Kişisel Verilerin Korunması Hukuku ve Uygulaması
İÇİNDEKİLER
ÖNSÖZ 7
İÇİNDEKİLER 9
KISALTMALAR 17
BİRİNCİ BÖLÜM
I. KİŞİSEL VERİLERİN KORUNMASI HUKUKUNA GENEL BAKIŞ 19
A. KİŞİSEL VERİLER VE HUKUKİ KORUMA MEKANİZMALARININ GELİŞİM SÜRECİ 19
1. Uluslararası Mevzuat Bağlamında Veri Koruma Hukukunun Gelişimi 19
a. OECD Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri
Dolaşımının Korunmasına İlişkin Rehber İlkeler: 19
b. 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması
Karşısında Şahısların Korunmasına Dair Sözleşme 20
c. 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu
ve Avrupa Konseyi Direktifi: 21
d. 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) 22
2. Ulusal Mevzuat Bağlamında Veri Koruma Hukukunun Gelişim Süreci 24
a. T.C. Anayasası 25
b. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 26
c. 5809 Sayılı Elektronik Haberleşme Kanunu: 27
d. 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun 28
İKİNCİ BÖLÜM
II. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU, VERİ İŞLEME
SÜRECİ VE GENEL İLKELER 29
A. KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMACI VE KAPSAMI 29
B. TANIMLAR 30
1. Kişisel Veri 30
2. Açık Rıza 31
3. İlgili Kişi 34
4. Veri Sorumlusu 34
5. Veri İşleyen 35
C. GENEL İLKELER 36
1. Doğru ve Gerektiğinde Güncel Olma 36
2. Belirli, Açık ve Meşru Amaçlar İçin İşlenme 37
3. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma 38
4. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli
Olan Süre Kadar Muhafaza Edilme 39
5. Hukuka ve Dürüstlük Kurallarına Uygun Olma 40
D. KİŞİSEL VERİLERİN İŞLENMESİ 41
1. Kişisel Verilerin İşlenmesi (Özel Nitelikli Olmayan) 41
a. Açık rıza 42
b. Kanunlarda açıkça öngörülme 43
c. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin veya bir başka kişinin hayatı veya beden bütünlüğünün
korunması için mecburi olması 43
d. Bir sözleşmenin kurulması ya da ifası için sözleşme taraflarının kişisel verilerinin işlenmesinin zorunlu olması 44
e. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi amacıyla veri işlemenin zorunlu olması 44
f. Kişisel verinin ilgili kişi tarafından alenileştirilmiş olması 45
g. Kişisel veri işlenmesinin bir hakkın tesis edilmesi, kullanılması
veya korunması için zorunlu olması 46
h. Veri sorumlusunun meşru menfaati için veri işlemenin
zorunlu olması 47
2. Özel (Hassas) Nitelikteki Kişisel Verilerin İşlenmesi 51
a. Genel Olarak 51
b. Biyometrik Veri İşlemenin Hukuka Uygunluk Sorunu: 55
c. GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) ve
KVK Özelinde “Biyometrik Veri” 56
d. Danıştay’ın Biyometrik Veri İşlenmemesi İlişkin Görüşleri: 58
E. KİŞİSEL VERİLERİN AKTARILMASI 62
1. Kişisel Verilerin Yurt içinde Aktarılması 62
2. Kişisel Verilerin Yurt dışına Aktarılması 64
ÜÇÜNCÜ BÖLÜM
III. KVKK KAPSAMINDA VERİ SORUMLUSUNA GETİRİLEN YÜKÜMLÜLÜKLER 69
A. AYDINLATMA YÜKÜMLÜLÜĞÜ 69
1. Aydınlatma Yükümlülüğünün Kapsamı 70
2. Kişisel Verinin İlgili Kişiden Elde Edilmesi Halinde Aydınlatma Yükümlülüğüne İlişkin Uyulması Gereken Usul ve Esaslar 70
a. Veri Sorumlusunun ve Varsa Temsilcisinin Kimliği 72
b. Kişisel Verilerin Hangi Amaçla İşleneceği 73
c. Kişisel Verilerin Kimlere Hangi Amaçlar ile Aktarılabileceği 74
d. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi 76
e. İlgili Kişinin KVKK m.11’de Sayılan Hakları 78
B. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER (KVKK M.12) 79
1. Kişisel Verilerin Korunmasına İlişkin İdari Tedbirler 80
a. Mevcut Durumun Tespitinin Yapılması 80
b. Kişisel Veri Güvenliği Gizliliği ve Korunması Politikalarının Hazırlanması 80
c. Veri Minimizasyonu İlkesi 80
d. Sözleşme ve Protokollerin Yönetimi 81
2. Kişisel Verilerin Korunmasına İlişkin Teknik Tedbirler 81
a. Siber Güvenliği Sağlamak 81
b. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması 82
c. Sistemin İyileştirilmesi ve Güncellenmesi 82
3. Veri Sızıntısı (Veri İhlali) 83
C. İLKELERE UYGUN HAREKET ETME YÜKÜMLÜLÜĞÜ (KVKK M.4) 84
D. İMHA (SİLME, YOK ETME VEYA ANONİM HALE GETİRME)
YÜKÜMLÜLÜĞÜ (KVKK M.7) 84
1. Silme 85
2. Yok Etme 87
3. Anonim Hale Getirme 87
4. Kişisel Veri Saklama ve İmha Politikasının Hazırlanması: 89
E. VERİ İŞLEME ENVANTERİ HAZIRLAMA VE VERBİS’E KAYIT
YÜKÜMLÜLÜĞÜ 94
1. Veri İşleme Envanteri Hazırlama Yükümlülüğü 94
2. VERBİS’e Kayıt Yükümlülüğü. 100
a. VERBİS’e İlişkin Kavramlar 100
aa. İrtibat Kişisi 100
bb. Veri Sorumlusu Temsilcisi 101
b) Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim. 101
c. Kayıt Yükümlülüğü 102
d. Kayıt Yükümlülüğünün İstisnaları 104
e. Yükümlülüğe Aykırı Davranmanın Yaptırımı 105
F. BAŞVURUYU YANITLAMA YÜKÜMLÜLÜĞÜ 106
G. İLGİLİ KİŞİNİN HAKLARI (M.11) 106
DÖRDÜNCÜ BÖLÜM
IV. SUÇLAR, KABAHATLER VE BUNLARA KARŞI YARGI YOLU 111
A. SUÇLAR 111
1. Genel Olarak 111
2. Kişisel Verilerin Kaydedilmesi Suçu (TCK m.135). 112
a. Genel Olarak 112
b. Korunan Hukuki Değer 113
c. Suçun Unsurları 113
aa. Maddi Unsur 113
bb. Manevi Unsur: 113
d. Hukuka Uygunluk Sebepleri 114
e. Suçun Özel Görünüş Biçimleri 114
f. Yaptırım 114
3. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu
(TCK m.136) 115
a. Genel Olarak 115
b. Korunan Hukuki Değer 116
c. Suçun Unsurları 116
aa. Maddi Unsurlar: 116
bb. Manevi Unsur: 118
d. Hukuka Uygunluk Sebepleri 118
e. Suçun Özel Görünüş Biçimleri 119
f. Yaptırım 119
4. Verileri Yok Etmeme Suçu (TCK m.138) 120
a. Suçun Unsurları 120
aa. Maddi Unsurlar: 120
bb. Manevi Unsur 120
b. Hukuka Uygunluk Sebepleri 121
c. Suçun Özel Görünüş Biçimleri 121
d. Yaptırım 121
B. KABAHATLER 122
1. Kanunda Tanımlanan Kabahatler Ve Yaptırımları 122
2. Kabahat İdari Yaptırım kararlarına ilişkin Yargı Yolu 125
BEŞİNCİ BÖLÜM
V. KİŞİSEL VERİLERİN KORUNMASI KANUNU YASAL UYUM SÜRECİ UYGULAMASI 127
A. GENEL OLARAK 127
B. KANUNİ DAYANAĞI VE GEREKLİLİĞİ 128
C. UYUMLULUK SÜRECİNE TABİ KİŞİLER 129
D. YASAL UYUM SÜRECİ DANIŞMANLARI 134
1. Danışmanlık Ekibinde Yer Alacak Kişiler 134
2. Danışmanlık Hizmeti Verebilmek Adına Gerekli Yeterliliğe
Ulaşmak İçin Yapılabilecekler 135
E. YASAL UYUM SÜRECİ DANIŞMANLIĞI 136
1. Genel Olarak 136
2. Yasal Uyum Süreci Adımları 137
a. Hizmetin Kapsamının Belirlenmesi ve Anlaşma 137
b. Başlangıç Toplantısı ve Farkındalık Eğitimi 138
c. Departman Görüşmeleri 141
aa. Her Bir Departman Görüşmesi İçin Hazırlık Yapılması 141
bb. Kişisel Veri İşleme Faaliyetlerinin Veri Sorumlusunun
Her Bir Birimi Bazında Tespiti 143
d. Envanter Oluşturulması 145
e. Açık Rıza Düzenlemeleri 145
f. Aydınlatma Yükümlülüğünün Yerine Getirilmesi 146
F. OLUŞTURULACAK DOKÜMANLARIN TESPİTİ 150
G. UYUM SÜRECİNDE İHTİYAÇ DUYULABİLECEK DOKÜMANLAR 151
1. Web Sitesi Aydınlatma Metni ve Çerez Politikası 151
2. Müşteri Aydınlatma Metni 152
3. Tedarikçi Aydınlatma Metni 152
4. Ziyaretçi Aydınlatma Metni 153
5. Çağrı Merkezi Aydınlatma Metni 153
6. Çalışan Aydınlatma ve Rıza Metni 153
7. Çalışan Adayları Aydınlatma Metni 153
8. Çalışanlar İçin Biyometrik Veri Aydınlatma ve Açık Rıza Metni 154
9. Çalışanlar İçin Sağlık Verisi Aydınlatma Metni ve Açık Rıza 154
10. CCTV Aydınlatma Metni 155
11. Etkinlik Kayıt Aydınlatma Metni 155
12. E-Mail Gizlilik Metni 155
13. Veri Saklama ve İmha Politikası 155
14. Kişisel Verilerin Korunması ve İşlenmesi Politikası 156
15. Parola Politikası 156
16. İlgili Kişi Başvuru Formu 156
17. Veri İmha Tutanağı 157
18. Görüntü ve Ses Kayıtlarına Erişim Hakkında Ek Protokol 157
19. Ortak Veri Tabanı Kullanımı Protokolü 157
20. Veri Sorumlusu İle Veri İşleyen Arasındaki İlişkiye Dair Protokol 157
21. Veri Güvenliği Protokolü 159
22. Çalışan Gizlilik Taahhütnamesi 159
23. İş Ortakları Veri Aktarımı Taahhütnamesi 159
24. Veri Sorumlusu Organizasyon Şeması 160
25. İmha Prosedürü 161
26. Eğitim Katılım Beyanı 161
H. SÖZLEŞMELER DÂHİL OLMAK ÜZERE VERİ SORUMLUSU BÜNYESİNDE DOKÜMANTE EDİLEN SÜREÇLERİN KANUN İLE
UYUMLU HALE GETİRİLMESİ 161
İ. İDARİ VE TEKNİK TEDBİRLERİN BELİRLENMESİ 163
1. İdari Tedbirlerin Belirlenmesi 163
2. Risk Analizi – (Mevcut Risk ve Tehditlerin Belirlenmesi) 164
3. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 165
4. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 166
5. Kişisel Verilerin Mümkün Olduğunca Azaltılması 167
6. Veri İşleyenler ile İlişkilerin Yönetimi 168
7. Teknik Tedbirlerin Belirlenmesi: 169
a. Sistem Yönetimi ve Bilgi Güvenliği 170
b. En Sık Ortaya Çıkan Veri İhlali Sebepleri 172
aa. Yanlış Yapılandırılmış Bulut Depolama 172
bb. Korunmasız Kod Depoları 173
cc. Zafiyetli Açık Kaynak Yazılımlar 174
J. VERİ GÜVENLİĞİ İÇİN YÖNTEM VE UYGULAMALAR 175
1. Güvenlik duvarı yönetimi: 175
2. Ağ yönetimi 175
3. Kimlik doğrulama ve erişim yönetimi 176
4. File Server dosya yönetimi 176
5. Kurumsal Mail yönetimi 177
6. Yedekleme ve Felaket Yönetimi 177
7. Şirket İçi Yetkilendirme – Komisyon Oluşturulması 182
a. Amacı 182
b. Komisyonunun Görevlerinin Belirlenmesi 183
K. VERBİS KAYDININ TAMAMLANMASI 185
L. RAPORLAMA İLE BİRLİKTE TESPİT, İHLAL VE ÖNERİLERİN BİLDİRİLMESİ 188
ÖRNEK DOKÜMANLAR
ÖRNEK-1: WEB SİTESİ AYDINLATMA METNİ VE ÇEREZ POLİTİKASI 193
ÖRNEK-2: MÜŞTERİ AYDINLATMA METNİ 199
ÖRNEK-3: ÇALIŞAN ADAYLARI AYDINLATMA METNİ 203
ÖRNEK-4: KİŞİSEL VERİ İŞLEME POLİTİKASI 206
ÖRNEK-5: VERİ SAKLAMA VE İMHA POLİTİKASI 234
KAYNAKÇA 253