Sık Sorulan Sorular

6698 Sayılı Kişisel Verileri Koruma Kanunu kapsamında Kişisel Veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu kapsamda göz renginiz, parmak iziniz, herhangi bir sağlık probleminiz, kan grubunuz, eşinizin adı, kaç çocuğunuz olduğu, boyunuz, kilonuz gibi özellikleriniz; maaş , mülkiyet, mal varlığı bilgisi gibi finans bilgileriniz, ikamet adresiniz, telefonunuz gibi iletişim bilgileriniz, etnik kökeniniz, diliniz, dininiz, ten renginiz de dahil olmak üzere sizi belirlenebilir kılan her türlü veri “kişisel veri”dir.

Özel nitelikli kişisel veriler kanunda ayrıca ve sınırlı sayıda düzenlenmiş kullanılması halinde sahibine zarar verebilecek hassasiyete sahip kişisel verilerdir. Bu kişisel verilerin işlenmesinin ve korunmasının ihlali durumunda ilgili kişilerin ayrımcılığa maruz kalabilecek olmaları sebebiyle işlenmeleri özel bazı şartlar veya açık rıza ile mümkündür. Özel nitelikli kişisel veriler Kanunda sayılmıştır ve genişletilemez. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Kişisel Verileri Koruma Kurumu tarafından yapılan açıklamalar ve ilgili mevzuat gereğince, veri işleyen veri sorumlusu dışında üçüncü bir kişi olup, işlediği verilerin işleme kararını, yöntemlerini ve verilerin akibeti ile ilgili kararları kendisi veremez. Bu kapsamda veri sorumlusu şirket çalışanı personel veri işleyen değildir.

İrtibat kişisi, Türkiye’de yerleşik olan gerçek ve tüzel kişi veri sorumluları tarafından seçilen, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamında, KVKK ile iletişimi sağlamak amacıyla Sicile kayıt esnasında Kuruma bildirilen gerçek kişiyi ifade etmektedir. İrtibat Kişisinin, şirket içerisinde yürütülmekte olan süreçlere hakim yetkililer veya personel arasından seçilmesinde fayda vardır.

Yönetmeliğin 11 inci maddesine göre; veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atanmak zorundadır.

Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır. VERİ SORUMLUSU TEMSİLCİSİ TÜRKİYEDE YERLEŞİK KİŞİLER BAKIMINDAN İRTİBAT KİŞİSİNİN FONKSİYONUNU İFA EDECEKTİR.

Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında Veri Sorumluları Siciline kayıt ile yükümlü veri sorumlularının kişisel veri envanteri hazırlama yükümlülüğü bulunmaktadır.

6698 Sayılı Kişisel Verileri Koruma Kanunu kapsamında veri sorumlularının uyması veya yerine getirmesi gereken bazı yükümlülükler öngörülmüş olup; veri sorumluları siciline kayıt olmak yükümlülüğü de bunlardan biridir. Veri Sorumluları Sicil Bilgi Sistemi, KVKK tarafından VERBİS olarak kısaltılmıştır.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi kapsamında kişisel verileri işleyen tüm gerçek ve tüzel kişiler, kural olarak veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Fakat Kanun KVKK’ya istisna getirme yetkisi tanınmış olup, avukatlar, mali müşavirler, gümrük müşavirleri, arabulucular, dernek, sendika, vakıf ve siyasi partiler ile 50’den az personeli ve mali bilançosunda 25 milyondan az aktif veya pasif toplamının olan kişiler gibi bazı veri sorumluları sicil kayıt yükümlülüğünden istisna tutulmuştur.

Kimler Sicile kayıt olacaktır;

  • Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişiler
  • Yurt dışında yerleşik gerçek ve tüzel kişiler
  • Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler
  • Kamu kurum ve kuruluşları

6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında bir çok yükümlülük öngörülmekte olup; sicil kaydı bunlardan yalnızca biridir. Sicil kayıt yükümlülüğünün olmaması Kanun kapsamında diğer yükümlülüklerden muaf olunduğu anlamına gelmemektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 10.maddesi kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Söz konusu metin Kanunda aydınlatma metni olarak da ifade edilmektedir.

Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” dır.

Kişisel Verilerin Korunması Hakkında Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, bilerek ve açıkça onay vermesi anlamını taşımaktadır.

Açık rıza, herhangi bir şekil şartına bağlı olmamakla (yazılı, elektronik ortamda vs. alınabilir) birlikte, söz konusu rızanın alındığına dair ispat yükü Veri Sorumlusu’na aittir.

Açık rıza alınırken önem arzeden üç husus vardır:

  1. Belirli bir konuya ilişkin olma
  2. Bilgilendirilmeye dayanma
  3. Özgür iradeyle açıklanma

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. Maddesinde kişisel veri işleme şartları sayılmış olup; başkaca bir işleme şartına dayanılamaması durumunda kişisel veri işlemeye başlamadan evvel açık rıza alınması gerekmektedir.

Yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yılın bulunması ve tamamlanmış yıl içerisinde 12 aydan en az 7’sinin (ardışık olmak zorunda değil) her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir.

Ancak, 30.09.2020 tarihine kadar çalışan sayısı 50 yi aşmasa dahi, eğer veri sorumlusunun ana faaliyet konusu özel nitelikteki kişisel verileri işlemek ise bu durumda çalışan sayısının sicile kayıt olmak bakımından bir önemi bulunmamaktadır.

25 milyon TL nin yıllık ciro ile hiçbir ilgisi bulunmamaktadır.

25 milyon TL mali bilanço toplamıdır. Yıllık mali bilanço toplamının hesaplanabilmesi için öncelikle tamamlanmış bir yıl olması (01.01.-31.12 ) veya özel hesap dönemi ise yine bir hesap yılının tamamlanmış ve bu tamamlanmış yıl sonu mali bilançosunda görülen aktif veya pasif toplamının 25 milyon TL ‘den fazla olması gerekmektedir.

Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

Anonim hale getirme, kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri tanımlar.

Süresi içerisinde sicile kayıt olmama, aydınlatma yükümlülüğünü yerine getirmeme, Kurul kararlarına uymama, Kanuna aykırı veri işleme gibi aykırılıkların tespit edilmesi durumunda, Kişisel Verilerin Korunması Kurulu tarafından 2023 yılı itibariyle 29.857,01 -TL den başlayıp 5.972.040.56 -TL arasında değişen para cezaları verilebilmektedir. 

Ceza listesi;

Ayrıca, kişisel verilerin Türk Ceza Kanunu’nu ilgili (135-140) maddelerinde düzenlendiği üzere kullanılması durumunda gerçek kişilere cezai yaptırımlar düzenlenmiştir.

Madde 135 - Kişisel verilerin kaydedilmesi
Hukuka aykırı olarak kişisel verileri kaydetme suçunun işlenmesi halinde 1 ila 3 yıl arasında hapis cezası verilir. Kişisel verinin siyasi, veya dini görüş, ırki köken, ahlaki eğilim, cinsel yaşam, sağlık durumu veya sendikal bağlantıya (özel nitelikli kişisel veri) ilişkin olması halinde 1,5 yıl ila 4,5 yıla kadar olacak şekilde yarı oranında artırılır.

Madde 136- Verileri hukuka aykırı olarak verme veya ele geçirme
Kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme suçunun işlenmesi halinde 2 ila 4 yıl arasında hapis cezası verilir.

Madde 137- Nitelikli haller
Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Madde 138- Verileri yok etmeme
Kanunların belirlediği sürelerin geçmiş olmasına karşın, verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmemeleri halinde 1 ila 2 yıl arasında hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat artırılacaktır.

Madde 139- Şikayet
Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Madde 140- Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Yukarıdaki suçların işlenmesi dolayısıyla tüzel kişiler hakkında onlara özgü güvenlik tedbirlerine hükmolacağı belirtilmiştir.