Kişisel Verilerin Korunması Kanunu

Günümüzde bireylere ilişkin çeşitli veriler gelişen teknolojinin de etkisiyle her gün farklı platformlarda kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Bu nedenle, kişisel verileri koruyabilmek adına hukuki bir altyapının oluşturulması da zorunluluk haline gelmektedir.
Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır. Bu açıdan bakıldığında, kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır.
2010 yılında yapılan değişiklik sonucunda Anayasanın 20 nci maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.
Kanunla, kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu amaçla, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir.
Kanun kişisel verilerin işlenmesini sınırlamamakta, tam tersine veri temelli ekonomide daha rekabetçi bir noktada olabilmek adına kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir. Diğer bir ifadeyle, Kanunda kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesi gözetilmektedir.
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.
100 Soruda Kişisel Verilerin Korunması Kanunu konulu çalışma, kanun ve gerekçesi çerçevesinde hazırlanmış ve bu konuda soru- cevap yaklaşımıyla ilgililere faydalı olunması amaçlanmıştır.

 

1) Kişisel Verilerin Korunmasına Neden İhtiyaç
Duyulmuştur?
Gerek kamu, gerekse özel kurum ve kuruluşlar, bir
görevin yerine getirilmesi veya bir hizmetin sunumuyla
bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun
süredir toplamaktadırlar. Bu durum, bazen kanunlardan
kaynaklanmakta bazen kişilerin rızasına veya bir
sözleşmeye dayanmakta bazen de yapılan işlemin
niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek
gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme
sürecinde de korunması öncelikli konulardan biridir.
Ayrıca, sosyal ve ekonomik hayatın düzen içinde
sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu,
mal ve hizmetlerin ekonominin gereklerine uygun biçimde
geliştirilmesi, dağıtımı ve pazarlanması için kişisel
verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel
toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye
kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.
Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı
standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına
İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından
da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede
yayımlanarak iç hukuka dâhil edilmiştir. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde,
9
iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale
gelmiştir.
Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı
kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının
ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve
özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” amaçladığı tespit edilerek,
“kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde,
özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması
ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması
gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya
muhtaç olduğu ifade edilmiştir.

 

2) Kişisel Verilerin Korunması Hakkının Dayanağı
Nedir ve Bu Hak Sınırsız Bir
Hak mıdır?
2010 yılında yapılan Anayasa değişikliği ile Anayasanın
özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme
hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel
verileri hakkında bilgilendirilme, bu verilere erişme,
bunların düzeltilmesini veya silinmesini talep etme
ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.
Kişisel verilerin korunmasına ilişkin esas ve usuller
kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel
verilerin korunması açıkça anayasal güvence altına
alınmıştır.
Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın
kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve
özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen
sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, kişisel
verilerin korunmasına ilişkin 20. maddede tanınan her bir hakkın uygulanması ve diğer
haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir.
11
3) Kişisel Verilerin Korunması Kanunu Ne Zaman
Yürürlüğe Girmiştir?
Avrupa Birliğine uyum kapsamında
hazırlanan Kişisel Verilerin
Korunması Kanunu Tasarısı
18 Ocak 2016 tarihinde TBMM
Başkanlığına sevk edilmiştir.
Söz konusu metin 24 Mart
2016 tarihinde TBMM Genel
Kurulu tarafından kabul edilerek
kanunlaşmış ve 7 Nisan 2016 tarih
ve 29677 sayılı Resmî Gazetede
yayımlanarak yürürlüğe girmiştir.
12
4) Kişisel Verilerin Korunması Kanununun Amacı
Nedir?
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne
alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve
koruma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin
işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin
korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin
sağlanması da bu kapsamda değerlendirilmektedir.
Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin
erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının
ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
13
5) Kişisel Verilerin Korunması Kanunu Kimleri
Kapsamaktadır?
Kanun, kişisel verileri işlenen gerçek
kişiler ile bu verileri tamamen veya
kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin (kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği
kayıt sistemi) parçası olmak kaydıyla
otomatik olmayan yollarla işleyen gerçek
ve tüzel kişiler hakkında uygulanır.
Bu doğrultuda, özel sektörde faaliyet
gösteren kuruluşlar ile kamu kurum
ve kuruluşları bakımından bir ayrım
yapılmamış olup, öngörülen usul ve
esasların tüm kurum ve kuruluşlar
açısından uygulanması benimsenmiştir.
Kanunda verisi işlenen gerçek kişilerden
bahsedildiği için hak ehliyetine sahip olan
herkes Kanun kapsamındadır.
14
6) Kanun Kapsamına Dahil Olmayan Kişiler Var mıdır?
Kanunda “kişisel verileri işlenen
gerçek kişiler” ifadesi kullanıldığından,
kişisel verileri işlenen tüzel kişiler bu
Kanunun kapsamı dışında tutulmuştur.
Veri işleme faaliyetini gerçekleştirenler
açısından ise Kanunda gerçek kişi tüzel
kişi ayrımına gidilmemiştir. Ancak, veri
kayıt sisteminin parçası olmaksızın veri
işleyenler Kanunun kapsamı dışında
tutulmuştur.
7) Her Türlü Veri İşleme Faaliyeti İçin Bu Kanun
Hükümleri Uygulanacak mıdır?
Kanunun 28. maddesinde, bazı hallerde Kanun hükümlerinin uygulanmayacağı
belirtilmektedir. Bu çerçevede, Kanun kapsamına girmeyen haller, 28. maddede tamamen
veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutulmuştur. Bu
maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir.
Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna
hallerinde, Kanunun sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları
ve veri sorumluları siciline kayıt) uygulanmamaktadır.
15
8) Kanun Kapsamındaki Tam İstisna Halleri Nelerdir?
Aşağıda belirtilen durumlarda Kanun
hükümleri uygulanmayacaktır;
• Kişisel verilerin, üçüncü kişilere
verilmemek ve veri güvenliğine ilişkin
yükümlülüklere uyulmak kaydıyla gerçek
kişiler tarafından tamamen kendisiyle
veya aynı konutta yaşayan aile fertleriyle
ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama
ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya
ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu
kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
16
9) Kanun Kapsamındaki Kısmi İstisna Halleri
Nelerdir?
Kural olarak aşağıda belirtilen haller yalnızca belirli Kanun hükümlerinden istisna tutulmakta
olup, bunun dışında kalan Kanun hükümlerine ise tabidirler. Kanunun amacına ve
temel ilkelerine uygun ve orantılı olma şartıyla Kanunda veri sorumlusunun aydınlatma
yükümlülüğünün düzenlendiği 10. madde, zararın giderilmesini talep etme hakkı hariç olmak
üzere ilgili kişinin haklarının düzenlendiği 11. madde ve Veri Sorumluları Siciline kayıt
yükümlülüğünün düzenlendiği 16. madde hükümleri, belirtilen faaliyet alanları ile sınırlı
olmak üzere uygulanmamaktadır. Bu kapsamda, Kanunun amacına ve temel ilkelerine
uygun ve orantılı olma şartı ile bazı hükümlerden muaf tutulan haller şunlardır;
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için
gerekli olması,
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum
ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya dü
zenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması,
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve
mali çıkarlarının korunması için gerekli olması.
17
10) Kişisel Verilerin Korunması Ne Demektir?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel
hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin
korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar
hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan
yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin
korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu
anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması,
kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar
şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç
kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin
belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının
da bir gereğidir.
18
11) Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel
veriden söz edebilmek için, verinin bir gerçek kişiye
ilişkin olması ve bu kişinin de belirli ya da belirlenebilir
nitelikte olması gerekmektedir. Buna göre;
1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek
kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel
verinin tanımının dışındadır. Dolayısıyla, bir şirketin
ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin
bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri
durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini
gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir
kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum
tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon
numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş,
resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde
bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya
dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
19
Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna
gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile
ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.
Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi
tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir.
Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri
şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme
raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi
kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı
fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan
veriler de kişisel veri olarak addedilebilir.
Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi
tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.
20
12) Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?
Özel nitelikli kişisel veriler, başkaları
tarafından öğrenildiği takdirde ilgili
kişinin mağdur olabilmesine veya
ayrımcılığa maruz kalabilmesine
neden olabilecek nitelikteki
verilerdir. Kanunda, hangi kişisel
verilerin özel nitelikli kişisel veri
olduğu tek tek belirtilmiş olup, bu
sayılanlar dışındakiler özel nitelikli
kişisel veri olarak kabul edilemez.
Bu bakımdan, özel nitelikli kişisel
verilerin sınırlı olarak sayıldığı kabul
edilir.
13) Özel Nitelikli Kişisel Veriler Nelerdir?
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verilerdir.
Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu
olarak değerlendirilebilir.
21
14) Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi, kişinin fiziksel ve ruhsal
sağlığına ilişkin her türlü veri ile kişiye sunulan
sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü
tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı
ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel
sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla
Kanunda düzenlenen özel nitelikli kişisel verilerin
işlenme şartlarına tabidir.
15) İlgili Kişi Kimdir?
İlgili kişi, kişisel verisi işlenen gerçek kişiyi
ifade eder. Kanunda, yalnızca gerçek kişilerin
verilerinin korunması öngörülmüş, tüzel
kişilerin verileri Kanun kapsamı dışında
tutulmuştur.
Kanunda yer alan kişisel verinin tanımı gereği,
tüzel kişiye ait bir verinin herhangi bir gerçek
kişiyi belirlemesi ya da belirlenebilir kılması
halinde, bu veriler de Kanun kapsamında
koruma altındadır. Ancak, burada korunan menfaat tüzel kişiye değil, düzenlemenin
temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır.
Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.
22
16) Kişisel Verilerin İşlenmesi Ne Demektir?
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen
her türlü işlemi ifade eder.
Örneğin, kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan
verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.
Dolayısıyla veri işleme kapsamına
giren eylemler sınırlı sayıda olmayıp,
kişisel verilerin ilk defa elde
edilmesinden başlayarak veriler
üzerinde gerçekleştirilen tüm işlem
türlerini ifade etmektedir.
23
17) Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne
Demektir?
Kanunda, otomatik işlemenin ne olduğu tanımlanmamıştır. Bununla birlikte, gerekçede,
Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse
kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.”
denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinden gerçekleştirilen
faaliyetler olduğu belirtilmiştir.
Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı
konusundaki ihtiyacın asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal
veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi
veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi
olarak tanımlanabilir.
Başka bir ifade ile, otomatik olarak
veri işlenmesi; bilgisayar, telefon,
saat vb. işlemci sahibi cihazlar
tarafından yerine getirilen,
yazılım veya donanım özellikleri
aracılığıyla önceden hazırlanan
algoritmalar kapsamında insan
müdahalesi olmadan kendiliğinden
gerçekleşen işleme faaliyetidir.
24
18) Kişisel Verilerin Otomatik Olmayan Yollarla
İşlenmesi Ne Demektir?
Bir veri kayıt sistemine bağlı olarak otomatik
olmayan yollarla işleme ise manuel olarak
hazırlanan ancak erişimi ve anlamlandırmayı
kolaylaştıran işleme faaliyetini ifade eder.
Yukarıda belirtildiği gibi, kişisel veriler otomatik
işlemeye tabi tutulmasalar da, bir “veri kayıt
sistemi” aracılığıyla işlendiklerinde de Kanun
hükümlerine tabi olmaktadır. Diğer bir ifade ile
Kanun, otomatik olmayan yollarla veri işlenmesini
tamamen Kanun kapsamı dışında tutmamakta,
otomatik olmayan yolla veri işleme eğer bir veri
kayıt sisteminin parçası ise, veri işleme faaliyeti
Kanun kapsamında kabul edilmektedir.
25
19) Veri Kayıt Sistemi Nedir?
Veri kayıt sistemi, kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği
kayıt sistemini ifade etmektedir. Bir
dosyalama sistemi olarak nitelenebilecek
veri kayıt sistemi elektronik ya da fiziki
ortamda oluşturulabilir. Buna göre,
veri kayıt sisteminde kişisel veriler, ad,
soyad veya kimlik numarası üzerinden
sınıflandırılabileceği gibi, örneğin
kredi borcunu ödemeyenlere ilişkin
oluşturulacak bir sınıflandırma da bu
kapsamda değerlendirilmektedir.
Örneğin, herhangi bir kritere bağlı
olmaksızın gelişigüzel bir şekilde sadece
kişilerin ad ve soyadlarının bir kağıtta
yer alması hali, Kanun kapsamına
girmemekle birlikte, söz konusu
isimlerin belirli bir kritere göre bir kağıda
kaydedilmesi halinde, bu veri kaydı Kanun
kapsamında değerlendirilmektedir.
26
20) Açık Rıza Nedir?
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.
Açık rızanın üç unsuru bulunmaktadır:
1. Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için
rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade
açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz
bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile
battaniye rızalar hukuken geçersizdir.
2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kişinin özgür bir
şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye
yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile
ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.
27
Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça
belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta
güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.
3. Özgür iradeyle açıklanması: Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın
bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile
gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir.
Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin
işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür
iradeye dayandığı kabul edilemez.
Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması,
bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön
şartı olarak ileri sürülmemelidir.
Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen
ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması
için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık
rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.
28
21) Açık Rıza Herhangi Bir Şekil Şartına Tabi midir?
Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki
unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam
vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu
durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca,
açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık
rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin
işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır.
Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.
29
22) Açık Rıza Geri Alınabilir mi?
Açık rıza geri alınabilir. Çünkü bu kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerin
geleceğini belirleme hakkı ilgili kişiye aittir. Bu bağlamda kişi dilediği zaman veri
sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak geri alma işlemi ileriye yönelik
sonuç doğurur. Geri alma beyanın veri sorumlusuna ulaştığı andan itibaren veri sorumlusu
tarafından açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır. Geri
alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
30
23) Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade
eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları,
şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı
sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve
işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel
verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel
verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı,
paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle
saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp
uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.
Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik
tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin
içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması
bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri
sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği
temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve
ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri
sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler.
Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve
ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda
kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık
gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin
sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
31
24) Veri İşleyen Kimdir?
Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde
işleyen gerçek veya tüzel kişilerdir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik
kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme
faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.
Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet
gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu
faaliyet kapsamında veri işleyen olarak kabul edilecektir.
32
25) Herhangi Bir Gerçek veya Tüzel Kişi Aynı
Zamanda Hem Veri sorumlusu Hem de Veri
İşleyen Olabilir mi?
Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı
tanımlamaktadır. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri
nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut
bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken,
müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
33
26) Kanunda Sayılan Veri İşlenmesine İlişkin
Yükümlülüklerin Yerine Getirilmesi Bakımından
Esas Sorumlu Kimdir?
Kanunda, kişisel veri işleme
faaliyetlerine ilişkin hukuki
yükümlülüklerin yerine getirilmesinde
veri sorumlusu esas alınmaktadır. Veri
sorumlusu, kişisel verilerin işlenme
amaçlarını ve vasıtalarını belirleyen,
veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişidir. Veri işleyen
ise, veri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel veri
işleyen gerçek veya tüzel kişidir. Buna
göre, veri işleyenin veri sorumlusunun
talimatlarını yerine getirdiği açıktır.
34
27) Kişisel Verilerin İşlenmesinde Genel (Temel)
İlkeler Nelerdir?
Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun
davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde
bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
35
28) Hukuka ve Dürüstlük Kurallarına Uygun Olma
Ne Demektir?
Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe
sahiptir.
Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal
düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması
ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma
amacının aşılmamasını ifade eder. Veri işleme faaliyetinde bulunanların, ilgili kişilerin
çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı
bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, otonomisini, onurunu ihlal
edecek şekilde veri işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir. Bu kapsamda,
dürüstlük ilkesi uyarınca, kişilerin kendilerine veri işleme konusunda izin ya da emir veren
hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre
işlenebilecek en az miktarda veri işlemeleri, veri sahiplerinin öngöremeyeceği biçimde
hareket etmemeleri, veri sahiplerinin çıkarlarını ve makul beklentilerini göz önüne almaları
gibi davranışları gerektirir.
Bu ilkelere riayet edilmeksizin veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun
veri işlenmesine aykırı olacaktır.
36
29) Doğru ve Gerektiğinde Güncel Olma Ne
Demektir?
Veri, hakkında bilgi vermesi gereken şeyi doğru şekilde
anlatabilmelidir. Kişisel verilerin doğruluğunun ve güncelliğinin
önemini vurgulayan bu ilke Kanunda öngörülen ilgili kişinin
verilerin düzeltilmesini talep etme hakkı ile uyumludur.
Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri
sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel
hak ve özgürlüklerinin korunması açısından da gereklidir.
Veri sorumlusu eğer kişisel verilere dayalı olarak ilgili kişiye
dair bir sonuç yaratıyor ise kişisel verilerin doğru ve gerektiğinde güncel olmasının
sağlanması noktasında veri sorumlusunun aktif özen yükümlülüğü bulunmaktadır. Bunun
dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin
edecek kanalları açık tutmalıdır. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan
kişisel verileri nedeniyle maddi ve manevi zarar görmesi mümkündür. Örneğin bir kişinin
veri sorumlusunun sisteminde kayıtlı telefon numarasının doğru olmaması ya da artık ilgili
kişi tarafından kullanılmıyor oluşu, o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı
sonuçların ortaya çıkmasına neden olabilmektedir. Yine, adres bilgisi yanlış kaydedilen bir
kişinin kendisine ait tebligatları zamanında alamaması veya söz konusu tebligatların yanlış
bir kişiye tebliğ edilmesi durumunda ilgili kişi maddi ve manevi zarar görebilir.
Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği
kaynaklar belirli olmalı, kişisel verilerin toplandığı kaynağın doğruluğu test edilmeli,
kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu
kapsamda makul önlemler alınmalıdır.
37
30) Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Ne Demektir?
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir
olmasını,
• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak
gerçekleştirildiğinin tespit edilmesini,
• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini
sağlayacak detayda ortaya konulmasını
sağlamaktadır.
Kişisel veri işleme amaçlarının belirli, meşru ve açık olması ilkesi özellikle açık rıza ve
aydınlatma metinlerinin kaleme alınması sırasında; kişisel veri işleme faaliyetlerinin
hukuka uygun olarak gerçekleştirildiğinin tespitinin sağlanması noktasında önem taşır.
Açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını
cevaplama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda
hassasiyet gösterilmesi, anlaşılmayan terminoloji kullanımından kaçınılmasıdır. Bu esasa
uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.
38
31) Amacın Meşru Olması Ne Demektir?
Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya
sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.
Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi
meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında
değerlendirilemeyecektir.
39
32) Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı,
Sınırlı ve Ölçülü Olması İlkesi Ne Demektir?
“Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir.
Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan
ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır. Kişisel veri
işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri toplanmamalı
ve/ veya işlenmemelidir. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği
kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalıdır.
Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme
amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması
gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması
tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama
faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme
şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir.
Bunun yanı sıra işlenen veri, sadece veri işleme amacının gerçekleştirilmesi için gerekli
olanla sınırlı tutulmalıdır. Örneğin, bir tekstil firması tarafından müşterilere ilişkin kimlik
ya da iletişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlarla bağdaşırken,
müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü
olduğu söylenemez.
Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için
ayrı ayrı değerlendirilmesi gerekmektedir. Çünkü belirli bir kişi ve süreç için gerekli olan
bilgi, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle özel nitelikli kişisel veriler
konusunda dikkat edilmesi gerekir. Bir iş yerinde insan kaynakları birimince çalışanların
mali haklarının belirlenebilmesi için sendika üyeliği verisinin alınması ölçülü kabul
edilecekken, aynı iş yerinin AR-GE birimince söz konusu verinin alınması ölçülü olarak
kabul edilmeyecektir.
40
33) Kişisel Verilerin Ancak İlgili Mevzuatta
Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan
Süre Kadar Muhafaza Edilmesi Ne Demektir?
Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre
kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin
saklanması için öngörülen bir süre varsa bu süreye uyacak, kişisel verileri ancak işlendikleri amaç
için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli
bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir.
İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin
muhafaza edilmesi yoluna gidilemeyecektir.
Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Veri Sorumluları Siciline kayıt için başvuru
yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.
Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara
dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen
süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse
öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim
yapılır.
Burada önemle belirtmek gerekir ki, mevzuat kapsamında öngörülen bu sürelere uyum için
yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu
faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama
ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği
tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği
saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından Kişisel
Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe göre silinmesi,
yok edilmesi veya anonim hale getirilmesinin temin edilmesi gerekir.
41
34) Kişisel Verilerin İşlenme Şartları Nelerdir?
Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Özel
nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara
bağlanmıştır. Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde
hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde
düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli
olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır.
1. İlgili kişinin açık rızasının varlığı
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış
olup, bu şartlar genişletilemez.
Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda
ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında
bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye
kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde
veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini
sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.
42
35) Kişisel Verilerin Aleni Olması Ne Demektir?
Herhangi bir şekilde ilgili kişi tarafından kamuoyuna
açıklanmış olan bir başka ifadeyle ilgili kişinin
kendisi tarafından alenileştirilen kişisel verileri
alenileştirme amacına uygun bir şekilde açık
rıza aranmaksızın işlenebilecektir. Çünkü ilgili
kişi tarafından alenileştirilen ve böylelikle herkes
tarafından bilinebilecek hale gelen bu tür verilerin
işlenmesinde, korunması gereken hukuki yararın
ortadan kalktığı kabul edilmektedir.
Kişisel verinin, aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi
gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme
iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde
olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı
dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapılan internet
sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amaçlarıyla
kullanılması mümkün değildir.
43
36) İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar
Vermemek Kaydıyla, Veri Sorumlusunun Meşru
Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması Ne
Anlama Gelmektedir?
Kanuna göre, ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla,
veri sorumlusunun meşru menfaatleri için
veri işlenmesinin zorunlu olması durumunda
kişisel verilerin işlenebileceği düzenlenmiştir.
Veri sorumlusunun meşru menfaati,
gerçekleştirilecek olan işlenme sonucunda
elde edeceği çıkara ve faydaya yöneliktir. Veri
sorumlusunun elde edeceği fayda; meşru,
ilgili kişinin temel hak ve özgürlüğü ile
yarışabilecek düzeyde etkin, belirli ve mevcut bir menfaatine ilişkin olmalıdır.
Örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek
kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da
işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere
çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması
ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket
sahibinin meşru menfaatinedir.
Bu şarta dayalı olarak veri işlenebilmesi için, veri sorumlusunun meşru menfaatinin
bulunması ve ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi gerekmektedir.
“TEMEL HAK VE
ÖZGÜRLÜK”
44
37) Veri Sorumlusunun Meşru Menfaatini Tespit
Etmek İçin Göz Önünde Bulundurulması Gereken
Hususlar Nelerdir?
Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını
tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir:
a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru
menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında
üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır.
b. Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri
sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması
da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin
elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı,
hali hazırda mevcut olan bir menfaati ifade etmektedir.
c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri
arasında dengenin varlığı: Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin
temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı
bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede
veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci
değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin
neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin
üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun
meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim
birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak
verinin neden işlendiği ile alakalıdır.
Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması
durumu, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare
olmadığı gibi, her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesi
faaliyetlerini hukuka uygun kılacak bir unsur da değildir.
45
38) Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Nelerdir?
Özel nitelikli kişisel veriler öğrenilmesi halinde
ilgili kişiler hakkında ayrımcılık yapılmasına veya
mağduriyete neden olabilecek nitelikteki verilerdir.
Bu nedenle, diğer kişisel verilere göre çok daha sıkı
şekilde korunmaları gerekmektedir.
Kanun, bu verilere özel bir önem atfetmekte ve bu
verilerle ilgili farklı bir düzenleme getirmektedir.
Kanun bunları özel nitelikli kişisel veri ya da hassas
veriler olarak kabul etmektedir. Özel nitelikli kişisel
veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan
sınırlı hallerde işlenebilir.
Kanun, özel nitelikli kişisel veriler arasında da bir
ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki
özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller, Kanunda farklı
düzenlenmiştir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen
hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın
işlenebilir.
Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca
Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
46
39) Kişisel Verilerin Silinmesi Nedir?
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya
Anonim Hale Getirilmesi Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak
depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak
üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır.
Buna göre ilgili kullanıcı, veri sorumlusu uhdesinde olmakla birlikte verilerin teknik olarak
depolanması, korunması ve yedeklenmesinden sorumlu olan arşiv sorumlusu ve/veya veri
tabanı yöneticisi gibi bir kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu
içerisinde yer alan tüm çalışanlar ve birimler ya da veri sorumlusundan aldığı yetki ve
talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri tanımlamaktadır.
Örneğin bir veri sorumlusu ile bilgi işlem altyapısı iş ve işlemlerini onun yetki ve talimatları
çerçevesinde yerine getirmek üzere anlaşma yapmış olan ve bu konuda çalışan bir firma
veri işleyen sayılacaktır. Bu durumda bu veri sorumlusunun veri tabanı yöneticiliği yapan
birim ya da personeli bulunmuyorsa tüm çalışanları ilgili kullanıcı olacaktır. Ayrıca veri
işleyen firmanın da veri tabanı yöneticisi hariç geri kalan tüm çalışanları da ilgili kullanıcı
kavramı içerisinde yer alacaktır.
Kişisel verilerin silinmesi ve
yok edilmesi arasındaki fark da
ilgili kullanıcı kavramına göre
şekillenmiştir.
47
40) Kişisel Verilerin Yok Edilmesi Nedir?
Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir. Kişisel verilerin yok edilmesi için, verilerin
bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu
sistemlerin türüne göre de-manyetize etme, fiziksel yok etme,
üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır.
41) Kişisel Verilerin Anonim Hale Getirilmesi Nedir?
Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade
ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların
çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi
ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile
ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme
yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu
anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Anonim hale getirilen veri artık kişisel veri niteliklerine
sahip olmayacağından, Kanun hükümleri kapsamında
değerlendirilemeyecektir. Veri setleri anonim hale getirilme
işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine
sahip olduklarından, bu veriler üzerinde gerçekleştirilecek
her türlü işlem kişisel verilerin işlenmesi olarak kabul
edilmektedir.
48
42) Anonim Veri ve Anonim Hale Getirilmiş Veri
Arasındaki Fark Nedir?
Anonim veri başından beri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade
ederken, anonim hale getirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık
bağlantısı kalmamış veridir.
43) Kişisel Veriler Hangi Şartlarda Silinmeli, Yok
Edilmeli veya Anonim Hale Getirilmelidir?
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması
durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından
silinir, yok edilir veya anonim hale getirilir.
49
44) Kişisel Verilerin Yurtiçinde Aktarılması Kanunda
Nasıl Düzenlenmiştir?
Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği
öngörülmektedir. Bununla birlikte, Kanunun 5. ve 6. maddesindeki şartların sağlanması
halinde yeterli önlemler alınarak kişisel verilerin açık rıza aranmaksızın yurtiçinde
aktarılmasına da imkan tanınmıştır. Bu kapsamda;
1. Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından
en az birinin bulunması,
2. Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun
6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması
halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür.
50
45) Kişisel Verilerin Yurt Dışına Aktarılması Kanunda
Nasıl Düzenlenmiştir?
Kanunun 9. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmak şartıyla
yurt dışına aktarılabileceği düzenlenmiştir. Bununla birlikte maddenin 2. fıkrasında,
Kanunun 5. maddesinin 2. fıkrası kapsamındaki kişisel veriler ile 6. maddesinin 3. fıkrasında
belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin
veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verilerin
aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası
aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân tanındığı belirtilmektedir.
Buna göre;
1. İlgili kişinin açık rızasının bulunması
2. Kanunun 5. maddesinin 2. fıkrasında ve Kanunun 6. maddesinin 3. fıkrasında belirtilen
şartlardan birinin bulunması ve verinin aktarılacağı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı
ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri
ve Kurulun izninin bulunması
kaydıyla kişisel verilerin yurt dışına aktarılması mümkündür.
51
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir. Bu kapsamda,
yabancı ülkede yeterli koruma bulunup bulunmadığına ve yeterli koruma bulunmaması
halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı
taahhüt etmeleri şartıyla söz konusu kişisel verilerin yurtdışına aktarılıp aktarılmayacağına
Kurul tarafından karar verilecektir.
İlave olarak, Kanunun 9. maddesinin 5. fıkrasında kişisel verilerin, uluslararası sözleşme
hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde
zarar göreceği durumlarda, ancak ilgili kamu kurum ve kuruluşunun görüşü alınarak
Kurulun izniyle yurt dışına aktarılabileceği hükme bağlanmıştır.
52
46) Yabancı Ülkede Yeterli Koruma Bulunup
Bulunmadığının Belirlenmesinde ve Yeterli
Korumanın Bulunmaması Halinde Verilerin
Yurtdışına Aktarılmasına İzin Verirken Kurul Hangi
Kriterleri Dikkate Alacaktır?
Kişisel verilerin yurtdışına aktarılmasında yeterli
korumanın bulunup bulunmadığına, yeterli
korumanın bulunmaması durumunda Türkiye’deki
ve ilgili yabancı ülkedeki veri sorumlularının yeterli
bir korumayı yazılı olarak taahhüt etmeleri kaydıyla
kişisel verilerin yurtdışına aktarılmasına Kurul;
a. Türkiye’nin taraf olduğu uluslararası
sözleşmeleri,
b. Kişisel veri talep eden ülke ile Türkiye arasında
veri aktarımına ilişkin karşılıklılık durumunu,
c. Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç
ve süresini,
ç. Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d. Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen
önlemleri
değerlendirmek ve ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü de
dikkate almak suretiyle karar verir.
53
47) Veri Sorumlusunun Aydınlatma Yükümlülüğünün
Kapsamı Nedir?
Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü
kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği,
veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla
aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile
Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili
kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün
yerine getirilmesi ilgili kişinin onayına tabi değildir.
Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri
sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Bununla birlikte
aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri
Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle
uyumlu olmalıdır. Kayıt yükümlüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında
aydınlatma yükümlülüğü yerine getirilmelidir.
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki
başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği
kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.
48) Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Şekil Şartı Var mıdır?
Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır.
Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma
yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.
54
49) İlgili Kişinin Hakları Nelerdir?
Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle
ilgili;
a. Kişisel verilerinin işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
ç. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
e. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini
veya yok edilmesini isteme,
f. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri
doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme
haklarına sahiptir.
55
50) Veri Sorumlusunun Veri Güvenliğine İlişkin
Yükümlülükleri Nelerdir?
Veri sorumlusu, kişisel verilerin hukuka
aykırı olarak işlenmesini ve verilere hukuka
aykırı olarak erişilmesini önlemek ile verilerin
muhafazasını sağlamak için uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almakla yükümlüdür.
Ayrıca, veri sorumlusu, kurum ve kuruluşunda
Kanun hükümlerinin uygulanmasını sağlamak
amacıyla gerekli denetimleri yapmak ve
yaptırmak zorundadır.
Veri sorumluları öğrendikleri kişisel verileri
Kanun hükümlerine aykırı olarak başkalarına
açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden
ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır
saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir.
Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu
Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet
sitesinde ya da uygun göreceği başka bir yolla ilan eder.
56
51) Kişisel Verilerin Veri Sorumlusu Adına Başka
Bir Gerçek veya Tüzel Kişi Tarafından İşlenmesi
Durumunda Veri Güvenliğine İlişkin Olarak Veri
Sorumlusunun Sorumluluğu Nasıl Düzenlenmiştir?
Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi
durumunda, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesinin, verilere
hukuka aykırı olarak erişilmesinin önlemesini ve verilerin muhafazasını sağlamak için
uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin
alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler
de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.
57
52) Kişisel Verilerin Korunması Kapsamındaki
Başvurular Kime Yapılır?
Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin
veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, ilgili kişilerin Kanunun
uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.
58
53) Veri Sorumlusuna Başvuru Yolu İçin Herhangi Bir
Şart Bulunmakta mıdır?
Kanunda ilgili kişilerin, taleplerini veri
sorumlusuna yazılı olarak ya da uygulamada
oluşacak ihtiyaca göre Kurulun belirlediği
diğer yöntemlerle iletebilmelerine imkân
sağlanmıştır.
54) Veri Sorumlusuna Başvuru İçin Herhangi Bir
Ücret Öngörülmüş müdür?
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve
en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti
gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Buna göre, ilgili kişinin
başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınmaz.
On sayfanın üzerindeki her sayfa için 1 Türk Lirası başvuru ücreti alınabilir. Öte yandan,
başvurunun cevabının bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep
edilebilecek ücret kayıt ortamının maliyetini geçemez. Başvurunun veri sorumlusunun
hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.
59
55) Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre
İçinde Yerine Getirir?
56) Veri Sorumlusu İlgili Kişinin Talebi Üzerine Neler
Yapabilir?
Veri sorumlusunun ilgili kişinin talebini, talebin
niteliğine göre en kısa sürede ve en geç otuz
gün içinde kabul veya gerekçesini açıklayarak
reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi
gerekmektedir.
Veri sorumlusu talebi kabul eder veya
gerekçesini açıklayarak reddeder. Başvuruda
yer alan talebin kabul edilmesi hâlinde, veri
sorumlusunca gereği yerine getirilir.
60
57) Veri Sorumlusu Cevabını İlgili Kişiye Nasıl
Bildirir?
Veri sorumlusu cevabını ilgili kişiye
yazılı veya elektronik ortamda bildirir.
58) Kurula Şikâyet Hangi Süre İçinde Yapılmalıdır?
İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri
sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
61
60) Kurula Şikâyet Yoluna Gitmenin Bir Ön Şartı
Var mıdır?
Kişisel verilerin korunması ile ilgili taleplerde öncelikle veri sorumlusuna başvuru yapılması
zorunlu olup, bu yol tüketilmeden şikâyet yoluna gidilemez. Böylece uyuşmazlıkların belirli
bir kısmının veri sorumluları tarafından giderilmesi amaçlanmaktadır. Dolayısıyla başvuru
yoluna gitmek zorunlu, şikâyet yoluna gitmek ise ihtiyaridir.
59) Doğrudan Kurula Şikâyet Yoluna Gidilebilir mi?
Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması
veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, Kurula şikâyette
bulunabilir. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir
başvuru usulü öngörmüştür. Bu kapsamda, ilgili kişilerin Kanunun uygulanması ile ilgili
taleplerini öncelikle veri sorunlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula
şikâyet yoluna gidilemez.
62
62) İlgili Kişinin Tazminat Davası Açma Hakkı
Var mıdır?
Kişilik hakları ihlal edilenlerin, genel hükümlere göre
tazminat hakları vardır. Bu kapsamda, ilgili kişiler
yargı yoluna gidebilirler.
61) Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda
Yargı Yoluna Gidilebilir mi?
Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin
ise ihtiyari olması sebebiyle, başvurusu zımnen veya
açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette
bulunabilmesi, aynı zamanda veri sorumlusuna karşı
doğrudan yargı yoluna gidebilmesi mümkündür.
63
63) Kurulun Resen İnceleme Yetkisi Var mıdır?
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi
halinde resen, görev alanına giren konularda gerekli
incelemeyi yapabilir. Bu inceleme şikâyete ya da resen
öğrenilen şikâyet konusuna münhasır olacaktır.
64) Kurula Şikâyet İçin Herhangi Bir Şart
Öngörülmüş müdür?
İhbar ve şikayetlerin, işleme konulabilmesi için 3071
sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6.
maddesinde belirtilen hükümlere uygun olarak Kuruma
sunulması gerekmektedir. Bu şartları taşımayan ihbar
ve şikâyetler incelemeye alınmamaktadır.
İlgili kişilerin haklarını kullanma konusunda veri
sorumlusuna başvuru yapmadan şikâyette bulunmaları
mümkün değildir. Bu nedenle Kurula şikâyette
bulunmanın ön şartlarından birisi de veri sorumlusuna
başvuru yapmak olarak kabul edilmektedir.
64
65) Veri sorumlusunun Hangi Süre İçerisinde Kurula
Cevap Vermesi Gerekir?
Veri sorumlusu talep edilen bilgi ve belgeleri
Kurula onbeş gün içinde göndermek
zorundadır.
66) Kurul Her Türlü Belgeyi Veri Sorumlusundan
İsteyebilir mi?
Veri sorumluları, devlet sırrı niteliğindeki bilgi ve
belgeler hariç, talep edilen bilgi ve belgeleri Kurula
göndermek veya gerektiğinde yerinde inceleme
yapılmasına imkân sağlamak zorundadır.

 

67) Kurul Hangi Süre İçinde İlgili Kişiye Cevap
Vermelidir?
68) Kurul Öngörülen Süre İçinde İlgili Kişiye Cevap
Vermezse Ne Olur?
Kurulun, altmış günlük süre içinde ilgili
kişiye bir cevap vermesi öngörülmüştür.
Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda şikâyet tarihinden itibaren
altmış gün içinde ilgiliye bir cevap verilmezse söz konusu talebin reddedilmiş sayılacağı
hükme bağlanmıştır.
66
69) Kurulun İhlale İlişkin Kararları Kim Tarafından
Hangi Süre İçinde Yerine Getirilir?
70) Kurul İlke Kararı Alabilir mi?
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması
hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine
karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç
otuz gün içinde yerine getirilir.
Şikâyet üzerine veya resen yapılan inceleme sonucunda,
ihlalin yaygın olduğunun tespit edilmesi hâlinde, ilgili
kurum ve kuruluşların da görüşlerini alarak Kurul bu
konuda ilke kararı alır ve yayımlar.
67
71) Kurulun Veri İşlenmesini Durdurma Yetkisi
Var mıdır?
Kanunda telafisi güç veya imkânsız zararların
doğması ve açıkça hukuka aykırılık olması hâlinde,
Kurula veri işlenmesinin veya verinin yurt dışına
aktarılmasının durdurulmasına karar verme
yetkisi tanınmıştır.
72) Veri Sorumluları Sicili Nedir?
Veri Sorumluları Sicili, veri sorumlularının
kaydedildiği, Kişisel Verileri Koruma
Kurulunun gözetiminde Başkanlık
tarafından kamuya açık olarak tutulan
sicildir.
68
73) Veri Sorumluları Siciline Kayıt Ne Zaman Başlar?
Kanunun Geçici 1. maddesinde, Kanunun
yürürlüğe girmesi akabinde veri
sorumlularınca yerine getirilecek hususlar
belirlenmiştir.
Anılan maddenin 2. fıkrasında, “Veri
sorumluları, Kurul tarafından belirlenen
ve ilan edilen süre içinde Veri Sorumluları
Siciline kayıt yaptırmak zorundadır.” hükmü
yer almaktadır. Bu kapsamda öncelikle
Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi
gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri
Sorumluları Siciline kayıt yükümlülüğü başlayacaktır.
Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme
faaliyetine başlamadan önce Sicile kayıt olmak zorundadır.
Öte yandan, anılan maddenin 5. fıkrasında “Bu Kanunun yayımı tarihinden itibaren bir yıl
içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu
sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.” hükmü yer
almaktadır. Buna göre, veri sorumlusunun bir kamu kurumu olması halinde, Kanunun
uygulanmasıyla ilgili iletişim sağlamak üzere üst düzey bir yönetici belirlenmesi Kuruma
bildirilmesi gerekmektedir.
69
74) Veri Sorumluları Siciline Kimler Kayıt Olmalıdır?
75) Türkiye’de Yerleşik Olmayan Veri Sorumluları,
Sicile Nasıl Kayıt Yaptırır?
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri
Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı,
veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi
Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri
Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddede
kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.
Türkiye’de yerleşik olmayan veri sorumluları, kişisel veri işlemeye başlamadan önce veri
sorumlusu temsilcisi marifetiyle Veri Sorumluları Siciline kaydolmak zorundadır.
Veri sorumlusu temsilcisi, Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları
Sicili Hakkında Yönetmelikte belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik
tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade etmektedir. Kanunun
uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü
iletişim; Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu
temsilcisi vasıtasıyla gerçekleştirilir.
70
76) Veri Sorumluları Siciline Kayıt Olma
Yükümlülüğünün İstisnası Var mıdır?
77) Veri Sorumluları Siciline Bildirim Hangi
Unsurları İçerir?
Kanunun 28 inci maddesinde sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı,
veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi
Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt
zorunluluğuna Kurul tarafından istisna getirilebilir.
Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları
içerir:
a. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
b. Kişisel verilerin hangi amaçla işleneceği,
c. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri
hakkındaki açıklamalar,
ç. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e. Kişisel veri güvenliğine ilişkin alınan tedbirler,
f. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
71
78) Veri Sorumluları Sicilinin Kamuya Açık Olması
Ne Demektir?
6698 Sayılı Kanunun 16 inci maddesinde
Veri Sorumluları Sicilinin kamuya açık
olarak tutulması öngörülmüştür. Buna
göre, VERBİS’e veri sorumlularınca
girilen bilgiler kurum internet sayfamız
olan www.kvkk.gov.tr adresi
üzerinden paylaşılacaktır.
Sicil kamuya açık olarak tutulmakla
birlikte Kişisel Verileri Koruma Kurumunun da çeşitli teknik ve idari tedbirleri alması
gerektiğinden, ilgili kişilerce çeşitli doğrulama yöntemleri kullanılmak suretiyle söz
konusu bilgilere erişim sağlanabilecektir 6698 sayılı Kanunun Geçici 1 inci maddesinin
5 inci fıkrasına istinaden; kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla
ilgili koordinasyonu sağlamak üzere üst düzey bir yöneticinin belirlenerek Kişisel Verileri
Koruma Kurumuna bildirilmesi gerekmektedir.
Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmayacaktır. VERBİS sistemine, ilgili
kişilerin kişisel verileri değil, aksine başlıklar halinde kategorik bazda hangi tür kişisel
verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda
nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri
içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz
konusu olmayacaktır.
Kanunun 16 ncı maddesi gereği veri sorumlusu veya veri sorumlusu temsilcisinin adı
soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi ilgili kişilerce gerektiğinde
başvuru yapılabilmesi için yayımlanmak zorunda olduğundan VERBİS’te bu bilgiler yer
alacaktır.
Arama Motoru
72
79) Kişisel Verilere İlişkin Suçlar ve Cezai
Yaptırımlar Konusunda Kişisel Verilerin Korunması
Kanunu Nasıl Bir Düzenleme Öngörmektedir?
80) Kişisel Verilerin Koruması Kanununda Hangi
Konulara İlişkin İdari Yaptırımlar Öngörülmüştür?
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı
Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf
yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok
etmeyenlerin ise Türk Ceza Kanununun 138. maddesine
göre cezalandırılacağı hüküm altına alınmıştır.
Kanunda öngörülen yükümlülüklere aykırı davranılması halinde
uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu
kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını
yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı
davranılması kabahat olarak öngörülerek idari para cezası
yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar
verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.
Türk Ceza
Kanunu
73
81) Kurul Kimler Hakkında İdari Yaptırım Kararı
Verebilir?
82) Kişisel Verileri Koruma Kurumunun Hukuki
Statüsü Nedir?
İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında
uygulanır. Kabahat kapsamında sayılan eylemlerin kamu kurum ve kuruluşları ile kamu
kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı
bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu
görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında
disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Kişisel Verileri Koruma Kurumu,
idari ve mali özerkliğe sahip, kamu
tüzel kişiliğini haizdir.
74
84) Kurumun Görevleri Nelerdir?
Kişisel Verileri Koruma Kurumunun başlıca görevleri şunlardır:
a.Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme
ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak,
b.İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları,
sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak,
c.Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına
giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak,
ç.Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını
İnceleme Komisyonuna ve Başbakanlığa sunmak,
d.Kanunlarla verilen diğer görevleri yerine getirmek
83) Kişisel Verileri Koruma Kurumu ve
Kişisel Verileri Koruma Kurulu Kanunda Nasıl
Düzenlenmiştir?
Kanunda Kurumun Başbakanlıkla ilişkili olduğu ve merkezinin Ankara olduğu hüküm
altına alınmıştır. Kurum, Kurul ve Başkanlıktan oluşmaktadır. Kurumun karar organı ise
Kuruldur.
75
85) Kurul Kaç Kişiden Oluşur ve Kurul Üyeleri
Nasıl Seçilir?
Kurul dokuz üyeden oluşur, beş
üye Türkiye Büyük Millet Meclisi,
iki üye Cumhurbaşkanı, iki üye ise
Bakanlar Kurulu tarafından seçilir.
86) Kurul Üyeliğine Seçilebilmek İçin Hangi Şartlar
Aranır?
Kurula üye olabilmek için; Kurumun görev alanındaki konularda bilgi ve deneyim sahibi
olmak, Devlet memuru olmaya ilişkin genel şartları taşımak, herhangi bir siyasi parti
üyesi olmamak, en az dört yıllık lisans düzeyinde yükseköğrenim görmüş olmak ve kamu
kurum ve kuruluşlarında, uluslararası kuruluşlarda, sivil toplum kuruluşlarında veya
kamu kurumu niteliğindeki meslek kuruluşlarında ya da özel sektörde toplamda en az on
yıl çalışmış olmak gerekmektedir.
76
87) Kurul Başkanı ve İkinci Başkan Nasıl Seçilir?
88) Kurul Üyelerinin Görev Süresi Kaç Yıldır?
Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer.
Kurulun Başkanı, Kurumun da başkanıdır.
Kurul üyelerinin görev süresi dört yıldır. Süresi biten
üye yeniden seçilebilir. Görev süresi dolmadan
herhangi bir sebeple görevi sona eren üyenin
yerine seçilen kişi, yerine seçildiği üyenin kalan
süresini tamamlar.
77
89) Kurul Üyeleri Nasıl ve Nerede Yemin Ederler?
Kurul Üyeleri, Yargıtay Birinci
Başkanlık Kurulu huzurunda;
“Görevimi Anayasaya ve kanunlara
uygun olarak, tam bir tarafsızlık,
dürüstlük, hakkaniyet ve adalet
anlayışı içinde yerine getireceğime,
namusum ve şerefim üzerine
yemin ederim.” şeklinde yemin
ederler.
90) Kurul Üyeleri Başka Bir Görev Yapabilirler mi?
Kurul üyeleri özel bir kanuna dayanmadıkça,
Kuruldaki resmî görevlerinin yürütülmesi
dışında resmî veya özel hiçbir görev alamaz,
dernek, vakıf, kooperatif ve benzeri yerlerde
yöneticilik yapamaz, ticaretle uğraşamaz,
serbest meslek faaliyetinde bulunamaz,
hakemlik ve bilirkişilik yapamazlar. Ancak,
Kurul üyeleri, asli görevlerini aksatmayacak
şekilde bilimsel amaçlı yayın yapabilir, ders
ve konferans verebilir ve bunlardan doğacak
telif hakları ile ders ve konferans ücretlerini
alabilirler.
78
91) Kurul Üyelerinin Görevine Son Verilebilir mi?
Kurul üyelerinin süreleri dolmadan herhangi bir nedenle görevlerine son verilemez.
Kurul üyelerinin; seçilmek için gereken şartları taşımadıklarının sonradan anlaşılması,
görevleriyle ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkûmiyet
kararının kesinleşmesi, görevlerini yerine getiremeyeceklerinin sağlık kurulu raporuyla
kesin olarak tespit edilmesi, görevlerine izinsiz, mazeretsiz ve kesintisiz olarak on beş
gün ya da bir yılda toplam otuz gün süreyle devam etmediklerinin tespit edilmesi ve bir
ay içinde izinsiz ve mazeretsiz olarak toplam üç, bir yıl içinde toplam on Kurul toplantısına
katılmadıklarının tespit edilmesi hâllerinde Kurul kararıyla üyelikleri sona erer.
79
92) Kurulun Görevleri Nelerdir?
Kurulun görev ve yetkileri şunlardır:
1. Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak,
2. Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara
bağlamak,
3. Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren
konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve
gerektiğinde bu konuda geçici önlemler almak,
4. Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek,
5. Veri Sorumluları Sicilinin tutulmasını sağlamak,
6. Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri
yapmak,
7. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak,
8. Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici
işlem yapmak,
9. Bu Kanunda öngörülen idari yaptırımlara karar vermek,
10.Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat
taslakları hakkında görüş bildirmek,
11.Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite
standartlarını ve performans kriterlerini belirlemek,
12.Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini
görüşmek ve karara bağlamak,
13.Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular
hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak,
14.Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak,
15.Kanunlarla verilen diğer görevleri yerine getirmek,
16.Kurulun Çalışma Usul ve Esasları Hakkında Yönetmelikte verilen diğer görevleri yerine
getirmek.
80
93) Kurulun Çalışma Esasları Nasıldır?
Kurulun toplantı günlerini ve gündemini Başkan belirler. Başkan gereken hâllerde Kurulu
olağanüstü toplantıya çağırabilir. Kurul, başkan dâhil en az altı üye ile toplanır ve üye
tam sayısının salt çoğunluğuyla karar alır. Kurul üyeleri çekimser oy kullanamaz. Kurul
üyelerinin kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını,
evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili
toplantı ve oylamaya katılmaları yasaklanmıştır. Kurulda görüşülen işler tutanağa bağlanır.
Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde
yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur. Aksi kararlaştırılmadıkça,
Kurul toplantılarındaki görüşmeler gizlidir.
94) Kurul Üyelerinin Sır Saklama Yükümlülüğü
Var mıdır?
Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü
kişilere ait öğrendikleri sırları bu konuda kanunen
yetkili kılınan mercilerden başkasına açıklayamazlar
ve kendi yararlarına kullanamazlar. Bu yükümlülük
görevden ayrılmalarından sonra da devam eder.
81
95) Başkanın Statüsü Nasıldır?
Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini
mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve
hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında
koordinasyonu sağlar. Başkan, Kurumun genel yönetim ve temsilinden sorumludur.
Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi,
değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
96) Başkanın Görevleri Nelerdir?
Başkanın görevleri şunlardır:
1. Kurul toplantılarını idare etmek,
2. Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını
sağlamak ve uygulanmalarını izlemek,
3. Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak,
4. Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak,
5. Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda
insan kaynakları ve çalışma politikalarını oluşturmak,
6. Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile
mali tablolarını hazırlamak,
7. Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması
amacıyla koordinasyonu sağlamak,
8. Kurumun diğer kuruluşlarla ilişkilerini yürütmek,
9. Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek,
10. Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.
82
97) Başkanlığın Oluşumu Nasıldır?
Başkanlık, Kurumun ve Kurulun idari ve mali işleri ile sekretarya hizmetlerini yerine
getirir. Başkanlık; Başkan Yardımcısı ve Daire Başkanlıkları şeklinde teşkilatlanan hizmet
birimlerinden oluşmaktadır. Kanunda Başkan Yardımcısı ve Daire Başkanlarının nitelikleri
ve atanma usulü ile Başkanlığın görevleri ayrıntılı olarak düzenlenmiştir. Hizmet birimleri
ile bu birimlerin çalışma usul ve esasları Bakanlar Kurulu kararı ile yürürlüğe konulacak
yönetmelikle düzenlenecektir.
83
98) Başkanlığın Görevleri Nelerdir?
Başkanlığın görevleri şunlardır:
1. Veri Sorumluları Sicilini tutmak,
2. Kurumun ve Kurulun büro ve sekretarya işlemlerini yürütmek,
3. Kurumun taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurumu temsil
etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek,
4. Kurul üyeleri ile Kurumda görev yapanların özlük işlemlerini yürütmek,
5. Kanunlarla mali hizmet ve strateji geliştirme birimlerine verilen görevleri yapmak,
6. Kurumun iş ve işlemlerinin yürütülmesi amacıyla bilişim sisteminin kurulmasını ve
kullanılmasını sağlamak,
7. Kurulun yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını
hazırlamak ve Kurula sunmak,
8. Kurumun stratejik plan taslağını hazırlamak,
9. Kurumun personel politikasını belirlemek, personelin kariyer ve eğitim planlarını
hazırlamak ve uygulamak,
10. Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini
yürütmek,
11. Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek,
12. 10.12.2003 tarih ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde
Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv,
sağlık, sosyal ve benzeri hizmetleri yürütmek,
13. Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak,
14. Kurul veya Başkan tarafından verilen diğer görevleri yapmak.
84
99) Kurumun Bütçesi ve Gelirleri Nelerdir?
Kurumun bütçesi, 5018 sayılı Kanunda
belirlenen usul ve esaslara göre hazırlanır
ve kabul edilir. Kurumun gelirleri; genel
bütçeden yapılacak hazine yardımları,
Kuruma ait taşınır ve taşınmazlardan elde
edilen gelirler, alınan bağış ve yardımlar,
gelirlerinin değerlendirilmesinden elde
edilen gelirler ve diğer gelirlerden oluşur.
85
100) Kanunun Yayımından Önce İşlenmiş Kişisel
Veriler İçin Bir Geçiş Süresi Var mıdır?
Kanunun Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlenmiş kişisel verilerin durumu
düzenlenmiştir. Buna göre, Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin,
Kanunun yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilmesi
gerekmektedir. Bu süreç içerisinde, Kanun hükümlerine aykırı olduğu tespit edilen kişisel
veriler ise derhâl silinir, yok edilir veya anonim hâle getirilir.

 

Kaynak: Prof. Dr. Faruk Bilir

Bir Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir