Desafe - Kurumsal 51
KVKK Danışmanlığı
“Herhangi Bir Veri
İhlali Durumunda,
Veri Sorumlusunun
72 Saat İçerisinde Bu
İhlali Kurula ve İlgili
Kişiye Bildirmekle
Yükümlü Olduğunu
Biliyor musunuz?”
Veri Sorumlularının 6698 sayılı Kişisel Verilerin
Korunması Kanununun 12 nci maddesinin (5)
numaralı fıkrasında yer verilen “en kısa sürede”
(24.01.2019 tarih ve 2019/10 sayılı Kurul kararında
belirtilen 72 saatlik süre içerisinde) bildirimde
bulunma yükümlülüğüne uygun hareket etmesi ve
18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına
uygun şekilde ilgili kişilere bildirimde bulunması
gerekmektedir.
52 Desafe - Kurumsal
KVKK Danışmanlığı
E-Ticaret Sitelerinin
KVKK Kapsamındaki
Yükümlülükleri
Nelerdir?
E-Ticaret kavramının ne olduğu yasa koyucu tarafından 6563 Sayılı Elektronik
Ticaretin Düzenlenmesi Hakkında Kanun’un 2. Maddesinin ilk fıkrasının (a)
bendinde açıkça tanımlanmıştır. Bu tanıma göre e-ticaret, “fiziki olarak karşı
karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve
ticari her türlü faaliyeti” ifade etmektedir. Tanımdan da görüleceği üzere e-ticaret
kavramı oldukça geniş bir kavramdır. Geçmişten beri gelmekte olan yüz yüze
alışverişe dayanan geleneksel yaklaşımın ortadan kalktığını artık günümüzde
e-ticaret şirketleri aracılığıyla çevrimiçi sağlayıcılar üzerinden tüketicilerin
ihtiyaçlarını satın aldığını görmekteyiz.
E- ticaret şirketleri, ürünlerinin satışlarını e-ticaret siteleri üzerinden
yapmaktadırlar. Dolayısıyla da e-ticaret şirketlerinin satış için kullanmış olduğu
bu e-ticaret sitelerini düzenlerken belirli yükümlülükleri bulunmaktadır. Zira
tüketicinin yüz yüze alışverişteki güveni, e-ticaret sitelerinden alışveriş yaparken
de hissetmesi gerekmektedir. Bu güvenin oluşması için Kişisel Verilerin
Korunması Kanunu’nda da e-ticaret şirketlerinin birtakım hukuki yükümlülükleri
bulunmaktadır. Bu yükümlülüklere kısaca değinecek olursak;
• Öncelikle KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin
yükümlülükleri kapsamında; kişisel verilerin hukuka aykırı olarak işlenmesini
ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin
muhafazasını sağlamak amacıyla gerekli her türlü idari ve teknik alt yapıyı
sağlamak zorundadır. Bunun için de e-ticaret sitelerinde Sayısal Sertifakalar,
SSL Güvenlik Katmanı, Güvenlik Duvarları gibi birtakım güvenlik önemleri
kullanılmaktadır. Bu önlemler sayesinde e-ticaret sitesini kullanan veri
sahiplerinin, verilerinin başka web site sahipleri tarafından kopyalanmasının
önüne geçilmektedir.
Desafe - Kurumsal 53
KVKK Danışmanlığı
• Veri sorumlusu, aydınlatma yükümlülüğü kapsamında kişilere; Veri
sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla
işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddede
sayılan hakları konusunda bilgi vermekle yükümlüdür. Belirtilen unsurların
tamamı KVKK’nın 10. Maddesinde yer almaktadır. Dolayısıyla e-ticaret
şirketlerinin KVKK’ya uyum sağlamak ve herhangi bir yaptırıma maruz
kalmamak için içerisinde bu unsurların da yer aldığı “Aydınlatma Metni”ni
e-ticaret sitelerinde yayınlamaları gerekmektedir. Açık rızanın aranmadığı
hallerde dahi veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi
şarttır.
• E-ticaret yapan şirketler, e-ticaret sitelerinde alışveriş yapan kişilerin ad, soyad,
T.C kimlik numarası, kredi/banka kart bilgileri, nüfus ve ikamet bilgileri, IP
gibi çeşitli bilgilerini alışveriş esnasında işlediği gibi aynı zamanda kullanmış
oldukları çerez politikaları ile de kişilerin ilgi alanları, gezinti yaptıkları sitelerden
de yola çıkarak alışveriş alışkanlıkları, site gezintileri, zaman bilgisi, online
alışveriş sırasında görüntülenen sayfa sayısı, ziyaret süresi gibi veriler de
toplamaktadırlar. Bu durumda veri sorumlusunun yani e-ticaret sitesi hizmet
sağlayıcısının işbu verileri nasıl topladığına ilişkin gereken açıklamayı da
e-ticaret sitesini kullanan kişilere yapmakla yükümlüdür. Veri sorumlusunun
kullanıcılardan e-ticaret sitesinin gizlilik ve çerez politikasını kabul ettiklerine
dair onaylarını alması gerekmektedir.
• E-ticaret sitelerinde KVKK’nın 5. Maddesinin 2. Fıkrasında sınırlı olarak sayılan
istisnalar dışında, hizmet sağlayıcıların veri işleyebilmek için kullanıcılarının
açık rızalarını almaları gerekmektedir. Kullanıcıların açık rızalarının küçük bir
“onaylıyorum” kutucuğu ile alınması mümkündür.
54 Desafe - Kurumsal
KVKK Danışmanlığı
• Son olarak; veri sorumlusu, KVKK gereğince, Veri sorumlusu ve varsa
temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği,
veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki
açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı
ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan
tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre gibi
hususları içeren bir bildirimle Veri Sorumluları Sicili (VERBİS)’ne kaydolmak
zorundadır.
Uzun süredir hayatımızda olan
e-ticaret alanında, büyüklü küçüklü
birçok işletme hizmet vermektedir.
Dolayısıyla hizmet veren bu
işletmelerin tamamının e-ticaret
sitelerini kurarken, yukarıda kısaca
bahsettiğimiz hususlara dikkat
etmesi, verilerini bunlara göre
işlemesi gerekmektedir. Aksi
takdirde e-ticaret sitelerinin hizmet
sağlayıcılarının KVKK ve diğer
mevzuat hükümlerine aykırılık
dolayısıyla ciddi yaptırımlarla
karşılaşması söz konusudur.
Desafe - Kurumsal 55
KVKK Danışmanlığı
Veri Sorumlusuna
Yapılacak
Başvurularda
Dikkat Edilecek
Usul Şartları
Nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanununun ‘İlgili Kişinin Hakları’ başlıklı 11
inci maddesinde; İlgili kişilerin hakları sayılmıştır ve ilgili kişiler veri sorumlusuna
başvurarak işbu haklarını ileri sürebilmektedirler. Fakat; Veri sorumlusuna yapılan
başvurularda eksikliklerin meydana gelmemesi ve ilgili kişilerin eksiklikler sebebiyle
mağdur olmaması için ilgili kişilerin veri sorumlusuna yapacakları başvurularda
usul şartlarına dikkat etmeleri büyük önem taşımaktadır.
Bu sebeple; Veri Sorumlusuna başvurunun nasıl yapılacağı, Kanunun 13 ve 14
üncü maddelerinde belirlenmiştir ve Kanunun 13 üncü maddesinin (1) numaralı
fıkrasında; “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak
veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir” hükmü yer
almaktadır.
Ayrıca; “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in “Başvuru
Usulü” başlığını taşıyan 5 inci maddesinin birinci fıkrasında “İlgili kişi, Kanunun 11
inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı
elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi
tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde
kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına
56 Desafe - Kurumsal
KVKK Danışmanlığı
yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir”
hükmüne yer verilmiş olup, başvuruda bulunması zorunlu unsurlar ise ad, soyad,
başvuru yazılı ise imza, T.C. Kimlik No., tebligata esas yerleşim yeri veya iş yeri
adresi, varsa bildirime esas e-posta adresi ve talep konusu olarak sayılmıştır.
Tüm bu sayılan sebeplerle İlgili Kişilerin başvurularda; Kanunun 13 üncü maddes-
ine ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde belirlenen
yöntem ve esaslara dikkat etmesi ve bu kapsamda;
• Veri sorumlusuna yapılacak başvuruların yazılı olarak veya kayıtlı elektron-
ik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi
tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sis-
teminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya
başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla
yapılması
• Başvuru veri sorumlusuna ilgili kişinin KEP adresi dışında bir e-posta adresi üz-
erinden iletilecek ise mutlak surette veri sorumlusuna daha önce bildirilmiş ve
veri sorumlusu nezdinde kayıtlı bulunan e-posta adresinin kullanılması
• Veri sorumlusuna başvuru yazılı yapılmış ise mutlak surette başvuruda imzaya
yer verilmesi, vekil aracılığı ile yapılan başvurularda vekaletname örneğinin
iletilmesi
• Yapılan her başvurunun ad, soyad, T.C. Kimlik No., tebligata esas yerleşim yeri
veya iş yeri adresi, varsa bildirime esas e-posta adresi ve talep konusu içermesi
• Yapılan başvuruların Kanunun 11 inci maddesinde yer verilen ilgili kişinin hakları
kapsamında olması gerekmektedir.
Desafe - Kurumsal 57
KVKK Danışmanlığı
Mali Müşavirler
Açısından
Kişisel Verilerin
Korunması
Veri sorumlusu; kişisel verilerin işlenme
amacını ve yöntemini belirleyen, yani
işbu işleme faaliyetinin neden ve nasıl
yapılacağının cevaplarını verecek olan
kişidir. Buna göre; mali müşavirler de
kendi ofislerinde çalıştırdıkları personeller
ve müşterilerinin hesaplarıyla ilgili kayıtları
tutarken veri sorumlusu sıfatına haizlerdir.
Ya da müşterilerinin personellerinin
bordrolarını hazırlarken işbu kayıtlardaki
kişisel verilerin işlenmesi konusunda veri
işleyen konumundalardır. Bu sebeple
kanun kapsamında yükümlülükleri yerine
getirmeleri gerekmektedir.
Mali müşavirlerin verbis açısından
durumuna bakacak olur isek; Kişisel
Verilerin Korunması Kanununun 16.
Maddesi uyarınca; kişisel verileri işleyen
gerçek ve tüzel kişiler, veri işlemeye
başlamadan önce Veri Sorumluları
Siciline kaydolmak zorundadır. Fakat
yine aynı Kanun maddesinin devamında
Kurulca belirlenecek objektif kriterler
de göz önüne alınmak suretiyle, , Kurul
tarafından Veri Sorumluları Siciline kayıt
zorunluluğuna istisna getirilebileceği
58 Desafe - Kurumsal
KVKK Danışmanlığı
belirtilmiştir. Buna göre; mali müşavirler Kişisel Verileri Koruma Kurulunun
02.04.2018 tarih ve 2018/32 Sayılı Kararı ile VERBİS kaydından istisna edilmiştir.
Ancak mali müşavirlik şirketleri işbu istisna kapsamında yer almamaktadır.
Dolayısıyla Veri Kayıt Yükümlülüğü şartlarını taşıyan mali müşavirlik şirketleri de
VERBİS’e kaydolmak zorundadırlar.
Mali Müşavirlerin; Kurul kararıyla VERBİS’e kaydolma zorunluluğu bulunmamasına
rağmen, KVKK’ye uyma zorunlulukları halen devam etmektedir. Mali müşavirler
de VERBİS’e kaydolma zorunlulukları bulunmamalarına rağmen, aydınlatma
yükümlülüğü uyarınca açık rıza beyanı almak ve aydınlatma metnini hazırlamak,
veri güvenliğine ilişkin yükümlülükleri dolayısıyla idari ve teknik tedbirleri almak,
kişisel veri işleme envanteri hazırlamak; ilgili kişiler tarafından yapılan başvuruların
cevaplanması yükümlülüğüne, Kurul kararlarının yerine getirilmesi yükümlülüğüne
uymak zorundadırlar.
Mali Müşavirler, KVKK’nin atfıyla Türk Ceza Kanunun 135 ila 140. Maddeleri
uyarınca ve yine KVKK’nin 18. Maddesinde yer alan kabahatlerin işlenmesi halinde
hapis ve idari para cezalarıyla da cezalandırılabileceklerdir.
Sonuç olarak; Mali Müşavirlerin VERBİS’e kaydolma zorunlulukları
bulunmamaktadır fakat diğer zorunluluğu bulunan veri sorumlusu olan gerçek ve
tüzel kişiler gibi Kişisel Verilerin Korunması Kanununda yer alan yükümlülükleri
riayet etmek zorundadırlar.
Desafe - Kurumsal 59
KVKK Danışmanlığı
Veri İhlaliyle
Karşılaşılması
Durumunda Ne
Yapılmalıdır?
6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin 1. fıkrasında veri
sorumlusunun; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel
verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiş, 12. Maddes-
inin 5. fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede il-
gilisine ve Kişisel Verileri Koruma Kuruluna bildireceği, Kurulun, gerekmesi hâlinde
bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kanunu’nun yukarıda bahsi geçen hükmü gereğince; veri
sorumluları, ilgili veri ihlalinden haberdar olur olmaz en kısa sürede Kurul’a bilgi
vermesi gerekmekte olup, Kurul tarafından Kanunda bahsi geçen “en kısa sürede”
ifadesi ise, 04.01.2019 tarih ve 2019/10 sayılı kararında açıklanmıştır.
Bu karara göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten
itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı
bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle
birlikte gecikmenin nedenlerinin de Kurul’a açıklanması da şarttır.
Ayrıca, Kurul tarafından bildirimde bulunurken veri sorumlularının doldurması için
bir “Veri İhlali Bildirim Formu” da sitesinde yayınlamış olup, veri ihlallerinin bildi-
rilmesinde kullanılacak çevrimiçi sistemin duyurusunu da yapılmıştır.
Veri sorumlusu; Kurula yapacağı bildirimin haricinde, söz konusu veri ihlalinden
etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre
içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa
veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntem-
lerle bildirim yapmalıdır.
60 Desafe - Kurumsal
KVKK Danışmanlığı
SGK Teşviklerinden
Yararlanmanın En
Kolay Yolu
Anadolu’dan tüm Türkiye’ye dünden bugüne güçlü adımlarla; Kurumsal Yazılım ve
Teknoloji, Özel Güvenlik, Dış Kaynaklı Personel Temini, Ortak Sağlık ve Güvenlik
Birimi, KVKK Kurumsal Danışmanlık, Bilgi Güvenliği Hukuk ve Teknik Danışmanlık
hizmetleri sunan ve 2008 yılından bu yana hem özel sektör hem de kamu
sektörüne hizmet veren grubumuzun güçlü değerlerinden ortaya çıkan bir marka;
KolayTeşvik
KolayTeşvik ile işletmelerin SGK Teşvik Danışmanlık ve Bordrolama hizmetlerini
kolay, güvenli, doğru ve hızlı bir şekilde yürütmelerine yardımcı oluyoruz. Alanında
uzman kadromuz ile her zaman güncel mevzuatı takip ediyor ve çift kontrol
yazılım sistemimiz sayesinde birden çok teşvik kazanımında en fazla getiriyi
sağlayacak teşviki tespit ederek işletmelere maksimum teşvik kazancı sağlıyoruz.
Ayrıca SGK Teşvik Danışmanlık hizmetinin yanı sıra; işletmelerin tüm personel bor-
dro süreçlerinin yönetimi ile Profesyonel Bordrolama ve İnsan Kaynakları Hizmeti
de işimizin bir parçasıdır.
Günümüzde büyük önem taşıyan SGK Giriş-Çıkış, Maaş Hesaplanması ve Bordro
İşlemleri, Mesai ve Ücret Yönetimi, Kıdem-İhbar Tazminatı, Ücretli-Ücretsiz İzin
Yönetimi, Sendika Özlük ve Ücret İşlemleri gibi işletmelerin ihtiyaç duyduğu tüm
İnsan Kaynakları Yönetimi firmanız adına sorunsuzca yürütülür ve olası cezaların
önüne geçmenize yardımcı olunur.
Tüm bu işlemleri Türkiye’ de ilk ve tek T.C. Kültür ve Turizm Bakanlığı
Telif Hakları Genel Müdürlüğü tarafından tescil edilmiş 2018 yılında ürettiğimiz
ve sürekli güncellediğimiz tamamen tarafımıza ait olan yazılımımız ile
gerçekleştiriyoruz.
Desafe - Kurumsal 61
KVKK Danışmanlığı
KolayTeşvik Cari Dönem Teşvik Yönetimi
hizmeti firmaların cari aydaki teşvik sürecinin
tamamını yürütür, denetler ve kazandırır.
Böylece; %37,5’a varan oranlarla SGK
Teşviklerinden yararlanma imkanı doğar.
RAKAMLARLA SGK TEŞVİKLERİ
VE KOLAY TEŞVİK;
% Ben teşviklerden 9%0 Bana teşvik yoktur diyen
93! faydalanıyorum diyen işverenlerin %90‘ ında
işverenlerin %93 ‘ ünün eksik faydalanmadığı teşvik tespit
veya hatalı faydalandığını ettiğimizi biliyor musunuz?
biliyor musunuz?
O Ilk günden bugüne sıfır % Diğer teşvik danışmanlık
HATA hatalı teşvik hesaplaması 89! şirketlerinden %89 daha fazla
yaptığımızı biliyor musunuz? teşvik hesapladığımızı biliyor
musunuz?
% Diğer programlara göre % Güvenilir olduğumuzu ve
40! ortalama %40 daha fazla 100! arkamızda Ege’ nin en çok
teşvik hesapladığımızı biliyor istihdam sağlayan şirketlerinden
musunuz? biri olduğumuzu biliyor musunuz?
% Diğer programlara göre; Üç yıl içerisinde işverenlere
100! daha güvenilir, gelişmiş kazandırdığımız teşvik tutarı
yazılımlar kullandığımızı (2018 - 2019 - 2020)
biliyor musunuz?
160.976.297 ₺
Türkiye’ de ilk ve tek T.C.
Kültür ve Turizm Bakanlığı
1 ! Telif Hakları Genel
Müdürlüğü tarafından
tescil edilmiş yazılımı olan
şirket olduğumuzu biliyor
musunuz?
www.kolaytesvik.com
62 Desafe - Kurumsal
KVKK Danışmanlığı
Unutulmamalıdır ki; Kanunun 12. maddesinde
öngörülen veri güvenliğine ilişkin yükümlülükleri
yerine getirmeyenler hakkında 29.503 Türk
lirasından 1.966,862 Türk lirasına kadar idari
para cezası uygulanabilmektedir.
Bu duruma örnek olarak; Kurul’un, 16.04.2020
tarih ve 2020/286 sayılı vermiş olduğu karar
gösterilebilir. Bu karar ile Kurul, zamanında bildi-
rim yapmayan veri sorumlusu hakkında 100.000
TL idari para cezasının uygulanmasına karar
vermiştir.
Desafe - Kurumsal 63
KVKK Danışmanlığı
“Veri Sorumlusu
Olarak İşlemekte
Olduğunuz Kişisel
Verilere İlişkin Tüm
İdari ve Teknik
Tedbirleri Aldınız
mı?”
Veri sorumlusu; işlemekte olduğu kişisel verilere
ilişkin tüm idari ve teknik tedbirleri almakla
yükümlüdür. Bu nedenle, veri güvenliğine ilişkin
aykırılık hâlinde, 29.503 TL-1.966.862 TL aralığında
idari para cezası ile karşı karşıya kalabilmektedirler.
64 Desafe - Kurumsal
KVKK Danışmanlığı
KVKK Farkındalık
Eğitimi Neden
Önemlidir?
6698 sayılı Kişisel Verilerin Korunması Kanunu; başta özel hayatın gizliliği olmak
üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen
gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek
amacıyla kabul edilmiştir. Bu amaç doğrultusunda da; Kişisel Verileri Koruma
Kurumu, Kişisel Veri Güvenliği Rehberi’ni
yayınlamıştır ve veri sorumluları
tarafından alınması gereken idari ve teknik
tedbirleri belirtmiştir. Rehber uyarınca
veri sorumlusunun alması gereken
idari tedbirlerden biri de çalışanların
eğitilmesi ve farkındalık çalışmalarının
gerçekleştirilmesidir.
Çalışan KVKK Farkındalık Eğitimi ile;
Şirketlerde çalışan herkesin, kanun ile ilgili
görev ve sorumluluklarını bilmesini ve
farkında olmasını sağlamak, çalışanların
şirket tarafından işlenen kişisel verileri
kanuna aykırı olarak açıklamasını ve
üçüncü kişilere aktarmasını önlemek,
personel nezdinde gerçekleşecek
olan veri ihlallerinin önüne geçmek
Desafe - Kurumsal 65
KVKK Danışmanlığı
amaçlanmaktadır.
Ayrıca; Çalışanların kusur ve/veya ihmali dolayısıyla gerçekleşecek veri ihlalleri
dolayısıyla sorumluluğun veri sorumlusu sıfatını haiz veri sorumlusu üzerinde
doğacağı unutulmamalıdır. Bu nedenle veri sorumlusu olan şirketin çalışanlarına
verilecek olan eğitim, veri ihlallerinin engellenmesi ve veri işleme faaliyetinin
Kanun’a uygun şekilde yürütülmesi bakımından son derece önemlidir.
Eğitim kapsamında ilk olarak çalışanlara kişisel verinin önemi anlatılmalı ve
çalışanlar tarafından konunun öneminin anlaşılması sağlanmalıdır. Daha sonra
Kişisel Verileri Koruma Kanunu ile ilgili bilgilendirme yapılmalı, Kanun’un amacı,
kişisel verinin hangi şartlarda işlenebileceği konularında bilgilendirme yapılmalıdır.
Bu eğitimlerde mutlaka; KVKK kapsamında alınan tedbirler, yürürlüğe konulan
politikalar, yapılması gerekenler, verisi işlenen ilgili kişinin hakları konularını da yer
verilmeli sonrasında Kanun’a aykırı fillerin cezaları, şirketin/kurumun baş başa
kalabileceği idari cezalar, TCK’daki konuyla ilgili suçlar, veri ihlali durumunda
yapılması gerekenler üzerinde durulmalıdır.
KVKK Farkındalık Eğitimleri, ayrıca mevzuat kapsamında uygulanan idari ve
cezai yaptırımlar sebebiyle de oldukça önem arz etmektedir. İdari tedbirlerden
sayılan çalışanların eğitilmesi ve farkındalık çalışmalarını yerine getirmeyen
veri sorumluları, Kanun’un 18 . maddesi gereğince yaptırımlarla karşı karşıya
kalabilirler.
Çalışanlarınıza gerekli eğitimlerin verilmesi ve bu konularla ilgili daha fazla bilgi ve
danışmanlık hizmeti almak için tarafımıza [email protected] e-posta adresinden
iletişime geçebilirsiniz.
66 Desafe - Kurumsal
KVKK Danışmanlığı
KVKK Açısından
Çocukların
Kişisel Verilerin
Korunması
6698 Sayılı Kişisel Verilerin Korunması
Kanunu’nda çocukların kişisel
verilerine ilişkin özel bir düzenleme
mevcut değildir. Bu durum uygulama
da belirsizliğe ve dolayısıyla da
problemlere neden olmaktadır. En sık
karşımıza çıkan problemlerden biri
ise, veri ilgilisinin çocuk olması halinde
aydınlatma yükümlülüğünün yerine
getirilmesi ve açık rıza alınması gereken
durumlarda açık rızanın kimden ve nasıl
alınacağıdır.
Kişisel Verileri Koruma Kurul’unun bu
konuda vermiş olduğu 11/08/2020 tarih
2020/622 Sayılı Kararı bulunmaktadır.
Bu karara göre; on sekiz yaşını
doldurmamış ilgili kişiye ait sağlık
raporunun kayıtlardan imha edilmesine
yönelik ilgili kişinin babası tarafından
yapılan başvuruda, çocuğun üstün
yararı gözetilerek kişisel verilerin
korunması hakkının nispi kişiye sıkı
biçimde bağlı hak kategorisinde ele
Desafe - Kurumsal 67
KVKK Danışmanlığı
alınmasının yerinde olacağı kararı ve her iki tarafın da hakkı kullanmada
verilmiştir. yetkili olduğu kabul edilmiştir.
İlgili Kararda; kişilik hakkının, kişinin Çocuklara ait kişisel verilerin işlenmesi,
maddi ve manevi varlıkları ile iktisadi Avrupa Genel Koruma Tüzüğü (GDPR)
bütünlüğü ve sır çevresi üzerinde kapsamında ise düzenlemeye yer
sahip olduğu kişiye sıkı sıkıya bağlı bulmuştur. Bu konuyu ele alan GDPR’ın
bir hak olduğu, bu niteliği nedeniyle 8. maddesinde çocuğun kişisel
herkese karşı ileri sürülebilen bu hakkın verilerinin işlenmesi için 16 yaşından
başkasına devredilemez, vazgeçilemez büyük olması koşulu aranmaktadır.
ve zamanaşımına uğramaz nitelikte Eğer 16 yaşından küçük ise, o halde
olduğu, kişiye sıkı sıkıya bağlı olan onun yasal olarak tayin edilmiş velisi ya
hakların bu niteliklerinden ötürü miras da vasisinin izninin alınması gerekmekte
yoluyla mirasçılara geçmediği ve olup, veri işleme faaliyeti, velinin/vasinin
hak süjesinin ölümüyle kendiliğinden rıza verdiği veya onayladığı ölçüde
ortadan kalktığı; bu anlamda, ilgili hukuka uygundur.
kişilerin kişisel verilerinin işlenmesi
kapsamında sahip olduğu hakların da Ayrıca; GDPR’ ın bu maddesi ile
kişiye sıkı sıkıya bağlı haklardan olduğu; Avrupa Birliği’ne üye devletlerin kendi
kişiye sıkı sıkıya bağlı hakların öğretide iç hukuk düzenlemelerinde bu yaşı
mutlak ve nispi olarak ayrıldığı ifade değiştirebilecekleri fakat bu değişimin
edilmiştir. 13 yaştan az olmayacak şekilde
yapılması gerektiği de düzenlenmiştir.
Veli veya vasisinin rızasıyla nişanlanma,
evlenme, evlilik dışı çocuğu tanıma, mal
rejimi sözleşmesi yapma, derneğe üye
olma, ölüme bağlı tasarrufta bulunma
gibi mutlak kişiye sıkı biçimde bağlı
hakların kullanılmasında karar verme
yetkisi hak sahibine tanınmışken; kişiliği
koruyucu davalar, yaş ve isim düzeltme
davalarını ikame etme gibi nispi kişiye
sıkı biçimde bağlı haklar ise küçük
tarafından bizzat kullanılabileceği gibi,
veli veya vasinin de küçük adına ve
hesabına kullanabildiği haklardandır.
Bu kapsamda, küçüğün ayırt etme
gücüne sahip olması koşuluyla,
çocuğun üstün yararı gözetilerek kişisel
verilerin korunması hakkının nispi kişiye
sıkı şekilde bağlı haklardan olduğu
68 Desafe - Kurumsal
KVKK Danışmanlığı
Kişisel Veri
İhlallerinde
Kişinin Tazminat
Hakkı
Kişisel Verilerin Korunması Kanununda; kişisel verilerin işlenme şartları, kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, kişisel verilerin
aktarılması gibi konuların yanında ayrıca veri sorumlusunun aydınlatma ve veri
güvenliğine ilişkin yükümlülükleri de yer almaktadır.
Veri sorumlularının, kanunda bahsi geçen yükümlülüklerine uymaması ve bu
uygulamalarla ilgili olarak kişilik haklarını ihlal etmeleri durumunda Kişisel Verilerin
Korunması Kanununun 14. Maddesinin 3. Fıkrasında yer alan “Kişilik hakları ihlal
edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmüne göre kişinin
tazminat davası açma hakkı bulunmaktadır. Eğer ki dava açılırsa; 4721 sayılı Türk
Medeni Kanunu m.23 – 25; 6098 sayılı Türk Borçlar Kanunu m.58; 4982 sayılı
Bilgi Toplama Kanunu m.4; Anayasa Kanunu m.20/3; KVK m.14/3 hükümleri
uygulanması gereken bazı genel düzenleme hükümleridir.
Desafe - Kurumsal 69
KVKK Danışmanlığı
Yargıtay 4. Hukuk Dairesi 08/05/2019 tarih ve 2019/979 E. - 2019/2679 K. Sayılı
ilamında yer alan “…Şu halde; davacının kimlik bilgilerinin rızası dışında kullanılması
sebebiyle davacının kişisel verilerinin haksız olarak ele geçirildiği ve kullanıldığı
sabit olup davalının eyleminin davacının kişilik haklarına saldırı teşkil ettiği
dikkate alınarak uygun bir miktar manevi tazminata hükmedilmesi gerekirken…”
ibarelerinden de görüleceği üzere; kişilik hakları ihlal edilen kişinin tazminat hakkı
bulunduğunu göstermektedir.
Kişisel hakları ihlal edilenler, tazminat haklarını kullanmak amacıyla, veri
sorumlusunun hukuki statüsüne göre, adli veya idari yargıda dava açabilirler.
Kişisel verilerin işlenmesiyle ilgili kişisel değerler, kişinin; şeref ve onuru, yaşam
alanı, resim veya fotoğrafı ve sesi ile özel nitelikteki kişisel verileri olarak
belirtilebilir. Kişinin özel nitelikli kişisel verileri; kişinin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kişinin kişilik haklarına saldırı söz konusu olduğunda Türk Medeni Kanununun
23. Madde ve devamındaki hükümleri uyarınca kişinin kişilik hakkına saldırının
önlenmesi, sonlandırılması veya tespiti davası açılabilir. Tüm bunların dışında kişi
bu saldırı sonucunda uğradığı maddi ve manevi zararına yönelik tazminat davası
da açabilir.
70 Desafe - Kurumsal
KVKK Danışmanlığı
KVKK
Kapsamında
“Alenileştirme”
Kavramı
Alenileştirme kavramı “Herkes gelmesi, örneğin herkesin görebileceği
tarafından bilinir kılma” anlamına bir yerde olması ya da herkesin
gelmektedir ve KVKK’nın 5. erişimine açık durumda bulunması
maddesinde, kişisel verilerin alenileştirilmiş olması bakımından
işlenebilmesi için gerekli olan “kişisel yeterli olmamakta; eylemin, ilgili
verisi işlenen gerçek kişinin açık kişinin iradesi ile de desteklenmesi
rızasının alınması gerekliliği”nin gerekmektedir. Kişinin iradesi dışında
istisnalarından biri olarak sayılmıştır. bir sebeple kişisel verinin kamuoyuna
açıklandığı durumlarda Kanun
Buna göre, ilgili kişinin kendisi kapsamında bir alenileştirmeden söz
tarafından alenileştirilen, bir başka etmek mümkün olmayacaktır.
ifadeyle herhangi bir şekilde
kamuoyuna açıklanmış olan kişisel Alenileştirilmiş olan bilgilerin
veriler, ayrıca ilgili kişinin açık rızası amacının dışında kullanılıyor olması
olmaksızın KVKK’nın 4. maddesinde da yasaktır. Alenileştirme eylemi; ilgili
düzenlenen genel ilkeler kapsamında kişilerin, kişisel verilerini kamuoyu
işlenebilecektir. ile paylaşması amacı ile sınırlıdır.
Veri sorumlularının; ilgili kişinin
Fakat burada önemli bir nokta vardır; alenileştirme amacından farklı ya
kişisel verinin, aleni kabul edilebilmesi da bu amacı aşan şekilde kişisel
için öncelikle ait olduğu kişinin aleni veri işleme faaliyetinde bulunmaları,
olmasını istemesi, başka bir ifade ile başkaca bir işleme şartına
bu yönde bir iradesinin var olması dayanılmadığı sürece, Kanuna aykırılık
gerekir. Bu anlamda tek başına oluşturacaktır. Diğer bir deyişle verinin
kişisel verinin kamuoyuna açık hale ilgili kişi tarafından alenileştirilmiş
Desafe - Kurumsal 71
KVKK Danışmanlığı
olması, veri sorumluları tarafından hareket edilmiş olunacaktır.
her türlü amaçla gerçekleştirilecek
işleme faaliyetini hukuka uygun hale Sonuç olarak; KVKK’nın 5.
getirmeyecektir maddesinde, kişisel verilerin
işlenebilmesi için gerekli Kişisel veri
Mesela buna bir örnek vermek işleme şartlarından “ilgili kişinin
gerekirse internet sitesi üzerinden kendisi tarafından alenileştirilmiş
ikinci el satışı yapılan bir aracının olması” şartına dayandırılması için
satılması amacıyla bilgilerini “ilgili kişilerin alenileştirme iradesinin
paylaşan ilgili kişinin iletişim bilgileri varlığı” ve “ilgili kişinin alenileştirme
hiçbir şekilde pazarlama amacıyla amacına uygun olarak” işlenmesi
kullanılamaz. Böyle bir durumun tespit hususuna özen gösterilmesi önem arz
edilmesi halinde ise kanuna aykırı etmektedir.
72 Desafe - Kurumsal
KVKK Danışmanlığı
Kurumsal İleti
Yönetim Sistemi
Hakkında Sık
Sorulan Sorular
1. Alıcı nedir?
İşletmeler yani Hizmet Sağlayıcılar tarafından gönderilen ticari elektronik iletilerin
muhatabı olan arama, mesaj ve e-posta gibi iletişim adresi sahibi kişiler alıcı olarak
anılmaktadır. Yani sizin göndereceğiniz doğrulama kodu / açık rıza metni gibi
içeriklerin muhatabı olan kişilerdir.
2. Hizmet sağlayıcı kimdir?
Kanun çerçevesinde, arama, mesaj, e-posta vb. araçları kullanarak ticari iletişim
sağlayan gerçek ve tüzel kişiler Hizmet Sağlayıcı olarak adlandırılmaktadır.
3. Ticari elektronik ileti nedir?
Gerçek ve tüzel kişilerin ticari faaliyetleri doğrultusunda mal ve hizmetlerini
tanıtmak, pazarlamak ya da işletmesinin tanınırlığını arttırmak amacıyla elektronik
iletişim araçlarıyla yapılan her türlü ticari iletişimi ticari elektronik ileti olarak
adlandırılır.
4. Onay ne anlama gelmektedir?
Onay, Hizmet Sağlayıcı’nın ticari elektronik ileti gönderimi öncesinde alıcının
rızasını almasını ifade eder. Bu rızanın alınması Kanun gereğince zorunlu
tutulmuştur.
Desafe - Kurumsal 73
KVKK Danışmanlığı
5. Red bildirimi veya çıkış hakkı neyi ifade
etmektedir?
Alıcının, Hizmet Sağlayıcı’ya ticari elektronik
ileti gönderebilmesi için vermiş olduğu onayı
kaldırması ret bildirimi veya çıkış hakkını
kullanması olarak ifade edilir.
Neler
Yapıyoruz?
KVKK Danışmanlığı kapsamında, doğrulama kodu / linki hizmeti sunmaktayız.
Bu doğrulama linkleri ile açık rıza, aydınlatma işlemleri, e-posta ve gsm no
doğrulama işlemleri gerçekleştirilebilmektedir. Tüm bu işlemlerin KVKK’ ya uygun
içeriklerinin oluşturulması, link yönlendirmeleri gibi süreçlerden oluşması sebebiyle
danışmanlık hizmetlerimiz arasında yer almaktadır. Hatalı içeriklerden oluşan açık
rıza ve onay metinlerinin KVKK’ya aykırı sonuçlar doğurabilmesi sebebiyle bu
oldukça hassas ve dikkatli yürütülmesi gereken bir süreçtir.
İYS Resmî Gazete’de yayımlanarak yürürlüğe alınan Ticari İletişim ve Ticari
Elektronik İletiler Hakkında Yönetmelik’e uygun olarak; Hizmet Sağlayıcılar’ın
arama, mesaj ve e-posta gibi farklı tipte ileti izinlerini saklayıp yönetebilecekleri,
alıcıların verdikleri izinleri görüntüleyip kaldırabilecekleri, izinsiz gönderimleri
şikâyet edebilecekleri, kamunun ise ileti şikâyetlerini ve şikâyete konu iznin
durumunu görüntüleyebilecekleri, web sitesi ve mobil uygulama üzerinden
hizmet verecek, tüm izinleri zaman damgasıyla kayıt altına alıp güvenli biçimde
saklayacak ulusal veri tabanı sistemidir.
74 Desafe - Kurumsal
KVKK Danışmanlığı
Gelişigüzel
Yazılan Ad-Soyad
Bilgisi Kişisel Veri
Sayılır mı?
Kanun, otomatik olmayan yollarla kişisel veri işlenmesini tamamen Kanun kapsamı
dışında tutmamaktadır. Otomatik olmayan yolla veri işleme eğer bir veri kayıt
sisteminin parçası olarak gerçekleştiriliyorsa bu durumda söz konusu veri işleme
faaliyeti de Kanun kapsamında kabul edilmektedir. Dolayısıyla otomatik olmayan
yolla işlenen kişisel veriler, bir veri kayıt sisteminin parçası ise Kanun kapsamında
olacaktır.
Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soyad ve telefon numaraları ise
Kanun kapsamında değildir.
Kişisel veri işlemenin Kanun kapsamında sayılabilmesi için işlenen kişisel verilerin
bir veri kayıt sisteminin parçası olması yani belirli bir takım kriterlere göre
yapılandırılarak işlenmesi gerekmektedir. Ad, soyad ve telefon numarası gibi veriler
bir indeks, fihrist vb. bir veri kayıt sistemi dâhilinde yazılmışsa, söz konusu veri
işleme faaliyeti Kanuna tâbi olacaktır.
Desafe - Kurumsal 75
KVKK Danışmanlığı
Manuel yolla ve gelişigüzel bir biçimde bir kâğıt parçası üzerine yazılan kişisel
veriler Kanun kapsamında olmayacaktır. Bununla birlikte, bir veri kayıt sisteminin
parçası olmadan işlenen kişisel verilerin 6698 sayılı Kanuna tâbi olmaması durumu,
bu verilerin keyfi bir biçimde kullanılabilecekleri anlamına gelmemektedir. Zira
konusu suç teşkil eden durumlar 5237 sayılı Türk Ceza Kanunu kapsamında ele
alınmaktadır.
Bilgisayarda bazı kişisel veriler sadece depolama amacıyla dosya halinde
tutulmakta ise, bu durumda kişisel veri işlenmiş sayılır mı?
Sadece depolama amacıyla dosya halinde bilgisayarda kişisel verilerin tutulması
da kişisel veri işleme kapsamındadır. 6698 sayılı Kanunun 3. maddesinde kişisel
verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem” olarak tanımlanmıştır. Buna göre, kişisel veriler
sadece depolama amacıyla dosya halinde tutulsa ve üzerinde başkaca bir işlem
yapılmasa bile kişisel verilerin işlenmesi olarak değerlendirilecek ve bu faaliyet de
Kanun kapsamında kabul edilecektir.
76 Desafe - Kurumsal
KVKK Danışmanlığı
Veri Sorumluları Tarafından
Kişilerin Telefon Numarası,
E-Posta Adresi Gibi İletişim
Kanallarına Kanuna Aykırı Şekilde
Gönderilen Üçüncü Kişilere Ait
Kişisel Veriler Hakkında İlke Kararı
Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında;
e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet
gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri
içeren dokümanların ilgili kişiye sms ve/veya e-posta vasıtasıyla gönderilmesi
için ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerini
istedikleri, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında
yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilm-
esi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü
kişilere iletildiği görülmüştür ve işbu konu da Kişisel Verileri Koruma Kurumu
tarafından 2020/966 Karar 22.12.2020 Karar Tarihli İlke Kararı Yayınlanmıştır.
Bu ilke karar biz veri sorumlularınca neden önemlidir?
Veri Sorumluları; iletişim kanallarının gelişmesiyle birlikte birçok fatura, ekstre
vb. kişisel veri içeren dokümanları online olarak ilgili kişilere iletmektedir. Bu se-
beple de ilgili kişilerden telefon ve/veya e- posta adreslerini isteyebilmektedirler.
Fakat ilgili kişilerin söz konusu bilgilerinin beyanında yanlışlık olabildiği gibi, ilgili
kişiler üçüncü kişilere ait bilgileri de beyan edilebilmektedirler ve böylece ilgili
kişilere ait veriler içeren dokümanlar üçüncü kişilere iletilmektedir. Burada doğru
ve güncel tutulmayan ve üçüncü kişilere kanuna aykırı olarak gönderilen iletilerin
sorumluluğu veri sorumlularına ait olmaktadır.
Kişisel verilerin doğru ve gerektiğinde güncel şekilde tutulmasının ilgili kişilerin
temel hak ve özgürlüklerinin korunması açısından gerekli olup veri sorumlusunun
kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanmasında aktif özen
yükümlülüğü bulunmaktadır. Aksi takdirde kişilerin güncel olmayan veya yanlış
tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesinin gündeme ge-
lecektir.
Desafe - Kurumsal 77
KVKK Danışmanlığı
Veri Sorumluları olarak ne yapmalıyız?
Bu anlamda; Kişisel Verileri Koruma Kurumu; kişisel verilerin doğru ve
gerektiğinde güncel tutulabilmesini temin etmek amacıyla kişisel verilerin
elde edildiği kaynakların belirli olması ve kişisel verileri toplandığı kaynağın
doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı
ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında
ilgili kişilerce beyan edilen bilgilerin doğrulanmasına yönelik (telefon numarası ve/
veya elektronik posta adresine doğrulama linki gönderilmesi vb. makul önlemler
alınması gerekli görmüştür.
Sonuç olarak işbu ilke karar ; yukarıda bahse geçen yanlışlıklara sebebiyet ver-
memek için iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların
oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda biz veri
sorumlularına uyarı niteliği taşımaktadır.
78 Desafe - Kurumsal
KVKK Danışmanlığı
Kişisel Veri
Güvenliğine
İlişkin Teknik
Tedbirler
Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile
tam güvenliğin sağlanabileceği görüşü her zaman doğru değildir. Çünkü tehditler
her geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler.
Bu kapsamda tavsiye edilen yaklaşım, birçok prensip dahilinde tamamlayıcı
niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.
Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz
erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik
duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk
savunma hattı olacaktır.
İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz
etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların,
kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online
servislere erişimini önleyebilir.
Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve
yapılandırma işlemlerine tabi tutulması gerekmektedir. Ancak yaygın şekilde
kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları
bulunmakta olup, kullanılmayan yazılım ve servislerin cihazlardan kaldırılması po-
tansiyel güvenlik açıklarının azalmasını sağlamaya yardımcı olacaktır. Bu nedenle,
kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı
nedeniyle öncelikle tercih edilebilecek bir yöntemdir.
Desafe - Kurumsal 79
KVKK Danışmanlığı
Diğer önemli unsurlardan biri de yama yönetimi ve yazılım güncellemeleri olup
yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan
güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi de
olası güvenlik açıklarının kapatılması için gereklidir.
Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu
kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları
için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre
kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu şifre ve
parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam
ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak
kombinasyonların tercih edilmesi sağlanmalıdır.
Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları
ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasy-
onu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.
Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı
gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının
sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması,
yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması
için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybet-
meksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin
sınırlandırılması gerekmektedir.
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak
tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması
gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutu-
larak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama
kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir
yol ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.
kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile
gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.
Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen
saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli
belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç
kalınabilmektedir.
80 Desafe - Kurumsal
KVKK Danışmanlığı
Bu durumun önüne geçebilmek için;
a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,
c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log
kayıtları
gibi),
ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
gerekmektedir.
Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından
oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından
en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir.
Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama
araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine
harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için
düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan
güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerek-
mektedir.
Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik
veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye
kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde
saklanmalıdır.
Kişisel Veri İçeren Ortamların Güvenliğinin
Sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt
ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması
gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması
gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış
risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş
çıkışların kontrol altına alınması önemlidir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ
bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir.
Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir
bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde,
mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini
sağlamak amacıyla ayrılabilecektir.
Desafe - Kurumsal 81
KVKK Danışmanlığı
Aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri
sorumlusuna ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için
de alınması gerekmektedir.
Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar,
cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa
da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir
şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir. Ayrıca çalışanların
şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali
riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri alınmalıdır.
Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evrak-
lar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik
önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında
tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına
ilişkin önlemler de alınmalıdır.
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim
kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri
güvenliğinin sağlanmasına yardımcı olacaktır. Bu kapsamda şifre anahtarı, sadece
yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir.
Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve
sadece yetkili kişilerin erişebileceği ortamlarda saklanmalı, söz konusu evraklara
yetkisiz erişim önlenmelidir.
Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre
farklı şartlar sağlayan bir güvenlik sağlama aracıdır. Bu kapsamda, tam disk
şifrelemesiyle cihazın tümü şifrelenebilir ya da cihazda bulunan bir dosya
şifrelenebilir. Bazı yazılımlar ise verilerde değişiklik yapılmasına izin verme-
mek için şifre koruması sunmakla birlikte bu yazılımlar kişisel verinin yetkisiz
kişiler tarafından okunmasını durdurmaz. Bu nedenle hangi şifreleme yöntemleri
kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı
ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih
edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması
halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
82 Desafe - Kurumsal
KVKK Danışmanlığı
Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlen-
mesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi
teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti
sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri
beraberinde getirmektedir.
Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik
önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca
değerlendirilmesi gerekmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilin-
mesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi
halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün
uygulanması önerilmektedir.
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı
sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek
atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir
bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir.
Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye
yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi gerekir.
Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme
ve Bakımı
Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut
sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz
önüne alınmalıdır.
Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller
yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya
kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol
mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların
veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü ku-
rumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve
onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması
için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı
parçaların gönderilmesi gibi işlemler yapılması gerekir. Bakım ve onarım gibi
amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına
çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekmektedir.
Desafe - Kurumsal 83
KVKK Danışmanlığı
Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya
kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa
sürede faaliyete geçmesi gerekmektedir.
Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir.
Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların
açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlar
olabilir. Bu tür kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için
veri yedekleme stratejilerinin geliştirilmesi önerilmektedir.
Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından
erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri
seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok
olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fizik-
sel güvenliğinin de sağlandığından emin olunmalıdır.
84 Desafe - Kurumsal
KVKK Danışmanlığı
Genel Veri
Koruma
Yönetmeliği
(GDPR)
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation); AB
tarafından AB Birliği içerisindeki tüm bireylerin kişisel verilerinin korunması ve
gizliliği amacıyla 25 Mayıs 2018’de yürürlüğe giren en katı gizlilik ve güven-
lik düzenlemesidir. GDPR uluslararası bir boyut taşımakta olup, bu şu anlama
gelmektedir. GDPR sorumluluğu yer veya ülkeyle sınırlı olmayıp Avrupa Birliği
müktesebatına bağlı her ülkenin sınırları içerisinde kurulan şirketler veya bu
tanımın dışında olup da AB vatandaşlarının verilerini işleyen gerçek ve tüzel kişiler
GDPR düzenlemeleri kapsamındadır.
GDPR’ın 3. Maddesinin 2. Bendinde AB dışında kurulu olan bir şirketin herhangi
bir ödemeye dayalı olmasa dahi AB’de yaşayan bir gerçek kişiye (Data Subject)
ürün ve hizmet önermesi ya da AB içindeki bir gerçek kişinin davranışlarını izlem-
esi o şirketin GDPR’a tabi olduğuna dair yeterli gösterge sayılmıştır. Dolayısıyla;
Türkiye’de yer alan gerçek ve tüzel kişiler; AB üye ülkeleri ile ithalat ihracat ve her-
hangi bir ticari faaliyette bulunuyor, web sayfalarında AB’de konuşulan dillerden
biri ile hizmet ve ürün öneriyor, AB vatandaşlarının bilgileri topluyor ve onlara
Avrupa’da kullanılan para birimleri ile fiyat listesi sunuyor, Web sitesi üzerinden
cookies (çerezler) ile AB vatandaşlarının bilgilerini tespit etme, profillerini çıkarma,
alışkanlıklarını bulma, IP adreslerini elde etme de gibi faaliyetler yürütüyor ise
GDPR kapsamında yer almaktadırlar.
Desafe - Kurumsal 85
KVKK Danışmanlığı
Önemle belirtmek gerekir ki; Kişisel Verileri Koruma Kanunu’na (KVKK) uyumlu
halde olmuş olmanız tek başına yeterli olmayıp eğer Avrupa Birliği vatandaşlarının
verisini işliyor iseniz GDPR uyum sürecini ayrı olarak ele almanız gerekmektedir.
6698 sayılı Kişisel Verileri Koruma Kanununa uyum sağlanması ile GDPR’a uyum
sağlanması birbirinden tamamen farklı süreçlerdir. Türkiye’de kurulan ve faaliyet
gösteren fakat bir şekilde Avrupa Birliği vatandaşlarının verilerini işleyen gerçek ve
tüzel kişilerin GDPR’a ayrıca uyum sağlaması elzemdir.
GDPR ve KVKK uyumluluğu bir sefere mahsus yapılması gereken bir güvenlik
standardı da olmayıp şirketlerin tüm faaliyetlerini kanunlarda yer alan düzenlemel-
erle ve devamlılıkla uygulamaları gerekmektedir. Hem KVKK hem de GDPR’da veri
ihlal edenlere ciddi yaptırımlar uygulanmaktadır. Özellikle GDPR ihlallerine bağlı
olarak tek seferde kesilen ceza tutarı 20 milyon Euro’yu veya şirketin küresel çap-
ta yıllık cirosunun yüzde 4’ünü bulabilmektedir. İki seçenekli iş bu yaptırımlardan
hangi tutar daha yüksek ise veri ihlal edene o ceza uygulanacaktır. Bu bağlamda
GDPR kapsamında veri ihlalinde bulunanlar 6698 sayılı Kişisel Verilerin Korunması
Kanununa nazaran daha ağır yaptırımlarla karşı karşıya kalmaktadır.
GDPR kapsamında kişisel veri işleyen her kuruluş tarafından, kişisel veriler-
in korunması doğrultusunda gerekli politikalar oluşturulmalı, çalışanlarına,
müşterilerine vb. taraflarla bilgi paylaşımlarında gerekli veri aktarım protokol ve
prosedürleri hazırlanmalıdır. Ayrıca tüm çalışanlarına veri kullanımı ve paylaşımı
konularında gerekli eğitimler de verilmelidir.
Ayrıca önemle belirtmek gerekir ki; kişisel verileri GDPR’a uyumlu bir şekilde
işleyen kurum ve kuruluşlar AB Birliği ülkelerinde ve diğer ülkelerle yapacakları
ticarette prestij ve güven kazanacak ve bu kazanılan prestij ve güven dolayısıyla
da ticaret hacimlerine büyük bir artı kazandırmış olacaklardır.
86 Desafe - Kurumsal
KVKK Danışmanlığı
Gdpr’a Göre Yapılan Bilgilendirme İle Türkiye’de
Kişisel Veri İşlenmesi
Söz konusu olayda ilgili kişi, yurt dışında mukim veri sorumlusunun aralarındaki
iş sözleşmesinin devamı esnasında KVKK md. 10’dan kaynaklanan aydınlatma
yükümlülüğünü yerine getirmediğini, aralarındaki iş sözleşmesinin eylemli fesih
yoluyla sona erdirilmesinden sonra kendisine ait fotoğraf ve sair kişisel veriler-
inin veri sorumlusunun internet sitesinde halen yer almaya devam ettiğini, söz
konusu kişisel verilerin internet sayfasında yer alması hususunda açık rızasının
alınmadığını ve Kanun kapsamında yaptığı başvuruya veri sorumlusu tarafından
yeterli düzeyde cevap verilmediğini iddia ederek Kuruma başvuruda bulunmuştur.
Eldeki mevcut bilgi ve belgelerden ilgili kişinin, veri sorumlusunun Londra’da bu-
lunan ofisinde işe başladığı ve Avrupa Birliği’nin birincil veri koruma düzenlemesi
olan Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) istinaden kendisine bilg-
ilendirmede bulunulduğu, akabinde ilgili kişinin veri sorumlusunun Türkiye’deki irti-
bat bürosunda çalışmaya başladığı tespit edilmiştir. Hal böyle olduğundan Kişisel
Verileri Koruma Kurulu da ilgili kişi hakkında gerçekleştirilen kişisel veri işleme
faaliyetlerinde GDPR kapsamında yapılan bilgilendirmenin yeterli olacağını ancak
Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10. Maddesine uygun olarak
aydınlatma yükümlülüğünün yerine getirilmesine özen gösterilmesi gerektiğini
önemle vurgulanmıştır.
Kurul ayrıca şikayete konu olayda ilgili kişi Nisan 2021 ile Temmuz 2021 tarihleri
arasında Covid-19 salgını kaynaklı tek taraflı kararla ücretsiz izne çıkartıldığından
Nisan 2021 sonrası dönem için fotoğraf ve sair kişisel verilerin internet sitesinde
yer almaya devam etmesinin “İlgili kişinin temel hak ve özgürlüklerine zarar ver-
memek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zo-
runlu olması” hukuki sebebi kapsamında kalacağını değerlendirmiştir.
Kurul kararında son olarak; ilgili kişiler tarafından veri sorumlularına yapılan
başvuruların etkin, hukuka ve dürüstlük kurallarına uygun olarak sonuçlandırılması
gerektiğini önemle vurgulanmıştır.
Desafe - Kurumsal 87
KVKK Danışmanlığı
Banka Müşterisine Ulaşılamaması Sebebiyle Tbb
Risk Merkezi Sisteminde Kayıtlı Telefon Numarasının
Aranması
Kişisel Verileri Koruma Kurulu 09/12/2021 tarihli ve 2021/1239 sayılı kararında,
veri sorumlusu banka tarafından bankada müşteri kaydı bulunan ilgili kişiye
ulaşılamaması ihtimalinde TBB Risk Merkezi sisteminde kayıtlı telefon numarasının
aranarak ilgile kişiye ulaşılmaya çalışılmasının Kanun kapsamında kişisel veri ihlali
niteliği taşıyıp taşımadığını değerlendirmiştir.
Karara konu olayda; veri sorumlusu banka tarafından ilgili kişinin hakim ortağı ve
yönetim kurulu başkanı olduğu şirketin kullandığı kredilerin ödenmesinde gecikme
yaşanması sebebiyle, ilgilinin banka sisteminde kayıtlı cep telefonu numarası de-
faatle aranmış fakat ilgili kişiye ulaşılamamıştır. Bunun akabinde Bankacılık Düzen-
leme ve Denetleme Kurulu’nun “Risk Merkezinden temin edilen telefon numarası
üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile
paylaşılmasına ilişkin” 05.03.2021 tarihli kararı doğrultusunda, TBB Risk Merkezi
sisteminde ev telefonu numarası olarak kayıtlı olan telefon numarası aranarak
ilgili kişiye ulaşılmaya çalışılmıştır. Nitekim bu görüşmelerde ne ilgili kişiye ne de
hakim ortağı ve yönetim kurulu başkanı olduğu şirkete ilişkin bilgiler 3. Kişilerle
paylaşılmıştır.
Kişisel Verileri Koruma Kurulu iş bu olayda; veri sorumlusu banka tarafından öde-
memeden kaynaklı oluşan riskten dolayı Risk Merkezi sisteminde kayıtlı telefon
numarasının arandığı ve ilgili kişinin talebi üzerine kısa sürede “yanlış numara
aksiyonu “alındığı sonucuna ulaşarak veri sorumlusunun Kanun kapsamında
herhangi bir ihlalinin bulunmadığına karar vermiştir.gili kişi Nisan 2021 ile Tem-
muz 2021 tarihleri arasında Covid-19 salgını kaynaklı tek taraflı kararla ücretsiz
izne çıkartıldığından Nisan 2021 sonrası dönem için fotoğraf ve sair kişisel ver-
ilerin internet sitesinde yer almaya devam etmesinin “İlgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması” hukuki sebebi kapsamında kalacağını
değerlendirmiştir.
Kurul kararında son olarak; ilgili kişiler tarafından veri sorumlularına yapılan
başvuruların etkin, hukuka ve dürüstlük kurallarına uygun olarak sonuçlandırılması
gerektiğini önemle vurgulanmıştır.
88 Desafe - Kurumsal
KVKK Danışmanlığı
İlgilinin E-Posta Adresinin Reklam
Ve Pazarlama Amacıyla İşlenmesi
Kişisel Verileri Koruma Kurulu 09/12/2021 tari-
hli ve 2021/1243 sayılı kararında ilgili kişinin kişisel
verisi niteliğinde olan e-posta adresinin bir insan
kaynakları firması tarafından reklam ve pazarlama
amaçlı e-posta gönderilmesi amacıyla işlenmesine
ilişkin yapılan şikayet üzerine değerlendirmelerde
bulunmuştur.
Mezkur olayda her ne kadar veri sorumlusu
tarafından şikayetçinin e-posta adresinin anket
ve tanıtım faaliyetleri kapsamında edinildiği ve
KVKK md.5/d kapsamında “ilgili kişi tarafından
alenileştirilmiş olma” kapsamında işlendiği ifade
edilmişse de şikayetçinin hangi yöntemle ve hangi
ortamda alenileştirme iradesinde bulunduğuna
ilişkin bir açıklama yapılmadığı ve KVKK md. 5’de
yer alan kişisel veri işleme şartlarından herhangi
birinin mevcut olmadığı izahtan varestedir. Kişisel Verileri Koruma Kurulu da iş
bu sonuçtan hareketle veri sorumlusu insan kaynakları firmasının “kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davrandığından
bahisle veri sorumlusu hakkında 50.000,00 TL para cezası uygulanmasına karar
vermiştir.
Kararda ayrıca ilgili kişi, veri sorumlusuna yaptığı başvuruda hukuka aykırı olarak
işlenen kişisel verilerinin silinmesini de talep ettiğinden, veri sorumlusunun
şikayetçinin kişisel verilerini imha ederek buna ilişkin kayıtları Kuruma iletmesi hu-
susunda talimatlandırılmasına da karar verilmiştir.
Yurt Dışında Yerleşik Tüzel Kişilerin Türkiye’deki
Şubeleri Verbis’e Kayıt Olmalı mıdır?
Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin 6698 sayılı Kanun
uyarınca veri sorumlusu sıfatına haiz olup olmadıkları ve sicile kayıt yükümlülükleri
hususundaki tereddütü Kişisel Verileri Koruma Kurulu 23/07/2019 tarihli 2019/225
sayılı kararı ile açıklığa kavuşturmuştur.
Şöyle ki; öncelikle bize bu incelemede yön gösterecek mevzuattaki çeşitli hüküm-
lere değinmek faydalı olacaktır. Bu minvalde öncelikle; 6698 sayılı Kişisel Ver-
ilerin Korunması Kanununda veri sorumlusu “kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.
İlgili tanımdan hareketle; bir veri işleme faaliyetinde veri sorumlusunun kim
Desafe - Kurumsal 89
KVKK Danışmanlığı
olduğunun tespitinde kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleme,
veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma kriterler-
inin baz alınacağı açıktır. Nitekim veri sorumlusunun kim olduğunun tespitinde
bu kriterlere ek olarak; hangi kişisel verilerin hangi amaçlarla işleneceği, işlenecek
kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp
paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar
süre muhafaza edileceği gibi kriterlerinde dikkate alınması faydalı olacaktır.
Bu kapsamda bir diğer düzenleme; 6102 sayılı Türk Ticaret Kanunu md. 40/4 de
yer almakta olup, ilgili fıkra “Merkezleri Türkiye dışında bulunan ticari işletmelerin
Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin
hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler
için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari
işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler
yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmünü ihtiva etmektedir.
İlgili hüküm incelendiğinde merkezleri Türkiye dışında bulunan ticari işletmelerin
Türkiye’deki şubelerinin, yerli ticari işletmeler gibi Ticaret Siciline tescil olunacakları
konusunda tereddüt hasıl olmayacaktır.
Bu kapsamda son olarak; Ticaret Sicili Yönetmeliği md. 118/1 de şube “bir ticari
işletmeye bağlı olup ister merkezinin bulunduğu sicil çevresi içerisinde isterse
başka bir sicil çevresinde olsun, bağımsız sermayesi veya muhasebesi bulunup
bulunmadığına bakılmaksızın kendi başına sınai veya ticari faaliyetin yürütüldüğü
yerler ve satış mağazaları” şeklinde tanımlanmıştır. Bu tanımdan hareket edilerek
bir yerin şube olarak kabulünde merkeze bağımlı olma, dış ilişkilerde bağımsızlık
ve yer ve yönetim ayrılığı gibi kriterlerin esas alınması gerektiği sonucuna
ulaşılacaktır.
Bu hükümlerden hareketle her ne kadar
Kişisel Verileri Koruma Kanunu uyarınca
veri sorumlusu sıfatına haiz olabilmek için
gerçek/tüzel kişi olmak gerekse ve yurt
dışında yerleşik tüzel kişilerin Türkiye’deki
şubelerinin de ayrı bir tüzel kişiliği bu-
lunmasa dahi; TTK md. 40 uyarınca ilgili
şubelerin yerli ticari işletmeler gibi tescil
olundukları ve Avrupa Birliği Genel Veri
Koruma Tüzüğünde (GDPR) veri sorum-
lusu olma kriterleri arasında tüzel kişi olma
şartının aranmadığı göz önüne alınacak
olursa Türkiye’de veri sorumlusu kriterler-
ine göre hareket eden iş bu şubelerin veri
sorumlusu olarak kabul edilebilecekleri
ve bu kapsamda Sicile kayıt yükümlül-
üklerinin doğacağı izahtan vareste hale
gelecektir.
90 Desafe - Kurumsal
KVKK Danışmanlığı
Kamuoyu
Duyurusu (Verbis)
6689 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. Maddesi gereği kişisel
verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri
Sorumluları Siciline kaydolmak zorunluluğu bulunmakta olup, Kurulun 11/03/2021
tarihli ve 2021/238 sayılı kararı ile Veri Sorumluları Siciline kaydolmak için bazı
şartlar getirilmiştir. Bu şartları sağlayan veri sorumluları için Sicile kayıt ve bildirim
yükümlülüğünü yerine getirmeleri için de 31/12/2021 tarihine kadar süre verilmiştir.
Kurulun şartları; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25
milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik
gerçek ve tüzel kişi veri sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali
bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri
işlemesidir.
Kanun’un 18’inci maddesinin (1) numaralı fıkrasında yer alan “(ç) 16 ncı maddes-
inde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı
hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar
idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer
alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu ku-
rumu niteliğindeki meslek kuruluşları bünyesinde
işlenmesi hâlinde, Kurulun yapacağı bildirim üzer-
ine, ilgili kamu kurum ve kuruluşunda görev ya-
pan memurlar ve diğer kamu görevlileri ile kamu
kurumu niteliğindeki meslek kuruluşlarında görev
yapanlar hakkında disiplin hükümlerine göre işlem
yapılır ve sonucu Kurula bildirilir.” hükmü gereği
Sicile kayıt ve bildirim yükümlülüğünü yerine get-
irmeyen veri sorumluları hakkında Kurul tarafından
re’sen idari yaptırım uygulanabilecektir.
Bu kapsamda Sicile kayıt ve bildirim
yükümlülüğünü yerine getirmediği tespit edilen
veri sorumluları hakkında Kanun’un 18’inci mad-
desi uyarınca idari yaptırım uygulanmasına
başlanmıştır.
Desafe - Kurumsal 91
KVKK Danışmanlığı
Belediyelerin Ödeme ve Borç Sorgulama Hizmetleri
Hakkında İlke Kararı
Belediyelerin çevrimiçi olarak sunduğu
emlak vergisi ödeme/hızlı ödeme, borç
sorgulama vb. hizmetler esnasında
vatandaşların yalnızca T.C. kimlik
numarası bilgilerinin girilerek em-
lak bilgilerine ulaşılması uygulamada
kişisel verilerin korunması bakımından
ciddi sorun teşkil etmektedir. Kişisel
Verileri Koruma Kurulu da uygulama-
daki bu sorunu 21/04/2022 tarihli ve
2022/388 sayılı İlke Kararı ile çözüme
kavuşturmuştur.
Bilindiği üzere; 6698 sayılı Kişisel Ver-
ileri Koruma Kanunu 12. Maddesinin 1.
Fıkrası ile veri sorumlusuna; kişisel ver-
ilerin hukuka aykırı olarak işlenmesini
önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel veriler-
in muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yüklemiştir.
Kişisel Verileri Koruma Kurulu tarafından hazırlanarak yayımlanan Kişisel Veri
Güvenliği Rehberinde (Teknik ve İdari Tedbirler) önemle zikredildiği üzere kişisel
verilere uzaktan erişilmesi halinde; kişisel verilere kolayca erişilme riski barındıran
tek kademeli kimlik doğrulama sistemi yerine bu riski minimuma indirecek iki ka-
demeli kimlik doğrulama sisteminin uygulamaya konulması kişisel veri güvenliğinin
sağlanması adına önem arz etmektedir.
Bu itibarla; İki kademeli kimlik doğrulama sistemleri vasıtasıyla, belediyeler
tarafından çevrimiçi sunulan hizmetlerde vatandaşların yalnızca T.C. kimlik
numarası bilgilerinin girilerek sistemlere erişim sağlamanın ötesinde kişilere özel
oluşturulmuş şifreler ya da kişilerin sistemde kayıtlı cep telefonu numaralarına
gönderilen SMS kodları girilerek sistemlere erişim sağlanabilecek olup bu sayede
3. Kişilerin kişisel verilere hukuka aykırı şekilde erişmesinin de önüne geçilebilecek-
tir.
Bu kapsamda Kişisel Verileri Koruma Kurulu da 21/04/2022 tarihli ve 2022/388
sayılı İlke Kararı ile; Belediyelerinin emlak vergisi ödeme/ hızlı ödeme, borç sor-
gulama vb. hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kontrolü
kullanmak suretiyle 6698 sayılı Kanun’un 12. maddesi kapsamında kişisel veri
güvenliğinin sağlanması adına gerekli teknik ve idari tedbirleri alması gerektiğine
hükmetmiştir.
92 Desafe - Kurumsal
KVKK Danışmanlığı
7 Nisan
Kişisel Verileri
Koruma Günü
698 Sayılı Kişisel Verilerin Korunması Kanunu, ülkemizde 7 Nisan 2016 yılında
yürürlüğe girmiş olup, bu kanun ile ülkemizde yeni bir dönem başlamıştır. Resmi
Gazetede yayımlanan MEB Eğitim Kurumları Sosyal Etkinlikler Yönetmeliğinde
yapılan düzenleme ile “Kişisel Verileri Koruma Kulübü” kurulması ve 7 Nisan
gününün “Kişisel
Verileri Koruma Günü” olarak kutlanması kararlaştırılmıştır. 2018 yılından beri işbu
tarih de ülkemizde “Kişisel Verileri Koruma Günü” olarak kutlanmaktadır.
Ülkemizde KVKK’nın yürürlüğe girmesiyle birlikte Kişisel Verilerin Korunmasıyla
ilgili farkındalık ve bilinç artmıştır. Giderek dijitalleşen dünyada kişisel verilerimi-
zin korunması için gerekli güvenliğin sağlanması gerekmekte olup, hem bireysel
olarak hem de şirketler olarak veri güvenliği önlemleri alınmalı, idari ve teknik ted-
birler uygulanmalıdır.
Ayrıca; Kişisel verilerin gizliliği, kişinin temel hak ve özgürlükleri kapsamındadır.
Kişilerin
kendilerine ait kişisel verilerinin saklı kalmasını isteme hakkı anayasal bir haktır.
Kişi temel hak ve özgürlükleri kapsamında değerlendirilecek olan özel hayatın
gizliliği maddesi ile yakından ilişkili olan Kişisel Verilerin Korunması Kanunu, kişi
mahremiyetinin korunması ve kişisel bilgilerin kötü amaçlı kullanılmasının önüne
geçilmesi açısından önem arz etmektedir. Kişisel Verilerin Korunması hakkı T.C.
Anayasası’nın 20.maddesi uyarınca temel bir insan hakkıdır.
Kanunun amacı ise; kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde
kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek
ve tüzel
kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun ger-
ekçesinde, kişinin mahremiyet hakkının korunması ile veri güvenliğinin sağlanması
da bu kapsamda değerlendirilmektedir.
Kişisel Verileri Koruma Kanununun 11.maddesiyle ilgili kişilere tanınan hakları
sayesinde
Desafe - Kurumsal 93
KVKK Danışmanlığı
kişisel veri sahipleri haklarını etkin bir şekilde kullanabilmekte ve gerekli durum-
larda şikâyet edebilmektedir.
Birçok yenilik getiren Kişisel Verileri Koruma Kanunu ile yeni bir dönem başlamış
olup, veri sorumlularının işbu kanuna uyumlu hale gelmesi büyük önem
taşımaktadır.
Kişisel veri güvenliğinin tüm hayatımızda önemini artırarak devam etme-
si sebebiyle Kişisel Verileri Koruma gününde farkındalık sağlamayı umu-
oruz. KVKK ile ilgili tüm sorularınızı alanında uzman avukatlarımız ve veri
güvenliği uzmanlarımız ile görüşebileceğiniz 0850 885 16 48 ücretsiz danışma
hattımızdan bize yönlendirebilirsiniz.
Saygılarımızla
Desafe Ekibi
94 Desafe - Kurumsal
KVKK Danışmanlığı
Veri İhlâl Bildirimleri Her Zaman Kurul Tarafından
İdari Yaptırımla mı Sonuçlandırılır?
6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin 1. fıkrasında veri
sorumlusunun; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel
verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiş, 12. Maddesinin 5.
fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından
elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve
Kişisel Verileri Koruma Kuruluna bildireceği, Kurulun, gerekmesi hâlinde bu du-
rumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kanunu’nun yukarıda bahsi geçen hükmü gereğince; veri
sorumluları, ilgili veri ihlalinden haberdar olur olmaz en kısa sürede Kurul’a bilgi
vermesi gerekmekte olup, Kurul tarafından Kanunda bahsi geçen “en kısa sürede”
ifadesi ise, 04.01.2019 tarih ve 2019/10 sayılı kararında açıklanmıştır. Bu karara göre
veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecik-
meksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe
ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecik-
menin nedenlerinin de Kurul’a açıklanması da şarttır.
Kuruma yapılan her veri güvenliği ihlal bildirimi, somut olayın koşulları gözetilerek
değerlendirilmekte olup, veri sorumluları tarafından veri güvenliğine ilişkin teknik
ve idari tedbirlerin alınması ve özen yükümlülüğünün yerine getirilmesi gerekmek-
tedir.
Veri güvenliğine ilişkin ihlallerde veri sorumlusunun kusursuz sorumluluğu da
bulunmamaktadır. Kuruma intikal eden veri ihlâl bildirimleri hakkında, öncelikle
söz konusu ihlâl bildirimine konu vakanın meydana geliş biçimi, etkilenen kişi
sayısı, ihlâle konu verinin/verilerin niteliği, veri ihlâline ilişkin bildirimin Kuruma
ve ilgili kişilere süresinde yapılıp yapılmadığı gibi hususlar ile bu kapsamda veri
ihlâl bildiriminde bulunan veri sorumlularınca Kuruma sunulan bilgi ve belgeler
değerlendirilmek suretiyle inceleme kararı alınıp alınmamasına karar verilmekte-
dir. Kurul tarafından inceleme kararı alınan veri ihlâl bildirimlerine ilişkin olarak,
Kanunun 12. maddesi kapsamında, veri ihlâl bildiriminde bulunan veri sorumlusu
tarafından gerekli her türlü teknik ve idari tedbirin alınıp alınmadığı açısından
inceleme yapılmakta olup söz konusu inceleme, idari yaptırımla veya herhangi bir
idari yaptırım uygulanmaksızın da sonuçlandırılabilmektedir.
Katılım Belgesinin Verilmesine Dair Usul ve Esaslar
Hakkında Kamuoyu Duyurusu
İşbu Usul ve Esaslar; 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan
Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğin
Desafe - Kurumsal 95
KVKK Danışmanlığı
5’inci maddesinin üçüncü fıkrasına dayanılarak hazırlanmış olup, Kişisel Verileri
Koruma Kurumu tarafından 11/02/2022 tarihinde yayımlanmıştır.
Duyuruya göre; katılım belgesinin verilmesine dair usul ve esaslar dört bölüm
olarak ayırılmış olup, bu Usul ve Esasların amacı; Personel Sertifikasyon
Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamındaki katılım bel-
gesinin verilmesine dair usul ve esasları düzenlemektir. Ayrıca; Temel eğitim
ile katılımcılara kişisel verilerin korunması mevzuatı alanında gerekli donanımın
kazandırılmasını da amaçlar.
Bu kapsamda, Temel eğitimin tamamlanmasının ardından katılımcıların bilgi
düzeylerini ölçmek amacıyla eğitici kurum tarafından bir sınav gerçekleştirilir.
Katılımcıların temel eğitim sınavında başarılı olması için soruların en az
%70’ini doğru cevaplaması gerekmekte olup, sınav 100 tam puan üzerinden
değerlendirilir. Her soru 5 seçenekli ve çoktan seçmeli olarak hazırlanır. Sınavda
boş bırakılan veya yanlış cevaplandırılmış sorulardan dolayı herhangi bir puan indi-
rimi yapılmaz.
Her temel eğitim sonunda katılımcıların üç sınav hakkı bulunmaktadır. Üç sınavdan
başarısız olan katılımcılar, yeniden temel eğitimi tamamlamak zorundadır.
Ayrıca eğitici kurum tarafından eğitim tutanağı düzenlenmekte olup, temel
eğitimden ve sınavdan istisna tutulacak kişiler, Kurul tarafından belirlenir. İstisna
tutulacak kişilere katılım belgesi Kurum tarafından verilecektir.
Ek olarak eğitimin saat ve konu başlıkları da bu usul ve esaslarda belirtilmiştir.
Sınav soruları bu ek de yer alan konulardan oluşacak şekilde hazırlanmalı ve soru
dağılımı, eğitim konularının dağılımıyla aynı ağırlıkta olmalıdır.
96 Desafe - Kurumsal
KVKK Danışmanlığı
Kullanıcı Güvenliğine İlişkin Veri Sorumluları
Tarafından Alınması Tavsiye Edilen Teknik ve İdari
Tedbirlere İlişkin Kamuoyu Duyurusu
Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen
Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu
6698 Sayılı Kişisel Verileri Koruma Kanununda veri sorumlusu; Kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek ve kişisel verilere hukuka aykırı olarak
erişilmesini önlemek aynı zamanda kişisel verilerin muhafazasını sağlamak için
gerekli her türlü teknik ve idari tedbirleri almak zorunda olup, Kişisel Verileri Ko-
ruma Kurulu tarafından son zamanlarda gelen ihlaller değerlendirildiğinde; finans,
e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde veri sorumlularının inter-
net sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin bazı internet sitelerinde
herkese açık şekilde yayınlandığı görülmüştür.
Ayrıca güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir
şekilde paylaşıldığı ve ekonomik bir
değer karşılığında satışa sunulabildiği
görülmektedir. Bununla birlikte il-
gili kişilere ait bu veriler elden ele
dolaşarak kötü niyetli kişilerce
arşivlenerek daha büyük veri setleri
halinde yeniden pazarlanabilmektedir.
Veri ihlallerini önlemek veya meydana
gelmesi halinde ilgili kişiler üzerinde
olumsuz sonuç doğurma olasılığının
azaltılmasını teminen, veri sorumluları
tarafından bir takım önlemlerin
alınmasına ihtiyaç duyulmaktadır.
Bu kapsamda veri sorumlularının
alması gereken idari ve teknik tedbirl-
erden kendi risk değerlendirmelerini
yaparak uygun olanları almaları tavsi-
ye edilmektedir.
Desafe - Kurumsal 97
KVKK Danışmanlığı
Popüler Yemek
Uygulamasına 1
Milyon 900 Bin
TL İdari Para
Cezası
Kişisel Verileri Koruma Kurul’u (KVKK), popüler yemek uygulamasına kişisel ver-
ilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli teknik ve idari
tedbirleri almadığı gerekçesiyle 1 milyon 900 bin TL idari para cezası kesti.
Kişisel Verileri Koruma Kurulunun 23/12/2021 tarihli ve 2021/1324 sayılı Kararı’nda
popüler yemek uygulamasında 21.504.083 kişinin kişisel verilerinin Fransa’da bulu-
nan bir IP adresine iletildiği ve ihlalin çok büyük çaplı olduğu halde veri sorumlu-
sunca bu ihlalin 8 gün boyunca fark edilmediği tespit edildiği görülmüştür.
Uygulamayı kullanan 21.504.083
kullanıcının ihlalden etkilenen kişisel ver-
ileri; kullanıcı adı, adresi, e-posta adresi,
telefon numarası, kullanıcı şifresi ve IP
adresleridir. Bu sızıntı Fransa’da bulunan
bir IP adresine ilettiği, sistemden çıkan
28.2 GB’lık verinin 8 gün boyunca fark
edilmediği dikkate alındığında veri so-
rumlusunun kusuru ve ekonomik durumu
da göz önünde bulundurularak 1milyon
900bin TL idari para cezası uygulanmasına
karar verilmiştir.
98 Desafe - Kurumsal
KVKK Danışmanlığı
Kullanıcı Güvenliğine İlişkin Veri Sorumluları
Tarafından Alınması Tavsiye Edilen Teknik ve İdari
Tedbirlere İlişkin Kamuoyu Duyurusu
6698 sayılı Kişisel Verilerin Korunması Kanununun ‘İlgili Kişinin Hakları’ başlıklı 11
inci maddesinde; İlgili kişilerin hakları sayılmıştır ve ilgili kişiler veri sorumlusuna
başvurarak işbu haklarını ileri sürebilmektedirler. Fakat; Veri sorumlusuna yapılan
başvurularda eksikliklerin meydana gelmemesi ve ilgili kişilerin eksiklikler sebebi-
yle mağdur olmaması için ilgili kişilerin veri sorumlusuna yapacakları başvurularda
usul şartlarına dikkat etmeleri büyük önem taşımaktadır.
Bu sebeple; Veri Sorumlusuna başvurunun nasıl yapılacağı, Kanunun 13 ve 14
üncü maddelerinde belirlenmiştir ve Kanunun 13 üncü maddesinin (1) numaralı
fıkrasında; “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak
veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir” hükmü yer
almaktadır.
Ayrıca; “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in “Başvuru
Usulü” başlığını taşıyan 5 inci maddesinin birinci fıkrasında “İlgili kişi, Kanunun 11
inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı
elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi
tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde
kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına
yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir”
hükmüne yer verilmiş olup, başvuruda bulunması zorunlu unsurlar ise ad, soyad,
başvuru yazılı ise imza, T.C. Kimlik No., tebligata esas yerleşim yeri veya iş yeri
adresi, varsa bildirime esas e-posta adresi ve talep konusu olarak sayılmıştır.
Bu kapsam da, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
hükümleri çerçevesinde e-posta üzerinden yapılacak başvurularda veri sorumlusu-
na daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik
posta adresi aracılığıyla başvuru yapılması şartı aranmaktadır.
Kurula şikâyette bulunurken, veri sorumlusuna başvuru yapılan e-posta adresinin
veri sorumlusuna daha önce bildirilen ve veri sorumlusu nezdinde kayıtlı e-posta
adresi olduğuna dair bilgi ve belgelerin de şikâyet dilekçesine eklenmesi önem arz
etmektedir.
Kurulun Yeni İlke Kararı Resmi Gazete’de Yayınlandı!
Kurul’un 23/12/2021 tarih ve 2021/1304 Karar Sayılı Araç Kiralama Sektöründeki
Kara Liste Uygulamaları Hakkında İlke Kararı 20 Ocak 2022 tarih ve 31725 sayılı
Resmi Gazete’de yayınlandı.
Kurula yapılan şikayetler neticesinde Kurul tarafından yapılan incelemelerde araç
kiralama sektöründe “kara liste” uygulamasına başvurulduğu belirlenmiştir. Kara
Desafe - Kurumsal 99
KVKK Danışmanlığı
liste; araç kiralama şirketlerinin, kend- kiralama şirketleri ile işbu şirketlere
ilerinden araç kiralayan gerçek kişilerin “kara liste” özelliği de içeren araç
söz konusu yazılımlara kişisel verilerini kiralama yazılımları sunan yazılım
işlemesinin yanı sıra, araçları kiralayan şirketleri ortak veri sorumlusu olarak
gerçek kişilerin kullanım süresince mey- değerlendirileceğini açıkça ifade etme-
dana gelen olumsuzlukları veya araç ktedir.
kiralama şirketlerinin yorumlarını da Ayrıca işbu karar uyarınca hukuka
içeren bilgilerin yer almasıdır. Bu bilg- aykırı olan kara liste uygulamalarına
iler araç kiralama şirketlerince daha son verilip, araç kiralama sektöründe
sonraki kiralamalarda karar verirken kişisel verileri işleme aşamalarının Ka-
kullanılmak üzere işlenmektedir. Fakat nunun 12. Maddesinde düzenlenen idari
kullanılan yazılımlar diğer araç kiralama ve teknik tedbirler veri sorumlularınca
şirketlerince de işbu kişisel verilerin alınacaktır. Eğer ki gerekli tedbirler
görülmesine olanak sağlamaktadır. Bu alınmaz ve Kanuna aykırı şekilde kara
durum da açıkça Kanuna aykırıdır. liste uygulamalarına başvurmaya devam
Yazılım şirketlerince sunulan hizmet edilir ise, devam eden veri sorumluları
Software as a Service (SaaS) hakkında Kanunun 18. Maddesi uyarınca
şeklindedir. Bu hizmet şekline göre veri işlem tesis edilecektir.
tabanı ve yazılımın yönetimi yazılım
şirketindedir. Araç kiralama firmalarında
ve yazılım şirketlerinde admin yetkisine
sahip kullanıcılar bulunmaktadır. Yazılım
şirketlerince sunulan hizmet, hazır bir
SaaS hizmetidir. Bu nedenle araç ki-
ralama şirketlerinin yazılım kodlarına
müdahalesine izin bulunmamakta,
araç yazılım şirketlerinin yalnızca içerik
sağlayabilmektedirler. Araç kiralama
şirketlerinin müşterileri ise, aralarında
imzalamış oldukları araç kiralama
sözleşmesi kapsamında kişisel veriler-
ini verirken; araç kiralama sektöründe
kullanılan yazılımlar dolayısıyla vermiş
oldukları işbu kişisel verilerin araç kirala-
ma şirketleri haricinde çok sayıda başka
yerlerle paylaşıldığı hakkında bilgi sahibi
değildirler.
Tüm bunlar neticesinde söz konusu
karar da; Kanunun 4., 5. Ve 8. Mad-
desinde düzenlenen genel ilkelere,
işleme şartlarına ve aktarıma ilişkin
hükümlere aykırı olarak kişisel verilerin
işlenmesi halinde, söz konusu ver-
iler üzerinde hakimiyeti bulunan araç
100 Desafe - Kurumsal
KVKK Danışmanlığı
Kişisel Sağlık
Verilerinin
İşlenmesi Ve
Korunması
Kişisel sağlık verilerinin korunması konusu; 6698 sayılı Kişisel Verilerin Korunması
Kanunu (KVKK) kapsamında düzenlenmektedir. Kişisel sağlık verisi, özel nitelikli
kişisel veridir. Özel nitelikli kişisel veri olması nedeniyle de korunması, işlenmesi,
aktarılması ve silinmesi de kanunda öngörülen hallerde yapılır. Bu kapsamda veri
işleme koşulları daha ayrıntılı düzenlenmiştir.
Kişisel sağlık verisi bireyin boyu, kilosu, kan grubu, geçirdiği ameliyatları, kullandığı
ilaçlar, hastalık ve tedavi geçmişi, kronik hastalıkları, tansiyon değerleri gibi verileri
olup, yalnızca ilgilinin açık rızası ile işlenebilir. Açık rıza olmadan ise sadece; gizlilik
yükümlülüğü altındaki kişilerce veya kamu sağlığının korunması, koruyucu hekim-
lik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla yetkili kurum
ve kuruluşlar tarafından işlenebilmektedir.
Kişisel sağlık verisi işleyen tüm gerçek ve tüzel kişilerin bu mevzuat(KVKK)
hükümlerine uyum sağlama ve VERBİS kaydını gerçekleştirme yükümlülüğü
bulunmaktadır. Yani sağlık hizmeti sunan kamu kurumları, özel hastaneler, polik-
linikler, klinikler, özel muayenehaneler, sağlık merkezleri, güzellik merkezleri, alter-
natif tıp uygulama merkezleri, sağlık turizmi işletmeleri gibi sağlık verisi işleyen
tüm işletmelerin bu mevzuata uyum sağlaması gerekmektedir. Aksi halde kanunda
bahsi geçen idari, cezai ve hukuki yaptırımlarla karşı karşıya gelmeleri muhtemel
olacaktır.
Sağlık verilerinin imha edilmesi ve aktarılması hususları ise Kanun’un ilgili hüküm-
lerine tabi tutulmuşken sağlık verilerinin aktarımı ayrıca özel düzenlemeler içerme-
ktedir. Kişisel sağlık verilerine erişim ise Kişisel Sağlık Verileri Hakkında Yönetme-
likle sınırlandırılmıştır. Ayrıca işbu Yönetmelik ile kişisel sağlık verilerinin gizlenmesi
ve düzeltilmesi konusunda İl Sağlık Müdürlüklerine önemli görevler verilmiştir.
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
DESAFE DERGİ-guncel
Discover the best professional documents and content resources in AnyFlip Document Base.
Search