DPO (Data Protection Officer), GDPR (Genel Veri Koruma Tüzüğü / General Data Protection Act) kapsamında yasal şartları taşıyan veri sorumlularının atamakla yükümlü olduğu bir yasal uyum görevlisidir. DPO, görevli olduğu şirkette GDPR yasal uyum sürecini gerçekleştirmek ve şirket içinde bir veri koruma kültürünü teşvik etmek ile görevlidir. Ayrıca, bir DPO, GDPR’a aykırılık sebebi ile kişisel olarak sorumlu değildir
DPO şirket içerisinde tam zamanlı veya yarı zamanlı çalışan bir kişi olabileceği gibi dışarıdan sözleşmeli olaraka hizmet alınan bir danışman da olabilir.
Şirket içi çalışan bir kişinin DPO olması halinde, DPO’nun görevleri ile çıkar çatışması olmamak kaydı ile, söz konusu çalışan başka bir pozisyonda da çalışmaya devam edebilir. Burada farklı pozisyonlar arasında çıkar çatışması incelenirken şirket içerisinde kişisel verilerin işlenme amaçlarını ve araçlarını belirlemeye yönlendiren bir pozisyon olup olmadığı incelenmedir. Genel bir kural olarak çatışan pozisyonlar; genel müdür, operasyon şefi gibi üst düzey yönetim pozisyonlarıdır.
Hangi Veri Sorumluları İçin DPO Bir Yasal Zorunluluktur?
Kişisel veri işleyen tüm kamu makamları (mahkemeler hariç),
Temel faaliyetleri veri sahiplerinin düzenli ve sistematik şekilde büyük ölçekli olarak izlenmesi olan kuruluşlar
Temel faaliyetleri özel nitelikli kategorilerini işlemek olan (sağlık, ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlarla ilgili veriler) kuruluşlar
DPO atamak zorundadır.
DPO’nun Sahip Olması Gereken Yetkinlikler
Ulusal ve Avrupa veri koruma yasaları ve uygulamalarında uzmanlık,
İleri Düzey GDPR Bilgisi
Sektörel ve organizasyönel bilgi birikimi,
Kuruluşun idari kuralları ve prosedürleri hakkında sağlam bir bilgi.
Dürüstlük ve yüksek mesleki etik.
DPO Ne Yapar?
Kişisel verilerin korunması ile ilgili tüm konulara uygun şekilde ve zamanında dahil olmak.
DPO, üst ve orta yönetim toplantılarına düzenli olarak katılmaya davet edilir.
Veri koruma ile ilgili kararların alındığı durumlarda varlığı tavsiye edilir.
DPO’nun görüşüne her zaman gereken ağırlık verilmelidir. Anlaşmazlık durumunda, DPO’nun tavsiyesine uyulmamasının nedenlerinin belgelenmesini önerir.
Bir veri ihlali veya başka bir olay meydana geldiğinde derhal DPO’ya danışılmalıdır.
Veri otoriteleri ile ilgili süreçleri yürütür.
DPO’nun Özerkliği
Görevlerinin yerine getirilmesiyle ilgili herhangi bir talimat almaz.
Görevlerini yerine getirmeleri nedeniyle denetleyici (veya işleyici) tarafından görevden alınmaz veya cezalandırılmaz.
GDPR 39. Madde uyarınca, DPO’lara bir konuyla nasıl başa çıkacakları talimatı verilmemelidir.
Konuya ilişkin danışmanlık hizmetlerimizden haberdar olmak için uzman ekibimiz ile iletişime geçebilirsiniz.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
6698 sayılı Kişisel Verileri Koruma Kanunu‘nun kısaltması olan KVKK özellikler mevzuattan habersiz olanlar için kafa karıştırıcı olabilir. Uygulamada 6698sayılı kanunun yanı sıra kimi zamanlar Kişisel Verileri Koruma Kurumu’nun da kısaltılması olarak kullanıldığı görülmektedir.
Amacı Nedir?
6698 Sayılı KVKK’nın amacı başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri (gerçek kişilerin kimliğini tanımlanabilir kılan verileri ) işleyen gerçek ve tüzel kişilerin yükümlülükleri düzenlemek olup; Avrupa Birliği uyum süreci nezdinde Türkiye’de 2016 yıında yürürlüğe girmiştir.
KVKK Kapsam
Kişisel Verileri Koruma Kanunu kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Burada kamu ve özel tüzel kişiler arasında bir ayrım yapılmamış olmasının altı çizilmelidir. Kamu tüzel kişileri de özel tüzel kişiler gibi kanun kapsamında yükümlülüklerini yerine getirmek zorundadır.
Temel İlkeler
Kanun kapsamında beş temel ilke bulunmakta olup; kanunun 4. maddesi ile düzenlenmiştir.
Hukuka ve dürüstlük kurallarına uygun olma.
Doğru ve gerektiğinde güncel olma.
Belirli, açık ve meşru amaçlar için işlenme.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
6698 Sayılı Kişisel Verileri Koruma Kanunu kapsamında kabahatler kanunu 18. maddesi ile düzenlenmiştir. Kanun yürürlük tarihi olan 2016 senesi için 10.000 (onbin) TL ile 1.000.000 (birmilyon) TL arasında olan idari para cezası bedelleri her yıl yayınlanan yenilenme oranları doğrultusunda artış göstermiştir. Bu kapsamda 18. maddede düzenlenen kabahatler ile 2023 yılı için güncel idari para cezası oranları için aşağıdaki tabloyu inceleyebilirsiniz.
KVKK Yaptırımlar (KVKK Madde 18)
İdari Para Cezası Bedeli (Kanun)
İdari Para Cezası Bedeli 2022
İdari Para Cezası Bedeli 2023
Aydınlatma yükümlülüğünü yerine getirmeyenler (18/1-a)
Kurul tarafından verilen kararları yerine getirmeyenler (18/1-c)
25.000- 1.000.000 TL
66.965 – 2.678.863 TL
149.285 – 5.971.989 TL
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler (18/1-ç)
20.000- 1.000.000 TL
53.572 – 2.678.863TL
119.428 – 5.971.989 TL
Ayrıca Kanunun 18. Maddesinde belirtilen kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde ise kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucu Kurula bildirileceği kanun ile düzenlenmiştir.
18.01.2022 Tarihli Kişisel Verileri Koruma Kurumu’nun Duyurusu İle İdari Para Cezası Miktarları Yayınlanmıştır
Kurum tarafından hazırlanan tabloya buradan ulaşabilirsiniz.
Türk Ceza Kanunu Kapsamında Düzenlenen Suçlar
Kişisel verilerin kaydedilmesi
Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (2) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Nitelikli haller
Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet
Madde 139- (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
Unutulma hakkı, internette yer alan kişisel verilerin, belirli şartlar çerçevesinde, arama sonuçlarından kaldırılması olarak ifade edilebilir. Unutulma hakkı, kişisel verilerin korunması mevzuatlarının şekillenmesi ile ortaya atılan yeni nesil haklardan biridir.
Türkiye’de Unutulma Hakkı Nedir?
Türkiye’de baktığımızda 2010 yılında Anayasa’da yapılan değişiklik ile kişisel verilerin korunması hakkı anayasal bir hak olarak düzenlenmiş; akabinde, 2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verileri Koruma Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında da kişisel verilerin imhasına ilişkin gerekli düzenlemeler gerçekleştirilmiştir. Yasal mevzuat kapsamında her ne kadar “unutulma hakkı” olarak geçmese de, kanun kapsamında düzenlenen haklar çerçevesinde yasal şartları taşıyan herkes kişisel verilerinin ilgili veri sorumluları tarafından kaldırılmasını talep edebilmektedir.
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Kişisel Verileri Koruma Kurumu Kararı
“Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi”ne ilişkin Kişisel Verileri Koruma Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Kararı ile özet olarak;
Arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiğine,
Arama motorlarının, veri sorumlusu olarak kabul edilmesine,
Arama motorları tarafından gerçekleştirilen faaliyetlerin ‘kişisel veri işleme” faaliyeti olarak değerlendirilmesine,
İlgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceğine,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılmasına, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesine ve bu değerlendirme yapılırken öncelikli olarak aşağıda yer verilen açıklamaların dikkate alınmasına ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağına, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğuna karar verilmiştir.
Arama Motorlarından Çıkartılmaya İlişkin Talepler İncelenirken Dikkate Alınması Gereken Kriterler
İlgili kişi kamusal yaşamda önemli bir rol oynuyor mu?
Arama sonuçlarının öznesi bir çocuk mu?
Bilginin içeriği doğru mu?
Bilgiler kişinin çalışma hayatı ile mi ilgili?
Arama sonuçlarında yer alan bilgi ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliği taşıyor mu?
Arama sonuçlarında yer alan bilgi özel nitelikli kişisel veri niteliği taşıyor mu?
Arama sonuçlarında ulaşılan bilgi güncel mi?
Arama sonucunda ulaşılan bilgi kişi hakkında önyargıya sebep oluyor mu?
Arama sonucunda yer alan bilgi kişi açısından bir risk doğuruyor mu?
Bilgi kişinin kendisi tarafından mı yayımlandı?
Orijinal içerik gazetecilik faaliyeti kapsamında işlenen verileri mi kapsıyor?
İlgili kişiye ilişkin bilgilerin yayımlanmasında yasal bir zorunluluk var mı?
İlgili kişiye ilişkin bilgi ceza gerektiren bir suçla mı ilgili?
Mahkeme Kararları
Yargıtay Hukuk Genel Kurulu 2014/56 E. 2015/1679 K.
Davacı, geçmişte yaşadığı kötü bir olayın toplum hafızasından silinmesini istemektedir. Unutulma hakkı ile geçmişindeki yaşanan talihsiz bir olayın unutularak geleceğini serbestçe şekillendirmek, diğer bir deyişle hayatında, yeni bir sayfa açma olanağı istemektedir. Kaldı ki, davacı da yargılama sırasında verdiği dilekçelerinde bu istem üzerinde ısrarla durmuştur. Davacı unutulma hakkı ile özel hayatına ilişkin kişisel verilerinin üçüncü kişiler tarafından bilinmemesini, aradan geçen süre nedeniyle toplum hafızasından silinmesini istemektedir. Bu bağlamda değerlendirildiğinde; 4 yıl önce gerçekleşen bir olayın mağduru olan kişinin adının açık bir şekilde yazılarak kitapta yer alması halinde unutulma hakkının bunun sonucunda da davacının özel hayatının gizliliğinin ihlal edildiği kabul edilmelidir. Avrupa Birliği Adalet Divanı’nın “Google Kararı”nda açıkladığı gibi ilgili verinin kamu hayatında oynadığı önemli rol ve halkın ilgili veriye yönelik yoğun ilgisi şeklinde, üstün bir kamu yararını ortaya koyan özel sebepler bulunmadığına göre bilimsel esere alınan kararda kişisel veriler açık bir şekilde yer almamalıdır. Görüşmeler sırasında azınlıkta kalan üyeler mahkeme kararlarında yer alan isimlerin rumuzlanmasına gerek olmadığını, yargılamanın istisnalar haricinde açık bir şekilde yapıldığını hükmün alenen tefhim edildiğini, bu nedenle özel hayatın gizliliğinin ihlal edilmediğini savunmuşlar ise bu görüş “sorunun mahkeme kararlarında isimlerin rumuzlanmadan yer alması değil, kararların kitaba alınması sırasında rumuzlanması gerekip gerekmediği sorunu olduğu” gerekçesi ile kurul çoğunluğu tarafından kabul edilmemiştir. O halde davacının isminin rumuzlanmadan kitapta yer almasının unutulma hakkını ve bunun neticesinde özel hayatın gizliliğini ihlal ettiği dikkate alındığında davacı lehine manevi tazminat koşullarının gerçekleştiğinin kabulü zorunludur.
Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve, aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur: (a) kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması; (b) veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması; (c) veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması; (d) kişisel verilerin yasa dışı biçimde işlenmiş olması; (e) kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması; (f) kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.
La Vanguardia gazetesinde, hacizli evinin müzayedesine ilişkin 1998 tarihli bir makalenin bağlantısının kaldırılmasını talep eden Mario Costeja González’in, sonradan ödediği bir borç nedeniyle açtığı davada, Mayıs 2014’te Avrupa Adalet Divanı, Google aleyhine karar verdi. Başlangıçta Costejai İspanyol Veri Koruma Ajansı’na şikayette bulunarak makaleyi kaldırmaya çalıştı. İspanyol Veri Koruma Ajansı, Google’a karşı yapılan bir şikayeti kabul etti ve Google’dan arama sonuçlarının kaldırmasını istedi. Google, bir dizi soruyu Avrupa Adalet Divanı’na havale eden İspanyol Ulusal Yüksek Mahkemesi’nde dava açtı. Mahkeme, arama motorlarının işaret ettikleri içerikten sorumlu olduğuna ve bu nedenle Google’ın AB veri gizliliği yasalarına uyması gerektiğine karar verdi. Google, arama sonuçlarının veri koruma mevzuatı ile uyumlu hale getirilmesinin yalnızca ilk gününde (30 Mayıs 2014), kişisel verilerin arama motorundan kaldırılması için 12.000 talep aldı.
Konuya ilişkin hukuki danışmanlık almak için uzman ekibmiz ile iletişime geçebilirsiniz.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
KVKK Yaptırımlar| KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu
İdari Para Cezaları
6698 Sayılı Kişisel Verileri Koruma Kanunu kapsamında kabahatler kanunu 18. maddesi ile düzenlenmiştir. Kanun yürürlük tarihi olan 2016 senesi için 10.000 (onbin) TL ile 1.000.000 (birmilyon) TL arasında olan idari para cezası bedelleri her yıl yayınlanan yenilenme oranları doğrultusunda artış göstermiştir. Bu kapsamda 18. maddede düzenlenen kabahatler ile 2021 yılı için güncel idari para cezası oranları için aşağıdaki tabloyu inceleyebilirsiniz.
KVKK Yaptırımlar (KVKK Madde 18)
İdari Para Cezası Bedeli
Aydınlatma yükümlülüğünü yerine getirmeyenler (18/1-a)
Kurul tarafından verilen kararları yerine getirmeyenler (18/1-c)
49.171- 1.966.856 TL
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler (18/1-d)
39.337- 1.966.856 TL
Ayrıca Kanunun 18. Maddesinde belirtilen kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde ise kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucu Kurula bildirileceği kanun ile düzenlenmiştir.
Türk Ceza Kanunu Kapsamında Düzenlenen Suçlar
Kişisel verilerin kaydedilmesi
Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (2) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Nitelikli haller
Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet
Madde 139- (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
Whatsapp, geçtiğimiz günlerde duyurduğu politika değişikliği ile aşağıda belirtili kalemlerde bir takım farklı düzenlemelere gitmekte olduğunu belirtti. Konuya ilişkin farklı uzmanlarca Facebook ve dolayısıyla Whatsapp tarafından halihazırda zaten paylaşılmakta olduğu ifade edilmekte ise de aşağıda detaylandırılacağı üzere bu veri işleme faaliyetine ilişkin olarak kullanıcılara bir onay dayatılması söz konusu olmuştur. Bu kapsamda değişikliğe gidildiği ifade edilen konu başlıkları;
WhatsApp hizmeti ve verilerinizi nasıl işlediğimiz,
İşletmelerin, WhatsApp sohbetlerini saklamak ve yönetmek için Facebook tarafından barındırılan hizmetleri nasıl kullandığı,
Facebook Şirket Ürünleri’nde entegrasyonlar sunmak için Facebook ile nasıl çalıştığımız
Facebook şirketler ailesine2014 yılında katıldık. Facebook şirketler ailesinin bir parçası olan WhatsApp, bu şirketler ailesinden bilgi alır ve bu şirketlerle bilgi paylaşır. Hizmetlerimizin ve bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler. Altyapı ve yayın sistemlerini iyileştirmeye, bizim veya bu şirketlerin sunduğu Hizmetlerin nasıl kullanıldığını anlamaya, sistemleri güvende tutmaya ve istenmeyen içerik, kötüye kullanım veya ihlal davranışlarıyla mücadele etmeye yardımcı olmak buna dahildir. Facebook ve Facebook ailesindeki diğer şirketler de, hizmetlerindeki deneyimlerinizi iyileştirmek için bizden aldıkları bilgileri kullanabilir. Ürün tavsiyelerinde bulunmak (ör. arkadaş, bağlantı veya ilgi çekici içerik önerileri) veya sizinle alakalı teklif ve reklamlar göstermek buna örnek olarak verilebilir. Bununla birlikte, WhatsApp mesajlarınız Facebook’ta diğer kişilerin görebileceği şekilde paylaşılmaz. Hatta Facebook, WhatsApp mesajlarınızı Hizmetlerimizi yürütmemizi ve sunmamızı kolaylaştırmak dışında başka hiçbir amaçla kullanmaz.
WhatsApp Güncellemesinden Bir Kısım
Peki bu değişiklikler neyi ifade ediyor? Facebook tarafından yapılan bildirimlerde güncellemenin 8 Şubat 2021 tarihinde yürürlüğe gireceğinden bahsedilmekte, kullanıcılar koşulları kabul etmezlerse WhatsApp’ı kullanmaya devam edemeyecek. Bu durum Avrupa’da bulunan kullanıcıları kapsamamakla birlikte sadece Türkiye’ye özgü bir durum değil.
Söz Konusu Değişikliklerin KVKK Açısından İncelenmesi
Kişisel Verileri Koruma Kurumu Tarafından Yapılan Açıklama
Kişisel Verileri Koruma Kurumu taraıfndan 11.01.2021 tarihinde gerçekleştirilen açıklamada “Whatsapp Inc tarafından WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan tedarikçi, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların bu uygulamayı kullanamayacağı ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği anlaşılmaktadır. Bu kapsamda, Kişisel Verilerin Korunması Kanununun 15 inci maddesi uyarınca Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli toplantısında konu, kişisel verilerin korunması mevzuatı genel hükümleri ile Kanunun açık rıza, veri işleme şartları, yurtdışına veri aktarımı ve temel ilkeler yönünden değerlendirilecek olup, gelişmeler hususunda kamuoyu ayrıca bilgilendirilecektir.” ifadeleri ile 12.01.2020 tarihinde konuya ilişkin toplanacak olduğunu duyurmuştur. İlgili açıklamaya buradan ulaşabilirsiniz.
12.01.2021 tarihinde ise kurum tekrar bir duyuru yaparak özetle; ” …2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir. Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.” ifadelerine yer verilmiştir. Karar metni için buradanulaşabilirsiniz.
Whatsapp ile Paylaşılan Veriler
Whatsapp Gizlilik Politikalarını incelediğimizde aşağıdaki kişisel verilerin incelenmekte olduğu anlaşılmaktadır.
Sizin Sağladığınız Bilgiler
Hesap Bilgileriniz.
Mesajlarınız.
Bağlantılarınız.
Durum Bilgisi.
İşlem ve Ödeme Verileri.
Müşteri Desteği ve Diğer İletişimler.
Otomatik Olarak Toplanan Bilgiler
Kullanım ve Kayıt Bilgileri.
Cihaz ve Bağlantı Bilgileri.
Konum Bilgileri.
Çerezler.
Açık Rıza ve Veri İşleme Şartları Açısından Whatsapp Güncellemesi
Yukarıda yer verili kişisel veriler incelendiğinde bu bilgilerin 6698 Sayılı KVKK kapsamında kişisel veri olarak nitelendirilmekte olduğu bu sebeple ilgili yasanın 5. maddesi kapsamında incelenmesi gerektiği anlaşılmaktadır.
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
6698 Sayılı Kişisel Verileri Koruma Kanunu (KVKK) kapsamında kişisel veri işlemekte bulunan veri sorumluları tarafından kanunun 5. ve 6. maddesi kapsamında düzenlenen hukuka uygunluk sebeplerinden bir tanesinin bulunması gerekmektedir. Whatsapp Gizlilik Politikaları kapsamında beyan edilen verileri incelediğimizde bu verilerin özel nitelikli kişisel veri kategorisinde değil ama kişisel veri kategorileri kapsamında değerlendirilmekte olması sebebi ile kanunun 5. maddesi kapsamında gerekli incelemenin yapılması gerekmektedir.
5. Madde 2. Fırka kapsamında yer alan hukuka uygunluk sebepleri açısından bir incelemelerin yapılması gerekir ise;
a) Kanunlarda Öngörülme | Whatsapp tarafından gerçekleştirilen değişiklik kapsamında kanuni bir dayanağın bulunmadığı aksine işletmesel bir karar olduğu değişiklik metninden ve açıklamalar üzerinden anlaşılmaktadır. Dolayısıyla a bendi kapsamında uygulanması mümkün değildir.
b) Fiili İmkansızlık | Whatsapp tarafından verileri işlenmekte olan ilgili kişiselere ulaşma açısından bir imkansızlık söz konusu değildir.
c) Sözleşme İle Doğrudan Doğruya İlgili Olma | Whatsapp tarafından kişisel verilerin grup firmalar ile paylaşılacak olması sözleşme kapsamında bir zorunluluk arz etmeyecektir.
d) Alenileştirme | Alenileştirme söz konusu değildir.
e) Hakkın tesisi | Söz konusu veri işleme faaliyeti bir hakkın tesisine ilişkin değildir.
f) Meşru Menfaat | Bahse konu veri işleme faaliyetinin Denge Testini geçemeyecek olduğu kanaatindeyim. Konuya ilişkin yazımıza buradan ulaşabilirsiniz.
Yukarıda oldukça temel bir şekilde değinildiği üzere Whatsapp güncellemesi nezdinde yapılacak yeni veri işlemesi faaliyeti KVKK Madde 5 Kapsamında yer alan hukuka uygunluk sebeplerinden herhangi birini karşılamamakta olup; konuya ilişkin geçerli bir açık rızanın alınması gerektiği anlaşılmaktadır.
Açık rıza ise kanun kapsamında belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmakta olup; uygulama bünyesinde verilen kabul et ya da terk et yaklaşımı neticesinde verilen onaylara ilişkin bir açık rızanın varlığından bahsetmek mümkün değildir. Dolayısıyla temel unsuları taşımayan bir açık rızanın geçerli olmayacağı ve Whatsapp neticesinde alınan açık rızanın geçersiz olduğu başkaca da herhangi bir hukuka uygunluk sebebinin mevcut olmadığı gözetilerek yapılan işlemin KVKK’ya açık aykırılık teşkil edeceği açıktır. Konuya ilişkin bir çok kurul ilke karar ve açıklamasında da bu husus net bir şekilde vurgulanmakta olup; hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı vurgulanmaktadır.
Temel İlkeler Yönünden Whatsapp Güncellemesi
Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun kapsamında temel ilkeler madde 4 kapsamında düzenlenmiştir. KVKK Başkanı Prof. Dr. Faruk Bilir çeşitli konuşma ve eğitimlerde belirttiği üzere söz konusu madde bir anlamda kanunun en önemli maddesi olarak da nitelendirilebilir. Kanun kapsamında gerçekleştirilecek olan tüm veri işleme faaliyetlerinin söz konusu ilkelere uygun olarak gerçekleştirilmesi gerektiği kurul kararlarında sürekli olarak vurgulanmaktadır.
Whatsapp güncellemesi ile belirtilen değişiklikler kapsamında kullanıcıların kişisel verilerinin grup firmaları ile paylaşılması söz konusu ilkeler nezdinde gözetildiğinde bahse konu veri işleme faaliyeti belirli, açık ve meşru amaçlar için işlenme ilkesi ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında da aykırılık teşkil edecektir.
Yurdışına Veri Aktarımına İlişkin KVKK Hükümleri Kapsamında Whatsapp Güncellemesi
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin yurtdışına aktarımına ilişkin düzenleme madde 9 kapsamında yer verilmiştir. İlgili madde kapsamında veri aktarımı yapılacak ülkenin güvenilir ülke olup olmadığına göre farklı yaklaşımlar izlenilmeke birlikte içerisinde bulunduğumuz tarih itibari ile ülkemiz tarafından kanunda belirtildiği anlamı ile güvenilir bir ilke olmaması ve yapılan taahhüt başvurularının tümünün reddedilmiş olması sebebi ile ilgili madde kapsamında açık rıza dışında veri aktarım seçeneğinin olmadığı anlaşılmaktadır. Yukarıda da özetle belirtilmiş olduğu üzere Whatsapp tarafından yapılan duyuru özgür iradeye dayanmamakta olup; geçerli bir açık rıza olarak kabul edilmesi mümkün bulunmamaktadır.
Whatsapp’ın Çifte Standardı
Whatsapp internet sitesi üzerinde halihazırda mevcut (11.01.2021 tarihli) politikları incelediğimize aşağıdaki ibare ile karşılaşmaktayız. Avrupa Bölgesi’nde ikamet ediyorsanız, Hizmetler size WhatsApp Ireland Limited tarafından bu Hizmet Koşulları veGizlilik İlkesi kapsamında sunulur.
Peki Avrupa ve geri kalan ülkeler arasında farklı bir uygulamaya gidilmesinin sebebi nedir? Birince ve belki de en önemli sebep GDPR, yani Avrupa Birliği Genel Veri Koruma Tüzüğü. Söz konusu kanunu Avrupa kapsamında yürürlükte olan kişisel verileri koruma mevzuatı olarak da nitelendirmek hatalı olmaz. Avrupa Birliği kapsamında yürürlükte olan mevzuat ile Avrupa Birliğinde yerleşik kimselerin verileri korunmakta ve aykırılıklara ilişkin yüksek meblağlarda yaptırımlar uygulanmaktadır. Bu konuda ilgili ülkelerin veri koruma otoriteleri tarafından sıkı denetimlerin gerçekleştirdiğini ifade etmek de yanlış olmayacaktır.
Facebook’a Türkiye’de Daha Önce Kişisel Verilere İlişkin 3.500.000-TL‘nin Üzerinde Yaptırım Uygulanmıştı
Whatsapp’ın sahibi olan Facebook, Amerika’da Cambridge Analythica olayları kapsamında rekor bir miktar, 5 Trilyon Dolar idari para cezasına çarptırılmıştı. Hala fırsatınız olmadı ise konuya ilişkin olarak Great Hack ve Terms and Conditions May Apply belgesellerine bir göz atmanızı tavsiye ederiz. Facebook’un sicilini incelediğimizde Avrupa’dan Amerika’ya bir çok soruşturma kapsamında yaptırım ile karşılaştığı bilinmekte olup; Türkiye’de de durum pek farklı değil. Kişisel Verileri Koruma Kurumu tarafından geçtiğimiz yıllarda iki farklı ilke kararında şirkete toplam Üç Buçuk Milyon Türk Lirasının üzerinde yaptırım uygulanmıştır.
Facebook hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Karar Özeti
Facebook temsilcisi tarafından Kuruma yapılan bildirimin akabinde gerçekleştirilen incelemede, Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlalinin gerçekleşmiş olduğu ve Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması ve veri ihlali hakkında Kuruma bildirim yapılmadığı gözetilerek toplam 1.600.000,00-TL idari para cezası uygulanmasına karar verilmiştir.
Facebook hakkında Kişisel Verileri Koruma Kurulunun 11.04.2019 tarih ve 2019/104 sayılı Karar Özeti
Karara konu olayda “veri gizliliğine/mahremiyetine” aykırı bir husus olması sebebiyle veri ihlali olduğu ve bu ihlalin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrası kapsamında Facebook tarafından Kurul’a bildirilmesi gerektiği ancak herhangi bir bildirimin yapılmadığı tespit edilmiştir. Karar kapsamında ortaya konulan durumun bir veri ihlali olduğu ve ihlalin oluşmaması için Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL, tespit edilmesine rağmen Kuruma bildirim yapılmadığından kanunun 12 inci maddesinde yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL olmak üzere toplam1650.000,00-TLidari para cezası uygulanmasına karar verilmiştir.
Whatsapp Güncellemesi & Rekabet Hukuku
Rekabet Kurulu’nun 11.01.2021 tarihli ve 21-02/25-M sayılı kararıyla, WhatsApp kullanıcılarına getirilen veri paylaşma zorunluluğu hakkında Facebook grup şirketleri hakkında 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 6. maddesinin ihlal edip edilmediğinin tespiti amacıyla resen soruşturma açılmıştır. Bahse konu kararda ayrıca telafi olunamayacak zararlar doğurma ihtimali olması sebebi ile geçici tedbir alınması ve Facebook’un Türkiye’de, WhatsApp kullanıcılarının verilerinin 8 Şubat 2021 tarihinden itibaren başka hizmetler için kullanılmasına yönelik getirdiği koşulları DURDURMASI ve bu koşulları kabul eden veya bilgilendirmeyi alarak kabul etmeyen tüm kullanıcılara Facebook’un veri paylaşımını içeren yeni koşulları durdurduğunu anılan tarihe kadar BİLDİRMESİ gerektiğine karar verilmiştir. İlgili duyuru için buraya tıklayabilirsiniz.
Ayrıca benzer bir konuya ilişkin olarak Alman Federal Rekabet Kurumunun (Bundeskartellamt) 06.02.2019 tarihli Facebook kararı’nın burada tekrarlanması faydalı olacaktır. Alman rekabet otoritesi ilgili kararı ile Facebook’un veri işleme politikasına ilişkin getirdiği sınırlamalar Facebook’u Almanya’daki kullanıcılarına uyguladığı hizmet şartlarını değiştirmek zorunda bırakmış olup; Almanya’da yerleşik olan ve aynı zamanda facebook’un sahibi olduğu WhatsApp, Oculus, Masquerade ve Instagram olmak üzere diğer kurumsal hizmetlerden de faydalanan kullanıcıların verilerinin, Facebook.com kullanıcı hesaplarındaki verilerle, kullanıcıların “gönüllü rızası” olmadan işlenmesini yasaklamaktadır. *
Whatsapp Alternatifleri İçin Dikkat Edilmesi Gereken Hususlar.
Whatsapp tarfından yapılan söz konusu açıklama nezdinde mahremiyet ekseninde Signal, Telegram ve Bip gibi alternatif uygulamalara adeta bir kullanıcı göçü gerçekleştiği görülmektedir. Fakat burada dikkat edilmesi gereken bir kaç hususun hatırlatılmasında fayda var.
Tercih edilecek uygulamaların gizlilik politikaları mutlaka incelenmelidir.
Whatsapp tarafından yapılan 15.01.2021 tarihli açıklama ile karşılaşılan tepkiler akabinde, Whatsapp hakkında yayılan “yanlış bilgiler” sebebi ile güncellemenin 15 Mayıs tarihine ertelendiğine ilişkin açıklama gerçekleştirildi.
Thank you to everyone who’s reached out. We're still working to counter any confusion by communicating directly with @WhatsApp users. No one will have their account suspended or deleted on Feb 8 and we’ll be moving back our business plans until after May – https://t.co/H3DeSS0QfO
We’re now moving back the date on which people will be asked to review and accept the terms. No one will have their account suspended or deleted on February 8. We’re also going to do a lot more to clear up the misinformation around how privacy and security works on WhatsApp. We’ll then go to people gradually to review the policy at their own pace before new business options are available on May 15.
Denge Testi| KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu
6698 Sayılı Kişisel Verilerin Korunması Kanunu Madde 5 kapsamında kişisel verilerin işlenmesi sırasında madde kapsamında sayılan hukuka uygunluk hallerinden bir tanesinin mevcut olması gerekmektedir. Uygulamada kimi kafa karışıklıklarına sebebiyet veren meşru menfaat ile KVKK tarafından ilgili kararlarda bahsedilen denge testi uygulamasından kısaca bahsettik.
Hukuka Uygunluk Sebebi Olarak Meşru Menfaat
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: ….f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu hükmün uygulanabilmesi için; veri işlemenin veri sorumlusunun meşru menfaati için zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerekmektedir.
Meşru Menfaat Örnekler
Bir işletmenin satılması, devralınması gibi bir durumun varlığı halinde, şirketi satın alacak kişinin personelin kişisel verilerinin dâhil olduğu birtakım bilgileri incelemesi meşru menfaat kapsamında değerlendirilebilir.
Bir işverenin, nükleer santraldeki çalışanların güvenliğini sağlamaya yönelik iş güvenliği mekanizmalarının kurulması amacıyla çalışanların kişisel verilerini işlemesi.
Denge Testi
Kişisel Verileri Koruma Kurumu’nun 2019/78 Sayılı Kararı kapsamında 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından aşağıda yer verilen incelemelerin gerçekleştirilmesi gerekmektedir.
Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi
Meşru menfaatin halihazırda mevcut, belirli ve açık olması
İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması
Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması
Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması
Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması
Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılması
Kriterleri her somut olayda ayrı ayrı incelenmeli ve verilen cevaplara göre meşru menfaatin uygulanabilirliği değerlendirilmelidir.
Kişisel Verileri Koruma Kurumu tarafından konuya ilişkin verilmiş karara ulaşmak için tıklayabilirsiniz.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
Verbis Muafiyet| Dernekler | Sendikalar | Vakıflar | Siyasi Partiler | Avukatlar | Mali Müşavirler | Gümrük Müşavirleri | Arabulucular | KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu
Veri Sorumluları Sicili (verbis), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir. Peki, veri sorumluları sicilinden (verbis) muafiyet getirilen veri sorumluları kimler?
MADDE 16 – (1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:
a) Kişisel verinin niteliği.
b) Kişisel verinin sayısı.
c) Kişisel verinin işlenme amacı.
ç) Kişisel verinin işlendiği faaliyet alanı.
d) Kişisel verinin üçüncü kişilere aktarılma durumu.
e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
f) Kişisel verilerin muhafaza edilmesi süresi.
g) Veri konusu kişi grubu veya veri kategorileri.
(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.
Hangi Veri Sorumluları Verbis Kaydından Muaf Tutulmuştur?
Veri Sorumluları
Kurul Karar Tarihi
Kurul Karar Sayısı
RG Yayınlanma Tarihi
Yalnızca Otomatik Olmayan Yollar İle Veri İşleyenler
02.04.2018
2018/32
15.05.2018
Noterler
02.04.2018
2018/32
15.05.2018
Dernekler, Vakıflar, Sendikalar
02.04.2018
2018/32
15.05.2018
Siyasi Partiler
02.04.2018
2018/32
15.05.2018
Avukatlar
02.04.2018
2018/32
15.05.2018
Serbest Mali Müşavirler ve Yeminli Mali Müşavirler
02.04.2018
2018/32
15.05.2018
Gümrük Müşavirleri
28.06.2018
2018/68
18.08.2018
Arabulucular
05.07.2018
2018/75
18.08.2018
Yıllık çalışan sayısı 50’den az, yıllık mali bilanço toplamı 25 milyon TL’den az ve ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan kimseler
19.07.2018
2018/87
18.08.2018
VERBİS Muhafiyet
Ayrıca önemle eklenmelidir ki, her ne kadar yukarıda yer verilen tablo ile veri sorumluları sicil kaydından muaf tutulan veri sorumluları belirtilmiş ise de; bu veri sorumluları 6698 sayılı Kişisel Verilerin Korunması Kanunundan tamamen muaf değildir. Tüm veri sorumlularının aydınlatma yükümlülüğü gibi diğer yükümlülüklerini yerine getirmesi gerekmektedir. Konuya ilişkin sorularınız için bizim ile iletişime geçebilirsiniz.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
Aydınlatma Metni Nedir |KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu
Aydınlatma Metni nedir? Aydınlatma yükümlülüğü nasıl ve ne zaman yerine getirilmelidir? Aydınlatma Metinlerinde bir şekil şartı mevcut mudur? Hemen açıklayalım;
Kişisel Verileri Koruma Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir.
Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:
Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
Aydınlatma Yükümlülüğü Ne Zaman Yerine Getirilmelidir?
İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Kişisel veri işleme amacı değiştiğinde ise veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
Veri sorumlusunun farklı birimlerinde/departmanlarında kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir. Burada önceden hazırlanacak aydınlatma metinleri aracılığı ile aydınlatma yükümlülüğü gerçekleştirilebilecektir.
Sicile kayıt yükümlülüğünün bulunması durumunda ise aydınlatma metni ile Veri Sorumluları Sicilinde açıklanan bilgilerle uyumlu olmalıdır.
“Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.”
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ
Aydınlatma Metinlerine İlişkin Bir Şekil Şartı Mevcut Mudur?
Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünü yerine getirilebilir. Bu kapsamda aydınlatma metinlerine ilişkin bir şekil şartı bulunmamakta olup; fiziksel ortamda olduğu kadar elektronik olarak da aydınlatma yükümlülüğü yerine getirilebilir.
Konuya ilişkin danışmanlık almak için tarafımız ile iletişimegeçebilirsiniz.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
Tercihlerinizi ve tekrar ziyaretlerinizi hatırlayarak size en uygun deneyimi sunmak için web sitemizde çerezleri kullanıyoruz. “Tümünü Kabul Et” seçeneğine tıklayarak TÜM çerezlerin kullanımına izin vermiş olursunuz. Ancak, kontrollü bir onay vermek için "Çerez Ayarları"nı ziyaret edebilirsiniz.
Bu web sitesi, siz sitemizde gezinirken deneyiminizi geliştirmek için çerezlerden faydalanır. Bunlardan gerekli olarak sınıflandırılan çerezler, web sitesinin temel işlevlerinin çalışması için gerekli olduğu için tarayıcınızda saklanır. İnternet sitemizi nasıl kullandığınızı analiz etmemize ve anlamamıza yardımcı olan üçüncü taraf çerezlerinden de faydalanmaktayız. Bu çerezler yalnızca sizin izniniz ile sizin tarayıcınızda saklanacaktır. Ayrıca bu çerezleri devre dışı bırakma seçeneğiniz de mevcuttur. Ancak bu çerezlerden bazılarını devre dışı bırakmak, tarama deneyiminizi etkileyebilir.
Web sitesinin düzgün çalışması için gerekli çerezler kesinlikle gereklidir. Bu çerezler, web sitesinin temel işlevlerini ve güvenlik özelliklerini anonim olarak sağlar.
Cookie
Duration
Description
cookielawinfo-checkbox-advertisement
1 year
GDPR Çerez İzni eklentisi tarafından belirlenen bu çerez, "Reklam" kategorisindeki çerezler için kullanıcı onayını kaydetmek için kullanılır.
cookielawinfo-checkbox-analytics
11 months
Bu çerez, GDPR Çerez İzni eklentisi tarafından ayarlanır. Çerezler, "Analitik" kategorisindeki çerezler için kullanıcı onayını saklamak için kullanılır.
cookielawinfo-checkbox-functional
11 months
Bu çerez, GDPR Çerez İzni eklentisi tarafından ayarlanır. Çerezler, "İşlevsel" kategorisindeki çerezler için kullanıcı onayını saklamak için kullanılır.
cookielawinfo-checkbox-necessary
11 months
Bu çerez, GDPR Çerez İzni eklentisi tarafından ayarlanır. Çerezler, "Zorunlu" kategorisindeki çerezler için kullanıcı onayını saklamak için kullanılır.
cookielawinfo-checkbox-others
11 months
Bu çerez, GDPR Çerez İzni eklentisi tarafından ayarlanır. Çerezler, "Diğer" kategorisindeki çerezler için kullanıcı onayını saklamak için kullanılır.
cookielawinfo-checkbox-performance
11 months
Bu çerez, GDPR Çerez İzni eklentisi tarafından ayarlanır. Çerezler, "Performans" kategorisindeki çerezler için kullanıcı onayını saklamak için kullanılır.
CookieLawInfoConsent
1 year
İlgili kategorinin varsayılan düğme durumunu ve CCPA durumunu kaydeder. Yalnızca birincil çerez ile koordineli olarak çalışır.
viewed_cookie_policy
11 months
Çerez, GDPR Çerez İzni eklentisi tarafından ayarlanır ve kullanıcının çerez kullanımına izin verip vermediğini saklamak için kullanılır. Herhangi bir kişisel veri saklamaz.
İşlevsel çerezler, web sitesinin içeriğinin sosyal medya platformlarında paylaşılması, geri bildirimlerin toplanması ve diğer üçüncü taraf özellikleri gibi belirli işlevlerin yerine getirilmesine yardımcı olur.
Performans çerezleri, ziyaretçiler için daha iyi bir kullanıcı deneyimi sunmaya yardımcı olan web sitesinin temel performans indekslerini anlamak ve analiz etmek için kullanılır.
Cookie
Duration
Description
spu_conversion_7750
7 gün
Bu çerez, WP POPUPS eklentisi tarafından ayarlanır. İnternet sitesi ziyaretçilerine yönelik aydınlatma metni sayfasında yer alan pop-up'ın kapatılıp kapatılmadığını takip eder.
spu_conversion_7751
7 gün
Bu çerez, WP POPUPS eklentisi tarafından ayarlanır. Hizmet alan kişilere yönelik aydınlatma metni sayfasında yer alan pop-up'ın kapatılıp kapatılmadığını takip eder.
spu_conversion_7752
7 gün
Bu çerez, WP POPUPS eklentisi tarafından ayarlanır. Çalışan adaylarına yönelik aydınlatma metni sayfasında yer alan pop-up'ın kapatılıp kapatılmadığını takip eder.
Analitik çerezler, ziyaretçilerin web sitesiyle nasıl etkileşime girdiğini anlamak için kullanılır. Bu çerezler, ziyaretçi sayısı, hemen çıkma oranı, trafik kaynağı vb. ölçümler hakkında bilgi sağlamaya yardımcı olur.
Cookie
Duration
Description
_ga
2 Yıl
Google Analytics tarafından yüklenen _ga çerezi, ziyaretçi, oturum ve kampanya verilerini hesaplar ve ayrıca sitenin analiz raporu için site kullanımını takip eder. Çerez, bilgileri anonim olarak saklar ve benzersiz ziyaretçileri tanımak için rastgele oluşturulmuş bir sayı atar.
_ga_5TB63MEG1H
2 yıl
Bu çerez, Google Analytics tarafından yüklenir.
CONSENT
2 years
YouTube, bu çerezi gömülü youtube videoları aracılığıyla ayarlar ve anonim istatistiksel verileri kaydeder.
Reklam çerezleri, ziyaretçilere alakalı reklamlar ve pazarlama kampanyaları sağlamak için kullanılır. Bu çerezler, web sitelerinde ziyaretçileri izler ve özelleştirilmiş reklamlar sağlamak için bilgi toplar.
Cookie
Duration
Description
VISITOR_INFO1_LIVE
5 months 27 days
Kullanıcının yeni veya eski oynatıcı arayüzünü alıp almayacağını belirleyen bant genişliğini ölçmek için YouTube tarafından ayarlanan bir çerez.
YSC
session
YSC çerezi, Youtube tarafından ayarlanır ve Youtube sayfalarındaki gömülü videoların görüntülenmelerini takip etmek için kullanılır.
yt-remote-connected-devices
never
YouTube, bu çerezi, gömülü YouTube videosunu kullanan kullanıcının video tercihlerini depolamak için ayarlar.
yt-remote-device-id
never
Gömülü YouTube videosunu kullanarak kullanıcının video oynatıcı tercihlerini saklar
