6698 sayılı kişisel verilerin korunması kanunu hakkında doğru bilinen yanlışlar
6698 sayılı kişisel verilerin korunması kanunu hakkında doğru bilinen yanlışlar
DOSYAYI İNDİRMEK İÇİN AŞAĞIDAKİ LİNKE TIKLAYINIZ
6698 SAYILI
KİŞİSEL VERİLERİN KORUNMASI
KANUNU HAKKINDA
DOĞRU BİLİNEN YANLIŞLAR
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
HAKKINDA DOĞRU BİLİNEN YANLIŞLAR
KVKK Yayınları No: 31
Nisan 2020, Ankara
KİŞİSEL VERİLERİ KORUMA KURUMU
Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4
Balgat / Çankaya / ANKARA / TÜRKİYE
Tel: +90 312 216 50 00
web: www.kvkk.gov.tr
6698 SAYILI
KİŞİSEL VERİLERİN KORUNMASI
KANUNU HAKKINDA
DOĞRU BİLİNEN YANLIŞLAR
5
İÇİNDEKİLER
1) 6698 sayılı Kişisel Verilerin Korunması Kanununa
(6698 sayılı Kanun) göre tüzel kişilerin verileri de
korunmakta mıdır? …………………………………………………. 13
2) Bir kâğıt parçası üzerine gelişigüzel yazılan ad,
soyad ve telefon numaraları Kanun kapsamında
sayılabilir mi? …………………………………………………………. 14
3) Bir veri kayıt sistemi aracılığıyla işlenen kişisel
veriler Kanun kapsamında mıdır? ………………………………15
4) Otomatik olmayan yollarla kişisel veri işleyenler
Kanundan istisna mıdır? ………………………………………….. 15
5) Bilgisayarda bazı kişisel veriler sadece depolama
amacıyla dosya halinde tutulmakta ise, bu
durumda kişisel veri işlenmiş sayılır mı?……………………..16
6) Kişisel Verileri Koruma Kurumu (“Kurum”) bünyesinde
vatandaşların kişisel verileri saklanıyor mu? ……………….17
7) Veri sorumlusu, Kanun ile verilen görevleri yerine
getirmek üzere atanan bir gerçek kişi midir? ……………… 17
8) Bir şirket, veri sorumlusu olarak kimi
belirlemelidir?………………………………………………………… 18
9) Bir Bakanlık, veri sorumlusu olarak kimi
belirlemelidir?………………………………………………………… 19
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
6
10) Bir Bakanlığa bağlı, ilgili ve ilişkili birimler, veri
sorumlusu sayılır mı?………………………………………………. 19
11) Bir şirketler topluluğuna bağlı her bir şirket ayrıca
veri sorumlusu sayılır mı?………………………………………… 20
12) Bir şirketin çalışanları veya birimleri veri işleyen
midir? …………………………………………………………………… 21
13) Bir gerçek veya tüzel kişi hem veri sorumlusu hem
de veri işleyen olabilir mi?……………………………………….. 22
14) İlgili kişi Kanun kapsamındaki haklarına ilişkin
olarak veri sorumlusuna mı yoksa veri işleyene mi
başvurmalıdır?……………………………………………………….. 22
15) Bir veri sorumlusu nezdindeki kişisel verilerin
doğru ve gerektiğinde güncel olması hususunda
yükümlülük kimdedir?…………………………………………….. 23
16) Anonim hale getirilmiş bir veri kişisel veri midir?………… 24
17) Kişisel veriler sadece ilgili kişilerden açık rıza
alınması halinde mi işlenebilir? ………………………………… 25
18) Açık rıza dışındaki kişisel veri işleme şartlarından
birine dayalı olarak kişisel veri işlenmesi halinde
ayrıca ilgili kişiden açık rıza da almak mümkün
müdür? …………………………………………………………………. 25
19) Açık rızanın alınması herhangi bir şekle tabi midir? …….. 27
20) Açık rıza metinlerinin ne kadar süre saklanması
gerekmektedir? ……………………………………………………… 27
21) Bir alışveriş sırasında “kişisel verilerimin
işlenmesini ve paylaşılmasını kabul ediyorum”
şeklinde rıza alınarak kişisel verilerin işlenmesi
Kanuna uygun mudur? ……………………………………………. 28
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
7
22) Kişisel veriler ilgili kişinin kendisi tarafından
alenileştirilmiş ise veri sorumlusu bu kişisel verileri
herhangi bir amaçla işleyebilir mi? ……………………………. 29
23) Bir veri sorumlusu tarafından Kanunlarda açıkça
öngörülmesi şartına dayanarak kişisel veri
işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna
kapsamında mıdır? …………………………………………………. 30
24) Kişisel sağlık verileri, Kanunun 5. maddesinde
sayılan işleme şartlarına göre işlenebilir mi?……………….31
25) Kişisel sağlık verileri veri sorumlularınca meşru
menfaat kapsamında işlenebilir mi?…………………………..31
26) Kişinin ‘cinsiyeti’ özel nitelikli kişisel veri midir?…………..32
27) İlgili kişinin, kişisel verilerinin silinmesini veya yok
edilmesini talep etmesi halinde veri sorumluları, bu
talebi her koşulda yerine getirmeli midir?…………………..33
28) İlgili kişinin açık rızası olsa da yurt dışına veri
aktarımında taahhütname gerekir mi?……………………….34
29) Yurt dışına veri aktarım amacıyla imzalanan
taahhütname onay için Kişisel Verileri Koruma
Kuruluna (“Kurul”) gönderildiğinde, Kurulun yapacağı
değerlendirme için bir süre öngörülmüş müdür?………… 35
30) Kurul’un veri işlenmesini veya verinin yurt dışına
aktarımını durdurma yetkisi var mı?…………………………..35
31) Müşterilere yönelik aydınlatma metni ile açık rıza
metni aynı başlık altında sunulabilir mi? …………………….36
32) “Kanunlarda açıkça öngörülmesi” şartına dayalı
olarak kişisel veri işleniyorsa yine de aydınlatma
yükümlülüğü yerine getirilmeli mi? ……………………………38
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
8
33) Veri sorumluları, hazırladıkları aydınlatma
metinlerini Kuruma da göndermeli midir? …………………. 38
34) Aydınlatma metinlerinde saklama sürelerini
belirtmek gerekir mi? ……………………………………………… 39
35) Katmanlı aydınlatma nedir, aydınlatma yükümlülüğü
kapsamında “katmanlı aydınlatma” nasıl yapılmalıdır? …… 40
36) Bir çağrı merkezi, arayan kişileri bir web sayfası
linkine yönlendirerek katmanlı aydınlatma
gerçekleştirmektedir. Bu şekilde aydınlatma
yükümlülüğü yerine getirilmiş kabul edilir mi? …………… 42
37) Veri sorumlusu ile veri işleyenin ayrı kişiler olması
halinde, Kanun kapsamında sorumluluk nasıl
belirlenmektedir? …………………………………………………… 43
38) Bir şirket, imzaladığı bir sözleşme kapsamında veri
işleyenden hizmet almaktadır. Veri işleyen
tarafından bir ihlal gerçekleştirilmesi halinde
Kanuna göre sorumluluk kimde olacaktır?…………………. 44
39) Kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi durumunda veri
sorumlusu, bu durumu uygun gördüğü bir zaman
diliminde Kurula bildirebilir mi? ……………………………….. 45
40) Kişi sadece kendisi için mi veri sorumlusuna
başvurabilir?………………………………………………………….. 46
41) Veri sorumlusuna yapılan başvuruların Türkçe
olması gerekli midir? ………………………………………………. 46
42) Veri sorumlusu, ilgili kişiye başvuru tarihinden
itibaren 15. günde cevap vermişse, bu tarihten
itibaren kaç gün içinde Kurula şikâyette
bulunulabilir?…………………………………………………………. 46
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
9
43) Veri sorumlusuna başvuru tarihinden itibaren 30
gün geçtiği halde kendisine cevap verilmemişse,
ilgili kişi bu tarihten itibaren kaç gün içinde Kurula
şikâyette bulunabilir? ……………………………………………… 49
44) Veri sorumlusuna başvurmadan doğrudan Kurula
şikâyet yapılabilir mi? ……………………………………………… 51
45) İlgili kişi, şikâyetini e-posta, telefon veya çağrı
merkezi aracılığıyla Kuruma ulaştırabilir mi?……………….52
46) İlgili kişi Kurula şikâyet yoluna başvururken
tazminat talep edebilir mi?………………………………………. 52
47) Kurula şikâyet başvurusu yapıldığında Kurul ne
kadar sürede cevap vermek zorundadır? …………………… 53
48) Kanuni yükümlülüklerini yerine getirmeyen veri
sorumluları hakkında Kurul resen inceleme
yapabilir mi? ………………………………………………………….. 53
49) Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) kişisel
veri barındıracak mı? ………………………………………………. 54
50) Avukatlar Sicile kayıt yükümlülüğünden istisna
olduğu için Kanundan da istisna sayılır mı? …………………54
51) Kurum, kişisel veri saklama sürelerini belirleyerek
ilan edecek mi?………………………………………………………. 55
52) Bütün veri sorumluları, kişisel veri işleme envanteri
hazırlamak zorunda mıdır? ………………………………………. 56
53) Hazırlanan kişisel veri işleme envanteri Kuruma da
gönderilmeli midir?…………………………………………………. 57
54) Kişisel veri işleme envanterinin VERBİS’e
yüklenmesi gerekir mi?……………………………………………. 58
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
10
55) Kişisel veri işleme envanterinde saklama
sürelerinin belirtilmesi gerekli midir?………………………… 58
56) Veri sorumlularının hazırlamış olduğu kişisel veri
işleme envanteri ile kişisel veri saklama ve imha
politikasını Kurulun talep etme yetkisi var mıdır?……….. 59
57) Kamu Kurumlarında koordinasyon görevlisi nasıl
belirlenmelidir? ……………………………………………………… 59
58) Kamu Kurumlarında irtibat kişisi nasıl
belirlenmelidir? ……………………………………………………… 60
59) VERBİS’e kayıt başvuru formu, formda belirtilen
Kayıtlı Elektronik Posta (KEP) adresi yerine başka
bir KEP adresinden gönderilebilir mi? ……………………….. 60
60) Yurt dışında yerleşik veri sorumluları için Sicile
kayıt yükümlülüğünden istisna kriteri olarak çalışan
sayısı ve yıllık mali bilanço dikkate alınır mı? ……………… 61
61) Bir irtibat kişisi aynı anda birden fazla veri
sorumlusunun irtibat kişisi olarak atanabilir mi? ………… 61
62) VERBİS’in kamuya açık olarak tutulması nedeniyle
kişisel veriler de kamuya açık hale gelmiş olur mu?…….. 61
63) Vakıf üniversiteleri VERBİS’e kaydını “yurt içinde
yerleşik tüzel/gerçek kişi” bölümü üzerinden mi
gerçekleştirmelidir?………………………………………………… 62
64) Ticaret odaları VERBİS’e kaydını “yurt içinde
yerleşik tüzel/gerçek kişi” bölümü üzerinden mi
gerçekleştirmelidir?………………………………………………… 63
65) İstisna kapsamında olmadığı halde Sicile kayıt
yükümlülüğünü yerine getirmeyenler hakkında
işlem tesis edilecek midir?……………………………………….. 63
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
11
66) Kanun kapsamında yapılan incelemeler neticesinde
suç unsuruna rastlanılması halinde nasıl bir yol
izlenecektir?…………………………………………………………… 64
67) Kanunda belirtilen idari para cezaları her yıl
artırılıyor mu? ………………………………………………………… 64
68) Kurul tarafından düzenlenen idari para cezalarına
itiraz edilebilir mi? ………………………………………………….. 65
69) Kanunun 28. maddesinin 1. fıkrası gereği istisna
kapsamındaki bir veri sorumlusu, Kanundan da
istisna sayılır mı?…………………………………………………….. 65
70) Kanunun 28. maddesinin 2. fıkrası gereği istisna
kapsamındaki bir veri sorumlusu, Kanundan da
istisna sayılır mı?…………………………………………………….. 66
13
6698 SAYILI
KİŞİSEL VERİLERİN KORUNMASI
KANUNU HAKKINDA
DOĞRU BİLİNEN YANLIŞLAR
1) 6698 sayılı Kişisel Verilerin Korunması Kanununa (6698 sayılı Kanun) göre tüzel kişilerin verileri de korunmakta mıdır?
6698 sayılı Kanun tüzel kişilerin verilerini korumamaktadır.
6698 sayılı Kanunun 2. maddesinde, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler hakkında
uygulanacağı ifade edilmiştir. Buna göre Kanun,
kural olarak sadece gerçek kişilerin verilerini koruma kapsamına almış olup verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
14
2) Bir kâğıt parçası üzerine gelişigüzel yazılan ad,
soyad ve telefon numaraları Kanun kapsamında sayılabilir mi?
Bir kâğıt parçası üzerine gelişigüzel yazılan ad,
soyad ve telefon numaraları Kanun kapsamında
değildir.
Kişisel veri işlemenin Kanun kapsamında sayılabilmesi için işlenen kişisel verilerin bir veri kayıt
sisteminin parçası olması yani belirli bir takım kriterlere göre yapılandırılarak işlenmesi gerekmektedir. Ad, soyad ve telefon numarası gibi veriler bir
indeks, fihrist vb. bir veri kayıt sistemi dâhilinde
yazılmışsa, söz konusu veri işleme faaliyeti Kanuna
tâbi olacaktır.
Manuel yolla ve gelişigüzel bir biçimde bir kâğıt
parçası üzerine yazılan kişisel veriler Kanun kapsamında olmayacaktır. Bununla birlikte, bir veri kayıt
sisteminin parçası olmadan işlenen kişisel verilerin
6698 sayılı Kanuna tâbi olmaması durumu, bu verilerin keyfi bir biçimde kullanılabilecekleri anlamına
gelmemektedir. Zira konusu suç teşkil eden durumlar 5237 sayılı Türk Ceza Kanunu kapsamında ele
alınmaktadır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
15
3) Bir veri kayıt sistemi aracılığıyla işlenen kişisel
veriler Kanun kapsamında mıdır?
Bir veri kayıt sistemine bağlı olarak işlenen kişisel
veriler, 6698 sayılı Kanun kapsamındadır.
Kanunda “veri kayıt sistemi”; kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde tanımlanmıştır. Dolayısıyla kişisel veriler; fihrist, numara, ad – soyad, alfabe, kategori, sıralama gibi belirli kriterlere göre işleniyorsa Kanun
kapsamında olacaktır.
4) Otomatik olmayan yollarla kişisel veri işleyenler Kanundan istisna mıdır?
Kanun, otomatik olmayan yollarla kişisel veri işlenmesini tamamen Kanun kapsamı dışında tutmamaktadır. Otomatik olmayan yolla veri işleme eğer bir
veri kayıt sisteminin parçası olarak gerçekleştiriliyorsa bu durumda söz konusu veri işleme faaliyeti
de Kanun kapsamında kabul edilmektedir.
Dolayısıyla otomatik olmayan yolla işlenen kişisel
veriler, bir veri kayıt sisteminin parçası ise Kanun
kapsamında olacaktır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
16
5) Bilgisayarda bazı kişisel veriler sadece depolama amacıyla dosya halinde tutulmakta ise, bu
durumda kişisel veri işlenmiş sayılır mı?
Sadece depolama amacıyla dosya halinde bilgisayarda kişisel verilerin tutulması da kişisel veri işleme kapsamındadır.
6698 sayılı Kanunun 3. maddesinde kişisel verilerin
işlenmesi; “kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,
muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya
da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
Buna göre, kişisel veriler sadece depolama amacıyla
dosya halinde tutulsa ve üzerinde başkaca bir işlem
yapılmasa bile kişisel verilerin işlenmesi olarak değerlendirilecek ve bu faaliyet de Kanun kapsamında
kabul edilecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
17
6) Kişisel Verileri Koruma Kurumu (“Kurum”)
bünyesinde vatandaşların kişisel verileri saklanıyor mu?
Kurum bünyesinde, vatandaşların kişisel verileri
saklanmamaktadır. Ayrıca Kurumun, Türkiye’de
işlenen tüm kişisel verileri kaydetmek ve bunları
Kurum içerisinde muhafaza etmek gibi bir yetkisi ve
görevi de bulunmamaktadır.
Kişisel veriler, Kanunda belirtilen işleme şartlarının
mevcut olması halinde veri sorumluları tarafından
işlenmektedir. İşlenen kişisel verilerin kendisi veya
bir kopyasının Kuruma iletilmesi gibi bir durum da
söz konusu değildir.
7) Veri sorumlusu, Kanun ile verilen görevleri yerine getirmek üzere atanan bir gerçek kişi midir?
Kanunda veri sorumlusu; kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan,
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
18
yönetici veya bu faaliyetten sorumlu olan bir gerçek
kişi kastedilmemektedir.
Kişisel veri işleme faaliyetinin, tanımdaki kriterleri
taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde
gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir.
Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin
eczane) adına işlenmesi halinde de bu gerçek kişi
veri sorumlusudur.
8) Bir şirket, veri sorumlusu olarak kimi belirlemelidir?
Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir.
Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin
bizzat kendisidir.
Kanunda veri sorumlusu; kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Ayrıca Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusu-
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
19
nun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin
Kanunun uygulanması bakımından bir veya birden
fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.
9) Bir Bakanlık, veri sorumlusu olarak kimi belirlemelidir?
Bir Bakanlığın, veri sorumlusu sıfatını taşıyan kamu
kurum ve kuruluşunun veya kamu kurumu niteliğindeki meslek kuruluşunun bir veri sorumlusu
belirlemesi durumu söz konusu değildir.
Tüm bu kurum ve kuruluşlarda veri sorumlusu,
kurum veya kuruluşun bizzat kendisidir.
10) Bir Bakanlığa bağlı, ilgili ve ilişkili birimler, veri
sorumlusu sayılır mı?
Kanunda “veri sorumlusu”; kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
20
Bir Bakanlığa bağlı, ilgili ve ilişkili kuruluşlar kişisel
veri işleme amaç ve vasıtalarını kendisi belirlemiyorsa ve kişisel verilerin işlendiği veri kayıt sisteminin kurulması ve yönetilmesinden de sorumlu değilse veri sorumlusu sayılmayacaktır. Bu birimlerin
işlemekte oldukları tüm kişisel verilerle ilgili yükümlülükler, bağlı oldukları Bakanlık tarafından
yerine getirilecektir.
11) Bir şirketler topluluğuna bağlı her bir şirket
ayrıca veri sorumlusu sayılır mı?
Kanunda veri sorumlusu; kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Buna göre, veri sorumlusu statüsüne sahip olunup
olunmadığını belirleyebilmek için bu üç unsurun
varlığına bakmak gerekmektedir.
Bağlı şirketlerin her biri, kişisel veri işleme amaç ve
vasıtalarını kendileri belirliyorsa ve bir veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne
sahip olacaklardır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
21
12) Bir şirketin çalışanları veya birimleri veri işleyen midir?
Bir şirketin çalışanları veya alt birimleri “veri işleyen” değildir.
Kanunda “veri işleyen”; veri sorumlusunun verdiği
yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişi olarak tanımlanmıştır. Veri
işleyen mutlaka veri sorumlusunun bünyesi dışında
olmalıdır. Bu nedenle şirket çalışanları veya şirketin
kişisel veri işlemekte olan ilgili birimi, veri işleyen
olarak nitelendirilemez.
Örneğin bir şirket, çağrı merkezi hizmetini kendi
çalışanları veya birimi ile değil de dışarıdan hizmet
alımı yoluyla başka bir firma ile sözleşme yapmak
suretiyle karşılamaktadır. Bu durumda şirket veri
sorumlusu iken, şirket adına çağrı merkezi hizmeti
sunan firma da veri işleyendir. Çağrı merkezi hizmeti veren firma, çağrı merkezini telefonla arayan kişilerin kişisel verilerini kendisi adına değil bu hizmet
kapsamında şirket adına işlemekte olup veri işleyen
statüsündedir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
22
13) Bir gerçek veya tüzel kişi hem veri sorumlusu
hem de veri işleyen olabilir mi?
Bir gerçek veya tüzel kişi hem veri sorumlusu hem
de veri işleyen olabilir.
Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır.
Örneğin, bir çağrı merkezi şirketi kendi personeliyle
ilgili tuttuğu verilere ilişkin olarak veri sorumlusu
sayılırken, müşterisi olan şirketlere ilişkin tuttuğu
veriler bakımından veri işleyen olarak kabul edilecektir. Dolayısıyla, herhangi bir gerçek veya tüzel kişi
yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda
hem veri sorumlusu hem de veri işleyen olabilir.
14) İlgili kişi Kanun kapsamındaki haklarına ilişkin
olarak veri sorumlusuna mı yoksa veri işleyene
mi başvurmalıdır?
Kişisel verisi işlenen ilgili kişi, Kanun kapsamındaki
haklarına ilişkin olarak veri sorumlusuna başvurmalıdır.
6698 sayılı Kanunda, kişisel veri işleme faaliyetlerine
ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
23
Veri sorumlusu, kişisel verilerin işleme amaçlarını
ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
veri işleyen gerçek veya tüzel kişidir.
Buna göre veri işleyen, veri sorumlusunun talimatlarını yerine getirdiğinden ilgili kişinin, haklarına ilişkin olarak veri sorumlusuna başvurması gerekmektedir.
15) Bir veri sorumlusu nezdindeki kişisel verilerin
doğru ve gerektiğinde güncel olması hususunda yükümlülük kimdedir?
Kişisel verilerin doğru ve gerektiğinde güncel olması
hususunda yükümlülük veri sorumlusundadır.
Kanunun 4. maddesinde kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler sayılmış olup bu
ilkelerden birisi de “doğru ve gerektiğinde güncel
olma” ilkesidir. Bu ilkeye göre veri sorumlusu, ilgili
kişinin bilgilerini doğru ve gerektiğinde güncel tutmalıdır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
24
Veri sorumlusu, söz konusu bilgilerin doğru ve gerektiğinde güncel olmasını sağlayacak uygun iletişim kanallarını da açık tutmalıdır.
Dolayısıyla veri sorumlusunun, kural olarak ilgili
kişinin verilerini periyodik olarak güncellemek gibi
bir zorunluluğu bulunmamakla birlikte ilgili kişinin
temel hak ve özgürlüklerini önemli ölçüde etkileyebilecek veri işleme faaliyetleri bakımından bu bilgilerin doğru ve gerektiğinde güncel olması için veri
sorumlusu gereken özeni göstermelidir.
16) Anonim hale getirilmiş bir veri kişisel veri midir?
Anonim hale getirilmiş veriler kişisel veri niteliğini
kaybetmektedir.
Kanunda “anonim hale getirme”; kişisel verilerin,
başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Anonim hale getirilmiş veri, artık herhangi
bir kişiyle ilişkili değildir ve o kişiyi belirli veya belirlenebilir kılmaz. Dolayısıyla anonim hale getirilmiş bir veri artık kişisel veri değildir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
25
17) Kişisel veriler sadece ilgili kişilerden açık rıza
alınması halinde mi işlenebilir?
Açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunun 5.
ve 6. maddelerinde kişisel veri işleme faaliyeti için
açık rıza dışında da şartlar öngörülmüş olup bu
şartlardan birinin varlığı halinde, ilgili kişinin açık
rızası aranmaksızın kişisel verilerinin işlenmesi
mümkündür.
Buna göre, herhangi bir kişisel veri işleme faaliyeti
söz konusu olduğunda öncelikle bu maddelerde
belirtilen diğer işleme şartlarına bakılmalı, bu şartların bulunmadığı durumlarda açık rıza yoluna başvurulmalıdır.
18) Açık rıza dışındaki kişisel veri işleme şartlarından birine dayalı olarak kişisel veri işlenmesi
halinde ayrıca ilgili kişiden açık rıza da almak
mümkün müdür?
Açık rıza dışındaki kişisel veri işleme şartlarından
birine dayalı olarak kişisel veri işlenmesi halinde
ilgili kişiden ayrıca açık rıza alınmamalıdır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
26
Kanunun 5. ve 6. maddelerinde sayılan açık rıza
dışındaki kişisel veri işleme şartlarından herhangi
birinin bulunması halinde de kişisel verilerin işlenmesi mümkündür. Söz konusu işleme şartlarından
herhangi birinin bulunması kişisel veri işleme faaliyeti için tek başına yeterli olduğundan ilgili kişiden
ayrıca açık rıza alınmamalıdır. Örneğin 4857 sayılı İş
Kanununun 75. maddesi gereği özlük dosyası oluşturulması amacıyla çalışanın kimlik bilgileri, “kanunlarda açıkça öngörülmesi” işleme şartına dayanarak işlenmektedir. Bu durumda çalışandan ayrıca
açık rıza alınmamalıdır. Zira açık rıza, her zaman
için geri alınabilmektedir.
Açık rıza haricindeki diğer işleme şartlarından herhangi biri mevcut olmasına rağmen ilgili kişiden
açık rıza alma yoluna gidilmesi ilgili kişilerin yanıltılması olarak değerlendirilebilir. Bu durumda da
Kanunun 4. maddesindeki temel ilkelerden “hukuka
ve dürüstlük kurallarına uygun olma” ilkesine aykırılıktan bahsedebiliriz.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
27
19) Açık rızanın alınması herhangi bir şekle tabi
midir?
Kanunda açık rızanın alınması hususunda herhangi
bir şekil şartı öngörülmemiştir. Önemli olan açık
rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır.
Dolayısıyla, açık rıza sözlü, yazılı, elektronik ortam
vb. yöntemlerle alınabilir. Açık rızanın alındığı konusundaki ispat yükümlülüğü de veri sorumlusuna
aittir.
20) Açık rıza metinlerinin ne kadar süre saklanması
gerekmektedir?
İlgili mevzuatta bu konu hakkında herhangi bir süre
ya da şekil şartı öngörülmemiştir.
Açık rızanın hukuka uygun şekilde alınıp alınmadığının ispatı veri sorumlusuna ait olduğu için, açık
rıza metninin herhangi bir mağduriyete sebep olmayacak şekilde ve sürede saklanması veri sorumlusu
için önemlidir. Dolayısıyla da açık rıza metinlerinin
ne kadar süre saklanacağını veri sorumlusu makul
bir süre olmak koşuluyla kendisi belirlemelidir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
28
21) Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi
Kanuna uygun mudur?
Bir alışveriş sırasında “kişisel verilerimin işlenmesini
ve paylaşılmasını kabul ediyorum” şeklinde rıza
alınarak kişisel verilerin işlenmesi Kanuna uygun
değildir.
Kanunun 3. maddesinde “açık rıza”; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür
iradeyle açıklanan rıza olarak tanımlanmıştır.
Buna göre, eğer kişisel veri işlerken açık rıza almak
gerekiyorsa, alınan açık rızanın bu üç unsuru da
içermesi gerekmektedir. Bu üç unsurdan herhangi
birinin eksik olması halinde açık rızanın varlığından
bahsedilemeyecektir.
“Tüm kişisel verilerimin işlenmesine ve paylaşılmasına izin veriyorum” şeklinde verilen açık rıza belirli
bir konuya ilişkin olmayıp hangi verilerin işleneceği
ve kimlerle paylaşılacağı konusu da net olmadığından açık rıza olarak değerlendirilmeyecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
29
22) Kişisel veriler ilgili kişinin kendisi tarafından
alenileştirilmiş ise veri sorumlusu bu kişisel verileri herhangi bir amaçla işleyebilir mi?
Kişisel veriler ilgili kişinin kendisi tarafından alenileştirilmiş olsa bile veri sorumlusu, bu kişisel verileri
herhangi bir amaçla işleyemez.
Veri sorumlusunca, ilgili kişinin kendisi tarafından
alenileştirilmiş kişisel verilerinin işlenebilmesi için,
verilerin ait olduğu kişi tarafından hangi amaçla
alenileştirildiğini (alenileştirme iradesini) değerlendirmek gerekir. İlgili kişinin kendisi tarafından kişisel verilerinin alenileştirilmesi, bu verilerin isteyen
herkes tarafından alenileştirme amacından farklı bir
amaçla işlenebileceği anlamına gelmemektedir. Dolayısıyla, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel veriler, sadece ilgili kişinin alenileştirme amacı doğrultusunda işlenebilecektir.
Örneğin bir internet sitesi aracılığıyla aracını satışa
çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla
ilgili bilgi almak amacı ile kullanılabilir. Bu kişisel
verilerin, bunun dışında bir amaçla kullanılması
Kanunun 4. maddesine aykırılık teşkil edecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
30
23) Bir veri sorumlusu tarafından Kanunlarda açıkça öngörülmesi şartına dayanarak kişisel veri
işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna kapsamında mıdır?
Bir veri sorumlusu tarafından işlenen kişisel veriler
Kanunlarda açıkça öngörülmesi şartına dayanarak
işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna
olmasını gerektirmez.
Kanunun 5. maddesinde “Kanunlarda açıkça öngörülme” şartı, Kanunun 6. maddesinde ise “Kanunlarda öngörülme” şartı, kişisel veri işleme şartlarından biridir.
Kanunun 5 ve 6. maddelerinde sayılan işleme şartlarının mevcut olması, o kişisel verilerin işlenmesini
mümkün kılan şartlardır. Bir faaliyetin bu işleme
şartlarından herhangi birine dayalı olarak gerçekleştirilmesi, Kanundan istisna olunması anlamına gelmez, Kanun hükümleri bu faaliyetler için uygulanmaya devam edecektir.
İstisna ile ilgili hükümler, Kanunun 28. maddesinde
sınırlı sayma yoluyla belirlenmiş olduğundan sadece
bu madde kapsamına giren durumlarda istisnadan
bahsedilebilecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
31
24) Kişisel sağlık verileri, Kanunun 5. maddesinde
sayılan işleme şartlarına göre işlenebilir mi?
Kişisel sağlık verileri, Kanunun 5. maddesinde sayılan işleme şartlarına göre işlenemez.
Kişisel sağlık verileri, Kanunun 6. maddesinde sınırlı
sayma yöntemiyle belirlenen özel nitelikli kişisel verilerdendir. Özel nitelikli kişisel verilerin işlenme şartları da yine Kanunun 6. maddesinde ifade edilmiştir.
Dolayısıyla, kişisel sağlık verilerinin işlenebilmesi
için, özel nitelikli kişisel verilerin işlenme şartlarının
belirlendiği bu madde hükmü dikkate alınmalıdır.
25) Kişisel sağlık verileri veri sorumlularınca meşru
menfaat kapsamında işlenebilir mi?
Kişisel sağlık verileri, veri sorumlusunun meşru
menfaati kapsamında işlenemez.
Kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin
her türlü bilgi ile kişiye sunulan sağlık hizmetiyle
ilgili bilgilerdir. Kişisel sağlık verileri, Kanunun 6.
maddesinde sayılan özel nitelikli kişisel veriler arasında yer almaktadır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
32
Özel nitelikli kişisel verilerin işlenmesi şartları da bu
maddede düzenlenmiş olup buna göre sağlık verilerinin işlenebilmesi için kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işleniyor olması veya
ilgili kişinin açık rızasının alınması gerekmektedir.
Kişisel sağlık verilerinin işlenmesi, bu madde kapsamında amaç ve kişi yönünden sınırlandırılmıştır.
Diğer bir deyişle açık rıza haricinde, sadece belirtilen
amaçlarla ve belirtilen kişi veya kuruluşlarca işlenebilmesi mümkündür.
Anılan madde hükmünden de anlaşılacağı üzere
özel nitelikli kişisel veriler arasında yer alan kişisel
sağlık verileri, kişisel veri işleme şartı olan meşru
menfaat kapsamında işlenemez.
26) Kişinin ‘cinsiyeti’ özel nitelikli kişisel veri midir?
“Cinsiyet” verisi özel nitelikli kişisel veri değildir.
Özel nitelikli kişisel veriler Kanunun 6. maddesinde
sınırlı sayma yöntemiyle belirlenmiş olup bunlar
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
33
içerisinde, kişinin cinsiyeti sayılmamıştır. Özel nitelikli kişisel veriler arasında sayılan; cinsiyet değil
cinsel hayata ilişkin kişisel verilerdir. Dolayısıyla
“cinsiyet” özel nitelikli kişisel veri değildir.
27) İlgili kişinin, kişisel verilerinin silinmesini veya
yok edilmesini talep etmesi halinde veri sorumluları, bu talebi her koşulda yerine getirmeli midir?
İlgili kişinin, kişisel verilerinin silinmesini veya yok
edilmesini talep etmesi halinde veri sorumluları, bu
talebi her koşulda yerine getirmek zorunda değildir.
Kanunun 7. maddesinde, Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine
veri sorumlusu tarafından silinmesi veya yok edilmesi gerektiği ifade edilmektedir.
Ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi veya
Anonim Hale Getirilmesi Hakkında Yönetmeliğin
12. maddesinde, kişisel verileri işleme şartlarının
tamamı ortadan kalkmışsa; veri sorumlusunun en
geç otuz gün içinde bu kişisel verileri silmesi, yok
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
34
etmesi veya anonim hale getirmesi ve ilgili kişiye
bilgi vermesi gerektiği, eğer bu kişisel veriler üçüncü
kişilere aktarılmışsa üçüncü kişilerin de gerekli işlemlerin yapılmasını temin etmesi gerektiği, işleme
şartlarının tamamı ortadan kalkmamışsa bu talebin
en geç otuz gün içinde gerekçesi açıklanarak yazılı
veya elektronik ortamda verilecek cevap ile reddedilebileceği hükümleri yer almaktadır.
Dolayısıyla ilgili kişinin, kişisel verilerinin silinmesi
veya yok edilmesini talep etmesi halinde veri sorumlusu, öncelikle kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığına bakmalı,
herhangi bir işleme şartı bulunmuyorsa silinmeli,
yok edilmeli veya anonim hâle getirilmelidir.
28) İlgili kişinin açık rızası olsa da yurt dışına veri
aktarımında taahhütname gerekir mi?
İlgili kişinin açık rızasının olması durumunda taahhütname imzalanmasına gerek yoktur, yurtdışına
aktarım yapılabilir. Açık rıza olmaması durumundaysa, Kanunun 9. maddesi hükümlerine göre aktarım yapılmalıdır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
35
29) Yurt dışına veri aktarım amacıyla imzalanan
taahhütname onay için Kişisel Verileri Koruma
Kuruluna (“Kurul”) gönderildiğinde, Kurulun
yapacağı değerlendirme için bir süre öngörülmüş müdür?
Kanun veya ikincil mevzuatta, taahhütnamenin incelenmesi için herhangi bir süre öngörülmemiştir.
Yurt dışına veri aktarımı amacıyla imzalanan taahhütnamelerin Kurula gönderilmesi halinde, Kurul
çeşitli kriterlere göre değerlendirme yaparak karar
verir.
30) Kurul’un veri işlenmesini veya verinin yurt dışına aktarımını durdurma yetkisi var mı?
Kanunun 15. maddesine göre Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka
aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına
karar verebilir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
36
31) Müşterilere yönelik aydınlatma metni ile açık
rıza metni aynı başlık altında sunulabilir mi?
Kanunun 10. maddesine göre aydınlatma yükümlülüğü, kişisel verinin ilgili kişiden elde edilmesi sırasında yerine getirilmesi gereken bir yükümlülüktür.
Açık rıza veya diğer kişisel veri işleme şartlarından
hangisine dayalı olarak kişisel veri işlenirse işlensin
aydınlatma yükümlülüğü yerine getirilmelidir.
Kanunun 5. ve 6. maddesinde sayılan açık rıza şartı
haricindeki işleme şartlarından herhangi birine dayalı olarak kişisel veri işleniyorsa sadece aydınlatma
yükümlülüğü yerine getirilmeli, ilgili kişilere ayrıca
açık rıza metni sunulmamalıdır.
Ancak, söz konusu diğer işleme şartlarından herhangi biri bulunmamasına rağmen kişisel veriler
işlenmek isteniyorsa bu durumda ilgili kişinin hem
aydınlatılması hem de açık rızasının alınması gerekmektedir. Örneğin bir otel, müşterilerine daha
sonraki dönemlerde reklam amaçlı ticari elektronik
ileti göndermek istiyorsa, hem işlediği kişisel veriler
için ilgili kişiyi aydınlatması hem de ticari elektronik
iletiler için ilgili kişinin açık rızasını alması gerekmektedir. Buna göre, otelin hem aydınlatma yükümlülüğünü yerine getirdiğinin ispatı için ilgili kişiden
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
37
“bilgi edindiğine” dair imza alması hem de söz konusu kişisel verilerin işleme şartının açık rıza olması
dolayısıyla ayrıca açık rıza metni ile onay alması
mümkündür.
Bu durumda, Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında
Tebliğin 5. maddesine göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık
rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi” gerekmektedir.
Buna göre, aydınlatma ve açık rıza bir metin aracılığıyla gerçekleştiriliyorsa bu metinlerin farklı sayfalarda olması önerilmektedir. Eğer aynı sayfada olması isteniyorsa, her iki metnin farklı başlıklar altında olması ve açık rıza verilmesine yönelik ayrı bir
bölümün de yer alması gerekmektedir.
Öte yandan, aydınlatma ve açık rıza metinlerinin
birbiri içerisine girmeyecek şekilde hazırlanması
gerekmektedir. Eğer veri sorumlusunun ispatı için
ilgili kişiden imza alınıyorsa veya işaretleme yapılması isteniyorsa, her ikisi için tek imza veya onay
alınması yöntemi değil ayrı ayrı imza veya onay
alınması yöntemi kullanılmalıdır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
38
32) “Kanunlarda açıkça öngörülmesi” şartına dayalı olarak kişisel veri işleniyorsa yine de aydınlatma yükümlülüğü yerine getirilmeli mi?
Kişisel veriler hangi işleme şartına dayanarak işlenirse işlensin, yine de aydınlatma yükümlülüğü yerine getirilmelidir.
“Kanunlarda açıkça öngörülmesi”, Kanunun 5.
maddesinde sayılan kişisel veri işleme şartlarından
birisidir. Aydınlatma yükümlülüğü ise Kanunun 10.
maddesinde açıklanan ve işleme şartı ne olursa olsun tüm kişisel veri işleme faaliyetleri kapsamında
yerine getirilmesi gereken bir yükümlülüktür.
Bu nedenle, kişisel veri işleme faaliyeti kanunlarda
açıkça öngörülse bile veri sorumlusunca ilgili kişilere yönelik aydınlatma yükümlülüğü yerine getirilmelidir.
33) Veri sorumluları, hazırladıkları aydınlatma metinlerini Kuruma da göndermeli midir?
Hazırlanan aydınlatma metinlerinin Kuruma gönderilmesi gibi bir durum söz konusu değildir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
39
Kanunun 10. maddesi gereği aydınlatma yükümlülüğü, kişisel verilerin elde edilmesi esnasında kişisel
verisi işlenen ilgili kişilerin bilgilendirilmesini ifade
eder. Söz konusu bilgilendirme; yazılı, sözlü, görsel
vb. vasıtalarla yerine getirilebilmektedir.
Kanun veya ilgili diğer mevzuatta, hazırlanan aydınlatma metinlerinin Kuruma gönderilmesinin gerektiği şeklinde bir hüküm yer almamaktadır.
34) Aydınlatma metinlerinde saklama sürelerini
belirtmek gerekir mi?
Aydınlatma metinlerinde saklama süresinin belirtilmesi zorunlu değildir.
Kanunun 10. maddesine göre veri sorumlusu, aydınlatma yükümlülüğü kapsamında ilgili kişilere; veri
sorumlusunun ve varsa temsilcisinin kimliği, kişisel
verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel
veri toplamanın yöntemi ve hukuki sebebi ile 11.
maddede sayılan ilgili kişi hakları konusunda bilgi
vermekle yükümlüdür.
Ayrıca, aydınlatma metninin içeriği, Kanunun 10.
maddesi gereği, Kurul tarafından hazırlanmış ve
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
40
Resmi Gazetede yayımlanmış olan “Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak
Usul ve Esaslar Hakkında Tebliğe” uygun olmalıdır.
Buna göre, aydınlatma metninde saklama sürelerinin belirtilmesi zorunlu olmamakla birlikte, isteğe
bağlı olarak saklama süreleri belirtilebilecektir.
35) Katmanlı aydınlatma nedir, aydınlatma yükümlülüğü kapsamında “katmanlı aydınlatma” nasıl yapılmalıdır?
Aydınlatma yükümlülüğünün kapsamı ve hangi
bilgilerin verileceği Kanunda açıklanmıştır. Buna
rağmen, bu bilgilerin tamamının aydınlatma yükümlülüğünün yerine getirilme zamanı olan kişisel
verilerin elde edilmesi sırasında ilgili kişiye açıklanması mümkün olmayabilir. Bu durumda katmanlı bilgilendirme yöntemi ile veri sorumlusu aydınlatma yükümlülüğünü yerine getirebilir.
Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde edildiği konusunda kısa, anlaşılabilir, açık, sade bir yöntemle bilgilendirme yapılması ve Kanunun 10. maddesinde yer alan aydınlatmaya ilişkin diğer hususlar
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
41
hakkında bilgi edinilmesi için, ilgili kişinin bu kısa
bilgilendirmeden sonra erişerek ulaşabileceği bir
ortama yönlendirilmesi olarak tanımlanabilmektedir.
Örneğin, kamera kaydı alınan bir iş yerinde, ilgili
kişi bir kamera logosu ile kamera kaydı yöntemiyle
kişisel verilerinin elde edildiği konusunda bilgilendirilebilir. Kamera kayıtlarının hangi amaç, hangi
hukuki sebep ve yöntem ile elde edildiği, ilgili kişinin hakları gibi detaylar ise ilgili kişinin bu kamera
logosu vasıtasıyla yönlendirildiği bir dokümanda
(kişisel verilerin korunması ve işlenmesine ilişkin
politika, kamera kayıtlarına ilişkin aydınlatma metni
vb.) detaylandırılabilir.
Örneğin, çağrı merkezi hizmeti kapsamında çağrı
merkezini arayan kişilere, bu arama esnasında işlenen verilerle ilgili bilgilendirmeyi dinlemek için bir
tuşa basılmasının istenmesi, belirtilen tuşa basıldığında aydınlatma metninin dinlenmesi de katmanlı
aydınlatma olarak değerlendirilebilir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
42
36) Bir çağrı merkezi, arayan kişileri bir web sayfası
linkine yönlendirerek katmanlı aydınlatma gerçekleştirmektedir. Bu şekilde aydınlatma yükümlülüğü yerine getirilmiş kabul edilir mi?
Katmanlı aydınlatma yapılması; kişisel verilerin elde
edilmesi sırasında ilgili kişiye, kişisel veri işlenmesi
konusunda kısa, anlaşılır, açık ve sade bir yöntemle
bilgilendirilme yapılması, Kanunun 10. maddesindeki aydınlatma yükümlülüğü kapsamında verilmesi gereken diğer bilgiler için, ilgili kişinin bu bilgilendirmeden sonra erişerek okuyabileceği bir ortama
yönlendirilmesi anlamına gelmektedir.
Dolayısıyla, ilgili kişinin doğrudan bir linke yönlendirilmesi katmanlı aydınlatma yapılması anlamına gelmemektedir. Örneğin, telefondaki ilgili
kişiye kısa, anlaşılır, sade bir ön aydınlatma (bilgilendirme) yaptıktan sonra o kişiyi aydınlatma metninin yer aldığı linke yönlendirmek daha uygun bir
yöntemdir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
43
37) Veri sorumlusu ile veri işleyenin ayrı kişiler
olması halinde, Kanun kapsamında sorumluluk
nasıl belirlenmektedir?
Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorundadır. Kişisel
verilerin veri sorumlusu adına başka bir gerçek veya
tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu
kişilerle birlikte müştereken sorumludur.
Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı
olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin
veri sorumlusu adına başka bir gerçek veya tüzel
kişi tarafından işlenmesi halinde, kişisel verilerin
hukuka aykırı işlenmesini önlemek, kişisel verilere
hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de
veri sorumlusu ile birlikte sorumludur.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
44
38) Bir şirket, imzaladığı bir sözleşme kapsamında
veri işleyenden hizmet almaktadır. Veri işleyen
tarafından bir ihlal gerçekleştirilmesi halinde
Kanuna göre sorumluluk kimde olacaktır?
Bir veri ihlali olması halinde Kanun, sorumluluğu
veri sorumlusuna yüklemiştir.
Kanunda veri işleyen; veri sorumlusunun verdiği
yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişi olarak tanımlanmıştır. Buna
göre veri işleyen, veri sorumlusu adına, ondan aldığı
yetki ve talimata göre kişisel veri işlemektedir.
Kanunun 12. maddesine göre; veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel
kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle
birlikte müştereken sorumludur.
Buna göre, veri işleme faaliyeti kapsamında bir ihlal
olması halinde, bu ihlalin veri sorumlusu veya veri
işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden
sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri
işleyen tarafından gerçekleştirildiğini tespit etmesi
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
45
durumunda, aralarındaki sözleşme gereği ihlalin
veri işleyeni ilgilendiren kısmı ile ilgili olarak veri
işleyene rücu edebilmesi mümkündür.
Örneğin veri sorumlusu bir şirketin muhasebe kayıtlarını herhangi bir muhasebe şirketi tutuyorsa, söz
konusu kişisel verilerin işlenmesine ilişkin olarak
Kanunda belirtilen tedbirlerin alınması hususunda
veri sorumlusu şirket, muhasebe şirketiyle birlikte
müştereken sorumlu olacaktır. Ancak veri sorumlusu
şirketin çalışanlarına ait kayıtlarla ilgili olarak veri
işleyen konumundaki muhasebe şirketi dâhilinde bir
ihlal gerçekleşirse bu ihlal ile ilgili sorumluluk veri
sorumlusu olan şirkete ait olmakla birlikte, veri sorumlusu şirket muhasebe şirketine rücu edebilecektir.
39) Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri
sorumlusu, bu durumu uygun gördüğü bir zaman diliminde Kurula bildirebilir mi?
Kurulun 2019/10 sayılı Kararına göre, işlenen kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en
geç 72 saat içerisinde “Kişisel Veri İhlal Bildirim Formu”nu kullanarak ihlali Kurula bildirmelidir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
46
40) Kişi sadece kendisi için mi veri sorumlusuna
başvurabilir?
Kanunun 11. maddesi gereği ilgili kişi kural olarak
kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahiptir.
41) Veri sorumlusuna yapılan başvuruların Türkçe
olması gerekli midir?
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 4. maddesinde ilgili kişilerin başvurularını Türkçe olarak yapmak kaydıyla bu haktan
yararlanabileceği belirtilmiştir.
Dolayısıyla veri sorumlusuna yapılan başvuruların
Türkçe olması gerekmektedir.
42) Veri sorumlusu, ilgili kişiye başvuru tarihinden
itibaren 15. günde cevap vermişse, bu tarihten
itibaren kaç gün içinde Kurula şikâyette bulunulabilir?
Kanunun 13. maddesinde, ilgili kişinin Kanunun
uygulanmasına yönelik taleplerini yazılı olarak veya
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
47
Kurulun belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, veri sorumlusunun başvuruda yer
alan talepleri, talebin niteliğine göre en kısa sürede
ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.
Öte yandan, Kanunun 14. maddesinde de başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; ilgili kişinin, veri sorumlusunun cevabını
öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.
Kanunda yer alan bu sürelerin yorumlanmasına
ilişkin 2019/9 sayılı Kurul kararında ise Kanunun 14.
maddesi uyarınca;
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını
müteakip 30 gün içerisinde şikâyette bulunabileceğine, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığına,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise
ilgili kişinin veri sorumlusuna başvurduğu tarih-
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
48
ten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre
sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle
yükümlü olmadığı ve veri sorumlusuna tanınan
sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri
sorumlusunun kendisine cevap verdiği tarihten
itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine
karar verilmiş ve bu Karar kamuoyuna duyurulmuştur.
Örneğin ilgili kişi 01.01.2019 tarihinde veri sorumlusuna başvurmuş ve veri sorumlusu tarafından bu
başvuruya 16.01.2019 tarihinde cevap verilmişse bu
durumda ilgili kişinin, söz konusu cevap tarihi olan
16.01.2019 tarihinden itibaren 30 gün içinde Kurula
şikâyet başvurusunda bulunma hakkı vardır. Dolayısıyla bu örneğe göre ilgili kişi tarafından Kurula en
geç 15.02.2019 tarihinde şikayette bulunulması gerekmektedir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
49
43) Veri sorumlusuna başvuru tarihinden itibaren
30 gün geçtiği halde kendisine cevap verilmemişse, ilgili kişi bu tarihten itibaren kaç gün
içinde Kurula şikâyette bulunabilir?
Kanunun 13. maddesinde, ilgili kişinin Kanunun
uygulanmasına yönelik taleplerini yazılı olarak veya
Kurulun belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, veri sorumlusunun başvuruda yer
alan talepleri, talebin niteliğine göre en kısa sürede
ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.
Öte yandan, Kanunun 14. maddesinde de başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; ilgili kişinin, veri sorumlusunun cevabını
öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.
Kanunda yer alan bu sürelerin yorumlanmasına
ilişkin 2019/9 sayılı Kurul kararında ise Kanunun 14.
maddesi uyarınca;
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
50
müteakip 30 gün içerisinde şikâyette bulunabileceğine, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığına,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise
ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre
sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle
yükümlü olmadığı ve veri sorumlusuna tanınan
sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri
sorumlusunun kendisine cevap verdiği tarihten
itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine,
karar verilmiş ve bu Karar kamuoyuna duyurulmuştur.
Dolayısıyla, ilgili kişi tarafından yapılan başvuruya
veri sorumlusunca 30 günlük süre içinde bir cevap
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
51
verilmediği takdirde ilgili kişi, veri sorumlusuna
başvurduğu tarihten itibaren 60 gün içinde, yani veri
sorumlusunun 30 günlük cevap süresinin bitiminden itibaren 30 gün içinde Kurula şikâyette bulunabilecektir.
Örneğin; ilgili kişi 01.03.2020 tarihinde veri sorumlusuna başvurmuş ve veri sorumlusu ilgili kişiye 30
günlük yasal süresi içerisinde cevap vermemişse bir
durumda ilgili kişinin Kurula şikayet başvurusunda
bulunabileceği en son tarih 30.04.2020 olacaktır.
Aynı başvuru için veri sorumlusu ilgili kişiye
10.04.2020 tarihinde yani başvuru tarihinden itibaren
40’ıncı günde cevap vermişse bu durumda da ilgili
kişinin Kurula şikayet başvurusunda bulunabileceği
son tarih 30.04.2020 olacaktır.
44) Veri sorumlusuna başvurmadan doğrudan Kurula şikâyet yapılabilir mi?
Veri sorumlusuna başvurmadan doğrudan Kurula
şikâyet yapılamamaktadır.
Kanunun 13. ve 14. maddeleri gereği, ilgili kişinin
Kurula şikâyet yoluna gidebilmesi için öncelikle veri
sorumlusuna başvurması gerekmektedir. Buna göre,
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
52
veri sorumlusuna başvurmak zorunlu, daha sonra
Kurula şikâyet yoluna başvurmak ise isteğe bağlıdır.
Dolayısıyla veri sorumlusuna başvuru yolu tüketilmeden Kurula şikâyet yoluna gidilemez.
45) İlgili kişi, şikâyetini e-posta, telefon veya çağrı
merkezi aracılığıyla Kuruma ulaştırabilir mi?
Kurula yapılacak şikâyet başvuruları, 3071 sayılı
Dilekçe Hakkının Kullanılmasına Dair Kanun çerçevesinde ıslak imzalı olarak Kurumun posta adresine
ulaştırılabileceği gibi Kurumun internet sayfasında
yer alan şikayet modülü kullanılarak da başvuru
yapılabilmektedir.
Kurumumuzun mevcut uygulaması gereği e-posta,
telefon veya çağrı merkezi aracılığıyla Kurula şikâyette bulunulamamaktadır.
46) İlgili kişi Kurula şikâyet yoluna başvururken
tazminat talep edebilir mi?
6698 sayılı Kanunun 14. maddesi uyarınca, kişilik
hakları ihlal edilenlerin genel hükümlere göre tazminat hakkı saklıdır. Ancak bu durum, tazminatın
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
53
Kişisel Verileri Koruma Kurumundan talep edilebileceği anlamına gelmemektedir. Yargı mercilerine
başvurularak, veri sorumlularından tazminat talep
edilebilecektir.
47) Kurula şikâyet başvurusu yapıldığında Kurul ne
kadar sürede cevap vermek zorundadır?
Kanunun 15. maddesinde “Şikâyet üzerine Kurul,
talebi inceleyerek ilgililere bir cevap verir. Şikâyet
tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.” hükmü yer almaktadır.
Buna göre Kurul, şikâyet üzerine talebi inceleyerek
ilgililere bir cevap vermekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılmaktadır.
48) Kanuni yükümlülüklerini yerine getirmeyen
veri sorumluları hakkında Kurul resen inceleme
yapabilir mi?
Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda inceleme yapma yetkisi bulunmaktadır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
54
49) Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”)
kişisel veri barındıracak mı?
Veri Sorumluları Siciline kayıt yükümlülüğü yerine
getirilirken, Veri Sorumluları Sicil Bilgi Sistemine
(VERBİS) ilgili kişilerin kişisel verilerine ait bilgi
girişi yapılmamaktadır.
VERBİS’e, kişisel verilerin hangi amaçlarla işleneceği,
ne kadar süreyle muhafaza edileceği, nerelere aktarılabileceği ve alınacak güvenlik tedbirleri gibi bilgiler
kategorik bazda girilecektir. Dolayısıyla VERBİS, ilgili
kişilere ait kişisel veri barındırmamaktadır.
50) Avukatlar Sicile kayıt yükümlülüğünden istisna
olduğu için Kanundan da istisna sayılır mı?
Sicile kayıt yükümlülüğünden istisna olmak Kanundan da istisna olunacağı anlamına gelmemektedir.
Kanunun 16. maddesi ile Kurula verilmiş olan yetki
çerçevesinde, Kurul tarafından alınan 2018/85 sayılı
Karar gereği Avukatlık Kanununa göre yetki almış
avukatlar, sadece Sicile kayıt yükümlülüğünden istisna tutulmuştur. Dolayısıyla Kanun avukatlar için,
diğer hükümleriyle uygulanmaya devam edecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
55
51) Kurum, kişisel veri saklama sürelerini belirleyerek ilan edecek mi?
Kurum, faaliyetleri kapsamında işledikleri kişisel
verileri ne kadar süreyle saklayabilecekleri hususunda veri sorumlularına herhangi bir yönlendirmede bulunmamaktadır. Bu konuda 6698 sayılı
Kanunun 7. maddesinde, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel
verilerin işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde resen veya ilgili kişinin talebi
üzerine veri sorumlusu tarafından silinmesi veya
yok edilmesi gerektiği, 4. maddesinde ise ilgili
mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza edilme ilkesi yer
almaktadır.
Buna göre veri sorumluları, işledikleri kişisel verilerle ilgili olarak öncelikle ilgili mevzuatta saklama
süresine yönelik herhangi bir hüküm olup olmadığına bakacak, hüküm bulunması halinde işledikleri
kişisel verileri sadece öngörülen bu süre kadar saklayabilecektir.
Eğer ilgili mevzuatta saklama süresine dair bir hüküm yoksa bu durumda veri sorumlusu tarafından
kişisel veri işleme amacını gerçekleştirmeye yetecek
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
56
kadar saklama süresi belirlenebilecektir. Saklama
süresi belirlenirken, Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesinde belirtilen kriterler
dikkate alınmalıdır.
Dolayısıyla, veri sorumluları, varsa ilgili mevzuatta
öngörülen süreyi dikkate alacak, eğer mevzuatta
öngörülen bir süre yoksa söz konusu kriterlere göre
saklama süresini kendisi belirleyecektir.
Kurumun saklama sürelerine dair bir ilanı olmayacaktır.
52) Bütün veri sorumluları, kişisel veri işleme envanteri hazırlamak zorunda mıdır?
Bütün veri sorumluları, kişisel veri işleme envanteri
hazırlamak zorunda değildir.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5.
maddesi uyarınca kişisel veri işleme envanteri hazırlanması, Sicile kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülüktür.
Dolayısıyla Sicile kayıt yükümlülüğünden istisna
olan veri sorumlularının kişisel veri işleme envanteri
hazırlama zorunluluğu bulunmamaktadır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
57
Bununla birlikte, Sicile kayıttan istisna olan veri sorumlularının da kişisel veri işleme envanteri hazırlamaları önerilmektedir.
53) Hazırlanan kişisel veri işleme envanteri Kuruma da gönderilmeli midir?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5.
maddesi uyarınca kişisel veri işleme envanteri hazırlanması, Sicile kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülük
olup hazırlanan kişisel veri işleme envanterini Kuruma göndermek gibi bir zorunluluk söz konusu
değildir.
Kişisel veri işleme envanteri, Sicile kayıtla yükümlü
olan veri sorumluları için getirilmiş bir yükümlülük
olup hazırlanan envanter veri sorumlusunun organizasyonu içerisinde kalmalıdır. Bununla birlikte,
aydınlatma metinlerinin oluşturulması, ilgili kişilerin başvurularına cevap verilmesi ve Sicile kayıt esnasında bu envanterden faydalanılması gerekmektedir. Ayrıca, şikâyet üzerine veya resen yapılan
inceleme esnasında Kurul tarafından, envanterin
Kuruma ibraz edilmesi veya iletilmesi de istenebilecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
58
54) Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gerekir mi?
Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gibi bir durum söz konusu değildir.
55) Kişisel veri işleme envanterinde saklama sürelerinin belirtilmesi gerekli midir?
Kişisel veri işleme envanterinde saklama sürelerinin
belirtilmesi gerekmektedir.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 4.
maddesinde “kişisel veri işleme envanteri”; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini,
kişisel veri işleme amaçları ve hukuki sebebi, veri
kategorisi, aktarılan alıcı grubu ve veri konusu kişi
grubuyla ilişkilendirerek oluşturdukları ve kişisel
verilerin işlendikleri amaçlar için gerekli olan azami
muhafaza edilme süresini, yabancı ülkelere aktarımı
öngörülen kişisel verileri ve veri güvenliğine ilişkin
alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.
Dolayısıyla, tanımda belirtilen “kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
59
edilme süresi” ifadesinden; saklama sürelerinin envanterde belirtilmesi gerektiği anlaşılmaktadır.
56) Veri sorumlularının hazırlamış olduğu kişisel
veri işleme envanteri ile kişisel veri saklama ve
imha politikasını Kurulun talep etme yetkisi var
mıdır?
Kanunun 15. maddesine göre Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda
re’sen, görev alanına giren konularda gerekli incelemeyi yapma yetkisi vardır. Bu yetki uyarınca Kurul, kişisel veri işleme envanteri ile kişisel veri saklama ve imha politikasını veri sorumlusundan talep
edebilecektir.
57) Kamu Kurumlarında koordinasyon görevlisi
nasıl belirlenmelidir?
Kanunun geçici 1. maddesine göre Kanunun yayımı
tarihinden itibaren bir yıl içinde, kamu kurum ve
kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici
belirlenerek koordinasyon görevlisi olarak atanması
gerekmektedir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
60
Atanacak kişinin kamu kurumunda kişisel veri işlenen tüm birimleri koordine edecek ve yükümlülüklerin yerine getirilmesini takip edecek bir üst düzey
yönetici olması gerekmektedir.
58) Kamu Kurumlarında irtibat kişisi nasıl belirlenmelidir?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 11.
maddesine göre, kamu kurum ve kuruluşlarında
koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla bir
daire başkanı veya üstü yönetici belirlenerek irtibat
kişisi olarak atanmalı ve VERBİS üzerinden bu kişilere ait bilgi girişi yapılmalıdır.
59) VERBİS’e kayıt başvuru formu, formda belirtilen Kayıtlı Elektronik Posta (KEP) adresi yerine
başka bir KEP adresinden gönderilebilir mi?
VERBİS’e kayıt başvuru formu, bu formda belirtilen
KEP adresi dışında başka bir KEP adresinden gönderilememektedir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
61
60) Yurt dışında yerleşik veri sorumluları için Sicile kayıt yükümlülüğünden istisna kriteri olarak çalışan sayısı ve yıllık mali bilanço dikkate
alınır mı?
Kurulun yayımlamış olduğu 2019/387 sayılı Kararda, yurt dışında yerleşik olan tüm veri sorumlularının Sicile kayıt olacağı hükmü bulunmaktadır. Bu
nedenle, yurt dışında yerleşik veri sorumluları için,
çalışan sayısı ve mali bilanço gibi herhangi bir istisna kriteri söz konusu değildir.
61) Bir irtibat kişisi aynı anda birden fazla veri sorumlusunun irtibat kişisi olarak atanabilir mi?
Bir gerçek kişi aynı anda birden fazla veri sorumlusunun irtibat kişisi olarak atanamamaktadır.
62) VERBİS’in kamuya açık olarak tutulması nedeniyle kişisel veriler de kamuya açık hale gelmiş
olur mu?
VERBİS’in kamuya açık olması nedeniyle kişisel
veriler de kamuya açık hale gelmeyecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
62
Kişisel veri işlemekte olan veri sorumluları, bu kişisel verilere ait veri kategorileri ve bu veri kategorileriyle yapılan işlemlerle ilgili olarak VERBİS’e bilgi
girişi yapacaktır. Kamuya açık olan bu veriler kategorik bazda veriler olduğu ve bu verilerden bir gerçek kişiye ulaşma imkânı bulunmadığı için
VERBİS’e kayıt ile kişisel verilerin kamuya ifşası söz
konusu değildir.
63) Vakıf üniversiteleri VERBİS’e kaydını “yurt içinde yerleşik tüzel/gerçek kişi” bölümü üzerinden mi gerçekleştirmelidir?
Anayasanın 130. maddesi ile Vakıf Yükseköğretim
Kurumları Yönetmeliğinin 5. maddesi gereği vakıf
üniversiteleri kamu tüzel kişiliğini haizdir.
Bu nedenle, vakıf üniversitelerinin kamu tüzel kişiliğine sahip olduğu açıkça ifade edildiğinden, yurt
içinde yerleşik tüzel/gerçek kişi bölümünden değil
“kamu kurum ve kuruluşları” bölümünden Sicile
kaydını gerçekleştirmesi gerekmektedir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
63
64) Ticaret odaları VERBİS’e kaydını “yurt içinde
yerleşik tüzel/gerçek kişi” bölümü üzerinden
mi gerçekleştirmelidir?
5174 sayılı Türkiye Odalar ve Borsalar Birliği ile
Odalar ve Borsalar Kanunu gereği odalar kamu kurumu niteliğinde meslek kuruluşudur.
Bu nedenle odalar ve borsaların, VERBİS kaydını
“yurt içinde yerleşik tüzel/gerçek kişi” bölümünden
değil “kamu kurum ve kuruluşları” bölümünden
gerçekleştirmesi gerekmektedir.
65) İstisna kapsamında olmadığı halde Sicile kayıt
yükümlülüğünü yerine getirmeyenler hakkında
işlem tesis edilecek midir?
Sicile kayıt yükümlülüğünden istisna kapsamında
olmadığı halde, Sicile kayıt yükümlülüğünü yerine
getirmeyen veri sorumlularının tespiti Kurum tarafından yapılacak ve haklarında Kanun kapsamında
işlem tesis edilecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
64
66) Kanun kapsamında yapılan incelemeler neticesinde suç unsuruna rastlanılması halinde nasıl
bir yol izlenecektir?
Kanunda bu hususta özel bir düzenleme bulunmamakla birlikte, herhangi bir suç unsuruna rastlanılması halinde Türk Ceza Kanunu gereğince Kurum
tarafından yetkili makamlara bildirimde bulunulacaktır.
67) Kanunda belirtilen idari para cezaları her yıl
artırılıyor mu?
Kanunun 18. maddesinde; Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Söz konusu
idari para cezası miktarları her takvim yılı başından
itibaren geçerli olmak üzere, ilgili Resmi Gazete’de
yayımlanan yeniden değerleme oranında artırılarak
uygulanmaktadır.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
65
68) Kurul tarafından düzenlenen idari para cezalarına itiraz edilebilir mi?
Kanunun 18. maddesi gereği Kurul tarafından düzenlenen idari para cezası yaptırım kararlarına karşı
yargı yolu açıktır. 5326 sayılı Kabahatler Kanununun
27. maddesine göre idari para cezalarına karşı Sulh
Ceza Hâkimliklerine itiraz edilebilir.
İdari para cezası ile birlikte ayrıca bir yaptırım kararı
da verilmişse (örneğin para cezasıyla birlikte ayrıca
verinin yurtdışına aktarılmasının durdurulmasına
karar verilmesi) görevli mahkeme İdare Mahkemesi
olmaktadır.
69) Kanunun 28. maddesinin 1. fıkrası gereği istisna kapsamındaki bir veri sorumlusu, Kanundan
da istisna sayılır mı?
Kanunun 28. maddesinin 1. fıkrasında sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanun
hükümleri uygulanmayacaktır. Ancak, aynı veri sorumlularının bu sayılanlar dışındaki faaliyetleri kapsamında işlediği kişisel verilerle ilgili olarak Kanun,
diğer hükümleriyle uygulanmaya devam edecektir.
Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar
66
70) Kanunun 28. maddesinin 2. fıkrası gereği istisna kapsamındaki bir veri sorumlusu, Kanundan
da istisna sayılır mı?
Kanunun 28. maddesinin 2. fıkrasında yer alan “Bu
Kanunun amacına ve temel ilkelerine uygun ve orantılı
olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep
etme hakkı hariç ilgili kişinin haklarını düzenleyen 11 inci
ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz
…” hükmü gereğince, maddeler halinde sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanunun sadece 10, 11 ve 16. maddesi hükümleri uygulanmayacak; diğer hükümleri uygulanmaya devam
edecektir.
Ayrıca, aynı veri sorumlularının bu sayılanlar dışındaki faaliyetleri kapsamında işlediği kişisel verilerle
(örneğin insan kaynakları, muhasebe, bilgi işlem
faaliyetleri gibi) ilgili olarak Kanun, diğer hükümleriyle uygulanmaya devam edecektir.