ŞENOL DÖNDER

SMMM

KİŞİSEL VERİLERİN KORUNMASI KANUNU
HAKKINDA BİLİNMESİ GEREKENLER
1. KİŞİSEL VERİ

6698 sayılı Kişisel Verilerin Korunması Kanununda (“Kanun”) kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir. Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine göre kişisel verinin kapsamının genişletilmesi de mümkündür. Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri vb. bilgiler de kişisel veri olarak tanımlanabilmektedir.

ÖRNEK: Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri bireylerin tanınabilir olması halinde kişisel veri kapsamında sayılabilir.

ÖRNEK: Telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olarak kabul edilebilir.

ÖRNEK: Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını
göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile
içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır.
Kanuna göre bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmekte
olup tüzel kişilere ilişkin veriler kişisel verinin tanımı dışında tutulmaktadır.

ÖRNEK: Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle ilişkilendirileceği durumlar hariç) kişisel veri sayılmamaktadır. Kişisel veri olabilmesi için bilginin, kimliği belirli ya da belirlenebilir gerçek bir kişiye ilişkin olması gerekmektedir. Belirli olma ifadesi, verinin bir gerçek kişinin doğrudan kimliğini gösterebileceği durumlar; belirlenebilir olma ifadesi ise herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyor olması anlamına gelmektedir.

ÖRNEK: Ad ve soyad tek başına kişisel veridir ve bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad her zaman bir gerçek kişiyi belirlemek için yeterli olmayabilir, bazı durumlarda bir gerçek kişiyi tespit edebilmesi için ad ve soyadı ile birlikte başka bilgilere de gerek duyulabilir.

ÖRNEK: Yaygın olarak kullanılan ad ve soyadı kombinasyonları bakımından ad ve soyad tek başına bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi belirlenebilir kılma özelliğinden dolayı her zaman kişisel veridir. Ad soyadı, bazen tek olması halinde doğrudan ilgili kişiyi belirler bazen de birden çok olması halinde dolaylı olarak ilgili kişiyi belirler. Bu durum, ad ve soyadı kişisel veri olmaktan çıkarmaz. Benzer şekilde, bazı durumlarda ise ad ve soyadı belirtilmeden dahi bir kişinin belirlenmesi mümkün olabilmektedir.

ÖRNEK: “A Kurumunun B biriminde çalışan, X marka ve kırmızı renkte araca sahip olan, orta yaşta ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek bir kişi olması durumunda bu kişiyi belirlenebilir kılması nedeniyle kişisel veri sayılır.

ÖRNEK: Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı
sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilir. Ancak, yine de bilginin ait olduğu gerçek kişinin
belirlenebilirliğinin tespitinde, her somut olay özelinde, verinin kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirme yapılmalıdır.

2. GENEL (TEMEL) İLKELER

Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu ilkeler;
• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar muhafaza edilme
şeklinde sıralanmıştır.
Veri işleme faaliyeti hangi hukuki sebebe/işleme şartına dayanırsa dayansın tüm veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

a) HUKUKA VE DÜRÜSTLÜK KURALLARINA
UYGUN OLMA

Bu ilke; kişisel verilerin işlenmesinde, kanunlarla ve diğer hukuki düzenlemelerle getirilen ilkelere uygun hareket etmeyi, ayrıca veriler işlenirken ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almayı ifade eder.
Hukuka uygunluk, veri işlemenin, kişisel verilerin korunması kanununa veya diğer mevzuata aykırı olmamasıdır.
Dürüstlük, ilgili kişinin kişisel verisinin ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, ilgili kişinin makul beklentisinin karşılanması ve kişisel veriyi toplama amacının aşılmamasıdır.

b) DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA

Bu ilke; verinin, hakkında bilgi verdiği konuyu doğru anlatabilmesini ifade eder. Bu açıdan doğru ve güncel olma ilkesi ilgili kişilerin verilerin düzeltilmesini talep etme hakkı ile de uyumludur.

ÖRNEK: Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması AGİ’nin doğru hesaplanması ve kişinin ekonomik çıkarları açısından önemlidir.

c) BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLENME

Bu ilke, veri sorumlusunun veri işleme amacını açık ve anlaşılır olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında başka amaçlarla veriyi işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması; işlenen kişisel verinin, veri sorumlusunun yaptığı iş veya sunduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

d) İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA

Bu ilke, işlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını ifade eder.

ÖRNEK: Kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur. Amaç için gerekli olanın dışında veri işlenmesi, amaçla sınırlı veri işlenmesi ilkesine aykırılık oluşturmaktadır.

ÖRNEK: Bir vakıf üniversitesi tarafından düzenlenen sempozyuma katılım için e-posta adresini bildiren kişiye, bu üniversite tarafından e-posta ile reklam gö1nderilmesi, amaçla sınırlı olma ilkesine aykırılık oluşturur.

e) İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN
SÜRE KADAR MUHAFAZA EDİLME

Bu ilkeye göre veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebileceklerdir.

ÖRNEK: Bir benzin istasyonunun belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada, kampanyaya katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekir. Kişisel veriler, belirlenen süre dolduktan, amaç gerçekleştikten ya da veri işleme şartı ortadan kalktıktan sonra gelecekte kullanma ihtimalinin varlığına dayanarak saklanamazlar.

3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanunun 5. maddesinde sayılan veri işleme şartlarından en az birinin mevcut olması gerekmektedir. Bu şartlar:

a) İLGİLİ KİŞİNİN AÇIK RIZASI

İlgili kişinin açık rızası; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş olmalıdır.

 Açık rızanın alınmış olması kişisel verilerin Kanun’un 4. maddesinde sıralanan genel ilkelere aykırı işlenebileceği anlamına gelmemektedir.

b) KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ

Kişisel veri işlenmesi ile ilgili olarak herhangi bir kanunda açık bir hüküm varsa bu açık hükme istinaden kişisel verilerin işlenmesi mümkündür.

ÖRNEK: İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması.

ÖRNEK: Bankacılık Kanunu m. 42 uyarınca bankalar nezdinde tutulan müşteri bilgilerinin işlenmesi.

ÖRNEK: 6698 sayılı Kanunun 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt yükümlülüğü kapsamında veri sorumlularının VERBİS’e bilgi girişi yapması.

ÖRNEK: Gelir Vergisi Kanununun 70. maddesi gereği, gayrimenkulünü kiraya verenlerin, vermek zorunda olduğu yıllık beyanname kapsamında kendisine ait kişisel verilerin Maliye Bakanlığının ilgili birimlerince işlenmesi.

c) FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA BULUNAN
VEYA RIZASINA HUKUKİ GEÇERLİLİK TANINMAYAN KİŞİNİN KENDİSİNİN YA DA BİR BAŞKASININ HAYATI VEYA BEDEN BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU OLMASI

Kişisel verisi işlenecek kişinin herhangi bir fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi veya başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması halinde kişisel verilerin işlenmesi mümkündür.

ÖRNEK: Bilinci yerinde olmayan bir kişinin beden bütünlüğünün korunması amacıyla tıbbi müdahale yapılması gereken durumlarda; yakınlarına haber vermek, yetkili sağlık kurumları tarafından tutulan kayıtlar üzerinden hasta geçmişini öğrenerek gerekli müdahaleyi yapmak gibi amaçlarla kişinin adı, soyadı, kimlik numarası, telefon numarası vb. kişisel verilerinin işlenmesi bu kapsamdadır.

ÖRNEK: Hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla, kendisinin ya da şüphelinin cep telefonu sinyali, kredi kartı kullanım ve işlem hareketleri, araç takip sistemi bilgileri, MOBESE kayıtları vb. kişisel verilerinin ilgili birimlerce işlenerek yer tespitini yapılması.

ÖRNEK: Dağda mahsur kalan bir kişinin kurtarılması amacıyla, cep telefonu sinyali, GPS ve mobil trafik verisinin işlenerek yerinin belirlenmesi.

d) BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI
KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ
OLMASI

Bu veri işleme şartına dayanarak kişisel veri işlenebilmesi için işlemenin gerçekten bu amaca hizmet ediyor olması ve bu amaçla sınırlı olarak gerçekleştiriliyor olması gereklidir. Ayrıca, işlenen kişisel verilerin sadece sözleşmenin
taraflarına ait olması ve sözleşme çerçevesiyle sınırlı olmak kaydıyla kişisel veri işlenmesinin gerektiği de unutulmamalıdır.

ÖRNEK: Bir emlakçının, kira sözleşmesi ile ilgili olarak ev sahibi ve kiracı arasında imzalanan sözleşme kapsamında tarafların kimlik numarası, banka hesap numarası, adres, imza ve telefon gibi kişisel verilerini işlemesi, dosyasında muhafaza etmesi.

ÖRNEK: Bir satıcının müşterisine sattığı bir malı teslim etmek amacıyla müşterisinin adresini taşıma şirketine vermesi.

ÖRNEK: Bir bankanın, maaş müşterisi ile imzaladığı sözleşme kapsamında müşterinin kimlik numarası, elektronik posta, adres, imza, cep telefon numarası gibi kişisel verilerini işlemesi ve dosyasında muhafaza etmesi.

e) VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ
İÇİN ZORUNLU OLMASI

Bu veri işleme şartının uygulanabilmesi için kişisel veri işleme, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için gerekli ve bu amaçla sınırlı olarak gerçekleştiriliyor olmalıdır.

ÖRNEK: Taşıma işiyle yükümlü bulunan bir kargo firması tarafından, kişiye teslimat yapılabilmesi için, alıcının adres ve iletişim bilgilerinin kaydedilmesi.

ÖRNEK: Bir şirketin çalışanına maaş ödeyebilmesi için banka hesap bilgilerini işlemesi. ÖRNEK: Seminer organizasyonu yapılan bir hizmet binasında, gerek katılımcıların gerekse de binanın güvenliğini sağlamak amacıyla katılımcıların kimlik numarası, imza, telefon numarası gibi kişisel verilerinin işlenmesi.

f) İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI

Alenileştirilmiş, diğer bir ifadeyle herhangi bir şekilde kamuoyuna açıklanmış kişisel veriler ilgili kişinin alenileştirme amacıyla bağlantılı olmak koşuluyla işlenebilir. Diğer bir ifadeyle bu durumda, alenileştirme iradesine bağlı olarak kişisel veri işlenmesi mümkündür. Alenileştirmede irade beyanı esastır. Bu nedenle, kişinin kendisi tarafından alenileştirilmiş olması, alenileştirme iradesi dışındaki herhangi bir amaç için bu kişisel verinin kullanılabileceği ve işlenebileceği anlamına gelmeyecektir.

ÖRNEK: Bir kamu kurumunda çalışan personelin ad, soyad ve iş telefonu bilgilerinin vatandaşların kolay erişimini sağlamak amacıyla kurumun internet sitesinde paylaşılması durumunda, bu telefon numaraları, kamu kurumunun yetki alanındaki iş ve işlemlerde kullanılabilecektir.
ÖRNEK: İkinci el araç satışı yapılan internet sitesinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin, araç alım satımı dışında pazarlama amacıyla kullanılması, bu veri işleme şartı kapsamında değerlendirilmemektedir.

ÖRNEK: Bir avukatın kartvizitini verdiği kişi, sadece hukuki konularda danışma gibi bir amaçla kartvizitte yer alan GSM numarası kullanabilir. Ancak söz konusu GSM numarasına reklam ve kampanya içerikli SMS gönderilmesi veya arama yapılması avukatın irade beyanına aykırıdır.

g) BİR HAKKIN TESİSİ, KULLANILMASI VEYA
KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU
OLMASI

Veri sorumlularınca ilgili kişilere bir hakkın tesis edilmesi, kullandırılması veya ilgili kişilerin haklarının korunması için gerekli olması halinde kişisel veri işlenebilecektir.

ÖRNEK: Bir şirketin kendi çalışanı tarafından açılan bir davada, ispat için bazı verileri kullanması bu kapsamda değerlendirilir.

ÖRNEK: Mahkeme tarafından veli/vasi olarak atanmış bir kişinin, kendisine veli/vasi olarak atanan kişi adına ilgili kamu kurumlarına başvuru yapması için onun verilerini işlemesi.

ÖRNEK: Bir avukatın, müvekkili ile imzaladığı sözleşme kapsamında, mahkeme nezdinde müvekkili adına dava açma, onu temsil etme veya diğer adli işlemlerini yapma gibi haklarını kullanabilmesine imkan sağlaması için kişisel verileri işlemesi.

h) İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN VERİ İŞLENMESİNİN ZORUNLU OLMASI

Bu hükmün uygulanabilmesi için; veri işlemenin veri sorumlusunun meşru menfaati için zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerekmektedir.

ÖRNEK: Bir işletmenin satılması, devralınması gibi bir durumun varlığı halinde, şirketi satın alacak kişinin personelin kişisel verilerinin dâhil olduğu birtakım bilgileri incelemesi meşru menfaat kapsamında değerlendirilebilir.

ÖRNEK: Bir işverenin, nükleer santraldeki çalışanların güvenliğini sağlamaya yönelik iş güvenliği mekanizmalarının kurulması amacıyla çalışanların kişisel verilerini işlemesi.

devam edecek……..