Kişisel veri nedir?
Kişisel Verilerin Korunması Kanunu’ndaki tanımına göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kimliği belirli veya belirlenebilir ifadesi; veri sahibinin “topluluk içerisinde iken onu diğer kişilerden ayırt edilmesini sağlayan” veya “ayırt edilmesini mümkün kılan” anlamını taşımaktadır. Her ne kadar kişiyi tanımlayabilme özelliğine göre her somut olay bakımından ayrı değerlendirilmesinin yanı sıra takma adlar, IP adresleri, ses veya görüntü gibi veriler tek başına veya başka kaynaklar ile birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise kişisel veri olarak kabul edilecektir. Örneğin bir kişiye ait ayak izi dahi kişisel veri olarak tanımlanabilecektir.
Kanun uyarınca bir verinin kişisel veri olarak değerlendirilebilmesi için verinin bir gerçek kişiye ait olması gerekmektedir. Tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Şirketin ticaret unvanı, adresi, vergi kimlik numarası, MERSİS numarası ve cirosu gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

Aydınlatma yükümlülüğünün yerine getirilmesinde şekil şartı var mıdır?
Aydınlatma yükümlülüğünün yerine getirilmesinde şekil şartı bulunmamaktadır. Aydınlatma ikonlarla yapılabileceği gibi (Örneğin; kameranın altına kamera ikonu ve “burası 7/24 kamerayla izleniyor” ifadeleri) katmanlı olarak da (Örneğin; “Aydınlatma Metni İçin Tıklayınız” linki ile) aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Aydınlatma yükümlülüğünün yerine getirilmesi esnasında aynı zamanda veri sahibinin açık rızası da alınabilir mi?
Aydınlatma yükümlülüğünün yerine getirilmesi kapsamında aydınlatma metni ile veri sahibinin açık rızasına dayalı olarak işlenecek veriler bakımından açık rıza metninin ayrı dokümanlarda düzenlenmesi gerekmektedir. Dolayısıyla aydınlatma metni için veri sahibinden açık rıza alınmış olması veri işleme faaliyeti için onay alındığı anlamına gelmemektedir. Aydınlatma metni ve açık rıza metninin veri sahibi tarafından ayrı ayrı okunmuş ve onaylanmış olması gerekmektedir.

Açık rıza alınması gerekmeyen veri işleme hallerinde de aydınlatma yükümlülüğünün yerine getirilmesi gerekli midir?
Veri işleme faaliyetinin veri sahibinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin veri sahibini aydınlatma yükümlülüğü devam etmektedir.

Veri Sorumlusu ve Veri İşleyen Kimdir? Veri Sorumlusu ve Veri İşleyen’in ayrı kişiler olması halinde sorumluluk rejimi nasıl olmalıdır?
Kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara karar verme yetkisi olan gerçek veya tüzel kişiler veri sorumlusu olarak addedilmektedir. Tüzel kişiler bakımından veri sorumlusu doğrudan tüzel kişiliğin kendisidir. Tüzel kişiliğin içerisinde yer alan gerçek kişiler Kanun’un uygulanması bakımından veri sorumlusu sayılmazlar.

Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen gerçek veya tüzel kişidir. Veri sorumlusu ile kişisel veri işleme bakımından hukuki ilişki içinde olan her bir gerçek veya tüzel kişi veri işleyen sayılmaktadır. Örneğin mali müşavirler, avukatlar, sigorta şirketleri, çağrı merkezleri vb. kişiler veri sorumlusu adına veri işleme faaliyetinde bulunduklarında veri işleyen olarak kabul edilmektedir.

Kanun’da kişisel veri güvenliğinin sağlanması, verilerin hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi bakımından veri sorumlusunun gerekli idari ve teknik tedbirleri alması gerektiği düzenlenmiştir. Ancak veri sorumlusunun, kişisel verilerin işlenmesi bakımından veri işleyene yetki vermesi durumunda sorumluluk müşterek hale gelmektedir. Nitekim veri işleyenin, veri sorumlusu tarafından verilen talimatlara uygun hareket etmek zorunda olduğu göz önüne alındığında ve bu talimatlara uyulmaması halinde veri sorumlusuna yapılacak başvurular bakımından veri işleyene rücu ihtimali de gündeme gelebilecektir. Ancak her halükarda veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar.

Veri işlenmesi için gerekli hukuki sebepler nelerdir? Kanun’da yer alan istisna sebeplerinin bulunması halinde alınan açık rıza geçerli midir?
Kişisel verilerin işlenmesi Kanun’da yer alan hukuki sebeplerden birine dayanmalıdır. Kişisel verilerin ve özel nitelikli işlenmesinin hukuki sebepleri ise Kanun’un 5. ve 6. Maddelerinde düzenlenmiştir. Kanun’un 5. Maddesi uyarınca; veri sahibinin açık rızasının varlığı, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, veri sahibinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin bulunması halinde özel nitelikli olmayan kişisel veriler geçerli bir hukuki sebebe dayalı olarak işlenmiş kabul edilecektir.

Kişisel verilerin işlenmesi, açık rıza dışındaki şartlardan birine dayanıyor ise ayrıca veri sahibinin açık rızası alınmamalıdır. Zira bu durumda alınan açık rıza battaniye rıza olarak değerlendirilebileceği gibi, açık rıza dışında bir dayanakla veri işlemesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı anlamına gelebilecektir.

Veri Sorumlusunun meşru menfaati kapsamında veri işleyebilmesi için hangi koşulların sağlanmış olması gerekmektedir?
Kanun’un 5. Maddesinin f bendinde düzenlenen “meşru menfaat” işleme şartına dayalı olarak veri işlenebilmesi için, veri sorumlusunun kişisel veri işleme faaliyetinde meşru menfaatinin bulunması ve veri sahibinin temel hak ve özgürlüklerine zarar verilmemesi gerekmektedir. Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Burada iki aşamalı değerlendirme yapılması gerekmektedir. İlk değerlendirmede veri sorumlusunun elde edeceği çıkar ve fayda tespit edilmeli, ikinci aşamada da bu menfaatin veri sahibinin temel hak ve özgürlüklerine de zarar vermediği belirlenmelidir. Meşru menfaat şartı, Kanun’da yer alan diğer şartların uygulanamadığı hallerde veri işlemesi bakımından başvurulacak son çare olmadığı gibi her şeyi kapsamına dahil edebilecek ve tüm kişisel veri işleme faaliyetlerini yasal hale getirecek bir düzenleme de değildir.

Veri Minimizasyonu ilkesi nedir?
Veri minimizasyonu ilkesi, kişisel verilerin işlenme amacının gerektirdiği kadar talep edilmesi ve işlenmesi, kullanım amacının sona ermesi halinde ise verilerin tamamen silinmesi anlamına gelmektedir. Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Halihazırda işlenme amacı olmamakla birlikte ilerleyen süreçte kullanılması göz önüne alınmak suretiyle veri işlemesi yapılması Kanun’a aykırılık teşkil etmekle birlikte kişisel veri işleme faaliyetinin gerçekleşmesi için gereğinden fazla kişisel veri toplanmamalı ve/veya işlenmemelidir. Örneğin, abonelik esnasında isim soy isim bilgilerinin paylaşılması yeterli iken veri sahibinden kimlik fotokopisinin talep edilmesi veri minimizasyonu ilkesine ve Kanun’a aykırılık teşkil edecektir.

Kişisel verilerin yurt içinde aktarımı için veri sahibinin açık rızası alınmalı mıdır? Grup şirketler içerisinde yapılan aktarım için açık rıza alınmalı mıdır?
Kural olarak kişisel veriler veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarılamaz. Ancak Kanun’un 5. ve 6. Maddelerinde düzenlenen işlenme şartlarından birinin bulunması halinde açık rıza olmaksızın yurt içinde veri aktarımı yapılması mümkündür.

Tüzel kişi veri sorumlusunun birimleri arasında yapılan aktarım üçüncü kişiye aktarım olarak değerlendirilmezken bir şirketler topluluğu altında yer alan farklı şirketler arasında veri aktarımı yapılması üçüncü kişiye aktarım olarak kabul edilmelidir. Dolayısıyla ilk durumda veri sahibinden ayrıca açık rıza alınmasına gerek bulunmamakta, ikinci durumda ise veri sahibi bu konu hakkında ayrıca aydınlatılması ve açık rızası alınmalı veya Kanun’da yer alan işlenme şartlarından birine dayanılması ve Kanun’un 8. Maddesi çerçevesinde bu aktarımın yapılması gerekmektedir.

Kişisel verilerin aktarılacağı üçüncü kişilere ait hangi bilgiler veri sahiplerine bildirilmelidir?
Kişisel verilerin üçüncü kişilere aktarımı söz konusu ise bu hususun aydınlatma yükümlülüğü kapsamında veri sahiplerine bildirilmesi zorunludur. Ancak aktarılacak kişilerin açıkça aydınlatma metninde bulunması gerekli değildir. Örneğin, taşıma ve teslimat işlemleri içinveri sahibinin verileri kargo firmasına aktarılıyor ise bu durumda aydınlatma metninde kişisel verilerin kargo firması ile paylaşılacağı bilgisinin bulunması yeterli olacaktır.

Ancak veri sahibinin haklarını düzenleyen Kanun’un 11. Maddesi uyarınca veri sahibi tarafından veri sorumlusuna başvurulmak suretiyle kişisel verilerinin kimlere aktarıldığı bilgisinin talep edilmesi halinde aktarım yapılan tüm üçüncü kişilerin açıkça veri sahibine bildirilmesi gerekmektedir.

Kişisel verilerin güvenliğinin sağlanması bakımından veri sorumluları tarafından alınması gereken önlemler nelerdir? Veri işleyenler bakımından bu yükümlülük söz konusu mudur?
Veri sorumlusu, işlediği kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda idari tedbirler bakımından çalışanlara eğitimler verilmeli, çalışanların yetkileri denetlenmeli, yetki kontrolleri düzenli olarak yapılmalı, teknik tedbirler bakımından ise Kişisel Verileri Koruma Kurulu tarafından belirlenen asgari güvenlik önlemlerinin alınması gerekmektedir. Ayrıca özel nitelikli kişisel verilerin işlenmesi halinde Kişisel Verileri Koruma Kurulu tarafından alınması gerekli önlemler ayrıca düzenlenmiş olup veri sorumluları tarafından bu düzenlemelere uygun olarak özel nitelikli kişisel verilerin işlenmesi gerekmektedir.

Veri işleme faaliyetinin veri sorumlusu adına veri işleyen tarafından yerine getirilmesi halinde veri sorumlusu, söz konusu idari ve teknik tedbirlerin alınması bakımından veri işleyenleri denetlemek ve güvenlik tedbirlerinin alındığını temin etmekle yükümlüdür.

Veri Sorumluları Sicili’ne kimler kayıt olmalıdır?
Kişisel veri işleme faaliyetinde bulunan gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kayıt olmakla yükümlüdür. Bu kapsamda; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ve kamu kurum ve kuruluşu veri sorumlularının Kişisel Verileri Koruma Kurul’u tarafından belirlenen süreler içerisinde Sicil’e kayıt yaptırmaları zorunludur.

Sicilin kamuya açık olması ne anlama gelmektedir?
Veri Sorumluları Sicili kamuya açık olarak tutulacak olup, veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi dışında kişisel veri barındırmayacaktır. Veri sorumluları tarafından Sicli’e girilen bilgiler www.kvkk.gov.tr adresinde kategorik bazda kamuya açık olarak yayımlanacaktır.

Sicil’e kayıt yükümlülüğünün yerine getirilmemesi halinde ne tür yaptırım uygulanacaktır?
Kanun uyarınca Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000,00 TL’den 1.000.000,00 TL’ye kadar, idari para cezası verilmesi öngörülmüştür.