Kurul Kararları

  • Home
  • Kurul Kararları

KVKK Kurul Kararları

Karar Tarihi : 18/10/2019
Karar No : 2019/308
Konu Özeti : Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalar Hakkında

 

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

– Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

– Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği hususlarında kamuoyunun bilgilendirilmesine,

– 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.

Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Karar Tarihi : 03/09/2019
Karar No : 2019/265
Konu Özeti :VERBİS Kayıt Sürelerinin Uzatılması

 

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
  • Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

Karar Tarihi : 02/05/2019
Karar No : 2019/125
Konu Özeti :Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.

Karar Tarihi : 16/10/2018
Karar No : 2018/119
Konu Özeti : Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

– İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

– Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

– Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

– Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

Karar Tarihi : 19/07/2018
Karar No : 2018/88
Konu Özeti : Sicile kayıt yükümlülüğünün başlama tarihleri

 

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

– Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

– Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

– Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

 

Çarşamba Semineri

 

Karar Tarihi : 19/07/2018
Karar No : 2018/87
Konu Özeti : Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

Karar Tarihi : 05/07/2018
Karar No : 2018/75
Konu Özeti : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

 

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

Karar Tarihi : 28/06/2018
Karar No : 2018/68
Konu Özeti : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

 

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

arar Tarihi : 31/05/2018
Karar No : 2018/63
Konu Özeti :Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

 

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

      Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

      Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

Karar Tarihi : 02/04/2018
Karar No : 2018/32
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

 

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
Karar Tarihi : 31/01/2018
Karar No : 2018/10
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

 

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

 

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

Karar Tarihi : 21/12/2017
Karar No : 2017/62
Konu Özeti : Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

 

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

– Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

– Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

Karar Tarihi : 21/12/2017
Karar No : 2017/61
Konu Özeti : Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

– Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

– Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

– Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.