Bilgi Bankası

Bu yazımızla 12.03.2024 tarihinde yayınlanan Resmi Gazete’de yapılan değişikliklerini anlattık.

Av. Alper Demiralp / 13 Mart 2024

Değişiklikleri yorumladığımız çalışmayı indirebilirsiniz. KVKK_DEGISIKLIKLERI-1

Kişisel verilerin korunması alanında atılması gereken adımlardan birisi bu alanda politika ve prosedürlerin belirlenmesidir. Kişisel verilerin korunması mevzuatında da bazı veri sorumlularına kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiştir.¹ Ayrıca Kişisel Verileri Koruma Kurumu tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’nde (İdari ve teknik Tedbirler) kişisel verilerin korunmasına ilişkin politika ve prosedürlerin hazırlanması gerektiği, bu uygulamanın çalışanlar üzerinden baskıyı azaltacağı belirtilmiştir. ²
Bu yazıyla kişisel verilerin korunması kapsamında veri sorumlusu tarafından yürürlüğe alınan politika ve prosedürlerin kamu çalışanları açısından bağlayıcılığı değerlendirilmiştir. Bu değerlendirme için ilk olarak kamu çalışanlarının tabi olduğu disiplin hükümlerini kısaca belirlenmiştir ve kişisel verilerin korunması kapsamında çıkarılan politika ve prosedürlere uyulmaması durumunda kamu çalışanları için disiplin hükümlerinin uygulanıp uygulanmayacağı değerlendirilmiştir.

1. KAMU ÇALIŞANLARININ BAĞLI OLDUĞU DİSİPLİN HÜKÜMLER
1.1. MEMUR
657 Sayılı Devlet Memurları Kanunu (Bundan sonra 657 olarak anılacaktır) madde 124 ve devamında disiplin hükümleri düzenlenmiştir. Bu hükümler arasında “Verilen emir ve görevlerin tam ve zamanında yapılmaması” açıkça ifade edilmiştir. 657’nin 11. Maddesinde ise devlet memurlarının görevleri arasında “amirler tarafından verilen görevleri yerine getirmekle yükümlü” ifadesi yer almaktadır.

1.2. SÖZLEŞMESİ PERSONEL
657’nin 4/b maddesi 7. paragrafında, sözleşmeli personelin disiplin hükümleri açısından devlet memurları ile aynı hükümlere tabi olduğu belirtilmiştir. Dolayısıyla memurlara ilişkin yapılan açıklamalar sözleşmeli personel için de geçerlidir.

1.3. İŞÇİ
657’nin 4/d maddesinde işçilerin 657’ye tabi olmayacağı belirtilmiştir. İşçiler 4857 sayılı İş Kanunu’na (Bundan sonra 4857 olarak anılacaktır) tabi olacaklardır.
4857’ye tabi olan işçiler açısından 4857’nin bazı hükümleri (madde 18,19,25,26,38) ve 6098 Sayılı Türk Borçlar Kanunu (Bundan sonra 6098 olarak anılacaktır) bazı hükümleri dışında (madde 399) disiplin durumunu düzenleyen başkaca bir yasal düzenleme bulunmamaktadır. Disiplin hukukuna yönelik genel bir düzenlemenin bulunmamasından doğan boşluk, uygulamada genelde toplu iş sözleşmeleri ile doldurulmaktadır. Disiplin cezalarının, iç yönetmeliklerde düzenlenmesi de uygulamada sıklıkla karşılaşılan bir durumdur.³ Ücret kesintisi ve işten çıkarma yaptırımlarında olduğu gibi diğer disiplin cezalarının da bir hukuki dayanağının bulunması gerektiği, 6098’de belirtilmektedir.⁴ 6098’in “V. Düzenlemelere ve talimata uyma borcu” başlıklı 399 uncu maddesinde işverenin, işin görülmesi ve işçilerin işyerindeki davranışlarıyla ilgili genel düzenlemeler yapabileceği, işçilere özel talimatlar verebileceği, işçilerin, bunlara dürüstlük kurallarının gerektirdiği ölçüde uymak zorunda olduğu düzenlenmiştir.

2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN POLİTİKA, PROSEDÜR, TALİMAT VB. DOKÜMANLARIN KAMU ÇALIŞANLARI AÇISINDAN BAĞLAYICILIĞI

2.1. MEMUR
657’nin 125. Maddesinde hangi durumlarda hangi cezaların verileceği açıkça belirtilmiştir. Bu hükümler arasında “verilen emir ve görevlerin yapmamak” disiplin ceza sebebi olarak belirtilmiştir. 657’nin 11. Maddesinde devlet memurlarının görev ve sorumlulukları arasında “amirler tarafından verilen görevleri yerine getirmekle yükümlü” ifade kullanılmıştır.
İdare hukuku açısından emrin varlığı tartışmasında bir astlık-üstlük ilişkisi aranmaktadır. Diğer bir deyişle emri verenin üst olması durumunda bir emrin varlığından bahsedilebilecektir. Emrin şekli açısından idare hukukunda bir sınırlama olmamasına rağmen yazılı olması ispat açısından faydalı olacaktır.
İşveren tarafından yayınlanan politikalar, prosedürlerin de bu emir ve görevler kapsamında kaldığı kanaatindeyiz. Bundan dolayı memurların kişisel verilerin korunması kapsamında yayınlanan politika, prosedür ve talimat benzeri dokümanlarda yer alan kurallara uymaması durumunda disiplin hükümlerinin işletilebileceği düşünüyoruz.

2.2. SÖZLEŞMELİ İŞÇİ
657’nin 4/b maddesi 7. Paragrafında sözleşmeli personelin disiplin hükümleri açısından devlet memurları ile aynı hükümlere tabi olduğu belirtilmiştir. Dolayısıyla memurlara ilişkin yapılan açıklamalar sözleşmeli personel için de geçerlidir.

2.3. İŞÇİ
4857’ye tabi olan işçiler için disiplin hukuku açısından mevzuatta bir düzenleme olmaması bu çalışanlara disiplin işlemleri uygulanmayacağı anlamına gelmemektedir. Memurlar için yapılan açıklamalara benzer olarak işçiler, işverenlerin emir ve talimatlarına uygun hareket etmelidir. Yine işçiler açısından bu emrin varlığı yeterli olup bir şekilde şartına tabi değildir.
İşçiler açısından disiplin cezasının koşulları arasında; emir ve talimatın hukuka uygun olması, cezanın amaç ile sınırlı olması, işçinin kusurlu olması gibi koşulları bulunmaktadır.
Sonuç olarak ister toplu iş sözleşmesiyle düzenlensin ister bireysel iş sözleşmesiyle ya da işveren tarafından daha sonra bildirilen bir talimat ile kişisel verilerin korunmasına ilişkin işveren talimatlarına uyulması gerekmektedir. Bu emir ve talimatlara uymayan çalışanlar hakkında disiplin işlemleri uygulamak mümkündür.

3. SONUÇ
Disiplin hukuku açısından kamu çalışanlarından memurlar ve sözleşmeli işçiler 657’ye, işçiler ise 4857 ve 6098’ye tabidir. Bu kanunlar kamu işverenlerine emir ve talimat verme yetkisi tanımaktadır. Kamu işvereni tarafından kişisel verilerin korunması alanında yürürlüğe alınan politika, prosedür gibi uygulamaların kamu çalışanları açısından emir ve talimat olması dolayısıyla bağlayıcı olduğunu düşünmekteyiz. Bunun sonucunda; kamu işvereni tarafından tüm kamu çalışanları için kişisel verilerin korunmasına yönelik yürürlüğe alınan politika, prosedür vb. uygulamalara uyulmaması disiplin cezası gerektirecektir.

1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Veri Sorumluları Sicili Hakkında Yönetmelik

2. Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) syf 11 (https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf  E.T: 10.07.2023)

3. SÜZEK, Sarper, İş Hukuku, İstanbul 2020, s.127; SÜZEK, Sarper, İş Hukukunda Disiplin Cezaları, Çalışma ve Toplum Dergisi, 2011/1, s.9-18, s.10. Ayrıca konu hakkında bkz. ELBİR, Nazlı, Türk ve Fransız İş Hukuklarında Disiplin Cezaları, Yayımlanmamış Yüksek Lisans Tezi, Ankara 2010.

4. 6098 sayılı Türk Borçlar Kanununun 399. maddesinde olan düzenleme, 818 sayılı Borçlar Kanununun 315. maddesinde “Sınai veya ticari bir teşebbüste, iş sahibi tarafından mesai veya dahili intizam için muttarit bir kaide ittihaz edilmişse bunlar evvelce yazılmış ve işçiye bildirilmiş olmadıkça, işçiye bir borç tahmil etmez.”, şeklinde düzenlenmekte idi. Konu hakkında bkz. SÜZEK, İş Hukuku, s.127; SÜZEK, Disiplin Cezaları, s.11.

Av. Alper Demiralp / Ağustos 30, 2023

Bu yazımızla sizlere web sitelerinde veya uygulamalarında kullanılan çerezler ve bu çerezlerin kişisel verilerin korunması ile ilişkisini anlatmaya çalıştık. İlk olarak çerezlerin çalışma mantığını izah ederek konunun zihinlerde netleşmesini amaçladık.  Çerezleri ve türlerini ifade ettikten sonra konuyu kişisel verilerin korunması açısından incelemeye çalıştık. Yazıyı hazırlarken büyük oranda Kişisel Verileri Koruma Kurumu’nun ÇEREZ UYGULAMALARI HAKKINDA REHBER’inden yararlandık.

1.Çerez Nedir ve Hangi Amaçlarla Kullanılır?

Çerez, son kullanıcının bilgilerini (tanımlama verileri) içeren ve web sunucusu tarafından gönderilen dosyadır. Bu veri dosyalarının içinde yer alan tanımlana verileri istemci (son kullanıcı) tarafından depolanarak, transfer protokolünün durumsuz olmasını ortadan kaldırmaktadır.[1] Bu veri parçaları kişisel veri (IP, Oturum numarası, e-posta) içerebilmektedir. Aşağıda yer alan görselde çerezlerin çalışma mantığı anlatılmaya çalışmıştır.

2. Çerez Türleri Nedir?[2]

2.1 Sürelerine Göre Çerezler

2.1.1 Oturum Çerezleri

Geçici çerez olarak da adlandırılan oturum çerezi, oturumun sürekliliğinin sağlanması amacıyla kullanılır. Kullanıcı internet tarayıcısını kapattığında oturum çerezleri de silinmektedir.

2.1.2 Kalıcı Çerezler

İnternet tarayıcısı kapatıldığı zaman silinmeyen kalıcı bir çerez, belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir. Bu çerez aracılığıyla kullanıcı bir internet sitesini her ziyaret ettiğinde kullanıcının işlenen verileri sunucuya iletilmektedir. Bu nedenle, kalıcı çerezler bazen izleme çerezleri olarak da adlandırılırlar. Örneğin reklam verenler bir kullanıcının internet tarama alışkanlıklarıyla (web browsing habits) ilgili bilgilerini uzun bir süre boyunca kaydederek kullanabilirler. Ayrıca, kullanıcıların internet sitelerindeki hesaplarına giriş yaparken her seferinde giriş bilgilerini tekrar girmemelerini sağlamak üzere de kullanılabilirler.

2.2 Kullanım Amaçlarına Göre Çerezler

2.2.1 Kesinlikle Gerekli Çerezler (Zorunlu Çerezler)

Bu çerezler internet sitesinin çalışması amacıyla gerekli olan çerezlerdir. Söz konusu çerezler kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin (log-in olma, form doldurma, gizlilik tercihlerinin hatırlanması gibi) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Genel olarak açık rıza dışındaki işleme şartlarına gidilen çerezler türleri olarak değerlendirilebilirler. Zorunlu çerezlerin engellenmesi halinde, internet sitesinin bazı bölümleri çalışmayacak olup bu çerezler pazarlama amacıyla kullanılmamalıdırlar.

2.2.2 İşlevsel Çerezler:

Web sitesi veya uygulamalarda (masaüstü, mobil veya IOT cihazlardaki uygulamalar da dâhil olmak üzere) kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçları ile kullanılan çerezlerdir. Bu çerezler zorunlu çerezler dışında kalan işlevsellikleri sağlama amacıyla kullanılmaktadır. İlgili kişinin bir bilgi toplum hizmetini açıkça talep ettiğinin aşikâr olmadığı durumlarda açık rızaya dayanılması gerekecektir.

2.2.3 Performans- Analitik Çerezler:

İnternet sitelerinde kullanıcıların davranışlarını analiz etmek amacıyla istatistiki ölçümüne imkân veren çerezlerdir. Bu çerezler, sitenin iyileştirilmesi için sıklıkla kullanılmakta olup bu duruma reklamların ilgili kişiler üzerindeki etkisinin ölçümü de dâhildir. İnternet sitesi sahipleri tarafından, tekil ziyaretçilerin sayısını tahmin etmek, bir internet sayfasına götüren en önemli arama motoru anahtar kelimelerini tespit etmek veya internet sitesinde gezinme durumunu izlemek için kullanılmaktadırlar.

2.2.4 Reklam/Pazarlama Çerezleri:

Reklam ve pazarlama amaçlı çerezler ile internet ortamında kullanıcıların çevrim içi hareketleri takip edilerek kişisel ilgi alanlarının saptanıp bu ilgi alanlarına yönelik internet ortamında kullanıcılara reklam gösterilmesi hedeflenmektedirler. İnternet ortamında birçok reklam türü bulunmasına karşın en çok tercih edilen reklam türünün çevrim içi davranışsal reklamcılık olmasının temel nedeni; kişilerin eğilimlerine, tercihlerine göre reklam yapılabilmesi ve reklam veren açısından zaman ve maddi kaynakların daha verimli kullanılabilmesidir. Çevrim içi davranışsal reklamcılık uygulamaları; kişilerin internetteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edilerek profilleme yapılması, profilleme yapılan kişinin uygun reklamlarla eşleştirilerek söz konusu reklamların ilgili kişiye gösterilmesi aşamalarından oluşmaktadır.

2.3 Taraflarına Göre Çerezler

Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sayfasının ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sayfası yani tarayıcının adres çubuğunda gösterilen URL (ornek.com.tr) tarafından yerleştirilmektedir. Üçüncü taraf çerezlerse kullanıcının ziyaret ettiği internet sitesinden (ya da etki alanından) farklı bir üçüncü kişi tarafından yerleştirilmektedir.

3. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile Çerezler Arasındaki İlişki

Yukarıda ifade edilen çerez faaliyeti sırasında web sitesi sunucuları tarafından kullanıcıların tanımlanması sağlayan verilerin ilgili kişileri belirli yada belirlenebilir kılmasıyla birlikte kişisel veri işleme faaliyeti söz konusu olabilecektir. Bir örnekle ifade etmek gerekirse, ilgili kişi tarafından bir web sitesine girildiğinde, IP adresi gibi bir kişisel olabilecek bir veri işleniyor ve bu veri saklanıyorsa kişisel veri işlemesinden söz edilir. Böyle bir durumda veri sorumlusu olan kişilerin bu işleme faaliyetini KVKK’ya uygun şekilde yürütmesi gerekecektir. Bu yazıda veri sorumlularının çerez üzerinden kişisel veri işleme faaliyeti yürütmesi durumunda KVKK yükümlülüklerinden sadece aydınlatma yükümlülüğü üzerinden durulacaktır.

3.1 KVKK’da Aydınlatma Yükümlülüğü

KVKK madde 5’e göre kişisel veriler açık rıza olmadan işlenemez. Ancak aynı maddenin 2. fıkrasında açık rıza olmadan kişisel veri işleme faaliyetine 7 şart getirilmiştir. Ek olarak “İstisnalar” başlıklı 28. Maddede de genel istisnalar mevcuttur. Bu noktada bizler 5. Maddede yer alan kişisel verileri açık rıza olmadan işlemeyebilme şartı maddeleri üzerinden duracağız.

5. maddede yer alan işleme şartlarını kısaca ifade etmek gerekirse bunlar; kanunlarda açıkça öngörülme, fiili imkânsızlık, sözleşmenin kurulması veya ifası ile ilgili olması, veri sorumlusunun hukuk yükümlülüğü, ilgili kişi tarafından alenileştirme, bir hakkında tesisi, veri sorumlusunun meşru menfaatleridir. Bu işleme şartlarında herhangi birinin varlığı halinde veri sorumlusu açık rıza olmadan sadece aydınlatma yükümlülüğünü yerine getirerek kişisel verileri işleyebilecektir.

3.2 KVKK ve Çerezlerin Kesişimi

Çerez ile kişisel veri işleme faaliyeti her zaman bir arada olmak zorunda değildir. Diğer bir deyişle her çerez faaliyetinin bir kişisel veri işleme faaliyeti olması gerekmemektedir. Bazı durumlarda çerez faaliyeti sürdürülürken kişisel veriye temas edilmeyebilir. Örnek vermek gerekirse bir web sitesine girdiğinizde sizlere bir ID (identification number) verildi. Siz bu ID ile web sitesinde gezindiniz ve web sitesi sunucusuna ad, soyad, IP, kredi kartı bilgileri vb. bir bilgi vermediniz. Bu çerez sizin web sitesinin hangi kısmında ne kadar vakit geçirdiğinizi ve ilgi alanlarınızın ne olduğunu saptadı. Siz web sitesinden ayrıldıktan sonra da bu çerez faaliyeti sona erdi ve web sitesi sunucu veri tabanına size atanan ID ile bu bilgiler kaydedildi. Bu örnek üzerinden ilerlediğimizde web sitesi kimliğinizi belirli ya da belirlenebilir kılacak herhangi bir veriyi almadı. Bu durumda çerez faaliyeti ile KVKK kesişmemiş olur.  Veri sorumlusunun sizlere karşı KVKK’dan kaynaklanan herhangi bir yükümlülüğü olmayacaktır.

Bu başlık altında çerez kullanımının KVKK ile kesişmediği durum değerlendirilmiştir. Bu noktadan sonra çeşitli senaryolar üzerinden aydınlatma metni ile işlenebilecek ve açık rıza ile işlenebilecek senaryonlar üzerinden durulacaktır.

3.2.1 Sadece Aydınlatma Yükümlülüğünün Yerine Getirilmesi ile Kullanılabilecek Çerez Senaryoları

Aşağıda yer alan senaryoların genel olarak; kullanıcı tanımlamalarını oturum süresince yapmaları, kullanıcılar tarafından bir hizmetin talep edilmesine bağlı olması ve hizmetin sağlıklı olmasını amaçlaması gibi ortak özellikleri olduğu vurgulamak isteriz.

1. Kullanıcı Girdili Çerezler: Kullanıcıların girdilerini takip eden, kullanıcıya benzersiz bir ID tanımlayan ve oturum ile sonlanan çerezlerdir. Sepete ürün eklenmesi veya formun doldurulmasını gibi takip etme işlemleri örnek olarak gösterilebilir.

2. Kimlik Doğrulama Çerezleri: Bir alana erişmek isteyen kullanıcının girdiği bilgiler üzerinden kimlik doğrulayan çerezlerdir. Oturum çerezi veya kalıcı çerez olarak kullanılabilir. Bu noktada kullanıcının amacına uygun olarak bir kimlik doğrulama faaliyeti için kullanılmalıdır. Başka amaçla kullanımı açık rızaya bağlı olabilecektir. Bu çereze örnek olarak bankacılık sistemlerinde kullanılan kimlik doğrulama çerezleridir. Bu çerez türünde, kullanıcıya çerezin oturum kapsamında mı kullanıldığı veya kalıcı mı olduğu bilgisi verilmeli ve seçenek tanınmalıdır. Örneğin “beni hatırla” seçeneği olmalı ve bu seçeneğe tıklayan kullanıcılar için çerezler kalıcın olarak işlenmelidir.

3. Kullanıcı Merkezli Güvenlik Çerezleri: Kullanıcı tarafından talep edilen hizmet kapsamında uzun süreli saklanabilen çerezlerdir. Başarısız oturum sayısını sayan çerezler örnek gösterilebilir.

4. Multimedya Oynatıcısı Oturum Çerezleri: Kullanıcı tarafından bir videonun veya sesin oynatılmasında kullanılan oturum çerezleridir.

5. Yük Dengelemesi Oturum Çerezleri: Web sunucusu üzerindeki trafiği yönlendirmek suretiyle kullanımı kolaylaştıran oturum çerezleridir.

6. Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri: Kullanıcının belirli tercihlerini kaydetmek işlevi gören ancak kullanıcı adı gibi tanımlayıcılarla bağlantı kurmayan çerezlerdir. Belirli bir kutucuğun işaretlenmiş olması örnek gösterilebilir. Böylece kullanıcı her girişinde o kutucuk işaretlenmiş olarak gelir. Ya da dil tercihleri de bu çerezlere örnek gösterilebilir.

7. Sosyal Eklenti İçerik Paylaşımı Çerezleri: Kullanıcıların sosyal medya üzerinde paylaşım yaparken içerikleri başkaları ile paylaşmak istediğinde bunu sağlayan çerezlerdir. Bu çerezleri kullanırken erişilen bilgilerin kullanıcı tarafından giriş yapılmış diğer sosyal ağlar üzerinden paylaşım kolaylığı tanımış olması gerekmektedir. Bu çerezlerin oturum çerezleri olmasına dikkat edilmelidir.

8. Açık Rıza Yönetim Platformu Çerezleri: Açık rıza gerektiren çerezlere ilişkin açık rızanın verilip verilmediğini kontrol eden çerezlerdir.

9. Birinci Taraf Analitik Çerezler: Sitenin ya da uygulamanın performansını ölçmek, hataları gidermek ve iyileştirme yapmak amacıyla kullanılan çerezlerdir. Bu çerezlerin çapraz takip ile kullanıcı alışkanlıklarını ölçmek için kullanılmaması gerekmektedir. Aksi takdirde açık rıza ile kullanılabilecek çerez haline gelecektir.

10. İnternet Sitesinin Güvenliği İçin Kullanılan Çerezler: Kullanıcıların web sitesinden sağlıklı şekilde yararlanması devam ettirmek maksadıyla kullanılabilen çerezlerdir. Örnek olarak web sitesinin belirli sayıda trafiği kaldırabileceği düşünülerek web sitesi trafiğini ölçen çerezler gösterilebilir.

3.2.2 Açık Rıza Alınması Suretiyle Kullanılabilecek Çerezlerin Özellikleri

Bu çerez senaryolarının genel olarak; kullanıcı tanımlamalarını oturum süresince yapmamaları, kullanıcılar tarafından talep edilmeden de devreye girmesi ve hizmetin sağlıklı olmasının ötesinde bir amacı olması gibi ortak özellikleri olduğu vurgulamak isteriz. Bu çerezler genel olarak davranışsal reklamcılık amacı taşımaktadır. Kişisel veri içeren bir bilginin (ad, soyad, e-posta, sosyal medya kullanıcı bilgileri, IP vb.) kaydedilmesi ve bu bilgilerin takip edilmesi suretiyle kullanıcıların alışkanlıkları ölçen çerezlerdir. Bu çerezlere örnek olarak Google Analytics gösterilebilir. Bu çerez, kullanıcı alışkanlıklarını ölçerek, bu çerezi kullanan web sitesi sahibine bilgiler verir. Aynı zamanda bu çerez üçüncü taraf çerez olup web sitesi kullanıcının kişisel verileri KVKK madde 5’te yer alan işleme şartlarına uymayacak şekilde üçüncü kişiyle (Google) paylaşıma ve Google sunucusunun yurt dışında olması sebebiyle yurt dışına paylaşıma neden olmaktadır.

3.3 İyi Çerez Uygulamaları Nasıl Olmalıdır?

İyi çerez uygulaması için öncelikle bir çerez politikası düzenlenmelidir. Bu çerez politikası anlaşılır ve açıklayıcı olmalıdır. İkinci olarak kişisel veri işleyen çerezler için bir aydınlatma metni olmalıdır. Bu aydınlatma metni “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun olmalıdır. Son olarak açık rıza gerektiren çerezler için açık rızanın KVKK madde 3/1-a’da ifade edilen şartlara uygun alındığındna emin olunmalıdır.

İyi çerez uygulamasının minimum ölçüde aşağıda yer alan şartları taşımasına dikkat edilmelidir.

1. Rıza Alma Mekanizmasının Olması: Rıza alma mekanizmasının pop-up şeklinde olması, bu pop-up’ın web sitesine girince çıkması, pop-up’ın web sitesinin kullanımını engelleyecek büyüklükte olmaması, “tümünü kabul et”, “tümünü reddet” ve “ayarlara git” seçeneklerini barındırması tavsiye edilir. “Ayarlara git” seçeneği tıklandığında çerez politikasına, aydınlatma metnini ve çerez rıza verme mekanizmasına erişilmesi de ayrıca önerilir.

2. Açık Rızanın Belirli Bir Konuya İlişkin Olması: Çerezin amacı, saklama süresi, paylaşım tarafları belirtilmelidir.

3. Aydınlatmanın Bilgilendirmeye Dayanma: “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun aydınlatma yapılmalıdır.

4. Özgür İradeyle Açıklama: Rıza verme mekanizmalarının, rızanın istenildiğinde geri alınabileceği düşünülerek her zaman erişilebilir olması ve gözden kaçacak kadar küçük olmaması gerekmektedir. Ek olarak kullanıcıdan sürekli rıza isteyerek bıktırmaya neden olmadan rızanın her zaman değil belirli periyotlarda alınması doğru olacaktır.

[1] Velagapudi ve Gupta (2019): 2019 4th International Conference on Information Systems and Computer Networks (ISCON) GLA University, Mathura, UP, India. Nov 21-22, 2019

[2] ÇEREZ UYGULAMALARI HAKKINDA REHBER, KVKK, HAZİRAN 2022

Av. Alper Demiralp / Ağustos 30, 2023

Açık rıza dışındaki veri işleme şartlarından biri varken ayrıca ilgili kişiden açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi anlamına geleceğinden kişisel veri işleme faaliyeti açık rıza işleme şartı ile diğer işleme şartlarına dayanılarak gerçekleştirilemeyecektir.

KVKK’NIN YAYINLAMIŞ OLDUĞU “6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA DOĞRU BİLİNEN YANLIŞLAR – 2” REHBERİNDEN YARARLANILARAK OLUŞTURULMUŞTUR.

Av. Alper Demiralp / Ocak 18, 2023

Açık Rıza Dışında Bir İşleme Şartı Var İse Açık Rıza Alınmaz

Açık rıza dışındaki veri işleme şartlarından biri varken ayrıca ilgili kişiden açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi anlamına geleceğinden, kişisel veri işleme faaliyeti açık rıza işleme şartı ile diğer işleme şartlarına dayanılarak gerçekleştirilemeyecektir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Sağlık Verileri Sadece Sır Saklama Yükümlülüğü Altında Olan Kişiler ve Kurumlarca İşlenebilir

Sağlık verileri; Sağlık Bakanlığı ile her türlü sağlık kuruluşu ve Sosyal Güvenlik Kurumu tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amaçlarıyla işlenebilecektir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Bulut Hizmeti Alımlarında Sunucularının Yurt Dışında olması, Yurt Dışına Veri Aktarımı Anlamına Gelmektedir

Sunucuları yurt dışında bulunan veri sorumlularından/ veri işleyenlerden temin edilen saklama hizmetleri Kanunun 9. maddesi hükümlerine uygun olarak gerçekleştirilmelidir. Bu kapsamda, bulut hizmeti sağlayan firmanın verilere erişim yetkisi bulunmasa dahi kişisel verileri sunucularında muhafaza etmesi bir aktarım faaliyeti olarak değerlendirilmektedir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Kanunun Hangi Maddesine ve Fıkrasına Dayanılarak Veri İşlendiği Açıkça Belirtilmelidir.

6698 Sayılı Kanun’un 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanıldığının açıkça belirtilmediği, sadece ilgili hükümlerde yer alan işleme şartlarının tamamının sayıldığı hâllerde, aydınlatma yükümlülüğünün Kanun ve ilgili mevzuata uygun bir şekilde yerine getirildiğinden bahsedilemeyecektir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Herhangi Bir Şekil Yoktur

Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir şekil şartına tabi olmayıp bu yükümlülüğün veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilebilmesi mümkündür. Ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Verisi İşlenmeyen İlgili Kişinin Başvurusu Yanıtsız Bırakılamaz

İlgili kişinin, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme hakkı bulunmakta olup veri sorumlusu nezdinde kişisel verisi işlenmemiş olsa dahi Kanun uyarınca veri sorumlusunun ilgili kişinin başvurusunu kabul etmesi veya gerekçesini açıklayarak reddetmesi gerekmektedir. Dolayısıyla, veri sorumlusu ilgili kişinin başvurusunu yanıtsız bırakamayacaktır.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Vefat Etmiş Kişinin Verilerine 6698 Sayılı Kanun Kapsamında Yakınları Tarafından Erişilemez

Kanunun 11. maddesinde, ilgili kişinin kendisi ile ilgili kişisel veriler bakımından bilgi talep edebileceği düzenlenmiştir. Bu kapsamda, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmesi mümkün değildir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Sözleşme İle Bazı Sorumlulukların Veri İşleyene Devredilmesi, Veri Sorumlusunun Sorumluluğunu Ortadan Kaldırmaz

Veri sorumlusu ile veri işleyen arasında imzalanan sözleşmeler çerçevesinde veri işleyene belirli yükümlülüklerin yerine getirilmesi konusunda yetki verilmesi mümkündür. Fakat bu tür bir yetkilendirmenin varlığı, veri sorumlusunun Kanun ve ilgili mevzuattan doğan sorumluluğunu ortadan kaldırmayacaktır.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Veri İhlali, İhlale Neden Olayın Tüm Ayrıntılarının Tespit Edilmesi Beklenmeden En Geç 72 Saat İçinde Kuruma Bildirmelidir

Veri sorumlusunun gerçekleşen bir veri ihlâlini Kurula en kısa sürede (72 saat içinde) bildirmesi zorunludur. Kişisel veri ihlâli bildirimi formunda yer alan hususların net olarak tespit edilememesi durumunda ise, eldeki bilgilerle en kısa sürede (72 saat içinde) Kurula ihlalin bildirilmesi gerekmekte olup devam eden süreçte ilave bilgilerin de gecikmeye mahal verilmeksizin tespit edildikçe Kurula iletilmesi gerekmektedir.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

İlgili Kişinin 18 Yaşını Doldurmamış Olması Durumunda, Hakları Yasal Temsilci Tarafından Kullanılabilir

İlgili kişinin 18 yaşını doldurmamış olması durumunda yasal temsilcisi tarafından, Kanun kapsamındaki taleplere ilişkin olarak öncelikle veri sorumlusuna başvurulması, söz konusu başvuru neticesinde veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde de yine yasal temsilci tarafından Kurula şikâyette bulunulması mümkündür.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

GDPR Uyumluluğu, 6698 Sayılı Kanuna Uyumluluk Anlamına Gelmemektedir

Avrupa Genel Veri Koruma Tüzüğünde yer alan yükümlülüklerin yerine getirilmesi 6698 sayılı Kanunda yer alan yükümlülüklerin de yerine getirildiği anlamına gelmemektedir. Bu nedenle, ulusal mevzuat hükümlerine uyumluluğun sağlanması adına veri sorumlusunun 6698 sayılı Kanunda öngörülen yükümlülüklerini yerine getirmesi zorunludur.

KVKK’nın yayınlamış olduğu “6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında doğru bilinen yanlışlar-2” rehberinden yararlanılarak oluşturulmuştur.

Kvknet / Ekim 17, 2022

GDPR mevzuatı 25 Mayıs 2018 yılında yürürlüğe girmesiyle birlikte, Avrupa Birliği sınırları dışında da geçerli hale gelmiştir. Bu yazımızda Avrupa’daki gerçek kişilere hitap eden veya onları izleyen Avrupa Birliği üyesi olmayan bir ülkede faaliyet gösteren kuruluşun GDPR kapsamına girebileceği durumlar açıklanmaktadır.

Özel Alan

Günümüzde internet, geleneksel sınırların var olmadığı bir yerdir. Bu durum; veri alışverişi, alım-satım, iletişim vb. işlemlerin internet üzerinden yapılmasının en büyük avantajlarından biridir. Ancak sınırların olmaması aynı zamanda yasaların uygulanabilirliği yönünden en büyük zorluklardan biridir. İnternet ortamı sınır tanımadığından, çevrimiçi hizmetlerle bağlantılı olarak kişisel verilerin işlenmesi sırasında Avrupa Birliği veri koruma yasalarının nasıl ele alınacağı uzun süredir belirsizdir.

GDPR mevzuatının yürürlüğe girmesinden önce, veri koruma yasalarının hükümlerinin Avrupa Birliği dışındaki kontrolörlere ve işleyiciler için uygulanması oldukça zordu. Bunun temel nedeni verileri işlenen gerçek kişilerin, yasaların uygulanabilirlik kapsamına girmiyor oluşuydu. Avrupa Birliği veri koruma yasaları, yalnızca Avrupa Birliği dışındaki kontrolörlerin verilerini Avrupa Birliği sınırları içinde işlemesi halinde uygulanabilir haldeydi.

GDPR mevzuatının yürürlüğe girmesi ile bölgesel kapsam kavramı temelden değiştirilmiştir.

Coğrafi Uygulama Kapsamının Belirlenmesi

Avrupa Birliği’nde kişisel veri işleyen kuruluşlar GDPR mevzuatı kapsamındadır. Bu yönden GDPR mevzuatının yürürlüğe girmeden önceki durumu ile mevcut durumu karşılaştırıldığında bir değişiklik görülmezken; uygulamanın bölgesel kapsamı genişletilmiştir. Yani Avrupa Birliği veri koruma mevzuatı artık Avrupa Birliği dışındaki veri kontrolörleri için de geçerli hale gelmiştir.

Bu bölgesel genişlemenin sonucu olarak, GDPR mevzuatı uyarınca Avrupa Birliği dışındaki veri kontrolörleri ve veri işleyicileri, Avrupa Birliği’nde bulunan gerçek kişilerin verilerini işledikleri takdirde, GDPR mevzuatı hükümlerine uymak zorundadır.

Avrupa Birliği Vatandaşlarına Ait Kişisel Verilerinin İşlenmesi

Avrupa Birliği üyesi olmayan bir ülkede faaliyet gösteren bir kuruluş, Avrupa Birliği’nde bulunan gerçek kişilere mal veya hizmet sunuyorsa GDPR mevzuatı kapsamına girmektedir.

Örneğin; Almanca, Fransızca ve İngilizce dillerinde mevcut olan web sitesine sahip bir Türk e-ticaret mağazası olduğunuzu varsayalım, Avrupa Birliği içindeki gerçek kişilerden gelen çeşitli siparişleri düzenli olarak işliyor ve ürünlerinizi onlara temin etmeniz halinde Avrupa Birliği sınırları içerisinde yerleşik olmasanız ve Avrupa Birliği içinde herhangi bir veri işleme faaliyeti gerçekleştirmeseniz dahi GDPR mevzuatı kapsamına girmektesiniz.

Yukarıdaki örnekte olduğu gibi Avrupa Birliği dışında bir veri kontrolörü olmanız halinde, sağladığınız hizmetleri ücretli veya ücretsiz olarak sunmanız önemli değildir. GDPR mevzuatı uygulama kapsamını belirlerken bu faktörü dikkate almaz.

Örneğin; ücretsiz bir Amerikan bulut depolama hizmetinin Avrupa Birliği sınırları içerisinde bulunan kullanıcılara hizmet sunması halinde, GDPR mevzuatının bütün hükümlerine uymak zorundadır.

Aynı şekilde, şirketin büyük veya küçük ölçekli olmasına bakılmaksızın, sayılan kriterleri sağlayan tüm şirketler GDPR mevzuatının getirdiği yükümlülüklere uygun şekilde veri işleme faaliyetini gerçekleştirmek durumundadırlar.

Ayrıca merkezi Türkiye’de olsa dahi Avrupa Birliği sınırları içerisinde faaliyet gösteren şubeler ve Avrupa Birliği merkezli olup Türkiye’de faaliyette bulunan şubeler de işbu GDPR mevzuatı ile uyumlu hale gelmelidir.

Avrupa Birliği Vatandaşlarının İzlenmesi

Avrupa Birliği üyesi olmayan kuruluşların GDPR mevzuatı kapsamına girebileceği bir diğer durum ise Avrupa Birliği içindeki gerçek kişilerin davranışlarını izlemeleri halinde ortaya çıkmaktadır. Örneğin, bir sosyal ağ sağlayıcısıysanız ve Avrupa Birliği sınırları içerisinde kullanıcılarınızın katılmasına izin veriyorsanız, GDPR mevzuatı kapsamına girersiniz.

Dolayısıyla GDPR mevzuatının uygulama alanının konu ve yer yönünden incelenmesi gerekmektedir.

Nasıl Bir Yaklaşım Benimsiyorsunuz?

GDPR mevzuatı, verileri Avrupa Birliği dışında yerleşik kuruluşlar tarafından işlenen Avrupa Birliği’ndeki gerçek kişilere yüksek düzeyde koruma sağlar. Kuruluşların bu yeni hükümlerin kendileri için geçerli olup olmadığını belirlemeleri önemlidir. Eğer böyle bir durum söz konusuysa, inisiyatif almak ve aşağıda belirtilen hususların yerine getirildiğinden emin olunması tavsiye edilir.

Ne Yapılması Gerekir?

Bu doğrultuda, sayılan kriterleri sağlayan Türk kuruluşlarınca, GDPR mevzuatı ile getirilen aşağıdaki değişikliklere dikkat edilmelidir.

Kişisel verilerin işlenmesi kapsamında alınacak rızanın belirli bir amaca yönelik olarak, aydınlatma yükümlülüğü yerine getirilerek ve açık bir şekilde alınması gerekmektedir.

Veri kontrolörleri, veri sahiplerini, sahip oldukları yasal haklar konusunda bilgilendirmek ve bu konuda gerekli hatırlatmaları yapmakla yükümlü olacaktır. Buna ek olarak, veri sorumlularının işbu yükümlülüklerini gerçekleştirdiklerini belgeleme zorunluluğu bulunmaktadır.

GDPR mevzuatı uyarınca kişisel verilerin işlenmesi ve kullanılması amacıyla temin edilen rızalarda opt-out değil opt-in sisteminin kullanılması gerekmektedir.

Veri işleme faaliyetinin risk içermesi halinde, işleme faaliyetinin özellikleri göz önünde bulundurularak, veri kontrolörü tarafından bir veri koruma etki değerlendirmesi (Data Protection Impact Assessment) yapılması gerekmektedir.

Veri güvenliğinin ihlali halinde, veri kontrolörü, ihlali, maksimum 72 saat içerisinde, mümkün olan en kısa süre içerisinde veri koruma otoritesine bildirmekle yükümlüdür.

İşbu yazı hakkında ek bilgi gerektiğinde Aryom Yazılım şirketi ile irtibata geçmenizi rica ederiz.

VERİ İŞLEME FAALİYETİ

Oldukça karıştırılan kavramlardan biri “veri işleme faaliyetidir.” Bir sürecin başlamasının akabinde tamamlanmasına kadar ilgili kişinin verileri üzerinde gerçekleştirilen eylem, verisine temas edilen her türlü aşama bu faaliyet kapsamındadır. (Kişisel verinin alınması, depolanması, muhafaza edilmesi, aktarılması vb.)

Örneğin, ARYOM Yazılım avukatlarından Alper Tunga Demiralp’in maaş ödeme süreçlerinde; izin formu, sağlık raporu, puantaj kayıtları, bordro, banka ödeme listesi veri kaynaklarının içerisinde kişisel / özel nitelikli kişisel verilere temas edilmektedir. Bu veri kaynaklarının bazısı sıfırdan oluşturulmuş (bordro), bazıları sürecin devamlılığı için gerekli olduğundan temas edilmiş (puantaj kayıtları, izin formu vb.), bazısı da sürecin tamamlanabilmesi için oluşturulup anlaşmalı banka ile paylaşılmıştır (banka ödeme listesi).

En fazla karıştırılan noktalardan biri de veri işleme faaliyetinin yalnızca ilgili kişilerden “alınan” verilerden ibaret gibi düşünülmesinden kaynaklanmaktadır. Halbuki ilgili kişiden yeni herhangi bir doküman/veri alınmamasına karşın, temas edilen, yeniden oluşturulan, düzenlenen, aktarılan vb. eylemler de veri işleme faaliyeti kapsamında değerlendirilmektedir. Yukarıda yer alan örnekte, ilgili kişi Alper Tunga Demiralp’ten yeni herhangi bir doküman alınmamıştır ancak ortada komplike bir veri işleme faaliyeti vardır.

VERİ SORUMLUSU

Veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularına cevap verebilecek “gerçek” veya “tüzel” kişidir. Daha basit bir şekilde anlatacak olursak, veri işleme faaliyetine ilişkin “inisiyatif” alabilecek kişidir.

Kurum çalışanları “veri sorumlusu” olamaz. Veriyi saklama yükümlülüğü olan çalışanlar “veri sorumlusu” değildir.

Örneğin, ARYOM Yazılım avukatlarından Gizem Eren, ARYOM Yazılım’ın belirlediği kurallar ve sistemler çerçevesinde, proje süreçlerinin yürütülebilmesi için proje ekibi üyesi ilgili kişilerin verileri toplamaktadır. Kurum personeli olarak Gizem Eren, veri sorumlusu ARYOM Yazılım adına veri işleme faaliyeti gerçekleştirir.

VERİ İŞLEYEN

Veri üzerinde inisiyatif alma yetkisi olan “veri sorumlusunun” (çalıştığınız kurumun) verdiği yetki doğrultusunda veri işleme faaliyeti gerçekleştiren “gerçek” veya “tüzel” kişiye “veri işleyen” denir.

 Kurum çalışanları “veri işleyen” olamaz.

Örneğin, ARYOM Yazılım, İSG – periyodik muayene süreçlerinde bir İSG Firması ile anlaşmıştır. Bu anlaşma kapsamında ARYOM Yazılım “periyodik muayenesi” yapılacak personellerin listesini oluşturup, İSG Firması ile paylaşmaktadır. ARYOM Yazılımın verdiği yetki doğrultusunda İSG Firması “veri işleyen” sıfatına sahip olmuştur.

AYDINLATMA METİNLERİ

İlgili kişilerin, işlenen verileri ile alakalı “bilgilendirildiği” metinler aydınlatma metinleridir.

 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 5’nci ve 6’ncı maddelerinde “işleme şartları” yani istisnai haller belirtilmiştir. Bu istisnai haller kapsamında kalan durumlarda “açık rıza” olmaksızın yalnızca “aydınlatma metinleri” ile süreç yürütülebilmektedir.

Aydınlatma metinleri ile sürdürülebilecek süreçlerde; “onaylıyorum”, “rıza veriyorum” ibareleriyle “onay mekanizması” işletilmemelidir.

 Aydınlatma metinleri ile sürdürülebilecek süreçlerde en sık karşılaşılan hatalı işlemlerden biri “ispat” gayesi ile “okudum, anladım, onaylıyorum, rıza veriyorum” ibarelerinin imzalatılmasıdır. Yine buna benzer bir uygulama olan, web kanallı işlemlerde kutucuk ile “okudum, anladım, onaylıyorum, rıza veriyorum” ibaresinin zorunlu olarak işaretlenmesidir.  Bu uygulamalar KVKK ilkelerine aykırı olup, ihlal sebebidir. “İspat” gayesi ile aydınlatmaya tabii süreçlerde yalnızca “okudum, anladım” ibaresi kullanılabilir.

AÇIK RIZA

GDPR mevzuatı, verileri Avrupa Birliği dışında yerleşik kuruluşlar tarafından işlenen Avrupa Birliği’ndeki gerçek kişilere yüksek düzeyde koruma sağlar. Kuruluşların bu yeni hükümlerin kendileri için geçerli olup olmadığını belirlemeleri önemlidir. Eğer böyle bir durum söz konusuysa, inisiyatif almak ve aşağıda belirtilen hususların yerine getirildiğinden emin olunması tavsiye edilir.

Ne Yapılması Gerekir?

İlgili kişilerin, işlenen verileri ile alakalı bilgilendirildikten sonra, özgür iradesi ile rıza verdikleri metinler “açık rıza beyanı” metinleridir.

 Açık rızanın üç şartı mevcuttur;

1. Belirli bir konuya ilişkin olması, => açık rızaya tabii sürecin genel geçer değil belirli bir sürece ilişkin olması anlamına gelmektedir. (ör: işe alım süreci; sosyal medya süreci vb.)

2. Bilgilendirmeye dayanması, => açık rıza alınmadan önce ilgili kişiye aydınlatma metni sunularak veri işleme faaliyeti kapsamında bilgilendirme yapılması anlamına gelmektedir.

3. Özgür irade ile açıklanması, => açık rızanın zorunlu tutulmaması, ilgili kişinin inisiyatifine bırakılması anlamına gelmektedir.

Kişinin belgeleri eliyle teslim etmesi, sürecin başlatılmasını kendisinin talep etmesi, kişiden şifahen veya ilgili dokümanlardan birinin üzerine “onayladım” yazmasının istenmesi gibi durumlar KVKK kapsamında “açık rıza” olarak değerlendirilmez.

Örneğin, ARYOM Yazılım bünyesinde çalışmak için işe alım kapsamında evraklarını teslim eden avukat Pınar Anıl’ın evraklarını kendisinin teslim ediyor oluşu KVKK kapsamında bu sürece “rıza” verdiği anlamına gelmemektedir.

Yine aynı şekilde işe alım kapsamında hizmet sözleşmesinin üzerinde avukat Pınar Anıl’a “okudum, anladım, onaylıyorum/rıza verdim/muvafakat verdim” ibareli bir yazı yazdırılması KVKK kapsamında bu sürece “rıza” verdiği anlamına gelmemektedir.

ARYOM Yazılım’ın ilgili sürece yönelik avukat Pınar Anıl’a öncelikle KVKK’ya uygun bir aydınlatma metni ile bilgilendirme yapması; akabinde ilgili kişinin “açık rıza beyanını” alması gerekmektedir.

KANUN GEREKSİNİMİ

Veri sorumluları, veri işleme faaliyeti sırasında verilerini işlediği kişileri;

• Veri sorumlusunun ve varsa temsilcisinin kimliği,

• Kişisel verilerin hangi amaçla işleneceği,

• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebebi,

• İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

Hususlarında bilgilendirmesi gerekmektedir.

Veri sorumlularının kişisel veri işleme faaliyeti sırasında tüm süreçlerini aydınlatma metni ile yürütmesi mümkün değildir. Kişisel veri işleme faaliyeti sırasında Kanun’un 5. veya 6. maddelerinde yer alan istinasların söz konusu olmadığı durumlarda veri sorumlusunun açık rıza alması gerekmektedir.

Açık rızanın ne şekilde alınacağı konusunda herhangi bir şekil şartı yoktur. Ancak açık rızanın alınıp alınmadığının ispatı veri sorumlusunun yükümlülüğüdür.

İLGİLİ KARARLAR

Veri sorumlularının aydınlatma ve açık rıza metinlerine aykırılık dolayısıyla karşı karşıya kaldığı cezalara aşağıdan ulaşabilirsiniz.

KARAR 1: https://www.kvkk.gov.tr/Icerik/7399/2022-662

KARAR 2: https://www.kvkk.gov.tr/Icerik/7292/2022-31

E-KVK ÇÖZÜMLERİ

ÇÖZÜM 1

Mevcut bir kişisel veri işleme envanteriniz yok ise E-KVK yazılımımız üzerinde gerçekleştirebildiğimiz envanter çalışması neticesinde sizler için aydınlatma ve açık rıza metinlerini anında oluşturabilmekteyiz.  Bu şekilde aydınlatma metinlerinizi web sitenizde yayınlayabileceğiniz PORTAL linkini E-KVK yazılımından otomatik olarak alabilirsiniz. Aynı şekilde web sitenizde yayınlayabileceğiniz açık rıza metinlerine erişen ilgili kişilerin açık rızalarını herhangi bir fiziksel dokümana ihtiyaç duymadan zaman damgalı olarak sistem içerisinde kayıt altına alabilir ve ispat yükümlülüğünüzü yerine getirebilirsiniz.

ÇÖZÜM 2

Halihazırda oluşturulmuş aydınlatma ve açık rıza metinleriniz var ise mevcut metinleri E-KVK yazılımına bir gün içinde yükleyip kaydedebilirsiniz. Bu sayede ilgili kişilerin açık rızalarını herhangi bir fiziksel dokümana ihtiyaç duymadan zaman damgalı olarak sisteminiz içerisinde kayıt altına alarak ispat yükümlülüğünüzü yerine getirebilirsiniz.

ÇÖZÜM 3

E-KVK yazılımı sayesinde tüm envanterinizi güncel olarak aydınlatma ve/ veya açık rıza metinlerine yansıtabilir, envanter değişiklikleri halinde otomatik güncellenen metinleri yeniden değiştirmeye gerek olmaksızın veri işleme faaliyetlerinize devam edebilirsiniz. E-KVK yazılımının PORTAL ÇÖZÜMÜ sayesinde envanter değişiklikleri sonucunda açık rızayı etkileyen veri işlemelerini de başkaca bir işlem olmaksızın doğrudan web sayfasına yansıtabilirsiniz.

ÇÖZÜM 4

E-KVK yazılımı içinde her sektöre uygun taslak aydınlatma metinleri mevcuttur. Sektörünüzü belirledikten sonra E-KVK sizlere en uygun aydınlatma metinlerini önerecektir.

KANUN GEREKSİNİMİ

Kişisel verilerin korunması açısından en önemli hususlardan biri veri güvenliği tedbirlerinin alınmasıdır. Bu tedbirlerin alınmamış olması, daha önce gerçekleştirilen çalışmaların tamamının boşa çıkmasına neden olabilecektir.

İLGİLİ KARARLAR

Konuyla ilgili kararlara aşağıdan ulaşabilirsiniz:

KARAR 1: https://www.kvkk.gov.tr/Icerik/7295/2022-184

KARAR 2: https://www.kvkk.gov.tr/Icerik/7271/2021-1217

E-KVK ÇÖZÜMLERİ

E-KVK yazılımı içinde süreç bazında alınan güvenlik önlemlerini belirleyebilir ve takip edebilirsiniz.

KANUN GEREKSİNİMİ

Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) kayıt yükümlülüğü, veri sorumlularının en çok dikkatini çeken yükümlülüklerden biridir.

İLGİLİ KARARLAR

Kişisel Verileri Koruma Kurumu tarafından VERBİS kayıt yükümlülüğünü yerine getirmeyen veri sorumlularına idari yaptırım uygulanacağı duyurusu yapılmıştır.

Duyuru Linki: https://www.kvkk.gov.tr/Icerik/7250/Kamuoyu-Duyurusu-VERBIS-

E-KVK ÇÖZÜMLERİ

E-KVK yazılımı içinde yer alan VERBİS modülü, envanterinizden yola çıkarak VERBİS uyumlu rapor ortaya çıkarmaktadır. VERBİS ile birebir uyumlu bir modül sayesinde hiç zorlanmadan VERBİS kaydınızı yapmanız mümkündür. Ek olarak belirli periyotlarda alacağınız raporları arşivleyerek karşılaştırabilir, sadece önceki dönemle aradaki farkın kaydını yapabilirsiniz. Kişisel veri işleme envanterinde yapılacak değişikliklerin 7 gün içerisinde VERBİS’e bildirilmesi gerektiği yönündeki Kurul kararı nazara alındığında VERBİS modülü bildirim işlemlerinizi oldukça kolaylaştıracaktır.

Kişisel verilerin işlenmesinde veri sorumlularının en çok karşı karşıya kaldığı husus ölçülük ilkesi olmaktadır.

Kanun’un 5. Maddesinde yer alan işleme şartlarından meşru menfaat, veri sorumlularının en çok başvurduğu işleme şartıdır. Kişisel Verileri Koruma Kurumu ve uluslararası veri koruma otoriteleri, meşru menfaat işleme şartının ölçülülük ilkesine bağlı olarak değerlendirmesi gerektiğini vurgulamaktadır. Veri Koruma Otoriteleri bu noktada, veri sorumlusunun meşru menfaati ile verisi işlenen kişilerin hakkı arasında ölçülü bir yaklaşım sergilenmesi gerektiğini, denge testinde tarafların hakları arasında dengenin sağlanması gerektiğini vurgulamaktadır.

İLGİLİ KARARLAR

Konuya ilgili kararlara aşağıdan ulaşabilirsiniz.

Karar 1: https://www.kvkk.gov.tr/Icerik/7297/2022-243

Karar 2: https://www.kvkk.gov.tr/Icerik/7286/2021-1258

Karar 3: https://kvkk.gov.tr/Icerik/6892/2020-212

E-KVK ÇÖZÜMLERİ

E-KVK olarak, kişisel verilerin korunması alanına yoğunlaşmış ve bu alanda uzmanlaşmış avukatlarımız, bilişim uzmanlarımız ve iş ortaklıklarımız ile müşterilerimize hizmet vermekteyiz.