VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜKLERİ

1. GENEL OLARAK KİŞİSEL VERİLERİN KORUNMASI

1.1. KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ

Küreselleşme ile birlikte yaşanan siyasal, toplumsal, ekonomik ve sosyal alandaki olağanüstü değişimler ve gelişmeler yanında teknolojinin gündelik hayatımızın büyük bir kısmını kuşatması, şüphesiz yaşadığımız dönemin “bilgi çağı” haline gelmesinde rol oynayan temel faktörlerdendir. Dolayısıyla yaşanan tüm bu gelişmeler her geçen gün; kişisel bilgiler içeren yazılı, sesli ve görsel ögeler başta olmak üzere akla gelebilecek birçok ögenin kaydedilmesinin, paylaşılmasının, aktarılmasının ve saklanmasının çok daha kolay hale gelmesini sağlamaktadır. [1]

Devletlerin; artan nüfus ile birlikte kamusal yükümlülüklerinin de sürekli artış göstermesi, kamu hizmetlerinin yerine getirilebilmesi, kamu düzeni ve güvenliğinin sağlanabilmesi için kişilerin verilerine olan ihtiyacı artmaktadır.[2] Yine gerek ticari faaliyet amacı güden kuruluşların, ticari kapasitelerini arttırabilmek ve pazarlama faaliyetlerini geliştirebilmek amacıyla her geçen gün kişilerin verilerine ihtiyacının artması gerekse bireylerin, herhangi bir sebeple birbirlerinin verilerine sosyal medya aracılığı ile çok daha kolay ulaşıyor olması kişisel verileri paha biçilemez bir değer haline getirmiştir. Bu sebeplerle; özel ya da kamusal alan fark etmeksizin kişilerin verilerine artan ihtiyaç ile teknolojinin bu denli hızlı gelişmesi, mahremiyet ve özel hayatın gizliliği açısından büyük bir risk oluşturmaya başlamıştır.

AİHS[3] m.8[4]’de düzenlenen, özel hayat ve aile hayatına saygı hakkı başta olmak üzere ifade özgürlüğü, düşünce, din ve vicdan özgürlüğü, ayrımcılık yasağı gibi temel hak ve özgürlüklerin korunabilmesi birçok hukuk sisteminin yapı taşlarını oluşturmaktadır. Buradan hareketle herhangi bir özel ya da tüzel kişi tarafından, kimliği belirli ya da belirlenebilir bir gerçek kişiye ait olan her türlü veri olarak ifade edilen ve aşağıda açıklanacak “kişisel veri” kavramının elde edilmesi, kaydedilmesi, saklanması, değiştirilmesi, aktarılması gibi faaliyetlere düzenleme getirilmesi ve kişilerin korunması ihtiyacı doğmuş ve bu durum hukuk sistemlerinin köşe taşlarından biri haline gelmiştir. 

1.2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TEMEL DÜZENLEMELER

            Kişisel verilerin korunması alanında, yukarıda da belirtildiği üzere dolaylı da olsa 3 Eylül 1953 tarihinde yürürlüğe giren AİHS’in karşımıza çıkan ilk kaynak olduğunu söylemek şüphesiz yanlış olmayacaktır.[5] Türkiye’nin 1954 yılında onayladığı AİHS; doğrudan kişisel verilere ilişkin bir düzenleme içermese de aile hayatı, özel hayatın gizliliği, konut dokunulmazlığı ve haberleşmenin özgürlüğü gibi oldukça önemli temel hak ve özgürlükleri koruma altına almıştır.

            Kişisel verilerin korunması ihtiyacı ve bu hususa ilişkin çalışmalar, 1970’li yıllardan beri yürütülmektedir. Bununla birlikte özel yaşama ilişkin endişelerin artması ile ilk modern gelişmeler ülkesel bazda ABD’de başlamış ve 1974 yılında Özel Yaşamı Koruma Kanunu kabul edilmiştir.[6]

Dünyanın kişisel verilere ilişkin ilk kanunu ise 1970 yılında kabul edilen ve bilişim sistemleri yardımı ile tapu kayıtlarına erişim sağlanabilmesi karşısında usul ve esasları düzenleyen Hessen Eyalet Veri Koruma Kanunu’dur. Benzer olarak 1973 yılında İsveç’i, 1978 yılında Fransa’nın izlemesi ile kişisel verilerin korunması ile ilgili düzenlemeler tüm Avrupa’ya yayılmıştır. Kişisel verilerin korunması hususunda uluslararası boyuttaki en geniş kapsamlı düzenleme ise Avrupa Konseyi tarafından 1981 yılında kabul edilen 108 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi[7] olarak ifade edilebilmektedir. Yine 1980’li yıllardan sonra kişisel verilerin korunmasında ciddi gelişmeler yaşanmıştır. Birleşmiş Milletler, OECD, Avrupa Konseyi, APEC gibi uluslararası kuruluşlar; birtakım yönerge, direktif, rehber ilkeler ve uluslararası anlaşmalar hazırlamaya ve uygulamaya geçirmeye başlamışlardır.[8] Bunlar arasında en temel düzenlemelere örnek olarak; OECD’nin 8 adet rehber ilkeden oluşan 1980 tarihli Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri[9], BM’nin 1990 tarihli Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri, 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi, 181 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol, 2002/58/AT Sayılı Elektronik Haberleşme Sektöründe Özel Alanın Korunması ve Kişisel Bilgilerin İşlenmesi Direktifi, 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü(GDPR) verilebilmektedir.

Türk Hukukunda ise; bu hususta TCK[10]’da kişisel verilerin cezai korumasına dair suç tipi 2005 yılında öngörülmüş keza TMK[11] ve TBK[12]’da da dolaylı olarak bazı düzenlemelere yer verilmiştir. Yine Türkiye Cumhuriyeti Anayasası[13]’ndaki 2010 değişikliği ile birlikte özel hayatın gizliliği başlıklı 20. maddesine eklenen: “Herkes, kendisi ile ilgili kişisel verilerin korunması hakkında sahiptir; bu hak kişinin kendisi ile ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını da kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklindeki düzenleme hukukumuza girmiştir.[14]

Kişisel verilerin korunması anlamında detaylı düzenlemelere yer verilen ilk kanunumuz ise 2016 yılında yayınlanarak yürürlüğe giren 6698 Sayılı KVKK[15]’dır.

1.3. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TEMEL KAVRAMLAR

1.3.1. KİŞİSEL VERİ

          Uluslararası boyutta bakıldığında; kişisel verilere ilişkin ilk uluslararası belge niteliğinde karşımıza çıkan 1980 tarihli Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri’nde, kişisel veri “belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler” olarak tanımlanmaktadır. İlk bağlayıcı uluslararası belge olan 108 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nde ise kişisel veri “kimliği belirtilen veya belirtilebilen gerçek kişiye ait tüm bilgiler” olarak tanımlanmaktadır. Yine, GDPR’da kişisel veriye ilişkin “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi” tanımını görmekteyiz.[16]

            Türk Hukukunda ise 6698 sayılı KVKK’da kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. İşbu kanunun gerekçesinde ise kişisel verinin mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesi olarak ifade edilmektedir.[17] Devamında ise, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı açıklığa kavuşturulmuştur.

            Dolayısıyla kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak değerlendirildiğinin söylenmesi muhakkak ki ulusal düzenlemeler ışığında da uluslararası boyutta da en doğrusu olacaktır. 

1.3.2. KİŞİSEL VERİLERİN İŞLENMESİ

          Kanun kapsamında kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Yine KVKK’nın gerekçesinde de kişisel verilerin işlenmesi kavramının, yalnızca verinin işlenmesi değil kişisel veri elde edildikten sonra üzerinde yapılan her türlü işlem olarak da ifade edilmektedir. Dolayısıyla buradan hareketle, kişisel verilerin işlenmesinin sayılan eylemlerle sınırlandırılmadığı anlaşılmaktadır.

2. VERİ SORUMLUSU KAVRAMI VE VERİ İŞLEYEN İLE İLİŞKİSİ

    2.1. VERİ SORUMLUSU

KVKK’nın 3. maddesinin ı bendinde veri sorumlusu: “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak ifade edilmektedir.  

GDPR’da[18]   ise veri sorumlusu;kişisel verilerin işlenmesine ilişkin amaçları ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ tanımlaması ile karşımıza çıkmaktadır.

Her ne kadar KVKK’da, GDPR’dan farklı olarak kamu tüzel kişileri açıkça yer almasa da kamu hukuku tüzel kişilerinin ve özel hukuk tüzel kişilerinin veri sorumlusu olması açısından herhangi bir fark gözetilmemekle birlikte; KVKK, kamu tüzel kişilerini de bağlamaktadır.[19] Zira KVKK’nın gerekçesinde de açıkça veri sorumlusunun; gerçek kişiler, kamu tüzel kişileri, şirketler, dernekler veya vakıflar da olabileceği düzenlenmektedir.

Veri sorumlusu, kişisel verilerin işlenmesine ilişkin mevcut tüm hukuki düzenlemelerde yer alan yükümlülüklerin muhatabı ve meydana gelen herhangi bir zararın sorumlusu olduğundan[20]; veri sorumlusunun tespit edilebilmesi pek tabii çok büyük bir önem arz etmektedir.

Veri sorumlusunun tespitinde, kişisel verilerin işlenmesine ilişkin kararların alınması noktasında “yetki”nin kime ait olduğu, bakılması gereken en temel unsurdur. Bununla birlikte veri sorumlusu şüphesiz, kişisel verilerin işlenmesindeki “amacı” ve “yöntemi” belirleyen kişidir. Bir başka deyişle veri işleme faaliyetinin “neden” ve “nasıl” yapılacağını belirleyecektir. Kişisel Verileri Koruma Kurulu veri sorumlusunun tespitinde,

-Kişisel verilerin toplanması ve toplama yöntemi,

-Toplanacak kişisel verilerin türleri,

-Toplanan verilerin hangi amaçla kullanılacağı,

-Hangi bireylerin kişisel verilerinin toplanacağı,

-Toplanan verilerin paylaşılıp paylaşılmayacağı paylaşılacaksa kiminle paylaşılacağı ve

       -Verilerin ne kadar süreyle saklanacağı

sorularına kimin yanıt verdiğinin bulunmasının belirleyici olduğundan bahsetmektedir.[21]

            Tüm bunlar değerlendirildiğinde “Veri sorumlusu kimdir?” denilen noktada ilk olarak Veri Sorumluları Sicili Yönetmeliği m. 11[22] ışığında; tüzel kişilerin söz konusu olması durumunda, veri sorumlusunun tüzel kişiliğin kendisi olduğunu ifade edebilmekteyiz. Kaldı ki bu tüzel kişilik, üzerine düşen yükümlülüklerin yerine getirilmesi noktasında temsil ve ilzama yetkili organlar veya başkaca bir veya birden fazla kişi görevlendirebilmekle birlikte; yapılan bu görevlendirme kesinlikle tüzel kişiliğin sorumluluğunu ortadan kaldırmamaktadır. Bu konuda kamu tüzel kişileri ve özel hukuk tüzel kişileri arasında herhangi bir farklılık gözetilmemiştir.

GDPR m. 26/1’de yukarıda anılan veri işleme amaç ve yöntemlerini belirlemede iki veya daha fazla veri sorumlusu yetkili ise müşterek veri sorumluluğundan bahsedilmektedir. KVKK’da müşterek veri sorumluluğuna ilişkin herhangi bir terminoloji yer almasa ve henüz bu doğrultuda bir kurul kararı bulunmasa dahi kanaatimce uygulamada veri sorumlusu sıfatını haiz birden fazla veri sorumlusunun bulunması hallerinde müştereken sorumluluk mümkün kılınabilecektir. Bununla birlikte grup şirketlerin ve bağlı ortaklıkların söz konusu olduğu hallerde her gruptaki şirket veri işleme amaç ve yöntemlerini kendisi belirlediğinden ve veri kayıt sistemlerini kendileri tuttuklarından her bir şirket “veri sorumlusu” sıfatını haiz olacaktır.[23] Ancak işletmenin şubelerinin bağımsızlığı bulunmadığından; şubelerin, veri sorumlusu sıfatını haiz bulunması mümkün değildir.[24]

Veri sorumlusunun tespitine ilişkin verilen bazı örnekler şöyledir ki; bir ilaç firmasının bir araştırma şirketi ile çalışan memnuniyet anketi düzenlemeyi üstlenmiş ve anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu ilgili araştırma şirketine bırakmıştır. Araştırma şirketi, ilaç firması adına kişisel verileri işliyor olsa dahi hangi çalışanlara anket yapılacağı, hangi verilerin toplanacağı gibi konularda karar verme yetisine sahip olduğundan ilaç firması ile birlikte veri sorumlusu sıfatını haiz bulunmaktadır. Yine mesleki birtakım yasal yükümlülüklere tabi olan mali müşavirler, müşterilerinin hesap kayıtlarını tutarken kişisel verilerin işlenmesi bakımından veri sorumlusu konumundadırlar. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları müddetçe veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakamayacaklardır.[25]

2.2. VERİ İŞLEYEN

KVKK’nın 3. maddesinin ğ bendinde veri işleyen: “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” şeklinde tanımlanmaktadır. Yine KVKK’nın gerekçesinde bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilmektedir.

GDPR m.4/8’de ise KVKK’ya paralel olarak veri işleyen(processor) için “Veri sorumlusu adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” şeklinde birtanımlama yapıldığını görmekteyiz.

Görüleceği üzere veri işleyen, veri sorumlusunun talimatı ile hareket etmekte ve faaliyetleri daha çok teknik görevler ile sınırlı bulunmaktadır.[26] Dolayısıyla veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak veya veri sorumlusu adına veri işleyen gerçek veya tüzel kişidir. Veri sorumlusunun çıkarlarına hizmet edecek şekilde yine onun yetkilendirmesi ile hareket etmektedir. Veri işleme amaç ve yöntemleri gibi ana unsurlar veri sorumlusu tarafından belirlenmekte iken veri işleyen daha çok verilerin hangi yöntemle işleneceği ve verilerin işlenmesinde alınacak güvenlik önlemleri gibi usulle ilgili bazı konularda karar verebilmektedir.[27] Bununla birlikte Kişisel Verileri Koruma Kurulu, sınırlı sayıda olmamakla birlikte veri sorumlusunun bir sözleşme ile;

“-Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,

-Kişisel verilerin hangi yöntemle saklanacağı,

-Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,

-Kişisel verilerin aktarımının hangi yöntemle yapılacağı,

-Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için     kullanılacak metot,

-Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemleri”

gibi hususlarda karar verme yetkisini veri işleyene bırakabileceğine değinmiştir.[28] Yine de her ne olursa olsun karar verme yetkisi veri işleyene bırakılmış olsa dahi veri sorumlusunun, denetim yükümlülüğü devam etmektedir.[29]

Veri sorumlusu ve veri işleyenin aynı kişi olabileceği de değinilmesi gereken en önemli noktalardan bir tanesidir. Örneğin bulut bilişim hizmeti sunan bir şirket, kendi çalışanlarının verileri bakımından sıfatı “veri sorumlusu” iken müşterilerinin verileri bakımından ise sıfatı “veri işleyen” sıfatını haiz olmaktadır.[30]

Veri işleyenin sorumluluğunun hangi noktada başladığına bakıldığında; veri işleyenin de bazı noktalarda sorumluluğunun söz konusu olabileceğini görmekteyiz. Bu noktada aşağıda detaylıca değineceğimiz üzere; KVKK m.12’de veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbirleri almak zorunluluğu mevcuttur. Veri işleyen sıfatını haiz bir kişinin mevcut olması halinde ise veri sorumlusunun, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğunun düzenlendiği ancak başkaca bir düzenleme olmadığını görmekteyiz.

KVKK’nın aksine veri işleyenin uygulamada genellikle alanında uzman şirketler olması sebebi ile GPDR’da[31], bu kısım detaylı olarak irdelenmiş ve veri işleyenin yükümlülükleri ayrıntılı olarak ele alınmıştır. KVKK’da bu hususta boşluklar bulunduğundan, veri güvenliğine ilişkin alması gereken tedbirleri almayan veri işleyenin sorumluluğunun sözleşmesel ilişkinin mevcut olup olmamasına ve somut olaya göre ayrıca irdelenmesi gerekecek ve boşluk doldurulmaya çalışılacaktır. KVKK’nın; veri işleyene ilişkin düzenlemelerinin, ayrıntılı olmasına duyulan bir ihtiyaç olduğu şüphesizdir. 

          3.VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜKLERİ

3.1. VERİ SORUMLUSUNUN GENEL İLKELERE UYGUN    DAVRANMA YÜKÜMLÜLÜĞÜ

Ulusal ve uluslararası boyutta birtakım farklılıklar barındırmasına rağmen genel itibariyle kişisel verilerin işlenmesine önem atfeden birçok ülkede kabul gören ve uyulması gereken birtakım temel ilkeler bulunmaktadır.

Uluslararası boyutta güncel olarak kişisel verilerin işlenmesine ilişkin uyulması gereken temel ilkeler, GPDR’ın 5. maddesinde düzenlenmektedir. Bu madde doğrultusunda; kişisel verilerin hukuka uygun, adil ve şeffaf bir biçimde işleneceği(“hukuka uygunluk, adalet ve şeffaflık”), kişisel verilerin açık ve meşru amaçlara yönelik olarak toplanacağı, işbu amaçlar dışında işlenemeyeceği(“amaçla sınırlılık”), işlenen amaçlarla sınırlı olarak işlenen verilerde asgari/minimal düzeye inilmesi(“verilerin en az seviyeye indirgenmesi”), verilerin doğru ve güncel şekilde tutulması(“doğruluk ve güncellik”), verilerin işlendiği amaçla sınırlı süre için saklanması(“saklama süresinin sınırlandırılması”) ve son olarak gizliliğe ve verilerin korunması ilişkin gerekli tüm tedbirlerin alınması(“gizlilik ve bütünlük”) ilkelerine uyulması aksi halde “hesap verilebilirlik” ilkesi doğrultusunda veri sorumlusunun sorumlu tutulabileceği ilkelerine önem atfedildiği görülmektedir.

Ulusal boyutta ise KVKK’nın 4. maddesinde düzenlenen genel ilkeler, 108 sayılı sözleşme ve 95/46/EC sayılı Direktife paralel olarak hayatımıza girmiş bulunmaktadır.[32] KVKK’nın 4. maddesi kapsamında açıkça yer almaktadır ki kişisel veriler işlenirken mevzuatlarda belirtilen usul ve esaslara uyulmalı bununla birlikte veri işleme faaliyeti; hukuka ve dürüstlük kurallarına uygun aynı zamanda doğru ve güncel olmalı, belirli, açık ve meşru amaçlar için gerçekleşmeli, işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmalı ve mevzuatlarda öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

3.1.1. HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA

Kişisel verilerin hukuka uygun işlenme denildiğinde, kişisel verilerin yalnızca kişisel verilere ilişkin mevzuatlara değil kişisel verilere ilişkin mevzuatlar haricinde genel itibariyle evrensel tüm hukuk normlarına uygun olması gerektiğinin anlaşılması gerekmektedir.[33]

Dürüstlük kurallarına uygun olarak veri işleme faaliyetinden kastın ise TMK m.2 kapsamında düzenleme altına alınan dürüstlük kuralı ilkesi çerçevesinde değerlendirildiği ifade edilmektedir. Bu madde kapsamında dürüstlük kuralı, hakkın kötüye kullanılmasına ilişkin yasağa riayet edilmesi anlamına gelmektedir. Dolayısıyla kişisel veriler işlenirken, ilgili kişilerin makul beklentileri ve kişisel çıkarlarının da gözetmesi, objektif bir kimseden beklenecek davranışa göre hareket edilmesi gerekmektedir.[34]

KVKK m.5’te düzenleme altına alınan ilkeler uyarınca ilgili kişinin muhakkak verisinin işlenirken açık rızasının alınması gerektiği bununla birlikte hukuka uygunluk değerlendirmesinde kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde de hukuka uygunluk sebeplerinin gerçekleştiğini görebilmekteyiz. Yine KVKK m.6 kapsamında; özel nitelikli kişisel veriler kapsamında yer alan sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebildiği ifade edilmektedir. Dolayısıyla hukuka uygunluk değerlendirmesi yaparken bu hallerin de tespitinin önem arz ettiği muhakkak söylenmelidir.

GDPR’da ise KVKK ile aynı doğrultuda hukuka uygunluğun; veri sahibinin rızası, sözleşme yapma zorunluluğu, yasal zorunluluklar, veri sahibi veya üçüncü kişinin çıkarlarını koruma zorunluluğu, kamu yararı, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması gibi hallerin düzenlendiği görülmektedir.[35] Yine GDPR’da; KVKK’ya ek olarak şeffaflık ilkesi düzenlenmekte, şeffaflık ilkesi ise dürüstlük kuralı ile bağdaşır şekilde ilgili kişinin veri işlemeden haberdar olması ve ilgili kişiye tam ve doğru bilgi verilmesini ifade etmektedir.[36]

   3.1.2. DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA

Kişisel verilerin doğru ve gerektiğinde güncel olmasından kasıt esas olarak veri sorumlusunun verilerini işlediği kişilerin bilgilerini somut gerçekliğe uygun ve güncel olmasını temin edecek şekilde kanalları açık tutmasıdır. Zira verileri işlenen kişilerin, verilerinin güncel ve doğru olmamasından kaynaklanan maddi veya manevi zararının doğması mümkün olabilmektedir. Bu ilkenin gözetilebilmesi doğrultusunda da kişisel verilerin işlendiği kaynakların belli olması, kaynakların doğrultunun muhakkak test edilmesi, kişisel verilerin doğru olmadığına ilişkin taleplerin göz önünde bulundurulması ve gereken önlemlerin alınması gerekmektedir.[37]

Veri sorumlusunun, verilerin doğruluğunu denetlemeden ve bilgilerin doğruluğundan emin olmadan kesinlikle bu bilgileri kullanmamalıdır. Verilerin doğruluğunu ve gerektiğinde güncelliğini sağlama yükümlülüğü veri işleme faaliyetinin amacı olarak görülmelidir.[38]

Veri öznesi, verilerinin doğru ve güncel olduğunu en iyi değerlendirilebilecek kişi olduğundan, veriye erişim hakkı bu bağlamda oldukça büyük önem arz etmektedir. Nitekim GPDR m.5’de de paralel bir yaklaşım bulunmakta iken KVKK m.11’de de bu doğrultuda kişilere gerektiğinde verileri ile ilgili bilgi edinme, düzeltilmesini, silinmesini veya yok edilmesini talep hakkı verilmektedir. [39]

Bu bağlamda bir görüşün de veri sorumlusunun her ne kadar verileri doğru ve güncel tutma yükümlülüğü olsa dahi veri sorumlusunun sürekli ilgili kişinin mevcut durumunu araştırmasının mümkün olamayacağının kabul edilemeyeceği yönünde toplanmaktadır. Bu görüşe göre, ilgili kişilerin verilerinin güncel tutulması için değişen bilgilerini veri sorumlusuna iletmesi daha makul ve kolay bir yol olarak değerlendirilmektedir.[40] 

3.1.3. BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLENME

Veri işleme faaliyetine mensup amaçlar, veri işleme faaliyetinin varlık sebebini oluşturmaktadır. Değer yargıları ve olgulara ilişkin bir ifade taşımaktadır.[41]

Kişisel verilerin işlenmesi kapsamındaki belki de en önemli ilkelerden olan işleme faaliyetinin belirli, açık ve meşru amaçlar için olması; özel hayatın gizliliği, maddi ve manevi bütünlük başta olmak üzere kişilere kendi kaderini tayin edebilme yetisi bahşetmektedir.[42]

Veri sorumlusu; yapmış olduğu iş ve/veya sunmuş olduğu hizmet ile bağlantılı olarak veri işlemeli, ilgili kişilere belirttiği amaçlar dışında başkaca bir amaç gütmemelidir. Veri sorumlusu veri işleme faaliyetini, belirsiz ve açık uçlu amaçlar ile gerçekleştirmemelidir. Yine bu amaçlar, ilgili kişilere açık ve muğlak olmayan ifadeler ile bildirilmeli bunun yanında bildirilen amaçlar dışında işleme faaliyetlerine konu edilmemelidir.[43]  GDPR’da yer alan “şeffaflık” ilkesinin ayrıca bu ilke kapsamında da değerlendirilebileceği söylenebilmektedir.

Bununla birlikte meşru amaca yönelik veri işleme faaliyetinin, başlangıçta belirtilen amaç ile sınırlı olduğu ve yeni bir işleme amacı ortaya çıkması halinde buna ilişkin yeni bir yasal dayanağın bulunması gerektiği gözden kaçmamalıdır.[44]

3.1.4. İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA

GPDR’da m.5/1-c’de yer alan düzenlemeye göre kişisel verilerin, işlendiği amaç için yeterli, ilgili ve sınırlı olması gerekmekte aynı zamanda verilerin minimizasyonu olarak da ifade edilebilmektedir.

Veri işleme faaliyeti, muhtemel ihtiyaçlara yönelik yapılmamalı yalnızca mevcut amacın gerçekleştirilmesi için gerekli olan veriler ile sınırlı tutulmalıdır. Veri işleme faaliyetinin amaç ile bağlantılı, sınırlı ve ölçülü olup olmadığı değerlendirilirken genel anlamda verilerin temel hak ve özgürlüklere müdahale edip etmediği, işlenen verinin niteliği ve niceliği bununla birlikte veriler işlenirken kullanılan teknik imkanlar göz önünde bulundurulmaktadır.[45] Yapılan tüm bu değerlendirmeler kapsamında önemli olan veri sorumlusunun veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulabilmesidir. Yine veri öznesinin temel hak ve özgürlüklerine müdahale etmeden yalnızca belirlenen amaca yönelik olarak yeterli verinin temin edilmesi bunun dışındaki amaç için gerekli olmayan veri işleme faaliyetlerinden kaçınılması çok büyük önem arz etmektedir.[46]

Veri sorumlusunun bu ilkeye aykırı veri işleme faaliyetinde bulunması durumuna ilişkin bir örnek; bir spor salonundaki hizmetlerden faydalanılabilmesi için tesise girişte üyelerin ve müşterilerin parmak izlerinin alınması, alınan parmak izlerinin depolanarak işlenmesi faaliyetidir. Nitelik itibariyle biyometrik veri olan parmak izinin alınması, üyelerin giriş-çıkışlarının kontrol edilmesi ve üyeliklerin yönetiminin kolaylaştırılabilmesi amaçları ile orantısız bulunmaktadır. Tesislere girişte basit bir kontrol listesi, kart veya etiket sistemi kurularak aynı amaca ulaşılabileceği şüphesiz iken biyometrik verilerin işlenmesi, işlendiği amaçla ölçülü görülmemektedir.[47] Bununla birlikte; Kişisel Verileri Koruma Kurulu tarafından verilen emsal bir karar da aynı niteliktedir.[48]

3.1.5. GEREKTİĞİ SÜRE KADAR MUHAFAZA ETME

Veri sorumlusu tarafından kişisel veriler ancak mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. İlgili süreler sonunda ise kişisel veriler kesinlikle muhafaza edilmemeli; anonimleştirilmeli, silinmeli veya yok edilmelidir.[49] Veri sorumlusunun, ilgili sürelerin bitiminde mufaza etmeye devam etme gibi bir takdir yetkisi olmadığı önemle vurgulanmalıdır. Bu ilke zamansal olarak veri minimizasyonu şeklinde de ifade edilebilmektedir.[50]

 Nitekim GDPR m. 5/1-e’de de gerektiği süre kadar muhafaza etme ilkesinin aynen: “Veri öznelerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur.” şeklinde önemi vurgulanmaktadır.

Doktrinde yer verilen hususlardan biri de veri sorumlusu tarafından; veri sorumluları siciline, verilerin muhafaza edildiği süre bildirilmiş olsa dahi amacını gerçekleştiren ve artık ihtiyaç duyulmayan kişisel verilerin silinmesi gerektiğidir. Bir başka deyişle muhafazasına ihtiyaç duyulmayan bir kişisel verinin ilgili süreler bitmese dahi anonimleştirilmesi, silinmesi veya yok edilmesi gerekecek dolayısıyla bildirilen süreler geçersiz hale gelecektir. [51]

            3.2.  AYDINLATMA YÜKÜMLÜLÜĞÜ

Kanun koyucu tarafından veri sorumlusuna; verileri kimin işlediği, işlenen verilerin hangi amaçlarla ve hukuki sebeplerle işlendiği, verilerin toplanma yöntemleri, verilerin kimlere aktarıldığı bununla birlikte veri öznesinin sahip olduğu haklar hususunda veri öznesine bilgi verme yükümlülüğü yüklenmiştir. Veri öznesi tarafından verilere ilişkin haklarını kullanabilmesi yolunda adeta anahtar niteliğinde olan aydınlatma metinleri, verilerin korunabilmesi kapsamında temel hak ve özgürlüklerin merkezinde bulunmakta şeffaflık ilkesinin de ana unsurları arasında yer almaktadır.[52]

GDPR m.13 ve m.14’te verilerin veri öznesinden toplanıp toplanmadığı hallerde ayrı başlıklar altında düzenleme altına alınan aydınlatma yükümlülüğü, Türk Hukukunda ise KVKK’nın m.10 kapsamında düzenleme altına alınmış ayrıca Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ[53] m.6 ile de verilerin veri öznesinden elde edilmemesi halinde veri sorumlusunun aydınlatma yükümlülüğünü yerine getirirken uyması gereken usul ve esaslar belirlenmiştir.

Veri sorumlusu, KVKK m.10 gereği asgari olarak; “veri sorumlusunun ve varsa temsilcinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel verileri toplamanın yöntemi ve hukukî sebebi ile 11 inci maddede sayılan ilgili kişinin diğer hakları” ile ilgili veri öznesini bilgilendirmekle yükümlüdür.  Kişisel verilerin veri öznesinin kendisinden elde edilmemesi halinde ise Yönetmelik m.6 gereğince veri sorumlusunun fiili imkansızlık veya veri öznesine ulaşılamaması sebebi ile veriler doğrudan ilgili kişiden elde edilemiyor ise; kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel veri öznesi ile iletişim amacı ile kullanılacak ise ilk iletişim esnasında, kişisel verilerin aktarılacak olması halinde ise en geç ilk aktarımın yapılacağı esnasında veri öznesini bilgilendirmesi gerekmektedir.

            Veri sorumlusu veya temsilcisi kimliği ile ilgili veri öznesini aydınlatırken aydınlatma esnasında kimliğini ortaya koyan bilgileri ile kendisi ile kolayca iletişime geçilebilecek iletişim bilgilerini vermelidir. Örneğin bir tüzel kişi ise ticaret unvanı, gerçek kişi ise ad ve soyadını; kendisi ile kolayca iletişime geçilebilecek e-posta, telefon numarası, posta adresi gibi iletişim bilgilerini belirtmelidir. Verileri işleme amacı hakkında bilgilendirme yapılırken, genel ve muğlak ifadelerden kaçınılmalı yalnızca meşru, belirli ve açık amaçlar ile verilerin işlendiği bilgisi aktarılmalıdır. Veri toplama yöntemine kendisi karar veren veri sorumlusu, kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle topladığı hususunda bilgilendirme yapmalıdır. Kişisel verilerin aktarılması hususunda bilgilendirme yapılırken ise kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da örneğin; iş ortağı, tedarikçi, iştirakler, hissedarlar, kanunen yetkili kamu kurum ve kuruluşları, kanunen yetkili özel hukuk kişileri gibi gruplar açıkça belirtilmelidir. Son olarak; veri öznesinin KVKK m.11[54]’de yer alan haklara sahip olduğu konusunda örneğin maddeye atıf yapılarak yahut haklar haricen belirtilmek suretiyle bilgilendirilmesi gerekmektedir.[55]

Veri sorumlusu tarafından, verilerin açık rızaya dayalı olarak işlendiği hallerde de başkaca hukuka uygunluk sebepleri veya yasal dayanaklara bağlı olarak verilerin işlendiği hallerde de bir başka deyişle her koşulda veri öznesini aydınlatma yükümlülüğü bulunmaktadır.[56]

Aydınlatma yükümlülüğünün yerine getirilmesinde GDPR kapsamında herhangi bir şekil şartı öngörülmediğinden aydınlatma kapsamındaki bilgilendirmenin yazılı veya sözlü herhangi bir şekilde yapılabilmesi mümkün bulunmaktadır. Yine Türk Hukuku açısından da Yönetmelik m.5’te aynen: “Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle” denilerek aydınlatma yükümlülüğünün herhangi bir şekil şartına bağlı olmadan yerine getirilebileceği açıkça düzenlenmektedir. Ancak dikkat edilmesi gerekmektedir ki aydınlatma yükümlülüğünün yerine getirildiğine ilişkin ispat yükü veri sorumlusunun ta kendisindedir. Dolayısıyla veri sorumlusunun aydınlatma yükümlülüğünü, ispat edilebilir bir formatta yapması daha sağlıklı olacak, aydınlatmanın sözlü olarak yapılması ispat açısından sorun teşkil edebilecektir.[57]

Veri sorumlusu tarafından bilgilendirme, mutlaka açık, sade ve anlaşılır bir dil ile yapılmalı; yabancı teknik ve hukuki terimlerden kaçınılmalı ayrıca bilgilendirme yapılması için tercih edilen iletişim yolu ise ulaşılabilir, belirli ve makul olmalıdır.[58] Bu kapsamda yapılan bilgilendirmenin erişilebilirliği elbette ki büyük önem arz etmektedir.

Özellikle dijital bir ortamda veya bilgilendirmenin doğrudan detaylı olarak veri öznesine verilmesinin mümkün olmadığı durumlarda yine de aydınlatmanın yapılması gerektiği düşünüldüğünde katmanlı bilgilendirme kavramı ile karşılaşılmaktadır. Bu gibi durumlarda, veri öznesine aniden verilen bilgi yoğunluğu ve karmaşasının önüne geçilebilmesi adına yapılacak bildirime ilişkin ifadelerin mümkün mertebe sade tutularak veya ikonlar vasıtası ile veri öznesinin doğrudan aydınlatmaya ilişkin metne gitmesi sağlanabilmektedir. Bir başka deyişle ilk bakışta veri öznesinin aydınlatmaya ilişkin genel bir bakış açısına sahip olması sağlanarak kısa ve kolayca anlaşılabilir bir metin sunulup; ayrıntılı ve detaylı bilgileri bulabileceği bir platforma yönlendirilmesi tavsiye edilmektedir.[59] Ancak katmanlı bilgilendirme adı verilen bu yöntemde, yönlendirme muhakkak basit ve sade tutulmalı ayrıca katmanlar arasında çelişki ve farklılık bulunmamasına özen gösterilmelidir. Katmanlı bilgilendirme hususunda örneğin; kamera kaydı alınan bir iş yerinde kamera ikonu vasıtası ile kamera kaydı yapıldığı ve kişisel verilerin elde edildiği bilgisi verilebilmekte kamera ikonu vasıtası ile yönlendirilen bir dokümanda ise detaylı aydınlatma yapılabilmektedir. Yine, çağrı merkezleri vasıtası ile işlenen kişisel verilerin söz konusu olduğu hallerde, telefonda basit şekilde tek tuş ile aydınlatma metnine erişim sağlanması imkânı verilebilmektedir.

KVKK m.28/2 gereği; kişisel verilerin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgili kişi tarafından alenileştirilmiş olması, kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması ve bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde veri sorumlusunun aydınlatma yükümlülüğü bulunmadığının da ifade edilmesi gerekmektedir.

Aydınlatma yükümlülüğü ile ilgili şüphesiz önem arz eden en büyük kararlardan bir tanesi de CNIL tarafından; GDPR’da yer alan aydınlatma yükümlülüğü ve şeffaflık ilkelerine aykırılık sebebiyle Google LLC aleyhinde 50 milyon Euro değerinde idari para cezasına hükmedilmesidir.[60]  Karar içeriğinde CNIL tarafından; Android ürünlerin kullanımında, kullanıcıların aydınlatma metnine erişebilmek için üyelik oluşturmak zorunda kaldığı dolayısıyla bilgilendirmenin veri toplandıktan sonra yapıldığı; aydınlatmanın erişilebilirliğinin kolay olmadığı ve kullanıcıların pek çok yönlendirmeye maruz kaldığını; bilgilendirmenin yeterince açık dolayısıyla şeffaf olmadığı; şemsiye aydınlatma yapıldığı bir başka deyişle veri işleme faaliyetinin hangi amaca yönelik yapıldığının anlaşılamadığı ve kullanıcıların açık rızasına tabi olan işlemler hakkında açıkça bilgilendirilmediği; son olarak, kişiselleştirilmiş reklam faaliyetleri hususunda kullanıcılardan rıza alınsa dahi açıkça bilgilendirme yapılmaması ve rızanın alındığı kutucuğun otomatik olarak işaretlenmiş olması sebepleriyle alınan rızanın hukuka aykırı olduğu gerekçelerine yer verilmiştir.

3.3. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

GDPR m.32’de düzenlenen veri güvenliğine ilişkin madde uyarınca veri sorumlusu ve veri işleyen; teknoloji, uygulama maliyetleri ve işleme faaliyetlerinin mahiyeti, kapsamı, bağlamı ve amaçları ile kişilerin hak ve özgürlükleri açısından çeşitli olasılıkları birlikte değerlendirerek uygun bir güvenlik seviyesi sağlamak için gerekli idari ve teknik tedbirleri almakla yükümlüdür.

KVKK m.12 uyarınca ise veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almakla yükümlü tutulmuş ayrıca Kişisel Verileri Koruma Kurulu bu doğrultuda, veri güvenliğine ilişkin yükümlülüklerin detaylandırılması adına bir kişisel veri güvenliği rehberi yayımlamıştır.[61]

Kişisel verilerin korunabilmesinin ve bilgi güvenliğinin riske atılmamasının veri öznesi için önemli olduğu kadar veri sorumlusu açısından da çok önemli bir hal almıştır. Gerekli güvenliğin sağlanamadığı hallerde; kurumların gizli bilgilerinin ve işlerliğini sağlayan bilgilerin istenmeyen kişiler yahut rakiplerin eline geçebileceği, kurumların isminin ve güvenilirliğinin zedelenebileceği, müşteri mağduriyeti ve memnuniyetsizliği yaratabileceği tüm bunlar yanında yasal yaptırım ve tazminatlar ile karşı karşıya kalınabileceği unutulmamalıdır.[62] 

3.3.1. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER

          Veri güvenliğine ilişkin idari tedbirlerin alınmasında şüphesiz ilk adım işlenen verilerin neler olduğu, meydana gelebilecek risklerin içeriği ve boyutu, herhangi bir riskin gerçekleşme ihtimalinde nasıl bir yol izlenmesi gerektiği gibi risk analizi yaparak uygun tedbirlerin alınması yönünde ilerlemektedir. Rehberde risk analizi yapılırken özel nitelikli kişiler verilerin mevcut olup olmadığı, mahiyeti değerlendirilerek hangi derecede gizlilik gerektirdiği, güvenlik ihlali halinde veri öznesi nezdinde doğabilecek zararların ne boyutta olduğunun dikkate alınması gerektiği açıkça belirtilmiştir.[63]

            Veri güvenliği kapsamında doğacak bir riskin yalnızca dışarıdan gelen tehlikeler sebebi ile değil veri sorumlusunun bünyesinde çalışanlar tarafından da bilinçli veya bilinçsiz yaratılabileceği unutulmamalıdır. Veri sorumlusu bünyesinde çalışan kullanıcıların dikkatsizliği, dalgınlığı, tecrübesizliği veya birtakım zayıf yönlerinin kullanılmak suretiyle meydana gelebilecek tehlikelerin önlenebilmesi yolunda; veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmemesi, açıklanmaması ve/veya paylaşılmaması gibi konular hakkında bir eğitim programı oluşturularak çalışanlar mutlaka bilinçlendirilmelidir.[64] Dolayısıyla çalışanların departman ve konumlarına bakılmaksızın eğitimlerin sürdürülmesi önem arz etmektedir. Bununla birlikte; çalışanlardan, işe alım sürecinde bu sürecin bir parçası niteliğinde kişisel veriler ile ilgili bir gizlilik anlaşması imzalanmasının talep edilmesi oldukça makul bir yol olup; çalışanların veri güvenliği ihlaline sebep olmaları halinde işletilecek bir disiplin süreci yaratılması önerilmektedir.[65]

            Veri güvenliğine ilişkin güvenliğin sağlanabilmesi için istikrarlı ve sürdürülebilir bir politika oluşturulması gerekmektedir. Makalenin devamında bahsedilecek veri işleme envanterinin yanı sıra kişisel verilerin saklanması ve imhasını kapsayan bir politika hazırlanması veri güvenliği politikasının ikinci ayağını oluşturmaktadır.[66]  Zira KVKK Veri Yönetim Dairesi Başkanlığı tarafından yol gösterici olabilmesi açısından bir saklama ve imha politikası hazırlanarak yayımlanmış olup[67]; işbu politika şüphesiz veri sorumlularına yol göstericiliği açısından büyük bir önem arz etmektedir. Tüm bunlar yanında alınacak tedbirlerin önceden belirlendiği bir kriz yönetiminin varlığı, veri sorumlusu üzerinde ve çalışanlar üzerinde ortaya çıkabilecek baskıyı oldukça azaltacaktır.[68]

Veri minimizasyonun sağlanması ilkesi gereği, veri sorumlusu hukuka uygun amacını gerçekleştirilebilmek amacıyla işlediği verilerin sayısını en aza indirgemelidir. Veri minimizasyonunun sağlanması olası risk ve ihlalleri de bununla bağlantılı olarak şüphesiz en aza indirgeyecektir.[69] Veri minimizasyonun sağlanabilmesi için ise öncelikle; amaca uygun kişisel veri toplanması, işbu amaçların gerçekleşebilmesi için yeterli kişisel veri işlenmesi ve işlenen kişisel verilerin periyodik olarak incelemesinin yapılarak ihtiyaç duyulmayan kişisel verilerin silinmesi gerekmektedir.[70]

Veri işleme faaliyetinin veri sorumlusu yerine veri işleyen tarafından yerine getirilmesi yukarıda da değinildiği üzere veri sorumlusunu sorumluluktan kurtarmamaktadır. Dolayısıyla KVKK m.12/2 gereği veri işleyenlerin kişisel verilerin güvenliğinin sağlanması hususunda veri sorumlusuyla müştereken sorumlu olduğu da göz önünde bulundurulduğunda; veri sorumlularının, veri işleme faaliyetlerine ilişkin hizmetleri alırken veri işleyenlerin en az kendileri kadar veri güvenliğine önem verdikleri ve tüm tedbirleri aldıkları hususunda emin olmaları gerekmektedir. Bu doğrultuda,[71] veri sorumlusu ile veri işleyen arasında yazılı bir veri işleme sözleşmesinin mevcudiyeti önem arz etmektedir. Sözleşmede veri işleyenin, veri işleme amaç ve kapsamına uygun ve mevzuata uyumlu şekilde hareket edeceğine ilişkin hükümler içermesi yine bu hususun saklama ve imha politikasına uygun olması önerilmektedir.

3.3.1. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER

Kişisel verilerin fiziki veya elektronik ortamlarda otomatik yahut otomatik olmayan yollar ile işlendiği ve muhafaza edildiği düşünüldüğünde, meydana gelebilecek her türlü riske ilişkin yalnızca idari tedbirlerin yeterli olmadığı bunun yanında yeterli ve çağın gereklerine uygun teknik donanım ve tedbirlerin alınması gerektiği şüphesizdir. Birçok veri sorumlusu tarafından ekstra maliyet olduğu gerekçesi ile alınmayan yahut yeterli düzeyde alınmayan teknik tedbirlerin, veri güvenliğinin sağlanmasında bir kenara itilmesi mümkün değildir.

Teknolojiye olan bağlılık düşünüldüğünde veri sorumlusu tarafından elektronik ortamda işlenen ve/ve muhafaza edilen kişisel verilerin korunmasın ilişkin alması gereken tedbirlerin başında siber güvenliğin sağlanabilmesi gelmektedir. Siber güvenlik; siber tehditlere karşı işlenen verilerin erişilebilirlik, bütünlük ve gizlilik unsurları ile kimlik doğrulama ve inkâr edilemezlik unsurlarının korunmasını amaçlamaktadır.[72] Siber güvenlik için veri sorumluları tarafından alınması gereken ilk tedbir; kişisel veri içeren bilgi teknoloji sistemlerine internet üzerinden gelebilecek her türlü izinsiz erişim tehditlerine karşı korunmasında alınabilecek güvenlik duvarı ve ağ geçidi tedbirleridir. Yine bilgi sistem ağını tarayan antivirüs, antispam gibi ürünlerin kullanılması ve kullanılan sistemler için alınan tüm güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilerek olası güvenlik açıklarının kapatılması büyük önem arz etmektedir. Tüm bunlarla birlikte; ilgili sisteme erişimin sınırlı olması ve çalışanlara yapmış oldukları iş ve görev tanımı çerçevesinde erişim hakkı sağlanması bunun haricinde şifre girişi deneme sayısının sınırlandırılması gibi güçlü şifre ve parola kullanımı sistemlerinin benimsenmesi siber güvenliğin sağlanabilmesi yolunda tavsiye edilebilecek tedbirler arasında sayılabilmektedir.[73]

Siber saldırılara maruz kalınması ihtimalinde ise veri sorumlusu, karşı karşıya kaldığı tehditleri mümkün mertebe hızlı bir şekilde fark ederek önleyebilmelidir. Bunun için veri sorumlusu; hangi yazılım ve servislerin çalıştığının, ağlarda herhangi bir sızma veya olağan dışı bir durum olup olmadığının, kullanıcılara ait log kayıtları gibi işlem hareketlerinin düzenli olarak tutulmasını sağlamalıdır. Ayrıca meydana gelen güvenlik ihlalleri ile güvenlik açıklarının ve meydana gelen tehditlerin bildirilebilmesi için raporlama prosedürü oluşturulmasını sağlamalıdır.[74]

Kişisel verilerin yer aldığı fiziksel ortamların; yangın, sel baskını gibi birtakım risklere karşı uygun yöntemlerle korunması ve bu ortamların kilit sistemi ile mümkün mertebe güvenli tutulması, giriş/çıkışların kontrol edilmesi, fiziksel güvenliğin arttırılması için gerekli önlemlerin alınması önem arz etmektedir. Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi ihtimallere binaen ise; uygun bir yedekleme sistemi kullanılarak verilerin mutlaka yedeklenmesi gerekmektedir.[75]

İşlenen verilerin, özel nitelikli kişisel veriler grubunda yer alması halinde; alınması gereken tedbirlerin çok daha kapsamlı olması gerekmektedir. Zira bu hususta KVKK m.6/4 aynen: “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” şeklinde olup; Kişisel Verileri Koruma Kurulu tarafından verilen bir kararda[76] alınması gereken bu önlemler belirilenmiştir. İşbu karara göre; özel nitelikli kişisel verilerin elektronik ortamda işlenmesi ve muhafaza edilmesi söz konusu ise bu işlemler için kriptografik yöntemlerin kullanılması, kullanılan kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, güvenlik güncellemelerinin sürekli takip edilmesi, sisteme ilişkin testlerin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması önerilen yöntemler arasındadır. Yine verilere, bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, yazılımların güvenlik testlerinin düzenli olarak yapılması, test sonuçlarının kayıt altına alınması ve verilere uzaktan erişim gerekiyorsa da en az iki kademeli kimlik doğrulama sisteminin sağlanması gerektiği ifade edilmektedir. Şayet özel nitelikli kişisel verilerin fiziksel ortamda muhafaza edilmesi söz konusu ise verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması ve bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerektiği ifade edilmektedir.

  3.4. VERİ SORUMLULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ

            KVKK m.16 kapsamında; Kişisel Verileri Koruma Kurulu tarafından istisna tutulanlar hariç tüm veri sorumlularının veri işlemeye başlamadan evvel veri sorumluları siciline kayıt yükümlülükleri bulunmaktadır. GDPR’da ise; sicile kayıt yükümlülüğünün, işletmelerin üzerinde ciddi derecede idari ve mali yüke neden olması sebebi ile kapsama alınmamıştır.[77]

Veri sorumluları sicili, veri sorumlularının veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kamuya açık ve internet erişimi sağlanan bir kayıt sistemi olup[78] kısaca VERBİS olarak anılmaktadır.

            Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları ile ilgili 15.05.2018 tarihli Resmi Gazetede yayımlanan 2018/32 sayılı Kurul kararı; 18.08.2018 tarihli Resmi Gazetede yayımlanan 2018/68, 2018/75 ve 2018/87 sayılı Kurul kararları uyarınca: “Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler, 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, Gümrük müşavirleri, Arabulucular, 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler, Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” VERBİS’e kayıt yükümlülüğünden istisna tutulmaktadırlar. [79] Dolayısıyla işbu istisnalar hariç; tüm veri sorumlularının, VERBİS’e kayıt olma yükümlülüğü bulunmaktadır.  Ancak belirtilmesinde fayda bulunmaktadır ki kayıt yükümlülüğünden istisna tutulan veri sorumlularının da KVKK ve ilgili tüm mevzuatlara uygun davranma yükümlülükleri devam etmekte, yalnızca VERBİS’e kayıt yükümlülükleri ortadan kalkmaktadır.[80] Ayrıca kayıt yükümlülüğü olmamasına rağmen daha sonra bu yükümlülüğün doğması halinde en geç 30 gün içerisinde istisna tutulan veri sorumlularının da VERBİS’e kayıt olmaları gerektiği de ifade edilmelidir. Bunlarla birlikte tüm veri sorumlularının herhangi bir teknik, hukuki veya fiili aksaklık neticesinde kayıt olamamaları durumunda ek süre talep etme hakları bulunmaktadır.[81]

İstisna kapsamında tutulmayan veri sorumluları, Kişisel Verileri Koruma Kurumunun www.kvkk.gov.tr adresli internet sitesi vasıtası ile VERBİS bölümünden ilgili alanlar doldurularak sisteme kayıt olabilmektedirler. Yine Veri Sorumluları Sicili Hakkında Yönetmelik[82] m.11[83]’de de sicil başvurusunun nasıl yapıldığına ilişkin düzenleme bulunmaktadır.

VERBİS sistemine kayıt olan veri sorumlularının;

-Veri sorumlusu, varsa veri sorumlusu temsilcisi ile irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgileri,

-Kişisel verilerin hangi amaçla işleneceği,

-Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaları,

-Kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarını,

-Yabancı ülkelere aktarımı öngörülen kişisel verileri,

-KVKK m.12’de öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirleri ve

-Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme sürelerini

sisteme girmeleri gerekmektedir. Anılan irtibat kişisi, uygulamada çokça soru işaretlerine sebep olmakla birlikte Yönetmelikte aynen: “Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi” şeklinde ifade edilmektedir. Dolayısıyla irtibat kişisinin, veri sorumlusunun temsilcisi olmayıp; yalnızca veri sorumlusuna yöneltilen talepler hususunda iletişim sağlanarak sürecin çok daha etkili ilerlemesini sağlayan bir kişi olduğunu söylemek yanlış olmayacaktır.[84]

            Tüm bunlarla birlikte VERBİS’e kaydedilecek bilgilerin, Yönetmelik m.5/1-ç uyarınca veri işleme envanterine uygun hazırlanması gerektiğinden veri sorumluları tarafından haricen bir envanter hazırlanması gerekmektedir. Envanterin, asgari olarak; veri kategorisi, kişisel veri işleme amaçları ve hukuki sebebi, aktarılan alıcı grupları, veri konusu kişi grupları, kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi, yabancı ülkelere aktarımı öngörülen kişisel veriler, veri güvenliğine ilişkin alınan teknik ve idari tedbirleri içermesi önem arz etmektedir. [85] Zira Kurul tarafından yine, veri sorumlularına yol gösterebilmesi adına örnek bir envanter hazırlanarak yayımlanmış olup ilgili envanterden de faydalanılabilmektedir.[86]

3.5. İLGİLİ KİŞİLER TARAFINDAN YAPILAN BAŞVURULARIN CEVAPLANMASI YÜKÜMLÜLÜĞÜ

            KVKK m.11 kapsamımda herkesin, veri sorumlusuna başvurarak; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerinin aktarıldığı üçüncü kişileri bilme, verilerin eksik yahut yanlış olması halinde düzeltilmesini talep etme, kanuna uygun olarak işlenmiş olmasına rağmen verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerinin silinmesini veya yok edilmesini talep etme, düzeltilen ya da silinen verilerin üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhinde bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararının giderilmesini talep etme hakkı bulunmaktadır.

            GDPR’da ise yine 13 vd. maddelerinde; veri sahibinin şeffaf bilgilendirilme ve verilerine erişim hakkı, verilerinin düzeltilmesini ve silinmesini talep etme hakkı, belirli hallerde işleme faaliyetinin kısıtlanmasını talep etme hakkı, verilerinin silindiğini ya da düzeltildiğinin bildirilmesini talep hakkı, verilerinin taşınabilirliğine ilişkin verilerini alma hakkı ayrıca itiraz hakkı gibi KVKK ile uyumlu haklarının mevcut olduğu görülmektedir.

            Bu kapsamda, ilgili kişilerin haklarını kullanabilmesi yolunda yaptığı başvurulara veri sorumlusunun mevzuattaki süre ve koşullarda cevap verme yükümlülüğü bulunmaktadır. Veri sorumlusu; KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ[87] uyarınca ilgili kişiler tarafından yazılı ya da kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza ya da veri sorumlusuna daha önce bildirilen ve kayıtlı olan elektronik posta adresini kullanmak suretiyle yapılan başvuruları en kısa sürede ve en geç otuz gün içerisinde ücretsiz sonuçlandırmakla yükümlüdür. İşlemin bir maliyet gerektirmesi halinde ise veri sorumlusu, belirlenen tarifedeki ücretleri[88] başvuruda bulunan kişiden talep edebilmektedir.[89]

            Yapılan başvuru neticesinde veri sorumlusu tarafından ilgili kişinin talebinin sonucu gerekçesi ile birlikte ilgili kişiye yazılı olarak ya da elektronik ortamda bildirilmesi; talebin kabul edilmesi halinde talep yerine getirilerek başvuru veri sorumlusundan kaynaklanıyorsa ayrıca ilgili kişiden alınan ücretin de iade edilmesi gerekmektedir. Başvurunun reddi, cevabın yetersiz olması ya da süresinde başvuruya cevap verilmemesi halinde ise ilgili kişinin cevabın öğrenildiği tarihten otuz ve her halükârda altmış gün içerisinde Kurul’a şikâyet hakkı bulunduğu unutulmamalıdır.[90]

3.6. KURULA BİLDİRİM YÜKÜMLÜLÜĞÜ

            GDPR m.33 uyarınca kişisel veri ihlali olması halinde bu ihlalin kişilerin hak ve özgürlükleri açısından bir riske sebebiyet vermemesi haricinde, ihlalden haber olunduktan en geç 72 saat içerisinde ihlali denetim makamına bildirmekle yükümlüdür.

            KVKK m.12/5 maddesi uyarınca da aynı doğrultuda, kişisel verilerin kanuni olmayan yollar ile başkaları tarafından elde edilmesi halinde en kısa sürede bu ihlalin Kurula bildirilmesi gerekmektedir. Ancak GPDR aksine KVKK’da süreye ilişkin herhangi bir düzenlemeye yer verilmemiş yalnızca en kısa sürede ibaresi kullanılmıştır. Ancak daha sonra Kurul kararlarında uygulamada standartlaşmaya gidilebilmesi amacıyla 24.01.2019 tarih ve 2019/10 sayılı karar kapsamında GDPR ile uyumlu olarak en kısa sürede ibaresinin 72 saat olarak yorumlanmasına, 72 saat içinde bildirim yapılamaması halinde yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına karar verilmiştir.[91]

İhlalin Kurula bildirilmesini takiben; Kurul, bu durumu internet sitesinde veya uygun görülecek başka bir platformda ilan edebilmektedir. Zira 09.03.2020 tarih ve 2020/211 sayılı karar[92] ile Gratis İç ve Dış Tic. A.Ş.  bünyesinde, 04.02.2020 tarih ve 2020/82 sayılı karar[93] ile Microsoft Corporation bünyesinde meydana gelen veri ihlallerine ilişkin ilanlar örnek teşkil edebilecek niteliktedir.

          Veri sorumlusunun sahip olduğu bu yükümlülük, ilgili kişilerin ve Kurulun bilgilendirilerek meydana gelebilecek herhangi bir hak ihlali ve zararının asgari düzeyde tutulabilmesini amaçlamaktadır.[94]

                                                SONUÇ

Teknoloji çağı ile birlikte en büyük değerlerden biri haline gelen kişisel verilerin korunabilmesi ihtiyacı, tüm dünyayı adeta seferber ederek hukuki alanda birçok ülkeyi düzenleme yapma zorunluluğuna itmiştir. Bu düzenlemeler kapsamında şüphesiz en büyük rollerden biri de kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi olan veri sorumlularına aittir.

Veri sorumlularının kişisel verilerin işlenmesi ve muhafazası faaliyetleri açısından üzerine düşen bazı hukuki sorumluluk ve yükümlülükleri bulunmaktadır.

Öncelikle veri sorumlusunun; kişisel verilerin hukuka uygun, adil ve şeffaf olarak işlenmesi, açık ve meşru amaçlara yönelik olarak toplanması, verilerin doğru ve güncel şekilde muhafazası, işlenen verilerin işlendiği amaçla sınırlı süre için saklanması ve veri minimizasyonu ilkesine uyması gerekmektedir.

Kamuya açıklık ve şeffaflık ilkelerinin bir gereği olarak; istisna tutulanlar hariç tüm veri sorumlularının veri işlemeye başlamadan evvel veri sorumluları siciline kayıt yükümlülükleri bulunmaktadır. Yine veri öznelerinin, kişisel verilerine ilişkin haklarını kullanabilmesi ile bağlantılı olarak ise veri sorumlusuna; verileri kimin işlediği, işlenen verilerin hangi amaçlarla ve hukuki sebeplerle işlendiği, verilerin toplanma yöntemleri, verilerin kimlere aktarıldığı bununla birlikte veri öznesinin sahip olduğu haklar hususunda veri öznesini aydınlatma ve veri özneleri tarafından yapılan başvurulara cevap verme yükümlülüğü yüklenmiştir.

Tüm bunlarla birlikte veri sorumlusu, işlenen tüm verilerin korunabilmesi ve her türlü riskin önüne geçilebilmesi amacıyla kişilerin hak ve özgürlükleri açısından birçok olasılığı değerlendirerek uygun bir güvenlik seviyesi sağlamak için teknik ve idari tüm tedbirleri almakla ve herhangi bir ihlal durumunda Kurul’a en geç 72 saat içerisinde bildirimde bulunmakla yükümlüdür.  


[1] Doğan Kılıç, Anayasal Bir Hak Olarak Kişisel Verilerin Korunması, Ankara Üniversitesi Hukuk Fakültesi Dergisi, C. 61 S.3, 2012, s. 1090-1092

[2] Aydın Akgül, Kişisel Verilerin Korunması Açısından İdarenin Hukuki Sorumluluğu ve Yargısal Denetimi, Kocaeli Üniversitesi Sosyal Bilimler Enstitüsü, Kocaeli, 2013, s. 24, (Çevrimiçi) https://tez.yok.gov.tr/UlusalTezMerkezi/giris.jsp, 18.04.2020

[3] Bkz.  https://www.echr.coe.int/Documents/Convention_ENG.pdf, (Çevrimiçi), 21.04.2020

[4] Bkz. AİHS m.8 “1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.”, (Çevrimiçi) https://www.danistay.gov.tr/upload/avrupainsanhaklarisozlesmesi.pdf, 21.04.2020

[5] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanuna İlişkin UygulamaRehberi, s.24, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/41784a70-2bac-4e4a-830f-35c628468646.PDF,  20.04.2020

[6] Selami Hatipoğlu Kişisel Verilerin Korunması ve İdarenin Sorumluluğu, Trakya Üniversitesi Sosyal Bilimler Enstitüsü, Edirne, 2019, s.41, (Çevrimiçi) https://tez.yok.gov.tr/UlusalTezMerkezi/giris.jsp, 18.04.2020

[7]Bkz. https://www.coe.int/en/web/data-protection/convention108-and-protocol (Çevrimiçi), 19.04.2020

[8] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa Duyulan İhtiyaç, s.2-4 (Çevrimiçi), https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8e39e0a1-6ec4-4179-a5d3-bbd8e78dce31.pdf, 18.04.2020; Bahri Öztürk, Elif Altınok Çalışkan, Kişisel Verilerin Korunması Kanunu Hakkında Genel Değerlendirmeler ve Anayasaya Aykırılık Sorunu, Fasikül Hukuk Dergisi, C. 10, S. 100, 2018, s.  278

[9] Bu belge, kişisel verilerin korunması kurumunun doğrudan ele alındığı ilk belgedir. Bkz. http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm, (Çevrimiçi), 20.04.2020

[10] RG, T. 12.10.2004, S. 25611

[11] RG, T. 08.12.2001, S. 24607

[12] RG, T. 04.02.2011, S. 27836

[13] RG, T. 9.11.1982-17863 Mükerrer

[14] HATİOĞLU, a.g.t., s. 66-73

[15] RG, T. 07.04.2016, S. 29677

[16] İbrahim Korkmaz, Kişisel Verilerin Ceza Hukuku Kapsamında Korunması, 2.bs., Seçkin Hukuk Yayınları, Ankara, 2019, s. 25-26

[17] Sinem Uyarer Göçmen, Kişisel Verilerin Korunması, 1.bs., Seçkin Hukuk Yayınları, Ankara, 2019, s. 107-108

[18]Bkz. (Çevrimiçi), https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN;%20GDPR%20m.4/7, 15.04.2020

[19] Elif Küzeci, Kişisel Verilerin Korunması, 3. bs., Turhan Kitabevi, Ankara, 2019, s.319

[20] Tekin Memiş, Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni, Beykent Üniversitesi Hukuk Fakültesi Dergisi, C. 3, S. 6, 2017, s. 11

[21] Kişisel Verileri Koruma Kurumu, Veri Sorumlusu ve Veri İşleyen, s.3, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf, 18.05.2020; Kişisel Verileri Koruma Kurumu, 100 Soruda KVKK, s.30, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf ,18.05.2020

[22] Bkz.Madde 11 “(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.”

[23] Mesut Halıcıoğlu, Türk Hukukunda Veri Sorumlusu Kavramı, Hacettepe Üniversitesi Hukuk Fakültesi, Ankara, s. 38 (Çevrimiçi) https://tez.yok.gov.tr/UlusalTezMerkezi/giris.jsp, 25.04.2020

[24] MEMİŞ, a.g.m., s. 12

[25] Kişisel Verileri Koruma Kurumu, Veri Sorumlusu ve Veri İşleyen, s. 5-9

[26] Kişisel Verileri Koruma Kurumu, Veri Sorumlusu ve Veri İşleyen, s.2; Kişisel Verileri Koruma Kurumu, 100 Soruda KVKK, s.31

[27] Elif Küzeci, a.g.e., s.319

[28] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, s.57-58

[29] Bkz. KVKK m.12/3: “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.”

[30] Kişisel Verileri Koruma Kurumu, 100 Soruda KVKK, s.32

[31] Bkz. GPDR m. 27,28,29,30,31,32,37,44

[32] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, s.3, (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler, 29.04.2020

[33] UYARER GÖÇMEN, a.g.e., s. 120

[34] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, s.5-6

[35]European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law, 2018 Edition, s. 117, (Çevrimiçi), https://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf, 13.05.2020

[36] Nafiye Yücedağ, Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, Kişisel Verileri Koruma Dergisi, C.1, S.1, 2019, s. 49-50

[37] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, s.6

[38] Handbook on European Data Protection Law, s. 126-127

[39] Yasemin Avcı, Kişisel Verilerin Korunması, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü, Konya, 2019, s. 52

[40] Selen Uncular, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, 2. bs., Seçkin Hukuk Yayınları, Ankara, 2019, s.135; KÜZECİ, a.g.e., s. 214

[41] YÜCEDAĞ, a.g.m., s.51

[42] HALICIOĞLU, a.g.t., s. 48

[43] Murat Uçak, Civil Liability Of Data Controller For Unlawful Processing Of Personel Data, İstanbul Medeniyet Üniversitesi Lisanüstü Eğitim Enstitüsü, İstanbul, 2019, s.48-50

[44] Handbook on European Data Protection Law, s. 123

[45] YÜCEDAĞ, a.g.m., s.59

[46] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, s.9

[47] Article 29 Data Protection Working Party, Opinion 3/2012 On Developments In Biometric Technologies, S. 00720/12/EN/WP19, 2012, https://www.pdpjournals.com/docs/87998.pdf (Çevrimiçi), 27.04.2020

[48] Kişisel Verileri Koruma Kurulu’nun 25.03.2019 T., 2018/81 K. ve 31.05.2019 T., 2019/165 K.: [48] (…)Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6 ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına(…)” (Çevrimiçi),, https://www.kvkk.gov.tr/Icerik/5496/2019-81-165,15.05.2020

[49] UÇAK, a.g.t., s. 51

[50] YÜCEDAĞ, a.g.m., s. 60

[51] UYARER GÖÇMEN, a.g.e., s. 125

[52] KÜZECİ, a.g.e., s.218

[53] RG, T. 10.03.2018, S. 30356

[54] Bkz. m. 11- “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.”

[55] Kişisel Verileri Koruma Kurumu, Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, s.9-11, (Çevrimiçi)  https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf, 10.05.2020

[56] Kişisel Verileri Koruma Kurumu, Kanun Kapsamındaki Hak ve Yükümlülükler, s.3, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/37fa799d-818b-4654-bca0-3be8e5d88ddf.pdf  ,10.05.2020

[57] Şehriban İpek Aşıkoğlu, Veri Sorumlularının Aydınlatma Yükümlülüğü-Avrupa Birliği ve Türk Hukukunda-, Kişisel Verileri Koruma Dergisi, C.1, S.2, s. 46

[58] Abdülhamit Zor, Veri Sorumlusunun Yükümlülükleri ve Bu Yükümlülükleri İhlalinden Doğan Özel Hukuk Sorumluluğu, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü, İstanbul, 2020, s.88 (Çevrimiçi) https://tez.yok.gov.tr/UlusalTezMerkezi/giris.jsp, 19.05.2020

[59] Article 29 Data Protection Working Party, The Working Party On The Protection Of Individuals With Regard To The Proccesing Of Personal Data, Guidelines on Transparency Under Regulation 2016/679, S. WP260Rev.01, 2018, s.19-20 (Çevrimiçi) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227, 19.05.2020

[60] Karar metni için bkz. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc (Çevrimiçi), 19.04.2020

[61]Bkz.  Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf 20.05.2020

[62] Hakan Çetin, Kişisel Veri Güvenliği ve Kullanıcıların Farkındalık Düzeylerinin İncelenmesi, Akdeniz İ.İ.B.F Dergisi, 2014, S.29, s.92

[63] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 8

[64] KÜZECİ, a.g.e, s. 255

[65] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 9

[66] ZOR, a.g.t., s.95

[67]Bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/a556b331-4910-4a77-9794-83cba2ba74e1.pdf (Çevrimiçi), 20.05.2020

[68] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 10

[69] AVCI, a.g.t., s. 89; Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 12

[70] Information Commissioner’s Office (ICO), Guide To The General Data Protection Regulation, 2018, s. 26 https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf (Çevrimiçi), 20.05.2020

[71] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 13

[72] Mustafa Ünver, Cafer Canbay, Ayşe Gül Mirazoğlu, Siber Güvenliğin Sağlanması; Türkiye’deki Mevcut Durum ve Alınması Gereken Tedbirler, Bilgi Teknolojileri Ve İletişim Kurumu, 2009, s.22 https://www.btk.gov.tr/uploads/undefined/sg.pdf (Çevrimiçi), 20.05.2020

[73] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 16-18

[74] ZOR, a.g.t., s. 100

[75] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi, s. 24

[76]Kişisel Verileri Koruma Kurumu’nun 31.01.2018 tarih ve 2018/10 Sayılı kararı için bkz. (Çevrimiçi), https://www.kvkk.gov.tr/Icerik/4110/2018-10, 20.05.2020

[77] ZOR, a.g.t., s. 104

[78] Bkz. https://verbis.kvkk.gov.tr

[79] Kişisel Verileri Koruma Kurumu, Sorularla Veri Sorumluları Sicili Bilgi Sistemi(VERBİS), s.10-11, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/09c01e90-167b-435c-b200-ce25ef9c1020.pdf, 19.05.2020

[80] AVCI, a.g.t., s. 94

[81] UYARER GÖÇMEN, a.g.e., s.162

[82] RG T. 30.12.2017, S. 30286

[83] Bkz. Madde 11:(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. 

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.”

[84] ZOR, a.g.e., s.106

[85] Kişisel Verileri Koruma Kurumu, Kişisel Veri Envanteri Hazırlama Rehberi, s.8, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-c6c142f8da05.pdf 19.05.2020

[86] Örnek envanter için bkz. (Çevrimiçi), https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/b5fe209d-3c12-4c70-8dac-a2eaa5742ae6.xlsx, 18.05.2020

[87] RG T. 10.03.2018, S. 30356

[88] Bkz. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ Madde 7: (1) İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.

(2) Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

[89] Kişisel Verileri Koruma Kurumu, Kanun Kapsamındaki Hak ve Yükümlülükler, s. 7

[90] Kişisel Verileri Koruma Kurumu, Kanun Kapsamındaki Hak ve Yükümlülükler, s. 7

[91] Karar için bkz. https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi (Çevrimiçi), 21.05.2020

[92] Karar için bkz. https://www.kvkk.gov.tr/Icerik/6691/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Gratis-Ic-ve-Dis-Tic-A-S- (Çevrimiçi), 21.05.2020

[93] Karar için bkz. https://www.kvkk.gov.tr/Icerik/6670/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Microsoft-Corporation (Çevrimiçi), 21.05.2020

[94] KÜZECİ, a.g.e., s.359

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir