fbpx
HUKUKİ SORULAR

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN UYGULANMASINA İLİŞKİN SIKÇA SORULAN SORULAR

1. Kişisel veri nedir?

Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi, kişisel veridir. Örneğin ad, soy ad, kimlik numarası, cinsiyet, dernek ve vakıf üyelikleri ve benzeri pek çok bilgi kişisel veridir.

2. Tüzel kişiye ilişkin bilgi ve belge, kişisel veri midir?

Hayır, kişisel veri, yalnızca gerçek kişilere ilişkindir. Dolayısıyla dernek, vakıf, sendika, şirket gibi tüzel kişiliklere ait veriler, kişisel veri olarak değerlendirilemez. Ancak tüzel kişiliğe ait bir belgenin içerisinde gerçek kişiye ilişkin bilgi mevcutsa, söz konusu bilgi kişisel veri olarak değerlendirilir. Örneğin şirketin imza sirkülerinde yetkili kişinin kimlik bilgileri yer almakta olup; bu bilgiler, kişisel veridir. Diğer yandan, şirketin vergi beyannamesi, herhangi bir gerçek kişiye ilişkin bilgi içermemesi nedeniyle kişisel veri içermemektedir.

3. Kişisel verinin işlenmesi ne demektir?

“İşleme” çatı bir kavramdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) göre, kişisel verinin elde edilmesinden silinmesine, yok edilmesine veya anonim hale getirilmesine kadar yapılan her türlü işlem, “işleme” olarak adlandırılmaktadır. Diğer bir deyişle, ‘“işleme” kavramı, yalnızca kaydetme ve saklama anlamına gelmemektedir. Örnek vermek gerekirse, kişisel verinin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi birer işlemedir.

4. Veri sorumlusu kimdir?

Kanun’a göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu tanımdan hareketle, veri sorumlusu, bir şahıs olabileceği gibi bir şirket, bir dernek veya sendika da olabilecektir.

5. Çalışan veri sorumlusu mudur?

Hayır, çalışanlar veri sorumlusu değildir. Veri sorumlusu, işverendir. Dolayısıyla işyeri veya işletme içerisinde veri işleme faaliyetinden sorumlu olan çalışanlar, veri sorumlusu olarak kabul edilemezler.

6. Veri işleyen kimdir?

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyeni veri sorumlusundan ayıran en önemli kriter, veri işleyenin kendi adına değil, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına veri işliyor olmasıdır. Bu nedenle veri işleyen, verinin işlenmesi amaçlarını kendi başına belirleyemeyecek, veri sorumlusunun verdiği yetki çerçevesinde ve veri sorumlusunun talimatları ile veri işleyebilecektir.


Örneğin, veri sorumlusu olan X şirketinin, çalışanlarına yönelik bordrolama hizmetini Y şirketinden aldığı durumda, X şirketi veri sorumlusu iken Y şirketi veri işleyendir. Zira X şirketi, çalışanlarının verilerini kendi belirlediği işleme amacı ve vasıtaları ile işlemekte, veri kayıt sistemini kendisi kurmakta ve yönetmekte iken; Y şirketi, X şirketinin ilettiği çalışan verilerini, X şirketinin verdiği yetkiyle ve X şirketi adına işlemektedir.

7. Çalışan, veri işleyen midir?

Hayır, çalışanlar veri işleyen değildir. Zira veri işleyen olabilmek için veri sorumlusunun organizasyonunun dışında yer almak gerekmektedir. Çalışanlar, veri sorumlusunu oluşturmaları nedeniyle veri sorumlusunun organizasyonunda ayrı değerlendirilemezler.

8. Bir gerçek veya tüzel kişi hem veri sorumlusu hem veri işleyen olabilir mi?

Veri sorumlusu ya da veri işleyen sıfatı, süreklilik oluşturmaz. Yani bir gerçek veya tüzel kişi her durumda veri işleyen veya her durumda veri sorumlusu sıfatını taşımak zorunda değildir. Veri işleyen veya veri sorumlusu niteliklerinin tespiti için her bir durum ayrı ayrı değerlendirilmelidir. Örnek vermek gerekirse; bordrolama şirketi, bordrolama hizmeti verdiği şirketler ile arasındaki ilişkide veri işleyenken, kendi çalışanları ile arasındaki ilişkide veri sorumlusu konumundadır.

9. Veri sorumlusu ve veri işleyenin kişisel verilerin işlenmesine ilişkin sorumluluklarının sınırları nedir?

Veri sorumlusu;


  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak

zorundadır.


Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, söz konusu tedbirlerin alınması hususunda bu kişilerle, yani veri işleyenler ile birlikte müştereken sorumludur. Bu nedenle veri işleyenin mevcut olduğu ilişkilerde, veri sorumlusunun veri işleyeni denetlemesi/denetlettirmesi ve veri işleyenden veri güvenliğine yönelik taahhüt alması gerekmektedir.


10. Veri kayıt sistemi nedir?

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

11. Veri kayıt sistemi elektronik mi olmalıdır?

Hayır. Veri kayıt sistemi, elektronik veya fiziki olabilir. Örneğin bir yazılım programı da bir evrak klasörü de veri kayıt sistemini oluşturabilir.

12. Kişisel verilerin işlenmesi herhangi bir şarta bağlı mıdır, bu hususta genel bir ilke var mıdır?

Evet, kişisel veriler Kanun ile belirlenen ilkeler çerçevesinde işlenmelidir. Bu ilkeler her bir durumda bir bütün olarak göz önünde bulundurulmalı, herhangi bir ilkeye aykırılık bulunması halinde ilgili kişisel veri işlenmemelidir. Buna göre kişisel veriler,


  • Hukuka ve dürüstlük kurallarına uygun,
  • Doğru ve güncel,
  • Belirli, açık ve meşru amaçlar için,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar

işlenmelidir.

13. Aydınlatma yükümlülüğü nedir?

Veri sorumlusunun aydınlatma yükümlülüğü Kanunun 10. maddesinde düzenlenmiştir. Buna göre, veri sorumlusu veya yetkilendirdiği, kişisel verilerin elde edilmesi sırasında ilgili kişilere;


  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Maddede sayılan diğer hakları


konusunda bilgi vermekle yükümlüdür. Bu yükümlülük Kanun’da aydınlatma yükümlülüğü olarak nitelendirilmiştir. Belirtmek gerekir ki; aydınlatma yükümlülüğü her türlü veri işleme hali için geçerli olup; veri sahibinin açık rızasının alınmasının gerekli olmadığı durumlarda da aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.


14. Aydınlatma yükümlülüğü ile ilgili olarak dikkat edilmesi gereken hususlar nelerdir?

Kişisel verinin elde edildiği her aşamada aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu bağlamda kişisel verilerin toplanmasının yöntemi ve hukuki sebebi kişisel verilerin elde edildiği aşamaya göre değiştikçe aydınlatma metni de ona göre değiştirilmelidir. Ayrıca aydınlatma yükümlülüğünü yerine getirirken ilgili kişiye (veri sahibine) verilecek bilgiler, veri sorumlusu siciline açıklanan bilgilerle uyumlu ve kategorik şekilde olmalıdır.

15. Aydınlatma yükümlülüğü yazılı olarak mı yapılmalıdır?

Aydınlatma yükümlülüğünün yerine getirilmesinde herhangi bir şekilde şartı bulunmamaktadır. Ancak yükümlülüğün yerine getirildiğinin ispatı veri sorumlusunda olduğu için bu yükümlülüğün yazılı olarak yerine getirilmesi daha sağlıklı olacaktır. Bununla birlikte yükümlülüğünün sözlü veya elektronik şekilde de yerine getirilebileceğini belirtmek gerekir.

16. Aydınlatma yükümlülüğünün yerine getirilmesi için veri sahibinin rızası gerekir mi?

Hayır. Aydınlatma yükümlülüğü, tek taraflı bir yükümlülüktür. Veri sahibinin rızası gerekmez. Veri sorumlusunun veya yetkilendirdiği kişinin, aydınlatma beyanını veri sahibinin bilgisine sunması yeterlidir.

17. Aydınlatma yükümlülüğünün atıf yoluyla yerine getirilmesi mümkün müdür?

Evet. Her durumda aydınlatma metninin uzun bir şekilde veri sahibinin dikkatine sunulması gerekmez. Veri sorumlusu veya yetkilisinin, veri sahibine aydınlatma metnine erişebileceği kanalları bildirmesi bu yükümlülüğün yerine getirilmesi bakımından yeterlidir. Örneğin, kamera kaydı ile izleme yapılan bir alanda ilgili alanın kamera kaydı yapıldığı ifade edilerek link belirtmek suretiyle aydınlatma metnine internet sitesinden ulaşılabileceğinin ifade edilmesi, bu yükümlülüğün yerine getirilmesi bakımından yeterlidir.

18. Kişisel verilerin üçüncü kişilere aktarılacak veya aktarılıyor olması halinde aydınlatma yükümlülüğü sırasında üçüncü kişilerin ismen belirtilmesi gerekli midir?

Hayır. Bu durumda üçüncü kişilerin, faaliyet konularına göre belirtilmesi yeterlidir.

19. Aydınlatma yükümlülüğünün yerine getirilmemesi halinde idari para cezası yaptırımı uygulanabilir mi?

Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmemesi halinde idari para cezası yaptırımına tabi tutulabilir.

20. Açık rıza nedir?

Veri sahibinin kendisiyle ilgili veri işlenmesine,


  • Özgürce,
  • Konuyla ilgili yeterli bilgi sahibi olarak,
  • Tereddüde yer bırakmayacak açıklıkta ve
  • Sadece o işlemle sınırlı olarak


verdiği onay beyanıdır.


21. Genel geçer bir açık rıza alınması mümkün müdür?

Hayır. Açık rızanın genel geçer bir şekilde alınması, alınan rızanın geçersiz olmasına neden olur. Bir diğer deyişle bu durumda açık rıza alınmamış sayılır ki; bu durum açık rızaya bağlı olarak işlenmesi gereken kişisel verilerin hukuka aykırı olarak işlendiği sonucunu doğurur. Bu halde idari para cezası uygulanması söz konusu olacak olup; aynı zamanda gerçekleştirilen fiil, suç da teşkil edecektir.


Örneğin ‘’ X şirketi tarafından tüm kişisel verilerimin süresiz bir şekilde işlenmesine özgür bir şekilde rıza gösteriyorum. ‘’ şeklindeki beyan geçersizdir.

22. Her kişisel veri işleme durumunda açık rıza alınması gerekli midir?

Hayır. Kanun’un 5/2 maddesi ve 6/3 maddeleri kapsamında giren hallerde veri sahibinin açık rızasına ihtiyaç duyulmamaktadır.


Buna göre aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:


a. Kanunlarda açıkça öngörülmesi,

Örneğin, özlük dosyasının tutulması yasal bir zorunluluk olup; bu çerçevede özlük dosyasında yasal olarak bulunması gereken kişisel veriler için açık rıza alınmasına gerek bulunmamaktadır.


b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Örneğin kişinin bilincini kaybetmesi halinde kişinin bilgilerinin sağlık personeline iletilmesi için açık rıza alınmasına gerek bulunmamaktadır.


c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Örneğin çalışana yapılacak kıyafet yardımı yapılabilmesi amacıyla çalışanın beden ölçülerinin işlenmesi için açık rıza alınması gerekli değildir.


ç. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

Örneğin işverenin hukuki yükümlülüğü olan sigortalı işe giriş bildirgesini bildirimi sırasında veri aktarımı için çalışanın açık rızasını alması gerekli değildir.


d. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

Örneğin kişinin acil durumlarda kendisine ulaşılabilmesi için sosyal medya hesabından telefon numarasını yayınlaması halinde, bu numaranın işlenmesi ilgili kişinin açık rızasını gerektirmez.


e. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

Örneğin çalışanın ücretinin ödenmediği iddiası ile davadava açması veya talepte bulunması haline karşılık olarak ücretin ödendiğini ispatla yükümlü olan işverenin, ücret bordrolarını zamanaşımı süresi boyunca saklaması için çalışanın açık rızasına gerek bulunmamaktadır.


f. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Örneğin işyeri güvenliğinin sağlanabilmesi amacıyla kamera ile görüntü kaydı alınması için ilgili kişilerin açık rızasının alınmasına gerek bulunmamaktadır.

23. Özel nitelikli kişisel veri nedir?

Kanun’a göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

24. Veri sorumlusunun ya da veri sahibinin Kanun’da belirtilen veriler dışındaki verileri özel nitelikli kişisel veri olarak nitelendirebilmesi veyahut da özel nitelikli kişisel veri sınıfından çıkarabilmesi mümkün müdür?

Hayır. Özel nitelikli kişisel veriler, Kanun’da tek tek sayılmış olup; Kanun’da belirtilenler içerisinde olmayan bir verinin özel nitelikli kişisel veri olarak nitelendirilmesi veya özel nitelikli kişisel verinin herhangi bir tasarrufla özel nitelikli kişisel veri olmaktan çıkarılması mümkün değildir.

25. Özel nitelikli kişisel verilerin işlenmesi durumunda açık rıza şart mıdır?

Kanun’a göre; sağlık ve cinsel hayata ilişkin özel nitelikli kişiler veriler, yalnızca kanunlarda açıkça öngörülen hallerde açık rıza alınmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu haller dışında özel nitelikli kişisel verilerin açık rıza alınmaksızın işlenmesi mümkün değildir.

OKAB

ADRES

Barbaros Mah. Begonya Sk. A+Live Ataşehir, No:7, 34746 Ataşehir-İstanbul

Okab- Oğuz Kara Avukatlık Bürosu

TELEFON

Pzt – Cum | 09:00 – 18:00

+90 216 807 09 27

E-POSTA

info@oguzkara.av.tr

© 2023 OĞUZ KARA AVUKATLIK BÜROSU (OKAB)

Web sitemizi kullanarak çerezlere izin vermektesiniz. Daha fazla bilgi için çerez politikamızı inceleyebilirsiniz. Detaylı bilgi için tıklayın.