KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMACI, KAPSAMI VE TEMEL KAVRAMLAR

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMACI, KAPSAMI

VE TEMEL KAVRAMLAR

1– Kanunun Amacı ve Önemi

Kişisel verilerin korunması, bireylerin özel hayatlarının gizliliği ve temel hak ve özgürlüklerinin güvence altına alınması açısından çağdaş hukuk sistemlerinde önemli bir yer tutmaktadır. Bilgi teknolojilerinin hızla gelişmesiyle birlikte, bireylere ait verilerin toplanması, saklanması ve aktarılması giderek yaygınlaşmış; buna bağlı olarak veri güvenliği ve veri mahremiyeti konuları da hukuki düzenlemelerle denetim altına alınma ihtiyacı doğurmuştur.

Bu ihtiyaç doğrultusunda Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini belirli ilke ve şartlara bağlayarak hem bireylerin haklarını korumayı hem de veri işleyen gerçek ve tüzel kişilerin sorumluluklarını belirlemeyi amaçlamaktadır.

1.Kanunun Amacı

KVKK’nın 1. maddesinde Kanun’un amacı açık bir şekilde ifade edilmiştir. Buna göre Kanun;

“Kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amacıyla kabul edilmiştir.

Bu yönüyle KVKK, sadece bir veri güvenliği düzenlemesi değil, aynı zamanda bireyin kişiliğine saygıyı temel alan bir hak koruma aracıdır.

2.Kanunun Kapsamı

KVKK, gerçek kişilere ait kişisel verileri koruma altına almaktadır. Tüzel kişilere ait veriler (örneğin: şirket unvanı, vergi numarası) Kanun kapsamında değildir.

Kanunun 2. maddesi uyarınca, bu düzenleme:

• Kişisel verileri işlenen gerçek kişiler ile
• Bu verileri tamamen ya da kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişiler hakkında uygulanır.

Bu durum, küçük ölçekli bir işletmeden kamu kurumlarına kadar pek çok aktörün KVKK hükümlerine tabi olmasını sağlar.

3.Temel Kavramlar

Kişisel Veri

KVKK’nın 3. maddesine göre kişisel veri, “kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır. Buna ad, soyad, T.C. kimlik numarası, e-posta adresi, IP numarası, görüntü ve ses kaydı gibi veriler dahildir.

 Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, dini inanç, sağlık bilgileri, cinsel hayat gibi daha hassas veriler özel nitelikli kişisel veri olarak kabul edilir. Bu verilerin işlenmesi daha sıkı şartlara bağlıdır ve veri güvenliği bakımından ek önlemler alınmasını gerektirir (KVKK md. 6).

Açık Rıza

Açık rıza, Kanun’un 3. maddesinde “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Açık rızanın geçerli olabilmesi için;

1. Belirli bir konuya ilişkin olması,
2. Bilgilendirmeye dayanması,
3. Özgür iradeyle açıklanması

gerekir. Genel, kapsamı belirsiz rıza beyanları bu kapsamda geçerli kabul edilmez.

1. Veri Sorumlusu

Veri sorumlusu, kişisel verilerin işlenme amaç ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından sorumlu olan gerçek veya tüzel kişidir. Kurumlar, veri sorumlusu olarak aydınlatma yükümlülüğünü yerine getirmek ve gerekli idari-teknik tedbirleri almak zorundadır.

 

2- Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller

KVKK’da temel kural, kişisel verilerin ancak ilgili kişinin açık rızasıyla işlenebileceğidir (KVKK md. 5/1). Ancak bu kural mutlak değildir. Zira modern veri işleme faaliyetleri içerisinde, açık rıza almanın pratikte mümkün veya gerekli olmadığı bazı durumlar bulunmaktadır. Bu sebeple, KVKK’nın 5. maddesinin 2. fıkrasında, açık rıza aranmaksızın kişisel veri işlenebilecek istisnai haller açıkça sayılmıştır.

Bu fıkra kapsamında, aşağıdaki şartlardan birinin varlığı halinde açık rıza aranmaksızın kişisel veri işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi

Vergi Usul Kanunu, SGK mevzuatı gibi düzenlemeler gereğince belirli verilerin işlenmesi açık rıza gerektirmez. Örneğin, bir işverenin SGK’ya çalışan bilgisi bildirmesi bu kapsamda değerlendirilir.

b) Fiili imkânsızlık nedeniyle rıza veremeyecek durumda olan kişinin ya da başkasının hayatı veya beden bütünlüğünün korunması

Acil bir tıbbi müdahale sırasında bilinci kapalı bir hastanın sağlık verilerinin işlenmesi bu kapsama girer. Kişinin rızası alınamasa dahi, hayati tehlike varsa veri işleme hukuka uygundur.

 c) Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması

Tarafı olunan bir sözleşmenin kurulması veya ifası için veri işlenmesi gerekiyorsa, açık rıza alınması aranmaz. Nitekim Kurulun 2022/662 sayılı kararında, el geometrisi verisi[1] kullanılarak bireylerin kimlik doğrulamasının yapıldığı bir işletme uygulamasında, Kurul bu uygulamayı sözleşmenin ifası kapsamında değerlendirmiştir. Veri, biyometrik[2] değil; kişisel veri olarak nitelendirilmiş ve ilgili kişinin hizmetten faydalanması amacıyla işlendiği kabul edilmiştir.[3] Benzer şekilde, 2023/845 sayılı kararında da Kurul, bir kargo firmasında görev yapan çalışanın, teslimat amacıyla sistemde bulunan müşteri telefon numarasını kişisel amaçlarla kullanarak ilgili kişiye rahatsız edici mesajlar göndermesi üzerine yapılan şikâyeti değerlendirmiştir. Kurul, müşteriye ait iletişim bilgilerinin teslimat hizmetinin ifası kapsamında işlenmesini KVKK’nın 5. maddesinin 2. fıkrasının (c) bendi uyarınca hukuka uygun bulmuş; ancak veri sorumlusunun çalışanı tarafından gerçekleştirilen bu kötüye kullanımın önlenememesi, gerekli teknik ve idari tedbirlerin alınmamış olması nedeniyle veri güvenliğini sağlamaya ilişkin yükümlülüğün ihlal edildiğine karar vermiştir.[4]

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

Vergi usul kanunu, iş hukuku gibi mevzuatlar uyarınca şirketlerin vergi beyannamesi vermesi, işçilerin SGK bildirimlerinin yapılması gibi durumlarda veri sorumlusunun sorumluluğu doğrudan kanundan kaynaklandığı için açık rıza gerekmez.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması

İlgili kişinin veriyi kamuya açık şekilde paylaşmış olması halinde, o verinin işlenmesi için ayrıca açık rıza alınmasına gerek yoktur. Ancak bu kural, alenileştirilen amacın ötesine geçilmemesi koşuluyla geçerlidir. Örneğin, bir birey sosyal medya hesabında halka açık biçimde “Kanser tedavim bitti, çok şükür iyiyim” şeklinde bir paylaşımda bulunmuşsa, bu ifade kişisel sağlık verisinin kişinin kendisi tarafından alenileştirilmesi anlamına gelir. Bir haber sitesi, bu paylaşımı yalnızca bilgilendirme amacıyla haberleştirdiğinde açık rıza aranmaksızın veriyi işleyebilir. Ancak aynı paylaşımın bir ilaç firması tarafından tanıtım amacıyla kullanılması, kişinin alenileştirdiği amacın ötesine geçeceğinden, bu durumda veri işlenmesi için açık rıza alınması gerekir. Dolayısıyla, alenileştirme hakkı sınırsız bir yetki sağlamamakta, yalnızca kişinin kamuya sunduğu içerikle sınırlı bir koruma istisnası doğurmaktadır.Formun ÜstüFormun Altı

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Örneğin, bir dava sürecinde delil olarak kişinin bilgilerine başvurulması veya işverenin savunma hakkını kullanabilmesi amacıyla eski çalışanına ait verileri işlemesi bu kapsama girebilir. Kurulun 2020/494 sayılı kararında da, bir kargo şirketinin eski çalışanı tarafından açılan işe iade davasında, güvenlik kamerası kayıtlarının delil olarak mahkemeye sunulmasını değerlendirmiş; bu veri işleme faaliyetinin, KVKK’nın 5. maddesinin 2. fıkrasının (e) bendi uyarınca, “bir hakkın tesisi, kullanılması veya korunması” amacıyla gerçekleştirildiği için hukuka uygun olduğuna karar vermiştir.^[5]

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Bu en geniş kapsamlı ve en dikkatli uygulanması gereken istisnadır. Kişisel verinin işlenmesi bir meşru menfaate dayanıyor olsa bile, kişinin temel hak ve özgürlükleri öncelikli olarak değerlendirilmelidir. Örneğin, bir işverenin işyerinde güvenliği sağlamak amacıyla bina girişine kamera yerleştirmesi, meşru menfaat kapsamında değerlendirilebilir. Ancak bu kameraların çalışanların sadece dinlenme alanlarını ya da lavabolara yakın bölgeleri görecek şekilde konumlandırılması, çalışanların özel hayatına müdahale oluşturacağından ölçülülük ve gereklilik ilkesini ihlal eder. Kurul da bu tür kararlarında, veri işleme faaliyetinin meşru menfaat sınırını aşmaması, alternatifsiz ve orantılı olması gerektiğini vurgulamaktadır. Bu nedenle, meşru menfaat gerekçesi öne sürülse bile, veri işlemenin amacına ulaşmak için daha az müdahaleci yollar varsa bu yol tercih edilmelidir.

 

3- Veri Sorumlusunun Yükümlülükleri

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin hukuka uygun şekilde işlenmesini sağlamak üzere veri sorumlularına çeşitli yükümlülükler getirmiştir. Veri sorumlusu, kişisel verilerin işlenme amaç ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir (KVKK md. 3/1-ı).

Veri sorumlusunun yükümlülükleri KVKK’nın 10., 12. ve 16. maddelerinde düzenlenmiştir. Bu yükümlülükler arasında aydınlatma, veri güvenliği tedbirleri alma, VERBİS’e kayıt ve ihlal durumunda bildirim yer alır.

a) Aydınlatma Yükümlülüğü (md. 10)

Veri sorumlusunun en temel yükümlülüklerinden biri, kişisel veri işleme faaliyetini Kanun’a uygun şekilde yürütmektir. Bu kapsamda, aydınlatma yükümlülüğü, veri güvenliği tedbirleri, VERBİS kaydı, envanter oluşturma ve ihlal bildirimleri gibi çok sayıda yükümlülüğü bulunmaktadır.

Bu yükümlülüklerden biri olan aydınlatma yükümlülüğü, Kanun’un 10. maddesi ile detaylı olarak düzenlenmiş olup, izleyen bölümde ayrıca ele alınacaktır.

b) Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü (md. 12)

Veri sorumlusu;

• Kişisel verilerin hukuka aykırı işlenmesini önlemek,
• Kişisel verilere hukuka aykırı erişimi engellemek,
• Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.

Kurul Kararı – 2020/93:
Kurul, bir özel hastanenin hasta verilerinin yer aldığı sistemlerin yetersiz güvenlik önlemleri nedeniyle dışarıdan erişime açık olduğunu tespit etmiş ve veri güvenliğinin sağlanmadığı gerekçesiyle idari para cezası uygulamıştır.[6]

c) Veri İhlallerini Bildirme Yükümlülüğü

KVKK’nın 12/5. maddesi uyarınca, kişisel verilerin üçüncü kişilerce hukuka aykırı bir şekilde elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmekle yükümlüdür.

Bu yükümlülüğün süresine ilişkin sınır, Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarihli ve 2019/10 sayılı İlke Kararı ile belirlenmiştir. Buna göre, veri sorumlusu, ihlalin öğrenilmesini takiben en geç 72 saat içinde Kurul’a bildirimde bulunmalıdır. İlgili kişiye yapılacak bildirim ise en kısa sürede ve gecikmeksizin gerçekleştirilmelidir.[7]

d) VERBİS’e Kayıt Yükümlülüğü (md. 16)

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri işleyen gerçek ve tüzel kişilerin kayıt olması gereken sistemdir. Belirli kriterleri sağlayan tüm veri sorumluları, veri işleme envanteri oluşturarak sisteme kayıt yaptırmakla yükümlüdür.

Kurul, VERBİS kaydını yapmayan veri sorumlularına idari para cezası uygulayabilmektedir.

 

4- Aydınlatma Yükümlülüğü ve Aydınlatma Metninin İçeriği

Kişisel verilerin elde edilmesi sırasında veri sorumlusunun en temel yükümlülüklerinden biri de, ilgili kişiyi bilgilendirmektir. Bu yükümlülük, KVKK’nın 10. maddesi ile düzenlenmiş olup, şeffaflık ilkesinin doğrudan bir yansımasıdır. Kişisel veriler toplanmadan önce ya da en geç toplanırken, ilgili kişinin işlenecek veriler hakkında bilgilendirilmesi zorunludur.

Aydınlatma Yükümlülüğünün Kapsamı

KVKK md.10’a göre veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere aşağıdaki hususlarda bilgi vermelidir:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
• Veri toplamanın yöntemi ve hukuki sebebi,
• İlgili kişinin hakları (KVKK md. 11)

Bu bilgiler genellikle aydınlatma metni aracılığıyla verilir ve bu metin açık, sade, anlaşılır bir dilde hazırlanmalıdır.

Kurul Kararı – 2021/850:
Kurul, bir mobil uygulamanın kullanıcıdan topladığı veriler hakkında eksik bilgilendirme yaptığı gerekçesiyle aydınlatma yükümlülüğünün ihlal edildiğine ve idari para cezası uygulanmasına karar vermiştir.^[8]

Aydınlatma Metninde Bulunması Gereken Unsurlar

Aydınlatma metni, ilgili kişinin verisinin niçin ve ne kadar süreyle işleneceğini açıkça ortaya koymalıdır. Aşağıda örnek bir yapı sunulmuştur:

• Veri sorumlusu: [Şirket/Kurum Adı]
• İşleme amaçları: [Hizmet sunumu, sözleşme ifası, yasal yükümlülükler vb.]
• Veri kategorileri: [Kimlik, iletişim, işlem güvenliği, sağlık, finansal veri vs.]
• Hukuki sebep: [Kanun, açık rıza, meşru menfaat vb.]
• Veri aktarımı yapılacak kişiler/kurumlar: [SGK, iş ortakları, tedarikçiler]
• Haklar: Bilgi alma, düzeltme, silme, itiraz etme vb.

Kurul Kararı – 2020/124:
Bir özel eğitim kurumunun, velilere aydınlatma yapmadan çocuklara ait kişisel verileri işlemesi nedeniyle, bilgilendirme yükümlülüğünün ihlali gerekçesiyle yaptırım uygulanmıştır.[9]

Bu kararlar, aydınlatma yükümlülüğünün yalnızca “formel bir metin sunmaktan ibaret” olmadığını; içeriğin kapsamlı, doğru ve zamanında verilmesinin hukuken zorunlu olduğunu ortaya koymaktadır.

 

5- Veri Envanteri ve VERBİS Kayıt Süreci

Kişisel verilerin işlenmesinde sistematik ve şeffaf bir yaklaşım geliştirmek için, veri sorumlularının ilk adımı veri envanteri hazırlamak olmalıdır. Bu envanter, hem iç denetim hem de Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı açısından kritik bir araçtır. KVKK’nın 16. maddesi ve KVK Kurumu’nun ilgili rehberlerine göre, belirli kriterleri sağlayan veri sorumluları, VERBİS’e kayıt yaptırmakla yükümlüdür.

Kişisel Veri Envanteri Nedir?

Kişisel veri envanteri; bir veri sorumlusunun işlediği kişisel verilerin kategorilerini, veri işleme amaçlarını, verilerin aktarılacağı kişi veya kuruluşları, veri saklama sürelerini, hukuki sebepleri ve alınan güvenlik önlemlerini içeren sistematik tablodur.

KVK Kurumu, bu envanteri “VERBİS kaydının dayanağı ve bilgi kaynağı” olarak nitelendirmektedir.

Veri envanteri sayesinde kurumlar;

• Hangi verileri topladığını ve neden işlediğini belirler,
• Gereksiz veya hukuka aykırı veri işleme faaliyetlerini tespit eder,
• Risk alanlarını tanımlar ve uygun teknik/idari tedbirleri planlar.

Envanterde Yer Alması Gereken Başlıca Unsurlar

• Veri kategorileri: Kimlik, iletişim, finans, sağlık, işlem güvenliği gibi
• İlgili kişi grupları: Müşteri, çalışan, tedarikçi, ziyaretçi, öğrenci vs.
• İşleme amaçları: Hizmet sunumu, sözleşme ifası, hukuki yükümlülük
• Veri aktarımı yapılan taraflar: Resmî kurumlar, iş ortakları, bulut servis sağlayıcıları
• Hukuki dayanak: Kanun, açık rıza, meşru menfaat vb.
• Veri saklama süresi: Yasal süreler + işleme amacıyla sınırlı süre
• Güvenlik tedbirleri: KVKK madde 12 kapsamında alınan önlemler

VERBİS Kaydı Nedir, Kimler İçin Zorunludur?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVK Kurumu tarafından yönetilen ve kamuya açık olan bir kayıt sistemidir. Bu sistem sayesinde veri işleme faaliyetleri izlenebilir hâle gelir.

VERBİS’e kayıt zorunluluğu olanlar:

• Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’yi aşan gerçek/tüzel kişi veri sorumluları
• Yurt dışında yerleşik veri sorumluları
• Özel nitelikli veri işleyen sağlık kuruluşları, avukatlar, muhasebeciler vb.

Kurul Kararı – 2021/891:
Kurul, bir bilişim firmasının VERBİS’e kayıt yükümlülüğünü ihlal ettiğini ve aydınlatma metni sunmadığını tespit ederek her iki yükümlülük için de ayrı ayrı idari yaptırım uygulamıştır.[10]

6- Yurt Dışına Kişisel Veri Aktarımı

Kişisel verilerin yurt dışına aktarılması, yalnızca teknik bir mesele değil; aynı zamanda kişisel mahremiyetin uluslararası düzeyde korunmasını hedefleyen bir güvenlik rejimidir. KVKK, bu konuyu 9. maddesinde düzenlemiş ve aktarım işleminin özel şartlara bağlanmasını öngörmüştür.

Yurt Dışına Veri Aktarımı Nedir?

Yurt dışına veri aktarımı, kişisel verilerin;

• Yurt dışında bulunan bir veri sorumlusuna veya veri işleyene gönderilmesi,
• Bulut hizmeti, e-posta altyapısı, CRM yazılımı gibi araçlar üzerinden yurt dışındaki sunucularda saklanması

şeklinde gerçekleşebilir. WhatsApp, Google, Zoom gibi yaygın dijital servisler üzerinden yapılan işlem ve kayıtlar da bu kapsamdadır.

Aktarım Şartları (KVKK md. 9)

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak aşağıdaki iki koşulun birlikte sağlanması hâlinde, açık rıza aranmaksızın da yurt dışına veri aktarımı mümkündür:

a) Kanunun veya 6. maddesinde belirtilen veri işleme şartlarından biri mevcut olmalıdır (örneğin: sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğü, meşru menfaat gibi).

ve

b) Aktarım yapılacak ülke, Kurul tarafından “yeterli koruma sağlanan ülkeler” listesinde yer almalıdır.[11] Veya Veri sorumlusu ile veri alıcısı arasında yazılı bir taahhütname hazırlanmalı ve bu taahhütname Kurul tarafından onaylanmalıdır.

Açık Rıza ile Aktarım

Eğer yukarıdaki alternatif yollar mümkün değilse, yurt dışına veri aktarımı ancak ilgili kişiden alınacak açık rıza ile yapılabilir. Açık rızanın geçerli olabilmesi için;

• Belirli bir ülkeye ve aktarım amacına özgü olması
• Bilgilendirme yapılmış olması
• Kişinin özgür iradesiyle verilmiş olması

gerekir. Genel-geçer “verilerim yurt dışına aktarılabilir” ifadesi yeterli değildir.

Kurul Kararı – 2022/249:
Kurul, bir teknoloji şirketinin kullanıcı verilerini açık rıza almaksızın yurt dışındaki bulut sunuculara aktardığını, bu aktarım öncesinde Kurul’a herhangi bir taahhütname sunulmadığını ve ilgili kişilerden geçerli bir açık rıza alınmadığını tespit etmiştir. Söz konusu aktarımın sistematik ve ticari amaçla yürütüldüğü anlaşıldığından, veri sorumlusu hakkında 950.000 TL idari para cezası uygulanmasına karar verilmiştir.[12]

 

7- Genel Değerlendirme ve Sonuç

6698 sayılı Kişisel Verilerin Korunması Kanunu, bireyin kişisel verileri üzerindeki haklarını tanıyan ve koruyan temel bir yasal düzenlemedir. Kanun, yalnızca teknik bir veri güvenliği rejimi sunmakla kalmamakta, aynı zamanda kişilik hakkının korunmasına ilişkin anayasal bir güvenceyi hayata geçirmektedir. Bu çerçevede, kişisel verilerin işlenmesinde açık rıza temel kural olarak belirlenmiş; ancak Kanun’un 5. maddesi ile belirli şartlar altında açık rıza olmadan da veri işlenebilmesine izin verilmiştir.

Veri sorumlularına düşen sorumluluk, yalnızca veriyi işlemenin teknik boyutuyla sınırlı değildir. Aydınlatma yükümlülüğü, veri güvenliği önlemleri, ihlal bildirimleri, VERBİS kaydı, envanter hazırlığı ve yurt dışına veri aktarım prosedürleri, veri sorumlusunun yükümlülükleri arasında yer almaktadır. Bu yükümlülüklerin ihlali hâlinde, Kişisel Verileri Koruma Kurulu tarafından verilen kararlar ışığında ciddi idari para cezalarının uygulanabileceği görülmektedir.

Ayrıca, Kurul kararları incelendiğinde, kişisel veri kavramının yalnızca isim, adres, T.C. kimlik numarası gibi klasik bilgileri değil; çerez kayıtlarından, kamera görüntülerine, sağlık bilgilerine kadar geniş bir alanı kapsadığı anlaşılmaktadır. Bu da veri sorumlularının dikkatli ve özenli hareket etmesini zorunlu kılmaktadır.

Sonuç olarak, KVKK sadece kurumlara yükümlülük getiren bir kanun değil; veri öznesi olan bireye, kendi verisi üzerinde söz hakkı tanıyan bir hak düzenidir. Kurul kararlarıyla şekillenen uygulamalar da göstermektedir ki, bu alan giderek dinamikleşmekte ve teknik hukukun ötesine geçerek insan onuruna dayalı bir veri etiği anlayışını zorunlu kılmaktadır.

Stj. Öğr. Tuğçe Nur Çiçek

 

KAYNAKÇA

Mevzuat:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Resmî Gazete: 07.04.2016, Sayı: 29677.
  Erişim: https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf

Kişisel Verileri Koruma Kurumu Yayınları:

• KVKK, Aydınlatma Yükümlülüğü Rehberi, 2020.
  Erişim: https://www.kvkk.gov.tr/Icerik/4116/Aydinlatma-Yukumlulugu-Rehberi

• KVKK, Açık Rıza Rehberi, 2020.
  Erişim: https://www.kvkk.gov.tr/Icerik/6649/Acik-Riza-Rehberi

• KVKK, Yurt Dışına Veri Aktarımı Rehberi, 2021.
  Erişim: https://www.kvkk.gov.tr/Icerik/6744/Yurt-Disina-Veri-Aktarimi

• Kişisel Verileri Koruma Kurulu, “Veri İhlali Bildiriminde Uyulması Gereken Usul ve Esaslar”, İlke Kararı, 24.01.2019 tarih ve 2019/10 sayılı karar. Erişim: https://www.kvkk.gov.tr/Icerik/5464/Ilke-Kararlari

DİPNOTLAR

[1] El geometrisi verisi, bireyin elinin şekli, uzunluğu, parmak aralıkları gibi fizyolojik özelliklerine dayalı bir kimlik tanıma yöntemidir.

[2] KVKK md. 6’ya göre: Biyometrik veri, bir kişiye ait fiziksel, fizyolojik ya da davranışsal özelliklerden, o kişinin benzersiz şekilde tanınmasını sağlayan özel nitelikli kişisel veridir.

[3] Kişisel Verileri Koruma Kurulu, “El geometrisi ile hizmet binasına giriş uygulaması”, Karar No: 2022/662, Karar Tarihi: 07.07.2022. Erişim: De Jure AI, https://www.dejure.ai

[4] Kişisel Verileri Koruma Kurulu, “Kargo firmasında müşteri verilerinin paylaşılması ve taciz iddiası”, Karar No: 2023/845, Karar Tarihi: 18.05.2023. Erişim: De Jure AI, https://www.dejure.ai

[5] Kişisel Verileri Koruma Kurulu. (25.06.2020). “Kamera kaydı ile işe iade davasında delil sunulması” (Karar No: 2020/494). De Jure AI.

[6] Kişisel Verileri Koruma Kurulu, “Özel hastanede hasta verilerine dış erişim”, Karar No: 2020/93, Karar Tarihi: 06.02.2020. De Jure AI.

[7] Kişisel Verileri Koruma Kurulu, “Veri İhlali Bildiriminde Uyulması Gereken Usul ve Esaslar”, İlke Kararı, 24.01.2019 tarih ve 2019/10 sayılı karar. Erişim: https://www.kvkk.gov.tr/Icerik/5464/Ilke-Kararlari

[8] Kişisel Verileri Koruma Kurulu, “Mobil uygulamada eksik aydınlatma metni kullanımı”, Karar No: 2021/850, Karar Tarihi: 26.08.2021. De Jure AI.

[9] Kişisel Verileri Koruma Kurulu, “Eğitim kurumunda veli bilgilendirmesi yapılmadan veri işlenmesi”, Karar No: 2020/124, Karar Tarihi: 13.02.2020. De Jure AI.

[10] KVK Kurulu, “Aydınlatma ve VERBİS ihlali”, Karar No: 2021/891, Karar Tarihi: 30.09.2021. De Jure AI.

[11] Belirtmek gerekir ki, Kurul tarafından hâlihazırda yeterli koruma sağlanan ülkelere ilişkin kamuya açık bir liste ilan edilmemiştir. Bu nedenle, uygulamada bu yöntem fiilen kullanılamamaktadır.

[12] KVK Kurulu, “Açık rıza olmaksızın yurt dışına veri aktarımı”, Karar No: 2022/249, Karar Tarihi: 17.03.2022. De Jure AI.

CAN & PARTNER HUKUK BÜROSU

Personel/ Stajyer İşe Alım Süreci İçin Örnek KVKK Aydınlatma Metni ve Açık Rıza Onay Metni

(işe başvuru aşamasında veriler toplanırken)

a) Veri Sorumlusu

Bu aydınlatma, 6698 sayılı KVK Kanunu kapsamında, veri sorumlusu sıfatıyla hareket eden Can & Partner Hukuk Bürosu tarafından, işe alım süreci dahilinde paylaştığınız kişisel verilerinizi hangi şartlarla işlediğimizi, hangi taraflarla paylaştığımızı ve bu kapsamdaki haklarınızı tarafınıza bildirmek amacıyla yapılmaktadır.

Adres: Novus Tower, Adalet Mah., Şehit Polis Fethi Sekin Cad., No: 4, Kat: 25, D: 252, 35535 Bayraklı/İzmir

Telefon: +90 232 464 6710
E-posta: info@can-partner.com

b) İşlenen Kişisel Verileriniz

Tarafınızdan işe alım süreci kapsamında sözlü, yazılı ve/veya elektronik ortamda temin edilen aşağıdaki veriler işlenebilecektir:

• Ad, soyad, T.C. kimlik numarası, doğum tarihi, medeni hal, uyruğunuz, ikamet adresi, telefon numarası, e-posta adresi,
• Özgeçmiş bilgileri: eğitim durumu, iş/staj geçmişi, sertifika bilgileri,
• Adli sicil kaydı, askerlik durumu, engellilik/sağlık durumu, referans bilgileri,
• Kimlik fotokopisi, fotoğraf, diploma, İkametgâh belgesi,
• Görüşme notları ve değerlendirme bilgileri.

c) Kişisel Verilerin İşlenme Amaçları

Verileriniz, şu amaçlarla işlenebilir:

• İş/staj başvurusunun değerlendirilmesi, uygun pozisyona yerleştirme,
• İnsan kaynakları süreçlerinin planlanması ve yürütülmesi,
• Kurumsal iletişim ve planlama faaliyetlerinin icrası,
• Gelecekte doğabilecek pozisyonlar için aday havuzunda saklanması,
• Mevzuata dayalı yasal yükümlülüklerin yerine getirilmesi.

d) Hukuki Sebepler

Verileriniz, KVKK’nın 5. ve 6. maddeleri uyarınca;

• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
• Meşru menfaat,
• Hukuki yükümlülüğün yerine getirilmesi,
• Alenileştirilmiş olması,
• Özel nitelikli veriler için açık rıza
  sebebine dayalı olarak işlenmektedir.

e) Veri Aktarımı

Verileriniz, sadece aşağıdaki taraflara, belirtilen amaçlarla sınırlı olarak aktarılabilir:

• Yetkili kamu kurumları (SGK, vergi dairesi vb.),
• Avukatlık Kanunu uyarınca yürütülen dosya tarafları,
• Bilgi işlemi yürüten hizmet sağlayıcılar, ofis içi yazılım ve danışmanlık firmaları,
• İş/staj kabulü durumunda insan kaynakları süreci paydaşları.

f) Veri Toplama Yöntemi

Verileriniz, şözlü ve yazılı başvuru formları, e-posta yazışması, görüşme notları, fiziksel doküman teslimi, dijital platformlar aracılığıyla toplanmaktadır.

g) KVKK’nın 11. Maddesi Uyarınca Haklarınız

Kurumumuza başvurarak aşağıdaki haklarınızı kullanabilirsiniz:

• Kendi verilerinizin işlenip işlenmediğini öğenme,
• İşlenen verilerle ilgili bilgi talep etme,
• Hatalı/eksik verilerin düzeltilmesini isteme,
• İşlenme amaçlarına uygun kullanılıp kullanılmadığını öğrenme,
• Yurtiçi/yurtdışı aktarım yapıldığı 3. kişileri bilme,
• Silinmesini/yok edilmesini isteme,
• İtiraz etme, zarar halinde tazminat talep etme.

Başvurularınızı yazılı olarak veya info@canpartnerhukuk.com adresine e-posta ile iletebilirsiniz.

AÇIK RIZA METNİ

(özgeçmişte sağlık, adli sicil gibi özel nitelikli veri varsa)

Tarafıma sunulan Aydınlatma Metni kapsamında bilgilendirildim. KVKK uyarınca, işe alım süreci kapsamında paylaştığım:

• Adli sicil kaydım,
• Sağlık bilgilerim (engellilik, kronik hastalık vb.),
• Referans bilgilerim,
• Fotoğraf, askerlik durumu, ehliyet belgesi

gibi özel nitelikli ve hassas kişisel verilerimin; söz konusu iş/staj başvurumun değerlendirilmesi, insan kaynakları sürecinin yürütülmesi ve yasal yükümlülüklerin yerine getirilmesi amaçlarıyla işlenmesine ve saklanmasına açık rıza veriyorum.

 

Ad Soyad: ………………………………………

                                                                                       Tarih: ……………………………….

                                                                                              İmza: ………………………………………