Sık Sorulan Sorular

Kişisel Veri Nedir?


Kimliği belirli veya belirlenebilir, gerçek kişiye ilişkin her türlü bilgiye Kişisel Veri denir. Kimliği belirli veya belirlenebilir olması hususu, ayırt edici birtakım unsurların olması yani “bir kişinin diğerlerinden ayırt edilmesi” gerektiği anlamını taşımaktadır. Kişinin ekonomik, sosyal, fiziki, kimlik bilgileri, IP adresi, ses kaydı, taşıt plakası, hobileri, tercihleri, görüştüğü kişiler vb. bilgiler de kişisel veri olarak kabul edilmektedir. Yani kısaca tek başına veya başka kaynaklar ile ilişkilendirilerek bir gerçek kişi tanımlanabiliyorsa bu veri kişisel veridir. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.




Müstear Adlar (Takma İsimler), Mahlas Ve Lakaplar Kişisel Veri Midir?


Tek başına veya başka kaynaklarla birleştirildiğinde bir gerçek kişiyi tanımlayabilecek nitelikte ise bu veriler kişisel veri olarak kabul edilecektir. Ancak, yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirilmelidir.




Kişisel Verilerin Korunması Ne Demektir?


Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Başka bir ifadeyle kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.




Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur?


Kişisel Verilerin Korunmasına ihtiyaç birçok sistem açığından dolayı olmuştur. Kişisel Verilerin Korunması Kanunu’ndan önce gerek kamu gerekse özel kurum ve kuruluşlar bir işlemin yapılabilmesi için birden fazla bilgiyi kendi sistemlerine kayıt edebilmekte ve bu bilgiler 3. şahıslar ile bilgimiz dışında paylaşılmaktaydı. Kanunla birlikte bunun önüne geçilmek istenmiştir. Örnek vermek gerekirse; X internet satış sitesinden elbise siparişi verdiğinizde beden ölçünüzü, ad ve soyadınızı, kimlik numaranızı, ödeme yaparken kart bilgilerinizi, teslimat için adresiniz ve telefon numaranız gibi birçok bilgiyi sisteme girmeniz gerekmektedir. İşte bu verilerin kötü niyetli kişilerle veya başka kurumlarla paylaşılmasını önlemek bu verileri korumak adına Kişisel Verilerin Korunması Kanunu çıkarılmıştır.




Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?


Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiştir. Söz konusu metin 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.




Kişisel Verilerin Korunması Kanununun Amacı Nedir?


Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.




Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?


Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani hem gerçek kişiler hem de tüzel kişilerin tamamı bu kanun kapsamında yükümlü kabul edilmektedir.




Kanun Kapsamına Dahil Olmayan Kişiler Var Mıdır?


Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Ancak her ne kadar tüzel kişilere ilişkin bilgiler Kanun kapsamına dahil olmasa da; tüzel kişilerle gerçekleştirilen işlemlerde de bu tüzel kişiyi temsil eden kişilerin veyahut tüzel kişi çalışanlarının ve sair kişilerin bilgileri işlendiğinden bu kişilerin verilerinin Kanun kapsamında korunduğuna dikkat edilmelidir.
Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.




Her Türlü Veri İşleme Faaliyeti İçin Bu Kanun Hükümleri Uygulanacak Mıdır?


Kişisel Verilerin Korunması Kanunun 28. Maddesinde Kanun hükümlerinin uygulanmayacağı haller sayılmış olup, tamamen veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutulmuştur. Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna hallerinde, Kanunun sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri sorumluları siciline kayıt) uygulanmamaktadır.




Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?


Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.




Özel Nitelikli Kişisel Veriler Nelerdir?


Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.




Kişisel Sağlık Verisi Nedir?


Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.




İlgili Kişi Kimdir?


İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.




Kişisel Verilerin İşlenmesi Ne Demektir?


Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Örneğin, kişisel verilerin sadece bir sabit diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.




Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir?


Otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir.




Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?


Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade eder.




Veri Kayıt Sistemi Nedir?


Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Örneğin, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kâğıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kâğıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.




Açık Rıza Nedir?


Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.




Açık Rıza Herhangi Bir Şekil Şartına Tabi Midir?


Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi, şüpheye yer vermemesi gerekmekte ve rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.




Kişisel Veri İşleme Faaliyetlerinin Tek Şartı Açık Rıza Mıdır?


Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunda veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüştür. Buna göre, aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.




Veri Sorumlusu Kimdir?


Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, veri sorumlusu tüzel kişinin kendisidir.




Veri İşleyen Kimdir?


Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.




Herhangi Bir Gerçek Veya Tüzel Kişi Aynı Zamanda Hem Veri Sorumlusu Hem De Veri İşleyen Olabilir Mi?


Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.




Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?


Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır.




Kişisel Verilerin Aleni Olması Ne Demektir?


Herhangi bir şekilde ilgili kişi tarafından kamuoyuna açıklanmış olan bir başka ifadeyle ilgili kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına uygun bir şekilde açık rıza aranmaksızın işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Kişisel verinin, aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir.




Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?


Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller, Kanunda farklı düzenlenmiştir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.




Kişisel Verilerin Silinmesi Nedir?


Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.




Kişisel Verilerin Yok Edilmesi Nedir?


Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da birkaçı kullanılır.




Kişisel Verilerin Anonim Hale Getirilmesi Nedir?


Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Anonim hale getirilen veri artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir. Veri setleri anonim hale getirilme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.




Anonim Veri Ve Anonim Hale Getirilmiş Veri Arasındaki Fark Nedir?


Anonim veri başından beri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonim hale getirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir.




Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli Veya Anonim Hale Getirilmelidir?


Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.




Kişisel Verilerin Yurtiçinde Aktarılması Kanunda Nasıl Düzenlenmiştir?


Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir. Bununla birlikte, Kanunun 5. ve 6. maddesindeki şartların sağlanması halinde yeterli önlemler alınarak kişisel verilerin açık rıza aranmaksızın yurtiçinde aktarılmasına da imkân tanınmıştır. Bu kapsamda; 1. Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından en az birinin bulunması, 2. Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür.




Kişisel Verilerin Yurt Dışına Aktarılması Kanunda Nasıl Düzenlenmiştir?


Kanunun 9. maddesinin 1. fıkrasında kişisel verilerin ilgilinin açık rızasının olması şartıyla yurt dışına aktarılabileceği düzenlenmiştir. Bununla birlikte, maddenin 2. fıkrasında Kanunun 5. maddesinin 2. fıkrası kapsamındaki kişisel veriler ile 6. maddesinin 3. fıkrasında belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân tanındığı belirtilmektedir.
Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılması mümkündür.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir. Yabancı ülkede yeterli koruma bulunup bulunmadığına ve kişisel verilerin yurt dışına aktarılmasına izin verilirken hangi kriterlerin dikkate alınacağına Kurul tarafından karar verilecektir.
Ayrıca uluslararası sözleşme hükümleri saklı kalmak kaydıyla ülkenin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, kişisel verilerin ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izni ile yurtdışına aktarılması öngörülmektedir.
Öte yandan, kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.




Yabancı Ülkede Yeterli Koruma Bulunup Bulunmadığının Belirlenmesinde Ve Yeterli Korumanın Bulunmaması Halinde Verilerin Yurtdışına Aktarılmasına İzin Verirken Kurul Hangi Kriterleri Dikkate Alacaktır?


Kişisel verilerin yurtdışına aktarılmasında ilgili ülkede yeterli koruma bulunup bulunmadığına göre ikili bir ayrıma gitmek gerekir:
• Eğer yeterli koruma varsa bu durumda ilgili ülkeye veri aktarımı mümkündür.
• Yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri kaydıyla kişisel verilerin yurtdışına aktarılmasına Kurul;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.




Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?


Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu derhal ve en geç 72 saat içerisinde Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder.




Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir?


Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir.
Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir.
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.




Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var Mıdır?


Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.




İlgili Kişinin Hakları Nelerdir?


Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a. Kişisel verilerinin işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.




Kişisel Verilerin Korunması Kapsamındaki Başvurular Kime Yapılır?


Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.




Veri Sorumlusuna Başvuru Yolu İçin Herhangi Bir Şart Bulunmakta Mıdır?


Kanunda ilgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirlediği diğer yöntemlerle iletebilmelerine imkân sağlanmıştır




Veri Sorumlusuna Başvuru İçin Herhangi Bir Ücret Öngörülmüş Müdür?


Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Buna göre, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası başvuru ücreti alınabilir. Öte yandan, başvurunun cevabının bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.




Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Yerine Getirir?


Veri sorumlusunun ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekmektedir.




Veri Sorumlusu İlgili Kişinin Talebi Üzerine Neler Yapabilir?


Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusunca gereği yerine getirilir.




Veri Sorumlusu Cevabını İlgili Kişiye Nasıl Bildirir?


Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik ortamda bildirir.




Kurula Şikâyet Hangi Süre İçinde Yapılmalıdır?


İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.




Doğrudan Kurula Şikâyet Yoluna Gidilebilir Mi?


Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, Kurula şikâyette bulunabilir. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. Bu kapsamda, ilgili kişilerin Kanunun uygulanması ile ilgili taleplerini öncelikle veri sorumlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.




Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda Yargı Yoluna Gidilebilir Mi?


Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna gidebilmesi mümkündür.




İlgili Kişinin Tazminat Davası Açma Hakkı Var Mıdır?


Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler yargı yoluna gidebilirler.




Kurulun Resen İnceleme Yetkisi Var Mıdır?


Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna münhasır olacaktır.




Kurula Şikâyet İçin Herhangi Bir Şart Öngörülmüş Müdür?


İhbar ve şikayetlerin, işleme konulabilmesi için 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen hükümlere uygun olarak Kuruma sunulması gerekmektedir. Bu şartları taşımayan ihbar ve şikâyetler incelemeye alınmamaktadır. İlgili kişilerin haklarını kullanma konusunda veri sorumlusuna başvuru yapmadan şikâyette bulunmaları mümkün değildir. Bu nedenle Kurula şikâyette bulunmanın ön şartlarından birisi de veri sorumlusuna başvuru yapmak olarak kabul edilmektedir.




Veri Sorumlusunun Hangi Süre İçerisinde Kurula Cevap Vermesi Gerekir?


Veri sorumlusu talep edilen bilgi ve belgeleri Kurula on beş gün içinde göndermek zorundadır.




Kurul Her Türlü Belgeyi Veri Sorumlusundan İsteyebilir Mi?


Veri sorumluları, devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri Kurula göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.




Kurul Üyelerinin Sır Saklama Yükümlülüğü Var Mıdır?


Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.




Kurul Hangi Süre İçinde İlgili Kişiye Cevap Vermelidir?


Kurulun, altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür.




Kurul Öngörülen Süre İçinde İlgili Kişiye Cevap Vermezse Ne Olur?


Kurulun, altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür. Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda şikâyet tarihinden itibaren altmış gün içinde ilgiliye bir cevap verilmezse söz konusu talebin reddedilmiş sayılacağı hükme bağlanmıştır.




Kurulun İhlale İlişkin Kararları Kim Tarafından Hangi Süre İçinde Yerine Getirilir?


Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.




Kurul İlke Kararı Alabilir Mi?


Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde, ilgili kurum ve kuruluşların da görüşlerini alarak Kurul bu konuda ilke kararı alır ve yayımlar.




Kurulun Veri İşlenmesini Durdurma Yetkisi Var Mıdır?


Kanunda telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, Kurula veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır.




Veri Sorumluları Sicili Nedir?


Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.




Veri Sorumluları Siciline Kimler Kayıt Olmalıdır?


Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddede kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.




Türkiye’De Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırır?


Türkiye’de yerleşik olmayan veri sorumluları, kişisel veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Veri Sorumluları Siciline kaydolmak zorundadır.
Veri sorumlusu temsilcisi, Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları Sicili Hakkında Yönetmelikte belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade etmektedir. Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim; Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi vasıtasıyla gerçekleştirilir.




Veri Sorumluları Siciline Kayıt Olma Yükümlülüğünün İstisnası Var Mıdır?


Kanunun 28 inci maddesinde sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilir.




Veri Sorumluları Siciline Bildirim Hangi Unsurları İçerir?


Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir:
a. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
b. Kişisel verilerin hangi amaçla işleneceği,
c. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e. Kişisel veri güvenliğine ilişkin alınan tedbirler,
f. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre




Veri Sorumluları Sicilinin Kamuya Açık Olması Ne Demektir?


6698 Sayılı Kanunu’n 16 inci maddesinde Veri Sorumluları Sicilinin kamuya açık olarak tutulması öngörülmüştür. Buna göre, VERBİS’e veri sorumlularınca girilen bilgiler kurum internet sayfası olan www.kvkk.gov.tr adresi üzerinden paylaşılacaktır.
Sicil kamuya açık olarak tutulmakla birlikte Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmayacaktır. VERBİS sistemine, ilgili kişilerin kişisel verileri değil, aksine başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır. Kanunun 16’ncı maddesi gereği veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanmak zorunda olduğundan VERBİS’te bu bilgiler yer alacaktır.




Kişisel Verilere İlişkin Suçlar Ve Cezai Yaptırımlar Konusunda Kişisel Verilerin Korunması Kanunu Nasıl Bir Düzenleme Öngörmektedir?


Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir.




Kişisel Verilerin Koruması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür?


Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.




Kurul Kimler Hakkında İdari Yaptırım Kararı Verebilir?


İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Kabahat kapsamında sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.




Kişisel Verileri Koruma Kurumunun Hukuki Statüsü Nedir?


Kişisel Verileri Koruma Kurumu, idari ve mali özerkliğe sahip, kamu tüzel kişiliğini haizdir.




Kanunun Yayımından Önce İşlenmiş Kişisel Veriler İçin Bir Geçiş Süresi Var Mıdır?


Kanunun Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlenmiş kişisel verilerin durumu düzenlenmiştir. Buna göre, Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, Kanunun yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilmesi gerekmektedir. Bu süreç içerisinde, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinir, yok edilir veya anonim hâle getirilir.