HUKUKSAL YARDIM

Kişisel Verilerin Korunması Kanunu ve Cezalar

Kişisel Verilerin Korunması Kanunu, 7 Kasım 2016 tarihi itibariyle veri sorumlularının Bu Kanun kapsamında cezai sorumluluğunu doğuracak şekilde düzenlenmiştir.

Kanun veri sorumlusunu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi şeklinde tanımlamıştır.

Veri işlenmesini ise, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlamıştır.

Kişisel Verilerin Korunması Kanunu Kapsamında Olan Kişisel Veriler

Kişisel Verilerin Korunması Kanunu m.3/e’de kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlanmıştır.

Madde gerekçesinde,  “…Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.  Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin aklî, psikolojik, fizikî, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir...”  şeklinde ifade edilerek kişisel verinin daha geniş bir şekilde tanımı yapılmıştır.

Bu bağlamda, gerçek kişiyle ilişkilendirebilen her türlü bilginin kişisel veri olarak nitelendirebilecek olmasından dolayı kişisel veri teriminin kapsamı oldukça geniştir.

Kişisel Verilerin Korunması Kanunu Uyarınca Kişisel Verilerin İşlenmesi

Kişisel Veriler İşlenirken Uyulması Gereken İlkeler

Kişisel veriler;

  1. Hukuka ve dürüstlük kurallarına uygun,
  2. Doğru ve gerektiğinde güncel olarak,
  3. Belirli, açık ve meşru amaçlar için,
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü,
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecek şekilde işlenmelidir.

Kişisel Verilerin İşlenme Şartları

Kanun kişisel verilerin işlenme şartları açısından verileri, özel nitelikli ve genel nitelikli kişisel veriler olarak ayrıma tutmuştur.

Bu bağlamda genel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmadan işlenemeyeceğini ifade etmekle beraber bazı durumda bu verilerin açık rıza olmadan da işlenebileceğini belirtmiştir.

Genel Nitelikli Kişisel Verilerin Açık Rıza Olmadan İşlenebileceği Haller

Genel nitelikli kişisel veriler aşağıda belirtilen hallerde, ilgili kişinin açık rızası olmadan işlenebilir. Bu haller;

  • Açık rızanın aranmayacağının Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarıdır.

Kişisel Verileri Koruma Kanunu ‘ na Göre Özel Nitelikli Kişisel Veriler

Kişisel Verilerin Korunması Kanunu m.6/1’e göre özel nitelikli kişisel veriler, Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler kural olarak, kişilerin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki özel kişisel veriler, kanunun açıkça öngördüğü hallerde ilgili kişinin açık rızası aranmadan işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bununla birlikte özel nitelikte kişisel verilerin incelenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kişisel Verilerin Korunması Kanunu Uyarınca Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

Kişisel Verilerin Korunması Kanunu m.7’ye göre, Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesi yönetmelikte imha olarak ifade edilmiştir.

Bu bağlamda KVKK m.16’ya göre Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.(Yönetmelik m.5/1)

Ancak bu politikaları hazırlama yükümlülüğü bulunmayan veri sorumlularının, KVKK ve Yönetmelik uyarınca kişisel verileri saklama, yok etme, silme veya anonim hale getirme yükümlülüğü devam eder.(Yönetmelik m.5/3)

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.(Yönetmelik m.7/3)

Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.(Yönetmelik m.7/4)

Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.(Yönetmelik m.7/5)

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.(Yönetmelik m.8)

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.(Yönetmelik m.9)

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.(Yönetmelik m.10/1,2)

Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.(Yönetmelik m.10/3)

Veri Sorumlusunun Kendiliğinden veya Talep Halinde Verileri Silme, Yok Etme ve Anonim Hale Getirme İşlemlerini Kişisel Verilerin Korunması Kanunu Uyarınca Yapması Gereken Süreler

Veri Sorumlusunun Kendiliğinden Silme, Yok Etme ve Anonim Hale Getirme İşlemlerini Yapması Gereken Süre

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.(Yönetmelik m.11/1)

Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. (Yönetmelik m.11/2)

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. .(Yönetmelik m.11/3)

Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.(Yönetmelik m.11/4)

Veri Sorumlusunun İlgili Kişinin Talep Etmesi Halinde Silme ve Yok Etme İşlemlerini Yapması Gereken Süre

İlgili kişi, KVKK 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca KVKK 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verilerin Aktarılması

Kişisel veriler kural olarak ilgili kişinin rızası olmaksızın aktarılamaz. Ancak genel nitelikli ve özel nitelikli kişisel verilerin yukarıda belirtilmiş olan açık rıza aranmadan işlenebileceği hallerden birinin bulunması durumunda, yine açık rıza aranmadan aktarılması da mümkündür. Bununla birlikte kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak genel nitelikli ve özel nitelikli kişisel verilerin yukarıda belirtilmiş olan açık rıza aranmadan işlenebileceği hallerden birinin bulunması durumunda ve ayrıca kişisel verinin aktarılacağı yabancı ülkede;

  • Yeterli korumanın bulunması,
  • Yahut Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Kişisel Verileri Koruma Kurulu, yeterli korunmanın bulunup bulunmadığını belirlerken ve yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmeleri halinde yurt dışına veri aktarılmasına izin verirken aşağıda belirtilen kriterleri baz alarak karar verir. Bunlar;

  • Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
  • Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
  • Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
  • Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
  • Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemlerdir.

Kişisel Verileri Koruma Kurulu, bu kriterleri değerlendirerek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel Verilerin Korunması Kanunu Uyarınca Veri Sorumlusunun Yükümlülükleri

Aydınlatma Yükümlülüğü

KVKK m.10’a göre Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kişisel verisi işlenen ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür.

Veri Güvenliğine İlişkin Yükümlülükler

Kişisel Verilerin Korunması Kanunu m.12’ye göre Veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu başlıkta belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Kişisel Verilerin Korunması Kanunu Uyarınca Kişisel Verileri İşlenen veya İlgili Kişilerin Hakları

Kişisel Verilerin Korunması Kanunu m.11’e göre herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektirir sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesi ve kişisel verilerin işlenmesi gerektirir sebeplerin ortadan kalkmasıyla silinmesi veya yok edilmesi işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel Verilerin Korunması Kanunu Uyarınca Veri Sorumlusuna Başvuru ve Kurula Şikayet

Veri Sorumlusuna Başvuru

İlgili kişi, Kişisel Verilerin Korunması Kanunu ile ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kişisel Verileri Koruma Kuruluna Şikayet

Veri sorumlusuna başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya otuz gün içinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Veri sorumlusuna başvurulmadan, doğrudan Kurula şikayet yolu kullanılamaz.

KVKK m.14/3’e göre, kişilik hakları ihlal edilenlerin, ayrıca genel hükümlere göre tazminat hakkı saklıdır. Bu bağlamda kişilik hakları ihlal edilenler, veri sorumlusunun hukuki statüsüne göre, idari yahut adli yargıda dava açabileceklerdir.

Şikayet Üzerine Yahut Kendiliğinden Kurul Tarafından İncelemenin Usul ve Esasları

KVKK m.15’e göre Kurul, şikayet üzerine ve ihlal iddiasını öğrenmesi durumunda kendiliğinden, görev alanına giren konularda gerekli incelemeyi yapar.

İhbar ve şikayet dilekçeleri, belirli bir konuyu ihtiva etmezse, yargı mercilerinin görevine giren konularla ilgili olursa, dilekçe sahibinin adı, soyadı, imzası ile iş veya ikamet adresini içermezlerse incelemeye alınmaz.

Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

Veri Sorumluları Sicili

KVKK m.16’ya göre, Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

Kişisel Verilerin Korunması Kanunu Uyarınca Veri Sorumluları Siciline Kayıt Başvurusu

Veri sorumlularına siciline kayıt başvurusu, aşağıdaki hususları içeren bir bildirimle yapılır.

  1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
  2. Kişisel verilerin hangi amaçla işleneceği.
  3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
  4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
  5. Yabancı ülkelere aktarımı öngörülen kişisel veriler.
  6. Kişisel veri güvenliğine ilişkin alınan tedbirler.
  7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Bu şekilde yedi madde halinde bildirilen bilgilerden herhangi birinde değişiklik olması halinde, meydana gelen değişiklik derhal Kurula bildirilir.

Kişisel Verilerin Korunması Kanunu’ na Aykırılık Nedeniyle Hapis ve İdari Para Cezası

Hapis Cezası

Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu m.135 ila 140. madde hükümleri uygulanır.

Kişisel Verilerin Korunması Kanunu m.7 uyarınca kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında TCK m.138 hükmü uygulanır.

TCK m.135 Kişisel Verilerin Kaydedilmesi

Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

TCK m.136 Verileri Hukuka Aykırı Olarak Verme Veya Ele Geçirme

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

TCK m.137 Nitelikli Haller

Yukarıdaki maddelerde tanımlanan suçların;

  1. a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
  2. b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

TCK m.138 Verileri Yok Etmeme

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

TCK m.139 Şikayet

Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

TCK m.140 Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması

Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

Kişisel Verileri Koruma Kanunu Uyarınca İdari Para Cezaları

  • KVKK m.10’da belirtilen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • KVKK m.12’de öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • KVKK m.15 uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • KVKK m.16’da öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

İdari para cezası verilmesini gerektiren eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Kişisel Verileri Koruma Kurulu Kararları

Banka Tarafından Kredi Kartının İlgili Kişinin Rızası Dışında Üçüncü Kişilere Teslim Edilmesinin Kişisel Verilerin Korunması Kanuna’ na Aykırılık İçerdiğine İlişkin

Karar Tarihi : 16/01/2020
Karar No : 2020/32
Konu Özeti : İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi

İlgili kişi tarafından Kurumumuza intikal eden şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğu belirtilmekte olup, Banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Yapılan incelemede kişinin yenilenen kredi kartının Banka sisteminde kayıtlı bulunan birinci adresine Kurye tarafından dağıtıma çıkarıldığı ancak kişiye ulaşılamadığı, kayıtlı telefon numarasına da Kurye Şirketi tarafından bilgilendirme SMS’lerinin gönderildiği ancak telefon numarasının servis dışı olması sebebiyle SMS’lerin kişiye iletilemediği, birinci adrese teslimat sağlanamadığından Banka sisteminde kayıtlı bulunan ikinci adrese dağıtıma gidildiği ve kartın burada bir kişiye teslim edildiği ancak teslim statüsünün hatalı olması sebebiyle kişiye SMS ile bilgilendirme yapılmadığı, daha sonra kişinin müşteri iletişim merkezi ile yaptığı görüşmelerde kredi kartının aslında birinci adrese teslim edildiğinin sisteme işlendiği, bu adresin doğru olduğu ancak teslim edilen kişinin tanınmıyor olmasının beyan edilmesi üzerine kartın güvenlik altına alınarak kapatıldığı, kartın aslında kişinin ikinci adresi olan eski işyeri adresine teslim edildiği anlaşılmıştır.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 16/01/2020 tarih ve 2020/32 sayılı kararı ile,

  • Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellememiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı, Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,
  • Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı, söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve Kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan Kurye’nin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı,
  • Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamındaveri sorumlusu olduğu,
  • Öte yandan somut olayda Banka ile Kurye arasında imzalanan sözleşme kapsamında Kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun Banka ve Kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu,
  • Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,

değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine

karar vermiştir.

Eğitim Kurumu Tarafından İlgili Kişinin Cep Telefonu Numarasının Herhangi Bir Veri İşleme Şartına Dayanmaksızın İşlenmesi Ve İlgili Numaraya Reklam/bilgilendirme İçerikli Mesaj Gönderilmesine İlişkin

Karar Tarihi : 14/01/2019
Karar No :2020/20
Konu Özeti : Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında


İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 14/01/2020 tarih ve 2020/20 sayılı Kararı ile

Eğitim Kurumundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuz yazısının işyerinde daimi çalışana teslim edilmesine rağmen, veri sorumlusu tarafından gerek ilgili kişiye gerek Kurumumuza bahse konu başvuru kapsamında herhangi bir cevap verilmediği dikkate alınarak, mevcut bilgi ve belgeler bir bütün halinde değerlendirildiğinde; Eğitim Kurumu tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle, Kanun’un 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Eğitim Kurumu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

İlgili Kişi İle Veri Sorumlusu Şirket Arasında Gerçekleştirilen Telefon Görüşmelerine İlişkin Kayıtların İlgili Kişiye Verilmesi Yönündeki Talebin Reddedilmesinin Kişisel Verileri Koruma Kanunu ‘ na Aykırı Olduğuna İlişkin

Karar Tarihi : 14/01/2020
Karar No : 2020/13
Konu Özeti : Sermaye piyasası mevzuatı çerçevesinde, veri sorumlusu şirket ile ilgili kişi arasında imzalanan aracılık sözleşmesine ilişkin işlemlerle bağlantılı olarak ilgili kişiyle yapılmış olan telefon görüşmesi kayıtlarına erişim talebinin reddedilmesi hakkında.

İlgili kişi tarafından Kuruma yapılan şikâyet başvurusunda sermaye piyasası mevzuatı çerçevesinde alım-satıma aracılık faaliyeti kapsamında, veri sorumlusu ile imzalanan sözleşme uyarınca işlenen kişisel verilerinden, ilgili kişi ile yapılan telefon görüşmesi kayıtlarının tarafına verilmesi talebinde bulunulduğu ancak, söz konusu telefon görüşmelerine ilişkin kayıtların taraflarına verilmesi yönündeki talebinin reddedildiği belirtilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Korum Kurulunun 14/01/2020 tarih ve 2020/13 sayılı Kararı ile;

Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğuna

6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun (Kanun) 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığına,

Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimi, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığına,

Şikâyetçi ilgili kişinin, veri sorumlusu tarafından işlenen kişisel verilerinin içeriğine, içeriğin tam olarak anlaşılmasına imkan tanıyacak şekilde erişim hakkı ile veri sorumlusunun, teknolojik olarak müdahale ve tahrif edilerek aleyhe kullanılabilecek olan ve şikayetçi dışındaki kişilerin de hassas nitelikli verisini içeren konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin, ancak yasal makamlar tarafından talep edildiği taktirde teslim edilebileceği yönündeki, makul kabul edilebilecek açıklaması arasındaki dengenin, şikayetçi ilgili kişi tarafından veri sorumlusundan talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslimi suretiyle değil; ancak, talep edilen ses kayıtlarının dökümlerine, verilerin içeriğinin ilgili kişi tarafından tam olarak anlaşılmasına imkan tanıyacak şekilde, erişim hakkı sağlanarak gerçekleştirilebileceğine,

Bu çerçevede, Kanunun 15 inci maddenin 5 inci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca, şikâyet başvurusuna konu telefon görüşmesi kayıtlarına ilişkin dökümün, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülükler de dikkate alınarak, ilgi kişiye gönderilmesine ve tesis edilen işlemler hakkında da Kurula bilgi verilmesine

karar verilmiştir.

Aday Puanlarının Rıza Alınmaksızın, İnternet Sitesinde Paylaşılması Hakkındaki Görüş Talebi ile ilgili Kurul Kararı

Karar Tarihi : 26/12/2019
Karar No : 2019/389
Konu Özeti : Öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanması uygulaması hakkında

Kurumumuza iletilen; öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda uygulanacak “Öğretim Üyesi Dışındaki Öğretim Elemanı Kadrolarına Yapılacak Atamalarda Uygulanacak Merkezi Sınav ile Giriş Sınavlarına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (Yönetmelik) hükümleri doğrultusunda değerlendirme puanlarının, veri sorumlusunun internet sitesi aracılığıyla kamuoyuyla paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) uygun olup olmadığı konusundaki görüş talebinin incelenmesi neticesinde;

Öncelikli olarak belirtilen ilanın, mevzuatta öngörülen süre kadar; böyle bir düzenleme yoksa veri sorumlusu tarafından işlendiği amaç için gerekli olduğu değerlendirilen süre ile sınırlı olması gerektiği, bununla birlikte söz konusu kişisel verilerin, internet ortamında ya da diğer fiziki ortamlarda ilanı halinde üçüncü kişiler tarafından tüm unsurlarıyla bilinir hale gelmesinde bir yarar bulunmadığı dikkate alındığında,

  1. İnternet ortamında yayımlanan kişisel verilerin tamamen kaybolmadığı göz önüne alındığında değerlendirme puanlarının, Kanunun 4 üncü maddesinde yer alan genel ilkelere uyumlu şekilde, yalnızca akademik kadrolara müracaat eden ilgili kişilerce görüntülenebildiği bir yöntemle ve kimlik doğrulaması yapılmak suretiyle sorgulamasına imkân verecek şekilde ilan edilmesi gerektiğine,
  2. İlgili kişiler ile sınav puanları arasındaki bağlantının, maskeleme (kişisel verilerin belli alanlarının kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler) yöntemleriyle kaldırılmasının uygun olacağına, bu kapsamda adaylara ait ad- soy ad, T.C. kimlik numarası gibi verilerin, kişiyi belirli ya da belirlenebilir kılabilme özelliğinin ortadan kaldırılabilmesi adına, anılan bilgilerin açık şekilde yazılması yerine, kişinin kendisinin anlayabileceği şekilde harflerin ya da rakamların “A**** B**** , 11*******11” şeklinde yıldızlanarak yukarıda sözü edilen yöntemlerle yayımlanabileceğine,
  3. Kanunun 10 uncu maddesinde hükme bağlanan aydınlatma yükümlülüğü kapsamında, üniversiteler tarafından söz konusu kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerin aydınlatılması gerektiğine

karar verilmiştir.

Bir Gazete Tarafından İlgili Kişinin Özel Nitelikli Kişisel Verileri Hakkında Haber Yapılmasının Kişisel Verilerin Korunması Kanunu ‘ na Aykırı Olduğuna İlişkin

Karar Tarihi : 09/12/2019
Karar No : 2019/372
Konu Özeti : Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapılması

Kurumumuza intikal eden bir şikayet dilekçesinde;

  • Bir Gazetede şikayet sahibinin oğluna yönelik yer alan köşe yazısında, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verdiğine ilişkin bir habere yer verildiği dolayısı ile ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı,
  • İlgili kişinin bu tarihe kadar kanser tedavisi gördüğünü bilmediği, rahatsızlığından ötürü psikolojisinin ve moralinin bozulması istenmediğinden bu bilginin ailesi tarafından kendisinden saklandığı, ancak haber tarihinden sonra ilgili kişinin geçmiş olsun dilekleri ile arandığı, hastalığını öğrenerek ölüm korkusu yaşadığı, ilgili kişinin kanser olduğunu Gazeteden ve üçüncü kişilerden öğrenmesinden dolayı içine kapandığı ve ailesiyle iletişimini kestiği, ölüm korkusu nedeniyle ayrıca psikolojik tedavi görmeye başladığı ve kanser tedavisini reddettiği

ifade edilerek Kanun çerçevesinde Kurumumuzca yasal işlemlerin yapılması talep edilmiştir.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 01.07.2019 tarih ve 2019/186 sayılı kararı ile, özel nitelikli kişisel veri niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda kamu yararı bulunmadığı, bu itibarla çatışan haklar bakımından kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varıldığından, konunun 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi çerçevesinde değerlendirilemeyeceğine ve bu itibarla söz konusu başvurunun 6698 sayılı Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde incelemeye alınmasına karar verilmiş olup yapılan inceleme çerçevesinde Kişisel Verileri Koruma Kurulunun 09/12/2019 tarih ve 2019/372 sayılı kararı ile;

  • Gazete tarafından Kanunun 6 ncı maddesinde sayılan şartlardan birine dayanmaksızın ilgili kişinin özel nitelikli kişisel verilerinin, köşe yazısında paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında söz konusu Gazete hakkında 125.000 TL idari para cezasının uygulanmasına,

karar vermiştir.

Doktor Tarafından İlgili Kişinin Cep Telefonu Numarasının Herhangi Bir Veri İşleme Şartına Dayanmaksızın İşlenmesi Ve İlgili Numaraya Reklam/bilgilendirme İçerikli Mesaj Gönderilmesinin Kişisel Verileri Koruma Kanunu ‘ na Aykırı Olduğuna İlişkin

Karar Tarihi : 07/11/2019
Karar No : 2019/332
Konu Özeti : Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde, Şikayete konu olayın değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu’nun bilgi, belge ve savunma talep edilen yazısına da veri sorumlusu Doktor tarafından cevap verilmemesi sonucunda;

6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

İlgili kişinin veri sorumlusu Doktor hakkındaki başvurusunda yer alan iddialar ile ilgili olarak Kurulun 11/04/2019 tarihli ve 2019/98 sayılı Kararı ile başlatılan inceleme kapsamında veri sorumlusundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuzun 18/06/2019 tarihli yazısının 20/06/2019 tarihinde aynı konutta bir yakınına teslim edilmesine rağmen, bugüne kadar herhangi bir cevap verilmediği de dikkate alınarak, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmasından ötürü, anılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

İlgili Kişi Tarafından Alenileştirilen Kişisel Verinin, Alenileştirme Amacı Dışında İşlenmesinin Kişisel Verilerin Korunması Kanunu ‘ na Aykırı Olduğuna İlişkin

Karar Tarihi : 07/11/2019
Karar No : 2019/331
Konu Özeti : İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hk.

İlgili kişinin bir Sigorta Şirketi (Şirket) tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması hususunda Kurula yapmış olduğu şikâyet başvurusu ile ilgili olarak Şirketten alınan yazısında, Şikayetçinin ad, soyadı ve telefon bilgisinin finansal güvence danışmanlarınca teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda …uzantılı internet sitesinden bulunduğu, Şikayetçinin taraflarınca ulaşılan ad, soyad ve telefon numarası bilgisinin belirtilen sitede halka açık bir şekilde yer aldığı şeklindeki savunmasının değerlendirilmesi sonucunda,

Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Sicil Dosyalarındaki Kişisel Verilerin, İşlenmelerini Gerektiren Sebeplerin Ortadan Kalkmaması Sebebiyle, İmha Edilmemesi Gerektiğine İlişkin

Karar Tarihi : 28/06/2018
Karar No : 2018/69
Konu Özeti : Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

– (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

– (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

– (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

– (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

– (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 – 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

Yargıtay Kararları

İnternet Ortamında Yapılan Haberin Kişisel Verilerin Korunması Kanunu ve Unutulma Hakkı Kapsamında Değerlendirilebilmesi İçin Bulunması Gereken Kriterler

Yargıtay 19. Ceza Dairesi 2019/31517 E. 2019/14002 K. sayılı Kararı şu şekildedir:

“…Yargı organlarının; internet arşivinde kişilerin şeref ve saygınlığına yönelen, kişilerin özel hayatı ve kişisel verilerinin kamu yararına katkı sağlamayacak şekilde işlendiği görülen, güncelliğini yitiren, her an toplumun erişimine açık halde bulunan ve tarihsel bir veri olarak da kabul edilemeyeceği anlaşılan yayınlar hakkında; makul, haklı ve ispatlanabilir taleplerde bulunulması halinde, ifade ve basın özgürlüğünün özüne halel getirmemek şartıyla, “kişisel verilerin korunması” ve “unutulma hakkı” kapsamında “erişime engellenmesi” yönünde kararlar verebileceği değerlendirilmektedir.
Bu durumda bir İnternet yayınının unutulma hakkı kapsamında İnternet ortamından çıkarılabilmesi için;


– yayının içeriği,
– yayında kaldığı süre,
– güncelliğini yitirme,
– tarihsel bir veri olarak kabul edilememe,
– kamu yararına katkısı (toplumsal açıdan haberin değeri, haberin geleceğe ışık tutan niteliği)
– habere konu kişinin siyasetçi veya ünlü olup olmadığı,
– haber veya makalenin konusu, bu bağlamda haberin olgusal gerçekler ya da değer yargısı içerip içermediği,
– halkın ilgili veriye yönelik ilgisi gibi hususların her somut olay açısından birlikte değerlendirmeye tabi tutularak ayrıntılı şekilde incelenmesi gerekmektedir.


Keza Anayasa Mahkemesinin 04.10.2017 tarihli, 2014/18260 başvuru sayılı bireysel başvuru kararında;


“…Başvuru tarihi itibarıyla söz konusu haberlerin yayın tarihi üzerinden 5 yıl 3 aylık bir süre geçmiştir. Başvurucu Ş.A’nın Sulh Ceza Hâkimliğinden erişimin engellenmesi talebinde bulunduğu, sonrasında da Anayasa Mahkemesine bireysel başvuru yaptığı, bu süre içerisinde anılan suça ilişkin cezasının infaz edilmekte olduğu da tespit edilmiştir. Haberlerin yayın tarihi üzerinden geçen süre ile haklarında haber yapılan kişilerin kimlikleri de dikkate alındığında haberin güncelliğini ve kamuoyu ilgisini yitirdiği söylenemez.

Bu bağlamda haberin konusu, içeriği ve ilk yayın tarihi üzerinden geçen süre gözönünde bulundurulduğunda toplumsal açıdan haber ve yazıların arşivde kolaylıkla ulaşılabilir kılınması için gerekli haber ve bilgilendirme değerinin devam ettiği, bu bağlamda unutulma hakkı kapsamında değerlendirilmeyi zorunlu kılacak şartların oluşmadığı belirlenmiştir. Sonuç olarak ifade ve basın özgürlükleri ile birlikte halkın haber alma ve bilgiye ulaşma hakkı birlikte değerlendirildiğinde başvuru konusu olayda, ifade ve basın özgürlükleri ile kişinin manevi bütünlüğünün korunması hakkı arasında adil bir dengenin kurulduğu, derece mahkemesinin takdir yetkisine müdahale etmeyi gerekli kılacak bir durumun bulunmadığı sonucuna ulaşılmıştır…”

Şeklindeki gerekçesiyle unutulma hakkının, basın özgürlüğü ile manevi bütünlüğün korunması hakkı arasında adil bir denge kurulması şartıyla korunmasının söz konusu olabileceğini, başvuranın kişiliği ve geçmişi göz önüne alındığında şayet haberin kamuoyu tarafından güncelliği ve toplumun habere olan ilgisi devam ediyorsa yargı organlarının takdir yetkisine müdahale edilmemesi gerektiğini belirtmiştir.
Uyuşmazlığa konu somut olayda; başvuranın, hakkında yürütülen soruşturma sürecine dair internet yayınında yapılan haber içeriğinde gerçek dışı, kişilik haklarını ihlal edici ifadeler bulunduğunu ve üzerinden yaklaşık 15 yıl geçmiş bulunmakla güncelliğini yitirmiş olan haberin internet arşivinde halen herkesin erişimine açık şekilde bulunmasının hukuka aykırı olduğunu belirterek sözü edilen yayının unutulma hakkı çerçevesinde erişime engellenmesini talep ettiği,

Yukarıda açıklanan kriterler kapsamında haber üzerinde yapılan incelemede, başvuruya konu internet yayınının 15 yıl öncesinde hazırlandığı ve halen yayında bulunduğu, haberin içeriğinin başvuran ve diğer suç ortakları hakkındaki soruşturma sürecine dair olması dolayısıyla tek başına tarihsel bir veri olarak kabul edilemeyeceği, habere konu kişinin siyasetçi veya ünlü bir kişi olmaması dolayısıyla başvuranın şeref ve haysiyetinin diğerlerine nazaran daha yüksek bir düzeyde korunması gerekmekle birlikte;

Başvuranın habere konu edilen “suç örgütüne üye olma ve silahlı ihkak-ı hak” suçlarından yargılandığı, dolayısıyla haberin yapıldığı tarihte haberin içeriğinin maddi bir gerçekliğe işaret ettiği, haberin yapıldığı tarihte güncel ve kamuoyunun dikkatini çeken bir olaya ilişkin olarak yapıldığı, başvuran iş adamının ticari faaliyetlerinin kişiliğinden ve adli sicil kaydından bağımsız olarak ele alınıp değerlendirilemeyeceği, dolayısıyla başvuran hakkındaki haberin ticaret hayatında ve kamuoyunda güncelliğini yitiren bir haber olarak kabul edilemeyeceği, öte yandan haberin toplumun başvuran iş adamı hakkında bilgi alma hakkı yönünden ve geleceğe ışık tutması açısından kamu yararına katkısının devam ettiği, haberin verilme tarzı bakımından doğrudan başvuranın kişilik hakkını ihlal etmek amacıyla yapılmadığı, haberin veriliş amacının ve içeriğinin olay tarihinde pek çok kişinin dolandırıldığı ve kamuoyunda “Ahtapot Çetesi” olarak bilinen soruşturma kapsamında yürütülen işlemler hakkında kamuoyunu aydınlatmak olduğu, sanığın habere konu olay nedeniyle açılan kamu davasında yargılandığı ve örgüt üyeliğinden mahkum olduğu, kararın Yargıtayca onanarak kesinleştiği anlaşılmakla,

Erişimin engellenmesi talep edilen haberin, toplum açısından güncelliğini ve kamuoyu ilgisini yitirmediği, bu haliyle yayınlanmaya devam eden haberin kişilik haklarını ihlal etmediği internet yayınlarının internet arşivinde kolaylıkla ulaşılabilir kılınması için gerekli haber ve bilgilendirme değerinin devam ettiği, bu bağlamda “unutulma hakkı” kapsamında değerlendirilmeyi zorunlu kılacak şartların oluşmadığı, dolayısıyla mahkemece verilen erişimin engellenmesi talebinin reddine dair kararın yerinde olduğu, basın özgürlüğü ile kişilik hakkı arasında kurulması gereken dengenin ölçülü bir şekilde kurulduğu sonuç ve kanaatine varılmakla,
Yargıtay Cumhuriyet Başsavcılığının kanun yararına bozma istemine dayanan ihbarname içeriği yukarıda belirtilen sebeplerle yerinde görülmediğinden, kanun yararına bozma talebinin REDDİNE, 11/11/2019 tarihinde oy birliğiyle karar verildi…”

Sır Niteliğinde Olmayan, Aleni Olan Verilerin De Kişisel Verilerin Korunması Kanunu Kapsamında Korunduğuna İlişkin

Yargıtay Ceza Genel Kurulu  2012/1510 E. 2014/331 K. sayılı Kararı şu şekildedir:

“…TCK’nun 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi fiillerinin kanunun 136. maddesindeki suçu oluşturduğu kabul edilmelidir. Bu kapsamda somut olayda, sanığın genel yayın yönetmenliğini yaptığı gazetede köşe yazarı olarak çalışan katılanın yazdığı köşesinde kullanılan fotoğrafın, hukuka uygunluk nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle sanık tarafından internetteki özel bir arkadaşlık sitesine kimlik, adres ve telefon bilgileri verilmeksizin ve erkek arkadaşı aradığı açıklamasıyla konulması eylemi, TCK’nun 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak yayma suçunu oluşturmaktadır.

Bununla birlikte sanığın eylemi, aynı zamanda katılanın onur, şeref ve saygınlığını rencide edebilecek nitelikte olması nedeniyle TCK’nun 125. maddesinin birinci ve dördüncü fıkrası uyarınca alenen hakaret suçunu da oluşturmaktadır.

Bu nedenle hukuki anlamda tek fiil sayılması gereken eylem ile hem TCK’nun 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak yayma suçu, hem de aynı kanunun 125/1-4 maddesinde düzenlenen alenen hakaret suçu oluştuğundan, sanık hakkında 5237 sayılı TCK’nun 44. maddesindeki farklı nev’iden fikri içtima hükümlerinin uygulanması ve oluşan suçlardan en ağır cezayı gerektiren kişisel verileri hukuka aykırı olarak yayma suçundan sanığa ceza tayin edilmesi gerekmektedir.
Bu itibarla, sanığın eyleminin TCK’nun 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak yayma suçunu oluşturacağını kabul eden Özel Daire çoğunluğunun kararı, sonucu itibarıyla isabetli olduğundan itirazın reddine karar verilmelidir…”

Sanığın Özel Hayatın Gizliliğini İhlal, Kişisel Verilerin Verilmesi ve Hakaret Eylemlerini Tek Bir Fiille İşlemesi Halinde Fikri İçtima Hükümlerinin Uygulanması Gerektiğine İlişkin

Yargıtay Ceza Genel Kurulu 2015/708 E. 2019/414 K. sayılı Kararı şu şekildedir:

“…TCK’nın 44. maddesinde düzenlenen farklı neviden fikri içtima hükmünün uygulanması için hukuki anlamda tek olan bir fiille birden fazla farklı suçun oluşması ve işlenen suçlarla ilgili kanunda açıkça fikri içtima hükmünün uygulanmasının engellenmemiş olması gerekmekte olup anılan maddenin uygulanma şartları arasında “tek suç işleme kastı” koşulunun bulunmadığı,

bu itibarla sanığın uzun süre birlikte yaşadığı katılanın kendisinden ayrıldıktan kısa bir süre sonra bir başkasıyla evlenmesine tepki olarak katılanın diz kapağı ile başı arasındaki kısmının görüntülendiği fotoğrafların üzerine, adı ve kızlık soyadı ile evlendikten sonra edindiği soyadı ve telefon numarasını yazarak katılanın iç çamaşırlarına ve geceliğine zımbalayıp katılanın oturduğu bina ile Adapazarı ve Hendek ilçelerindeki bir kısım binalara ve sokaklara bıraktığı olayda;

sanığın, katılanın özel yaşam alanı kapsamında bulunan iç çamaşırlarını ve geceliğini ifşa etmesinin TCK’nın 134. maddesinin birinci fıkrasının birinci cümlesindeki özel hayatın gizliliğini ihlal suçunu, katılanın özel hayatına ilişkin fotoğrafları hukuka aykırı şekilde ifşa etmesinin TCK’nın 134. maddesinin ikinci fıkrasının birinci cümlesindeki özel hayatın gizliliğini ihlal suçunu, katılanın kişisel veri niteliğindeki ad, soyad ve cep telefonu numarasını hukuka aykırı şekilde yaymasının TCK’nın 136. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu, sanığın gerçekleştirdiği bu eylemlerin, aynı zamanda katılanın onur, şeref ve saygınlığını rencide edebilecek nitelikte olması nedeniyle TCK’nın 125. maddesinin birinci ve dördüncü fıkralar uyarınca alenen hakaret suçunun da oluştuğu,

ancak sanığın, üzerinde katılanın kişisel veri niteliğindeki bilgileri bulunan özel hayatına ilişkin fotoğraflarını, katılanın özel yaşam alanı kapsamında kalan eşyasının üzerine zımbaladıktan sonra bunları yayma suretiyle açığa çıkarmaktan ibaret ve hukuki anlamda tek olan fiili ile birden fazla suç oluştuğundan hakkında TCK’nın 44. maddesi uygulanmak suretiyle oluşan suçlardan en ağır cezayı gerektiren TCK’nın 134. maddesinin ikinci fıkrası uyarınca ceza tayin edilmesi ve katılanın özel hayatına ilişkin fotoğrafları bir suç işleme kararının icrası kapsamında değişik zamanlarda ve değişik yerlerde birden fazla ifşa etmesi nedeniyle hükmolunacak cezada TCK’nın 43. maddesi uyarınca artırım yapılması gerekmektedir…”

Kişilerin Banka Kartı Bilgilerin Kopyalanması Halinde Kişisel Verileri Hukuka Aykırı Olarak Ele Geçirme Suçunun Oluşacağına İlişkin

Yargıtay 8. Ceza Dairesi 2018/509 E. 2019/15371 K. sayılı Kararı şu şekildedir:

“…Bahçelievler Yayla Şubesi ATM’sine yerleştirdikleri kopyalama aparatlarını izledikleri esnada yakalanmış olmaları karşısında;mağdurlara ait kart bilgileri kopyalayarak bir kart oluşturdukları ya da kart oluşturulma eylemine iştirak ettiklerine dair delil elde edilemeyen sanıkların kart bilgilerinin kopyalanması sonrasında ele geçirilen bilgilerle yurtdışında gerçekleşen para çekim işlemlerine iştirak ettiklerine dair de bir delil elde edilemediği ve eylemlerinin mağdur sayısınca TCK.nın 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak ele geçirme suçunu oluşturduğu, ancak aynı ATM cihazındaki kopyalama işlemlerinin tek fiil olarak kabul edilmesi nedeniyle aynı ATM’den kişisel veri olan kart bilgileri ele geçirilen veya devredilen mağdurlar yönünden TCK.nın 43/2. maddesi yollamasıyla 43/1. maddesinin uygulanması gerektiği cihetle, somut olayda sanıklar hakkında kopyalama cihazı yerleştirilen ATM sayısınca TCK.nın 136/1, 43/2. maddesi uyarınca uygulama yapılması gerekirken…”

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön