Kişisel Verilerin Korunması Hakkındaki Kanuna Güncel Bakış

Kişisel Veri Kavramı

 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 3. maddesi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

 Yargıtay kararları ışığında; “kişisel veri” kavramı; kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi olarak tanımlanmıştır.[1]

Günümüzde teknolojik gelişmelerin artması ve internetin hayatımızın her alanına girmesiyle birlikte kişisel verilerin korunması, temel bir insan hakkı olarak nitelendirilmiş olup bu hakkın hukuki olarak korunması zorunluluğu hâsıl olmuştur. Sürekli olarak izlenen ve yaşamına ilişkin bilgileri kayıt altına alınan bireylerin, kişiliklerini serbestçe belirleyebilmeleri ve özel hayatlarının gizliliğini koruyabilmeleri mümkün değildir. Bu nedenle Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiş olup 07.04.2016 tarih, 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin İşlenmesi Kavramı

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak adlandırılmaktadır.

Kural olarak kişisel veriler, kanunda öngörülen şartlar dışında, ilgili kişinin açık rızası olmaksızın işlenemez.Ancak kanunda açıkça belirtilen aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi de mümkündür:

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel Veriler İşlenirken Veri Sorumlusu Tarafından Dikkate Alınması Gerekli Olan İlkeler

Kişisel veriler işlenirken aşağıda yer alan ilkelere uyulması gerekmektedir;

  1. Veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir. Bu ilke çerçevesinde veri sorumlusu, sadece kanun koyucunun kendisine çizdiği hukuki alan içerisinde verileri işleyebilmekte ve işlerken dürüstlük kurallarını göz önünde bulundurmalıdır. Bu ilke ile amaçlanan; veri sorumlusunun hedefleri ile ilgili kişilerin menfaatleri arasında bir adil bir dengenin kurulmasıdır.
  2. Verile doğru ve gerekli ise güncel olarak tutulmalıdır. Örneğin işlenen veri istatiksel bir bilginin oluşturulması için kullanılacaksa bu bağlamda verinin doğru tutulması gerekmektedir. Ayrıca verilerin kamunun yararı için tutulduğu durumlarda da bilgilerin doğru ve güncel olması önem arz etmektedir.
  3. Verileri belirli, açık ve meşru amaçlar için işlenmelidir. Veri sorumlusu tarafında kişisel verilerin işlenme amacı tam olarak belirlenmeli, ilgili kişi yeterince aydınlatılmalı ve ilgili kişinin bilgilere erişim hakkı kati suretle kısıtlanmamalıdır.
  4. Veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.Veriler, veri sorumlusu tarafından işlenme amacına yetecek düzeyde işlenmeli vesadece belirlenen, meşru amaçlarçerçevesinde kullanılmalıdır.
  5. Verile, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.Hedeflenen amacın ortadan kalkması ihtimalinde veri sorumlusu tarafından verinin ortadan kaldırılması, silinmesi ya da ilgili kişinin anonimleştirilmesi gerekmektedir.

Görüldüğü üzere, ilgili kişilerin temel hak ve özgürlüklerini koruyabilmek adına kanun koyucu tarafından verilerin işlenmesi öncelikli olarak ilgili kişinin açık rızasına ve belirli ilkelere bağlı kılınmıştır. Ancak kanunda sayılan istisnai hallerde zorunlu olarak kişinin açık rızasına ihtiyaç duyulmaksızın verilerin işlenebilmesi de mümkündür.

Veri Sorumlusunun Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda ilgili kişilere bilgi verilmesi gerekmektedir.

İlgili Kişinin Başvuru ve Şikayet Hakkı

İlgili kişi veri sorumlusuna yazılı olarak başvurarak; kişisel verinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini, kanunda öngörülen hallerde kişisel verilerin silinmesini veya yok edilmesini, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır.Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kurul, verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak amacıyla kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamakla görevlidir. Ancak belirtmek gerekir ki, kurula başvurunun ön şartı veri sorumlusuna karşı başvuru yolların tüketilmiş olmasıdır.

KVKK Kapsamında Avukatların Sorumluluğu

KVKK, 1136 sayılı Avukatlık Kanunu ve Kural kararları birlikte incelendiği takdirde,avukatlara ve avukatlık ortaklıklarına veri sorumlusu sıfatının atfedildiği görülmektedir. Bu nedenle avukatların; aydınlatma, kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilerin hukuka aykırı olarak erişilmesini önleme, kişisel verilerin muhafazasını sağlama, başvuruları süresi içerisinde cevaplama ve kurul kararlarını yerine getirme yükümlülükleri bulunmaktadır.

Kurul’un 02.04.2018 tarihli ve 2018/32 sayılı Kararı; 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, VERBİS’e kayıt yükümlülüğünden muaf tutulmuştur. Ancak belirtmek gerekir ki, avukatların VERBİS’e kayıt yükümlülüğünün bulunmaması, KVKK’da düzenlenen ve yukarıda detaylı biçimde açıklanan diğer yükümlülüklerden de muaf oldukları anlamına gelmemektedir.[2]

Avukatların, Avukatlık Kanunu’ndan kaynaklanan ve yürütmekte olduğu dosyalara ilişkin mevzuattan doğan düzenlemelerden kaynaklanan hukuki yükümlülüklerini yerine getirebilmek amacıyla dosyanın karşı tarafına ilişkin bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi vardır. Bu bağlamda avukatların ilgili kişinin açık rızası olmaksızın işlediği kişisel veriler, KVKK m.5/2 çerçevesinde istisna kapsamında kalarak kanuna uygun olacaktır. Ancak burada dikkat edilmesi gereken husus avukatların gerek kendi müvekkillerine gerekse karşı tarafa ait işledikleri verileri üçüncü kişilerle paylaşması hukuka aykırıdır.

Konuya ilişkin Kurul tarafından verilen14.01.2020 tarih ve 2020/26 sayılı Kararda; bankanın vekilliğini üstlenmekte olan veri sorumlusu avukatın dosya borçlusuna ilişkin bilgileri, borçlunun açık izni olmadan borçlusunun kardeşi ile paylaşması Kişisel Verilerin Korunması Kanunu’nun ihlali olarak kabul edilerek hakkında 50.000 TL idari para cezasına hükmedilmiştir. [3]

KVKK Kapsamında İş Yerinde Güvenlik Kamerasının Kullanılması

İşyerinde güvenlik kamerası kullanılması işçilerin kişisel verilerin işlenmesi olarak değerlendirilmektedir. Avrupa İnsan Hakları Mahkemesi’nin konuya ilişkin verdiği bir kararında; işverenin aydınlatma yükümlülüğü kapsamında izleme faaliyetinin amacı, süresi, uygulama şekli, kameraların yerleştirildiği alanlar, kamera sayısı hakkındaişçilere bilgi vermesi ve kamera kullanımının meşru bir menfaate hizmet etmesi gerekliliği ifade edilmiştir.[4] Bu nedenle işveren tarafından konuya ilişkin aydınlatılma yapılması ve işçilerin açık rızalarının alınması gerekmektedir.

İş yerine gelen üçüncü kişiler bakımından ise her defasında güvenlik kamerasında ilişkin onay almak hayatın olağan akışın uygun düşmeyeceğinden, şirketler tarafından internet sitelerinde şirketlerinin güvenlik kamerası ile izlendiğine ilişkin bir aydınlatma metni yayınlanmaktadır. KVKK Veri Yönetimi Dairesi Başkanlığı tarafından yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”[5] uyarınca da internet sitesinde yayımlanan aydınlatma metnin yanı sıra kamera kaydı alındığına dair üçüncü kişilerde farkındalık oluşturacak biçimde bina içerisinesembollerin ve kamera kaydı alındığına dair bir yazının asılması önerilmektedir.

KVKK’nın Kat Mülkiyeti Kanunu Kapsamında Değerlendirilmesi

Site yönetiminin, site içerisinde yer alan ev sahibi, kiracı, oturma hakkı sahibi olan kişilere ait kişisel veri niteliğindeki bilgileri işlemesi de site yönetimini KVKK kapsamında veri sorumlusu yapacağı açıktır. Her ne kadar Kanun’un lafzında veri sorumlusu “gerçek veya tüzel kişi” olarak belirtilmişse de Kurul kararlarında bu ifadenin geniş yorumlandığı görülmektedir. Bu nedenle site yönetiminin de ilgili kişileri aydınlatma, ilgili kişilerin kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilerin hukuka aykırı olarak erişilmesini önleme, kişisel verilerin muhafazasını sağlama, başvuruları süresi içerisinde cevaplama ve kurul kararlarını yerine getirme yükümlülükleri bulunmaktadır.

Konuya ilişkin Kurul tarafından verilen 22.07.2020 tarihli kararda; “Kat malikleri kurulunun ise Kişisel Verilerin Korunması Kanunu’nun (KVKK) veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından “bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği” belirtilmiş olup dolayısı ile apartman veya site kat malikleri kurulu (ya da toplu yapılarda temsilciler kurulu) tarafından kendi aralarından seçilen yönetici / yönetim kurulu / yönetim kurulu başkanı veya kendileri dışından belirledikleri profesyonel gerçek ya da tüzel kişi yöneticiler,veri sorumlusuna yüklenen yükümlülüklerin yerine getirilmesi bakımından kat malikleri kurulu / temsilciler kurulu tarafından yetkilendirilmiş iseler veri sorumlusu konumunda sayılacaklardır.”[6]ifadeleri kullanılmıştır.


[1] Yargıtay 12. Ceza Dairesi 2019/ 12443 E. 2019/11106 K. 27.11.2019 T.

[2] Kişisel Verilerin Korunması Kurulu 02.04.2018 T. 2018/32 sayılı Karar

[3] Kişisel Verilerin Korunması Kurulu 14.01.2020 T. 2020/26 K. sayılı Karar

[4] Avrupa İnsan Hakları Mahkemesi, Bărbulescu v. Romania, Başvuru No: 61496/08

[5]https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf

[6]Kişisel Verileri Koruma Kurulu 22.07.2020 T. 2020/560 sayılı Karar