmasının usul ve esasları anlatılacaktır. İkinci bölümde ise işlenen kişisel verilerin neden ve nasıl silinmesi, yok edilmesi, anonim hale getirilmesi gerektiğine değinilecektir. Üçüncü bölümde, KVKK kapsamında veri işleme faaliyetinin taraflarını oluşturanların hak ve yükümlülükleri incelenerek son bölümde ise bu yükümlülüklerin ihlali halinde KVKK ve ilgili diğer yasal mevzuat çerçevesinde karşılaşılabilecek yaptırımlar ifade edilecektir.

1. KİŞİSEL VERİ KAVRAMI VE KİŞİSEL VERİLERİN İŞLENMESİ

1. KİŞİSEL VERİ ve  KİŞİSEL  VERİLERİN  KORUNMASININ ÖNEMİ

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Mevcut verilerle bir gerçek kişi ilişkilendirilebiliyor ve bu ilişkilendirme neticesinde bu gerçek kişi tanımlanabiliyorsa bir kişinin kimliğinin belirli ya da belirlenebilir olduğundan bahsetmek gerekecektir. Bireyler maddi, manevi ve ekonomik bütünlüklerinin bir sonucu ve aynı zamanda bir teminatı olarak “kişilik hakları”na sahiptir. Bu haklar kişiye özgü olan, devredilemeyen ve herkese karşı ileri sürülebilen mutlak haklardır. Bu hakların gerek hak sahibi kişinin kendisine karşı gerekse de üçüncülere karşı korunması Anayasa ve diğer kanunlarla güvence altına alınmıştır. Kişisel verilerin korunması da başta özel hayatın gizliliği olmak üzere kişinin temel hak ve özgürlükleri ile doğrudan ilişkilidir.

Kişisel bilgi üzerinde, ilgilerinin kişisel hakları bulunmaktadır. Bu hak kişilere, kişisel bilgilerinin korunmasını talep hakkı verir. Kişisel verilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar sağlasa da bu durum bazı bilgilerin suiistimal edilmesi riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi hem Türk Kanunları hem de uluslararası mevzuat bakımından hak ihlali oluşturmaktadır.

Kişisel bilgiler müşteri bilgileri olabileceği gibi, şirket çalışanlarına ait özel bilgiler de olabilir. Örneğin bir kişinin kimlik numarası, iletişim ve hesap bilgileri, sağlık ve mali bilgileri, dini inancı, doğum yeri ve tarihi, anne ve baba adı, adli sicil kaydı, yerleşim yeri, medeni hali, eğitim durumu, mesleği, telefon numarası, elektronik posta adresi, kan grubu, cinsel ve ahlaki eğilimi, etnik kökeni, siyasi görüşü ve sendikal bağlantıları birer kişisel veridir. Ancak kişisel veriler bunlarla sınırlandırılamaz.

Aşağıda kriterleri daha detaylı açıklanacağı üzere, kişisel verilerin güvenliğinin sağlanması yükümlülüğü açısından gerçek kişi, kamu kurumu ya da özel kuruluş ayrımı yapılmamıştır. Dolayısıyla KVKK ’da belirtilen şekilde verileri işleyen gerçek ya da tüzel kişilerin Kanun ve ilgili diğer mevzuatın gereklerini yerine getirmeleri, bu kişilerle etkileşim içinde olan, bunlarla kişisel bilgilerini paylaşan kişiler nezdinde güven ve itibar uyandırmak bakımından oldukça etkili olacaktır. Bireyin vatandaşı olduğu devletin kurumlarınca kişisel haklarının ve bilgilerinin korunduğunu ve kötüye kullanılmadığını bilmesi hem vatandaş hem de devlet açısından önemlidir. Ayrıca kişisel verilerin korunmasına yönelik düzenlemelerdeki önemli bir nokta da kişisel verilerin ülkeler arasındaki resmi bilgi alışverişinde, verilerin iletileceği ülkede kişisel verilerin korunmasının güvence altına alınmış olmasının gerekmesidir. Başka bir deyişle, ülkemizde kişisel verilerin korunmasının güvence altına alınması, devletlerarası iş birliği ve yardımlaşma söz konusu olduğunda, kişisel bilgilerin ülkemizle paylaşılması bakımından gerekli olan bir durumdur. Ayrıca aşağıda detaylıca bahsedileceği üzere bu durum kamu kurumları ve özel kuruluşlar yahut verileri Kanun’daki şartlarda işleyen gerçek kişiler aracılığıyla kişisel verilerin yurtdışına aktarılması bakımından da geçerlidir.

Şirketler özelinde düşünecek olursak; kişisel veri güvenliğinin sağlanması neticesinde şirketlerin hem tüketici hem çalışan hem de iş ortaklarının gözünde daha güvenilir ve itibarlı hale geleceği açıktır. Şirket bünyesinde çalışan kişilerin verilerinin intizamlı şekilde kayıt altına alınması ve arşivlenmesi şirketin girişeceği işler bakımından eldeki potansiyelin en doğru şekilde değerlendirilmesi anlamına gelmektedir. Böylelikle şirket ihtiyaçları da en doğru şekilde belirlenebilecek ve istihdam konusunda yapılan harcamalarda da tasarrufa gidilebilecektir. Şirketin itibarının artmasıyla doğru orantılı olarak şirket ortaklarının ve müşterilerin  kişisel  bilgilerinin  en  doğru  şekilde  saklanacağı  ve korunacağı  güvencesinin verilmesi şirketin aktif olduğu pazarlarda kendisini avantajlı konuma getirecek ve rakiplerinden bir adım önde olmasını sağlayacaktır. Müşterilerin işlenen verileriyle hedef kitle bazında hali hazırda karşılaşılan ve ileride karşılaşılacak risklerin erken tespitiyle gerekli müdahaleler şirket zarar görmeden yapılabilecektir. Bu tespit aynı zamanda şirket bünyesinde çalışanlar bakımından da yapılabilir. Böylece iş gücünün etkin biçimde kullanılabilmesi sağlanacaktır.

1. ÖZEL NİTELİKLİ KİŞİSEL VERİ

Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri kapsar. Özel nitelikli kişisel veriler, kişilerin mağdur olmalarına neden olacak şekilde kategorilendirilmelerine ve ayrımcılığa maruz kalmalarına neden olabileceklerinden dolayı, bu verilerin daha bir hassasiyetle korunmaları gerekmektedir. Gerek uluslararası düzenlemelerde gerekse de KVKK ve ilgili mevzuat kapsamında bu hassasiyet gözetilmiş ve özel nitelikli kişisel veriler açısından ayrı şartlar ve kriterler öngörülmüştür.

1. KİŞİSEL VERİLERİN İŞLENMESİ ve İŞLENME ŞARTLARI

1. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Diğer bir deyişle; kişisel verilerin işlenmesi, verilerin elde edilmesi anından başlayarak yok edilmelerine, silinmelerine yahut da anonim hale getirilmelerine kadar geçen sürede bu veriler üzerinde yapılan tüm işlemlerdir. Verilerin toplanması, kaydedilmesi, organize edilmesi, depolanması, kullanılması, değiştirilmesi, aktarılması, yayılması ya da erişilir kılınması yahut da silinmesi, anonim hale getirilmesi, yok edilmesi, engellenmesi işlenme çeşitleri olarak karşımıza çıkmaktadır. Kişisel verilerin işlenmesinin KVKK anlamında işlenme sayılabilmesi için bazı kıstaslar öngörülmüştür. Buna göre verilerin “tamamen veya kısmen otomatik olan” ya da “herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan” yollarla işlenmesi gerekmektedir. Otomatik işlemenin ne olduğu Kanun’da tanımlanmamıştır. Fakat Ekonomik Kalkınma ve İşbirliği Örgütünce (“OECD”) “İnsan müdahalesi ya da yardımı konusundaki ihtiyacı  asgari  seviyeye  indiren,  kendi  aralarında  bağlantılı  ve etkileşimli  elektrikli  veya elektronik bir sistem tarafından gerçekleştirilen veri işleme faaliyeti” olarak tanımlanmıştır. Ayrıca KVKK’nın genel gerekçesinde otomatik işlemenin bilişim sistemleri üzerinde gerçekleştirildiğinden bahsedilmektedir. Kişisel veriler yukarıda bahsedildiği gibi elektrikli veya elektronik bir sistem dahilinde insan müdahalesi gerekmeksizin işlenmeyebilir. Fakat otomatik olmayan yollarla işlenen veriler veri kayıt sisteminin bir parçası olmaları kaydıyla yine KVKK kapsamında olacaktır. Kanun’un gerekçesinde veri kayıt sistemi “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır. Buna göre kişisel veriler otomatik olarak olmasa da fiziken yahut da elektronik bir sistemde veri kayıt sisteminin bir parçası olarak işlenmektedirler. Örneğin, herhangi bir kritere bağlı olmaksızın kişilerin ad ve soyadlarının rastgele bir şekilde kâğıtta yer alması hali Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kâğıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilecektir. 108 sayılı Sözleşme’ye ve AB Direktifi’ne paralel olarak KVKK m.4’te; kişisel verilerin işlenmesine ilişkin genel ilkeler belirlenmiş olup, ancak bu ilkeler çerçevesinde veri işleme faaliyeti gerçekleştirilebilecektir. Buna göre işleme faaliyeti hukuka ve dürüstlük kurallarına uygun, işlenen veriler ise doğru ve gerektiğinde güncel olmalı; veriler belirli, açık ve meşru amaçlar için aynı zamanda da işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmeli ve işlenen veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

2. Kişisel Verilerin İşlenme Şartları

Bireylerden alınan kişisel verilerin işlenebilmesinin 2 koşulu vardır. Bunlardan ilki kişilerin “açık rıza”larının mevcut olmasıdır. Açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” demektir. Kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgiye sahip olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi gerekmektedir. Bu açık onayın yazılı ya da sözlü veya elektronik ortamda olmasıyla ilgili bir kısıtlama bulunmamaktadır. Kişisel verilerin işlenebilmesi için kural kişinin açık rızasının bulunması olsa da KVKK m.5’te bazı şartların varlığı halinde açık rıza aranmaksızın işleme faaliyeti gerçekleştirilebilecektir. Bu maddede sayılan şartlar şu şekildedir:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• İlgili kişi, Kanun’da “kişisel verisi işlenen gerçek kişi” olarak tanımlanmıştır. Yazımızda da Kanun’daki anlamıyla kullanılacaktır.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
• Dolayısıyla gerçek kişilere ilişkin kişisel verilerin kısmen veya tamamen otomatik olarak ya da otomatik olmamakla birlikte veri kayıt sisteminin bir parçası olacak şekilde işlenebilmesi için kişinin açık rızasının alınması gerektiği fakat yukarıda sayılan şartlardan birinin oluşması halinde açık rıza alınmadan da verilerin işlenebileceği açıktır. Bu şekilde gerçekleştirilmeyen işleme faaliyetleri hukuka aykırı olacaktır.

3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin işlenmesi, arz ettikleri hassasiyet nedeniyle farklı şartlara tabi kılınmıştır. Yukarıda da belirtildiği üzere Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Bu verilerin kişinin açık rızası olmadan işlenmesi KVKK m.6 uyarınca yasaklanmıştır. Ayrıca kişisel verilerin işlenmesi için Kişisel Verileri Korunma Kurulu tarafından yeterli önlemler belirlenecektir. Bu yeterli önlemlerin belirlenmesi KVKK m.22 f.1-ç’de Kurul’un görev ve yetkileri arasındadır.

Bazı hallerde, kişinin yahut da kamunun daha üstün bir menfaatinin bulunması durumunda özel nitelikli kişisel veriler diğer bir deyişle hassas veriler de işlenebilecektir. KVKK m.6’da açık rıza aranmaksızın bu verilerin işlenebileceği haller sayılmıştır. Bu haller sayılırken sağlık ve cinsel hayata ilişkin kişisel veriler açısından bir ayrım öngörülmüştür. Buna göre, sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

4. Kişisel Verilerin Üçüncü Kişilere Aktarılması

Kişisel verilerin aktarılması KVKK m.3’te bir kişisel veri işleme şekli olarak sayılmıştır. Fakat konunun önemine binaen 8. maddede kişisel verilerin aktarılması ayrıca incelenmiş ve içerik itibariyle fazlaca bir farklılık arz etmese de kişisel verilerin işlenmesi şartlarından ayrı bir usul öngörülmüştür. Ayrıca 9. maddede kişisel verilerin yurtdışına aktarılması işlendiğinden dolayı 8. madde kapsamına yalnızca yurtiçinde gerçekleştirilen aktarma faaliyetlerinin gireceği söylenebilecektir.

Buna göre KVKK m.8 f.2’ye göre kişinin açık rızası aranmaksızın aktarmanın mümkün olabileceği haller:

    KVKK m.5 f.2’ye atıfla;

• Kanunlarda açıkça öngörülmesi.

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin  kurulması  veya  ifasıyla  doğrudan  doğruya  ilgili  olması  kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

• İlgili kişinin kendisi tarafından alenileştirilmiş olması.

• Bir hakkın tesisi kullanılması veya korunması için veri işlemenin zorunlu olması.

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunu meşru menfaatleri için veri işlemenin zorunlu olması.

    KVKK m.6 f.3’e atıfla ve yeterli önlemlerin alınmış olması şartıyla;

• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik nitelikli verileri açısından kanunda öngörülen hallerde.
• Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde.

Görüldüğü  üzere kişisel  verilerin  ve özel  nitelikli  kişisel  verilerin  işlenmesine  ilişkin öngörülen durumlar burada da geçerlidir. Bir de bunlara ek olarak üçüncü fıkrada, diğer kanunlarda yer alan kişisel verilerin aktarılmasına ilişkin hükümlerin saklı olduğu belirtilmiştir.

5. Kişisel Verilerin Yurtdışına Aktarılması

Kişinin açık rızasının bulunması durumunda kişisel veriler yurtdışına sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurum ve kuruluşlar tarafından aktarılabilecektir. Açık rızanın bulunmadığı durumlara ilişkin olarak ise kişisel verilerin yurtiçinde aktarılmasına nazaran daha sıkı şartlar öngörülmüştür.

Buna göre, KVKK m.5 f.2 ve m.6 f.3’te belirtilen, bir üst başlıkta ayrıntılı olarak yazılmış olan şartlardan birisinin varlığı ve kişisel verilerin aktarılacağı ülkede yeterli korunmanın bulunması durumunda kişinin açık rızası aranmayacaktır. Yeterli korumanın bulunmaması halinde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un ilgili faaliyete ilişkin izninin bulunması kaydıyla açık rıza aranmadan veriler yurtdışına aktarılabilecektir.

Kurul yeterli korumanın bulunduğu ülkeleri saptayarak ilan edecektir. Yeterli korunmanın bulunmadığı ülkelere ilişkin olarak izin verip vermemeye ilişkin değerlendirmede bulunurken  göz önünde  bulunduracağı  kriterler  de m.9’da belirtilmiştir. Buna göre karar verilirken; Türkiye’nin taraf olduğu uluslararası sözleşmeler, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler ve ihtiyaç duyulması hâlinde ilgili kurum ve kuruluşların görüşü göz önünde bulundurulacaktır.

Kişisel verilerin yurtdışına aktarılmasıyla ilgili olarak Türkiye’nin veya ilgili kişinin menfaatinin  ciddi  şekilde zarar göreceği  bir  durum  varsa ancak  ilgili  kamu  kurum  veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarma faaliyeti gerçekleştirilebilir. Bu konuya ilişkin uluslararası sözleşme hükümlerinin saklı olduğu madde metninde belirtilmiştir.

Ayrıca 6. fıkrada kişisel verilerin yurtdışına aktarılması ile ilgili diğer kanunlarda yer alan hükümlerin saklı olduğu ayrıca belirtilmiş ve madde gerekçesinde 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un, uluslararası bilgi değişimi konusunda Malî Suçları Araştırma Kurulu Başkanı’na yetki veren 12. ve 19. maddeleri öncelikli olarak uygulanacak olması bu duruma örnek olarak gösterilmiştir.

Öncelikle belirtmek gerekir ki Kanun’un 2. maddesinde yer alan “kişisel verileri işlenen gerçek kişiler” ve “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi” ifadelerinden de anlaşılacağı üzere Kanun gerçek kişilere ait kişisel verileri koruma kapsamına almakla birlikte fiziksel olarak kayıt altına alınan ve veri kayıt sisteminin parçası olmayan kişisel verilere uygulanmayacaktır.

Kanun’un 28. maddesinde tamamen ve kısmen Kanun kapsamı dışında kalan durumlar “İstisnalar” başlığı altında düzenlenmiştir. Buna göre 1. fıkrada tamamen Kanun’un kapsamı dışında kalan hususlar sayılmıştır:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin  soruşturma,  kovuşturma,  yargılama  veya  infaz  işlemlerine  ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Tamamen Kanun’un kapsamı dışında kalan haller haricinde bir de kısmen kapsam dışında kalan haller düzenlenmiştir. Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde bazı hallerde uygulanmayabilecektir. Kanun’da sayılan bu haller şu şekildedir:

• Suç işlenmesinin önlenmesi veya suç soruşturması için kişisel veri işlenmesinin gerekli olması. (Örneğin, bir polisin bir suçla ilgili şüphelinin kişisel verilerini işlemesi bu kapsamda değerlendirilebilecektir. Çünkü polisin hangi kişisel verilerini işlediği veya hangi amaçlarla işlediğini şüpheliye anlatması halinde, şüphelinin ilgili verileri yok etmesi veya silmesi riski doğacaktır.)
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. (Örneğin, kişinin herkesin erişimine açık bir şekilde sosyal medya hesabında kişisel verisini paylaşması halinde verinin işlenmesi.)
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

1. KİŞİSEL VERİLERİN  SİLİNMESİ,  YOK  EDİLMESİ  ve  ANONİM HALE GETİRİLMESİ

Kişisel verilerin korunması, belirli bir amaca yönelik olarak verilen kişisel bilgilerin kişinin açık rızası dışında üçüncü kişi veya kurumlarla paylaşılmaması ve amaç hasıl olduğunda bu bilgilerin yok edilmesidir. Hukuka uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir. KVKK m.7’de, bu düzenlemeye ek olarak kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili usul ve esasların yönetmelikle düzenleneceği ve diğer kanunlardaki konuya ilişkin hükümlerin saklı olduğu belirtilmiştir. Örneğin Adli Sicil Kanunu’nda olduğu gibi verilerin silinmesine veya yok edilmesine ilişkin diğer kanunlardaki düzenlemeler öncelikli olarak uygulanacaktır. Bunun dışında, 7. maddenin atfıyla “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” kabul edilmiş ve böylece bu konuya ilişkin olarak ayrıntılı usul ve esaslar benimsenmiştir.

1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi; veri sorumlusu tarafından, kişisel verilerin veri sorumlusu altında veri işlemeden sorumlu olan ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Bunun sağlanması için gerekli teknik ve idari tedbirleri almak veri sorumlusunun yükümlülüğüdür.

Silme işlemi gerçekleştirilirken öncelikle işleme konu teşkil edecek  kişisel veriler belirlenmeli ve bu verilerin her biri için ilgili kullanıcılar tespit edilmelidir. Sonrasında ilgili kullanıcıların erişim, geri getirme, tekrar kullanma, vb. yetkilerinin ve bu yetkilerin yöntemlerinin tespit edilmesi gerekmektedir. Böylelikle, ilgili kullanıcıların silme işlemine konu teşkil eden kişisel verilerle ilgili sahip oldukları yetki ve yöntemler kapatılabilecek ve ortadan kaldırılabilecektir.

İşleme konu verilerin saklanma şekli ve saklandığı ortam türüne uygun olarak belirlenecek silme işlemi uygulandıktan sonra, ilgili kullanıcıların bu verilerle ilgili yetki ve yöntemleri de kapatıldığından mevzuata uygun şekilde veri güvenliğinin sağlandığı söylenebilecektir. Burada önem arz eden asıl mesele, saklanma şekline uygun silme şeklinin seçilmesidir. Veriler kâğıt üzerinde saklanıyorsa ilgili kısmın karartılması gerekmekle birlikte karartma yöntemi işleme konu kısmın kesilmesi yahut sabit mürekkeple kapatılması şeklinde olabilecektir. Ayrıca gelişen teknolojiyle birlikte verilerin farklı şekillerde saklanabileceği unutulmamalıdır. Bulut depolama uygulamaları, taşınabilir medyalar ya da veri tabanları gibi ortamlarda saklanan verilerle ilgili olarak uygun silme yönteminin seçilmesi gerekmektedir.

1. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, veri sorumlusu tarafından kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Veri sorumlusu kişisel verilerin yok edilmesi ile ilgili teknik ve idari gerekli tüm tedbirleri almakla yükümlüdür.

Kâğıt, bulut depolama sistemleri, manyetik ortamlar, optik diskler gibi birçok veri depolama ortamı bulunmaktadır. Yok edilme işlemine konu verilerin bulunduğu ortamın türüne göre tercih edilmesi gereken yöntem farklılık gösterecektir. Burada maksat verilerin tamamen ortadan kaldırılmasıdır. Bu maksadı gerçekleştirecek uygun bir yöntemin tercih edilip uygulanması gerekmektedir.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilseler bile kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu ve alıcı grupları* tarafından da uygun teknikler kullanılsa bile verilerin belirli ya da belirlenebilir gerçek kişiyle ilişkilendirilememesi gerekmektedir. Bunların sağlanabilmesi için gerekli olan tüm teknik ve idari tedbirleri almak veri sorumlusunun yükümlülüğündedir.

Anonim hale getirmekteki maksat verinin ait olduğu kişi ile bağlantısının kesilmesi, bir veri grubunda ayırt edilebilirliğinin, kimliğin saptanabilirliğinin önüne geçilmesidir. Kişisel verilerin anonim hale getirilmesi için gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi birçok yöntem mevcuttur. Verilerin saklanma amacına ve saklanma şekillerine göre uygun yöntemin seçilmesi gerekmektedir. Ayrıca yalnızca anonim hale getirmenin yeterli olduğunu söylemek yanlış olacaktır. Veri sorumlusu anonim hale getirilen kişisel verilerin anonimliğinin bozulmaması adına gerekli tüm tedbirleri almak zorundadır. Eğer gerçekleştirilen işlemlerin geri alınması yahut başka yerde saklanan verilerle eldeki anonim hale getirilen verilerin eşleştirilmesi gibi ihtimaller mevcutsa hukuka uygun bir anonim hale getirme işleminin gerçekleştirildiği söylenemeyecektir.

1. VERİ SAKLAMA ve İMHA POLİTİKASI E. SÜRELER

III. HAK ve YÜKÜMLÜLÜKLER

1. VERİ SORUMLUSU ve YÜKÜMLÜLÜKLERİ

1. Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri alıcı veya alıcı grupları; “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in 4. maddesinde tanımlandığı üzere işlenen verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade etmektedir.

sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.

Bir kimsenin Kanun kapsamında veri sorumlusu olarak kabul edilebilmesi için, bir veri kayıt sistemini yönetiyor olması gerekir. Kanunun 3. maddesinde veri kayıt sitemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır. Kanunun gerekçesinde de belirtildiği gibi veri kayıt sistemleri elektronik veya fiziki ortamlarda oluşturulabilir.

Veri sorumlusu, kişisel verileri bizzat işleyebileceği gibi, veri işleme faaliyetini gerçekleştirmek üzere üçüncü bir kişiyi de yetkilendirebilir. Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen bu tür gerçek veya tüzel kişiler, Kanunun 3. maddesinin (ğ) bendinde “veri işleyen” olarak adlandırılmıştır. Kanunda kişisel verilerin korunmasına ilişkin bazı yükümlülükler, veri sorumluları ile birlikte veri işleyenler için de getirilmiştir.

2. Veri Sorumlusunun Yükümlülükleri

1. Aydınlatma yükümlülüğü

Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanılarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri veri sahibine sağlamakla yükümlüdür:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,

• Kişisel verilerin hangi amaçla işleneceği,

• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebebi,

• maddede sayılan diğer hakları.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu ve faaliyetin Kanundaki başka bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Veri sahibi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Aydınlatma yükümlülüğünü yerine getirirken ilgili kişiye verilecek bilgiler, veri sorumlusu siciline açıklanan bilgilerle uyumlu ve kategorik bazda olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi konusu, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

1. İLGİLİ KİŞİ VE HAKLARI

Kişisel verisi işlenen gerçek kişidir. Tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde bu veriler Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır.

Kanunun  11.  maddesinde  ilgili  kişinin  sahip  olduğu  haklar düzenlenmiştir.  İlgili  kişi  bu haklarını veri sorumlusuna başvurmak suretiyle kullanacaktır. Buna göre, ilgili kişinin sahip olduğu haklar şunlardır:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerinin   işlenme   amacını   ve   bunların   amacına   uygun   kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini

• isteme,

• Kişisel verilerin silinmesini veya yok edilmesini isteme,

• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel

• verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle

• kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

• İlgili kişinin Kanunda tanımlı haklarını kullanma noktasında veri sorumlusuna yapacağı başvurularla ilgili kişiye verilecek cevaplar, veri sorumluları siciline açıklanacak bilgiler çerçevesinde ve kategorik bazda olmalıdır. Vukuatlı nüfus kayıt örneği veya müşterek mülkiyete ilişkin tapu sicil kaydında olduğu gibi bazı durumlarda birden fazla kimseye ait ayrıştırılamayacak verinin bir arada bulunması söz konusu olabilir. Bu durumda, ilgili mevzuat kapsamında veri sahibine açıklanmasında sakınca olmayan üçüncü kişilere ait kişisel veriler de veri sahibine açıklanabilir. Böyle bir durum yok ise ilgili kişiye açıklanacak üçüncü kişilerle ilgili kişisel veriler anonimleştirilmelidir. Veri sorumlusu siciline açıklanan bilgilerle, ilgili kişiye verilecek bilgiler arasında uyum olmalıdır.

1. İLGİLİ KİŞİNİN HAK ARAMA YÖNTEMLERİ

1. Veri sorumlusuna başvuru usulü

Kanunun 11. maddesine göre ilgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.

Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini (m. 11.), öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

İlgili kişinin talebinin 30 gün içerisinde veri sorumlusu tarafından cevaplandırılması gerekmektedir. Başvurusu  reddedilen  veya verilen cevabı  yetersiz bulan,  yahut  süresinde başvurusuna cevap verilmeyen ilgililer Kurula şikâyet hakkını kullanabilecektir. Kişilik hakları ihlal edilen ilgililerin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Bir başka ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur.

 Başvuru ve Cevap Yöntemine İlişkin Kurallar

Veri sorumlusuna yapılacak başvuruların şekli konusunda Kanunda iki temel hüküm bulunmaktadır. Bunlardan ilki yazılı başvurudur. Yazılı başvuru, genel hükümler gereği ıslak imza içeren belge ile yapılan başvuru anlamına gelmektedir. Buna ek olarak güvenli elektronik imza ile imzalanan belgeler de yazılı şekil şartını sağlayabilecektir. Yazılı başvuru haricindeki diğer başvuru yöntemlerinin belirlenmesi konusunda Kanun, Kişisel Verileri Koruma Kurulunu yetkilendirmektedir. Kurul, çıkaracağı yönetmelik ya da tebliğ gibi ikincil düzenlemelerle veri sorumlusuna yapılacak başvuruların yöntemini belirleyebilecektir. Bu kapsamda internet üzerinden bir başvuru sistemi kurulması ya da e-Devlet üzerinden sağlanacak entegrasyon ile veri sorumlularına başvuru yapılabilmesi gibi çeşitli yöntemlerin kullanılabileceği öngörülmektedir.

Veri sorumlusu, kural olarak kendisine yöneltilen talepleri en kısa sürede cevaplandırmak zorundadır. Ancak bu süre 30 gün ile sınırlandırılmıştır. Veri sorumlusu, kendisine yöneltilen talepleri kabul edebileceği gibi gerekçesini açıklamak kaydıyla ret de edebilecektir. Ret kararının gerekçeli olmasının mecburi tutulması yoluyla, ilgili kişilerin haklarının daha etkili korunması hedeflenmektedir. Zira gerekçeli ret kararı yazılması zorunluluğu, veri sorumlularının ret kararlarına ilişkin mutlaka bir hukuki gerekçe göstermelerini gerekli kılmaktadır. Veri sorumlusu kendisine yöneltilen talebi kabul etmesi halinde, talebin gereklerini doğrudan ve derhal yerine getirmek zorundadır. Talebin kabul edilmesine rağmen, gereklerinin yerine getirilmemesi halinde, veri sorumlusunun talebi reddettiğini varsaymak gerekir. Zira Kanun, sadece veri sorumlusunun ilgili kişinin başvurusunu reddetmesi, verdiği cevabın yetersiz bulunması ya da süresinde cevap vermemesi hallerinde ilgili kişiye Kurula başvuru yapma hakkı vermektedir. Bu durum, ilgili kişinin Kurula şikâyette bulunmasına imkân vermek açısından önemli bir konudur. Kanun, veri sorumlusunun kendisine yapılan başvurulara dair kararını bildirmesine ilişkin izlenebilecek yöntem konusunda yazılı bildirim ya da elektronik ortamda bildirim hükümlerine yer vermiştir. Dolayısıyla ilgili kişi tarafından, veri sorumlusuna gerek yazılı olarak gerekse Kurulun belirleyeceği bir başka yöntemle başvurulduğunda, veri sorumlusunun cevabı mutlaka ya yazılı olarak ya da elektronik ortamda gönderilmelidir.

Kendisine başvuru yapılan veri sorumlusunun, kamu kurum ya da kuruluşu olması hali üzerinde özellikle durulması gerekmektedir. Zira kamu kurum ve kuruluşlarının yapacağı bildirimler 7201 sayılı Tebligat Kanunu ile düzenlenmektedir. Tebligat Kanunu’nun da elektronik tebligata imkân verdiği göz önüne alındığında, kamu kurum ve kuruluşu olan veri sorumlularının  da  ilgili  mevzuata  uyarak,  hem  yazılı  hem  elektronik  ortamda  bildirimde bulunabilmeleri mümkün olacaktır.

Veri Sorumlusuna Başvurunun Maliyetine İlişkin Sorumluluklar Kural olarak ilgili kişilerin veri sorumlusuna yapacağı başvuruların ücretsiz olması gerekmektedir. Ancak Kanun, söz konusu talep kapsamında ayrıca bir işlem yapılmasının gerekmesi ve bu işlemin maliyetli olması halinde veri sorumlusu tarafından ücret alınmasına imkân  vermektedir.  Söz  konusu  ücret,  Kurul  tarafından  belirlenecek  tarifeye  göre  tespit edilecektir.  Başvurunun  veri  sorumlusunun  hatasından  kaynaklandığı  hallerde  ise,  veri

sorumlusunun aldığı ücreti ilgili kişiye iade etmesi mecburiyeti Kanunda düzenlenmektedir.

2. Kurulun inceleme yapması

Kanunun 15. maddesi gereği Kurulun, Kanunun ihlaline ilişkin durumlar hakkında inceleme yapma yetkisi bulunmaktadır. Kurul bu yetkisini, şikâyet üzerine ya da resen kullanabilmektedir.

Resen İnceleme, Kurulun inceleme başlatma konusunda resen yetkili olması, Kurulun haberdar olduğu herhangi bir konuda kendiliğinden harekete geçerek inceleme başlatabileceği anlamına gelmektedir. Diğer bir ifadeyle, Kurulun inceleme başlatabilmesi için kendisine şikâyette bulunulmasına ihtiyacı yoktur. Bu durum, ilgili kişilerin şikâyette bulunmamasına ve hatta ilgili ihlalden haberleri dahi olmamasına rağmen Kurulun hak ihlallerini engelleyebilmesini sağlamaktadır. Dolayısıyla ilgili kişilerin hakları daha etkin bir şekilde korunabilmektedir. Kurulun inceleme başlatmaya resen yetkili oluşunun bir diğer sonucu da, kendisine gelen ihbarları değerlendirme ve gerekiyorsa inceleme başlatma yetkisine sahip olmasıdır.

Şikâyet Üzerine İnceleme, İlgili kişilerin haklarını kullanması için öncelikle veri sorumlularına başvurmaları zorunludur. Veri sorumlusunun bu başvuruyu reddetmesi, verdiği cevabın yetersiz olması veya süresinde cevap vermemesi halinde ilgili kişinin konu hakkında Kurula şikâyette bulunma hakkı doğmaktadır. Yapılacak şikâyet ile konu, Kurula taşınmakta ve Kurulun incelemesi sonucunda karara bağlanmaktadır.

1. YÜKÜMLÜLÜKLERİN İHLALİ NETİCESİNDE KARŞILAŞILABİLECEK YAPTIRIMLAR

Kanunda 17 ve 18. maddelerde kişisel verilerin hukuka aykırı olarak işlenmesine ilişkin 5237 sayılı Türk Ceza Kanunu’nun (TCK) 135 ila 140. maddeleri arasında yer alan hapis cezası yaptırımlarının uygulanması öngörülmüştür. Kanunda düzenlenen aydınlatma, veri güvenliği, Kurul kararlarının yerine getirilmemesi ve veri sorumluları siciline kayıt yükümlülüklerinin yerine getirilmemesi hallerinin ise kabahatler kapsamında değerlendirildiği ve dolayısıyla idari para cezası müeyyidesine bağlandığı ilgili madde gerekçesinde belirtilmiştir. Bu müeyyideler aşağıdaki şekildedir.

1. SUÇLAR

Kanunun 17. maddesi şöyledir: “(1) Kişisel verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümleri uygulanır. (2) Bu Kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler  Türk Ceza  Kanununun  138’inci maddesine  göre cezalandırılır.”  .    Kişisel verilere ilişkin suçlar, TCK’nın “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar” bölümü içerisinde ele alınmıştır.

TCK’nın 135. maddesinin 1. fıkrasına göre: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir”. Kanunda ve TCK’nın ilgili madde gerekçesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel verilerin hukuka aykırı şekilde kaydedilmesi, suçun oluşması için yeterlidir. Burada suçun oluşumunun ön koşulunun hukuka aykırılık olarak belirlendiğine dikkat çekmek gerekir.

TCK’nın 135. maddesinin 1. fıkrasına göre: “Kişisel verilerin, kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”

TCK’nın 136. maddesine göre: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır”.

TCK’nın 135. maddesindeki düzenlemeye benzer şekilde kişisel verilerin üçüncü bir kişiye verilmesi, yayılması ya da ele geçirilmesi suçlarının hukuka aykırılık ön koşuluna bağlandığı görülmektedir.

TCK’nın nitelikli hallerin düzenlendiği 137. maddesine göre:“Yukarıdaki maddelerde tanımlanan suçların;

1. a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.”

TCK’nın 138. maddesine göre: “(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”.

TCK’nın 138. maddesinde şikâyet usulü düzenlenmektedir. Buna göre, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.

TCK’nın 138. maddesinde, yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacağı belirtilmektedir.

1. KABAHATLER

Kanunun 18. maddesi şöyledir: “(1) Bu Kanunun;

47. a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 47.303 Türk Lirasından 946.308 Türk Lirasına kadar,

141. b) 12 inci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 141.934 Türk Lirasından 9.463.213 Türk Lirasına kadar,

236. c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 236.557 Türk Lirasından 9.463.213Türk Lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 189.245 Türk Lirasından 9.463.213Türk Lirasına kadar idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.”

Madde gerekçesinde; Kanunda öngörülen aydınlatma, veri güvenliğini sağlama, Kurul kararlarını yerine getirme, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüklerine aykırı davranılmasının kabahat olarak görüldüğü ve Kurul tarafından belirlenecek idari para cezası yaptırımına bağlandığı belirtilmiştir.

Kanunun 18. maddesinde yer alan, idari para cezası miktar aralığı oldukça geniştir. Gerekçede, Kurulun idari para cezasının miktarını belirlerken 5356 sayılı Kabahatler Kanunu’nun 17. maddesi uyarınca kabahati işleyenin ekonomik durumunu, kabahatin haksızlık içeriğini ve failin kusur derecesini dikkate alacağı belirtilmiştir.

İdari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır. İlgili kurumlar yaptıkları soruşturmanın sonuçları hakkında Kurula bilgilendirme yapmak zorundadır.