6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar -2 Rehberi Hakkında
Kişisel Verileri Koruma Kurumu, 3 Ocak 2022 tarihinde internet sitesinde “6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar -2” isimli rehberi yayımlamış ve işbu rehberde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) uygulamasını oluşturan; açık rıza, aydınlatma yükümlülüğü, sicile kayıt gibi birçok unsurun uygulamadaki yansımasını özetlemeye gayret etmiştir. Aşağıda ilgili rehberde yer alan başlıca soru ve cevap özetlerini dikkatinize sunarız;
A. Kişisel Veri | ||
Ses, görüntü fotoğraf gibi verilerin hepsi biyometrik veri midir? | Hayır | Esas olan kişinin benzersiz bir şekilde tanılanması/kimliğinin doğrulanmasıdır. Bu bakımdan örneğin biyometrik fotoğraf biyometrik veri iken, cep telefonu ile çekilen herhangi bir fotoğraf biyometrik veri değildir. |
Biyometrik imza özel nitelikli kişisel veri midir? | Evet | Biyometrik imza; imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hız ve ivmesi gibi kişinin sahip olduğu benzersiz özellikleri barındırdığından bu kapsamdadır. |
Takma ad kullanılan veriler, Kanun kapsamında mıdır? | Evet | Takma ad kullanımıyla, kişisel veriler anonim hâle getirilmiş̧ olmadığından, bu veriler Kanun kapsamındadır. |
B. Kişisel Veri İşleme Faaliyeti ve Açık Rıza | ||
Bir kişisel veri işleme faaliyeti Kanunda öngörülen birden fazla işleme şartına dayanılarak gerçekleştirilebilir mi? | Evet | Esas olan açık rıza işleme şartı ile diğer işleme şartlarına dayanılarak veri işleme faaliyeti gerçekleştirmemektir. Açık rızanın gerekli olmadığı durumlarda onay almak, ilgili kişiyi yanıltıcı nitelikte bir faaliyettir. |
Kanundaki kişisel veri işleme şartlarından açık rızanın diğer işleme şartlarına göre bir önceliği var mıdır? |
Hayır | Ancak başka bir veri işleme şartı söz konusu iken ilgili kişiden açık rıza almak, yanıltıcı nitelikle bir faaliyet olduğunda öncelikle Kanun’un 5 ve 6. maddelerinde yer alan diğer şartları kontrol etmek pratik olarak daha sağlıklıdır. |
Opt-in seçeneği sunulmayıp sadece Opt-out seçeneği sunularak, ilgili kişinin kişisel verilerinin işlenmesi durumunda hukuka uygun bir işlemeden bahsedilebilir mi? | Hayır | Geçerli bir açık rıza için aktif rıza yöntemi esastır.
|
Kişisel veriler, 108 sayılı Sözleşmeye dayalı olarak yurt dışına aktarılabilir mi? |
Hayır | 108 sayılı Sözleşmeye taraf bir ülkeye yapılacak kişisel veri aktarımları yalnızca Kanunun 5. maddesinin ikinci fıkrasında veya 6. maddesinin üçüncü fıkrasında öngörülen şartlardan birinin varlığı ve Kurul tarafından ayrıca aktarım yapılacak ülke hakkında yeterli koruma bulunduğuna karar verilmesi hâli saklı kalmak üzere, aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hâlinde yapılabilecektir. |
C. Aydınlatma Yükümlülüğü | ||
Aydınlatma sürecinde, Kanunun 5 ve 6. maddelerinin tamamının sayılması hâlinde, aydınlatma yükümlülüğü mevzuata uygun yerine getirilmiş sayılır mı? | Hayır | Kanun’un 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanıldığının aydınlatma sürecinde açıkça belirtilmesi gerekmektedir. |
Aydınlatma sürecinde yazılı onay alınması, açık rıza yerine de geçer mi?
Aydınlatma metninde hukuki sebebe yer verilmesi, işleme amacının da gösterildiği anlamına gelir mi?
|
Hayır
Hayır |
Aydınlatma sürecinde onaylıyorum şeklinde ifadenin alınması, açık rıza ile karışıklık yaratabileceğinden yazılı onay alınmaması tavsiye edilir. Hukuki sebep, Kanun’un 5, 6. maddelerinden hangisine dayanılarak veri işleme faaliyetinin yürütüldüğünü veri işleme amacı ise işleme faaliyetinin hangi amaçla yürütüldüğünü gösterir. İkisi de ayrı ayrı belirtilmelidir. |
D. Veri Sorumlusuna Başvuru | ||
Veri sorumlusu nezdinde ilgili kişinin kişisel verisi işlenmemişse veri sorumlusu ilgili kişinin başvurusunu yanıtsız bırakabilir mi? |
Hayır | Kanun uyarınca veri sorumlusunun ilgili kişinin başvurusunu kabul etmesi veya gerekçesini açıklayarak reddetmesi gerekmektedir. |
Veri sorumlusu sözleşme ile kişisel verilerin korunması mevzuatı çerçevesindeki yükümlülüklerini veri işleyene devredebilir mi? Bu durumda veri sorumlusunun sorumlulukları ortadan kalkar mı? | Hayır | Sözleşme ilişkisi çerçevesinde veri sorumlusun belirli yükümlülüklerin yerine getirilmesi konusunda veri işleyene yetki verebilir ancak bu yetkilendirme sorumluluğu ortadan kaldırmaz. |
Veri sorumlusu, kendisine yapılan başvurunun usule aykırı olduğu gerekçesiyle başvuruyu yanıtsız bırakabilir mi? |
Hayır | Kanun uyarınca veri sorumlusunun ilgili kişinin başvurusunu kabul etmesi veya gerekçesini açıklayarak reddetmesi gerekmektedir. |
Veri sorumlusuna önceden bildirilen bir e-posta adresi aracılığıyla başvuruda bulunulabilir mi? | Evet | E-posta üzerinden yapılacak başvurularda veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresi aracılığıyla başvuru yapılması gerekmektedir. |
E. Veri İhlal Bildirimi, Kurula Şikâyet ve Yaptırımlar | ||
İlgili kişilerin iletişim bilgilerinin veri sorumlusu nezdinde mevcut olduğu durumlarda veri sorumlusunun gerçekleşen veri ihlalini yalnızca internet sayfasında yayımlaması, ilgili kişilere veri ihlalini bildirme yükümlülüğünün yerine getirildiği anlamına gelir mi? |
Hayır | İlgili kişinin iletişim bilgilerine ulaşılabiliyorsa, veri ihlal bildirimi ilgili kişiye doğrudan, ulaşılamıyorsa da veri sorumlusu kendi internet sayfası üzerinden bu bildirimi gerçekleştirebilir. |
İlgili kişiler tarafından veri sorumlusuna yapılan başvuru ile Kuruma intikal eden şikâyet konusunun farklı olması hâlinde Kuruma iletilen şikâyetin esasına ilişkin değerlendirme yapılmakta mıdır? | Hayır | Veri sorumlusuna iletilmemiş olan hususlara yönelik olarak şikâyetin esasına ilişkin Kurul tarafından değerlendirme yapılmamaktadır.
|
Kanuna aykırı hareket eden veri sorumlularına ilişkin Kurul tarafından uygulanan idari para cezalarının belirlenmesinde net bir ölçüt var mıdır? | Hayır | Her bir ihlal bazında işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı, hukuka aykırılığın gerçekleşme biçimi, bu aykırılıktan geniş̧ bir kitlenin etkilenip etkilenmediği, etkilenen kişisel verilerin niteliği gibi ilave kriterler de göz önünde bulundurulmaktadır. |
Veri sorumlusunun Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyum sağlaması, Kanunda öngörülen yükümlülüklerinin karşılanması bakımından yeterli midir? | Hayır | Her halükârda veri sorumlusunun ulusal mevzuat hükümlerine uyumluluğun sağlanması adına Kanun’da öngörülen yükümlülüklerini yerine getirmesi zorunludur. |
Sonuç
Sonuç olarak görüldüğü üzere Kanun’un uygulaması, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları ile inşa edilmeye, veri sorumluları tarafından mevzuatın pratik düzlemde ortaya çıkan sorunları, Kurum’un yayımları ile giderilmeye çalışılmaktadır. Kritik birkaç husus duşunda bahsi geçen rehberde yer alan soruların cevabı, Kurum’un sitesinde halihazırda yer alan Kurul kararlarında yer alan ilkelerden oluşmakta bu nedenle işbu Kurul kararlarının takibi, uygulamanın şekillendirilmesi açısından büyük önem taşımaktadır.
İlgili Rehberin Tam Metni İçin:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/ca752cda-c3df-4645-8d5e-e2a507e63200.pdf
Bilgi ve değerlendirmenize sunulur.