Kişisel Verilerin İşlenmesi

Genel Olarak:

Kişisel verilerin işlenmesi Kanun’un 5 ve 6. maddesinde düzenlenmiştir. Kişisel Verilerin Korunması Hukukunda, kişisel verilerin işlenmesi hukuka aykırıdır. Yapılan yasal düzenlemelerde kişisel verilerin işlenmesi için belirtilen şartlar bu durumu hukuka uygun hale getirir. KVKK kapsamında çeşitli şartlar ile işlenme faaliyeti hukuka uygun hale getirilmeye çalışılmaktadır. Kişisel verilerin işlenmesi, kişisel verilerin gerçek veya tüzel kişiler tarafından verilerin toplanmasından imha edilmesine kadar olan süreci ve bu süreçte veriler üzerinde gerçekleştirilen her türlü işlemi kapsar.  Kişisel veriler m.4’ de belirtilen genel ilkelere uygun olarak, hukuka uygunluk sebeplerinden (m.5) en az birinin varlığı halinde, otomatik olan yollarla veya otomatik olmayan yollarla (veri kayıt sisteminin parçası olmak kaydıyla) işlenebilir.

Kişisel verilerin işlenmesi kapsamında yapılabilecek işlemler; verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir (KVKK.m.3/1/e). Maddede kişisel verilerin işlenmesi kapsamına giren eylemler örnek niteliğinde sayılmıştır. Kişisel veriler, ancak KVVK’ da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir (KVKK.m.4/1).

Kişisel Verilerin İşlenmesiyle İlgili Temel Kavramlar:

Kişisel verilerle ilgili önemli kavramlar Kanun’un 3. maddesinde tanımlanmıştır.

— Kurum ile Kişisel Verileri Koruma Kurumu, Kurul ile de Kişisel Verileri Koruma Kurulu kastedilir (m.3/1-f, g).

— Veri kayıt sistemi, elektronik veya fiziki bir ortamda, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir (m.3/1-h).

— İlgili kişi, kişisel verisi işlenen gerçek kişiyi, yani işlenen verilerin sahibi olan gerçek kişiyi ifade eder. Kanunun 3. fıkrasının d bendinde yapılan kişisel veri tanımına göre, kişisel veriler bir gerçek kişiye ait olmalıdır. Tüzel kişilere ilişkin veriler kural olarak bu Kanunun kapsamına girmezler. Tüzel kişiye ait bir veri, herhangi bir gerçek kişinin belirli veya belirlenebilir olmasına sebebiyet veriyorsa bu veriler Kanun kapsamına girer. Burada bir gerçek kişinin yararı korunmaktadır. İlgili kişi; müşteriler, müvekkiller, esnaflar, çalışanlar, öğrenciler gibi herkes olabilmektedir (m.3/1-ç).

— Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlusunun tüzel kişi olduğu durumlarda, veri sorumlusu tüzel kişiliğin ta kendisidir. Tüzel kişinin bünyesinde veri işleme faaliyetlerini yerine getiren gerçek kişiler 6698 s. Kanun kapsamında veri sorumlusu sayılmazlar. Tüzel kişi veri sorumlusunun yaptığı işlemlerden doğabilecek uyuşmazlıklarda sorumluluk, tüzel kişiliğin şahsında olacaktır. Veri sorumlusu, kişilerin hangi verilerinin ne için işleneceğini belirleyen, işlenme faaliyeti kapsamında yapılacak işlemleri belirleyen kişidir (m.3/1-ı).

— Veri işleyen ise veri sorumlusu tarafından kişisel veri işleme sözleşmesi ile yetkilendirilen ve bu yetkiye dayanarak veri sorumlusunun talimatlarına uygun olarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. Veri işleyen, işleme faaliyetinin daha çok teknik kısımlarıyla ilgilenir. Bir gerçek veya tüzel kişi aynı anda hem veri sorumlusu hem veri işleyen olabilir (m.3/1-ğ).

— Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza, olarak tanımlanmıştır (m.3/1-a).

Kişisel Verilerin İşlenmesinde Uyulacak İlkeler:

Bu ilkeler m.4/2’de sayılmıştır. Her türlü işleme faaliyetinde (depolama, aktarma, kaydetme vb.) bu ilkelere uyulması zorunludur.

a) Hukuka ve dürüstlük kurallarına uygun olma: Hukuka uygun olma ile veriler işlenirken Kanuna ve diğer mevzuat hükümlerine uygun davranmak kastedilir. İşlenme amacıyla bir ilgisi olmayan kişisel verilerin istenmemesi, verilerin işlenirken kişilerin haklarını ihlal etmemesi, ilgili kişinin çıkarlarının ve makul beklentilerinin dikkate alınması gibi durumlar dürüstlük kuralları çerçevesinde değerlendirilebilir.

b) Doğru ve gerektiğinde güncel olma: Veriler işlenirken bireylerin maddi veya manevi bir zarar görmemesi için veriler güncellenmeli ve doğru olmalıdır.

c) Belirli, açık ve meşru amaçlar için işlenme.

d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veriler gerektiği kadar olabildiğince minimize edilerek işlenmelidir.

e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Bir gün kullanılabilir ihtimaline dayanılarak veriler gerektiğinden fazla saklanmamalıdır.

Kişisel Verilerin İşlenme Şartları (Hukuka Uygunluk Sebepleri):

Genel nitelikli veriler için işlenme şartları yani hukuka uygunluk sebepleri m.5’de sınırlı sayıda sayılmıştır. Bu şartlardan en az birinin bulunması halinde kişisel veriler işlenebilir.

a) İlgili kişinin açık rıza vermesi (m.5/1): Kural olarak kişisel veriler ilgili kişinin açık rızası ile işlenebilir. Ancak m.5/2’de sayılan diğer şartlardan birisi mevcutsa ilgili kişinin açık rızası aranmadan kişisel veriler işlenebilir.

Açık rıza, kişisel verilerin işlenmesinde ve aktarılmasında genel ve özel nitelikli veri ayrımı yapılmaksızın, hukuka uygunluk sebebi olarak öngörülen onay beyanıdır. Açık rıza, m.3./1/a’da belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Açık rızaya ilişkin yapılan bu tanım, madde gerekçesinde de belirtildiği üzere 95/46/EC sayılı Direktif’e uygun olarak yapılmıştır.

Yapılan bu tanıma göre açık rızanın 3 unsuru vardır. 1) Açık rıza belirli bir konuya ilişkin olmalıdır: “Battaniye rıza” da denilen belirli bir konu ve işleme özgü olmayan, genel nitelikte ve belirsiz olan rızaların bir geçerliliği yoktur. Verilerin işlenme amaçları değiştiği takdirde açık rıza yeniden alınmalıdır. 2) Açık rıza, bilgilendirmeye dayanmalıdır: Kişiler, bilgilerinin ne amaçla kullanılacağı konusunda ve bunun sonuçları konusunda doğru, açık, anlaşılır ve eksiksiz bir şekilde bilgilendirilmelidir. Belirli bir konuya ve amaca ilişkin olarak verilen rızalar yalnızca o amaca uygun olarak kullanılmalıdır. 3) Açık rıza özgür iradeyle açıklanmalıdır: İradeyi sakatlayan hallerden birinin söz konusu olması halinde (cebir, tehdit, hata, hile vb.) kişi kendi hür iradesiyle karar veremeyeceğinden verilen rıza hukuken geçersiz olacaktır.

Açık rıza, diğer mevzuatlarda aksi belirtilmediği sürece herhangi bir şekle tabi değildir. Yazılı, sözlü, elektronik yollarla vb. alınabilir. Açık rızanın alınıp alınmadığını ve ne için alındığını ispatlamakla yükümlü kişi, veri sorumlusudur. İlgili kişinin, kişisel verileri üzerinde sahip olduğu hakları (örneğin açık rıza verme) şahsa sıkı sıkıya bağlı haklardandır. Tam ehliyetliler her türlü işlemi yapabildikleri gibi tek başına açık rıza verebilirler. Tam ehliyetsizlerin ve sınırlı ehliyetsizlerin, kişisel verilerinin işlenmesi için açık rıza verip veremeyeceği doktrinde tartışmalıdır.

b) Kanunlarda açıkça öngörülmesi, (TTK, PVSK, İş K., Bankacılık Kanunu vb.)

c) Fiili imkânsızlık: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

d) Sözleşmenin Kurulması veya İfası: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Örneğin, mesafeli satış sözleşmesi kurulması sonucunda tüketicinin kişisel verilerinin kaydedilmesi, belirli bir süre muhafaza edilmesi.

e) Veri sorumlusunun hukuki yükümlülüğü: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. Bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi bu duruma örnek verilebilir (KVKK/Rehber/Kişisel Verilerin İşlenme Şartları).

f) Alenileştirilme: İlgili kişinin kendisi tarafından alenileştirilmiş olması. Bu durum kapsamında verilerin işlenebilmesi için ilgili kişinin verilerini alenileştirme iradesiyle hareket etmesi gerekir. Örneğin X barosuna kayıtlı bir avukatın baro levhasında ad, soyad, telefon numarası gibi bilgilerinin alenileştirme iradesiyle kamunun bilgisine sunulması. Avukat bu bilgilerini alenileştirdi diye bu amacın dışında (örneğin kampanya amacıyla sms gönderme) veriler işlenemez.

g) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. (Örneğin kira sözleşmesinin etkisini güçlendirmek için tapuya verilecek şerh kapsamında kişisel verilerin işlenmesi)

h) Meşru menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veriler işlenmeden önce m.5/2’de sayılan şartlardan birinin oluşup oluşmadığına bakılmalıdır. m.5/2’de sayılan şartlardan birisi söz konusu ise açık rızanın alınmasına gerek yoktur. Bu şartlardan birisi oluştuğu halde açık rızanın alınması hakkın kötüye kullanılmasına sebebiyet verir.

Kurul, 01.07.2019 tarihinde verdiği bir kararda internet üzerinden ilan edilen sınav sonuçlarının aradan uzun zaman geçmesi sebebiyle kişisel verileri işleme şartlarının bulunmadığına karar vermiştir.

2019/188 sayılı Kurul kararı

“…Somut olayda Mimar Sinan Güzel Sanatlar Üniversitesi tarafından YÖK tarafından yapılan sınavın sonuçları internette aramaya açık bir biçimde yayınlanmıştır. Üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık ve arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabilir tarzda bir duyuru yönteminin benimsenerek yerine getirildiği, ancak söz konusu duyuru yönteminin Kanun hükümleri çerçevesinde değerlendirildiğinde kişisel veriler bağlamında mahremiyet odaklı olmayıp, sınava giren bireylerin kişisel verilerinin herhangi bir işleme şartına dayanmaksızın üçüncü kişilerin de kolaylıkla ulaşabileceği şekilde açıklandığına karar vermiştir.”

Özel Nitelikli Verilerin İşlenmesi:

Kural olarak özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmadan işlenemez (m.6/2). Bu kuralın istisnası m.6/3’de sayılan hallerdir. Bu fıkrada sayılan durumlar için açık rıza aranmaz. Açık rızanın aranmayacağı durumlarda verilerin sağlık ve cinsel hayata ilişkin olup olmamalarına göre ikili bir ayrım yapılmıştır. Buna göre, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayat dışında kalan kişisel veriler ise (Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) yalnızca kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmadan işlenebilir. 6. maddenin son fıkrasında özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu hükme bağlanmıştır.

Kişisel Verileri Koruma Kurulu, m.6/4 uyarınca, 31.01.2018 tarihli ve 2018/10 no’lu kararında özel nitelikli verilerin işlenmesinde veri sorumluları tarafından alınması gereken önlemleri açıklamıştır. Özel nitelikli veriler işlenirken Kanun’a ek olarak bu kararda bahsedilen önlemlere de uyulması gerekir. Hassas verilerin işlenirken m.4’ de belirtilen ilkelere de uyulmalıdır. Kişisel Verileri Koruma Kurulu, bir kararında biyometrik imzanın TBK.m.14-15’ de düzenlenen sözleşmelerin yazılı şekline ilişkin hükmün kapsamına girmeyeceğine dolayısıyla özel nitelikli verilerin işlenmesi için kanunda öngörülen hallerin oluşmadığını belirtmiştir.  “Kurumumuza intikal eden bir başvuruda; 6098 sayılı Türk Borçlar Kanununun (6098 sayılı Kanun) sözleşmelerin şekillerine ilişkin esasların belirlendiği 14 üncü ve 15 inci maddelerinde imzaların yalnızca el ile atılma zorunluluğunun yer alması sebebiyle biyometrik imzaların 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 6 ncı maddesinin üçüncü fıkrası kapsamında değerlendirilip değerlendirilemeyeceği hususunda Kurumumuz görüşlerinin talep edilmesi üzerine Kişisel Verileri Koruma Kurulunun (Kurul) 27.08.2020 tarih ve 2020/649 sayılı kararında aşağıdaki değerlendirmelere yer verilmiştir.

Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Bu çerçevede, kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verileri oluşturmaktadır. Diğer taraftan, davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere ilişkindir. Örneğin, kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimi gibi veriler davranışsal nitelikte biyometrik verileri oluşturmaktadır.

Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir. Bu noktada belirtmekte fayda görülmektedir ki, her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. Bu kapsamda, 6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir. Biyometrik imzanın biyometrik veri niteliğini haiz olduğu,

Bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği,

6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği,

Bu sebeple söz konusu işlemenin ancak ilgili kişilerden;

a) Açık rıza alınması,

b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması,

c) 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması

şartıyla gerçekleştirilebileceği değerlendirilmiştir.”

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi:

6698 s. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmesine rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir (KVKK.m.7/1). 7.maddenin 3. fıkrasında kişisel verilerin imhasına ilişkin usul ve esasların yönetmelikle düzenleneceği hüküm altına alınmıştır. Bu hüküm ve m.22/1/e uyarınca Kişisel Verileri Koruma Kurulu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği hazırlamıştır.  Yönetmelik, 28 Ekim 2017 tarihli ve 30224 s. Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüğe girmiştir. Hangi tür verilerin nasıl imha edileceği KVKK’nın yayımladığı rehberlerde oldukça detaylı bir şekilde açıklanmıştır.

İmha, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eden işlemlerdir (Yön.m.4/1/c).

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir (Yön.m.9/1).

Kişisel verilerin anonim hale getirilmesi (anonimleştirilmesi) ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir (Yön.m.10/1). Eğer anonimleştirme işleminden sonra, veri ilgili kişinin kimliğinin tespit edilmesini sağlıyorsa verinin anonimleştirilmediği kabul edilir. Anonim hale getirmede, veri ile ilgili kişinin önceden olan bağlantısı kopartılır. Anonim veride, bu işlemden farklı olarak en başından beri veri ile bir kişi arasında bağlantı kurulamamaktadır. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Anonimleştirilmiş veri, bir gerçek kişinin kimliğini belirleyemeyeceğinden kişisel veri olmaktan çıkar.

Kişisel Verilerin Aktarılması:

Kişisel Verilerin Yurt İçinde Aktarılması:

Kişisel verilerin aktarılması da aslında bir çeşit kişisel verilerin işlenmesi faaliyetidir. Kişisel verilerin aktarılması, veri sorumlularının yükümlülükleri çerçevesinde, kişisel verilerin çeşitli kişi veya kurumlara iletilmesidir. Kural olarak kişisel veriler yurt içinde bulunan 3. kişilere ilgili kişinin açık rızası ile aktarılabilir (m.8/1). Kişisel verilerin aktarılmasında m.4’de sayılan genel ilkelere ve kişisel verilerin işlenmesinde dikkat edilecek diğer hususlara (Açık rıza vb.) da uyulması gerekir. m.5/2’de sayılan hallerden en az birinin bulunması halinde genel nitelikli veriler açık rıza aranmadan aktarılabilir. Özel nitelikli veriler, m.6/3’de sayılan bir veya daha çok şartın oluşması halinde Kurul’un aldığı önlemlere de uyulması suretiyle açık rızaya gerek duyulmaksızın aktarılabilir.

Kurul, ilgili kişiye ait kişisel verilerin denetim faaliyeti kapsamında bir kamu kurumuna aktarılırken denetim faaliyetinin kapsamında olmayan 3. kişilerin verilerinin de aktarılmasını m.4/2/ç’ de düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı bulmuştur.

YARGITAY 03/03/2020 tarihli ve 2020/196 sayılı Karar

…Denetim için gerekli olan tüm bilgi ve belgelerin talep edilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin, Kanunun 5. maddesinin 2 numaralı fıkrasının (a) bendinde yer alan “kanunlarda açıkça öngörülme” hükmü kapsamında olduğu, şirketin söz konusu verileri aktarmasının ise Kanunun 5 inci maddesinin 2 nci fıkrasının (ç) bendi hükmüne göre “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ” hükmü kapsamında olduğu, bu çerçevede söz konusu verilerin bahse konu şirket tarafından, kamu kurumuna Kanunun 8 inci maddesinin 2 nci fıkrasının (a) bendi uyarınca aktarıldığı, ancak söz konusu aktarım ile idari soruşturmanın konusu olmayan üçüncü kişilerin kişisel verilerinin de veri sorumlusu şirket tarafından ilgili veri sorumlusuna aktarıldığı dikkate alındığında, idari soruşturma konusu olmayan kişisel verilerin aktarılmasının Kanunun 4 üncü maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğu…”

Kişisel Verilerin Yurtdışına Aktarılması:

Kişisel verilerin yurt dışına aktarılması 9. maddede düzenlenmiştir. Kişisel veriler yabancı bir ülkeye aktarılırken m.4’ de sayılan genel ilkelere uyulmalıdır. Kişisel verilerin işlenmesinde (m.5-6) olduğu gibi yurt dışına aktarılmasında da kural olarak açık rıza gereklidir (m.9/1). Açık rıza haricinde kişisel verilerin yurt dışına aktarılabilmesi için aktarmanın yapılacağı ülkede yeterli korumanın olup olmadığına bakılır.

Eğer kişisel verilerin aktarılacağı ülkede yeterli koruma varsa ve m.5/2 (kişisel verilerin işlenme şartları) veya m.6/3’de (özel nitelikli verilerin işlenme şartları) sayılan şartlardan en az birisi de oluşmuşsa kişisel veriler yurt dışına aktarılabilir (m.9/1-a). m.5/2 veya m.6/3’deki şartlarından birisi mevcutsa ve aktarılacak ülkede yeterli koruma bulunmuyorsa; kişisel verilerin yurt dışına aktarımı için Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesi gerekir (m.9/2-b). Yeterli korumanın bulunduğu ülkelerin (güvenli ülkeler) Kurul tarafından belirlenerek ilan edileceği belirtilmiştir (m.9/3). Kurul, bir ülkede yeterli korumanın bulunduğu ülkelere karar verirken ve yurt dışına veri aktarımında Kurul izninin gerektiği hallerde şu kriterleri göz önünde bulundurarak karar verir:

— Türkiye’nin taraf olduğu uluslararası sözleşmeler,

— Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu,

— Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi,

—  Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması.

— Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri.

Kurul, bu kararı verirken ihtiyaç duyarsa ilgili kurum ve kuruluşların görüşlerini de alır (m.9.4).

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir (m.9/5).

Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır (m.9/6). Kurul henüz hangi ülkelerin yeterli korumaya sahip olduğuna dair bir açıklama yapmamıştır. Yeterli korumaya sahip ülkeler belirlenmediğinden yabancı ülkelerin hangilerine, nasıl veri aktarımı yapılacağı bir sorun olmuştur. KVKK, Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuruda güvenli ülkeler henüz belirlenmediğinden yurt dışına aktarımın yalnızca açık rıza verilmesi ile yapılabileceğini belirtmiştir.

YARGITAY 27/02/2020 tarihli ve 2020/173 sayılı

…Yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmektedir.”


Kaynakça:

6698 sayılı Kişisel Verilerin Korunması Kanunu

T.C. Anayasası

Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği

Kişisel Verileri Koruma Kurulu Kararları/ kvkk.gov.tr

AKKURT, Sami Sinan (2020). “Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış”. Kişisel Verileri Koruma Dergisi. Cilt:2, Sayı:1.

GÜRLER, Halil Emre (2019). “Türk Hukukunda Kişisel Verilerin İşlenmesinin Sınırları”. İstanbul Barosu Dergisi. Cilt:93, Sayı:2019/5.

HAN, Işık Aslı (2019). “Kişisel Verilerin İşlenmesi Bağlamında Hukuka Uygunluk Sebebi Olarak Veri Sahibinin Rızası”. Galatasaray Üniversitesi Hukuk Fakültesi Dergisi. Sayı:2019/1. s. 417-259.

KORKMAZ, İbrahim (2016). “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”. Türkiye Barolar Birliği Dergisi. 2016/124.

100 Soruda Kişisel Verilerin Korunması Kanunu/ kvkk.gov.tr

Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular/ kvkk.gov.tr

Kişisel Verilerin İşlenme Şartları/ kvkk.gov.tr

— 6698 Sayılı Kanunda Yer Alan Temel Kavramlar/ kvkk.gov.tr

— Kişisel Verilerin Yurt Dışına Aktarılması/ kvkk.gov.tr


Bir cevap yazın

Yorumunuza yalnızca isminizi eklemeniz yeterlidir.

Yorum yaptığınızda, isminiz bir dahaki sefere hatırlatılmak üzere tarayıcınıza kaydedilebilir. Detaylı bilgi için Kullanım Koşulları ile Gizlilik ve Çerez Politikamızı okuyabilirsiniz.