Kişisel verilerin işlenmesinde amaçların detaylandırılması, kişisel verilerin işleneceği amaçların bildirilmesi bakımından ne seviyede bir detay beklendiğinin her bir olay özelinde ayrı ayrı ele alınmasıdır. Dar bir çevreye yönelik mal ve hizmet sunan küçük ölçekli bir işletme ile bir perakende zinciri tarafından sunulan veri işleme amaçlarının aynı detayda olması beklenemez. Bir market zinciri bakımından çok farklı araçlar vasıtasıyla ve amaçlarla (sadakat programı ya da çapraz satış vb. gibi) veri işleneceği için tüm bu amaçların detaylandırılması gerekmektedir. Aynı anda birbirinden çok farklı hizmetler sunan bir web sitesinin (e-ticaret, sosyal platform vb. gibi) amaçlarını bildirirken genel ifadelerden kaçınması ve hedef kitlenin niteliklerine uygun düşen bir dil ve terminolojiyle makul bir detay seviyesinde bilgi sunması gerekir. Özel nitelikli kişisel verilerin işlendiği alanlarda, veri işleme amaçlarının diğer alanlara nazaran daha detaylı olarak sunulması gerekmektedir. Örneğin, özel nitelikli bir kişisel verinin işlenme amacının insan kaynakları faaliyetlerini yerine getirmek gibi genel bir kişisel veri işleme amacına işaret etmesi, bu noktada yeterli detayın verilmesini sağlamamaktadır. Ancak, özlük dosyasının oluşturulması amacıyla özel nitelikli kişisel verinin işlenmesi daha detaylı ve belirliliği sağlayacak şekilde kişisel veri işleme amacını ortaya koymaktadır.

Gerek kamu kurumları gerek özel kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri uzun süredir işlemektedirler. Bu durum kanunlardan kaynaklanabildiği gibi, bazen kişilerin rızasına veya bir sözleşmeye dayanmakta, bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin işlenmesi kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşa edilmesinin veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir. Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazetede yayımlanarak iç hukuka dâhil edilmiştir. 108 Sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı Kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı [..…]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” nedeniyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.

Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda şikâyet tarihinden itibaren altmış gün içinde ilgiliye bir cevap verilmezse söz konusu talebin reddedilmiş sayılacağı hükme bağlanmıştır.

Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda gerekli incelemeyi yapar. Bu inceleme, şikâyete ya da resen öğrenilen ihlal iddiasına münhasır olacaktır. Kurul, şikayet tarihinden itibaren altmış gün içinde bir cevap vermediği takdirde, talep reddedilmiş sayılır. Dolayısıyla, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır. Kurul tarafından, şikâyet üzerine veya resen yapılacak inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir.

Amaçla sınırlılık, kişisel verilerin korunmasında hakim olan önemli ilkelerden biridir. Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır. Kişisel veri işleme faaliyetinin gerçekleşmesi için gereğinden fazla kişisel veri toplanmamalı ve/veya işlenmemelidir. Buna göre, kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalıdır. Bu bakımdan, kişisel veriler toplandıktan sonra ileride ortaya çıkabilecek yeni işleme amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir. Bunun yanı sıra işlenen veri, sadece veri işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulmalıdır. Örneğin, bir tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlarla bağdaşırken, müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü olduğu söylenemez. Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için ayrı ayrı değerlendirilmesi gerekmektedir. Çünkü belirli bir kişi ve süreç için gerekli olan veri, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle özel nitelikli veriler konusunda dikkat edilmesi gerekir. Bir iş yerinde insan kaynakları birimince çalışanların mali haklarının belirlenebilmesi için sendika üyeliği verisinin alınması ölçülü kabul edilecekken, aynı iş yerinin AR-GE birimince söz konusu verinin alınması ölçülü olarak kabul edilmeyecektir.

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Örneğin, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kağıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kağıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.

Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiştir. Söz konusu metin 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda inceleme yapma yetkisi bulunmaktadır.

Kanunun 11. maddesi gereği ilgili kişi kural olarak kendisiyle ilgili konularda veri sorumlusuna başvu rabilme hakkına sahiptir.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 4. maddesinde ilgili kişilerin başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabileceği belirtilmiştir. Dolayısıyla veri sorumlusuna yapılan başvuruların Türkçe olması gerekmektedir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. Bu kişiler veri sorumlusunun kişisel veri işlemek üzere yetkilendirdiği ayrı bir gerçek veya tüzel kişi de olabilir. Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.

Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerekmektedir. İlke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerekmektedir.Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygunluk, genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uygunluktur. Hukuka uygunluğun kapsamı geniştir, mevzuata uygunluk da buna dahildir. Örneğin, kanuna aykırı bir uygulama aynı zamanda hukuka aykırılığı beraberinde getirir.Dürüstlük kurallarına uygunluk ise hukukumuzda, Medeni Kanunun 2. maddesinde düzenlenen dürüstlük kuralının, kişisel veriler işlenirken ihlal edilmemesidir. Bu ilke kişisel veriler işlenirken, hakkın kötüye kullanılmamasına ilişkin yasağa riayet edilmesini gerektirmektedir. Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder. Dürüstlük kuralının sınırları, her somut olayda objektif bir kimseden beklenecek davranışa göre belirlenir, kişilerin sübjektif durumu göz önüne alınmaz. Dürüstlük kuralına aykırılığın söz konusu olduğu durumlarda kişi hakkını kullanmakta ve bu hakkın sınırları içinde davranmakta, ancak hakkın amacına aykırı şekilde hareket etmektedir.Kişisel verilerin korunması açısından ise dürüstlük kuralı, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirir.Veri sorumlularının, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, onurunu ihlal edecek şekilde veri işlenmesi şüphesiz bu ilkeye aykırılık teşkil edecektir. Örneğin, makul olmayan verinin, ilgili kişiden talep edilmesi veya bunun veri sorumlusu tarafından dürüstlük kurallarına aykırı olarak işlenmesi bu ilkeye aykırıdır.Dürüstlük kuralı, veri korumanın diğer ilkeleri aracılığı ile somutlaştırılmıştır. Bu ilkelere riayet edilmeksizin veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun veri işlenmesine aykırı olacaktır.Örneğin, bir tüzel kişilik nezdinde kişisel verilerin silinmesi halinde verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişiler tarafından verilere erişim sağlanması mümkün bulunmakla birlikte, bahse konu tüzel kişilik içerisinde verilerin depolanması, korunması ve yedeklenmesinden sorumlu kişi sayısının gerektiğinden fazla belirlenmesi durumunda bu kişilerce silinen kişisel verilere erişim sağlanması dürüstlük kuralına aykırılık teşkil edecektir. Bu ilkenin uygulanabilir olup olmadığının, öncelikle Anayasanın temel hak ve özgürlükler rejimi kapsamında değerlendirilmesi gerekir. Kişisel verilerin işlenmesi, kişinin temel haklarına müdahale edilmesi anlamına gelir ve bu müdahalenin dürüst ve hukuka uygun kabul edilebilmesi için, Anayasanın temel hak ve özgürlüklerin kısıtlanmasıyla ilgili düzenlemelerine uygun olması zorunludur. Hukuka uygunlukla ilgili vurgulanması gereken en önemli noktalardan biri, bu kavramın tüm hukuk sistemini kastettiğidir. Bir veri işlemenin kanun tarafından izin verilmiş, hatta emredilmiş olması onun hukuka uygun olduğuna karinedir.

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir. Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder.

Kanun, otomatik olmayan yollarla kişisel veri işlenmesini tamamen Kanun kapsamı dışında tutmamaktadır. Otomatik olmayan yolla veri işleme eğer bir veri kayıt sisteminin parçası olarak gerçekleştiriliyorsa bu durumda söz konusu veri işleme faaliyeti de Kanun kapsamında kabul edilmektedir. Dolayısıyla otomatik olmayan yolla işlenen kişisel veriler, bir veri kayıt sisteminin parçası ise Kanun kapsamında olacaktır.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme, bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Anonim hale getirilen veri, artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir. Veri setleri anonim hale getirme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.

Veri sorumlusu tarafından işlenen kişisel verilerin üçüncü kişilere aktarımı söz konusu ise, bu aktarıma ait bilgiler aydınlatma yükümlülüğü kapsamında ilgili kişilere bildirilir. Ancak söz konusu aydınlatma metninde, kişisel verilerin aktarılacağı üçüncü kişilerin kimler olduğu tek tek ifade edilmeyecek, bu kişilerin kategorik bazda faaliyet ve sektör grupları gibi üst gruplar şeklinde açıklamaya (örneğin “işlenmekte olan kişisel verileriniz, tarafımızca sözleşme ilişkisi içerisinde olduğumuz kargo firmalarına, sanal POS ile ödeme amacıyla ilgili bankalara, e-ticaret sitelerine, tedarikçilerimiz ile kanunen yetkili kamu kurum ve kuruluşlarına aktarılabilecektir” şeklinde açıklama yapılması gibi) yer verilmesi yeterli olacaktır. Aydınlatma metinlerinde kişisel verilerin kimlere aktarılacağı konusunda ilgili kişiye kategorik olarak bilgi verilebilecekken, Kanunun 11. maddesi uyarınca veri sorumlusuna yapılan başvuruya verilecek cevabın, aktarılan her bir alıcının belirtilmesi suretiyle detaylı bir şekilde verilmesi gerekecektir.

Kişisel verilerin doğru ve gerektiğinde güncel olması, kişisel veri işleme faaliyetlerinin doğru ve güncel kişisel verilere dayalı olarak gerçekleştirilmesi gerekliliğini tanımlamaktadır. Bu çerçevede, veri sorumlusunun kişisel verilerin doğru ve gerektiğinde güncel olmasına ilişkin aktif özen yükümlülüğü, veri sorumlusu eğer bu verilere dayalı olarak ilgili kişi ile ilgili bir sonuç yaratıyor ise (örn. kredi verme işlemi) geçerlidir. Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. Zira ilgili kişinin haklarının düzenlendiği Kanunun 11. maddesinin 1. fıkrasının (d) bendinde, ilgili kişinin kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme hakkına yer verilmiştir. Örneğin, ilgili kişinin evlendikten sonra soyadının değişmesi neticesinde veri sorumlusu olan bankayı arayarak banka kayıtlarındaki soyadını değiştirme talebinde bulunması bu hakkın icrasına yönelik bir işlemdir.Aynı şekilde, A şirketinde çalışan kişinin işten ayrılarak B şirketinde işe başlaması halinde kişinin “A şirketi çalışanı olduğu” verisi doğru olmayacakken, “A şirketinde çalışmış kişi” olduğu verisi doğru olacaktır.

İlgili kişinin Kanunda tanımlı haklarını kullanırken dürüstlük kuralına uygun davranmak şartıyla veri sorumlusuna yapacağı başvurularla alakalı olarak ilgili kişiye verilecek cevaplar, Veri Sorumluları Siciline açıklanacak bilgiler çerçevesinde ve kategorik şekilde olmalıdır. Veri Sorumluları Siciline açıklanan bilgilerle ilgili kişiye verilecek bilgiler arasında uyum olmalıdır. Bu kapsamda verilecek bilgiler, temel olarak kişilerin hangi verilerinin işlendiğine dair bilgilerdir.

Veri sorumlularınca işlenecek kişisel veriler için, ilgili mevzuatlarında belirlenmiş olan süreler; eğer ilgili mevzuatlarında belirlenmemişse, veri sorumluları tarafından işlendikleri amaç göz önünde bulundurulur.Veri sorumlusu tarafından Sicile bildirilen, veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami saklama süreleri ile ilgili mevzuatta öngörülen süreler farklı olabilir. Bu durumda bu veri kategorisi için en uzun süre esas alınarak Sicile bildirim yapılır.Kişisel verilerin işlendikleri amaç için gerekli olan azami süre belirlenirken aşağıdaki kriterler dikkate alınır:İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre, İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre, ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre, Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı, Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre, Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi. Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.

Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.

Veri güvenliğinin sağlanması konusunda veri sorumlusuna düşen yükümlülükler Kanunun 12. maddesinde sayılmıştır. Buna göre veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Ayrıca; veri sorumluları, kendi kurum veya kuruluşlarında, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumluları bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerektiği hallerde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

Kurulun, altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür.

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır. Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.

Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.

Veri sorumlusuna yapılacak başvurularda uyulması gereken usul ve esaslar Kanunun Maddesi ve bu maddeye istinaden Kurul tarafından hazırlanarak 10.03.2018 tarihli Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile veri sorumlusuna yapılacak başvuruların yöntemi belirlenmiştir. Buna göre ilgili kişinin, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletmesi üzerine, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse 10 sayfaya kadar ücret alınmayacak, 10 sayfanınüzerindekihersayfaiçin 1 Türk Lirası işlem ücreti alınabilecek, başvuruyacevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücretin söz konusu kayıt ortamının maliyetini geçemeyecektir. İlgili kişinin, Kişisel Verilerin Korunması Kanununun uygulanmasıyla ilgili talebine konu olan hususta veri sorumlusu hatalıysa, alınan ücretin ilgili kişiye iade edilmesi gerekmektedir.

Ana faaliyetin özel nitelikli kişisel veri işleme olup olmadığının tespitinde, veri sorumlularının en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi durumu olup olmadığı dikkate alınmalıdır. Diğer bir deyişle burada değerlendirilmesi gereken; veri sorumlularının herhangi bir faaliyeti içerisinde özel nitelikli kişisel veri işlenmesi değil, temel olarak yürütmekte oldukları işlerinin kapsamının özel nitelikli kişisel veri işlenmesi durumudur. Ayrıca 5429 sayılı Türkiye İstatistik Kanununun 11 inci maddesine istinaden 2012 yılından itibaren ülkemizde tüm kamu kurum ve kuruluşlarında Türkiye İstatistik Kurumu koordinasyonunda oluşturulan NACE Rev.2 ekonomik faaliyet sınıflaması kullanılmakta olup Kurumumuzca da veri sorumlularının faaliyet konularının tespitinde söz konusu NACE faaliyet kodlarından faydalanılmaktadır. Bu kapsamda, veri sorumlularının ticaret sicil kaydında veya vergi levhasında yer alan faaliyet kodları göz önünde bulundurulmaktadır.

Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.

Kanunun 28. maddesinde, bazı hallerde Kanun hükümlerinin uygulanmayacağı belirtilmektedir. Bu çerçevede, Kanun kapsamına girmeyen haller, 28. maddede tamamen veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutulmuştur. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna hallerinde, Kanunun sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri sorumluları siciline kayıt) uygulanmamaktadır.

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir. Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Burada önemle belirtmek gerekir ki, mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe göre silinmesi, yok edilmesi veya anonim hale getirilmesinin temin edilmesi gerekir. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken; İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre, İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre, ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre, Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı, Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre, Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi, dikkate alınır.

Veri sorumluları için 6698 sayılı Kanunda ve Veri Sorumluları Sicili Hakkında Yönetmelikte bazı yükümlülükler getirilmiştir. 6698 sayılı Kanun kapsamında veri sorumluları hakkında getirilmiş olan yükümlülükler; Kanunun Geçici 1. maddesinin 2 nci fıkrasına göre veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır. Kanunun 16 ncı maddesi 2 nci fıkrasında, Kurul tarafından Veri Sorumluları Siciline (Sicil) kayıt zorunluluğuna istisna getirilebileceği hükmü yer almaktadır. Bu kapsamda Kurulca kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilmesi gerekmektedir. Kararın ilan edilmesiyle birlikte kayıt yükümlüsü veri sorumluları da belirlenmiş olacaktır. Kanunun 16 ncı maddesi 1 inci fıkrasında, Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda Veri Sorumluları Sicili Bilgi Sisteminin (VERBİS) hazırlanarak hizmete açılması akabinde veri sorumluları için kayıt yükümlülüğü başlayacaktır. Kanunun Geçici 1 inci maddesinin 3 üncü fıkrasına istinaden, daha önce işlenmiş olan kişisel veriler Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanunun 4. maddesindeki ilkelere aykırı olarak veya 5 ve 6. maddelerinde sayılan işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli, getirilemiyorsa derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Kişisel Verileri Koruma Kurumuna bildirilmelidir. Yönetmelikle veri sorumluları hakkında getirilmiş olan yükümlülükler; Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir. Kamu kurumunun istisna kapsamında olmaması halinde ve Kurulca kayıt yükümlülüğü başlangıç tarihinin belirlenerek VERBİS’in hizmete açılması akabinde Kanunun Geçici 1. maddesine istinaden kamu kurum ve kuruluşlarınca Başkanlığımıza bildirilen üst düzey yönetici tarafından Yönetmeliğin 11 inci maddesi gereği irtibat kişisi olarak VERBİS’e kayıt yapılması gerekmektedir.

Aydınlatma yükümlülüğünün kapsamı ve hangi bilgilerin verileceği Kanunda açıklanmıştır. Buna rağmen, bu bilgilerin tamamının aydınlatma yü kümlülüğünün yerine getirilme zamanı olan kişisel verilerin elde edilmesi sırasında ilgili kişiye açık lanması mümkün olmayabilir. Bu durumda katmanlı bilgilendirme yöntemi ile veri sorumlusu aydınlatma yükümlülüğünü yerine getirebilir. Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde edildiği konusunda kısa, anlaşılabilir, açık, sade bir yön temle bilgilendirme yapılması ve Kanunun 10. maddesinde yer alan aydınlatmaya ilişkin diğer hususlar hakkında bilgi edinilmesi için, ilgili kişinin bu kısa bilgilendirmeden sonra erişerek ulaşabileceği bir ortama yönlendirilmesi olarak tanımlanabilmektedir. Örneğin, kamera kaydı alınan bir iş yerinde, ilgili kişi bir kamera logosu ile kamera kaydı yöntemiyle kişisel verilerinin elde edildiği konusunda bilgilen dirilebilir. Kamera kayıtlarının hangi amaç, hangi hukuki sebep ve yöntem ile elde edildiği, ilgili kişinin hakları gibi detaylar ise ilgili kişinin bu kamera logosu vasıtasıyla yönlendirildiği bir dokümanda (kişisel verilerin korunması ve işlenmesine ilişkin politika, kamera kayıtlarına ilişkin aydınlatma metni vb.) detaylandırılabilir. Örneğin, çağrı merkezi hizmeti kapsamında çağrı merkezini arayan kişilere, bu arama esnasında işle nen verilerle ilgili bilgilendirmeyi dinlemek için bir tuşa basılmasının istenmesi, belirtilen tuşa basıldığında aydınlatma metninin dinlenmesi de katmanlı aydınlatma olarak değerlendirilebilir.Bir çağrı merkezi, arayan kişileri bir web sayfası linkine yönlendirerek katmanlı aydınlatma gerçekleştirmektedir.

6698 sayılı Kanun tüzel kişilerin verilerini korumamaktadır. 6698 sayılı Kanunun 2. maddesinde, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı ifade edilmiştir. Buna göre Kanun, kural olarak sadece gerçek kişilerin verilerini koruma kapsamına almış olup verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.

Kanunun Geçici 1. maddesinde, Kanunun yürürlüğe girmesi akabinde veri sorumlularınca yerine getirilecek hususlar belirlenmiştir. Anılan maddenin 2. fıkrasında, “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır. Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır. Öte yandan, anılan maddenin 5. fıkrasında “Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.” hükmü yer almaktadır. Buna göre, veri sorumlusunun bir kamu kurumu olması halinde, Kanunun uygulanmasıyla ilgili iletişim sağlamak üzere üst düzey bir yönetici belirlenmesi Kuruma bildirilmesi gerekmektedir.

Veri sorumlusu talep edilen bilgi ve belgeleri Kurula on beş gün içinde göndermek zorundadır.

Kanun, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır. Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler de bu Kanunun kapsamı dışında tutulmuştur. Kanunun 28. maddesinde tamamen veya kısmen kapsam dışı olan haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisna- lar düzenlenmiştir. Tam istisna hallerinde Kanun hiçbir şekilde uygulanamayacak, kısmi istisna hallerinde ise, Kanunun sadece bazı maddeleri uygulanamayacaktır.

İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Kanunun 28 inci maddesinde sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilir.

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza, özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesinin, verilere hukuka aykırı olarak erişilmesinin önlemesini ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.

Kanunun Geçici 1. maddesinde, “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, bu tarihten itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.” hükmü yer almaktadır. Bu hüküm uyarınca veri sorumluları, Kanunun yayımı tarihinden önce toplamış olduğu kişisel verilere dayalı olarak gerçekleştirdiği kişisel veri işleme faaliyetlerini bu Kanunun yayımı tarihinden itibaren 2 yıl içerisinde Kanuna uyumlu hale getirmelidir. Bu çerçevede uyumlu hale getirilmesi gereken kişisel veri işleme faaliyetleri içerisinde Kanuna uyumsuzluğu tespit edilip uyumlu hale getirilmeyen faaliyetlerin işleme faaliyetleri durdurulmalıdır. Kanuna uyumsuz olan kişisel veri işleme faaliyetlerinin konusu olan kişisel veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kanunun 9. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmak şartıyla yurt dışına aktarılabileceği düzenlenmiştir. Bununla birlikte maddenin 2. fıkrasında, Kanunun 5. maddesinin 2. fıkrası kapsamındaki kişisel veriler ile 6. maddesinin 3. fıkrasında belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân tanındığı belirtilmektedir. Buna göre; 1. İlgili kişinin açık rızasının bulunması 2. Kanunun 5. maddesinin 2. fıkrasında ve Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması ve verinin aktarılacağı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla kişisel verilerin yurt dışına aktarılması mümkündür. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir. Bu kapsamda, yabancı ülkede yeterli koruma bulunup bulunmadığına ve yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı taahhüt etmeleri şartıyla söz konusu kişisel verilerin yurtdışına aktarılıp aktarılmayacağına Kurul tarafından karar verilecektir. İlave olarak, Kanunun 9. maddesinin 5. fıkrasında kişisel verilerin, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum ve kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabileceği hükme bağlanmıştır.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Veri sorumlularının yükümlülükleri Kanunda belirtilmiştir. Buna göre; Kişisel veri işleme faaliyetinde bulunan herkes, Kanun gereği hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkelerine uygun hareket etmelidir. Veri sorumluları tarafından kişisel veriler, Kanunda yer alan düzenlemelere uygun olarak, özel nitelikli kişisel veriler ise Kişisel Verileri Koruma Kurulu tarafından belirlenecek yeterli önlemler alınmak şartıyla Kanunda yer alan düzenlemelere uygun olarak işlenmelidir. Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. maddelerinde yer alan düzenlemelere uygun olarak hareket edilmelidir. Kanunun 10. maddesine uygun olarak ilgili kişiler aydınlatılmalıdır. Kanunun 12. maddesine uygun olarak veri güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirler alınmalıdır. İlgili kişilerin veri sorumlularına yönelttiği başvurular Kanunun 13. maddesine uygun olarak cevaplandırılmalıdır. Kanunun 16. maddesi gereğince Veri Sorumluları Siciline kayıt olunmalıdır.

Kişisel verilerin işlendikleri amaç için saklanacağı azami süre, kanun koyucu tarafından ilgili mevzuatta belirlenmiş olabilir. Eğer ilgili mevzuatlarında herhangi bir azami saklama süresi belirlenmemişse, işlendikleri saklama süresinin belirlenmesi sorumluluğu, ilgili kişisel veriyi işleyen veri sorumlusuna aittir.

Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır.

Kanunda kişisel veri işleme şartları sınırlı sayıda belirtilmiş olup bu şartlar dışında kişisel veri işlenmesi mümkün değildir.

Tek başına veya başka kaynaklarla birleştirildiğinde bir gerçek kişiyi tanımlayabilecek nitelikte ise bu veriler kişisel veri olarak kabul edilecektir. Ancak, yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirilmelidir.

İlgili kişinin verilerinin işlenmesine özgürce, konu hakkında yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı kalmak kaydıyla verdiği onay beyanıdır. Kanuna göre açık rızanın üç unsuru vardır:1)Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekirÖrneğin; veri sorumlusu tarafından “tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz?” şeklinde rıza alınması durumunda, rıza belirli bir konuya ilişkin olmayacağı için geçerli kabul edilmeyecektir. 2)Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.3) Özgür iradeyle açıklanması: Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Kabahat kapsamında sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Açık rıza dışındaki kişisel veri işleme şartlarından birine dayalı olarak kişisel veri işlenmesi halinde ilgili kişiden ayrıca açık rıza alınmamalıdır. Kanunun 5. ve 6. maddelerinde sayılan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birinin bulunması halinde de kişisel verilerin işlen mesi mümkündür. Söz konusu işleme şartlarından herhangi birinin bulunması kişisel veri işleme faali yeti için tek başına yeterli olduğundan ilgili kişiden ayrıca açık rıza alınmamalıdır. Örneğin 4857 sayılı İş Kanununun 75. maddesi gereği özlük dosyası oluş turulması amacıyla çalışanın kimlik bilgileri, “ka nunlarda açıkça öngörülmesi” işleme şartına daya narak işlenmektedir. Bu durumda çalışandan ayrıca açık rıza alınmamalıdır. Zira açık rıza, her zaman için geri alınabilmektedir. Açık rıza haricindeki diğer işleme şartlarından her hangi biri mevcut olmasına rağmen ilgili kişiden açık rıza alma yoluna gidilmesi ilgili kişilerin yanıl tılması olarak değerlendirilebilir. Bu durumda da Kanunun 4. maddesindeki temel ilkelerden “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılıktan bahsedebiliriz.

Kanunda bu hususta özel bir düzenleme bulunmamakla birlikte, herhangi bir suç unsuruna rastlanılması halinde Türk Ceza Kanunu gereğince Kurum tarafından yetkili makamlara bildirimde bulunulacaktır.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre; 1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır. 2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar. 3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir. Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.

Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir. Bu veriler Kanunda sınırlı sayıda belirlenmiş olduğundan bunların genişletilmesi mümkün değildir.

İlgili kişinin, kişisel verilerinin silinmesini veya yok edilmesini talep etmesi halinde veri sorumluları, bu talebi her koşulda yerine getirmek zorunda değildir. Kanunun 7. maddesinde, Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi veya yok edilmesi gerektiği ifade edilmektedir. Ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12. maddesinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun en geç otuz gün içinde bu kişisel verileri silmesi, yok etmesi veya anonim hale getirmesi ve ilgili kişiye bilgi vermesi gerektiği, eğer bu kişisel veriler üçüncü kişilere aktarılmışsa üçüncü kişilerin de gerekli işlemlerin yapılmasını temin etmesi gerektiği, işleme şartlarının tamamı ortadan kalkmamışsa bu talebin en geç otuz gün içinde gerekçesi açıklanarak yazılı veya elektronik ortamda verilecek cevap ile reddedilebileceği hükümleri yer almaktadır.Dolayısıyla ilgili kişinin, kişisel verilerinin silinmesi veya yok edilmesini talep etmesi halinde verisorum lusu, öncelikle kişisel verileri işleme şartlarının ta mamının ortadan kalkıp kalkmadığına bakmalı, herhangi bir işleme şartı bulunmuyorsa silinmeli, yok edilmeli veya anonim hâle getirilmelidir.

Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir. Kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişi nin bizzat kendisidir. Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusudur.

Fiziksel olarak kayıt altına alınan ancak veri kayıt sisteminin parçası olmayan kişisel verilere Kanunun kişisel verilerin işlenmesine ilişkin hükümleri uygulanmaz.

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık çalışan sayısı” kriteri de dikkate alınmıştır. Bu kararlarda yer alan yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir. Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olacaktır.

Kanunda otomatik işlemenin ne olduğu tanımlanmamış olmakla birlikte, gerekçede Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.” denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinden gerçekleştirilen faaliyetler olduğu belirtilmiştir. Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyaç asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir. Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade eder. Kanun, otomatik olmayan yollarla veri işlenmesini tamamen kapsam dışında tutmamakta, otomatik olmayan yolla veri işlenmesi bir veri kayıt sisteminin parçası ise veri işleme faaliyetini Kanun kapsamında kabul etmektedir. Burada, sistemsiz herhangi bir bilgi yığını değil, manuel yöntemlerle hazırlanmış olsa bile bilgiye erişimi ve anlamlandırmayı kolaylaştıran bir tasnifleme ifade edilmektedir. Örneğin, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde kişilerin ad ve soyadlarının bir defterde yer alması Kanun kapsamına girmezken, söz konusu ad ve soyadların sistematik olarak bir deftere kaydedilmesi halinde Kanun kapsamında veri işleme faaliyetinden söz edilecektir.

Kanunun 12. maddesine göre veri sorumlusu, kişisel verilerin güvenliğinin sağlanması amacıyla gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

Kanunda kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bu kapsamda, kişisel verilerin aktarılması Kanunda bir veri işleme biçimi olarak tanımlanmış olup, tüm işleme biçimleri bakımından aynı işleme şartları öngörülmüştür.

Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik ortamda bildirir.

Kurulun 2018/88 sayılı kararı gereği yurtdışında yerleşik tüm gerçek veya tüzel kişi veri sorumluları için Sicile kayıt yükümlülüğü başlama tarihi 01.10.2018 olarak belirlenmiştir. Buna göre, yurtdışında yerleşik veri sorumlularının Sicile kayıt yükümlülüğü ve başlama tarihi tespitinde yıllık çalışan sayısı, mali bilanço toplamı veya ana faaliyet konusunun özel nitelikli kişisel veri olup olmadığı bilgisi dikkate alınmamaktadır.

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kişisel Verileri Koruma Kurulu, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, bu kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir. Kişisel Verileri Koruma Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.Ayrıca, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kişisel Verileri Koruma Kurulu, bu konuda ilke kararı alır.

Veri sorumlusunun aydınlatma yükümlülüğü Kanunun 10. maddesinde düzenlenmiştir. Buna göre, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanunun 11. maddesinde sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir.Öte yandan kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.

İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmüş, tüzel kişilerin verileri Kanun kapsamı dışında tutulmuştur. Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak, burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.

Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna gidebilmesi mümkündür.

Gerek kamu, gerekse özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir. Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.

Kural olarak veri işleyen gerçek ve tüzel kişiler Kanun kapsamında bulunmaktadır. Dolayısıyla sadece kendi çalışanlarına ilişkin kişisel veri işleyen bir şirket de Kanun kapsamında değerlendirilecektir.

Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verebilir.

2010 yılında 5982 sayılı Kanunla yapılan değişiklik ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenerek, kişilerin kişisel verilerinin korunması hakkının kapsamı belirlenmiştir.

Anayasanın 20. maddesi gereğince herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Bu doğrultuda herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Anayasaya uygun olarak Kanunun 11. maddesinde ilgili kişilerin haklarının neler olduğu düzenlenmektedir. Buna göre, ilgili kişiler veri sorumlusuna başvurarak; Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesi veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptirler.

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişiler hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller, Kanunda farklı düzenlenmiştir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. maddesi ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. maddesi aşağıdaki faaliyet alanları ile sınırlı olmak üzere uygulanmaz. Kısmi istisnalar olarak adlandırılan bu haller aşağıda sıralanmıştır: Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

28.10.2017 tarihli Resmi Gazetede yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır.Buna göre ilgili kullanıcı, veri sorumlusu uhdesinde olmakla birlikte verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan veri tabanı yöneticisi gibi bir kişi ya da birimi hariç olmak üzere veri sorumlusu organizasyonu içerisinde yer alan tüm çalışanlar ve birimleri ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri tanımlamaktadır.Örneğin bir veri sorumlusu ile bilgi işlem altyapısı iş ve işlemlerini onun yetki ve talimatları çerçevesinde yerine getirmek üzere anlaşma yapmış olan ve bu konuda çalışan bir firma veri işleyen sayılacaktır. Bu durumda bu veri sorumlusunun verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan personeli ya da birimi bulunmuyorsa tüm çalışanları ilgili kullanıcı olacaktır. Ayrıca veri işleyen firmanın da verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan personeli ya da birimi hariç geri kalan tüm çalışanları da ilgili kullanıcı kavramı içerisinde yer alacaktır. Kişisel verilerin silinmesi ve yok edilmesi arasındaki fark da ilgili kullanıcı kavramına göre şekillenmiştir.

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi; Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır. Kişisel veri işleme amaçlarının belirli, meşru ve açık olması ilkesi özellikle açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi sırasında kişisel veri işleme faaliyetlerinin hukuka uygun olarak gerçekleştirildiğinin tespitinin sağlanması noktasında önem taşır. Bu ilke kapsamında, açık rıza, aydınlatma, ilgili kişi başvurularını cevaplama, veri sorumluları siciline başvuru vb. gibi hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmesi, anlaşılmayan terminoloji kullanımından kaçınılması gerekmektedir. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.İlgili kişi tarafından veri sorumlusuna başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. Çünkü; Kurula şikayet hakkının doğması için veri sorumlusuna başvuru yapılması, yerine getirilmesi gereken bir ön şarttır. Dolayısıyla başvuru yoluna gitmek zorunlu, şikâyet yoluna gitmek ise ihtiyaridir. İlgili kişi, kişisel verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde veri sorumlusundan zararın giderilmesini talep etme hakkına sahiptir. Ayrıca, kişilik hakkı ihlal edilen ilgili kişilerin genel hükümlere göre tazminat hakkı da bulunmaktadır.

Bir şirketin çalışanları veya alt birimleri “veri işleyen” değildir.Kanunda “veri işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez. Örneğin bir şirket, çağrı merkezi hizmetini kendi çalışanları veya birimi ile değil de dışarıdan hizmet alımı yoluyla başka bir firma ile sözleşme yapmak suretiyle karşılamaktadır. Bu durumda şirket veri sorumlusu iken, şirket adına çağrı merkezi hizmeti sunan firma da veri işleyendir. Çağrı merkezi hizmeti veren firma, çağrı merkezini telefonla arayan kişilerin kişisel verilerini kendisi adına değil bu hizmet kapsamında şirket adına işlemekte olup veri işleyen statüsündedir.

Aydınlatma metinlerinde saklama süresinin belir tilmesi zorunlu değildir.Kanunun 10. maddesine göre veri sorumlusu, aydın latma yükümlülüğü kapsamında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel veri lerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan ilgili kişi hakları konusunda bilgi vermekle yükümlüdür. Ayrıca, aydınlatma metninin içeriği, Kanunun 10. maddesi gereği, Kurul tarafından hazırlanmış ve Resmi Gazetede yayımlanmış olan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe” uygun olmalıdır. Buna göre, aydınlatma metninde saklama süreleri nin belirtilmesi zorunlu olmamakla birlikte, isteğe bağlı olarak saklama süreleri belirtilebilecektir.

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır. Kanunda gerek aydınlatma yükümlülüğü gerek veri güvenliğine ilişkin yükümlülükler veri sorumlusu üzerinden tanımlanmış olup ilgili kişinin, haklarını veri sorumlusuna karşı ileri sürebileceği düzenlenmiştir.

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.

Kanunun 13. maddesi gereğince, ilgili kişilerin taleplerini öncelikle veri sorumlusuna iletmeleri zorunludur. Buna göre, ilgili kişilerce veri sorumlusuna yapılacak başvuruların şekli konusunda Kanunda iki temel hüküm bulunmaktadır. Bunlardan ilki yazılı başvurudur. Yazılı başvuru, genel hükümler gereği ıslak imza içeren belge ile yapılan başvuru anlamına gelmektedir. Buna ek olarak güvenli elektronik imza ile imzalanan belgeler de yazılı şekil şartını sağlayacaktır. Yazılı başvuru haricindeki diğer başvuru yöntemlerinin belirlenmesi konusunda Kanun, Kişisel Verileri Koruma Kurulunu yetkilendirmektedir. Kurul, buna istinaden 10.03.2018 tarihli Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile veri sorumlusuna yapılacak başvuruların yöntemini belirlemiştir.Buna göre veri sorumluları, ilgili kişiler tarafından yazılı olarak veya bahse konu Tebliğ’de yer verilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla yapılan başvuruları niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır.

İlgili kişinin açık rızasının olması durumunda taah hütname imzalanmasına gerek yoktur, yurtdışına aktarım yapılabilir. Açık rıza olmaması durumun daysa, Kanunun 9. maddesi hükümlerine göre aktarım yapılmalıdır.

Kaydı silinmiş olan veri sorumlusu kişisel veri işlemeye başladığında tekrar VERBİS’e kayıtla yükümlüdür. Verbis’e kayıt işlemleri tekrar yapılmalıdır. Eski bilgiler Verbis üzerinde aktif hale getirilememektedir.

Bir şirketler topluluğunda her bir topluluk şirketi, eğer kişisel verilerin işlenme amaçlarını kendisi belirliyor ve veri kayıt sisteminin tutulmasından kendisi sorumlu oluyor ise Kanun gereğince veri sorumlusu sıfatına sahip olacaktır. Bu çerçevede şirketler topluluğunda hâkim ortağın ve diğer topluluk şirketlerinin durumu kişisel veri işleme faaliyetlerinde oynamış oldukları role göre tanımlanacaktır. Veri sorumlusunun iştirakleri bakımından da durum aynı şekildedir. Eğer ilgili şirket kişisel verilerin işlenme amaçlarını kendisi belirliyor ve veri kayıt sisteminin tutulmasından kendisi sorumlu oluyor ise bu şirketin, şirketler topluluğu içerisinde bir şirket olması veya veri sorumlusunun bir iştiraki olması durumu, veri sorumlusu sıfatını haiz olmasını etkilemeyecektir. Öte yandan, kişisel verilerin işleme amaçlarını belirleyen ve veri kayıt sisteminin tutulmasından sorumlu olan tüzel kişiliği haiz tüm kamu kurum ve kuruluşları da veri sorumlusu sıfatına sahip olacaktır.

Veri sorumlusunun ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekmektedir.

Kanunda telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, Kurula veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde, ilgili kurum ve kuruluşların da görüşlerini alarak Kurul bu konuda ilke kararı alır ve yayımlar.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Buna göre, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası başvuru ücreti alınabilir. Öte yandan, başvurunun cevabının bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

Herhangi bir şekilde ilgili kişi tarafından kamuoyuna açıklanmış olan bir başka ifadeyle ilgili kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına uygun bir şekilde açık rıza aranmaksızın işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.Kişisel verinin, aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapılan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amaçlarıyla kullanılması mümkün değildir.

Kanuna göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verilerin işlenebileceği düzenlenmiştir. Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve mevcut bir menfaatine ilişkin olmalıdır. Örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaatinedir. Bu şarta dayalı olarak veri işlenebilmesi için, veri sorumlusunun meşru menfaatinin bulunması ve ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi gerekmektedir.

Kişisel verilerin yurtdışına aktarılmasında ilgili ülkede yeterli koruma bulunup bulunmadığına göre ikili bir ayrıma gitmek gerekir:Eğer yeterli koruma varsa bu durumda ilgili ülkeye veri aktarımı mümkündür. Yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri kaydıyla kişisel verilerin yurtdışına aktarılmasına Kurul; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.

Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Başka bir ifade ile Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Yönetmeliğin 13 üncü maddesine göre, Sicile kayıtlı bilgilerde değişiklik olması halinde, değişikliğin meydana geldiği tarihten itibaren yedi gün içinde, VERBİS üzerinden bilgi girişinin yapılması gerekmektedir.

Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir: a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır. b. Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı, hali hazırda mevcut olan bir menfaati ifade etmektedir. c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı: Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır. Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması durumu, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare olmadığı gibi, her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesi faaliyetlerini hukuka uygun kılacak bir unsur da değildir.

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması” başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Özel nitelikli kişisel verilerin hangi durumlarda ve hangi şartlarda işlenebileceği Kanunda açıkça düzenlenmiş, böylece hukuk devletinin bir gereği olan hukuki belirlilik sağlanmıştır. Nitekim yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması özel nitelikli kişisel verilerin işlenmesini zorunlu kılmaktadır.

Kişisel sağlık verileri: İlgili kişinin açık rızası, Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgili kişinin açık rızası olmaksızın Kurul tarafından belirlenen yeterli önlemlerin de alınması şartıyla işlenebilir.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

Kanunun Geçici 1. maddesinin 3. fıkrası uyarınca Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde bu Kanuna uygun kabul edilir. Dolayısıyla Kanunun yayımı tarihinden önce alınan rızanın Kanuna uygun kabul edilebilmesi için genel hukuk kurallarına uygun olması ve bir yıl içinde aksine bir irade beyanında bulunulmamış olması gerekmektedir.

Türkiye’de yerleşik olmayan veri sorumluları, kişisel veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Veri Sorumluları Siciline kaydolmak zorundadır. Veri sorumlusu temsilcisi, Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları Sicili Hakkında Yönetmelikte belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade etmektedir. Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim; Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi vasıtasıyla gerçekleştirilir.

Kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.

Kişisel verisi işlenen ilgili kişi, Kanun kapsamındaki haklarına ilişkin olarak veri sorumlusuna başvurmalıdır. 6698 sayılı Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesin de veri sorumlusu esas alınmaktadır.Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin ku rulmasından ve yönetilmesinden sorumlu olan ger çek veya tüzel kişidir. Veri işleyen ise, veri sorumlu sunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.Buna göre veri işleyen, veri sorumlusunun talimatla rını yerine getirdiğinden ilgili kişinin, haklarına iliş kin olarak veri sorumlusuna başvurması gerekmektedir.

Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. Maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir. Bununla birlikte, Kanunun 5. ve 6. maddesindeki şartların sağlanması halinde yeterli önlemler alınarak kişisel verilerin açık rıza aranmaksızın yurtiçinde aktarılmasına da imkan tanınmıştır. Bu kapsamda; 1. Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından en az birinin bulunması, 2. Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür.

Kanunda veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmektedir. Bu kapsamda veri sorumlusu, tüzel kişiliğin kendisi olduğundan tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Dolayısıyla, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacak ve bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler, tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmayacağı gibi, ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamayacaktır.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusunca gereği yerine getirilir.

Kanunun 28. maddesinin 1. fıkrasında sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanun hükümleri uygulanmayacaktır. Ancak, aynı veri so rumlularının bu sayılanlar dışındaki faaliyetleri kap samında işlediği kişisel verilerle ilgili olarak Kanun, diğer hükümleriyle uygulanmaya devam edecektir.

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır.Bu Kararlarda yer alan yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam esas alınmalıdır. Bu rakamlar eşit olmak zorundadır.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumluları kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır.

Kanunun 13. maddesi gereğince, veri sorumluları tarafından ilgili kişilerin talepleri ücretsiz olarak karşılanması gerektiği belirlenmekle birlikte, yapılacak işlemin ayrıca bir maliyeti gerektirmesi halinde veri sorumlularınca alınabilecek ücretin belirlenmesi konusunda Kişisel Verileri Koruma Kurulu yetkilendirilmiştir.Buna istinaden Kurulca hazırlanan ve 10.03.2018 tarihli Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile; ilgili kişinin başvurusuna yazılı olarak cevap verilecekse 10 sayfaya kadar ücret alınmayacağı, 10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabileceği, başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücretin söz konusu kayıt ortamının maliyetini geçemeyeceği belirlenmiştir. İlgili kişinin, Kişisel Verilerin Korunması Kanununun uygulanmasıyla ilgili talebine konu olan hususta veri sorumlusu hatalıysa, alınan ücretin ilgili kişiye iade edilmesi gerekmektedir.

Aydınlatma yükümlülüğünün yerine getirilmesi konusunda herhangi bir şekil şartı bulunmamaktadır. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi olmadığından tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.

Kanunun 3. maddesinin (a) bendinde yer verilen tanım gereğince açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanması gerekmektedir. Kanunun gerekçesinde de açık rıza, “İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde ifade edilmiştir. Bu çerçevede, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar hukuken geçersizdir. Kanunda açık rıza hususunda herhangi bir şekil şartı öngörülmemekle birlikte, açık rızanın yazılı olduğu durumlarda rıza metinleri açık, anlaşılır ve sade bir şekilde kaleme alınmalıdır. Açık rızanın alındığı ortam veya metin dışındaki başka bir ortama veya metne atıf yapılarak ilgili kişinin açık rızası alınmamalıdır. Açık rıza, ilgili kişinin özgür iradesiyle açıklamada bulunduğunu ortaya koyacak şekilde ilgili kişinin seçimine sunulmalıdır. Bununla birlikte, veri işleme faaliyeti diğer kişisel veri işleme şartlarından en az birine dayanıyorsa bu faaliyet için açık rızaya gidilmemelidir. Eğer faaliyetin gerçekleştirilme amacı Kanundaki açık rıza dışındaki diğer kişisel veri işleme şartlarını karşılamıyorsa bu faaliyet özelinde ve o faaliyetle sınırlı olarak açık rıza alınmalıdır. Açık rıza dışında diğer hukuka uygunluk sebeplerine dayanılması durumunda açık rıza almak, ilgili kişileri aldatmaya ve yanıltmaya sebep olabilir. Dolayısıyla öncelikli olarak kişisel veri işlemenin açık rıza dışındaki şartlarına dayanıp dayanmadığı araştırılmalı, bu şartlardan herhangi biri yoksa açık rıza alınması yoluna gidilmelidir.

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Örneğin, kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Buna göre, kişisel verilerin işlenme amaç ve şartları değiştikçe aydınlatma metni de ona göre değişmelidir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer veri sorumluları siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlülüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir. Öte yandan, Kurulca hazırlanan ve 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğe göre, veri sorumlusunca aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulmalıdır: İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir. ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir. ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir. Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır: -Hukuka ve dürüstlük kurallarına uygun olma, -Doğru ve gerektiğinde güncel olma, -Belirli, açık ve meşru amaçlar için işlenme, -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Kanunun 5. maddesi uyarınca açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunda veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüştür. Buna göre, aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: Kanunlarda açıkça öngörülmesi,Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişini temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır. Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır: İlgili kişinin açık rızasının varlığı, Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Veri işleme, Kanunda bulunan ilgili kişinin açık rızası dışındaki veri işleme şartlarından en az birine dayanıyorsa, bu durumda veri sorumlusu tarafından ilgili kişiden açık rıza alınması yoluna gidilmemelidir.

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır.

Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler yargı yoluna gidebilirler.

Anonim veri başından beri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonim hale getirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir.

İrtibat kişisi, Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır.

Kuruma postayla, elden, kargoyla veya KEP ile gönderilen başvuru formları, Kurum tarafından değerlendirildikten sonra, başvuru formunda belirtilmiş olan mail adresine kullanıcı adı ve parola iletilmektedir. Bunun için herhangi bir süre bulunmamaktadır.

Kanun veya ikincil mevzuatta, taahhütnamenin in celenmesi için herhangi bir süre öngörülmemiştir. Yurt dışına veri aktarımı amacıyla imzalanan taah hütnamelerin Kurula gönderilmesi halinde, Kurul çeşitli kriterlere göre değerlendirme yaparak karar verir.

Kişisel sağlık verileri, Kanunun 5. maddesinde sayı lan işleme şartlarına göre işlenemez.Kişisel sağlık verileri, Kanunun 6. maddesinde sınırlı sayma yöntemiyle belirlenen özel nitelikli kişisel veri lerdendir. Özel nitelikli kişisel verilerin işlenme şart ları da yine Kanunun 6. maddesinde ifade edilmiştir. Dolayısıyla, kişisel sağlık verilerinin işlenebilmesi için, özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği bu madde hükmü dikkate alınmalıdır.

Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

6698 Sayılı Kanunun 16 inci maddesinde Veri Sorumluları Sicilinin kamuya açık olarak tutulması öngörülmüştür. Buna göre, VERBİS’e veri sorumlularınca girilen bilgiler kurum internet sayfamız olan www.kvkk.gov.tr adresi üzerinden paylaşılacaktır. Sicil kamuya açık olarak tutulmakla birlikte Kişisel Verileri Koruma Kurumunun da çeşitli teknik ve idari tedbirleri alması gerektiğinden, ilgili kişilerce çeşitli doğrulama yöntemleri kullanılmak suretiyle söz konusu bilgilere erişim sağlanabilecektir 6698 sayılı Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden; kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yöneticinin belirlenerek Kişisel Verileri Koruma Kurumuna bildirilmesi gerekmektedir. Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmayacaktır. VERBİS sistemine, ilgili kişilerin kişisel verileri değil, aksine başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır. Kanunun 16 ncı maddesi gereği veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanmak zorunda olduğundan VERBİS’te bu bilgiler yer alacaktır.

Aşağıda belirtilen durumlarda Kanun hükümleri uygulanmayacaktır;• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faliyetler kapsamında işlenmesi,• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kişisel veriler ilgili kişinin kendisi tarafından aleni leştirilmiş olsa bile veri sorumlusu, bu kişisel verileri herhangi bir amaçla işleyemez. Veri sorumlusunca, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerinin işlenebilmesi için, verilerin ait olduğu kişi tarafından hangi amaçla alenileştirildiğini (alenileştirme iradesini) değerlen dirmek gerekir. İlgili kişinin kendisi tarafından kişi sel verilerinin alenileştirilmesi, bu verilerin isteyen herkes tarafından alenileştirme amacından farklı bir amaçla işlenebileceği anlamına gelmemektedir. Dolayısıyla, ilgili kişinin kendisi tarafından alenileşti rilmiş kişisel veriler, sadece ilgili kişinin alenileştir me amacı doğrultusunda işlenebilecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu ileti şim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilir. Bu kişisel verilerin, bunun dışında bir amaçla kullanılması Kanunun 4. maddesine aykırılık teşkil edecektir.

Hazırlanan aydınlatma metinlerinin Kuruma gönde rilmesi gibi bir durum söz konusu değildir.Kanunun 10. maddesi gereği aydınlatma yükümlü lüğü, kişisel verilerin elde edilmesi esnasında kişisel verisi işlenen ilgili kişilerin bilgilendirilmesini ifade eder. Söz konusu bilgilendirme; yazılı, sözlü, görsel vb. vasıtalarla yerine getirilebilmektedir.Kanun veya ilgili diğer mevzuatta, hazırlanan ay dınlatma metinlerinin Kuruma gönderilmesinin gerektiği şeklinde bir hüküm yer almamaktadır.

Kanunun 13. maddesi gereğince, veri sorumluları ilgili kişilerin taleplerini en kısa sürede ve en geç otuz gün içinde incelemelidir. İnceleme sonucuna göre talebi kabul etmeli veya gerekçesini açıklayarak reddetmeli, ayrıca cevabını ilgili kişiye bildirmelidir.

Kişisel veriler yalnızca gerçek kişilere ait verilerken, veri sorumlusu ve veri işleyen hem gerçek hem de tüzel kişi olabilmektedir. Veri üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, kişisel verilerin yurtiçinde aktarımı ya iki veri sorumlusu, ya da veri sorumlusu ve veri işleyen arasında gerçekleştirilecek olup, yurt içindeki her türlü veri aktarımı için Kanunun 8. maddesinde yer alan düzenlemelerin uygulanması gerekmektedir. Kişisel verilerin yurtiçinde aktarılmasına ilişkin düzenlemenin uygulamadaki en önemli iki sonucu şunlardır: Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarımları, üçüncü kişiye yapılan aktarımlar olarak değerlendirilemez. Kişiler, kişisel verilerini bir tüzel kişi ile paylaştıklarında, bahsi geçen tüzel kişilik, veri sorumlusu sıfatına sahip olmaktadır. Tüzel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında verilerin el değiştirmesi, bu anlamda üçüncü kişiye aktarım şeklinde değerlendirilemez. Bir şirketler topluluğu altında yer alan farklı şirketler arasında veri aktarımı gerçekleştirilmesi, üçüncü kişiye veri aktarımı yapılması anlamına gelmektedir. Bir tüzel kişi bünyesinde farklı birimler arasında veri paylaşımı yapılmasının aksine, aynı şirketler topluluğu bünyesinde yer alan farklı tüzel kişiler arasında veri aktarımının 8. madde hükümleri çerçevesinde yapılması gerekmektedir.

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir. Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Veri Sorumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Burada önemle belirtmek gerekir ki, mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe göre silinmesi, yok edilmesi veya anonim hale getirilmesinin temin edilmesi gerekir.

Parolanın unutulması halinde, veri sorumlusunun başvuru formunda belirttiği elektronik posta adresine Kurumumuzca gönderilen elektronik postaya bakılmak suretiyle öğrenilebilir. Ancak “parola” bilgisine; iletilmiş olan bu elektronik postanın silinmesi gibi nedenlerle ulaşılamıyorsa, aynı elektronik postanın tekrar iletilmesi için, VERBİS ana sayfada yer alan “Parolamı Unuttum” butonu tıklanır. Ekrana gelen alanda “Kullanıcı Adı/VKN/TCKN” ile başvuru formunda belirtilmiş olan elektronik posta adresinin girişi yapılır, sistem tarafından daha önceki “Kullanıcı Adı” ve yeni oluşturulan “Parola” içeren elektronik posta, belirtilmiş olan elektronik posta adresine iletilir.

Veri sorumlusunun, PDF formatındaki başvuru formunda belirtmiş olduğu elektronik posta adresine Kurumumuzca gönderilen elektronik postada yer alan “Kullanıcı Adı”, o veri sorumlusu için değişmez ve sadece o veri sorumlusuna özel, tekil bir kullanıcı adıdır. Bu yüzden değiştirilememektedir.

Evet. VERBİS’e, tüm web tarayıcılardan www.kvkk.gov.tr adresi üzerinden giriş yapılabilecektir.

VERBİS’te yer alan veri kategorileri Kurul tarafından veri sorumluları için kolaylık sağlaması bakımından bazı veriler için üst başlıklar halinde belirlenerek ilgili ekranlarda listelenmiştir. Bu başlıklar arasında, kayıt yapılması istenilen bir veri kategorisi yok ise “Diğer Bilgiler” kısmından yeni veri kategorisi manuel olarak eklenebilmektedir. Bu şekildeki ekleme imkânı, sadece “Veri Kategorisi” için değil “İşleme Amaçları”, “Alıcılar”, “Kişi Grupları”, “Güvenlik Tedbirleri” ekranları için de geçerlidir.

Bir veri sorumlusu adına VERBİS üzerinden birden fazla kayıt yapılamamaktadır.

Kanunun 18 inci maddesinin birinci fıkrasının ç bendinde “… Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü yer almakta olduğundan bu durumda anılan yaptırım uygulanacaktır.

Yurtiçinde yerleşik tüzel kişi veri sorumlularınca VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapılır. İlgili alanlar doldurularak PDF formatında başvuru formu sistemden oluşturulur. Oluşturulan formun çıktısı alınarak ıslak imzalı belge şeklinde Kurumun posta adresine posta yoluyla iletilir veya varsa kayıtlı elektronik posta (KEP) adresi üzerinden PDF formatındaki dosya eklenerek Kurumun KEP adresine iletilir. Kurum tarafından yapılan değerlendirme sonucunda, başvuru formunda belirtilen elektronik posta adresine “kullanıcı adı” ve “parola” gönderilir. Veri sorumlusu olan tüzel kişi tarafından “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapıldıktan sonra Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi “irtibat kişisi” olarak atanır. Veri sorumlusu, irtibat kişisi olarak tüzel kişilik bünyesinde çalışan bir kişiyi atayabileceği gibi tüzel kişilik dışında bir kişiyi de atayabilecektir. Atanan irtibat kişisi tarafından VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılır ve gelen ekranlara bilgi girişi yapılarak Sicile kayıt işlemi sonuçlandırılır.

PDF formatındaki başvuru formunun posta veya KEP ile iletilmesinden sonra, formda yer alan elektronik posta adresinin sehven yanlış yazıldığı veri sorumlusunca anlaşılırsa, konuyu özetleyen ve doğru elektronik posta adresini de içeren bir yazı hazırlanır. Islak imzalı belge olarak Kurumun posta adresine iletilebilir, elden getirilebilir veya varsa KEP adresi üzerinden Kurumun [email protected] KEP adresine iletilir. Kurum tarafından ilgili bilgiler ışığında değerlendirme yapılır ve yazıda belirtilen hususların doğrulanması halinde yeni elektronik posta adresi sisteme kaydedilir ve “Kullanıcı Adı ve Parola” içeren elektronik posta, belirtilmiş olan yeni elektronik posta adresine iletilir.

Hayır. Sicile kayıt yükümlülüğünün yerine getirilmesi akabinde, sadece girilen bilgilerde değişiklik meydana gelmesi halinde güncelleme yapılması gerekmektedir. Bunun haricinde her yıl tekrar tekrar kayıt yapılması gibi bir durum söz konusu değildir.

VERBİS’e kayıt olmak için herhangi bir ücret ödenmesi gerekmemektedir.

Kayıt başvurusu sırasında sistemden oluşturulan PDF formatındaki başvuru formuna ait dosya eklenerek, veri sorumlusunun KEP adresi üzerinden (“Konu” kısmında “başvuru no” belirtilerek) Kurumumuzun [email protected] adresine iletilmesi yeterli olacaktır. Ayrıca ıslak imzalı olarak da Kurumumuza iletilmesine gerek bulunmamaktadır.

PDF formatındaki başvuru formunun posta veya KEP ile iletilmesinden sonra, formda yer alan adres veya telefon bilgilerinin sehven yanlış yazıldığı veri sorumlusunca anlaşılırsa, “Kullanıcı Adı ve Parola” ile giriş yapılır. Sol tarafta yer alan “Veri Sorumlusu Bilgi Güncelleme” sekmesi işaretlenir ve ilgili bilgilerde güncelleme yapılabilir. Ancak, formda yer alan elektronik posta adresi bilgisi, veri sorumlusunu tespit eden tekil bilgilerden olması nedeniyle elektronik posta adresi bilgisinin güncellenmesi veri sorumlusunca değil sadece Kurum tarafından gerçekleştirilebilecektir.

6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Başkanlığımızca Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik baz da bilgi girişi yapacakları bir kayıt sistemidir.

Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sitesi olan www.kvkk.gov.tr aracılığıyla giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’e kayıt olunur.

Veri sorumlusu tarafından atanmış olan irtibat kişisi, VERBİS içerisinden “Sicile Kayıt” butonu aracılığıyla sisteme giriş yapar.

Sicile kayıt yükümlülüğünden istisna olan veri sorumluları, istemeleri halinde VERBİS’e kayıt olabilirler.

Veri Sorumluları Siciline kayıt yükümlülüğü yerine getirilirken, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) ilgili kişilerin kişisel verilerine ait bilgi girişi yapılmamaktadır. VERBİS’e, kişisel verilerin hangi amaçlarla işleneceği, ne kadar süreyle muhafaza edileceği, nerelere aktarılabileceği ve alınacak güvenlik tedbirleri gibi bilgiler kategorik bazda girilecektir. Dolayısıyla VERBİS, ilgili kişilere ait kişisel veri barındırmamaktadır.

Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kuruluna (“Kurul”) verilmiştir.Bu kapsamda Kurulca alınan ve 18.08.2018 tarihli Resmi Gazete’de yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir: -Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 - 30.09.2019, -Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 - 31.03.2020, -Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 - 30.06.2020, tarihleri arasında Sicile kayıt olmak zorundadır.

Parola değişikliği yapılmak istenmesi halinde, VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapılır. Sol tarafta yer alan “Parola Değiştirme” menüsü kullanılarak parola değişikliği yapılır.

Başvuru formu oluşturulurken ya da irtibat kişisi için profil tanımlama bölümünde yer alan adres girişi ekranında bulunan link üzerinden adrese bağlı olan adres numarası temin edilebilecektir. Bu ekrana https://adres.nvi.gov.tr/VatandasIslemleri/AdresSorgu linki kullanılarak da ulaşılabilecektir.

Veri sorumlularınca VERBİS’e kayıtta girilecek bilgiler; kişisel verileri işlenmiş olan gerçek kişilere ait kişisel veriler değil, veri sorumlularının işlemekte oldukları verilerin sadece üst başlıklar halinde kategorik bazdaki bilgiler olacaktır. Örneğin bir kamu kurumu, kurumu ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemektedir. Bu durumda VERBİS’e; gerçek kişilere ait ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi verileri değil bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapacaktır.

Yönetmeliğin 8 inci maddesi gereği kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerini yerine getirememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmalı ve gerekçesini belirtmek şartıyla kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep etmelidir. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

Yurtdışında yerleşik gerçek veya tüzel kişi veri sorumlularının öncelikle “veri sorumlusu temsilcisi” ataması ve bu atamaya ilişkin onaylı belgeyi ıslak imzalı şekilde Kurumumuza iletmesi gerekmektedir. Atanacak veri sorumlusu temsilcisi Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır. Atanan veri sorumlusu temsilcisi tarafından, veri sorumlusu adına VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapılır. İlgili alanlar doldurularak PDF formatında başvuru formu sistemden oluşturulur. Oluşturulan formun çıktısı alınarak ıslak imzalı belge şeklinde Kurumun posta adresine posta yoluyla iletilir veya varsa kayıtlı elektronik posta (KEP) adresi üzerinden PDF formatındaki dosya eklenerek Kurumun KEP adresine iletilir. Kurum tarafından yapılan değerlendirme sonucunda, başvuru formunda belirtilen elektronik posta adresine “kullanıcı adı” ve “parola” gönderilir. Veri sorumlusu temsilcisi tarafından “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapıldıktan sonra Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi “irtibat kişisi” olarak atanır. Veri sorumlusu temsilcisi, irtibat kişisi olarak veri sorumlusu temsilcisi bünyesinde çalışan bir kişiyi atayabileceği gibi bünyesi dışında bir kişiyi de atayabilecektir. Atanan irtibat kişisi tarafından VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılır ve gelen ekranlara bilgi girişi yapılarak kayıt işlemi sonuçlanır.

Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm gerçek kişi veri sorumluları genel kural olarak Sicile kayıt olmakla yükümlüdür. Buna göre, Kanun hükümleri veya Kurul kararlarıyla istisna tutulanlar hariç olmak üzere tüm gerçek kişi veri sorumlularının Sicile kayıt olması gerekmektedir.

Başvuru formunda belirtilen elektronik posta adresine başvuru sırasında Kurumumuzca iletilmiş olan mailde de bahsedildiği üzere başvuru formu, Kurumumuzca değerlendirilecek ve onaylanması akabinde aynı elektronik posta adresine kullanıcı adı ve parola oluşturularak gönderilecektir.

Başvuru formu oluşturulurken gerçek kişiler için TC kimlik numarası girişinin yapılması gerekmektedir. TC kimlik numarası, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün MERNİS veritabanından anlık olarak sorgulanmaktadır. Sorgulama sonucunda ekrana gelen ad veya soyad bilgisinde bir hata veya yanlışlık olduğu düşünülüyorsa öncelikle doğru bilgi girişi yapıldığından emin olunması, doğru bilgi girişi yapılmışsa bu hatanın düzeltilmesi için ilgili nüfus müdürlüğü ile iletişime geçilmesi gerekmektedir.

İrtibat kişisinin, veri sorumlusunun çalışanı olması zorunlu değildir. Ancak irtibat kişisinin veri sorumlusuna ait bildirimin girişini yapabilmesi için veri sorumlusunun kişisel veri işleme faaliyetlerine ait bilgiyi haiz olması önem arz etmektedir.

Veri sorumlusu tarafından istenildiği zaman irtibat kişisi değişikliği yapılması mümkündür. Bunun için veri sorumlusu “Veri Sorumlusu Yönetici Girişi” butonunu tıklar, sol tarafta yer alan “İrtibat Kişisi” menüsünü seçer, sağ tarafta yer alan “irtibat kişisini değiştir” butonunu tıklar, yeni bir irtibat kişisi ataması halinde mevcut irtibat kişisi pasife alınır.

2018/32 sayılı Kurul Kararında, “Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler” Sicile kayıt yükümlülüğünden istisna tutulmuşlardır. Bu kapsamda, yalnızca otomatik olmayan yollarla kişisel veri işlenmesi halinde Sicile kayıt yükümlülüğü bulunmamaktadır.

Bir gerçek kişi birden fazla veri sorumlusunun aynı anda irtibat kişisi olamamaktadır.

Sicil kamuya açık olarak tutulacağından, veri sorumlusunun kişisel veri işlemeye devam etmemesi halinde, ilgili kişileri yanıltmamak adına veri sorumlusunca VERBİS üzerinden “Sicilden silme” talebinde bulunulması mümkündür. VERBİS üzerinden silme talebi gönderilmesi akabinde ayrıca Kuruma resmi bir yazı yazılarak, bu işlemin Kurum tarafından onaylanmasının sağlanması gerekmektedir.

Yönetmeliğin 4 üncü maddesinde, “irtibat kişisi” tanımlanmış, aynı yönetmeliğin 9 uncu maddesinin birinci fıkrası (a) bendinde kayıt yükümlülüğü kapsamında irtibat kişisinin bilgilerinin girilmesinin gerekli olduğu vurgulanmış olduğundan veri sorumlusunca bir irtibat kişisi atanmak durumundadır.

Bildirim düzenleme veya onaylayarak gönderme işlemi tamamlanmadan yarıda bırakılması halinde, yeni atanan irtibat kişisi tarafından sisteme giriş yapılarak kalınan yerden devam edilebilir. Yeni atanacak irtibat kişisi kendi e-devlet şifresi ile giriş yaparak bilgi girişi yapmaya devam edebilecektir.

Yurtdışında yerleşik olan bir veri sorumlusu, Türkiye’de yerleşik bir tüzel kişiyi veya Türkiye’de yerleşik Türkiye Cumhuriyeti vatandaşı bir gerçek kişiyi veri sorumlusu temsilcisi olarak atayabilir.

Başvuru formu oluşturulurken tüzel kişiler için vergi kimlik numarası ve vergi dairesi girişinin yapılması gerekmektedir. Vergi kimlik numarası ve vergi dairesi bilgisi, Gelir İdaresi Başkanlığı veritabanından anlık olarak sorgulanmaktadır. Buna göre, başvuru formu doldurulurken ilgili bilgilerin girişi için yapılan sorgu anında, söz konusu veri sorumlusu için Gelir İdaresi Başkanlığı veritabanında hangi bilgi varsa o bilgi sorgulanmaktadır. Bir hata uyarısı alınması halinde öncelikle doğru bilgi girişi yapıldığından emin olunması, doğru bilgi girişi yapılmışsa bu hatanın düzeltilmesi için ilgili vergi dairesi ile iletişime geçilmesi gerekmektedir.

Kanunun 16 ncı maddesine göre, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce Sicile kaydolmaları gerekmektedir. Bu kapsamda, Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir. Bununla birlikte Kanunun 16 ncı maddesine göre Kurulca istisna getirilmiş olan veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmamaktadır.

Herhangi bir nedenle, bildirim düzenleme veya onaylayarak gönderme işlemini tamamlamadan sistemden çıkılması halinde, daha sonra sisteme giriş yapılarak kalınan yerden devam edilmesine imkan sağlanmaktadır.

İrtibat kişisi kaydı yapılırken veya profil güncelleme yapılırken TC kimlik numarası girişinin yapılması gerekmektedir. TC kimlik numarası, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün MERNİS veritabanından anlık olarak sorgulanmaktadır. Sorgulama sonucunda ekrana gelen ad veya soyad bilgisinde bir hata veya yanlışlık olduğu düşünülüyorsa öncelikle doğru bilgi girişi yapıldığından emin olunması, doğru bilgi girişi yapılmışsa bu hatanın düzeltilmesi için ilgili nüfus müdürlüğü ile iletişime geçilmesi gerekmektedir.

İrtibat kişisi, Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır.

Başvuru formunun sistem üzerinden oluşturulması sırasında ilgili ekranda gösterilen uyarı metninde de ifade edildiği üzere Kurum ile iletişim başvuru formunda belirtilen elektronik posta üzerinden olacaktır. Tüm veri sorumlularının KEP adresi alma zorunluluğu olmaması nedeniyle, isteğe bağlı olarak sadece başvuru formunun Kuruma iletilmesi için KEP adresi kullanılacaktır.

Veri Sorumlusu tarafından atanacak irtibat kişisi 18 yaşını doldurmuş olmalıdır.

Başvuru formunun oluşturulması ve ıslak imzalı veya KEP aracılığıyla Kuruma iletilmesi hususunda sorumluluk, veri sorumlusundadır.

Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, Kişisel verilerin hangi amaçla işleneceği, Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, Yabancı ülkelere aktarımı öngörülen kişisel veriler, Kişisel veri güvenliğine ilişkin alınan tedbirler, Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Tüzel kişilerde veri sorumlusu, görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisidir. Buna göre şirketlerde veri sorumlusu; şirket çalışanı, yöneticisi, patronu, yönetim kurulu başkanı, yönetim kurulu üyeleri, avukatı gibi şirketi temsil eden kişiler veya dışarıdan hizmet alınan kişiler değil, şirketin kendisidir. Ancak şirket, Kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirme konusunda bu kişileri görevlendirebilir. Bu görevlendirme o kişinin veri sorumlusu olduğu anlamına gelmez.

Kayıtlı elektronik posta (KEP), elektronik iletilerin gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şekli olarak tanımlanmaktadır. Bu kapsamda KEP ile iletilen elektronik postanın ne zaman, kim tarafından, hangi KEP hizmet sağlayıcı tarafından gönderildiği, hangi KEP hizmet sağlayıcı tarafından kabul edildiği, kimin posta kutusuna ne zaman teslim edildiği, ne zaman kim tarafından açıldığı ve okunduğu ile ilgili bilgiler KEP delili içerisinde bulunmaktadır. Başvuru formunun teslim edilip edilmediğine dair bilgi, ilgili KEP hizmet sağlayıcısından öğrenilebilecektir.

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır.Bu kararlarda yer alan yıllık mali bilanço toplamı ifadesinden, bilanço usulüne göre defter tutanların yetkili kamu kurumuna verdiği yıllık gelir veya kurumlar vergisi beyanname ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam dikkate alınacaktır. Ciro ya da net satış / brüt satış hasılatı bilgisi dikkate alınmayacaktır.

Kurulun 2018/88 sayılı kararına göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları için Sicile kayıt olunması gereken en son tarihler belirlenmiş ve ilan edilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin (“Yönetmelik”) 8 inci maddesine göre sonradan kayıt yükümlüsü haline gelen veri sorumluları için belirlenen 30 günlük süre, Kurul kararıyla belirlenen kayıt sona erme tarihlerinden sonra başlayacaktır. Buna göre bir veri sorumlusu, yukarıda ifade edilen veri sorumlusu gruplarından hangisinin kapsamı içinde ise o grup için belirlenmiş kayıt süreleri içerisinde kayıt yükümlülüğünü yerine getirecektir. Bu sürenin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede kayıt olmak zorundadır.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. madde kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.

Kişisel verisi işlenen gerçek kişilerce verileri üzerinde kontrolün sağlanabilmesi, kişisel verilerini işlediği gerçek kişilere her zaman hesap verebilir olması ve şeffaflık ilkeleri gereği VERBİS’e girilen bilgilerin görüntülenebilmesi ve varsa ihlalin tespiti için Kanun, kamuya açıklık ilkesini benimsemiştir.Örneğin bir kişi, bir veri sorumlusu tarafından kendisiyle ilgili kişisel verinin Kanunumuzda sayılan şartlar olmadığı halde işlendiğini düşünüyorsa bu durumda www.kvkk.gov.tr adresinde, VERBİS ana sayfa içerisindeki “Sicil Sorgulama” bölümünden bunu görüntüleyebilecektir. Bunun için, veri sorumlusunun ad/unvan bilgisini sisteme girmeli, eğer veri sorumlusu VERBİS’e kayıt olmuşsa buradan söz konusu kişisel veri kategorisini işleyip işlemediğini, işleme amacını, saklama süresini, aktarıma ilişkin hususları ve aldığı güvenlik tedbirlerini görebilecektir.Veri sorumlusu bu kategoride bir veri işlediğini belirtmemişse veya işlendiği belirtilen veri kategorisinin işleme amacıyla örtüşmediğini düşünüyorsa bu durumda önce veri sorumlusuna başvuracak, veri sorumlusunun vereceği cevaba göre de gerek duyması halinde Kurulumuza şikâyet başvurusunda bulunulabilecektir. Bu kontrol mekanizması sayesinde, veri sorumlularının gelişigüzel veri işlemesinin önüne geçilmesi ve sadece Kanunda belirtilen işleme şartları mevcut olan kategorik bazda kişisel verilerin işlenmesi sağlanmış olacaktır. Bu da, VERBİS’in şeffaflık ve hesap verebilirlik anlamında iki önemli özelliği ön plana çıkarmaktadır.

Kurumumuzun resmi internet sayfası olan www.kvkk.gov.tr adresinde bulunan VERBİS ana sayfadaki Kılavuz aracılığıyla detaylı bilgi edinilebilecektir. Ayrıca, KVKK Bilgi Danışma Merkezi olarak görev yapmaya başlayan ALO 198 Veri Koruma Hattı aracılığı ile VERBİS hakkında teknik ve hukuki konularda Türkiye’nin her yerinden GSM ayrımı olmaksızın ücretsiz olarak ulaşılabilecek ve bilgi alınabilecektir.

VERBİS’te yer alacak bilgiler kamuya açık olmakla birlikte, bu bilgiler kişilere ait bilgiler değil kategorik bazda üst başlıklar halinde bilgilerdir. Kişisel veri işlemekte olan veri sorumluları, bu kişisel verilere ait veri kategorilerini ve bu veri kategorileriyle yapılan işlemlerle ilgili olarak VERBİS’e bilgi girişi yapacaktır. Kamuya açık olan bu veriler tek tek kişilere ait veriler değil kategorik bazda veriler olduğundan kişisel verilerimiz kamuya açık hale gelmiş olmayacaktır.

Başvuru formu oluşturulurken veya irtibat kişisinin profil tanımlama işlemi sırasında giriş yapılacak adres bilgisi, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün adres kayıt sistemine ait veritabanına anlık olarak bağlanılmak suretiyle ekran üzerinden girilmektedir. Bu nedenle, adresin sistemde bulunamaması halinde “adres kayıt sistemi veritabanında” o adresin kaydının bulunmadığı anlaşılmaktadır. Adresin sistemde yer alması için, giriş yapılacak adres işyeri ise adresin bağlı olduğu belediyenin numarataj servisine, mesken ise adresin bağlı olduğu nüfus ve vatandaşlık müdürlüğüne başvurarak ilgili adresin adres numarası kaydının yapılması gerekmektedir.

VERBİS, Sicile kayıt yükümlülüğü olan veri sorumluları için; Yurtiçinde Yerleşik Gerçek / Tüzel Kişi, Yurtdışında Yerleşik Gerçek / Tüzel Kişi, Kamu Kurum ve Kuruluşları olmak üzere 3 farklı yapı şeklinde kurgulanmıştır. Bu kapsamda VERBİS ekranları aracılığıyla; -Veri sorumlusu yönetici girişi, veri sorumlusu temsilcisi bildirimi, kamu kurumlarınca belirlenen koordinasyon görevlisinin bildirimi konularında sistem üzerinden bilgi girişi yapılarak başvuru formu oluşturulmasına, -Başvuru formunun Başkanlığımıza ulaşması üzerine sistem üzerinden kullanıcı adı ve parola oluşturularak veri sorumlusuna iletilmesine, -Kullanıcı adı ve parola kullanılarak sisteme giriş yapılması, irtibat kişisi atamasının yapılması, veri sorumlusunun işlemekte olduğu kişisel verilerle ilgili irtibat kişisi tarafından veri kategorileri, işleme amaçları, saklama süreleri, alınan teknik ve idari tedbirler, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri konusu kişi gruplarına ait kategorik bazda bilgi girişi yapılarak kayıt yükümlülüğünün yerine getirilmesine, -İlgili kişilerce VERBİS’te yer alan kategorik bazdaki bilgilerin görülebilmesine, -Sicilde yer alan bilgilerde her zaman değişiklik yapılabilmesine, imkan sağlanmıştır.

Veri sorumlusu tarafından atanmış olan irtibat kişisi, herhangi bir kullanıcı adı veya parola kullanmadan VERBİS içerisinden e-devlet şifresi ile giriş yapar.

Kanunun 18 nci maddesinde “Bu Kanunun, 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir” hükmü yer almaktadır. Bu durumda olan veri sorumluları için Kurul tarafından söz konusu idari para cezası uygulanacaktır.

Bir tüzel kişi veri sorumlusu, şirket içinden veya dışından bir kişiyi Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmak şartıyla irtibat kişisi olarak atayabilir. Örneğin bir şirket, yönetim kurulu üyesini veya insan kaynakları departmanında görevli bir çalışanını veya da dışarıdan bir avukatı Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olması kaydıyla 6698 sayılı Kanunun uygulanmasıyla ilgili görevlendirmişse, bu görevlendirilen kişiyi aynı zamanda İrtibat kişisi olarak da atayabilecektir. Buna engel bir durum söz konusu değildir.

Aynı adreste birden fazla veri sorumlusunun bulunması mümkündür. Bu veri sorumlularının yerleşim yeri olarak aynı adresi bildirmesinde mevzuatımız açısından herhangi bir engel bulunmadığından aynı adres bildirilebilecektir.

Aynı veri kategorisinde birden fazla saklama süresi bulunmakta ise, veri sorumlusunca bu sürelerden en uzun olanının bildirimde kaydedilmesi gerekmektedir. VERBİS’te, saklama süresinin seçimi ile ilgili ekranda da bu konuda uyarı notu yer almaktadır.

Yurtiçinde yerleşik gerçek kişi veri sorumlularınca VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapılır. İlgili alanlar doldurularak PDF formatında başvuru formu sistemden oluşturulur. Oluşturulan formun çıktısı alınarak ıslak imzalı belge şeklinde Kurumun posta adresine posta yoluyla iletilir veya varsa kayıtlı elektronik posta (KEP) adresi üzerinden PDF formatındaki dosya eklenerek Kurumun KEP adresine iletilir. Kurum tarafından yapılan değerlendirme sonucunda, başvuru formunda belirtilen elektronik posta adresine “kullanıcı adı” ve “parola” gönderilir. Veri sorumlusu olan gerçek kişi tarafından “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapıldıktan sonra Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi “irtibat kişisi” olarak atanır. (veri sorumlusu, irtibat kişisi olarak kendisini atayabileceği gibi bir başka kişiyi de atayabilecektir.) Atanan irtibat kişisi tarafından VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılır ve gelen ekranlara bilgi girişi yapılarak Sicile kayıt işlemi sonuçlandırılır.

Veri sorumlusu olan bir gerçek kişi, aktif olarak bir irtibat kişisi olmaması durumunda, başka bir veri sorumlusunun irtibat kişisi olarak atanabilir. Örneğin gerçek kişi veri sorumlusu olan bir avukat, başka bir gerçek veya tüzel kişi veri sorumlusu tarafından irtibat kişisi olarak atanabilir.

İrtibat kişisi, veri sorumlusu tarafından VERBİS içerisinde yer alan “İrtibat Kişisi” menüsü aracılığıyla atanır.

Kanunun 16 ncı maddesinde, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır. Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazete’de yayımlanmıştır. Buna göre; Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler, 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerde, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, ç) 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 19/03/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, Gümrük müşavirleri, Arabulucular, 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler, ğ) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür. Bununla birlikte, Sicile kayıt yükümlülüğünden istisna olma durumunun Kanun hükümlerinden de istisna olmak anlamına gelmediği unutulmamalıdır. Kurul tarafından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları aşağıdaki tabloda belirtilmektedir: Kişisel verileri koruma kurulunca 6698 sayılı kanunun 16. Maddesine göre veri sorumluları siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları: Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 1512 Noterlik Kanunu uyarınca faaliyet gösteren noterler, 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulumuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler, 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri, Arabulucular, Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, ÖNEMLİ NOT: Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmak, 6698 sayılı Kişisel Verilerin Korunması Kanunundan da istisna olmak anlamına gelmemektedir. Kayıt yükümlülüğünden istisna olan veri sorumluları da diğer veri sorumluları gibi 6698 sayılı Kanun hükümlerine uymak zorundadır.

Kanunun 16 ncı maddesine göre, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce Sicile kaydolmaları gerekmektedir. Bununla birlikte Kanunun 28 inci maddesinde belirtilen faaliyetleri gerçekleştirmesi halinde veri sorumlularının, Sicile kayıt esnasında bu kişisel verilerle ilgili VERBİS’e bilgi girişi yapması zorunlu değildir. Bu faaliyetler aşağıdaki tabloda belirtilmektedir: Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, Kişisel verilerin milli savunmayı, milli güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi, Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma ve kovuşturması için gerKişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

İrtibat kişisinin adres bilgisi girişi, sistem üzerinden Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün Ulusal Adres Veri Tabanına anlık bağlanılarak “adres kodu” (10 haneli) bilgisi tespit edilerek bilgi girişinin yapılması şeklinde gerçekleştirilmektedir. Bu nedenle irtibat kişisinin Türkiye’de yerleşik gerçek kişi olması gerekmektedir.

Kullanıcı Adı, veri sorumlusunun başvuru formunda belirttiği elektronik posta adresine Kurumumuzca gönderilen elektronik postaya bakılmak suretiyle öğrenilebilir.Ancak “kullanıcı adı” bilgisine; iletilmiş olan bu elektronik postanın silinmesi gibi nedenlerle ulaşılamıyorsa, aynı elektronik postanın tekrar iletilmesi için, VERBİS ana sayfada yer alan “Parolamı Unuttum” butonu tıklanır. Ekrana gelen alanda “Kullanıcı Adı/VKN/TCKN” ile başvuru formunda belirtilmiş olan elektronik posta adresinin girişi yapılır, sistem tarafından daha önceki “Kullanıcı Adı” ve yeni oluşturulan “Parola” içeren elektronik posta, belirtilmiş olan elektronik posta adresine yeniden iletilir.

Gerçek kişi veri sorumlusunun kendisini irtibat kişisi olarak ataması mümkündür. Örneğin kendi adına muayenehanesi olan bir doktorun kendisini irtibat kişisi olarak ataması mümkün olduğu gibi bir çalışanını ya da dışarıdan bir kişiyi irtibat kişisi ataması da mümkündür.

İstisna kapsamında olmadığı halde, Sicile kayıt yükümlülüğünü yerine getirmeyen veri sorumlularının tespiti Kurumumuzca yapılacaktır.

Veri sorumlusu, irtibat kişisi tarafından girilen tüm bilgileri dilediği zaman kontrol edebilir. Bunun için önce VERBİS ana sayfadan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla “Kullanıcı Adı” ve “Parola” bilgisini girer, “Bildirim” sekmesinde sağ üst tarafta yer alan “İşlem Geçmişi” butonuna tıklar. İrtibat kişisi tarafından girilmiş olan tüm bilgileri tarih / saat / dakika ayrıntısı ile görüntüleyebilir.

Sicile kayıt yükümlülüğünden istisna kapsamında olmadığı halde, Sicile kayıt yükümlülüğünü yerine getirmeyen veri sorumlularının tespiti Kurum tara fından yapılacak ve haklarında Kanun kapsamında işlem tesis edilecektir.

VERBİS’e kayıt başvuru formu, bu formda belirtilen KEP adresi dışında başka bir KEP adresinden gönderilememektedir.

Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm tüzel kişiler genel kural olarak Sicile kayıt olmakla yükümlüdür. Buna göre, Kanun hükümleri veya Kurul kararlarıyla istisna tutulanlar hariç olmak üzere tüm tüzel kişi veri sorumlularının Sicile kayıt olması gerekmektedir.

Kişisel verilerin yurtdışına aktarılmasında yeterli korumanın bulunup bulunmadığına, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri kaydıyla kişisel verilerin yurtdışına aktarılmasına Kurul; a. Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b. Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c. Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç. Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d. Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü de dikkate almak suretiyle karar verir.

İlgili mevzuatta bu konu hakkında herhangi bir süre ya da şekil şartı öngörülmemiştir.Açık rızanın hukuka uygun şekilde alınıp alınmadı ğının ispatı veri sorumlusuna ait olduğu için, açık rıza metninin herhangi bir mağduriyete sebep olma yacak şekilde ve sürede saklanması veri sorumlusu için önemlidir. Dolayısıyla da açık rıza metinlerinin ne kadar süre saklanacağını veri sorumlusu makul bir süre olmak koşuluyla kendisi belirlemelidir.

Sicile kayıt yükümlülüğünden istisna olmak Kanun dan da istisna olunacağı anlamına gelmemektedir. Kanunun 16. maddesi ile Kurula verilmiş olan yetki çerçevesinde, Kurul tarafından alınan 2018/85 sayılı Karar gereği Avukatlık Kanununa göre yetki almış avukatlar, sadece Sicile kayıt yükümlülüğünden is tisna tutulmuştur. Dolayısıyla Kanun avukatlar için, diğer hükümleriyle uygulanmaya devam edecektir.

Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.

“Cinsiyet” verisi özel nitelikli kişisel veri değildir.Özel nitelikli kişisel veriler Kanunun 6. maddesinde sınırlı sayma yöntemiyle belirlenmiş olup bunlar içerisinde, kişinin cinsiyeti sayılmamıştır. Özel nite likli kişisel veriler arasında sayılan; cinsiyet değil cinsel hayata ilişkin kişisel verilerdir. Dolayısıyla “cinsiyet” özel nitelikli kişisel veri değildir.

Bir veri sorumlusu tarafından işlenen kişisel veriler Kanunlarda açıkça öngörülmesi şartına dayanarak işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna olmasını gerektirmez. Kanunun 5. maddesinde “Kanunlarda açıkça öngö rülme” şartı, Kanunun 6. maddesinde ise “Kanun larda öngörülme” şartı, kişisel veri işleme şartların dan biridir. Kanunun 5 ve 6. maddelerinde sayılan işleme şartla rının mevcut olması, o kişisel verilerin işlenmesini mümkün kılan şartlardır. Bir faaliyetin bu işleme şartlarından herhangi birine dayalı olarak gerçekleş tirilmesi, Kanundan istisna olunması anlamına gel mez, Kanun hükümleri bu faaliyetler için uygulan maya devam edecektir. İstisna ile ilgili hükümler, Kanunun 28. maddesinde sınırlı sayma yoluyla belirlenmiş olduğundan sadece bu madde kapsamına giren durumlarda istisnadan bahsedilebilecektir.

Sadece depolama amacıyla dosya halinde bilgisayarda kişisel verilerin tutulması da kişisel veri işleme kapsamındadır.6698 sayılı Kanunun 3. maddesinde kişisel verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır. Buna göre, kişisel veriler sadece depolama amacıyla dosya halinde tutulsa ve üzerinde başkaca bir işlem yapılmasa bile kişisel verilerin işlenmesi olarak değerlendirilecek ve bu faaliyet de Kanun kapsamında kabul edilecektir.

Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kurulun belirlediği diğer yöntemlerle veri sorumlu suna iletmesi, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlan dırması gerektiği hükme bağlanmıştır. Öte yandan, Kanunun 14. maddesinde de başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvu ru tarihinden itibaren altmış gün içinde Kurula şikâ yette bulunabileceği ifade edilmiştir. Kanunda yer alan bu sürelerin yorumlanmasına ilişkin 2019/9 sayılı Kurul kararında ise Kanunun 14. maddesi uyarınca; İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi ha linde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabile ceğine, bu itibarla söz konusu hallerde ilgili kişi nin veri sorumlusuna başvurduğu tarihten itiba ren 60 günlük süresinin bulunmadığına, İlgili kişi tarafından yapılan başvuruya veri so rumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarih ten itibaren 60 gün içinde Kurula şikâyette bulu nabileceğine, İlgili kişi tarafından yapılan başvuruya veri so rumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişi nin, Kanunda veri sorumlusuna tanınan 30 gün lük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bu lunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvur duğu tarihten itibaren 60 gün içinde Kurula şikâ yette bulunabileceğine,karar verilmiş ve bu Karar kamuoyuna duyurulmuştur. Dolayısıyla, ilgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 günlük süre içinde bir cevap verilmediği takdirde ilgili kişi, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde, yani veri sorumlusunun 30 günlük cevap süresinin bitimin den itibaren 30 gün içinde Kurula şikâyette buluna bilecektir. Örneğin; ilgili kişi 01.03.2020 tarihinde veri sorumlu suna başvurmuş ve veri sorumlusu ilgili kişiye 30 günlük yasal süresi içerisinde cevap vermemişse bir durumda ilgili kişinin Kurula şikayet başvurusunda bulunabileceği en son tarih 30.04.2020 olacaktır. Aynı başvuru için veri sorumlusu ilgili kişiye 10.04.2020 tarihinde yani başvuru tarihinden itibaren 40’ıncı günde cevap vermişse bu durumda da ilgili kişinin Kurula şikayet başvurusunda bulunabileceği son tarih 30.04.2020 olacaktır.

2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır. Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, kişisel verilerin korunmasına ilişkin 20. maddede tanınan her bir hakkın uygulanması ve diğer haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir.

Kanunun 18. maddesi gereği Kurul tarafından düzenlenen idari para cezası yaptırım kararlarına karşı yargı yolu açıktır. 5326 sayılı Kabahatler Kanununun 27. maddesine göre idari para cezalarına karşı Sulh Ceza Hâkimliklerine itiraz edilebilir. İdari para cezası ile birlikte ayrıca bir yaptırım kararı da verilmişse (örneğin para cezasıyla birlikte ayrıca verinin yurtdışına aktarılmasının durdurulmasına karar verilmesi) görevli mahkeme İdare Mahkemesi olmaktadır.

Kanunda veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu tüzel kişinin organizasyonu dışında, veri sorumlusu ile kişisel veri işleme bakımından hukuki ilişki içerisinde olan her bir gerçek ve/veya tüzel kişi kişisel veri işleme faaliyetinin niteliğine göre veri sorumlusu (örneğin mali müşavirler, avukatlar, bankalar, sigorta şirketleri) veya veri işleyen (örneğin bilgi işlem hizmet sağlayıcılar, arşivleme hizmeti verenler, çağrı merkezi hizmeti verenler) sayılabilecektir. Bu sebeple veri sorumlusunun tüzel kişi olması halinde veri işleyen, veri sorumlusu tüzel kişinin organizasyonunun dışındaki kişidir.

Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Örneğin, bir çağrı merkezi şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen olarak kabul edilecektir. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sis teminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre, veri sorumlusu statüsüne sahip olunup olunmadığını belirleyebilmek için bu üç unsurun varlığına bakmak gerekmektedir.Bağlı şirketlerin her biri, kişisel veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden so rumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.

Kanunun 15. maddesinde “Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmez se talep reddedilmiş sayılır.” hükmü yer almaktadır. Buna göre Kurul, şikâyet üzerine talebi inceleyerek ilgililere bir cevap vermekte, şikâyet tarihinden iti baren altmış gün içinde cevap verilmezse talep reddedilmiş sayılmaktadır.

Kanunun 28. maddesinin 2. fıkrasında yer alan “Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlü lüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü dü zenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz…” hükmü gereğince, maddeler halinde sayılan faa liyetler kapsamında işlenen kişisel veriler için Kanu nun sadece 10, 11 ve 16. maddesi hükümleri uygulanmayacak; diğer hükümleri uygulanmaya devam edecektir. Ayrıca, aynı veri sorumlularının bu sayılanlar dışın daki faaliyetleri kapsamında işlediği kişisel verilerle (örneğin insan kaynakları, muhasebe, bilgi işlem faaliyetleri gibi) ilgili olarak Kanun, diğer hükümleriyle uygulanmaya devam edecektir. Bir tüzel kişinin (örneğin şirket) bir “veri sorumlu su” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir.Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmeli ğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.

Kurum bünyesinde, vatandaşların kişisel verileri saklanmamaktadır. Ayrıca Kurumun, Türkiye’de işlenen tüm kişisel verileri kaydetmek ve bunları Kurum içerisinde muhafaza etmek gibi bir yetkisi ve görevi de bulunmamaktadır. Kişisel veriler, Kanunda belirtilen işleme şartlarının mevcut olması halinde veri sorumluları tarafından işlenmektedir. İşlenen kişisel verilerin kendisi veya bir kopyasının Kuruma iletilmesi gibi bir durum da söz konusu değildir.

Kanunun 10. maddesine göre aydınlatma yükümlü lüğü, kişisel verinin ilgili kişiden elde edilmesi sıra sında yerine getirilmesi gereken bir yükümlülüktür. Açık rıza veya diğer kişisel veri işleme şartlarından hangisine dayalı olarak kişisel veri işlenirse işlensin aydınlatma yükümlülüğü yerine getirilmelidir.Kanunun 5. ve 6. maddesinde sayılan açık rıza şartı haricindeki işleme şartlarından herhangi birine da yalı olarak kişisel veri işleniyorsa sadece aydınlatma yükümlülüğü yerine getirilmeli, ilgili kişilere ayrıca açık rıza metni sunulmamalıdır.Ancak, söz konusu diğer işleme şartlarından her hangi biri bulunmamasına rağmen kişisel veriler işlenmek isteniyorsa bu durumda ilgili kişinin hem aydınlatılması hem de açık rızasının alınması ge rekmektedir. Örneğin bir otel, müşterilerine daha sonraki dönemlerde reklam amaçlı ticari elektronik ileti göndermek istiyorsa, hem işlediği kişisel veriler için ilgili kişiyi aydınlatması hem de ticari elektronik iletiler için ilgili kişinin açık rızasını alması gerekmektedir. Buna göre, otelin hem aydınlatma yükümlülüğünü yerine getirdiğinin ispatı için ilgili kişiden “bilgi edindiğine” dair imza alması hem de söz ko nusu kişisel verilerin işleme şartının açık rıza olması dolayısıyla ayrıca açık rıza metni ile onay alması mümkündür. Bu durumda, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5. maddesine göre “Kişisel veri işleme faa liyetinin açık rıza şartına dayalı olarak gerçekleşti rilmesi halinde, aydınlatma yükümlülüğü ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilme si” gerekmektedir. Buna göre, aydınlatma ve açık rıza bir metin aracılı ğıyla gerçekleştiriliyorsa bu metinlerin farklı sayfa larda olması önerilmektedir. Eğer aynı sayfada olması isteniyorsa, her iki metnin farklı başlıklar altın da olması ve açık rıza verilmesine yönelik ayrı bir bölümün de yer alması gerekmektedir. Öte yandan, aydınlatma ve açık rıza metinlerinin birbiri içerisine girmeyecek şekilde hazırlanması gerekmektedir. Eğer veri sorumlusunun ispatı için ilgili kişiden imza alınıyorsa veya işaretleme yapılması isteniyorsa, her ikisi için tek imza veya onay alınması yöntemi değil ayrı ayrı imza veya onay alınması yöntemi kullanılmalıdır.

Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soyad ve telefon numaraları Kanun kapsamında değildir. Kişisel veri işlemenin Kanun kapsamında sayılabilmesi için işlenen kişisel verilerin bir veri kayıt sisteminin parçası olması yani belirli bir takım kriterlere göre yapılandırılarak işlenmesi gerekmektedir. Ad, soyad ve telefon numarası gibi veriler bir indeks, fihrist vb. bir veri kayıt sistemi dâhilinde yazılmışsa, söz konusu veri işleme faaliyeti Kanuna tâbi olacaktır. Manuel yolla ve gelişigüzel bir biçimde bir kâğıt parçası üzerine yazılan kişisel veriler Kanun kapsamında olmayacaktır. Bununla birlikte, bir veri kayıt sisteminin parçası olmadan işlenen kişisel verilerin 6698 sayılı Kanuna tâbi olmaması durumu, bu verilerin keyfi bir biçimde kullanılabilecekleri anlamına gelmemektedir. Zira konusu suç teşkil eden durumlar 5237 sayılı Türk Ceza Kanunu kapsamında ele alınmaktadır.

Kişisel sağlık verileri, veri sorumlusunun meşru menfaati kapsamında işlenemez.Kişisel sağlık verisi, kimliği belirli ya da belirlenebi lir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerdir. Kişisel sağlık verileri, Kanunun 6. maddesinde sayılan özel nitelikli kişisel veriler ara sında yer almaktadır. Özel nitelikli kişisel verilerin işlenmesi şartları da bu maddede düzenlenmiş olup buna göre sağlık verile rinin işlenebilmesi için kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hiz metlerinin yürütülmesi, sağlık hizmetleri ile finans manının planlanması ve yönetimi amacıyla sır sakla ma yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleniyor olması veya ilgili kişinin açık rızasının alınması gerekmektedir. Kişisel sağlık verilerinin işlenmesi, bu madde kap samında amaç ve kişi yönünden sınırlandırılmıştır. Diğer bir deyişle açık rıza haricinde, sadece belirtilen amaçlarla ve belirtilen kişi veya kuruluşlarca işlene bilmesi mümkündür. Anılan madde hükmünden de anlaşılacağı üzere özel nitelikli kişisel veriler arasında yer alan kişisel sağlık verileri, kişisel veri işleme şartı olan meşru menfaat kapsamında işlenemez.

Kanunun 18. maddesinde; Kanunda öngörülen yü kümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Söz konusu idari para cezası miktarları her takvim yılı başından itibaren geçerli olmak üzere, ilgili Resmi Gazete’de yayımlanan yeniden değerleme oranında artırılarak uygulanmaktadır.

Bütün veri sorumluları, kişisel veri işleme envanteri hazırlamak zorunda değildir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi uyarınca kişisel veri işleme envanteri hazır lanması, Sicile kayıt olmakla yükümlü veri sorumlu larının yerine getirmesi gereken bir yükümlülüktür. Dolayısıyla Sicile kayıt yükümlülüğünden istisna olan veri sorumlularının kişisel veri işleme envanteri hazırlama zorunluluğu bulunmamaktadır. Bununla birlikte, Sicile kayıttan istisna olan veri sorumlularının da kişisel veri işleme envanteri hazırlamaları önerilmektedir.

Kurulun 2019/10 sayılı Kararına göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafın dan elde edilmesi hâlinde veri sorumlusu, veri ihla lini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde “Kişisel Veri İhlal Bildirim For mu”nu kullanarak ihlali Kurula bildirmelidir.

Kanunun 15. maddesine göre Kurul, telafisi güç ve ya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya ve rinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.

Anayasanın 130. maddesi ile Vakıf Yükseköğretim Kurumları Yönetmeliğinin 5. maddesi gereği vakıf üniversiteleri kamu tüzel kişiliğini haizdir. Bu nedenle, vakıf üniversitelerinin kamu tüzel kişiliğine sahip olduğu açıkça ifade edildiğinden, yurt içinde yerleşik tüzel/gerçek kişi bölümünden değil “kamu kurum ve kuruluşları” bölümünden Sicile kaydını gerçekleştirmesi gerekmektedir.

Kurum, faaliyetleri kapsamında işledikleri kişisel verileri ne kadar süreyle saklayabilecekleri hususunda veri sorumlularına herhangi bir yönlendirmede bulunmamaktadır. Bu konuda 6698 sayılı Kanunun 7. maddesinde, Kanun ve ilgili diğer ka nun hükümlerine uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi veya yok edilmesi gerektiği, 4. maddesinde ise ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi yer almaktadır. Buna göre veri sorumluları, işledikleri kişisel veriler le ilgili olarak öncelikle ilgili mevzuatta saklama süresine yönelik herhangi bir hüküm olup olmadığına bakacak, hüküm bulunması halinde işledikleri kişisel verileri sadece öngörülen bu süre kadar saklayabilecektir. Eğer ilgili mevzuatta saklama süresine dair bir hüküm yoksa bu durumda veri sorumlusu tarafından kişisel veri işleme amacını gerçekleştirmeye yetecek kadar saklama süresi belirlenebilecektir. Saklama süresi belirlenirken, Veri Sorumluları Sicili Hakkın da Yönetmeliğin 9. maddesinde belirtilen kriterler dikkate alınmalıdır.Dolayısıyla, veri sorumluları, varsa ilgili mevzuatta öngörülen süreyi dikkate alacak, eğer mevzuatta öngörülen bir süre yoksa söz konusu kriterlere göre saklama süresini kendisi belirleyecektir. Kurumun saklama sürelerine dair bir ilanı olmayacaktır.

Kişisel veri işleme envanterinin VERBİS’e yüklen mesi gibi bir durum söz konusu değildir.

Kanunun 15. maddesine göre Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapma yetkisi vardır. Bu yetki uyarınca Kurul, kişisel veri işleme envanteri ile kişisel veri sak lama ve imha politikasını veri sorumlusundan talep edebilecektir.

Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi Kanuna uygun değildir.Kanunun 3. maddesinde “açık rıza”; belirli bir ko nuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır.Buna göre, eğer kişisel veri işlerken açık rıza almak gerekiyorsa, alınan açık rızanın bu üç unsuru da içermesi gerekmektedir. Bu üç unsurdan herhangi birinin eksik olması halinde açık rızanın varlığından bahsedilemeyecektir. “Tüm kişisel verilerimin işlenmesine ve paylaşılma sına izin veriyorum” şeklinde verilen açık rıza belirli bir konuya ilişkin olmayıp hangi verilerin işleneceği ve kimlerle paylaşılacağı konusu da net olmadığın dan açık rıza olarak değerlendirilmeyecektir.

Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kurulun belirlediği diğer yöntemlerle veri sorumlu suna iletmesi, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır. Öte yandan, Kanunun 14. maddesinde de başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir. Kanunda yer alan bu sürelerin yorumlanmasına ilişkin 2019/9 sayılı Kurul kararında ise Kanunun 14. maddesi uyarınca; İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceğine, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığına, İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulu nabileceğine, İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine karar verilmiş ve bu Karar kamuoyuna duyurulmuştur. Örneğin ilgili kişi 01.01.2019 tarihinde veri sorumlu suna başvurmuş ve veri sorumlusu tarafından bu başvuruya 16.01.2019 tarihinde cevap verilmişse bu durumda ilgili kişinin, söz konusu cevap tarihi olan 16.01.2019 tarihinden itibaren 30 gün içinde Kurula şikâyet başvurusunda bulunma hakkı vardır. Dola yısıyla bu örneğe göre ilgili kişi tarafından Kurula en geç 15.02.2019 tarihinde şikayette bulunulması gerekmektedir.

Veri sorumluları, devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri Kurula göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Kişisel veriler hangi işleme şartına dayanarak işle nirse işlensin, yine de aydınlatma yükümlülüğü ye rine getirilmelidir. “Kanunlarda açıkça öngörülmesi”, Kanunun 5. maddesinde sayılan kişisel veri işleme şartlarından birisidir. Aydınlatma yükümlülüğü ise Kanunun 10. maddesinde açıklanan ve işleme şartı ne olursa ol sun tüm kişisel veri işleme faaliyetleri kapsamında yerine getirilmesi gereken bir yükümlülüktür. Bu nedenle, kişisel veri işleme faaliyeti kanunlarda açıkça öngörülse bile veri sorumlusunca ilgili kişi lere yönelik aydınlatma yükümlülüğü yerine getirilmelidir.

Bir veri kayıt sistemine bağlı olarak işlenen kişisel veriler, 6698 sayılı kanun kapsamındadır. kanunda “veri kayıt sistemi”; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde tanımlanmıştır. Dolayısıyla kişisel veriler; fihrist, numara, ad soyad, alfabe, kategori, sıralama gibi belirli kriterlere göre işleniyorsa Kanun kapsamında olacaktır.

Kurula yapılacak şikâyet başvuruları, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun çerçe vesinde ıslak imzalı olarak Kurumun posta adresine ulaştırılabileceği gibi Kurumun internet sayfasında yer alan şikayet modülü kullanılarak da başvuru yapılabilmektedir. Kurumumuzun mevcut uygulaması gereği eposta, telefon veya çağrı merkezi aracılığıyla Kurula şikâ yette bulunulamamaktadır.

Katmanlı aydınlatma yapılması; kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel veri işlenmesi konusunda kısa, anlaşılır, açık ve sade bir yöntemle bilgilendirilme yapılması, Kanunun 10. maddesin deki aydınlatma yükümlülüğü kapsamında verilmesi gereken diğer bilgiler için, ilgili kişinin bu bilgilendirmeden sonra erişerek okuyabileceği bir ortama yönlendirilmesi anlamına gelmektedir.Dolayısıyla, ilgili kişinin doğrudan bir linke yönlendirilmesi katmanlı aydınlatma yapılması anlamına gelmemektedir. Örneğin, telefondaki ilgili kişiye kısa, anlaşılır, sade bir ön aydınlatma (bilgi lendirme) yaptıktan sonra o kişiyi aydınlatma met ninin yer aldığı linke yönlendirmek daha uygun bir yöntemdir.

Kişisel veri işleme envanterinde saklama sürelerinin belirtilmesi gerekmektedir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesinde “kişisel veri işleme envanteri”; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır. Dolayısıyla, tanımda belirtilen “kişisel verilerin iş lendikleri amaçlar için gerekli olan azami muhafaza edilme süresi” ifadesinden; saklama sürelerinin en vanterde belirtilmesi gerektiği anlaşılmaktadır.

Kurulun yayımlamış olduğu 2019/387 sayılı Karar da, yurt dışında yerleşik olan tüm veri sorumluları nın Sicile kayıt olacağı hükmü bulunmaktadır. Bu nedenle, yurt dışında yerleşik veri sorumluları için, çalışan sayısı ve mali bilanço gibi herhangi bir istis na kriteri söz konusu değildir.

Açık rıza geri alınabilir. Çünkü bu kişiye sıkı sıkıya bağlı bir haktır. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Bununla birlikte geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur. Ancak saklanmasını gerektiren başka bir hukuki sebep varsa söz konusu kişisel veriler veri sorumlusu tarafından sadece bu amaçla sınırlı olmak üzere saklanabilir.

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi uyarınca kişisel veri işleme envanteri hazır lanması, Sicile kayıt olmakla yükümlü veri sorumlu larının yerine getirmesi gereken bir yükümlülük olup hazırlanan kişisel veri işleme envanterini Ku ruma göndermek gibi bir zorunluluk söz konusu değildir. Kişisel veri işleme envanteri, Sicile kayıtla yükümlü olan veri sorumluları için getirilmiş bir yükümlülük olup hazırlanan envanter veri sorumlusunun organizasyonu içerisinde kalmalıdır. Bununla birlikte, aydınlatma metinlerinin oluşturulması, ilgili kişile rin başvurularına cevap verilmesi ve Sicile kayıt es nasında bu envanterden faydalanılması gerekmek tedir. Ayrıca, şikâyet üzerine veya resen yapılan inceleme esnasında Kurul tarafından, envanterin Kuruma ibraz edilmesi veya iletilmesi de istenebilecektir.

5174 sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu gereği odalar kamu ku rumu niteliğinde meslek kuruluşudur. Bu nedenle odalar ve borsaların, VERBİS kaydını “yurt içinde yerleşik tüzel/gerçek kişi” bölümünden değil “kamu kurum ve kuruluşları” bölümünden gerçekleştirmesi gerekmektedir.

Bir veri ihlali olması halinde Kanun, sorumluluğu veri sorumlusuna yüklemiştir. Kanunda veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre veri işleyen, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemektedir. Kanunun 12. maddesine göre; veri sorumlusu, kişi sel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada be lirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Buna göre, veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir.Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür. Örneğin veri sorumlusu bir şirketin muhasebe kayıt larını herhangi bir muhasebe şirketi tutuyorsa, söz konusu kişisel verilerin işlenmesine ilişkin olarak Kanunda belirtilen tedbirlerin alınması hususunda veri sorumlusu şirket, muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Ancak veri sorumlusu şirketin çalışanlarına ait kayıtlarla ilgili olarak veri işleyen konumundaki muhasebe şirketi dâhilinde bir ihlal gerçekleşirse bu ihlal ile ilgili sorumluluk veri sorumlusu olan şirkete ait olmakla birlikte, veri sorumlusu şirket muhasebe şirketine rücu edebilecektir.

Kişisel verilerin doğru ve gerektiğinde güncel olması hususunda yükümlülük veri sorumlusundadır.Kanunun 4. maddesinde kişisel verilerin işlenme sinde uyulması zorunlu olan ilkeler sayılmış olup bu ilkelerden birisi de “doğru ve gerektiğinde güncel olma” ilkesidir. Bu ilkeye göre veri sorumlusu, ilgili kişinin bilgilerini doğru ve gerektiğinde güncel tutmalıdır.Veri sorumlusu, söz konusu bilgilerin doğru ve ge rektiğinde güncel olmasını sağlayacak uygun iletişim kanallarını da açık tutmalıdır.Dolayısıyla veri sorumlusunun, kural olarak ilgili kişinin verilerini periyodik olarak güncellemek gibi bir zorunluluğu bulunmamakla birlikte ilgili kişinin temel hak ve özgürlüklerini önemli ölçüde etkileye bilecek veri işleme faaliyetleri bakımından bu bilgilerin doğru ve gerektiğinde güncel olması için veri sorumlusu gereken özeni göstermelidir.