Kişisel Veriler Hakkında Merak Edilenler

- Bir kişinin sosyal medya hesaplarında yer alan fotoğrafları vb. alınarak adına başka bir kişi tarafından sahte hesap açılması halinde 6698
sayılı KVKK kapsamında işlem yapılabilir mi?
Bir kişinin kişisel verileri kullanılmak suretiyle sahte hesap açılması suç unsuru barındırabilecek bir eylem olduğundan, 6698 sayılı Kanun kapsamında olmayıp, Türk Ceza Kanunun 135 ila 140. madde hükümleri çerçevesinde ilgili makamlara başvurulabilecektir.
- Bir internet sitesinde girişte beliren açılır iletide (pop-up) yer alan önceden işaretlenmiş “Verilerimin belirtilen amaçlar doğrultusunda işlenmesine izin veriyorum” ifadesiyle ilgili kişilerin açık rızası alınabilir mi?
Kanunda ilgili kişilerden alınacak açık rıza, şekil şartına tabi tutulmamış olsa da açık rızanın özgür irade ile verilmiş olması gerekmektedir. Teknik olarak opt-out denilen, ilgili kişinin aktif bir hareketi olmaksızın, önceden seçili olarak sunulan bu rıza yöntemi ile alınan rıza, hukuka uygun olmayacak ve hukuka uygun bir kişisel veri işleme faaliyetinden bahsedilemeyecektir.
- Kişisel verilerin yurt dışına aktarımı ne şekilde mümkündür?
Kişisel verilerin yurt dışına aktarımı hususu da ilgili kişinin açık rızasının alınmış olmasına bağlıdır. 6698 sayılı Kişisel Verileri Koruma Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9. maddesinin ikinci fıkrasında, ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ise ancak Kanunun 5/2.ve 6/3. maddesi kapsamında belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması halinde ise tarafların yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi kaydıyla gerçekleştirilebileceği hükme bağlanmıştır.
- Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soy ad ve telefon numaraları Kanun kapsamında sayılabilir mi?
Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soy ad ve telefon numaraları Kanun kapsamında değildir. Kişisel veri işlemenin Kanun kapsamında sayılabilmesi için işlenen kişisel verilerin bir veri kayıt sisteminin parçası olması yani belirli bir takım kriterlere göre yapılandırılarak işlenmesi gerekmektedir. Ad, soy ad ve telefon numarası gibi veriler bir indeks, fihrist vb. bir veri kayıt sistemi dâhilinde yazılmışsa, söz konusu veri işleme faaliyeti Kanuna tâbi olacaktır.
- Bir şirketler topluluğuna bağlı her bir şirket ayrıca veri sorumlusu sayılır mı?
Bağlı şirketlerin her biri, kişisel veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.
- Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi Kanuna uygun mudur?

Bir alışveriş sırasında “kişisel verilerimin işlenmesini ve paylaşılmasını kabul ediyorum” şeklinde rıza alınarak kişisel verilerin işlenmesi
Kanuna uygun değildir. “Tüm kişisel verilerimin işlenmesine ve paylaşılmasına izin veriyorum” şeklinde verilen açık rıza belirli bir konuya ilişkin olmayıp hangi verilerin işleneceği ve kimlerle paylaşılacağı konusu da net olmadığından açık rıza olarak değerlendirilmeyecektir.
- Katmanlı aydınlatma nedir, aydınlatma yükümlülüğü kapsamında “katmanlı aydınlatma” nasıl yapılmalıdır?
Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde edildiği konusunda kısa, anlaşılabilir, açık, sade bir yöntemle bilgilendirme yapılması ve Kanunun 10. maddesinde yer alan aydınlatmaya ilişkin diğer hususlar hakkında bilgi edinilmesi için, ilgili kişinin bu kısa bilgilendirmeden sonra erişerek ulaşabileceği bir ortama yönlendirilmesi olarak tanımlanabilmektedir. Örneğin, çağrı merkezi hizmeti kapsamında çağrı merkezini arayan kişilere, bu arama bu arama esnasında işlenen verilerle ilgili bilgilendirmeyi dinlemek için bir tuşa basılmasının istenmesi, belirtilen tuşa basıldığında aydınlatma metninin dinlenmesi de katmanlı
aydınlatma olarak değerlendirilebilir.
- Veri sorumlusunun yurt dışında yerleşik bir firmadan bulut hizmeti alması durumunda, bu hizmeti sunan firmanın verilere erişim yetkisi bulunmazsa Kanun kapsamında bir aktarım faaliyetinden söz edilebilir mi?
Sunucuları yurt dışında bulunan veri sorumlularından/ veri işleyenlerden temin edilen saklama hizmetleri Kanunun 9. maddesi hükümlerine uygun olarak gerçekleştirilmelidir. Bu kapsamda, bulut hizmeti sağlayan firmanın verilere erişim yetkisi bulunmasa dahi kişisel verileri sunucularında muhafaza etmesi bir aktarım faaliyeti olarak değerlendirilmektedir.
- Aydınlatma yükümlülüğünün yazılı olarak yerine getirilmesi zorunlu mudur?
Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir şekil şartına tabi olmayıp bu yükümlülüğün veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilebilmesi mümkündür. Ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
- Ölmüş kişilerin verilerine yakınları tarafından erişim talebinde bulunulabilir mi?
Kanunun 11. maddesinde, ilgili kişinin kendisi ile ilgili kişisel veriler bakımından bilgi talep edebileceği düzenlenmiştir. Bu kapsamda, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmesi mümkün değildir.
- İstisna kapsamında olmadığı halde VERBIS’e kayıt yükümlülüğünü yerine getirmeyenler hakkında işlem tesis edilecek midir?
Veri Sorumluları Siciline kayıt yükümlülüğünden istisna kapsamında olmadığı halde, sicile kayıt yükümlülüğünü yerine getirmeyen veri sorumlularının tespiti Kurum tarafından yapılacak ve haklarında Kanun kapsamında işlem tesis edilip 2,6 milyon Türk Lirasına
kadar idari para cezaları tesis edilebilecektir.
Kişisel Veriler Hakkında Merak Edilenler
Ayrıntılı bilgi ve randevu için tıklayınız.