KİŞİSEL VERİLERİ KORUMA KURUMU’NUN İLKE KARARLARININ DEĞERLENDİRİLMESİ

KİŞİSEL VERİLERİ KORUMA KURUMU’NUN İLKE KARARLARININ DEĞERLENDİRİLMESİ

7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirlemek amaçlanmıştır. Bu makalemizde Kişisel Verileri Koruma Kurulu’nun; ”Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması” konulu 21/12/2017 Tarihli ve 2017/61 Sayılı Kararı, ”Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması” konulu 21/12/2017 Tarihli ve 2017/62 Sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu 31/01/2018 Tarihli ve 2018/10 Sayılı ilke kararları kişisel veri güvenliğinin sağlanması açısından incelenecektir.

GİRİŞ

Günümüzde kişisel verilerin, bilgisayar gibi araçlarla kaydedilmesi, iletilmesi gibi işlemler her geçen gün hızla artmakta olup bu sayede ticaret, bankacılık, nüfus hizmetleri, sağlık gibi alanlarda vatandaşlara çok çeşitli hizmetlerin verilmesi mümkün hale gelmiştir. Bu hususlar, içinde bulunduğumuz çağda verilerin önemini gözler önüne sermektedir[1]. Bu hizmetlerin yürütülmesindeki en önemli araçlar bilişim sistemleri ve “İnternet” gibi veri iletim ağlarıdır[2]. Günlük hayatımızda elimizden düşürmediğimiz cep telefonları ve bilgisayarlar, her an veri toplamakta ve bu verileri iletmektedirler. İnternet ortamında insanların kişisel verilerinin kaydedildiği birçok işlem çeşidi bulunmaktadır. Bunlara örnek verilecek olursa; internet bankacılığı hizmetlerinde banka müşterilerinin kişisel veri niteliğindeki nüfus bilgileri, hesap bilgileri, bu hesaplarda bulunan aktif değerleri söz konusu bankanın bilişim sistemlerinde kaydedilmektedir. Bir diğer örnek günümüzde insanların internet ortamında alışveriş yapmasıdır. Bu kişilerin alışveriş profilleri, harcama miktarları tespit edilmekte, çeşitli sistemler kullanılarak elde edilen veriler, analiz yapabilme imkânı sağlamaktadır. Özellikle son yıllarda, kişisel verilerin elektronik ortamlarda toplanması, işlenmesi ve transferi imkânlarının artması neticesinde bu verilerin hukuka aykırı biçimlerde kullanılması fiilleri artış göstermiştir. Bu durum, kişilerin verilerini koruma altına almaya yönelik düzenlemelerin yapılması ihtiyacını doğurmuştur. Bu ihtiyaç ile birlikte bir ”kişisel verilerin korunması hukuku” ortaya çıkmıştır. Bu hukukun da kendine has bir takım ilkeleri zamanla mevzuatlarda kendine yer bulmuştur. Avrupa Birliğinin 95/46 Sayılı Veri Koruma Yönergesi’nin 6. maddesine göre, kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmeli; belirli, açık ve meşru amaçlar için toplanmalı; toplanma amaçlarıyla ilgili, ölçülü ve yeterli olmalı; doğru ve güncel tutulmalı ve gerekli olan süre kadar saklanmalıdır. Kişisel verilerin korunması alanında ulusal hukuklarda yaklaşım farklılıkları olsa dahi, yukarıdaki ilkeler hemen hemen bütün düzenlemelerde yer almaktadır[3].

 

Yukarıda, çağımızda verilerin çok kısa zamanda işlendiğini ve bu verilerin korunmaya muhtaç olduğunu belirttik. Aynı zamanda kişisel verilerin korunması niteliği gereği dinamik bir alandır ve ortaya çıkan yeni sorunlar ve gereksinimler, verilerin korunması hukukunda farklı yaklaşımlar ve çözümler meydana getirmektedir[4]. Ortaya çıkan bu gelişmeler kişilerin mahremiyetinin korunması ve devletin birey üzerindeki bilgi hâkimiyetinin sınırlandırılması gerektiği hususundaki taleplerin artışına sebebiyet vermiştir[5]. Yasa koyucular ise bu sorunlara yasal düzenlemeler ile cevap bulmaya çalışmaktadırlar. Bugünkü şekliyle kişisel verilerin korunmasına yönelik yasal düzenlemeler, 1960’lı yıllarda tartışılmaya ve 1970’li yıllarda da hukuksal düzenlemelerin konusu olmaya başlamıştır[6].

 

Kişisel verilerin korunması hukukunun tarihsel gelişimine bakıldığında; verilerin korunmasına dair ilk hukuki düzenleme, 7 Ekim 1970 tarihli Almanya’nın Hessen Eyaletine ait kişisel Verilerin Korunması Kanunu’dur. Avrupa ölçeğinde bakıldığında ise, Avrupa Konseyi 1981 tarihli ve 108 sayılı “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşmesi” ile kişisel verilerin toplanması, işlenmesi, saklanması ve transferi gibi işlemleri kurallara bağlanmıştır. Avrupa Birliği ise 24 Ekim 1995 tarihinde, 95/46 sayılı “Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması ve Bu Verilerin Serbest Dolaşımı” isimli Yönergesinde kişisel veri tanımını yapmış ve Birlik içinde bir veri koruma hukukunun temelini oluşturmuştur[7]. Tüm Avrupa Birliği üyesi ülkeler de kendi ülkelerinde kanunlarını hazırlayarak yürürlüğe koymuştur. Türk hukukunda ise kişisel verilerin korunmasına dair hukuki düzenlemelerin uzun bir geçmişinin olduğunu söylemek mümkün değildir. Her ne kadar Anayasamızın 20. maddesine 2010 yılında 5982 sayılı Kanun’un 2. maddesi ile eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası ile 5237 Sayılı Türk Ceza Kanunu’nda kişisel verilere yönelik hukuka aykırı kaydetme, verme, elde edilme vb. fiiller yaptırım altına alınsa da bu düzenlemeler kişisel verilerin korunması hukukunu ortaya koyan temel nitelikteki düzenlemeler olmamıştır. Ülkemizin Avrupa Birliği’ne katılım sürecinde büyük önem taşıyan, kişisel verilerin korunması konusunda yasal bir düzenleme yapılması önem arz etmiş, bu amaçla hazırlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde kabul edilmiş olup 07.04.2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir[8].

 

 1. KİŞİSEL VERİLERİ KORUMA KURULU’NUN İLKE KARARLARI

Kişisel Verileri Koruma Kurulu geçtiğimiz günlerde 6698 Sayılı Kanunun 15. maddesinin 6 numaralı fıkrası uyarınca 3 adet ilke kararı almış ve bu kararlar Resmî Gazete uyarınca yayımlanmıştır. Kanunun 15. maddesinin 6. fıkrasında: “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.” hükmü yer almaktadır. Vatandaşlar tarafından kişisel verilerinin korunmadığı düşünülen internet siteleri, uygulamalar, gündelik hayatta karşılaşılan olaylar, kurula yoğun bir biçimde şikâyet edilmektedir. Kurul da kanunun verdiği yetkiye dayanarak bu konulara ilişkin ilke kararları almaktadır. Buna göre çalışmamızda Kurul’un almış olduğu kararlar sırasıyla incelenecektir.

 

1.1. 21.12.2017 TARİHLİ ve 2017/61 SAYILI İLKE KARARI

 

Kişisel Verileri Koruma Kurulu’nun 21.12.2017 tarih ve 2017/61 sayılı kararında özetle; 6698 Sayılı Kişisel Verilerin Korunması Kanunu hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde hizmet veren internet siteleri ve uygulamalarının bulunduğu, kişisel verilerin işlenebilmesi için Kanunun 5. ve 6. maddelerinde sayılan verilerin işlenme şartlarının ve kanunda ayrıca öngörülen diğer yükümlülüklerinin yerine getirilmesi gerektiği, kanunda ve mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan bu sitelerin ve uygulamaların veri işleme faaliyetini derhal durdurması gerektiği yer almaktadır.

 

İlke kararına konu olan şikâyetler, rehberlik hizmeti veren internet siteleri ve uygulamaların kişisel verilerin korunmasını ihlal edici veri işleme faaliyetleri hakkındadır. Karara konu olan internet siteleri ve uygulamaları, kişilerin Kanun’un 5. maddesi gereği açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde hizmet vermektedir. Bu siteler ve uygulamalar söz konusu hizmeti verebilmek için kişilerin sosyal medya hesaplarından, internet sitelerinden, telefon rehberlerinden kişisel verilerini hukuka ve kanuna aykırı şekilde elde edip veri işlemesi yapmaktadırlar. Kanun’un 3. maddesinin 1 numaralı fıkrasının e bendinde kişisel verilerin işlenmesi:  

“Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”

olarak tanımlanmıştır. Söz konusu kişisel verilerin işlenebilmesi için yine Kanun’un 5. maddesinde yer alan şartların gerçekleşmesi gerekmektedir. Kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızasının olması gerekmektedir. Ancak 5. maddenin devamında açık rıza olmaksızın verilerin işlenebileceği haller sayılmıştır. Buna göre;

 

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

 1. a) Kanunlarda açıkça öngörülmesi.
 2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
 3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

 1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
 2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
 3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kurul işbu kararında isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde hizmet veren internet siteleri ve uygulamalarının Kanun’un 5. maddesine uygun bir veri işleme faaliyetinde bulunmadıklarından bahisle, Kanunun 15. maddesinin 7 numaralı fıkrası uyarınca faaliyetlerinin derhal durdurulması gerektiği, faaliyetlerine ilişkin bilgi edinilmesi halinde bu sitelere/uygulamalara erişimin engellenmesi adına yetkili kurumlara başvuruda bulunulacağını, Cumhuriyet Başsavcılığına suç duyurusunda bulunulacağını, bu ilke kararına uymayanlar hakkında Kanun’un 18. maddesi kapsamında işlem yapılarak 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası kesileceğine yer vermiştir.

 

Kurulun söz konusu ilke kararı günümüzde sıklıkla karşılaşılan ve veri sahiplerinin haklarını yoğun bir biçimde ihlal eden internet siteleri ve uygulamalarına karşı bir tedbir niteliğindedir. Vatandaşların bu konudaki şikâyetlerini dikkate alan ve faaliyetleri durdurma, erişimin engellenmesi, suç duyurusunda bulunulacağının ve para cezası kesileceğinin kararda belirtilmesi, caydırıcılık açısından tarafımızca olumlu karşılanmaktadır.

 

1.2. 21/12/2017 TARİHLİ ve 2017/62 SAYILI İLKE KARARI                                  

Kişisel Verileri Koruma Kurulu’nun 21/12/2017 tarih ve 2017/62 sayılı kararına konu olan ve kuruma yapılan ihbarlar, vatandaşların banko, gişe, masa gibi hizmet alanlarında kişisel verilerinin korunması talebi hakkındadır. Kurul bu konuda yapılan ihbarlar ve şikâyetler belli bir yoğunluğa ulaştığı için Kanun’un 15. maddesinin 6 numaralı fıkrası gereğince bu ilke kararın çıkarılmasını elzem görmüştür.

Kararda özetle; bankacılık ve sağlık sektörleri başta olmak üzere, birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının Kanun’un 12. maddesi uyarınca kişisel verilerin korunması ile ilgili olarak banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri alması gerektiği aksi takdirde bu karara uymayanlar hakkında Kanun’un 18. maddesi gereğince 25.000,00 Türk lirasından 1.000.000,00 Türk lirasına kadar idari para cezası kesileceği yer almaktadır.

 

Kanun’un 12. maddesi veri sorumlusunun veri güvenliğine ilişkin birtakım yükümlülüklerini düzenlemiştir. Öncelikle veri sorumlusu kavramının açıklanması gerekecektir. Kanunun tanımlar başlıklı 3. maddesinin 1 fıkrasının (ı) bendine göre veri sorumlusu: “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.” Karara konu veri sorumluları ise, özel hususları belirtilen, banko, gişe, masa gibi birden fazla insanın birbirine yakın konumda hizmet aldığı bu nedenle kişisel verilerin korunması konusunda daha fazla dikkat gösterilmesi gereken ve kararda örnek mahiyetinde sayılan bankacılık ve sağlık sektörleri başta olmak üzere, posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleridir. Kanun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerine 12. maddesinde yer vermiştir. Kanun’un 12. maddesinin 1. fıkrasına göre;

 

Veri sorumlusu,

 1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
 2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
 3. c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 

Kanun’un 12. maddesinin 3. fıkrasında “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlama amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” denilerek karardaki yükümlülüğe ek olarak veri sorumlusunun kanun hükümlerinin uygulanmasını sağlama hususunda gerekli denetimleri yapmak ve yaptırmak zorunda olduğu belirtilmiştir.

Kurulun söz konusu ilke kararı ile kişisel verilerin üçüncü kişilerce duyulması, görülmesi, öğrenilmesi ve ele geçirilmesinin önüne geçilmek amaçlanmıştır. Gerçekten de kanunun veri sorumlularına yüklediği en önemli yükümlülüklerden biri elde ettiği kişisel verileri üçüncü kişilerle paylaşmamak ve çalıştırdığı her bir personelin yetkisi dâhilinde kişisel verilere erişebilmesi düzenini ortaya koymaktır. Aksi takdirde kararda da belirtildiği gibi bu riskin daha fazla olduğu özel kurumlarda ve kamu kurumlarında karardaki gibi önlemler alınmazsa kişisel verilerin ele geçirilmesi tehlikesi ortaya çıkacaktır.

 

1.3. 31.01.2018 TARİHLİ 2018/10 SAYILI İLKE KARARI

Kişisel Verileri Koruma Kurulu, 31.01.2018 tarihli ve 2018/10 karar sayılı kararında Kanun’un 6. maddesinin 4 numaralı fıkrası ile 22. maddesinin 1 numaralı fıkrasının ç bendi kapsamında kurula yüklenen görev olan özel nitelikteki kişisel verilerin işlenmesinde veri sorumlularınca alınması gerekli önemlere yer verilmiştir. Bu önlemlerin neler olduğu belirtmeden önce özel nitelikteki kişisel veri kavramını açıklamak gerekmektedir.

Özel nitelikteki kişisel veri kavramı tanımlar bölümünde yer almamakta olup Kanun’un 6. maddesinde düzenlenmiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak sayılmıştır. Maddenin devamında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.

31/01/2018 tarihli ve 2018/10 karar sayılı ilke kararında özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

 1. a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
 2. b) Gizlilik sözleşmelerinin yapılması,
 3. c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

 1. d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

 1. a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
 2. b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
 3. c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

 1. d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
 2. e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

 1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
 2. b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

 1. a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
 2. b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
 3. c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.                                          

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

Kanun’un özel nitelikli kişisel veri ayrımı yapması ve bu özel nitelikli olan kişisel verileri ayrı bir koruma kapsamı altına alması, bu verilerin daha fazla “kişisel” olmasından kaynaklanmaktadır. Bu nedenle kurulca bu verilerin korunmasının ayrı bir karar ile ayrıntılı bir biçimde düzenlenmesi kişilerin daha özel nitelikte olan bu verilerinin daha sıkı bir koruma altına alınması anlamına gelecektir ki kurulun bu kararı olumlu bir gelişme olmuştur.

SONUÇ                                                                                                                 

Kişisel Verilerin Korunması Kurulunun almış olduğu ve işbu çalışmamızda değerlendirdiğimiz üç ilke kararı, veri sorumlularınca düzenlendiği şekilde uygulandığı takdirde veri sahiplerinin haklarının tam anlamıyla korunacağı şüphesizdir. Aynı zamanda kurulun kendisine yapılan şikâyetleri ve ihbarları inceleyerek bu konularda ilke kararları alması, bu kararlara uymayanlar hakkında para cezası da dâhil olmak üzere yaptırımlara başvuracağını açıklaması, Kurul kararlarının dinamik, caydırıcı ve günceli yakalama özelliğine sahip olduğunu göstermektedir.

Av. Sefa YOZGATLI

 

KAYNAKÇA

Çekin, Mesut Serdar; Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, İstanbul, Onikilevha Yayıncılık, 1. Baskı, Ocak 2018.

 

Küzeci, Elif; Kişisel Verilerin Korunması, İstanbul, Turhan Kitabevi, 2. Bası, Şubat 2018.

Uygun, Murat; Avrupa Birliğinin 95/46 Sayılı Veri Koruma Yönergesi Işığında Kişisel Verilerin Korunması, Yüksek Lisans Tezi. Gazi Üniversitesi, Sosyal Bilimler Enstitüsü, 2010.

 

T.C. Resmi Gazete,  http://www.resmigazete.gov.tr

Kişisel Verileri Koruma Kurulu, http://www.kvkk.gov.tr

Alanında Uzman Avukatmı arıyorsunuz?