Bağlantıları atla

6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar Rehberi Hakkında

6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar -2 Rehberi Hakkında

Kişisel Verileri Koruma Kurumu, 3 Ocak 2022 tarihinde internet sitesinde “6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar -2” isimli rehberi yayımlamış ve işbu rehberde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) uygulamasını oluşturan; açık rıza, aydınlatma yükümlülüğü, sicile kayıt gibi birçok unsurun uygulamadaki yansımasını özetlemeye gayret etmiştir. Aşağıda ilgili rehberde yer alan başlıca soru ve cevap özetlerini dikkatinize sunarız;

A.    Kişisel Veri
Ses, görüntü fotoğraf gibi verilerin hepsi biyometrik veri midir? Hayır Esas olan kişinin benzersiz bir şekilde tanılanması/kimliğinin doğrulanmasıdır. Bu bakımdan örneğin biyometrik fotoğraf biyometrik veri iken, cep telefonu ile çekilen herhangi bir fotoğraf biyometrik veri değildir.
Biyometrik imza özel nitelikli kişisel veri midir? Evet Biyometrik imza; imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hız ve ivmesi gibi kişinin sahip olduğu benzersiz özellikleri barındırdığından bu kapsamdadır.
Takma ad kullanılan veriler, Kanun kapsamında mıdır? Evet Takma ad kullanımıyla, kişisel veriler anonim hâle getirilmiş̧ olmadığından, bu veriler Kanun kapsamındadır.
B.    Kişisel Veri İşleme Faaliyeti ve Açık Rıza
Bir kişisel veri işleme faaliyeti Kanunda öngörülen birden fazla işleme şartına dayanılarak gerçekleştirilebilir mi? Evet Esas olan açık rıza işleme şartı ile diğer işleme şartlarına dayanılarak veri işleme faaliyeti gerçekleştirmemektir. Açık rızanın gerekli olmadığı durumlarda onay almak, ilgili kişiyi yanıltıcı nitelikte bir faaliyettir.

Kanundaki kişisel veri işleme şartlarından açık rızanın diğer işleme şartlarına göre bir önceliği var mıdır?
Hayır
Ancak başka bir veri işleme şartı söz konusu iken ilgili kişiden açık rıza almak, yanıltıcı nitelikle bir faaliyet olduğunda öncelikle Kanun’un 5 ve 6. maddelerinde yer alan diğer şartları kontrol etmek pratik olarak daha sağlıklıdır.
Opt-in seçeneği sunulmayıp sadece Opt-out seçeneği sunularak, ilgili kişinin kişisel verilerinin işlenmesi durumunda hukuka uygun bir işlemeden bahsedilebilir mi? Hayır Geçerli bir açık rıza için aktif rıza yöntemi esastır.

 

 

 


Kişisel veriler, 108 sayılı Sözleşmeye dayalı olarak yurt dışına aktarılabilir mi?
Hayır
108 sayılı Sözleşmeye taraf bir ülkeye yapılacak kişisel veri aktarımları yalnızca Kanunun 5. maddesinin ikinci fıkrasında veya 6. maddesinin üçüncü fıkrasında öngörülen şartlardan birinin varlığı ve Kurul tarafından ayrıca aktarım yapılacak ülke hakkında yeterli koruma bulunduğuna karar verilmesi hâli saklı kalmak üzere, aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hâlinde yapılabilecektir.
C.    Aydınlatma Yükümlülüğü
Aydınlatma sürecinde, Kanunun 5 ve 6. maddelerinin tamamının sayılması hâlinde, aydınlatma yükümlülüğü mevzuata uygun yerine getirilmiş sayılır mı? Hayır Kanun’un 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanıldığının aydınlatma sürecinde açıkça belirtilmesi gerekmektedir.
Aydınlatma sürecinde yazılı onay alınması, açık rıza yerine de geçer mi?

Aydınlatma metninde hukuki sebebe yer verilmesi, işleme amacının da gösterildiği anlamına gelir mi?

 

Hayır

 

 

 

Hayır

Aydınlatma sürecinde onaylıyorum şeklinde ifadenin alınması, açık rıza ile karışıklık yaratabileceğinden yazılı onay alınmaması tavsiye edilir.

Hukuki sebep, Kanun’un 5, 6. maddelerinden hangisine dayanılarak veri işleme faaliyetinin yürütüldüğünü veri işleme amacı ise işleme faaliyetinin hangi amaçla yürütüldüğünü gösterir. İkisi de ayrı ayrı belirtilmelidir.

D.   Veri Sorumlusuna Başvuru
Veri sorumlusu nezdinde ilgili kişinin kişisel verisi işlenmemişse veri sorumlusu ilgili kişinin başvurusunu yanıtsız bırakabilir mi?
Hayır Kanun uyarınca veri sorumlusunun ilgili kişinin başvurusunu kabul etmesi veya gerekçesini açıklayarak reddetmesi gerekmektedir.
Veri sorumlusu sözleşme ile kişisel verilerin korunması mevzuatı çerçevesindeki yükümlülüklerini veri işleyene devredebilir mi? Bu durumda veri sorumlusunun sorumlulukları ortadan kalkar mı? Hayır Sözleşme ilişkisi çerçevesinde veri sorumlusun belirli yükümlülüklerin yerine getirilmesi konusunda veri işleyene yetki verebilir ancak bu yetkilendirme sorumluluğu ortadan kaldırmaz.
Veri sorumlusu, kendisine yapılan başvurunun usule aykırı olduğu gerekçesiyle başvuruyu yanıtsız bırakabilir mi?
Hayır Kanun uyarınca veri sorumlusunun ilgili kişinin başvurusunu kabul etmesi veya gerekçesini açıklayarak reddetmesi gerekmektedir.
Veri sorumlusuna önceden bildirilen bir e-posta adresi aracılığıyla başvuruda bulunulabilir mi? Evet E-posta üzerinden yapılacak başvurularda veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresi aracılığıyla başvuru yapılması gerekmektedir.
E.   Veri İhlal Bildirimi, Kurula Şikâyet ve Yaptırımlar
İlgili kişilerin iletişim bilgilerinin veri sorumlusu nezdinde mevcut olduğu durumlarda veri sorumlusunun gerçekleşen veri ihlalini yalnızca internet sayfasında yayımlaması, ilgili kişilere veri ihlalini bildirme yükümlülüğünün yerine getirildiği anlamına gelir mi?
Hayır İlgili kişinin iletişim bilgilerine ulaşılabiliyorsa, veri ihlal bildirimi ilgili kişiye doğrudan, ulaşılamıyorsa da veri sorumlusu kendi internet sayfası üzerinden bu bildirimi gerçekleştirebilir.
İlgili kişiler tarafından veri sorumlusuna yapılan başvuru ile Kuruma intikal eden şikâyet konusunun farklı olması hâlinde Kuruma iletilen şikâyetin esasına ilişkin değerlendirme yapılmakta mıdır? Hayır Veri sorumlusuna iletilmemiş olan hususlara yönelik olarak şikâyetin esasına ilişkin Kurul tarafından değerlendirme yapılmamaktadır.

 

Kanuna aykırı hareket eden veri sorumlularına ilişkin Kurul tarafından uygulanan idari para cezalarının belirlenmesinde net bir ölçüt var mıdır? Hayır Her bir ihlal bazında işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı, hukuka aykırılığın gerçekleşme biçimi, bu aykırılıktan geniş̧ bir kitlenin etkilenip etkilenmediği, etkilenen kişisel verilerin niteliği gibi ilave kriterler de göz önünde bulundurulmaktadır.
Veri sorumlusunun Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyum sağlaması, Kanunda öngörülen yükümlülüklerinin karşılanması bakımından yeterli midir? Hayır Her halükârda veri sorumlusunun ulusal mevzuat hükümlerine uyumluluğun sağlanması adına Kanun’da öngörülen yükümlülüklerini yerine getirmesi zorunludur.

 

Sonuç

Sonuç olarak görüldüğü üzere Kanun’un uygulaması, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları ile inşa edilmeye, veri sorumluları tarafından mevzuatın pratik düzlemde ortaya çıkan sorunları, Kurum’un yayımları ile giderilmeye çalışılmaktadır. Kritik birkaç husus duşunda bahsi geçen rehberde yer alan soruların cevabı, Kurum’un sitesinde halihazırda yer alan Kurul kararlarında yer alan ilkelerden oluşmakta bu nedenle işbu Kurul kararlarının takibi, uygulamanın şekillendirilmesi açısından büyük önem taşımaktadır.

 

 

İlgili Rehberin Tam Metni İçin:

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/ca752cda-c3df-4645-8d5e-e2a507e63200.pdf

 

Bilgi ve değerlendirmenize sunulur.

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır. Size en iyi web deneyimini sağlamak için çerezleri kullanıyoruz. Gizlilik politikasını buradan okuyabilirsiniz.