Mersin Deniz Ticaret Odası’nın kasım ayı meclis toplantısına katılan İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Av. Hasan Selçuk Turan MDTO Meclisine Kişisel Verilerin Korunması Kanunu ile ilgili önemli bilgiler aktardı.

Gelişen teknoloji ile kişisel veriler birçok platformda kolaylıkla işlenebilir ve paylaşılabilir hale geldiğinden özel hayatın gizliliğinin koruması her gün daha önemli hale geliyor. 2016 yılında Resmi Gazete’de yayımlanan ancak yönetmelikleri 2018 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) kimlik detaylarımızdan parmak izimize, banka ve kredi kartı bilgilerimizden sağlık verilerimize kadar her türlü kişisel bilginin korunma hakkını güvence altına alıyor.

Küçük ya da büyük ölçekli tüm şirketler ile onların yöneticilerini sorumluluk altına sokan bu kanun, işletmeler açısından yeni bir dönem anlamına geliyor ve işletmelerin bu düzenlemeye uygun hareket etmesi büyük önem taşıyor.

Konunun önemi nedeniyle, MDTO Meclis Üyelerine bilgi vermek amacıyla kasım ayı meclis toplantısına İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Av. Hasan Selçuk Turan davet edildi.

Kişisel verilerin korunması hukukunun yanı sıra Bilişim ve Teknoloji Hukuku konusunda da uzmanlığı bulunan Av. Hasan Selçuk Turan söz konusu kanun hakkında bilgi vererek, mevzuata uyum sürecinde yapılması gerekenleri anlattı. 

Kanunun kişisel verileri kullananlar ile verileri kullanılanlar arasındaki hak ve yükümlülükleri düzenlediğini belirten Turan, kanunda ayrıca bu verilerin kullanılmasında uygulanacak kuralların, verileri işlenenlerin hak arama yollarının ve kurallara aykırı hareket edenlere verilecek cezaların belirlendiğini söyledi. Turan, temel hak ve özgürlüklerin, kişinin mahremiyet hakkının, bilgi güvenliği hakkının korunması ile kişisel verilerin kullanılmasının disiplin altına alınması açısından önemli olduğunu belirtti.

“Kişisel Veri” tanımının çok geniş olduğunu dile getiren Turan, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak kabul edildiğini belirterek TC kimlik numaralarından imzaladığınız evrakların numarasına, hazirun cetvellerine kadar pek çok bilginin hukuka uygun olarak işlenmesi gerektiğini ifade etti.

Kanunun bir tarafında kişisel verileri işlenen “gerçek kişi”nin bulunduğunu söyleyen Turan, söz konusu kanunun yaşamayan insanla ilgilenmediğini ve vefat eden bir kişi için KVKK’nın uygulanamayacağını vurguladı.

Özel Nitelikli Veriler

Her verinin aynı nitelikte kabul edilmediğine dikkat çeken Av. Hasan Selçuk Turan, “Bir de özel nitelikli veriler var. Bunlar kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bu veriler, Avrupa Birliği mevzuatında da hassas veri (sensitive data) olarak tanımlanmıştır. Bu veriler başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları sebebiyle özel nitelikli olarak kabul edilmişlerdir. Özel nitelikli veriler ile özel nitelikli olmayan veriler için uygulanan kurallar birbirinden farklıdır. Her ikisi ayrı ayrı değerlendirilir” diye konuştu.

Parmak izi, avuç içi (hastaneler hariç) ve yüz tanıma uygulamalarının biyometrik veri olarak tanımlandığını bildiren Turan, bu uygulamaların işyerlerinde kullanılamayacağını ve bu uygulamalarla çalışan kontrolü yapılamayacağını ifade etti.

Geçiş Süreci

Söz konusu kanunla ilgili bir geçiş süreci olduğunu anlatan Turan, “Bu kanun 7 Nisan 2016’da Resmi Gazete’de yayımlandı fakat kanunun tüm maddelerinin yürürlüğe girmesi 7 Nisan 2018 tarihidir. Kanundaki bazı maddelerin yürürlüğü 6 ay sonra başlamıştır, bazı maddeler içinse geçiş süreci vardır. En önemli geçiş maddelerinden biri kanundan önce işlenmesi için rıza alınmış veriler, 1 yıl içinde rıza geri alınmadığı takdirde bu yeni kanuna uygun kabul edilecektir.  Bu neden önemlidir? Çünkü yeni kanun bu rızaların alınmasını çok zorlaştırıyor ve bazı şartlar getiriyor” şeklinde konuştu. Turan konuşmasına şöyle devam etti:

“Bir diğer geçiş maddesi ise hukuka uygun olan fakat yeni kanunun çıkması ile hukuka aykırı hale gelen kişisel verilerin hukuka uygun hale getirilmesidir. Bunun için 2 yıllık süre tanınmıştı. Bu süre bitiyor. Biz şu anda VERBİS’e (Veri Sorumluları Sicili) kayıt yükümlülüğünün yerine getirilmesi sürecindeyiz.

İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Av. Hasan Selçuk Turan sunumunda kişisel verilerin işlenme şartları hakkında da bilgi verdi. Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi veri işleme olarak tanımlayan Turan, “Diyelim ki bir veri kayıt sisteminiz var. Cep telefonunuzun rehberine kayıt yapmış ya da verileri USB belleğe kaydetmiş olabilirsiniz ve yurt dışına çıktınız. Bu da kişisel veri işlemedir” dedi.

Verilerin dijital ve fiziksel ortamda olanlar olarak ikiye ayrıldığını hatırlatan Turan, “Dijital ortamda olanlar için herhangi bir kısıtlama olmadan yapılan her türlü işlem kişisel veri işlemedir. Fakat fiziksel ortamın bir farklılığı vardır. Örneğin bir CV aldınız, masanıza koydunuz, incelediniz ve yok ettiniz. Bu bir kişisel veri işleme değildir. Ancak iki ve daha fazla CV varsa bu kişisel veri işleme kabul edilir. Tek/tekli olan fiiller, kanun kapsamı dışına çıkarılmıştır.  Sizin blok halinde dosyalama faaliyeti ile yaptığınız işler kanun kapsamına girer.

Bu kanun ve bu uygulamalar bizim getirdiğimiz uygulamalar değildir. Bu kanun Avrupa Birliği’nde de uygulanmaktadır ve bu kanun zaten AB uyum yasaları kapsamında çıkarılmıştır” ifadelerini kullandı.   

Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişinin yasada veri sorumlusu olarak tanımlandığını söyleyen Turan, kanunda taraflardan birinin ilgili kişi/gerçek olduğunu hatırlatarak diğer tarafın da verileri işleyen veri sorumlusu olduğunu belirtti.  Verileri işlerken 5 ana ilkeye uyulması gerektiğine dikkat çeken Turan, bu ilkeleri şöyle sıraladı:

 • Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir
 • Kişisel veriler doğru ve gerektiğinde güncel olmalıdır
 • Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir
 • Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
 • Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir

Kişisel veri işlemek için amacın dar kapsamlı olması gerektiğini vurgulayan Turan, “Amacınızı şirket faaliyeti yürütmek olarak tanımlayamazsınız. Zaten bütün şirketlerin amacı faaliyetlerini yürütmektir.  Siz insanların adı, soyadını, telefon numarasını alıyorsanız sizin bir amacınız olması gerekir. Kişiye e-posta göndereceksinizdir ya da çalışanınıza tebligatta bulunacaksınızdır. O zaman kişisel verileri toplama amacınızı bu şekilde tanımlamalısınız” dedi.  

“Yapılan işlemle faaliyet alanınızın örtüşmesi gerekir”

Yapılan işlemle faaliyet alanının örtüşmesi gerektiği uyarısında bulunan Turan, “Örneğin çağrı merkezleri ile görüşmelerde güvenlik için kişiden anne kızlık soyadı isteniyor. Acaba gerçekten o seviyede bir güvenliğe ihtiyaç var mı? Meşruluğu orada değerlendirmek lazım” diye konuştu.

İşlenen kişisel verilerin amaçla bağlantılı, sınırlı ve ölçülü olması gerektiğini anlatan Turan, şunları söyledi:

“İşyerinize personel alacaksınız. Kişinin ehliyeti olup olmadığını soruyorsunuz. Oysa yapılacak işin kişinin ehliyeti olup olmaması ile ilgisi yok.  O halde isteyemezsiniz. Nüfus cüzdanı fotokopisi isteyebilirsiniz ancak arkası sayfası ile ne işiniz var? İnternetten alışveriş yapıyorsunuz. T.C. kimlik numaranız isteniyor. Giriyorsunuz.  Oysa yapılan işlem 5 bin liranın altında ise T.C. kimlik numarası girmenize gerek yok. Ama hiç sorgulamadan giriyoruz. Buna zorlayan kurumları şikayet etmeniz gerekir.”

“Kişilerden istenilen veriler ölçülü olmalıdır. Çalışanların doğum yeri bilgisini neden istiyorsunuz? Doğum yerine bakarak işe alıyorsanız ayrımcılık yapıyorsunuz demektir. O zaman da ayrımcılık yasası devreye girer. Ölçülü olmak, gerektiği kadar bilgi istemek demektir.  Kişinin evli olup olmaması işe alım açısından karar vermenizde etkili olmuyorsa medeni durum bilgisi sormayacaksınız, bu bilginin çoğu yerde önemi yoktur. “

“Biyometrik veriler ancak açık rıza ile alınabilir”

Yasaya göre kişisel verileri işlenen kişilerin aydınlatılması gerektiğini bildiren Turan, veriler alınırken aydınlatma metninin verilmesi gerektiğini, aydınlatma metninde veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği vb. bilgilerin bulunması gerektiğini kaydetti.

Bazı işlemlerin ancak açık rıza ile yapılabileceğinin altını çizen Turan, açık rıza kavramını “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlayarak biyometrik verilerin ancak açık rıza ile alınabileceğini söyledi.

Kişisel Veri İşleme Şartları

Kişisel verilerin hangi durumlarda işlenebileceğini detaylı olarak açıklayan Hasan Selçuk Turan, konuya ilişkin dikkat çekici örnekler vererek şunları söyledi:

“Birinci kural açık rızadır. Her türlü durumda açık rıza ile kişisel veriler işlenebilir. Özel nitelikli kişisel veriler söz konusu olduğunda, kişinin açık rızası yoksa ya da açık rızası geçersizse yani özgür iradesi yoksa, o zaman sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde işlenebilir.

“Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin, yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.”

“Çalışanların sağlık raporlarına sadece doktorlar bakabilir”

“Bu konuya iş hayatından bir örnek verelim. Çalışanların sağlık raporlarına sadece doktorlar bakabilir. İK’cılar raporlara bakamaz ve kişilerin özlük dosyalarında bu raporları saklayamazlar.  Saklıyorlarsa hukuka aykırı davranmış olurlar.  Bir başka örnek; iş ilanında adli sicil kaydının isteneceğini belirtmemişseniz, sonradan adli sicil kaydı isteyemezsiniz. İşlediğiniz verilerin ölçülü olması gerekir. Örneğin işyerinde sesli kamera kaydı yapamazsınız.”

“Özel nitelikli olmayan verilerin işlenebilmesi için ise,

 • Kanunlarda açıkça öngörülmesi
 • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
 • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
 • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
 • İlgili kişinin kendisi tarafından alenileştirilmiş olması
 • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
 • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartları aranır”

Kanuna uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiğini söyleyen Turan, sunumunda kanun kapsamında suç kabul edilen eylemler için uygulanacak cezaları da anlattı. Suçların şahsi olduğunu belirten Turan, “İdari para cezaları veri sorumlusuna gelir ama suçlar şahsidir. Yani şirkette suçu kim işliyorsa cezalandırılır, emri kim veriyorsa azmettirme suçuyla o cezalandırılır” diye konuştu.

Suç Kişiler Faile Özgü Ceza*
Kişisel verileri kaydetmek (TCK 135/1) 1-3 yıl 1 yıl 6 ay – 4 yıl 6 ay
Nitelikli kişisel verileri kaydetmek (TCK 135/2) 1 yıl 6 ay – 4 yıl 6 ay 2 yıl 3 ay – 6 yıl 9 ay
Kişisel verileri başkasına vermek, yaymak veya ele geçirmek (TCK 136/1) 2 – 4 yıl hapis 3 – 6 yıl
Verileri yok etmeme (TCK 138/1)  1 – 2 yıl hapis  1 – 2 yıl

İdari Para Cezaları

Kabahat Alt Limit Üst Limit
Kanun 2019* Kanun 2019*
Aydınlatma yükümlülüğünü yerine getirmemek 5.000 7.350 100.000 147.000
Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek 15.000 22.050 1.000.000 1.470.000
Kurul tarafından verilen kararları yerine getirmemek 25.000 36.750 1.000.000 1.470.000
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etmek  20.000 29.400 1.000.000 1.470.000

VERBİS’e Kayıt Zorunluluğu

Sunumunun sonunda VERBİS- Veri sorumluları sicili hakkında bilgi veren Turan, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce kaydolmak zorunda oldukları kamuya açık sicil sistemine son kayıt tarihinin 31 Aralık 2019 olduğunu bildirdi. 25 milyon TL mali bilanço toplamı olan veya çalışan sayısı 50’den fazla olan işverenlerin sisteme kaydolmak zorunda olduğunu vurgulayan Turan, sicile kayıt olunduğunda bir “Kişisel Veri İşleme Envanteri ve Kişisel Veri İmha Politikası”nın oluşturulması gerektiğini kaydetti.

Herhangi bir şikayet durumunda izlenecek başvuru süreci hakkında da bilgi veren Av. Hasan Selçuk Turan, öncelikle veri sorumlusuna başvurulması gerektiğini ifade etti. Turan şunları söyledi:

“Başvurudan sonra 30 gün içinde cevap verilmesi gerekir. Eğer cevaptan memnun değilseniz ya da belirtilen süre içinde cevap alamamışsanız Kurul’a şikayet edebilirsiniz. Kurul da 60 gün içerisinde cevap vermekle yükümlüdür. Kurul’dan bir cevap gelmezse şikayet reddedilmiş sayılır. Kurul incelemenin devam ettiğini bildirebilir. Bu durumda süre uzar.”

Bunların dışında suç duyurusu, tazminat davası gibi diğer hukuki yöntemlere de başvurulabileceğini açıklayan Turan, diğer yöntemlere oranla Kurul kararlarının karar sürelerini kısaltacağını söyledi.