Orhaneli KVKK ve Kişisel Verilerin Korunması Avukatları

Orhaneli, Bursa ilçesinde KVKK alanında hizmet veren 4 avukat. Aydınlatma, açık rıza, VERBİS, veri ihlali ve uyum süreçleriyle inceleyin.

Orhaneli, Bursa KVKK ve Kişisel Verilerin Korunması Avukatları — Kapsamlı Rehber

Bu rehber, Orhaneli (Bursa) bölgesinde faaliyet gösteren işletmeler, kurumlar ve bireyler için kişisel verilerin korunması hukukunu; aydınlatma yükümlülüğü, açık rıza, veri işleme şartları, VERBİS kaydı, veri ihlali bildirimi, ilgili kişi başvurusu, Kişisel Verileri Koruma Kuruluna şikâyet, idari para cezaları ve uyum (compliance) süreçleri açısından bütünlüklü biçimde ele alır. Amaç, hem veri sorumlusu konumundaki işletmelerin yükümlülüklerini doğru anlamasına hem de kişisel verileri işlenen ilgili kişilerin haklarını bilinçli biçimde kullanmasına yardımcı olmaktır. Kişisel verilerin korunması alanı hem idari hem cezai boyutu bulunan, teknik ve hukuki bilgiyi birlikte gerektiren bir alan olduğundan, süreçlerin baştan doğru kurgulanması sonucu doğrudan etkiler.

Kısa Bakış — KVKK'da Öne Çıkanlar
  • Merci: İdari denetim ve yaptırım mercii Kişisel Verileri Koruma Kuruludur; Kurul işlemlerine karşı idari yargı, tazminat için adli yargı yolu açıktır.
  • Süreler: İlgili kişi başvurusu kural olarak 30 günde sonuçlandırılır; veri ihlali kural olarak 72 saat içinde Kurula bildirilir.
  • Denge: Açık rıza yalnızca bir işleme şartıdır; kanundaki diğer şartlar varsa rıza aranmaz.
  • Yer: Orhaneli'da faaliyet gösteren veri sorumluları da aynı yükümlülüklere tabidir; adli işler bakımından Bursa Adliyesi yargı çevresi referanstır.

KVKK Nedir? Kişisel Verilerin Korunmasının Kapsamı

Kişisel verilerin korunması hukuku; kişilerin temel hak ve özgürlüklerini, özellikle özel hayatın gizliliğini korumak amacıyla, kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyen hukuk dalıdır. Türkiye'de bu alanın temel kaynağı 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)'dur. Kanun, kişisel verilerin hangi şartlarda işlenebileceğini, veri sorumlularının yükümlülüklerini, ilgili kişilerin haklarını ve bu hakların ihlali hâlinde işleyecek denetim ile yaptırım mekanizmalarını belirler. Kanunun uygulanmasını sağlayan bağımsız idari otorite ise Kişisel Verileri Koruma Kurumu ve karar organı olan Kişisel Verileri Koruma Kuruludur.

KVKK, sadece büyük şirketleri değil; kişisel veri işleyen her ölçekten işletmeyi, dernek ve vakıfları, kamu kurumlarını ve serbest meslek erbabını ilgilendirir. Bir müşteri listesi tutan küçük bir işletme de, milyonlarca kullanıcısı olan bir teknoloji şirketi de aynı temel ilkelere tabidir; yalnızca yükümlülüklerin kapsamı ve alınması gereken tedbirlerin ağırlığı ölçeğe göre değişir. Bu yönüyle kişisel verilerin korunması, günümüzde neredeyse her ticari ve mesleki faaliyetin ayrılmaz bir parçası hâline gelmiştir.

Kişisel verilerin korunması alanı statik değildir; teknolojinin gelişmesi, yeni veri işleme yöntemlerinin ortaya çıkması ve uluslararası standartların değişmesiyle birlikte mevzuat ve Kurul uygulamaları da güncellenmektedir. Bu nedenle bir kez yapılan uyum çalışması yeterli değildir; süreçlerin düzenli olarak gözden geçirilmesi gerekir. Aşağıda bu alanda en sık karşılaşılan temel kavramlar özetlenmiştir:

Veri Sorumlusu
İşleme amaç ve vasıtasını belirleyen
VERBİS
Veri sorumluları sicili
Aydınlatma
İşleme öncesi bilgilendirme
Açık Rıza
Özgür iradeyle onay
Veri İhlali
72 saat bildirim
İdari Para Cezası
Kurul yaptırımı

Kişisel Veri Nedir ve İşleme Şartları

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad, soyad, kimlik numarası, adres, telefon ve e-posta gibi doğrudan tanımlayıcı bilgilerin yanı sıra; konum, IP adresi, çerez kayıtları, ses ve görüntü kayıtları gibi kişiyi dolaylı olarak belirlenebilir kılan veriler de bu kapsamdadır. Kanun ayrıca özel nitelikli (hassas) kişisel veriler için daha sıkı bir koruma öngörür; ırk, etnik köken, siyasi düşünce, felsefi inanç, din ve mezhep, sağlık, cinsel hayat, ceza mahkûmiyeti ile biyometrik ve genetik veriler bu grupta yer alır ve bunların işlenmesi kural olarak daha ağır şartlara bağlıdır.

Kişisel verilerin işlenebilmesi için kural, ilgili kişinin açık rızasının bulunmasıdır; ancak kanun, açık rıza aranmaksızın veri işlenebilecek hâlleri de ayrıca saymıştır. Bunlar arasında; kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi veya korunması için zorunlu olması ile veri sorumlusunun meşru menfaatleri için zorunlu olması sayılabilir. Bu şartlardan herhangi biri varsa, o işleme için ayrıca açık rıza almaya gerek yoktur.

Veri işlemenin hukuka uygunluğu, yalnızca bir işleme şartının varlığıyla sınırlı değildir; işlemenin aynı zamanda genel ilkelere uygun olması gerekir. Bu ilkeler arasında; hukuka ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilme yer alır. Uygulamada işletmeler çoğu zaman doğru işleme şartını belirlese bile bu ilkeleri gözden kaçırabilir; oysa her ikisinin birlikte sağlanması gerekir.

Aydınlatma Yükümlülüğü ve Açık Rıza

Kişisel verilerin korunmasında en çok karıştırılan iki kavram olan aydınlatma ve açık rıza, birbirinden bağımsız yükümlülüklerdir ve ayrı ayrı yerine getirilmelidir:

Aydınlatma Yükümlülüğü

Veri sorumlusu, kişisel verileri işlemeye başlamadan önce ilgili kişiye; kendi kimliğini, işleme amacını, verilerin kimlere ve hangi amaçla aktarılabileceğini, toplama yöntemi ve hukuki sebebini ve ilgili kişinin haklarını bildirmekle yükümlüdür. Bu bilgilendirme rıza gerektirmez; her hâlde yapılması gerekir.

Açık Rıza

Yalnızca işlemenin hukuki dayanağının rıza olduğu hâllerde gerekir. Açık rızanın geçerli olması için belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması gerekir. Bir hizmetin ön koşulu hâline getirilen ya da genel nitelikte alınan rıza geçersiz sayılabilir.

Uygulamada en sık yapılan hatalardan biri, aydınlatma metni ile açık rıza metnini tek bir belgede iç içe geçirmek ya da her işleme için gereksiz yere rıza almaya çalışmaktır. Oysa geçerli başka bir işleme şartı varken (örneğin sözleşmenin ifası) alınan rıza hem gereksizdir hem de ilgili kişiyi yanıltıcı olabilir; ayrıca rıza her zaman geri alınabildiğinden, işlemeyi rızaya dayandırmak veri sorumlusu bakımından risk oluşturabilir. Doğru yaklaşım, her işleme faaliyeti için önce kanundaki diğer şartların uygulanıp uygulanmadığını değerlendirmek, yalnızca başka şart yoksa açık rızaya başvurmaktır.

Aydınlatma yükümlülüğünün yerine getirilmemesi başlı başına bir idari yaptırım sebebidir. Bu nedenle web sitesi, mobil uygulama, üyelik formu, çağrı merkezi kaydı, işe alım süreci ve kamera kayıtları gibi her veri toplama noktasında ayrı ayrı aydınlatma yapılması gerekir. Aydınlatma metinlerinin anlaşılır, açık ve ilgili işleme özgü olması; kalıptan kopyalanmış, genel ve gerçeği yansıtmayan metinlerden kaçınılması önemlidir. Orhaneli'daki işletmelerin her temas noktasını bu açıdan gözden geçirmesi yerinde olur.

VERBİS Kaydı ve Kayıt Yükümlülüğü

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının Kişisel Verileri Koruma Kurumu nezdinde kaydolarak, işledikleri kişisel verilere ilişkin belirli bilgileri beyan ettikleri kamuya açık bir sicildir. Kayıt yükümlülüğü bulunan veri sorumluları; işledikleri veri kategorilerini, işleme amaçlarını, aktarım yaptıkları alıcı gruplarını, yabancı ülkelere aktarım durumunu, verilerin saklanacağı azami süreleri ve aldıkları teknik-idari tedbirlere ilişkin genel bilgileri VERBİS üzerinden bildirir. Bu sistem, veri işleme faaliyetlerinin şeffaflığını ve denetlenebilirliğini artırmayı amaçlar.

Ancak VERBİS'e kayıt her veri sorumlusu için zorunlu değildir. Kişisel Verileri Koruma Kurulu, belirli kriterlere göre kayıttan istisna tutulacak veri sorumlularını belirlemiştir; yıllık çalışan sayısı, yıllık mali bilanço toplamı ve ana faaliyet konusu gibi ölçütler bu değerlendirmede rol oynar. Örneğin belirli eşiklerin altında kalan ve ana faaliyeti özel nitelikli veri işlemek olmayan bazı küçük ölçekli işletmeler kayıt yükümlülüğünden istisna tutulabilir. Bu nedenle Orhaneli'da bir işletmenin kayıt yükümlüsü olup olmadığı, otomatik bir varsayımla değil, somut kriterlerin değerlendirilmesiyle belirlenmelidir.

Kayıt yükümlüsü olduğu hâlde VERBİS'e süresinde kayıt olmamak veya bildirim yükümlülüğünü yerine getirmemek, idari para cezasına konu olabilir. Ayrıca VERBİS beyanının gerçek durumu yansıtması gerekir; sistemde beyan edilen veri işleme faaliyetleri ile gerçekte yürütülen faaliyetler arasında tutarsızlık bulunması, bir denetim hâlinde risk oluşturur. Bu nedenle VERBİS kaydı yalnızca bir formalite olarak değil, işletmenin gerçek veri işleme envanterine dayanan doğru ve güncel bir beyan olarak ele alınmalıdır.

Veri İhlali Bildirimi ve 72 Saat Kuralı

Kişisel verilerin korunması yükümlülüklerinden biri de veri güvenliğinin sağlanmasıdır. Veri sorumlusu, işlediği kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almak zorundadır. Buna rağmen bir veri ihlali (data breach), yani kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi gerçekleşirse, kanun özel bir bildirim yükümlülüğü öngörür.

Veri sorumlusu, böyle bir ihlali öğrendiği tarihten itibaren en kısa sürede ve Kurul düzenlemeleri çerçevesinde kural olarak yetmiş iki saat içinde Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Bildirim; ihlalin ne zaman ve nasıl gerçekleştiği, hangi veri kategorilerini ve yaklaşık kaç kişiyi etkilediği, olası sonuçları ile alınan ve alınması planlanan tedbirler gibi bilgileri içermelidir. Ayrıca ihlalden etkilenen ilgili kişilerin de makul en kısa sürede bilgilendirilmesi gerekir; bu bilgilendirme, kişilerin kendi verilerini korumak için önlem almasına imkân tanır.

Uygulamada veri ihlali anında en büyük zorluk, süreye uyulmasıdır. Yetmiş iki saat, teknik incelemenin tamamlanması, ihlalin kapsamının belirlenmesi ve bildirimin hazırlanması için sınırlı bir zamandır. Bu nedenle veri sorumlularının önceden bir ihlal müdahale planı hazırlamış olması büyük önem taşır; bu plan, kimin hangi adımı atacağını, teknik ekip ile hukuk ekibinin nasıl koordine olacağını ve bildirimin hangi bilgileri içereceğini önceden belirler. Orhaneli'da faaliyet gösteren işletmelerin, olası bir ihlale hazırlıklı olması hem hukuki riski hem itibar kaybını azaltır.

İlgili Kişi Başvurusu ve Kurula Şikâyet

Kişisel verileri işlenen gerçek kişi, kanunda ilgili kişi olarak adlandırılır ve geniş kapsamlı haklarla donatılmıştır. İlgili kişi; kişisel verisinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, silinmesini veya yok edilmesini talep etme ve bu işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahiptir. Ayrıca işlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhine bir sonuç ortaya çıkmasına itiraz etme ve zarara uğraması hâlinde giderim isteme hakkı da vardır.

Bu hakların kullanımı belirli bir usule tabidir. İlgili kişi, haklarını kullanmak için önce veri sorumlusuna yazılı olarak veya Kurulun belirlediği diğer yöntemlerle başvurur. Veri sorumlusu, başvuruyu talebin niteliğine göre en kısa sürede ve kural olarak en geç otuz gün içinde ücretsiz olarak sonuçlandırır; işlemin ayrıca bir maliyet gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir. Bu ön başvuru, sürecin zorunlu ilk adımıdır ve doğrudan Kurula gidilmesi kural olarak mümkün değildir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması ya da süresinde hiç cevap verilmemesi hâlinde, ilgili kişi bu durumu öğrendiği tarihten itibaren belirli bir süre içinde Kişisel Verileri Koruma Kuruluna şikâyette bulunabilir. Kurul, şikâyeti inceleyerek veri sorumlusundan bilgi ve belge isteyebilir, gerekli gördüğü tedbirlerin alınmasına ve ihlal tespit edilirse idari para cezası dâhil yaptırımlara karar verebilir. Orhaneli'da bir hak ihlali yaşadığını düşünen ilgili kişilerin, süreyi kaçırmamak için başvuru ve şikâyet aşamalarını doğru sırayla yürütmesi önemlidir.

KVKK'da İdari Para Cezaları

Kişisel Verilerin Korunması Kanunu, çeşitli yükümlülüklerin ihlali için farklı ağırlıkta idari para cezaları öngörür. Cezaya konu olabilecek başlıca ihlaller arasında; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklere uyulmaması, Kurul tarafından verilen kararların yerine getirilmemesi ve VERBİS'e kayıt ile bildirim yükümlülüğüne aykırı davranılması sayılabilir. Her bir ihlal türü için kanunda alt ve üst sınırları belirlenmiş ceza aralıkları öngörülmüştür ve bu tutarlar her yıl yeniden değerleme oranında güncellenir.

İdari para cezasının miktarı belirlenirken tek bir ölçüt değil, birden çok unsur birlikte değerlendirilir. İhlalin niteliği ve ağırlığı, ne kadar süre devam ettiği, kaç ilgili kişiyi etkilediği, veri sorumlusunun ekonomik durumu, kusurunun derecesi ve ihlali giderme yönünde iş birliği yapıp yapmadığı gibi hususlar dikkate alınabilir. Bu nedenle aynı tür bir ihlal, farklı işletmeler bakımından farklı tutarlarda cezaya yol açabilir. Kurulun somut olaydaki değerlendirmesi belirleyicidir.

Bir idari para cezası kararıyla karşılaşan veri sorumlusunun, kararın hukuka uygunluğunu değerlendirmesi ve gerekiyorsa idari yargıda iptal davası açması mümkündür. Diğer yandan, ceza öncesinde ve sonrasında alınacak tutum da önemlidir: ihlalin varlığını kabul ederek gerekli düzeltmeleri yapmak, eksikleri gidermek ve Kurulla iş birliği yapmak, sürecin daha az zararla atlatılmasına katkı sağlayabilir. Bu değerlendirmelerin hem hukuki hem teknik boyutuyla birlikte ele alınması gerektiğinden, bir avukat ve uyum uzmanı desteği yararlı olur.

Görevli ve Yetkili Merci: Kurul ve Yargı Yolları

KVKK uyuşmazlıkları tek bir merci ile sınırlı değildir; idari, adli ve cezai boyutlar farklı yollarda işler. Doğru yolun belirlenmesi süreç açısından kritiktir:

Uyuşmazlık / İşlemGörevli Merci ve Yol
İlgili kişinin hak ihlali başvurusuÖnce Veri Sorumlusu (30 gün), ardından Kişisel Verileri Koruma Kuruluna şikâyet.
Kurulun idari işlemine itirazİdari Yargı — Kurul kararına karşı iptal davası (idare mahkemesi).
Maddi/manevi tazminat talebiAdli Yargı — genel hükümlere göre tazminat davası.
Verilerin hukuka aykırı işlenmesi (suç)Ceza Yargısı — Cumhuriyet savcılığına suç duyurusu ve soruşturma.
İhlal bildirimiKişisel Verileri Koruma Kurulu — kural olarak 72 saat içinde.
Yer bakımından — Orhaneli

Kişisel Verileri Koruma Kurulu ülke genelinde tek bir merkezi otorite olduğundan, idari şikâyet bakımından Orhaneli'da ayrı bir yerel Kurul bulunmaz; şikâyetler doğrudan Kuruma yapılır. Buna karşılık tazminat ve ceza yönünden açılacak davalarda genel yetki kuralları uygulanır ve Orhaneli'daki adli işler bakımından Bursa Adliyesi yargı çevresi referans oluşturur.

Bu çok yönlü yapı, aynı olayın birden fazla süreç doğurabileceği anlamına gelir. Örneğin bir veri ihlali; Kurul nezdinde idari inceleme ve idari para cezası, savcılık nezdinde ceza soruşturması ve etkilenen kişiler tarafından açılacak tazminat davaları gündeme getirebilir. Bu nedenle bir KVKK uyuşmazlığında yalnızca tek bir yola odaklanmak yerine, olayın tüm hukuki boyutlarının birlikte değerlendirilmesi ve hangi yolun hangi sıra ve sürede işletileceğinin planlanması gerekir.

Orhaneli'da KVKK Uyum Süreci Nasıl Yürütülür? Adımlar

KVKK uyumu, tek seferlik bir belge hazırlama işi değil; işletmenin veri işleme faaliyetlerini bütünüyle gözden geçirmesini ve sürekli yönetmesini gerektiren bir süreçtir. Aşağıda tipik bir uyum çalışmasının aşamaları özetlenmiştir; her işletmenin ölçeğine ve faaliyetine göre adımlar farklılaşabilir:

1
Veri Envanteri

İşletmenin işlediği tüm kişisel veriler; kategorileri, kaynakları, işleme amaçları, aktarıldığı taraflar ve saklama süreleri belirlenerek bir kişisel veri işleme envanteri çıkarılır.

2
Hukuki Dayanak

Her işleme faaliyeti için doğru işleme şartı belirlenir; açık rıza mı yoksa kanundaki diğer şartlardan biri mi geçerli olduğu tespit edilir.

3
Metinler ve Politikalar

Aydınlatma metinleri, gerektiğinde açık rıza metinleri, saklama ve imha politikası ile kişisel veri işleme politikaları hazırlanır ve temas noktalarına yerleştirilir.

4
VERBİS Kaydı

Kayıt yükümlülüğü değerlendirilir; yükümlüyse VERBİS kaydı yapılır ve beyanların gerçek işleme faaliyetleriyle uyumlu olması sağlanır.

5
Teknik-İdari Tedbirler

Erişim yetkilendirmesi, şifreleme, yedekleme, loglama, gizlilik taahhütnameleri ve ihlal müdahale planı gibi güvenlik tedbirleri alınır.

6
Sürekli Yönetim

Çalışanlar bilinçlendirilir, süreçler düzenli olarak denetlenir ve mevzuat değişikliklerine göre metin ve politikalar güncellenir.

Bu adımların her biri, bir öncekinin çıktısına dayanır; örneğin doğru bir veri envanteri çıkarılmadan uygun aydınlatma metinleri hazırlanamaz. Bu nedenle uyum çalışmasının sıralı ve bütünlüklü yürütülmesi, hem eksik kalan alanların tespit edilmesi hem de gereksiz işlemlerden kaçınılması bakımından önemlidir. Orhaneli'daki işletmelerin bu süreci, hukuki ve teknik boyutu birlikte ele alan bir yaklaşımla planlaması yerinde olur.

Kişisel Veri Saklama ve İmha Politikası

Kişisel verilerin korunmasında sıklıkla gözden kaçan bir yükümlülük, verilerin işlenme amacının ortadan kalkması hâlinde silinmesi, yok edilmesi veya anonim hâle getirilmesidir. Kanun, kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini öngörür; bu sürenin dolmasıyla birlikte verilerin tutulmaya devam edilmesi hukuka aykırı hâle gelir. Bu nedenle her işletmenin, hangi veriyi ne kadar süreyle sakladığını ve süre sonunda nasıl imha edeceğini gösteren bir politikaya ihtiyacı vardır.

Kişisel veri saklama ve imha politikası; hangi veri kategorilerinin hangi hukuki dayanakla ne kadar süre saklanacağını, saklama sürelerinin dolmasını periyodik olarak nasıl takip edileceğini ve imhanın hangi yöntemle (silme, yok etme veya anonimleştirme) gerçekleştirileceğini belirler. Belirli kriterlere göre VERBİS'e kayıtla yükümlü veri sorumluları için bu politikanın hazırlanması ayrıca beklenen bir yükümlülüktür. Politikanın yalnızca kâğıt üzerinde kalmaması, periyodik imha işlemlerinin gerçekten uygulanması ve kayıt altına alınması gerekir.

Uygulamada işletmeler çoğu zaman veri toplama tarafına odaklanır ancak imha tarafını ihmal eder; oysa amacı sona ermiş verilerin gereksiz yere saklanması hem bir ihlal riski oluşturur hem de olası bir veri sızıntısında etkilenen kişi sayısını artırır. Verilerin gerektiğinde ve süresi geldiğinde düzenli olarak imha edilmesi, işletmenin risk yükünü azaltan önemli bir uyum davranışıdır. Orhaneli'daki işletmelerin saklama sürelerini belirlerken ilgili özel mevzuattaki (vergi, iş, ticaret gibi) saklama yükümlülüklerini de dikkate alması gerekir.

Kişisel Verilerin Yurt Dışına Aktarılması

Günümüzde birçok işletme bulut hizmetleri, yurt dışı merkezli yazılımlar, e-posta ve pazarlama araçları ya da grup şirketleri arasındaki paylaşımlar nedeniyle kişisel verileri fiilen yurt dışına aktarmaktadır. Kanun, kişisel verilerin yurt dışına aktarılmasını serbest bırakmamış, özel şartlara bağlamıştır. Bu nedenle bir işletmenin kullandığı yabancı menşeli her dijital araç, aslında bir yurt dışı veri aktarımı anlamına gelebilir ve ayrı bir hukuki değerlendirme gerektirir.

Yurt dışına aktarımın hukuka uygun olabilmesi için kural olarak; işleme şartlarından birinin bulunması ve mevzuatta öngörülen güvence mekanizmalarının sağlanması gerekir. Bu güvenceler arasında; yeterli korumaya sahip olduğu ilan edilen ülkelere aktarım, tarafların uygun güvenceleri yazılı olarak sağlaması, bağlayıcı şirket kuralları gibi mekanizmalar ile kanunda sınırlı biçimde sayılan istisnai hâller yer alabilir. Uluslararası veri aktarımına ilişkin kurallar zaman içinde önemli değişikliklere uğrayabildiğinden, güncel düzenlemelerin dikkate alınması gerekir.

Bu alanda en sık karşılaşılan risk, işletmelerin kullandıkları yurt dışı kaynaklı hizmetlerin farkında olmaması ya da bunları bir aktarım olarak değerlendirmemesidir. Sunucusu yurt dışında bulunan bir yazılıma müşteri verisi girmek dahi bir aktarım oluşturabilir. Bu nedenle Orhaneli'daki işletmelerin, kullandıkları tüm dijital araçları ve tedarikçileri bir aktarım envanteri kapsamında gözden geçirmesi ve her aktarım için uygun hukuki zemini oluşturması gerekir. Bu değerlendirme teknik ve hukuki bilgiyi birlikte gerektirir.

Çerezler, Web Siteleri ve Dijital Pazarlama

Kişisel verilerin korunması yükümlülükleri, fiziksel süreçler kadar dijital ortamları da kapsar. Bir web sitesi veya mobil uygulama; ziyaretçilerden IP adresi, cihaz bilgisi, gezinme davranışı ve çerez verileri gibi kişisel veri niteliğinde bilgiler toplayabilir. Bu nedenle çerez kullanan siteler için ayrı bir çerez aydınlatması yapılması ve zorunlu olmayan çerezler bakımından kullanıcı tercihinin alınması, kişisel verilerin korunması hukukunun dijital ayağının önemli bir parçasıdır.

Dijital pazarlama faaliyetleri de özel dikkat gerektirir. Ticari elektronik ileti (e-posta, SMS, arama) gönderimi hem kişisel verilerin korunması hem de ticari iletişim mevzuatı açısından değerlendirilmelidir; kural olarak alıcının önceden onayı aranır ve her iletide ret (iletişimi durdurma) imkânının sunulması gerekir. Profilleme, hedefli reklam ve otomatik karar verme uygulamaları ise ilgili kişinin hakları bakımından ayrıca hassastır. Bu faaliyetlerin hukuki dayanağının ve aydınlatmasının doğru kurgulanması gerekir.

Uygulamada birçok işletme, fiziksel süreçleri için uyum çalışması yaparken web sitesi ve pazarlama süreçlerini ihmal eder; oysa denetim ve şikâyetlerin önemli bir kısmı dijital kanallardan doğar. Web sitesindeki formlar, üyelik ve bülten kayıtları, sosyal medya pikselleri ve analiz araçları tek tek gözden geçirilmelidir. Orhaneli'da çevrim içi hizmet sunan işletmelerin, dijital temas noktalarını da uyum kapsamına dâhil etmesi ve bu süreçleri düzenli olarak denetlemesi gerekir.

Çalışan Kişisel Verileri ve İşyerinde KVKK

Kişisel verilerin korunması yükümlülüklerinin en yoğun karşılaşıldığı alanlardan biri de işveren-çalışan ilişkisidir. İşe alım sürecinden başlayarak; özgeçmişler, kimlik ve iletişim bilgileri, banka hesap bilgileri, sağlık raporları, işyeri kamera kayıtları, giriş-çıkış kayıtları ve performans verileri gibi çok sayıda kişisel veri işlenir. Bu verilerin önemli bir kısmı özel nitelikli (örneğin sağlık verileri) olabildiğinden, işveren bakımından uyum yükümlülüğü ayrıca ağırlaşır.

İşyerinde veri işlemenin hukuki dayanağı çoğu zaman açık rıza değildir; çünkü çalışan ile işveren arasındaki bağımlılık ilişkisi nedeniyle rızanın "özgür iradeyle" verilip verilmediği tartışmalı olabilir. Bu nedenle işyeri veri işlemelerinin büyük bölümü, iş sözleşmesinin ifası, işverenin hukuki yükümlülükleri (örneğin sosyal güvenlik ve iş sağlığı) veya meşru menfaat gibi diğer işleme şartlarına dayandırılır. İşe alım adaylarına, çalışanlara ve ziyaretçilere ayrı ayrı aydınlatma yapılması, kamera kayıtları için ayrıca bilgilendirme sunulması beklenir.

İş ilişkisi sona erdikten sonra çalışan verilerinin ne kadar süreyle saklanacağı da önemli bir konudur; bu süre, iş ve sosyal güvenlik mevzuatındaki saklama yükümlülükleri ile olası uyuşmazlıklarda ispat ihtiyacı dikkate alınarak belirlenmeli, amacı sona eren veriler ise imha edilmelidir. Orhaneli'da işçi çalıştıran işletmelerin, insan kaynakları süreçlerini kişisel verilerin korunması açısından ayrı bir başlık olarak ele alması ve bu süreçlere özgü politika ile metinleri hazırlaması yerinde olur.

KVKK Uyumunda Gerekli Belgeler ve Politikalar

Kişisel verilerin korunması uyumu, doğru hazırlanmış bir belge seti üzerine oturur. Aşağıda uygulamada sıkça ihtiyaç duyulan temel belgeler kategoriler hâlinde özetlenmiştir; işletmenin faaliyet alanına ve ölçeğine göre ek belgeler gerekebilir:

Envanter ve Politikalar

Kişisel veri işleme envanteri, kişisel veri işleme ve koruma politikası ile kişisel veri saklama ve imha politikası. Uyum çalışmasının temelini bu belgeler oluşturur.

Aydınlatma ve Rıza

Farklı temas noktalarına özgü aydınlatma metinleri (müşteri, çalışan, ziyaretçi, web sitesi), gerektiğinde açık rıza metinleri ve çerez aydınlatması.

Sözleşme ve Taahhütler

Veri işleyenlerle (tedarikçi, bulut sağlayıcı) yapılan veri işleme sözleşmeleri/ekleri, gizlilik taahhütnameleri ve çalışan gizlilik yükümlülükleri.

Güvenlik ve İhlal

Teknik-idari tedbir dokümanları, erişim yetki matrisi, ihlal müdahale prosedürü ile ilgili kişi başvurularını karşılayacak başvuru yönetimi süreci.

Bu belgelerin yalnızca hazırlanmış olması yeterli değildir; gerçek iş süreçleriyle uyumlu, güncel ve fiilen uygulanan belgeler olması gerekir. Denetim ve şikâyet süreçlerinde, kâğıt üzerinde kalan ancak uygulamada karşılığı olmayan politikalar koruma sağlamaz; aksine tutarsızlık riski doğurur. Orhaneli'daki işletmelerin bu belgeleri, kendi faaliyetlerine göre özelleştirilmiş biçimde hazırlaması ve düzenli aralıklarla gözden geçirmesi önerilir.

Orhaneli'da KVKK Avukatı ve Danışmanı Seçerken Nelere Dikkat Edilmeli?

Kişisel verilerin korunması; hukuki, teknik ve organizasyonel boyutları birlikte barındıran, sürekli güncellenen bir alandır. Bu nedenle uyum çalışmasını yürütecek ya da bir uyuşmazlıkta destek verecek avukatın, hem KVKK mevzuatına ve Kurul uygulamalarına hâkim olması hem de teknik süreçleri anlayabilmesi önem taşır. Aşağıdaki başlıklar, bir avukatla ilk görüşmede netleştirmenizde yarar olan konuları özetler:

Deneyim ve Uzmanlık

Veri envanteri çıkarma, aydınlatma ve rıza metni hazırlama, VERBİS kaydı, veri ihlali yönetimi ve Kurula şikâyet/savunma süreçlerinde benzer dosya deneyimi.

Süreç ve Kapsam

Uyum çalışmasının hangi adımları kapsayacağı, çıktı olarak hangi belgelerin teslim edileceği ve çalışmanın ne kadar sürede tamamlanacağı.

İletişim ve Şeffaflık

Gelişmelerin nasıl bildirileceği, güncelleme ve bakım hizmetinin kapsamı ile ücretin baştan yazılı olarak açıklanması.

Yerel ve Sektörel Deneyim

Orhaneli, Bursa bölgesindeki işletmelerin faaliyet yapısına aşinalık ve ilgili sektöre (sağlık, e-ticaret, eğitim gibi) özgü uyum tecrübesi.

İlk görüşmede uyum çalışmasının kapsamına, teslim edilecek çıktılara ve sürekliliğe ilişkin somut bir yol haritası istemeniz yararlıdır. "Tek seferde tam uyum" ya da "hiçbir ceza almazsınız" gibi kesin vaatler yerine, riskleri gerçekçi biçimde ortaya koyan ve sürekli yönetim öneren bir yaklaşım daha güvenilirdir. Aşağıdaki soruları görüşmede sormayı düşünebilirsiniz:

  • İşletmemin VERBİS kayıt yükümlülüğü var mı, nasıl belirlenir?
  • Hangi veri işleme faaliyetlerim için açık rıza gerekir, hangileri için gerekmez?
  • Bir veri ihlali yaşanırsa izlenecek adımlar ve süreler nelerdir?
  • Uyum çalışması sonrası düzenli bakım ve güncelleme nasıl sağlanır?
  • Hizmet kapsamı, teslim edilecek belgeler ve ücret nasıl belirlenir?

Bu platformda listelenen avukatları; uzmanlık alanı, deneyimi ve iletişim tercihleri açısından karşılaştırarak işletmenizin veya dosyanızın ihtiyacına uygun olanı seçebilirsiniz. Nihai kararı, ihtiyaçlarınızı bir avukatla birebir değerlendirdikten sonra vermeniz en sağlıklı yaklaşımdır.

Özel Nitelikli (Hassas) Kişisel Verilerin Korunması

Kanun, bazı kişisel verileri niteliği gereği daha yüksek bir koruma altına almış ve bunları özel nitelikli (hassas) kişisel veriler olarak adlandırmıştır. Bu grupta; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri yer alır. Bu verilerin hukuka aykırı işlenmesi, ilgili kişinin temel hak ve özgürlükleri bakımından çok daha ağır sonuçlar doğurabileceğinden, işlenmeleri sıkı şartlara bağlanmıştır.

Özel nitelikli verilerin işlenmesi, kural olarak ilgili kişinin açık rızasına bağlıdır; açık rıza bulunmadan bu verilerin işlenebileceği hâller, genel kişisel verilere göre daha dar biçimde ve kategoriye göre farklılaşarak düzenlenmiştir. Örneğin sağlık ve cinsel hayata ilişkin veriler, yalnızca belirli koşullarda ve sır saklama yükümlülüğü altındaki kişiler ya da yetkili kurum ve kuruluşlar tarafından işlenebilir. Ayrıca Kurul, özel nitelikli verilerin işlenmesinde alınması gereken ek teknik ve idari tedbirleri belirlemiştir; bu tedbirlerin genel verilere göre daha kapsamlı olması beklenir.

Uygulamada sağlık kuruluşları, laboratuvarlar, insan kaynakları birimleri, güvenlik hizmeti verenler ve biyometrik kimlik doğrulama kullanan işletmeler bu verilerle sıkça temas eder. Bu tür veriler işleyen kuruluşların, hem hukuki dayanağı doğru belirlemesi hem de daha yüksek güvenlik standartlarını sağlaması gerekir. Orhaneli'da özel nitelikli veri işleyen işletmelerin, bu alanı ayrı bir risk başlığı olarak ele alması ve uyum çalışmasında bu verilere özel bir bölüm ayırması yerinde olur.

KVKK Kapsamında Tazminat ve Zararın Giderilmesi

Kişisel verilerin korunmasına ilişkin ihlaller yalnızca idari yaptırım ve ceza boyutuyla sınırlı değildir; ilgili kişinin uğradığı zararların giderilmesi de ayrı bir hukuki yoldur. Kişisel verileri hukuka aykırı olarak işlenen kişi, bu nedenle bir zarara uğramışsa, genel hükümler çerçevesinde adli yargıda maddi ve manevi tazminat talep edebilir. Örneğin verilerin izinsiz yayılması sonucu itibar kaybı, ticari zarar ya da manevi acı doğmuşsa, bu zararların tazmini gündeme gelebilir.

Tazminat davası, Kurula yapılan idari şikâyetten bağımsız olarak işler; ilgili kişi hem Kurula şikâyette bulunup idari yaptırım sürecini başlatabilir hem de ayrıca zararının giderilmesi için tazminat davası açabilir. Bu iki yol birbirinin alternatifi değildir; farklı amaçlara hizmet eder. Kurul süreci ihlalin tespiti ve idari yaptırıma odaklanırken, tazminat davası doğrudan ilgili kişinin uğradığı zararın karşılanmasını hedefler. Zararın ve ihlal ile zarar arasındaki nedensellik bağının ispatı, tazminat davasında önem taşır.

Veri sorumlusu bakımından ise bu durum, bir veri ihlalinin sadece idari para cezası değil, çok sayıda ilgili kişi tarafından açılabilecek tazminat davaları riskini de içerdiği anlamına gelir. Bu nedenle veri güvenliğine ilişkin tedbirlerin alınması, yalnızca idari yaptırımdan kaçınmak için değil, olası tazminat sorumluluğunu da azaltmak için önemlidir. Orhaneli'da bir hak ihlali yaşadığını düşünen kişilerin, tazminat yolunun kendi somut zararları bakımından uygun olup olmadığını bir avukatla değerlendirmesi yerinde olur.

KVKK'nın Ceza Hukuku Boyutu

Kişisel verilerle ilgili bazı fiiller, idari yaptırımın ötesine geçerek doğrudan suç oluşturur ve ceza yargılamasına konu olur. Türk Ceza Kanunu; kişisel verilerin hukuka aykırı olarak kaydedilmesini, hukuka aykırı biçimde bir başkasına verilmesini, yayılmasını veya ele geçirilmesini ve kanunların belirlediği sürelere rağmen verilerin sistem içinde yok edilmemesini ayrı suç tipleri olarak düzenlemiştir. Bu suçlar için hapis cezaları öngörülmüş olup, fiilin kamu görevlisi tarafından ya da belirli nitelikli hâllerde işlenmesi cezayı ağırlaştırabilir.

Ceza boyutu, idari süreçten bağımsız olarak işler. Aynı olay hem Kişisel Verileri Koruma Kurulu nezdinde idari inceleme ve para cezası hem de Cumhuriyet savcılığı nezdinde ceza soruşturması doğurabilir. Bu iki süreç ayrı mercilerde, ayrı usullerle yürür; birinin sonucu diğerini kendiliğinden belirlemez. İlgili kişi, verilerinin hukuka aykırı işlendiğini düşünüyorsa savcılığa suç duyurusunda bulunabilir; veri sorumlusu ise böyle bir isnat karşısında ceza hukuku yönünden de savunma hazırlamak durumunda kalabilir.

Bu ikili yapı, kişisel verilerin korunması uyuşmazlıklarının neden yalnızca idari değil, aynı zamanda ceza hukuku bilgisi de gerektirdiğini gösterir. Bir veri sızıntısı ya da izinsiz paylaşım, hem işletme için idari ve mali risk hem de sorumlu kişiler için cezai risk taşıyabilir. Orhaneli'da faaliyet gösteren işletmelerin, veri güvenliğini yalnızca teknik bir konu değil, aynı zamanda cezai sorumluluk doğurabilecek bir yükümlülük olarak ele alması gerekir. Böyle bir isnatla karşılaşıldığında konunun bir avukatla değerlendirilmesi önemlidir.

İlgili Mevzuat

Kişisel verilerin korunması uygulamasında başvurulan temel mevzuat aşağıda özetlenmiştir. Bu düzenlemeler zaman içinde değişebildiğinden, güncel metin, ikincil düzenlemeler ve Kurul kararlarının dikkate alınması önemlidir:

  • Kişisel Verilerin Korunması Kanunu (6698)
    Kişisel veri, işleme şartları, aydınlatma yükümlülüğü, ilgili kişinin hakları, veri güvenliği, VERBİS, Kurul ve idari yaptırımlara ilişkin temel kanun.
  • Türk Ceza Kanunu (5237) — İlgili Maddeler
    Kişisel verilerin hukuka aykırı kaydedilmesi, verilmesi veya ele geçirilmesi ve verileri yok etmeme fiillerine ilişkin suç ve cezaları düzenler.
  • Türkiye Cumhuriyeti Anayasası — Özel Hayatın Gizliliği
    Herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkını temel bir hak olarak güvence altına alan anayasal düzenleme.
  • İkincil Düzenlemeler (Yönetmelik ve Tebliğler)
    Veri sorumluları sicili, aydınlatma yükümlülüğü, veri güvenliği ve imha süreçlerine ilişkin yönetmelik, tebliğ ve Kurul kararları.
  • Elektronik Ticaret ve Ticari İletişim Mevzuatı
    Ticari elektronik ileti gönderimi, onay ve ret hakları gibi konularda kişisel verilerin korunması ile birlikte değerlendirilen düzenlemeler.

Mevzuatın yanı sıra Kişisel Verileri Koruma Kurulunun kararları ve rehberleri de uygulamayı önemli ölçüde şekillendirir. Özellikle açık rızanın geçerliliği, veri ihlali bildirimi, VERBİS istisnaları ve idari para cezalarının belirlenmesi gibi konularda Kurul kararlarının izlenmesi, uyumun doğru sürdürülmesi için gereklidir. Güncel mevzuat ve karar değerlendirmesi için bir avukattan destek almanız önerilir.

Emsal Kurul Kararları ve İlkeler

Aşağıdaki başlıklar, kişisel verilerin korunması alanında Kurul uygulamasında öne çıkan bazı ilkeleri genel biçimde özetler. Bunlar bilgilendirme amaçlıdır; her dosyanın kendi koşulları farklı sonuç doğurabilir:

İlke · Açık Rızanın Özgürlüğü

Bir hizmetin veya işlemin ön koşulu hâline getirilerek alınan ya da geri alınması zorlaştırılan rıza, özgür iradeyle verilmiş sayılmayabilir; bu durumda işleme geçerli bir rızaya dayanmayabilir.

İlke · Aydınlatma ve Rızanın Ayrılığı

Aydınlatma yükümlülüğü ile açık rıza farklı hukuki kurumlardır; bunların tek metinde iç içe geçirilmesi, rızanın geçerliliğini ve aydınlatmanın yeterliliğini tartışmalı hâle getirebilir.

İlke · Veri Güvenliği Tedbirleri

Veri sorumlusundan, işlediği verinin niteliği ve riskiyle orantılı teknik ve idari tedbirleri alması beklenir; yetersiz güvenlik nedeniyle gerçekleşen ihlaller sorumluluk doğurabilir.

İlke · Amaçla Bağlılık ve Ölçülülük

Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla; bu amaçla bağlantılı, sınırlı ve ölçülü biçimde işlenebilir. Amaç dışı veya aşırı veri toplama hukuka aykırı sayılabilir.

Bu ilkeler, Kurul kararlarının yıllar içinde ortaya koyduğu genel eğilimleri yansıtır ve mevzuat ile uygulama değişiklikleriyle güncellenebilir. Somut olayınıza uygulanabilecek güncel kararların değerlendirilmesi, uzmanlık ve dikkat gerektiren bir iştir. Bu nedenle işletmeniz veya dosyanız için bir avukattan güncel karar analizi almanız yerinde olur.

Sıkça Sorulan Sorular

Orhaneli'da bir işletme VERBİS'e kayıt olmak zorunda mı?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı, kural olarak kişisel veri işleyen veri sorumluları için öngörülmüş bir yükümlülüktür; ancak Kişisel Verileri Koruma Kurulu belirli kriterlere (yıllık çalışan sayısı, yıllık mali bilanço toplamı, ana faaliyet konusu gibi) göre kimlerin kayıttan istisna tutulacağını belirlemiştir. Bu nedenle Orhaneli'da faaliyet gösteren her işletme otomatik olarak kayıt yükümlüsü değildir; önce işletmenin işlediği veri türü, ölçeği ve faaliyet alanı değerlendirilmelidir. Kayıt yükümlüsü olduğu hâlde süresinde VERBİS'e kayıt olmamak idari para cezasına konu olabildiğinden, durumun bir avukat veya uyum uzmanıyla netleştirilmesi yerinde olur.

Açık rıza her veri işleme için gerekli midir?

Hayır. Kişisel verilerin işlenmesi için açık rıza yalnızca işleme şartlarından biridir; kanunda sayılan diğer şartlardan biri varsa açık rıza aranmaz. Örneğin bir kanunda açıkça öngörülmesi, sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi ya da meşru menfaatin bulunması gibi hâllerde açık rıza olmadan da veri işlenebilir. Uygulamada sık yapılan hata, her işleme için baştan açık rıza almaya çalışmaktır; oysa geçerli başka bir şart varken alınan rıza gereksiz olduğu gibi yanıltıcı da olabilir. Orhaneli'daki işletmelerin her veri işleme faaliyeti için doğru hukuki dayanağı ayrı ayrı belirlemesi gerekir.

Veri ihlali (data breach) yaşandığında ne kadar sürede bildirim yapılmalı?

İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi hâlinde veri sorumlusu, bu durumu öğrendiği tarihten itibaren en kısa sürede ve Kurul düzenlemeleri çerçevesinde kural olarak yetmiş iki saat içinde Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Ayrıca ihlalden etkilenen ilgili kişilerin de makul en kısa sürede bilgilendirilmesi gerekir. Bildirimin gecikmesi ya da hiç yapılmaması ağır sonuçlar doğurabileceğinden, ihlal fark edilir edilmez teknik ve hukuki bir müdahale planının devreye alınması önemlidir. Orhaneli'da faaliyet gösteren veri sorumlularının, olası bir ihlale karşı önceden bir müdahale prosedürü hazırlamış olması bu süreyi yönetmelerini kolaylaştırır.

İlgili kişi olarak verilerimin silinmesini nasıl talep ederim?

Kişisel verilerinin işlenip işlenmediğini öğrenme, işleme amacını sorma, yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme, verilerin düzeltilmesini, silinmesini veya yok edilmesini isteme gibi haklarınız kanunla güvence altına alınmıştır. Bu haklarınızı kullanmak için önce veri sorumlusuna yazılı olarak veya Kurulun belirlediği yöntemlerle başvurmanız gerekir. Veri sorumlusu, başvuruyu kural olarak en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Başvuru reddedilir, cevap yetersiz bulunur ya da süresinde cevap verilmezse, Kurula şikâyet yolu açılır. Orhaneli'da bir hak ihlali yaşadığınızı düşünüyorsanız süreç önce veri sorumlusuna başvuruyla başlar.

KVKK'ya aykırılık hâlinde ne kadar idari para cezası uygulanır?

Kanunda; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklere uyulmaması, Kurul kararlarının yerine getirilmemesi ve VERBİS'e kayıt ile bildirim yükümlülüğüne aykırılık gibi farklı ihlaller için farklı alt ve üst sınırlara sahip idari para cezaları öngörülmüştür. Bu tutarlar her yıl yeniden değerleme oranında güncellendiğinden, güncel miktarlar için Kurulun ilgili yıla ait duyurularına bakılması gerekir. Cezanın miktarı; ihlalin niteliği, süresi, etkilediği kişi sayısı ve veri sorumlusunun kusuru gibi ölçütlere göre belirlenir. Bu nedenle bir ceza kararı öncesinde ve sonrasında hukuki değerlendirme yapılması önemlidir.

KVKK ihlaline karşı hangi mercie başvurulur?

Kişisel verilerin korunmasına ilişkin uyuşmazlıklarda idari denetim ve yaptırım mercii, bağımsız bir idari otorite olan Kişisel Verileri Koruma Kuruludur. İlgili kişi, veri sorumlusuna başvurusu sonuçsuz kalırsa Kurula şikâyette bulunur; Kurul inceleme yaparak idari para cezası dâhil çeşitli yaptırımlara karar verebilir. Kurulun idari işlemlerine karşı ise idari yargıda iptal davası açılabilir. Kişisel verilerin hukuka aykırı işlenmesi aynı zamanda maddi/manevi zarara yol açmışsa adli yargıda tazminat, suç oluşturuyorsa ceza yargılaması da gündeme gelebilir. Orhaneli bakımından bu yollar, uyuşmazlığın niteliğine göre ayrı ayrı işletilir; Bursa Adliyesi yargı çevresi adli işler için referanstır.

Aydınlatma metni ile açık rıza metni aynı şey midir?

Hayır, bunlar birbirinden farklı ve karıştırılmaması gereken belgelerdir. Aydınlatma metni, veri sorumlusunun kimliği, verilerin hangi amaçla işlendiği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları hakkında bilgi vermek amacıyla, veri işlenmeden önce sunulan bir bilgilendirmedir ve rıza gerektirmez. Açık rıza metni ise yalnızca işlemenin hukuki dayanağının rıza olduğu hâllerde, kişinin belirli bir konuda bilgilendirilerek özgür iradesiyle onay verdiği ayrı bir beyandır. Bu iki belgenin tek bir metinde iç içe geçirilmesi, rızanın geçerliliğini tartışmalı hâle getirebilir; bu nedenle ayrı düzenlenmeleri önerilir.

Kişisel verilerin yurt dışına aktarılması mümkün müdür?

Kişisel verilerin yurt dışına aktarılması kanunda özel şartlara bağlanmıştır ve serbestçe yapılamaz. Aktarımın hukuka uygun olabilmesi için, kural olarak işleme şartlarından birinin bulunması ve mevzuatta öngörülen güvence mekanizmalarının (yeterli koruma sağlayan ülke listesi, taahhütnameler, bağlayıcı şirket kuralları veya kanunda sayılan istisnai hâller gibi) sağlanması gerekir. Uluslararası veri aktarımlarına ilişkin kurallar zaman içinde güncellenmekte olduğundan, bulut hizmeti, yurt dışı merkezli yazılımlar veya grup şirketleri arasındaki aktarımlar özel dikkat gerektirir. Orhaneli'daki işletmelerin yurt dışına veri aktaran her süreci ayrı bir uyum değerlendirmesinden geçirmesi gerekir.

Orhaneli'da KVKK uyum süreci ne kadar sürer ve neleri kapsar?

KVKK uyum süreci; işletmenin büyüklüğüne, işlediği veri türü ve hacmine, iş süreçlerinin karmaşıklığına ve mevcut altyapısına göre değişen bir çalışmadır ve tek seferlik değil, süreklilik gerektiren bir uyum yönetimidir. Genellikle veri envanterinin çıkarılması, işleme faaliyetlerinin hukuki dayanağa oturtulması, aydınlatma ve rıza metinlerinin hazırlanması, kişisel veri saklama ve imha politikasının oluşturulması, VERBİS kaydının yapılması, teknik ve idari güvenlik tedbirlerinin alınması ve çalışanların bilinçlendirilmesi adımlarını içerir. Orhaneli, Bursa bölgesindeki işletmeler, bu çalışmayı KVKK alanında hizmet veren bir avukat ve teknik ekiple birlikte yürüterek riski azaltabilir.

Kişisel verilerin hukuka aykırı işlenmesi suç oluşturur mu?

Evet, kişisel verilerle ilgili bazı fiiller yalnızca idari yaptırıma değil, ceza yargılamasına da konu olabilir. Türk Ceza Kanunu; kişisel verilerin hukuka aykırı olarak kaydedilmesini, hukuka aykırı biçimde başkasına verilmesini, yayılmasını veya ele geçirilmesini ve kanunların belirlediği sürelere rağmen verilerin yok edilmemesini ayrı suç tipleri olarak düzenlemiştir. Bu suçlar için hapis cezaları öngörülmüştür ve idari para cezasından bağımsız olarak işler. Dolayısıyla bir veri ihlali hem Kurul nezdinde idari süreç hem de savcılık nezdinde ceza soruşturması doğurabilir. Bu ikili boyut nedeniyle KVKK uyuşmazlıklarında hem idare hukuku hem ceza hukuku yönüyle değerlendirme yapılması önemlidir.

Bu içerik genel bilgilendirme amacıyla hukuki kaynaklara dayanılarak derlenmiştir; hukuki danışmanlık niteliği taşımaz ve somut olayın özelliklerine göre sonuç değişebilir. Bağlayıcı değerlendirme için bir avukata başvurunuz.

İlgili Aramalar