DESAFE DERGİ-guncel

Desafe - Kurumsal 1
KVKK Danışmanlığı

“Veri İhlalinde
Yapılması

Gereken Tüm
İşlemler”

Mali Müşavirler İçin Kişisel Verilerin Korunması Kişisel Verilerin
İhlalinde Kişinin Tazminat Hakkı Kurul Kararları Güncel Haberler

2 Desafe - Kurumsal
KVKK Danışmanlığı

TÜM TÜRKİYE’DE
GÜVENİLİR
ÇÖZÜMLER

Desafe - Kurumsal 3
KVKK Danışmanlığı

İçindekiler

. KVKK Nedir? 7
. KVKK Hangi Sektörler için Önemlidir? 8
. KVKK Hakkında Sık Sorulan Sorular? 9
. Sosyal Medyada Kişisel Verilerin Korunması 19
. KVKK Danışmanlık Hizmetin Sürekliliği 21
. Müşterilerimiz Ne Dediler? 25
. Desafe PUSULA 32
. Şirketlerin KVKK Uyum Süreçlerinde Nasıl İlerliyoruz? 33
. KVK Kurumunun Verdiği Kararlara İtiraz Edilebilir mi? 35
. Aydınlatma Metni ve Açık Rıza Metni Aynı Başlık Altında Sunulabilir mi? 37
. KVKK Hakkında Merak Edilenler 43
. Veri Koruma Görevlisi Kimdir? 49
. E-Ticaret Sitelerinin KVKK Kapsamındaki Yükümlülükleri Nelerdir? 52
. Veri Sorumlusuna Yapılacak Başvurularda Dikkat Edilecek Usul Şartları
55
Nelerdir? 57
. Mali Müşavirler Açısından Kişisel Verilerin Korunması 59
. Veri İhlaliyle Karşılaşılması Durumunda Ne Yapılmalıdır? 64
. KVKK Farkındalık Eğitimi Neden Önemlidir? 66
. KVKK Açısından Çocukların Kişisel Verilerin Korunması 68
. Kişisel Veri İhlallerinde Kişinin Tazminat Hakkı 70
. KVKK Kapsamında “Alenileştirme” Kavramı 72
. Kurumsal İleti Yönetim Sistemi Hakkında Sık Sorulan Sorular 73
. Neler Yapıyoruz? 74
. Gelişigüzel Yazılan Ad-Soyad Bilgisi Kişisel Veri Sayılır mı? 78
. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler 84
. Genel Veri Koruma Yönetmeliği (GDPR) 90
. Kamuoyu Duyurusu (Verbis) 92
. 7 Nisan Kişisel Verileri Koruma Günü 97
. Popüler Yemek Uygulamasına 1 Milyon 900 Bin TL İdari Para Cezası 100
. Kişisel Sağlık Verilerinin İşlenmesi Ve Korunması 102
. 28 Ocak Veri Koruma Günü 105
. Kelime Avı 107
. Kaynakça

4 Desafe - Kurumsal
KVKK Danışmanlığı

Bazı
Referanslarımız

Desafe - Kurumsal 5
KVKK Danışmanlığı

Farkındalık eğitimleri ve
uyumluluk süreçleri ile KVKK
konusunda “Yasaklanmadıkça Her Şey
Serbesttir” prensibi değil, “İzin
Verilmedikçe Her Şey Yasaktır”
disiplinine sahip kurum kültürünün
oluşturulmasını sağlıyoruz.

Son beş yıl içinde veri ihlalleriyle karşılaşan firmaların
%90 ‘ı personel kaynaklı ihlal durumu olduğunu
bildirmişlerdir. Bu sebeple işletmenin büyüklüğü
ve çalışan sayısı farketmeksizin “kişisel veri” ve
“KVKK” eğitimlerinin verilmesi ve düzenli olarak
yenilenmesi gerekmektedir. Avukatlarımız ve KVKK
Uzmanlarınlarımız tarafından hazırlanan ve anlatımı
yapılan eğitimlerimiz ile firmanızın güncel ve güvende
kalmasını sağlıyoruz.

www.desafe.com.tr

6 Desafe - Kurumsal
KVKK Danışmanlığı

Desafe - Kurumsal 7
KVKK Danışmanlığı

KVKK Nedir?

KVKK, Kişisel Verilerin Korunma Kanunu anlamına gelmektedir. 6698 Sayılı
Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da yürürlüğe girmesiyle,
“kişisel veri” olarak nitelendirilen verilerin işlenmesi hususunda birtakım prensip
ve kurallar getirilmiştir.

Kişisel veriler ile şirketlerin korumakla yükümlü olduğu diğer veriler birbirinden
ayrılmalıdır.

Personel Bilgileri İş Ortaklığı Bilgileri

Çalışanların kişisel İş ortaklarının ve hizmet
bilgileri (kimlik bilgileri, sağlayıcıların kamuya
adres, doğum tarihi, vb.) açık olmayan kişisel
verileri.

Müşteri Bilgileri Üçüncü Şahıs Bilgileri

Müşterilerin/hastaların Üçüncü şahıslara aktarılıp
kişisel bilgileri işlenen kişisel bilgiler
(pazarlama veritabanları (muhasebe kayıtları,
sağlık kayıtları, iletişim
listeleri). kredi sicilleri, doğrudan
pazarlama).

8 Desafe - Kurumsal
KVKK Danışmanlığı

KVKK Hangi
Sektörler İçin
Önemlidir?

Kişisel veri barındıran, işleyen, depolayan, her şirket KVKK’ya uygun şekilde
faaliyet göstermelidir. Kişisel veriler kavramı, bazı sektörler için oldukça
önemlidir. Bu sektörlerde bulunan şirketlerin özellikle kişisel veriler konusunda
hukuki destek alması gerekmektedir.

• Tüm Ticari İşletmeler
• Tekstil / Gıda Şirketleri
• Telekomünikasyon Şirketleri
• Reklamcılık Şirketleri
• Sağlık Şirketleri & Hastaneler
• Oteller & Konaklama Merkezleri

Kabahat Alt Limit - TL Üst Limit - TL

Aydınlatma yükümlülüğü 9.834 ₺ 196.686 ₺
yerine getirmemek (md.10) 29.503 ₺ 1.966.862 ₺
49.172 ₺ 1.966.862 ₺
Veri güvenliğine ilişkin yü- 39.337 ₺ 1.966.862 ₺
kümlülükleri yerine
getirmemek (md.12)

Kurul tarafından verilen
kararları yerine
getirmemek (md.15)

Veri Sorumluları Siciline kayıt
ve bildirim yükümlülüğüne
aykırı hareket etmek

Desafe - Kurumsal 9
KVKK Danışmanlığı

KVKK Hakkında

Sık Sorulan Sorular

Kişisel veri nedir?

Kimliği belirli veya belirlenebilir, gerçek kişiye ilişkin her türlü bilgiye
Kişisel Veri denir. Kimliği belirli veya belirlenebilir olması hususu, ayırt
edici birtakım unsurların olması yani “bir kişinin diğerlerinden ayırt edilmesi”
gerektiği anlamını taşımaktadır. Kişinin ekonomik, sosyal, fiziki, kimlik bilgileri, IP
adresi, ses kaydı, taşıt plakası, hobileri, tercihleri, görüştüğü kişiler vb. bilgiler de
kişisel veri olarak kabul edilmektedir. Yani kısaca tek başına veya başka kaynaklar
ile ilişkilendirilerek bir gerçek kişi tanımlanabiliyorsa bu veri kişisel veridir. Önemli
olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.

Kişisel verilerin korunması ne demektir?

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına
alınması ile temel hak ve özgürlüklerin korunmasıdır. Başka bir ifadeyle
kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da
otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına
yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik
ve hukuki önlemleri ifade eder.

Kişisel verilerin korunmasına neden ihtiyaç duyulmuştur?

Kişisel Verilerin Korunmasına ihtiyaç birçok sistem açığından dolayı
olmuştur. Kişisel Verilerin Korunması Kanunu’ndan önce gerek kamu
gerekse özel kurum ve kuruluşlar bir işlemin yapılabilmesi için birden fazla bilgiyi
kendi sistemlerine kayıt edebilmekte ve bu bilgiler 3. şahıslar ile bilgimiz dışında
paylaşılmaktaydı. Kanunla birlikte bunun önüne geçilmek istenmiştir. Örnek
vermek gerekirse; X internet satış sitesinden elbise siparişi verdiğinizde beden
ölçünüzü, ad ve soyadınızı, kimlik numaranızı, ödeme yaparken kart bilgilerinizi,
teslimat için adresiniz ve telefon numaranız gibi birçok bilgiyi sisteme girmeniz
gerekmektedir. İşte bu verilerin kötü niyetli kişilerle veya başka kurumlarla
paylaşılmasını önlemek bu verileri korumak adına Kişisel Verilerin Korunması
Kanunu çıkarılmıştır.

10 Desafe - Kurumsal
KVKK Danışmanlığı

Kişisel verilerin korunması kanunu ne zaman yürürlüğe girmiştir?

Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması
Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk
edilmiştir. Söz konusu metin 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından
kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede
yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Kanunu’nun amacı nedir?

Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin
işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması
da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde
ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı
ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi
amaçlanmaktadır.

Desafe - Kurumsal 11
KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu kimleri kapsamaktadır?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası
olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında
uygulanır. Yani hem gerçek kişiler hem de tüzel kişilerin tamamı bu kanun
kapsamında yükümlü kabul edilmektedir.

Kanun kapsamına dâhil olmayan kişiler var mıdır?

Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından,
kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı
dışında tutulmuştur. Ancak her ne kadar tüzel kişilere ilişkin bilgiler Kanun
kapsamına dâhil olmasa da; tüzel kişilerle gerçekleştirilen işlemlerde de bu tüzel
kişiyi temsil eden kişilerin veyahut tüzel kişi çalışanlarının ve sair kişilerin bilgileri
işlendiğinden bu kişilerin verilerinin Kanun kapsamında korunduğuna dikkat
edilmelidir.

Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel
kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri
işleyenler Kanunun kapsamı dışında tutulmuştur.

Her türlü veri işleme faaliyeti için bu kanun hükümleri
uygulanacak mıdır?

Kişisel Verilerin Korunması Kanunun 28. Maddesinde Kanun hükümlerinin
uygulanmayacağı haller sayılmış olup, tamamen veya kısmen kapsam dışı olan
haller olmak üzere ikili bir ayrıma tabi tutulmuştur. Tam istisna halinde Kanun
hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna hallerinde, Kanunun
sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri
sorumluları siciline kayıt) uygulanmamaktadır.

12 Desafe - Kurumsal
KVKK Danışmanlığı

Özel nitelikli (hassas) kişisel
veri ne demektir?

Kişisel Verilerin Korunması
Kanunun 28. Maddesinde Kanun
hükümlerinin uygulanmayacağı haller
sayılmış olup, tamamen veya kısmen
kapsam dışı olan haller olmak üzere
ikili bir ayrıma tabi tutulmuştur. Tam
istisna halinde Kanun hükümleri hiçbir
şekilde uygulanmamakta iken, kısmi
istisna hallerinde, Kanunun sadece bazı
hükümleri (aydınlatma yükümlülüğü,
ilgili kişinin hakları ve veri sorumluları
siciline kayıt) uygulanmamaktadır.

Özel nitelikli kişisel veriler
nelerdir?

Özel nitelikli kişisel veriler;
kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti
ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verilerdir.

Kişisel sağlık verisi nedir?

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü
veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü
tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık
verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda
düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

Açık rıza nedir?

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade
açıklamasıdır.

Desafe - Kurumsal 13
KVKK Danışmanlığı

Veri kayıt sistemi nedir?

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak
işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak
nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir.
Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası
üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin
oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Örneğin,
herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve
soyadlarının bir kâğıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz
konusu isimlerin belirli bir kritere göre bir kâğıda kaydedilmesi halinde, bu veri
kaydı Kanun kapsamında değerlendirilmektedir.

Veri sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu, işleme faaliyetinin
“neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri işleme
faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, veri sorumlusu tüzel kişinin
kendisidir.

Kişisel verilerin korunması kapsamındaki başvurular kime yapılır?

Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili
taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir.
Buna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri
sorumlusuna iletmeleri zorunludur.

Veri sorumluları sicili nedir?

Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri
Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak
tutulan sicildir.

Veri işleyen kimdir?

Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen
talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Burada
önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri
sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.

14 Desafe - Kurumsal
KVKK Danışmanlığı

Veri sorumluları siciline kimler kayıt
olmalıdır?

Kişisel verileri işleyen gerçek ve tüzel kişiler,
veri işlemeye başlamadan önce Veri Sorumluları
Siciline kaydolmak zorundadır. Ancak, işlenen kişisel
verinin niteliği, sayısı, veri işlemenin kanundan
kaynaklanması veya üçüncü kişilere aktarılma durumu
gibi Kurulca belirlenecek objektif kriterler göz önüne
alınmak suretiyle, Kurul tarafından, Veri Sorumluları
Siciline kayıt zorunluluğuna istisna getirilebilir.

Kişisel veri işleme faaliyetlerinin tek şartı açık rıza
mıdır?

Kanundaki kişisel veri işleme şartlarından
biri olmakla birlikte veri işleme
faaliyetine hukukilik kazandıran tek unsur
değildirKanunda veri işleme faaliyeti için
açık rıza dışında da şartlar öngörülmüştür. Buna göre,
aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin
açık rızası aranmaksızın kişisel verilerinin işlenmesi
mümkündür:

a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için
zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına
ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş
olması,
e) Bir hakkın tesisi, kullanılması veya korunması için
veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması.

Desafe - Kurumsal 15
KVKK Danışmanlığı

Kanunda sayılan kişisel veri işlenmesine ilişkin yükümlülüklerin yerine
getirilmesi bakımından esas sorumlu kimdir?

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin
yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu,
kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri
işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri
işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun
talimatlarını yerine getirdiği açıktır.

16 Desafe - Kurumsal
KVKK Danışmanlığı

Desafe - Kurumsal 17
KVKK Danışmanlığı

18 Desafe - Kurumsal
KVKK Danışmanlığı

KVKK
Kurumunun
Çalışanlarınızın
Eğitimi
Konusunda
Sizi Sorumlu
Tuttuğunu
Biliyor musunuz?

Personellerinizin zorunlu KVKK eğitimini; online,
zaman ve mekandan bağımsız olarak almasını
sağlıyoruz.

Desafe - Kurumsal 19
KVKK Danışmanlığı

Sosyal Medyada
Kişisel Verilerin
Korunması

Sosyal medyada kişisel verilerin verilerinin işlenmesine dair vereceği
işlenmesi sonucu hukuken korunması rızanın aydınlatılmış bir irade beyanı
gereken birtakım kişisel veriler olarak kabul edilebilmesi için
bulunmaktadır. Bu veriler; kişinin adı, öncelikle veri sahibi kişilerin veri
soyadı, fotoğrafı, sesi gibi verilerdir. Bir sorumlusu tarafından bilgilendirilmesi
de daha nitelikli bir hukuki korumaya gerekmektedir. Peki bu bilgilendirme
sahip olan hassas veriler kategorisi nasıl olmalıdır? Site yöneticilerinin
bulunmaktadır. Bu kategoriye de ziyaretçilerin kendi verilerinin
kişinin ırkına, etnik kökenine, sağlığına işlenmesine ilişkin; veri sorumlusunun
veya cinsel yaşamına dair bilgiler kimliği, kişisel verilerin işlenme amaçları,
girmektedir. Bu tür verilerin; sosyal işlenen kişisel verilerin kimlere ve hangi
medyada işlenmesi veri sahibinin amaçla aktarılabileceği, veri toplamanın
vereceği rıza ile mümkün olmakta, veri yöntemi ve hukuki sebebi, verisi
sahibinin vereceği rıza bu tür verilerin işlenen kullanıcıların hakları ile işleme
sosyal medyada işlenmesine hukuka faaliyetinin haklı olduğunu göstermek
uygunluk sağlamaktadır. Fakat veri için gereken herhangi bir başka bilgi
sahibinin rızasının hukuka uygun olması varsa bu bilgileri ziyaretçilere vermesi
için hiçbir şüpheye yer bırakmayacak gerekir.
şekilde açık olma, özgür bir iradeye
dayanma, belirli bir konuya özgülenme
ve aydınlatılmış bir irade beyanının
bulunması gerekmektedir.
Ayrıca; Sosyal medya kullanıcılarının
aydınlatılmış açık rıza beyanında
bulunabilmesi için site yöneticilerinin
güvenlik önlemleri alma ve sosyal
medya kullanıcılarını bilgilendirme
yükümlülükleri bulunmaktadır. Yani
sosyal medya kullanıcısının kişisel

20 Desafe - Kurumsal
KVKK Danışmanlığı

Yani kısaca bakacak olursak; sosyal medyada site yöneticileri kullanıcılarının
kişisel verilerini işlerken, nasıl işlediğini, işlemesinden sonra ise o verileri nasıl
koruyacağını, buna ilişkin almış olduğu tüm önlemleri kullanıcılarını bildirmekle
yükümlüdür. Kullanıcılar da bu bilgilendirmeler sonucunda açık bir şekilde rıza
gösterecektir veya göstermeyecektir.

Bunun dışında; site yöneticilerinin kullanıcılarının gizliliklerini sağlayabilmek
adına öncelikle gizliliğe saygılı ayarlar koyması, bu şekilde kullanıcının isteği
doğrultusunda özgürce profiline erişimi kısıtlayabilme özgürlüğü tanıması
gerekmektedir.

Sosyal medyada üçüncü kişinin kişisel verilerinin ‘etiketleme’ yoluyla kullanıcılar
tarafından işlenmesi de mümkündür. Dolayısıyla site yöneticilerinin kullanıcılarına
bu kişilerin kişisel verilerini içeren bilgi veya fotoğrafların yüklenmesi durumunda
kullanıcılarını uyarmaları gerekmektedir.

Sonuç olarak; internet ortamındaki sosyal mecralarda her ne kadar site
yöneticileri kullanıcılarının gizliliğini korumak için birçok önlem alsa da kişilerin
de kişisel verilerini paylaşırken ve işlenmesine izin verirken aydınlatma metinlerini
dikkatlice okumaları gerekmektedir. Sosyal medyada yalnızca site yöneticilerinin
önlemleriyle değil, kişilerin bilinçli bir şekilde internet kullanımı sağlamasıyla da
kişisel verilerin korunması sağlanacaktır.

Desafe - Kurumsal 21
KVKK Danışmanlığı

KVKK
Danışmanlık
Hizmetinin
Sürekliliği

Veri Sorumlularının KVK Kanuna getirmekle mükelleftir.
uyum sürecini sürekli olarak kontrol ve Kurul tarafından şuana kadar kesilen
denetim altında tutması gerekliliği: para cezaları, Veri Sorumlularının
VERBİS’e Kayıt ve Bildirim Kanunda bahsi geçen diğer
Yükümlülüğüne Aykırılık Hâlinde Veri yükümlülüklerini (İstenmeyen ve
Sorumluları; 39.337 TL-1.966.862 TL hukuka aykırı veri paylaşımı, Veri
Aralığında idari para cezası ile karşı güvenliğine ilişkin yükümlülükleri yerine
karşıya kalabilmektedir. (VERBİS getirmemek, Veri ihlallerini belirlenen
kaydı Kanunun temel ilkeleri gereği 72 saat içinde bildirmemek vb.) yerine
Veri Sorumlusunun kişisel veri işleme getirmemesi nedeni ile kesilmiştir.
faaliyeti ile eşzamanlı olarak güncel Veri Sorumluları, Kişisel Veri İşleme
tutulmalıdır.) faaliyetlerinin tümü hakkında, ilgili
KVK Kanununa ilişkin yükümlülükler kişileri Aydınlatmakla yükümlüdür.
VERBİS kaydıyla sınırlı değildir. Kişisel Aydınlatma Yükümlülüğüne Aykırılık
veri işleme faaliyeti yürüten Veri Hâlinde Veri Sorumluları; 9.834 TL-
Sorumluları (Gerçek ve Tüzel Kişiler) 196.686 TL Aralığında idari para cezası
Kanun uyarınca 2018 tarihinden ile karşı karşıya kalabilmektedir.
itibaren diğer yükümlülükleri de yerine

Aydınlatma yükümlülüğünün yerine getirilmesi için işlenmekte olan tüm kişisel
veri işleme faaliyetinin (veri türü, işleme amacı, toplanma ve saklanma koşulları,
saklama süresi, idari ve alınması gereken idari ve teknik tedbirler vb. açısından)
detaylı şekilde irdelenerek kişisel veri envanterine kaydedilmesi, güncelliğinin
sürekli olarak takip edilmesi gerekmektedir.

22 Desafe - Kurumsal
KVKK Danışmanlığı

Kanunda kişisel verilerin işlenmesine ilişkin
sayılan temel ilkelere göre; hazırlanan
tüm dokümanların doğru ve gerektiğinde
güncel olup olmadığının kontrol edilmesi
önem arz etmektedir. Ayrıca bu verilerin
işlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olması gerekir. Dolayısıyla her bir
kişisel veri işleme faaliyet kendi içerisinde
irdelenmeli, gerektiğinde kurul kararlarına
da bakılarak hukuka uygun şekilde
işlendiğinden emin olunmalıdır.

Örnek olarak vermek gerekirse; KVK
Kurulunun 12.03.2020 tarihli ve 2020/212
sayılı ve Bir kamu kurumu olan veri
sorumlusu tarafından ses kayıt özelliği
bulunan güvenlik kamerası kullanılması
hakkındaki Karar Özeti aşağıdaki
şekildedir:
“Sesli kamera kaydının hukuka uygun bir
kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen
temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun
olması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses
kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da
yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç
arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil
edecektir. Bu anlamda, gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt
sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci
olacağı açıktır. Diğer taraftan, kameralar vasıtasıyla görüntü ile birlikte ses kaydı
yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek
olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı
kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın
özüne zarar vereceği değerlendirilmektedir. Ayrıca belirtmek gerekir ki, güvenlik
amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu
belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü
ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden
olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte
bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar
vereceği değerlendirilmiştir
Dolayısıyla; Sesli kamera kaydı ile kişisel veri işleme faaliyeti gerçekleştiren Veri
Sorumlularının Kurulun bu Kararına ilişkin olarak kişisel veri işleme faaliyetini
yeniden düzenleme zorunluluğu ortaya çıkmıştır..”

Desafe - Kurumsal 23
KVKK Danışmanlığı

Başka bir örnek olma ilkesine aykırı bildirilmesi” sonucuna
vermek gerekirse; KVK olduğu, öte yandan varılmıştır.
Kurulunun 01/12/2020 söz konusu veri işleme
tarihli ve 2020/915 sayılı faaliyetinin hukuka Dolayısıyla, personel
ve Belediyede memur uygun bir veri işleme giriş/çıkış kontrolünde
olarak görev yapan ilgili şartına dayanmadığı biyometrik veri işleyen
kişinin, veri sorumlusu dikkate alındığında Veri Sorumluları için,
bünyesinde işe giriş çıkış veri sorumlusunun söz Kurul Kararına ilişkin
takibinin biyometrik konusu uygulamasının olarak, faaliyetlerini
veri işlenerek yapılması Kanunun 12 nci yeniden gözden
hakkındaki Karar özetine maddesinin (1) numaralı geçirerek, örneğin;
göre; fıkrasının (a) bendine kartlı geçiş sistemi vb.
aykırılık teşkil ettiği yöntemlerle biyometrik
“Veri sorumlusu değerlendirildiğinden veri almadan, başka
bünyesinde mesai Kanunun 18 inci bir yöntem ile bu
kontrolü amacıyla maddesinin 3 üncü süreci yürütmek gibi
biyometrik veri fıkrası hükmüne göre söz bir gereklilik gündeme
olan parmak izinin konusu veri sorumlusu gelmiştir.
işlenmesinin Kanunun bünyesinde görev
“Genel İlkeler” başlıklı yapan kişiler hakkında Kurul tarafından
4 üncü maddesinin disiplin hükümlerinin verilen kararları yerine
(ç) bendindeki amaçla işletilmesine ve getirmeyenler hakkında
bağlantılı, sınırlı ve ölçülü sonucunun Kurula 25.000 Türk lirasından
1.000.000 Türk lirasına
kadar idari para cezası
uygulanabilmektedir.
Kurul kararları Veri
Sorumluları tarafından
takip edilerek kararlar
uygulanmalıdır.

Ayrıca İlgili mevzuatta
öngörülen veya
işlendikleri amaç
için gerekli olan süre
kadar muhafaza
edilme ilkesine göre
saklama süresi dolan
kişisel veriler mutlaka
doğru yöntemlerle
imha edilmeli ve imha
kayıtları 3 yıl süre ile Veri
Sorumlusu tarafından
saklanmalıdır.

24 Desafe - Kurumsal
KVKK Danışmanlığı

Veri Sorumlusu işlemekte olduğu kişisel verilere ilişkin tüm idari ve teknik
tedbirleri almakla yükümlüdür. Bu nedenle, Veri Güvenliğine İlişkin Aykırılık
Hâlinde, 29.503 TL-1.966.862 TL Aralığında idari para cezası ile karşı karşıya
kalabilmektedirler.

Veri güvenliğine ilişkin alınması gereken tedbirlere kanunda yer verilmekle birlikte,
şirketlerin fiziki ve BT Altyapıları göz önünde bulundurularak hangi tedbirlerin
alınması gerektiğine karar verilmesi ve Veri Güvenliğinin sağlandığından emin
olunması için bu tedbirlerin düzenli aralıklarla kontrol edilmesi, denetlenmesi ve
gerektiğinde ilave tedbirlerin devreye alınması gerekmektedir.

KVK Kurulunun 12/03/2020 tarihli ve 2020 sayılı ve Bir internet servis
sağlayıcısının veri ihlali hakkında hakkındaki Karar özetine göre;

“6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı
fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari
tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı
fıkrasının (b) bendi uyarınca 300.000 TL idari para cezasının uygulanmasına karar
verilmiştir.”

Örneklerden de anlaşılacağı gibi; Veri Sorumlularının, KVK Kanunu ile ilgili
yükümlülüklerini yerine getirdikten sonra, düzenli aralıklarla kişisel veri işleme
süreçlerini ve veri güvenliğine ilişkin almış oldukları idari ve teknik tedbirleri sürekli
olarak denetime tabi tutarak kontrol etmeleri gerekmektedir.

Not: (Kanunu’nun 18. maddesinde yer alan idari para cezalarının alt ve üst
sınırları, 2021 için verilmiştir. Bu cezaların miktarları Kurul tarafından belirlenerek
güncellenebilmektedir.)

Cezalar sadece idari para cezaları ile sınırlı olmayıp,

TCK’da kişisel verilere ilişkin suçların yaptırımları şu şekildedir:

• Hukuka aykırı olarak kişisel verileri kaydedilmesi durumunda bir yıldan üç yıla
kadar hapis cezası verilebilir. (TCK Madde 135/1)

• Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine;
hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına
veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca
verilecek ceza yarı oranında artırılır. (TCK Madde 135/2)

• Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren
kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (TCK 136/1)

• Yukarıdaki maddelerde tanımlanan suçların kamu görevlisi tarafından ve
görevinin verdiği yetki kötüye kullanılmak suretiyle ya da belli bir meslek ve
sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek
ceza yarı oranında artırılır. (TCK 137/1)

Desafe - Kurumsal 25
KVKK Danışmanlığı

Müşterilerimiz

Ne Dediler?

26 Desafe - Kurumsal
KVKK Danışmanlığı

“Hastalarımın sağlığına gösterdiğim
özeni, kişisel bilgilerini koruma

hususunda da titizlikle sürdürmenin
çok önemli olduğunu düşünüyorum. ”

Tümay Vural ERKİLET 2001 yılından bu yana Kulak Burun Boğaz dalında;
alanında uzman hastanelerde sürdürdüğüm göre-
Uzman Estetisyen vime, 2021 Şubat ayı itibari ile kendi özel kliniğimi
açarak devam etmekteyim. Tıp alanında her yeni
gelişmeyi takip etmenin önemine inanıyor, bu sebeple
kurs, eğitim seminer ve kongreleri yakından izliyorum.
Kulak, burun, boğaz, estetik burun ameliyatı, medi-
kal estetik ve horlama cerrahisi alanlarında tedavi
işlemleri uyguluyorum.

Tüm tedavi alanlarımız, hassas verilerin alınması
ve saklanması işlemlerini de birlikte getiriyor.
Hastalarımın sağlığına gösterdiğim özeni, kişisel bilg-
ilerini koruma hususunda da titizlikle sürdürmenin
çok önemli olduğunu düşünüyorum.
Sağlık verileri özel nitelikli kişisel veriler kapsamında.
Bu nedenle çok daha dikkatli olunması gereken,
ertelemenin dezavantaja döndüğü bir dönemdeyiz.
Araştırmalarımız neticesinde sağlık sektöründe
bir çok bağlantımızında uyum sürecini birlikte
yürüttüğü Desafe KVKK Danışmanlığı ile öncelikle
veri envanterimizi ve VERBİS kaydı işlemlerimizi
tamamladık. Aydınlatma ve açık rıza metinlerinin
oluşturulmasının yanında çalışanlarımız için zorunlu
KVKK eğitimleriyle veri ihlallerinin önüne geçtik. Sak-
lama – imha politikaları, veri ihlali prosedürleriyle tam
uyumluluğumuzu sağladık.

Desafe - Kurumsal 27
KVKK Danışmanlığı

Serdar SEZEN “Tüm süreçleri emanet ettiğimiz Desafe
KVKK Danışmanlığı ile çalışmanın
Tarım & Gıda en büyük avantajı her sorumuzda

istediğimiz an ulaşılabilir olmalarıydı. ”

Sezenler Üretim ve Pazarlama olarak tarım gıda
ve kimyasal alanında faaliyet gösteriyoruz. Kimy-
asal sektöründe tekstil kimyasallarının yanı sıra su
şartlandırma kimyasalları üretiyor; tarım ve gıda
alanında kiraz, elma, armut üretimiyle ve katkısız
domates salçalarıyla markamızı tüm dünyada
tanıtıyoruz.

Firmamız yıllık 200 ton civarı ihracat kalitesinde
ziraat 900 (napolyon) kiraz üretimi ve yaklaşık 400
ton civarında da ihracat kalitesinde elma ve armut
üretimi yapmaktadır. Müşterilerimizin şu an olduğu
kadar gelecekteki beklenti ve ihtiyaçlarını da tespit
edip, bunları karşılayarak aşmayı ve mutlak müşteri
memnuniyetini hedef alan bir yönetim felsefesi
anlayışını muhafaza ediyoruz.

Marka bilincimizin en önemli unsuru olan “güven”i
kişisel verilerin korunması hususunda da sürdürüy-
oruz. Tüm süreçleri emanet ettiğimiz Desafe KVKK
Danışmanlığı ile çalışmanın en büyük avantajı her
sorumuzda istediğimiz an ulaşılabilir olmalarıydı.
Böylece aklımızda hiçbir soru işareti kalmadan KVKK
uyumluluğumuzu sağladık. Avukat ekipleri ve teknik
ekipleri ile denetimlerini gerçekleştirdiler. Tedarikçi
sözleşmelerimiz yenilendi, açık rıza ve aydınlatma
metinlerimiz oluşturuldu, veri envanteriyle VERBİS
kaydımız tamamlandı.

Geleneksel ile moderni birleştiren şirket yapımıza bu
denli uyum sağlayan, önceliklerimize önem veren bir
kurumla çalışmak çok keyifliydi.

28 Desafe - Kurumsal
KVKK Danışmanlığı

“KVKK uyumluluğunu yalnızca VERBİS
kaydı olarak düşürken çok daha derin
ve detaylı bir konu olduğunu öğrendik”

Ergün KARINCALI 1974 yılından bu yana alanında en iyisi olmak için
çalışıyoruz. Mobilya Endüstrisi Sürdürülebilirlik
Yonga Mobilya Programının (FISP) tam üyesi olan, AB üyesi olma-
İnsan Kaynakları Müdürü yan ilk üretici firması ve Marks and Spencer tedarik
zincirinin birincisi olarak faaliyetlerimize devam
ediyoruz. Aynı zamanda Etik Ticaret ve Sosyal So-
rumluluk alanlarında, sürekli gelişimi sağlamak adına
oluşturulan, uluslararası veri paylaşım ağı olan SE-
DEX denetimlerini başarı ile tamamlıyoruz. İhracat
alanında yoğun bir iş temposuna sahibiz ve bu başarı
ile birlikte veri akışının sürekli olduğu, hassas bir
süreci yönetiyoruz.
Kişisel Verileri Korumuma Kanunu’nun yayınlanması
ile birlikte tüm süreçlerimizi baştan sona yeniden
şekillendirdik. Her alanda profesyonelliğin önceliğimiz
olması sebebiyle KVKK süreçlerinin yönetilmesi ile
ilgili detaylı incelemelerimizin sonucunda Desafe
Kurumsal KVKK Danışmanlığı ile çalışmaya karar
verdik. Tam Uyumluluk Paketi’nden yararlandık. Hızlı
bir şekilde aydınlatma metinleri, veri envanteri, gizlilik
sözleşmeleri ve prosedürler oluşturuldu. Veri işleme,
koruma, uyumluluk, VERBİS kaydı gibi işlemlerin
profesyonel bir kadro tarafından denetlendiğini bili-
yor olmanın iç rahatlığıyla süreçlerimizi kusursuz bir
şekilde sürdürmeye devam ediyoruz. Personellerimi-
zin KVKK konusunda zorunlu olarak alması gereken
farkındalık eğitimlerini online ve yüzyüze eğitim
modelleri ile pandemiden koşullarından etkilenmeden
almalarını sağlayan bir çalışma şekline sahipler.

Desafe - Kurumsal 29
KVKK Danışmanlığı

Bilal ALTIN “1999 yılında ihracata başladığımız ve
bugünde emin adımlarla ilerlediğimiz
Özçınar MERMER faaliyetlerimizde; KVKK uyumluluğunu
Finans ve Muhasebe
Müdürü sağlamak için DESAFE KVKK
Danışmanlığı’ndan destek aldık.”

1984 yılında kurulan şirketimiz Özçınar Elektrik
Madencilik, sahibi olduğu 7 adet mermer ocağı
ile 365 gün blok, plaka ve ebatlı ürün şeklinde
doğal taşlar üretirken bunun yanı sıra çok geniş
bir yelpazede her cins ve boyutta elektrik panoları
üreten işletmesi ile birçok sektöre kaliteli ürünler
sunmaktadır.

13500 m² kapalı ve 13000 m² açık alana sahip
işletmesinde, 350 kişilik uzman bir kadro ve makina
parkuru ile yıllık 75 bin m³ blok, 150 bin m² plaka ve
300 bin m² ebatlı ürün kapasitesine sahiptir. Ürün-
lerinin çok büyük bir kısmını yurt dışına ihraç ederek
ülkemiz istihdamına ve dış borcumuzun azalmasına
oldukça önemli bir katkıda bulunmaktan gurur
duymaktadır.

1999 yılında ihracata başladığımız ve bugünde
emin adımlarla ilerlediğimiz faaliyetlerimizde;
KVKK uyumluluğunu sağlamak için DESAFE KVKK
Danışmanlığı’ndan destek aldık.
Öncelikle veri işleme ve saklama politikalarını tamam-
layarak yurtdışı süreçlerimizi KVKK uyumlu hale
getirdik. KVKK sorumluluklarımızın tamamını analiz
ederek yerine getiren Desafe ekibi, tam uyumluluk
paketi ile uzman kadromuzun kişisel veriler hakkında
zorunlu eğitimlerini almalarını sağladılar. Kanunun
öneminin henüz yeni anlaşıldığı bu dönemde bilgi
kirliliğinden uzak net cevaplara sahip olduk.

30 Desafe - Kurumsal
KVKK Danışmanlığı

ÇALIŞTIRDIĞINIZ HERKES İÇİN
İŞ SAĞLIĞI VE GÜVENLİĞİDesafe - Kurumsal 31
KVKK Danışmanlığı

HİZMETLERİNDE

DEVLET TEŞVİĞİ!

Tehl kel ve çok tehl kel ş kollarında İş
güvenl ğ uzmanı ve ş sağlığı elemanı
çalıştırmak 6331 sayılı kanun gereğ zorunlu
hale get r lm şt r. Ancak bu zorunluluğa
destek olunab lmes ç n ş sağlığı ve
güvenl ğ ç n yapılan harcamaların b r
kısmı şverenlere destek olarak
ödenmekted r.

Den zhanOSGB' den alacağınız İş Sağlığı ve
Güvenl ğ h zmet nde 10 k ş ye kadar olan
destekten yararlanmak ç n 3'er aylık
per yotlarda başvuru yapab l rs n z.

İş Sağlığı ve Güvenl ğ h zmetler şletmen z
ş kazalarından, olası sorunlardan korur,
ş n z güvene alır. Devlet desteğ yle bu
h zmet n mal yet n çok daha aza
düşüreb l r, Den zhan OSGB le yarınlara
güvenle bakab l rs n z.

den zhanosgb.com.tr

0 (258) 244 00 21

32 Desafe - Kurumsal
KVKK Danışmanlığı

Desafe Pusula, KVKK (Kişisel Verilerin Korunması Kanunu) yönetim
panelidir. Desafe Pusula da; sitelerin KVKK içeriklerini oluşturabilir,
SMS işlemlerini yapabilir, etkinlik planlayabilir ve görev belirleme/ata-
ma işlemlerini yapabilirsiniz.

Açık Rıza Metni Oluşturma ve SMS ile Gönderim İşlemi
Aydınlatma Metni Oluşturma ve SMS İle Gönderim İşlemi
Toplu SMS Gönderimi
Doğrulama Linki Oluşturma
Departman Tanımlama
Proje Oluşturma
Veri İşleme Amacı Tanımlaması
Veri Elde Etme Yöntemi Tanımlaması
Verinin Saklandığı Uygulama / Sistem / Ortam Tanımlaması
Web Siteleri İçin Aydınlatma Metni Entegrasyonu

Desafe - Kurumsal 33
KVKK Danışmanlığı

Şirketlerin
KVKK Uyum
Süreçlerinde
Nasıl İlerliyoruz?

Verbis Kaydı

Verbis Kayıt işlem sürecini sizin için yürütüp tamamlıyoruz.

Farkındalık Eğitimleri

Personellerinizin KVKK konusundaki farkındalıklarını arttırmak amacı ile
pandemi kurallarına uygun şekilde eğitimler vererek bilinçlenmelerini
sağlıyoruz.

Metinlerin Oluşturulması

KVKK için ihtiyaç duyduğunuz Aydınlatma ve Açık Rıza metinlerini
oluşturuyoruz.

Asılı Tabela Tasarımları

Bina içerisinde ve dışında KVKK kapsamında asmanız gereken bildirim
levhaları için matbu şekilde tasarımlar oluşturup dijital olarak teslim
ediyoruz.

34 Desafe - Kurumsal
KVKK Danışmanlığı

Gizlilik Sözleşmesi

Hizmet ya da ürün aldığınız firmalarla yapılan gizlilik sözleşmelerinizin
oluşturulmasını ve kontrol edilmesini sağlıyoruz.

Envanter Yüklemesi

İşletmenizi analiz edip kurumun onayladığı koşullarda envanterinizi
oluşturarak KVKK sistemine tanımlamasını yapıyoruz.

Politikaların Oluşturulması

KVKK’ya ilişkin şirket politikalarının hazırlanması aşamasıdır
Bu politikalar kişisel verilerin korunması açısından büyük önem
taşımaktadır.

Web Sitesinin Uyumluluğu

Geliştirdiğimiz özel araçlar ile Web Sitelerinizi KVKK uyumlu hale
getirerek KVKK konularında kolay yönetilen süreçlere çeviriyoruz.

Veri Güvenliği Analizi

Verilerinizin güvenliğini daha iyi sağlamanız için işletmenizin içerisinde
bulunan donanım ve yazılımları analiz ederek ölçümler yapıyoruz.

Sonuç Raporu

Tüm süreçleri tamamladıktan sonra sizin için bir rapor hazırlayarak
bunun sonucunda da envanterlerinizi güncelliyoruz.

Desafe - Kurumsal 35
KVKK Danışmanlığı

KVK Kurumunun

Verdiği Kararlara
İtiraz Edilebilir
mi?

Kamu idareleri tarafından verilen kararların yargısal denetimi şüphesiz kararı veren
kurumlar da dahil olmak üzere herkesin ihtiyaç duyduğu bir konudur ve hukuk
devletinin temel ilkesidir. Kişisel verileri koruma Kanununun 18. maddesi gereği
Kurul tarafından düzenlenen idari para cezası yaptırım kararlarına karşı da hukuk
devleti ilkesi gereği yargı yolu açıktır.

Bu sebeple; Kişisel verileri koruma Kanununun 18. Maddesi “Kabahatler” başlığı
altında düzenlenmiş olup, KVKK gerekçesinde 18. madde kapsamında verilecek
olan idari para cezalarının Kabahatler Kanununa tabi olduğu belirtilmiştir.
Dolayısıyla, söz konusu idari para cezaları ile ilgili itirazlara ilişkin de Kabahatler
Kanununun hükümlerinin uygulanması gerekecektir.

Kabahatler Kanununun 27. maddesi uyarınca, idari para cezasına ilişkin kararlara
karşı kararın tebliğ veya tefhim tarihinden itibaren 15 gün içerisinde sulh ceza
hakimliğine itiraz edilebilecektir. Bu kapsamda, Kurulun KVKK kapsamında ilgili
veri sorumlularına idari para cezası vermesi halinde, ilgili veri sorumluları, söz
konusu idari para cezasının kendilerine tebliğ edildiği tarihten itibaren 15 gün
içerisinde yetkili Sulh Ceza Hakimliğine itiraz ederek, cezanın iptalini veya yeniden
değerlendirilmesini talep edebilirler.

İdari para cezası ile birlikte ayrıca bir yaptırım kararı da verilmişse (örneğin para
cezasıyla birlikte ayrıca verinin yurtdışına aktarılmasının durdurulmasına karar
verilmesi) görevli mahkeme İdare Mahkemesi olmaktadır.
Kabahatler Kanunun 17. Maddesine göre yapılacak olan itirazlarda; yer alan şart ve
koşullara uyulmadığı ve detaylı gerekçelendirme yapılmaksızın üst sınırdan idari

36 Desafe - Kurumsal
KVKK Danışmanlığı

para cezaları verildiğinin iddiası da mümkündür. Bu şekilde hakkaniyetten uzak
cezaların verilmesinde, Kurulun yasal dayanak olarak kullandığı KVKK ve ikincil
mevzuatta, idari para cezalarının belirlenmesinde kullanılacak usul ve esaslara
ilişkin açık bir düzenleme bulunmamasının payı oldukça fazladır. Her ne kadar
getirilen muğlak düzenlemelerle Kurula cezaları belirlemede geniş yetki tanınmak
istenmiş olsa da bu belirsizlik, bazı durumlarda Kurulun gereğinden yüksek idari
para cezaları vermesine de sebep olmaktadır.
Geniş takdir yetkileri sebebiyle verilmiş olan fahiş idari para cezaları bakımından
Danıştay yerleşik içtihatlarında, idari para cezası vermeye yetkili makamın
Kabahatler Kanunu`nda belirtilen kriterleri dikkate alarak ceza tayin etmesi
gerektiğini, her ne kadar ilgili kuruma takdir yetkisi verilmiş olsa da bu takdir
yetkisinin öncelikle ilgili mevzuatta belirlenen sınırlar ve amaçlar doğrultusunda
objektif kriterlere dayanarak kullanılması gerektiğini belirtmektedir.

Bunun yanı sıra, Anayasa Mahkemesi de bir kararında, idari para cezalarının
miktarı belirlenirken,” işlenen kabahatin haksızlık içeriği ile failin kusuru ve
ekonomik durumunun birlikte gözetilerek cezanın kişiselleştirilmesi” gerektiğine
karar vermiştir. Dolayısıyla Kurul, KVKK kapsamında idari para cezası verirken
sınırsız bir takdir yetkisine sahip olmadığı gibi, bu ceza miktarlarını belirlerken
somut olayın nitelikleri ile ihlalde bulunan kişi/kurumun ekonomik durumunu
gözeterek hakkaniyet çerçevesinde bir ceza vermesi gerekmektedir.

Bu noktada belirtmemiz gerekir ki, son dönemlerde Kurulun vermiş
olduğu bazı fahiş idari para cezalarına karşı itiraz edilmiş ve bu kararlar
Sulh Ceza Hakimliklerince yeniden incelenmiştir. Yargıya intikal eden
bazı kararların, hakkaniyetten uzak para cezaları içerdiği ve üst sınırdan verilen
cezaların Kurul tarafından gerektiği şekilde gerekçelendirilmediği görülmüştür. Bu
kapsamda yakın tarihli bir Sulh Ceza Hakimliği kararında, idari para cezalarından
birinin “idari para cezası düzenlenirken alt sınırdan neden uzaklaşıldığının”
idari yaptırım kararında açıkça belirtilmemesi sebebiyle, verilen ceza yeniden
değerlendirilerek miktarının düşürülmesine karar verilmiştir.

Desafe - Kurumsal 37
KVKK Danışmanlığı

Aydınlatma Metni
ve Açık Rıza Metni
Aynı Başlık Altında
Sunulabilir mi?

Aydınlatma yükümlülüğü; kişisel işlemleri için kullanılmakta olan metin
verilerin veri sahibinden elde edilmesi ve formlar incelendiğinde, müşterilerin
sırasında veri sorumlusu tarafından açık rızalarının alınması ve aydınlatılması
yerine getirilmesi gereken bir işlemlerinin çoğunlukla aynı form
yükümlülüktür. Aydınlatma yükümlülüğü kullanılarak yapıldığı görülüyor. Bu
6698 sayılı Kişisel Verilerin Korunması kapsamda uygulaması olan veri
Kanununun 5. ve 6. Maddelerinde yer sorumlularının yukarıdaki Tebliğ
alan kişisel veri işleme şartlarından maddesi çerçevesinde açık rıza alınması
bağımsız olarak her durumda yerine için kullanılacak formlar ile müşterilerin
getirilmelidir. Fakat kişisel veri işleme aydınlatılmasında kullanılacak formları
şartı “açık rızaya” dayanıyorsa veri birbirinden ayırmaları gerekecektir.
sahibinin hem aydınlatılması hem açık
rızasının alması gerekecektir. İlgili hükümden de anlaşılacağı üzere
Bu konuyla alakalı olarak; Aydınlatma aydınlatma yükümlülüğü ve açık
Yükümlülüğünün Yerine Getirilmesinde rıza yazılı olarak yerine getirilecekse,
Uyulacak Usul ve Esaslar Hakkında farklı sayfalarda olması daha doğru
Tebliğ’in 5. Maddesine göre “Kişisel olacaktır. Fakat metinlerin aynı sayfada
veri işleme faaliyetinin açık rıza şartına olması gerektiği durumlarda ( veri
dayalı olarak gerçekleştirilmesi halinde, sorumlusu aynı sayfada olmasını tercih
aydınlatma yükümlülüğü ve açık ettiyse) farklı başlıklar altında olması
rızanın alınması işlemlerinin ayrı ayrı tercih edilmelidir ve açık rıza alımına
yerine getirilmesi getirilmesi” şartı yer ilişkin ayrı bir alan açılmalıdır. Metinler
almaktadır. birbirinin içine girmeyecek sekil de
hazırlanmalıdır. Ayrıca aydınlatma ve
Hali hazırda, 6698 sayılı Kanuna tabi açık rıza metinlerinde imza alınması
kişilerce KVKK kapsamında açık rıza öngörülüyorsa her iki metin için ayrı
alınması ve aydınlatma yükümlülüğü ayrı imza alınması önem arz etmektedir.

38 Desafe - Kurumsal
KVKK Danışmanlığı

Desafe - Kurumsal 39
KVKK Danışmanlığı

Tüm Teknolojik İhtiyaçlarınız İçin;

Tek Muhattap
Tek Yerden
Çözüm

Dünün tecrübesi ve geleceğin öngörüsüyle 2015 yılında;

“ Güncel teknolojileri; doğru yerde ve uygun projede kullanarak müşterilerimize
dünya standartlarında çözümler sunmak ” ilkesiyle çıktığımız yolda yurt içi ve
dışında yüzlerce projenin çözüm ortağı olma mutluluğunu yaşadık.

Bugün ise ; her geçen gün büyüyen ekibimizle uzmanlık alanlarımızda keyifli
işler üretmeye devam ediyoruz. Her zaman daha iyisinin var olduğuna inanan,
araştırmaya, öğrenmeye ve evrilmeye açık ruhumuz ile birbirinden güzel
projelerinizle tanışmak için sabırsızlık ile bekliyoruz.

E-Ticaret Çözümleri
Sağlık Sektörüne Özel Hizmetler
Lojistik Sektörüne Özel Hizmetler
Etkinlik Hizmetleri
Pazar Yeri Hizmetleri
Finans Sektörüne Özel Hizmetler
Tekstil Sektörüne Özel Hizmetler
Güvenlik Sektörüne Özel Hizmetler

40 Desafe - Kurumsal
KVKK Danışmanlığı

kvkk.onlineDesafe - Kurumsal 41
KVKK Danışmanlığı
Açıldı!

KVKK Online; KVKK konusunda uzman
hukuk ve teknik ekip tarafından hazırlanan
eğitimlerin Online Eğitim modeli ile
aktarıldığı bir eğitim kuruluşudur.
Kişisel Verileri Koruma Kanunu’nun
yürürlüğe girmesinden bu yana yüzlerce
firmaya ve çalışanlarına sunduğumuz
farkındalık, bilinç ve uzmanlık eğitimleriyle
A’ dan Z’ ye her seviyede en doğru
çözümleri sunuyoruz.

42 Desafe - Kurumsal
KVKK Danışmanlığı

“Özel
Hastaneler
KVKK Sms
Onayları ile
Güvende!”

Açık rıza metinleri hasta kayıt alanında SMS ile
kolayca alınır, zamandan ve evrak maliyetlerinden
tasarruf edilir.

Desafe - Kurumsal 43
KVKK Danışmanlığı

KVKK Hakkında
Merak
Edilenler

Bir şirketler topluluğuna bağlı her bir şirket ayrıca veri sorumlusu
sayılır mı?

Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişi olarak tanımlanmıştır.

Buna göre, veri sorumlusu statüsüne sahip olunup olunmadığını belirleyebilmek
için bu üç unsurun varlığına bakmak gerekmektedir. Bağlı şirketlerin her biri, kişisel
veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu
statüsüne sahip olacaklardır.

Bir şirketin çalışanları veya birimleri veri işleyen midir?

Bir şirketin çalışanları veya alt birimleri “veri işleyen” değildir. Kanunda “veri
işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri
işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen mutlaka veri
sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin
kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez.

Örneğin bir şirket, çağrı merkezi hizmetini kendi çalışanları veya birimi ile değil
de dışarıdan hizmet alımı yoluyla başka bir firma ile sözleşme yapmak suretiyle
karşılamaktadır. Bu durumda şirket veri sorumlusu iken, şirket adına çağrı merkezi
hizmeti sunan firma da veri işleyendir.
Çağrı merkezi hizmeti veren firma, çağrı merkezini telefonla arayan kişilerin kişisel
verilerini kendisi adına değil bu hizmet kapsamında şirket adına işlemekte olup
veri işleyen statüsündedir.

44 Desafe - Kurumsal
KVKK Danışmanlığı

Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen
olabilir mi?

Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen olabilir. Veri
sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı
tanımlamaktadır.
Örneğin, bir çağrı merkezi şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin
olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler
bakımından veri işleyen olarak kabul edilecektir. Dolayısıyla, herhangi bir gerçek
veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri
sorumlusu hem de veri işleyen olabilir.

Kişisel veriler sadece ilgili kişilerden açık rıza alınması halinde mi
işlenebilir?

Açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme
faaliyetine hukukilik kazandıran tek unsur değildir. Kanunun 5. ve 6. maddelerinde
kişisel veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüş olup
bu şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesi mümkündür.
Buna göre, herhangi bir kişisel veri işleme faaliyeti söz konusu olduğunda
öncelikle bu maddelerde belirtilen diğer işleme şartlarına bakılmalı, bu şartların
bulunmadığı durumlarda açık rıza yoluna başvurulmalıdır.

Açık rızanın alınması herhangi bir şekle tabi midir?

Kanunda açık rızanın alınması hususunda herhangi bir şekil şartı öngörülmemiştir.
Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır.
Dolayısıyla, açık rıza sözlü, yazılı, elektronik ortam vb. yöntemlerle alınabilir. Açık
rızanın alındığı konusundaki ispat yükümlülüğü de veri sorumlusuna aittir.

Açık rıza metinlerinin ne kadar süre saklanması gerekmektedir?

İlgili mevzuatta bu konu hakkında herhangi bir süre ya da şekil şartı
öngörülmemiştir. Açık rızanın hukuka uygun şekilde alınıp alınmadığının ispatı veri
sorumlusuna ait olduğu için, açık rıza metninin herhangi bir mağduriyete sebep
olmayacak şekilde ve sürede saklanması veri sorumlusu için önemlidir. Dolayısıyla
da açık rıza metinlerinin ne kadar süre saklanacağını veri sorumlusu makul bir
süre olmak koşuluyla kendisi belirlemelidir.rızanın alındığı konusundaki ispat
yükümlülüğü de veri sorumlusuna aittir.

Desafe - Kurumsal 45
KVKK Danışmanlığı

Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve
paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin
işlenmesi kanuna uygun mudur?

Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul
ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi Kanuna uygun
değildir.Kanunun 3. maddesinde “açık rıza”; belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır.

Buna göre, eğer kişisel veri işlerken açık rıza almak gerekiyorsa, alınan açık rızanın
bu üç unsuru da içermesi gerekmektedir. Bu üç unsurdan herhangi
birinin eksik olması halinde açık rızanın varlığından bahsedilemeyecektir.

“Tüm kişisel verilerimin işlenmesine ve paylaşılmasına izin veriyorum” şeklinde
verilen açık rıza belirli bir konuya ilişkin olmayıp hangi verilerin işleneceği
ve kimlerle paylaşılacağı konusu da net olmadığından açık rıza olarak
değerlendirilmeyecektir.

Kişisel sağlık verileri, Kanunun 5. maddesinde sayılan işleme
şartlarına göre işlenebilir mi?

Kişisel sağlık verileri, Kanunun 5. maddesinde sayılan işleme şartlarına göre
işlenemez. Kişisel sağlık verileri, Kanunun 6. maddesinde sınırlı sayma yöntemiyle
belirlenen özel nitelikli kişisel verilerdendir. Özel nitelikli kişisel verilerin işlenme
şartları da yine Kanunun 6. maddesinde ifade edilmiştir. Dolayısıyla, kişisel sağlık
verilerinin işlenebilmesi için, özel nitelikli kişisel verilerin işlenme şartlarının
belirlendiği bu madde hükmü dikkate alınmalıdır.

Kişisel sağlık verileri veri sorumlularınca meşru menfaat kapsamında
işlenebilir mi?

Kişisel sağlık verileri, veri sorumlusunun meşru menfaati kapsamında işlenemez.
Kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal
sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerdir.
Kişisel sağlık verileri, Kanunun 6. maddesinde sayılan özel nitelikli kişisel veriler
arasında yer almaktadır.

Özel nitelikli kişisel verilerin işlenmesi şartları da bu maddede düzenlenmiş olup
buna göre sağlık verilerinin işlenebilmesi için kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri

46 Desafe - Kurumsal
KVKK Danışmanlığı

ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleniyor olması
veya ilgili kişinin açık rızasının alınması gerekmektedir.

Kişisel sağlık verilerinin işlenmesi, bu madde kapsamında amaç ve kişi yönünden
sınırlandırılmıştır. Diğer bir deyişle açık rıza haricinde, sadece belirtilen amaçlarla
ve belirtilen kişi veya kuruluşlarca işlenebilmesi mümkündür.

Anılan madde hükmünden de anlaşılacağı üzere özel nitelikli kişisel veriler
arasında yer alan kişisel sağlık verileri, kişisel veri işleme şartı olan meşru menfaat
kapsamında işlenemez.

Kişinin ‘cinsiyeti’ özel nitelikli kişisel veri midir?

“Cinsiyet” verisi özel nitelikli kişisel veri değildir. Özel nitelikli kişisel veriler
Kanunun 6. maddesinde sınırlı sayma yöntemiyle belirlenmiş olup bunlar
içerisinde, kişinin cinsiyeti sayılmamıştır. Özel nitelikli kişisel veriler arasında
sayılan; cinsiyet değil cinsel hayata ilişkin kişisel verilerdir. Dolayısıyla “cinsiyet”
özel nitelikli kişisel veri değildir.

Veri sorumlusu ile veri işleyenin ayrı kişiler olması halinde, Kanun
kapsamında sorumluluk nasıl belirlenmektedir?

Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini
ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin
muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri
sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde,
veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte
müştereken sorumludur.sayılmamıştır. Özel nitelikli kişisel veriler arasında sayılan;
cinsiyet değil cinsel hayata ilişkin kişisel verilerdir. Dolayısıyla “cinsiyet” özel
nitelikli kişisel veri değildir.

Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun
hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında
kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından
işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere
hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak
amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.

Desafe - Kurumsal 47
KVKK Danışmanlığı

Bir şirket, imzaladığı bir sözleşme kapsamında veri işleyenden
hizmet almaktadır. Veri işleyen tarafından bir ihlal gerçekleştirilmesi
halinde Kanuna göre sorumluluk kimde olacaktır?

Bir veri ihlali olması halinde Kanun, sorumluluğu veri sorumlusuna yüklemiştir.
Kanunda veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre
veri işleyen, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri
işlemektedir.

Kanunun 12. maddesine göre; veri sorumlusu, kişisel verilerin kendi adına başka
bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen
tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Buna göre, veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri
sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine
bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun,
ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir.
Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini
tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni
ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.

Örneğin veri sorumlusu bir şirketin muhasebe kayıtlarını herhangi bir muhasebe
şirketi tutuyorsa, söz konusu kişisel verilerin işlenmesine ilişkin olarak Kanunda
belirtilen tedbirlerin alınması hususunda veri sorumlusu şirket, muhasebe şirketiyle
birlikte müştereken sorumlu olacaktır.
Ancak veri sorumlusu şirketin çalışanlarına ait kayıtlarla ilgili olarak veri işleyen
konumundaki muhasebe şirketi dâhilinde bir ihlal gerçekleşirse bu ihlal ile ilgili
sorumluluk veri sorumlusu olan şirkete ait olmakla birlikte, veri sorumlusu şirket
muhasebe şirketine rücu edebilecektir.

VERBİS’e kayıt başvuru formu, formda belirtilen Kayıtlı Elektronik
Posta (KEP) adresi yerine başka bir KEP adresinden gönderilebilir
mi?

VERBİS’e kayıt başvuru formu, bu formda belirtilen KEP adresi dışında başka bir
KEP adresinden gönderilememektedir.

48 Desafe - Kurumsal
KVKK Danışmanlığı

Kanun kapsamında yapılan incelemeler neticesinde
suç unsuruna rastlanılması halinde nasıl bir yol izlenecektir?

Kanunda bu hususta özel bir düzenleme bulunmamakla birlikte, herhangi bir suç
unsuruna rastlanılması halinde Türk Ceza Kanunu gereğince Kurum tarafından
yetkili makamlara bildirimde bulunulacaktır.

Kanunda belirtilen idari para cezaları her yıl artırılıyor mu?

Kanunun 18. maddesinde; Kanunda öngörülen yükümlülüklere aykırı davranılması
halinde uygulanacak idari yaptırımlar düzenlenmektedir. Söz konusu idari para
cezası miktarları her takvim yılı başından itibaren geçerli olmak üzere, ilgili Resmi
Gazete’de yayımlanan yeniden değerleme oranında artırılarak uygulanmaktadır.

Kurul tarafından düzenlenen idari para cezalarına itiraz edilebilir mi?

Kanunun 18. maddesi gereği Kurul tarafından düzenlenen idari para cezası
yaptırım kararlarına karşı yargı yolu açıktır. 5326 sayılı Kabahatler Kanununun 27.
maddesine göre idari para cezalarına karşı Sulh
Ceza Hâkimliklerine itiraz edilebilir.

İdari para cezası ile birlikte ayrıca bir yaptırım kararı da verilmişse (örneğin para
cezasıyla birlikte ayrıca verinin yurtdışına aktarılmasının durdurulmasına
karar verilmesi) görevli mahkeme İdare Mahkemesi olmaktadır.

Desafe - Kurumsal 49
KVKK Danışmanlığı

Veri Koruma
Görevlisi Kimdir?

KVKK Açısından Atanması Zorunlu
mudur?

Avrupa Birliği Genel Koruma Tüzüğü’nde(GDPR)
bazı durumlarda veri sorumlularının “Veri Koruma
Görevlisi” bulundurması şart koşulmaktadır. Veri
Sorumluları;

• Veri işleme faaliyeti bir kamu otoritesi tarafından
yürütülüyor ise,

• Veri sorumlusu ve veri işleyenin ana faaliyetleri
büyük çapta bireyleri düzenli ve sistemli olarak
gözetlemekten oluşuyor ise,

• Veri sorumlusu veya veri işleyenin ana faaliyeti
büyük ölçüde özel nitelikli kişisel verilerin
işlenmesinden oluşuyor ise veri sorumluları Veri
koruma Görevlisi atamak zorundadır.

Kişisel Verilerin Korunması Kanunu’nda ise;
“Veri Koruma Görevlisi” ile ilgili düzenleme
bulunmamaktadır. Fakat yükümlülüklerin eksiksiz ve
doğru bir şekilde yapılmasından ve sürecin mevzuata
uygun yönetilmesinden ve güncellenmesinden
bir kişinin sorumlu olması kanuna tam uyumun
sağlanması için faydalı olacaktır.

GDPR’ye göre kişisel verileri koruma görevlisinin
görevleri;

• Mevzuat uyarınca yükümlülüklerini yerine getiren
veri sorumlusuna, veri işleyene ve çalışanlarına
bilgi vermek ve tavsiyede bulunmak

50 Desafe - Kurumsal
KVKK Danışmanlığı

• Denetim makmına danışılması gereken kişisel veri işleme konularında danışmak
ve makamla irtibatı sağlamak şeklinde sıralanmıştır.

• Kişisel verileri koruma görevlisinin veri sorumlusu tarafından atanması ya da
seçilmesi tek başına yükümlülüğün yerine getirilmesi için yeterli değildir. Veri
sorumlusunun veri koruma görevlisine gerekli yetkileri vermesi, kaynakları
ayırması ve süreçlere dahil etmesi gerekir. GDPR bu konuyu da detaylı olarak
düzenlemiştir.

• Veri sorumlusu veya veri işleyenin kişisel verilerin korunması ile ilgili
politikalarının yanı sıra kişisel veri işlemede yer alan çalışanların
bilinçlendirilmesi ve eğitilmesi ve ilgili denetimlerin mevzuata uygunluğunu
takip etmek

• Talep edildiğinde kişisel verilerin korunmasına etki değerlendirmesi ve başarısı
ile ilgili tavsiyelerde bulunmak

• Kişisel verilerin korunması ile görevli denetim makamı ile işbirliği yapmak