KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDA BİLGİ GÜVENLİK ŞİRKETLERİNİN UYGULAMALARI

ÖZET

Hukuk, her devir ve koşul için güncelliğini koruyan bir bilim dalıdır. Gelişen teknoloji ile birlikte hukukun da gelişmesi ve değişmesi kaçınılmazdır. Bu minvalde teknolojik gelişmelere uygun olarak yeni hukuki düzenlemeler yapılmakta olup ilerleyen yıllarda da bu süreç şüphesiz ki devam edecektir. Bu çalışmada irdelenecek olan konu; Kişisel Verileri Koruma Kanunu Kapsamında Bilgi Güvenlik Şirketlerinin Uygulamaları ele alınmak suretiyle şirketlerin hak ve sorumluluklarının hukuki olarak belirlenmesinden ibarettir. Evvelemirde uygulama nezdinde şirketlerin salt bir şekilde sorumluluğuna gidilmesi doğru bir yaklaşım olmamasının yanı sıra hukukun temel ilkelerinden olan eşitlik ilkesine aykırılık teşkil etmektedir. Kaldı ki Kişisel Verilerin Korunması üç farklı uzmanlık alanından oluşmaktadır. Üç farklı uzmanlık alanını kapsayan bir kavramın sorumluluğunun tamamının şirketlere yüklenmesinin açıklanması izahtan varestedir. Öncelikle Kişisel Veri içeren bilgilerin depolanması için “Yazılım” alanı gerekmektedir. Yazılım uzmanları, Kişisel Verileri içeren bilgileri Bilgi Güvenlik Şirketleri’nin bilgisi dâhilinde depolamak ve korumakla yükümlüdür. Yazılım uzmanlarının uzmanlık alanları, teknolojik ve teknik bilgileri içermektedir. Bu minvalde “Danışmanlık” hizmeti, teknik ve teknolojik bilginin yanı sıra Kişisel Verilerin Korunmasında yazılımdan sonra gelen diğer bir alandır. Ancak yukarıda da arz edildiği üzere, Kişisel Veri içeren bilgilerin depolanması, korunması ve kullanılmasının hukuktan bağımsız olacağı düşünülemez bir niteliktedir. Bu çerçevede şirketlerin uygulamada yaşayabileceği muhtemel hukuki olaylar aydınlatılacak olup yaşayan herkes gibi kişiliği haiz bulunan tüzel kişilerin de hukuki hakları bilimsel olarak irdelenecektir.

GİRİŞ

Hukuk, her devir ve koşul için güncelliğini koruyan bir bilim dalıdır. Gelişen teknoloji ile birlikte hukukun da gelişmesi ve değişmesi kaçınılmazdır. Bu minvalde teknolojik gelişmelere uygun olarak yeni hukuki düzenlemeler yapılmakta olup ilerleyen yıllarda da bu süreç şüphesiz ki devam edecektir. Bu çalışmada irdelenecek olan konu; Kişisel Verileri Koruma Kanunu Kapsamında Bilgi Güvenlik Şirketlerinin Uygulamaları ele alınmak suretiyle şirketlerin hak ve sorumluluklarının hukuki olarak belirlenmesinden ibarettir. Evvelemirde uygulama nezdinde şirketlerin salt bir şekilde sorumluluğuna gidilmesi doğru bir yaklaşım olmamasının yanı sıra hukukun temel ilkelerinden olan eşitlik ilkesine aykırılık teşkil etmektedir. Kaldı ki Kişisel Verilerin Korunması üç farklı uzmanlık alanından oluşmaktadır. Üç farklı uzmanlık alanını kapsayan bir kavramın sorumluluğunun tamamının şirketlere yüklenmesinin açıklanması izahtan varestedir. Öncelikle Kişisel Veri içeren bilgilerin depolanması için “Yazılım” alanı gerekmektedir. Yazılım uzmanları, Kişisel Verileri içeren bilgileri Bilgi Güvenlik Şirketleri’nin bilgisi dâhilinde depolamak ve korumakla yükümlüdür. Yazılım uzmanlarının uzmanlık alanları, teknolojik ve teknik bilgileri içermektedir. Bu minvalde “Danışmanlık” hizmeti, teknik ve teknolojik bilginin yanı sıra Kişisel Verilerin Korunmasında yazılımdan sonra gelen diğer bir alandır. Ancak yukarıda da arz edildiği üzere, Kişisel Veri içeren bilgilerin depolanması, korunması ve kullanılmasının hukuktan bağımsız olacağı düşünülemez bir niteliktedir. Bu çerçevede şirketlerin uygulamada yaşayabileceği muhtemel hukuki olaylar aydınlatılacak olup yaşayan herkes gibi kişiliği haiz bulunan Bilgi Güvenlik Şirketlerinin sorumlulukları ve uygulamada yaşayabileceği muhtemel hukuki olaylar ele alınmak suretiyle tarafların KVKK kapsamında görev ve yükümlülükleri ele alınacaktır.

1. KİŞİSEL VERİ KAVRAMI VE KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK YAPILAN ÇALIŞMALAR

1.1. Kişisel Veri Kavramı, Unsurları ve Tarafları

İnsanlığın var oluşundan itibaren sahip olduğu en önemli kavram “bilgidir.” Teknolojinin gelişmesi ile birlikte bilgi; ağaç kavuklarından parşömen kâğıtlarına, beyaz kâğıtlardan ve nihayet teknolojik ortamda yer almak suretiyle veri haline evrilmiştir. Bilgi Güvenlik Şirketlerinin Kişisel Verilerin Korunmasına yönelik uygulamada karşılaşabileceği muhtemel hukuki olayların kanuni bir şekilde aydınlatılabilmesi için öncelikle mezkûr şirketlerin korumakla mükellef olduğu bilginin yani verinin ne olduğu anlaşılmalıdır.

20. yy itibariyle hayatımıza giren ve gittikçe etkisini arttıran bilgisayar ve internet ile birlikte bilgi, sanal dünyada yerini almıştır.

1.1.1. Veri

Kişisel veri; kanunda[1] belirtildiği üzere Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

Kişisel veri, kişiye ait olan özellikleri içeren bilgiler olarak da tanımlanabilir. Nitekim bu bilgilerin veri halini alması, elektronik ortamda olması sebebiyledir. (Arıklı, Buğçehan, 2019) - 569621

Kişiyi diğer kişilerden ayıran özelliklerini içeren bilgiler kişisel veri olarak nitelendirilmektedir. (Kaya, Cemil, 2005)

1.1.2. Veri Sorumlusu

Veri sorumlusu[2] kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

KVKK lafzi yorum ile irdelendiğinde; veri sorumlusunun kişisel verilerin amacını ve işbu verilerin hangi koşul ve ortamda işleneceğini belirleyen gerçek ve tüzel kişiler olduğu anlaşılmaktadır.

Veri sorumlusu, kanunun amacına ve temel hukuk ilkelerine uymakla yükümlü olmasının yanı sıra KVKK ile birlikte özel bir şekilde düzenlenmiş bir kavramdır.

Kişisel verilerin neden ve nasıl korunacağı soruları, veri sorumlularının görev ve yükümlülüklerini oluşturmaktadır. (Kişisel Verileri Koruma Kurumu, 25.06.2021 - Erişildiği Tarih)

Yine Veri Sorumlusu; Avrupa Birliği Genel Veri Koruma Tüzüğü’nde[3]: “Kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ..” şeklinde tanımlanmıştır.

1.1.3. İlgili Kişi

İlgili kişi[4] KVKK’da tanımlandığı üzere kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

Kanunun açık hükmünden anlaşılacağı üzere, ilgili kişi sadece gerçek kişi olarak kabul edilmiştir.

Yine kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde kanun gereği koruma altına alınacaktır.

Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememesinin yanı sıra önceliği gerçek kişiye vermektedir. Kanunun düzenlenme amacı, gerçek kişinin korunmasıdır. (Kişisel Verileri Koruma Kurumu, Erişildiği Tarih- 25.06.2021)

İlgili kişiler (gerçek kişiler), kendilerine ait kişisel verilerin işlenip işlenmediğini öğrenme, işlenen veriler hakkında bilgi sahibi olma ve talepte bulunma, mezkûr verilerin düzeltilmesini ya da kaldırılmasını isteme hakkına sahiptir. Bu husus Avrupa Birliği Genel Veri Koruma Tüzüğü ışığında KVKK ile birlikte sağlanmış bir korumadır.

1.2. Kişisel Verilerin Korunmasında Yer Alan Temel İlkeler

Kanunun genel esaslar kısmında adlandırılan birtakım ilkeler gereği kişisel veriler korunmaktadır. Bu ilkeler:​​​​​​​

1.2.1. Hukuka ve Dürüstlük Kurallarına Uygun Olma

KVKK’da sayılan temel ilkeler, birtakım yazarlar tarafından “kaliteli veriler” olarak nitelendirilmektedir. (Mäkinen 2015- 273; Şimşek, 2008 - 83)

Bilindiği üzere dürüstlük kuralı, özel hukukun temelini oluşturan Türk Medeni Kanunu’nun 2. maddesinde[5] düzenlenmektedir.

KVKK’nın temel ilkelerinden olan ve kaliteli verilerin toplanmasında önem arz eden hukuka ve dürüstlük kuralına uygun verilerin korunacağının açıklanması izahtan vareste bir kavramdır.

Nitekim mezkûr maddede açıkça düzenlendiği üzere “Dürüst olmayanı hukuk düzeni korumaz.”

Yine hukuka ve dürüstlük kurallarına uygun olma, ilgili kişilerin güvenlerinin kötüye kullanılmaması olarak da nitelendirilmektedir. Kaldı ki kişisel veriler, ancak hukuka uygun koşullarda işlenebilir.

Bu husus Anayasada[6] da açıkça belirtilmiştir.

Bu minvalde kişisel veriler, öncelikle hukuka uygun şekilde işlenmeli, akabinde dürüstlük kuralına uygun bir şekilde ilgililerin güvenini koruyarak kanunun amacına uygun bir şekilde Normlar Hiyerarşisine[7] uygun bir şekilde korunmalıdır.​​​​​​​

1.2.2. Doğru ve Gerektiğinde Güncel Olma

KVKK’da düzenlendiği üzere[8] ilgili kişi; kendisine ait verilerin düzeltilmesini, değiştirilmesini ve kaldırılmasını isteme hakkında sahiptir.

Bilgiye ulaşmak, hiçbir çağda günümüzdeki kadar hızlı olmamıştır. Ancak dijital mecralarda bulunan bütün bilgilerin doğru ve güncel olduğunun düşünülmesi, fazlasıyla hayalî bir düşüncedir.

Kişisel verilerin kişinin onur ve saygınlığını etkileyebilmesi, başka kişiler tarafından hakkında birtakım düşüncelere sevk etmesi hususları bir bütün olarak ele alındığında mezkûr verilerin doğru ve gerektiğinde güncel olmasının arz ettiği önem ortadadır. (Akgül, 2004 s. 132; Küzeci 2009, s. 213)

Kişisel verilerin güncel olması ile ilgili olarak verilerin “gerektiğinde güncel olması” , kişisel verilerin güncelliğinin korunması sebebiyle ilgili kişi ile ilgili bilgileri içeren verilerin güncelliğinin sağlanması ile ilgilidir.

Örneğin bir anket çalışması için yapılan çalışmalar, yapıldığı tarih itibariyle güncelliğini korusa da ilerleyen zamanlarda işbu verilerin güncelliğinden bahsedilemeyecektir. (Rücker, Daniel; Kugler, Tobias, 2018)

Nitekim ilgili kişi ya da kişiler hakkında daha önceden kişisel veri içeren bilgiler önceden doğru dahi olsa geçen zaman ile birlikte güncellenmeli, ilgililer hakkında mağduriyetlere sebebiyet vermemelidir.​​​​​​​

1.2.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Bu ilke esasen 3 temel kuraldan oluşmaktadır. Nitekim kişisel verilerin belirli ya da belirlenebilir olması, açık olması ve meşru amaçlar için işlenmesi gerekmektedir. Bu kuralların her biri ayrı bir başlık altında incelenmelidir.​​​​​​​

1.2.3.1. Belirlilik

Belirlilik, hukukun temel ilkelerindendir. Nitekim hukuk, haklar kelimesinin çoğulu anlamına gelmekte olup belirli olmayan hakların hukuk düzeni tarafından tanınması ve korunması mümkün değildir. (Türk Dil Kurumu, Erişildiği Tarih: 27.06.2021)

Bu minvalde KVKK kapsamında yer alan belirlilik, kişisel verilerin yalnızca belirlenen amaçlar için işlenebileceğini ifade etmektedir.

Kişisel verilerin elde edilmesinde belirli amaçların önceden gösterilmesi, ilgili kişinin aydınlatışmış onam verilmek suretiyle mezkûr verilerin hangi amaçlarla kullanılacağının gösterilmesi zorunludur.

Bilindiği üzere Özel Hayatın Gizliliği[9], temel haklardan[10] olup ilgili kişilerin dijital ortamlarda da mezkûr haklarının korunmasına, değiştirilmesine ve kaldırılmasına yönelik taleplerinin bulunması hayatın olağan akışına uygundur.

Kişisel veriye ilişkin faaliyetlerin hukuki bir şekilde hangi düzenlemeye dayanarak yapıldığı ilgili kişilere açıklanmalıdır.

Belirlilik ilkesi gereği kişisel veri işleyenlerin bu minvalde görev ve sorumluluğu bulunmaktadır.​​​​​​​

1.2.3.2. Açıklık

Kişisel verilerin işlenmesi, yukarıda da arz edildiği üzere ilgili kişilerden aydınlatılmış onam alınmak suretiyle şüphe bulunmaksızın açık bir şekilde belirtilmelidir.

Açıklık ilkesi, sadece ilgili kişiler ve veri işleyen bakımından değil; bütün taraflar (kamu otoriteleri, üçüncü kişiler.. vb.) bakımından değerlendirilmelidir. (Çalışma Grubu 203, 2013, s. 17)

Bu minvalde kişisel veri işlemenin açık bir şekilde yapılması, ilgili kişiler tarafından başvuruların alınması ve işbu başvuruların uygun bir sürede cevaplanması gerekmektedir. ​​​​​​​(Kişisel Verileri Koruma Kurulu, Erişildiği Tarih: 27.06.2021)

1.2.3.3. Meşruluk

Meşru, hukuka uygun anlamına gelmektedir.(Türk Dil Kurumu, Erişildiği Tarih: 27.06.2021)

Kişisel verilerin işlenebilmesi için meşru olması gerekmektedir.

KVKK kapsamında meşruluk; işlenen verilerin hukuken meşru olması, meşru amaçlarla kullanılması ve meşru amaçlara yönelik işlenmesidir.

Hukuka uygun olmayan hiçbir veri işlenemez. Hukuka uygun verilerin meşru olmayan amaçlar için kullanılması, veri işleyenlerin sorumluluğunu doğurmaktadır.​​​​​​​

1.2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler, meşru amaca yönelik alınmak suretiyle ölçülü ve işlenilen amaçla bağlantılı olmalıdır.

Burada yer verilen ölçülülük ve işlenilen amaçla bağlantılı olmak; her somut olaya uygun bir şekilde değerlendirilmelidir.

Örneğin alışveriş sitesine kayıt olmak için kişinin online ticaret için istenen bilgilerinin yanı sıra ayrıca başka kişisel verilerinin istenilmesi, ölçülülük ilkesine aykırılık teşkil etmektedir.

Yine elektronik ortamda sözleşmenin tarafları için istenen Türkiye Cumhuriyeti Kimlik Numarasının sadece online ticaret için kullanılması gerekmektedir. Aksi halde işlenilen amaçla bağlantılı olma ilkesi ihlal edilmiş olur.

Bu minvalde elde edilen kişisel verilerin işlenilen amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir.​​​​​​​

1.2.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Son zamanlarda gündemde bulunan Unutulma Hakkı kapsamında işbu ilke değerlendirildiğinde; her ne kadar kanuna uygun bir şekilde tarafların açıkça aydınlatılarak bağlantılı, ölçülü ve işlenilen amaçla sınırlı bulunan kişisel verilerin gerekli sürede muhafaza edilmesi gerekmektedir.

Nitekim ilgili kişilerin “Unutulma Hakkı”[11] kapsamında kendilerine ait olan kişisel verilerin kaldırılmasını isteme hakları bulunmaktadır.

Burada önem arz eden nokta ise kişisel verilerin muhafaza edileceği sürenin sınırı hakkındadır.

Nitekim dijital ortamda bulunan verilerin kaydedilmesi sebebiyle hak ihlalleri meydana gelse de, mezkûr veriler; uygulamada birçok sorunun çözümünde ana unsur olmaktadır. Bu olay bir mizansen verilerek daha iyi anlaşılacaktır.

Örneğin online ticaret siteleri üzerinden ticaret yapan kişileri ele alınız. Taraflardan biri satıcı, diğer ise alıcıdır. Sözleşme hükümleri gereği satıcı ve alıcının uyması gereken şartlar bulunmaktadır. Ancak dijital ortamda yer alan alıcıların aldatılması nispeten daha kolaydır. Nitekim ayıplı mal satımına ilişkin görmediği bir malı internet üzerinden satın alan bir kişi, ürün eline ulaştığında ısmarladığı malın nitelikleri ile benzerlik dahi arz etmeyen mallar ile karşılaşabilmektedir. Bu minvalde internetten telefon siparişi veren alıcıya satıcının patates gönderdiğini farz ediniz.

Normal koşullarda satıcının da, alıcının da kişisel verilerinin silinmesini isteme hakkı bulunmaktadır. Ancak satıcının kişisel verilerinin silinmesi halinde alıcı tarafın mağduriyeti meydana gelmektedir. Soruşturma makamlarınca istenen birtakım bilgilere satıcının kişisel verilerinin silinmesi sebebiyle ulaşılamadığını düşünürsek kişisel verilerin istenilen her sürede silinmesi, hukuka ve hakkaniyete aykırılık teşkil edecektir.

Yer verdiğimiz olaydan da anlaşılacağı üzere kişisel verilerin silinmesini isteme, her ne kadar hukuka uygun ise mezkûr verilerin muhtemel hak kayıplarına yer verilmemesi için veri işleyenler tarafından belirli bir süre saklanması gerekmektedir.

Ancak saklanma süresi hususunsa herhangi bir belirli süre bulunmamaktadır. Burada ise yapılması gereken, online siteler üzerinde meydana gelebilecek muhtemel hak kayıplarının engellenmesi için işbu sitelere kayıt olan kişilerin; kayıt aşamasında aydınlatılmış onamlarının alınması, kişisel verilerinin kamu otoritelerince istenmesi muhtemel olan bazı durumlar için bir süre saklanabileceği –ölçülü ve sınırlı bir süre- ve bu minvalde tarafların aydınlatılması olacaktır.​​​​​​​

2. BİLGİ GÜVENLİK ŞİRKETLERİNİN HUKUKİ OLARAK YÜKÜMLÜLÜKLERİ

2.1.Kişisel Veri İşleme Sözleşmesinin Hazırlanması

2.2. KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri

2.2.1. Genel Olarak

Kişisel Veri İşleme Sözleşmesinin Hazırlanması Bilgi güvenlik şirketleri ve diğer veri sorumluları tarafından önem arz eden Kişisel Veri İşleme Sözleşmeleri; tarafların aydınlatılması ve kişisel verilerin kullanımına yönelik yazılı bilgilendirmeler içermektedir.

Ancak görselliğin önem arz ettiği bu aşamadan sonra kişisel veriler ile ilgili anlatılacak her husus, tablo yapılması ve ilgili maddelerin ayrıca ve açıkça belirtilmesi suretiyle yapılacaktır.

Öncelikle KVKK’da yer alan tanımların ayrıca ve açıkça yeniden tanımlanması ve tarafların gösterilmesi, veri sorumlusu ve ilgili kişinin aydınlatılması gerekmektedir. Nitekim KVKK, lafzi ve gai(amaçsal) yorum ile irdelendiğinde; yapılan her türlü işlemin açıklanması istenildiği ortadadır.​​​​​​​

2.2.2. Aydınlatma Yükümlülüğü

Veri işleyen, Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede[12] sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Veri işleyen tarafa yüklenen sorumlulukların ifa edilebilmesi için; KVKK kapsamında yer alan bütün hususların ayrıca ve açıkça belirtilmesi, bu minvalde tarafların sorumluluklarının aydınlatılması gerekmektedir.

TANIMLAR[13]

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemler.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

KVK Kurumu: Kişisel Verileri Koruma Kurumu.

KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Politika: Kişisel Verilerin İşlenmesi ve Korunması Politikası.

Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Estetik Yayıncılık tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “Estetik Yayıncılık Anonim Şirketi Kişisel Veri Saklama ve İmha Politikası”.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Kayıtlı Elektronik Posta (KEP): Her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

VERBİS[14]: Veri Sorumluları Sicil Bilgi Sistemi

Tanımlar aşamasından sonra kişisel verilerin neler olduğu, hangi kişisel verilerin niçin kullanılacağı gösterilmelidir.

Yukarıda yer verdiğimiz örnek sözleşme, kişisel verilerin kullanılması sebebiyle yapılan işlemlerin tarafların aydınlatılmasına yönelik bilgiler içermektedir.

geçerliliğini almakta olup geçerliliğini işbu kanuni düzenlemeden almaktadır. [16]Nitekim veri sorumlusunun aydınlatma yükümlülüğü, KVKK’nın 10. Maddesinde düzenlenmiş olsa da esasen Avrupa Birliği Yönergesi’nden​​​​​​​(Korkmaz, İbrahim, Erişildiği Tarih: 30.06.2021)

2.2.3. Veri Güvenliğine İlişkin Yükümlülükler,

Kişisel verilere erişim, değiştirme, kaldırma gibi işlemler için veri güvenliği sağlanmalıdır. Çalışmamızın özet kısmında yer aldığı üzere bu husus, yazılım görev alanına girmekte olup veri sorumlusu tarafından sağlanan güvenlik açıklanmalı, hangi şartlarda ne tarz koruma yapılacağı gösterilmeli ve tarafların yükümlülükleri aydınlatılmak suretiyle veri güvenliği hususu belirtilmelidir.​​​​​​​

2.2.4. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

KVKK’nın 13/2. maddesinde belirtilen Başvuru, Şikâyet ve Veri Sorumluları Sicili - Veri sorumlusuna başvuruya yönelik başvurulacak merciler. [17]

SİTE ÜYELERİ İÇİN BAŞVURULACAK MERCİ	SİTEYİ KULLANAN ANCAK ÜYE OLMAYAN İÇİN BAŞVURULACAK MERCİ
[email protected] Yazılı olarak başvuru için açık adres ve konum bilgileri	[email protected] Yazılı olarak başvuru için açık adres ve konum bilgileri
Başvuruların KVKK kapsamında değerlendirilebilmesi için konu kısmına: “KVKK hakkındadır.” notunu düşünüz.	Başvuruların KVKK kapsamında değerlendirilebilmesi için konu kısmına: “KVKK hakkındadır.” notunu düşünüz.

Yukarıda hazırlamış olduğumuz örnekte, KVKK kapsamında ilgili kişiler tarafından yapılacak muhtemel başvuruların nereye, nasıl ve hangi şekilde yapılacağı açık bir şekilde belirtilmeli; akabinde mezkûr başvuruların değerlendirilmek ve sebeplerinin açıklanması suretiyle ilgili kişilere bildirilmesi gerekmektedir.​​​​​​​

2.2.5. Veri Sorumluları Siciline Kaydolma Yükümlülüğü

Bu husus kanunda açık bir şekilde düzenlenmiştir.[18] Kişisel Verileri Koruma Kurulu gözetiminde kurulan Veri Sorumluları Siciline Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce kaydolmak zorundadır.

VERBİS’e kayıt https://verbis.kvkk.gov.tr/DataResponsible/Register linkini içeren siteden olmaktadır.​​​​​​​

2.2.6. Kişisel Veri İşleme Envanteri ile Kişisel Veri Saklama ve İmha Politikası Hazırlama Yükümlülüğü

Bu hususun daha net anlaşılabilmesi için örnek bir Kişisel Veri Envanteri ile açıklama yapılacaktır. Örneğin X şirketi, bünyesinde çalıştırmak üzere bilgisayar mühendisi alımı yapıyor. Adayların özgeçmişinde yer alan ve kişisel veri teşkil eden bilgilerin Kişisel Veri İşleme Envanteri yapılmak suretiyle KVKK’ya uygun bir şekilde hazırlanan bu mizansende birtakım açıklamalarda bulunulacaktır.

KİŞİSEL VERİ	KİŞİSEL VERİLERİN SAKLAMASI VE İMHASI	KİŞİSEL VERİLERİN AKTARILMASI	KİŞİSEL VERİLERİN NİÇİN KULLANILACAĞI	ÖZEL NİTELİKLİ KİŞİSEL VERİ	YURTDIŞINA AKTARILAN VERİLER
Kimlik Bilgileri (T.C kimlik numarası, adres vb.)	Şirketimize başvurudan itibaren 5 yıl. (Niçin 5 yıl olduğunun açıklaması ayrıca ve açıkça yapılmalıdır.)	Şirketimize vermiş olduğunuz ve kişisel veri teşkil eden işbu bilgiler, şirket politikalarımız gereği sayılan kişilere aktarılacaktır. (KVKK kapsamında sorumluluk doğmaması için öncelikle başvuru sayfası ya da alanına şirket politikası eklenmeli ve okudum ve anladım butonu ile erişim sağlanmalıdır.)	Tarafımıza aktarmış olduğunuz veriler, şirket politikalarımızda sayılan sebepler için istenmiş ve	Özel nitelik teşkil eden kişisel veriler, çalışmanın yukarısında belirtilmiş olup mükerrer bir anlatım olmaması için yeniden belirtilmeyecektir. Ancak KVKK’nın 6. maddesinde sayılan verilerin istenebilmesi, kullanılması ve işlenebilmesi için ayrıca açıkça rıza verilmesi gerekmektedir.	KVKK’nın 11. maddesinde belirtilen hükümden mütevellit bu husus da ayrıca ve açıkça belirtilmiş olmalıdır. Şirketimize vermiş olduğunuz veriler, X isimli yabancı şirket ile aramızda bulunan ticari sebepler dolayısıyla paylaşılmıştır.

Yukarıda yer vermiş olduğumuz Kişisel Veri Envanteri’nde birçok defa “Şirket Politikası” yer almaktadır. Bu minvalde KVKK’ya uygun bir şekilde Şirket Politikası hazırlanmalı, mükerrer anlatımlardan kaçınılmak suretiyle işbu politika içerisinde yer alan hususlara rıza verilmesi gerektiği belirtilmelidir.

Ayrıca önem teşkil eden bir husus da veri sorumlusunun bünyesinde çalıştırdığı kişilere KVKK eğitimi verilmesidir. Nitekim şirket personelleri, ilgili kişilerin kişisel verileri ile ilgili işlemler tesis etmekte olup VERBİS’e kayıt olma sürecinde bulunan şirket personellerinin de KVKK’nın kapsamı dışında olamayacağı aşikârdır. Bu minvalde şirket personellerine yönelik zorunlu KVKK eğitimi verilmelidir.

Yine kişisel verilerin saklandığı ve depolandığı ortamlar ilgili kişilerin bilgisine sunulmalı ve KVKK’ya uygun bir veri politikası izlenmelidir.

KİŞİSEL VERİLERİN DEPOLANDIĞI ORTAMLAR

ELEKTRONİK ORTAMLAR	FİZİKİ ORTAMLAR
Kişisel verilerin depolandığı bulut sistemleri, depolama sitemleri, bilgisayar, telefon tablet vs.	Yazılı ve basılı bütün materyaller.

SONUÇ

Yukarıda yer vermiş olduğumuz örnek tablolar ve açıklamalar ışığında, veri sorumlularının ilgili kişilere yönelik yapılan her türlü işlemi açıklaması gerektiği, kişisel verilerin niçin alındığı, nerede depo edildiği, ne zaman ve niçin imha edileceği, başvuru ve şikâyet yolları gibi hususların belirtilmesi gerektiği izahtan varestedir.

Veri sorumlularının hukuki sorumluluklarının doğmaması için izah edilen sebepler ve mezkûr kanun gereği açıklanan hususlara uygun bir şirket politikası, KVKK yönergesi, şirket içi yetkilerin belirtildiği ve bu yetkilerin KVKK ile ilgisi vb. açıklanmalıdır.

Tabloların hazırlanmasında faydalanılan kaynaklar: Sözcü Gazetesi: https://www.sozcu.com.tr/kvkk/ Cumhuriyet Gazetesi: https://www.cumhuriyet.com.tr/kisisel_verilerin_korunmasi Kişisel Verileri Koruma Kurumu: https://www.kvkk.gov.tr

Kaynakça

Akgül, 2004 s. 132; Küzeci 2009, s. 213. (tarih yok).

Arıklı, Buğçehan. (2019). KKTC Hukukunda Kişisel Verilerin Korunması. İstanbul.

Avrupa Birliği Yönergesi. (Erişildiği Tarih: 30.06.2021). https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046&from=EN adresinden alındı

Çalışma Grubu 203, 2013, s. 17. (tarih yok). https://dergipark.org.tr/tr/download/article-file/737938 adresinden alındı

Değirmenci, Mehmet. (2020). Türkiye'de Temel Hak ve Hürriyetlerin Durdurulmasının Anayasal Çerçevesi. (10). Erzurum.

Kaya, Cemil. (2005). İdare Hukukunda Bilgi Edinme Hakkı. 87. Ankara: Seçkin Yayınları.

Kişisel Verileri Koruma Kurulu. (Erişildiği Tarih: 27.06.2021). Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler.

Kişisel Verileri Koruma Kurumu. (25.06.2021 - Erişildiği Tarih). https://www.kvkk.gov.tr/Icerik/2032/Veri-Sorumlusu-Kimdir adresinden alındı

Kişisel Verileri Koruma Kurumu. (Erişildiği Tarih- 25.06.2021). https://www.kvkk.gov.tr/Icerik/2034/Ilgili-Kisi-Kimdir adresinden alındı

Korkmaz, İbrahim. (Erişildiği Tarih: 30.06.2021). Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme. Türkiye Barolar Birliği Dergisi. http://tbbdergisi.barobirlik.org.tr/m2016-124-1571 adresinden alındı

Mäkinen 2015- 273; Şimşek, 2008 - 83. (tarih yok).

Nalbantoğlu, Seray. (2018, Mayıs). Bir Temel Hak Olarak Unutulma Hakkı. https://dergipark.org.tr/tr/download/article-file/980809 adresinden alındı

Raz, Joseph. (tarih yok). Kelsen'in Temel Norm Kuramı. (Ş. Ş. Ceylan, Çev.) http://dergiler.ankara.edu.tr/dergiler/38/1882/19737.pdf adresinden alındı

Rücker, Daniel; Kugler, Tobias. (2018). New European General Data Protection Regulation, A Practitioner's Guide: Ensuring Compliant Corporate Practice. Oxford.

Türk Dil Kurumu. (Erişildiği Tarih: 27.06.2021). https://sozluk.gov.tr adresinden alındı

Türk Dil Kurumu. (Erişildiği Tarih: 27.06.2021). Hukuk.

Yücedağ, Nafiye. (Kabul Tarihi: 24.05.2019). Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler. Kişisel Verileri Koruma Derigisi, 1(1).