KPLAW

İş Kuleleri, Kule 3, Kat:2, 34330,
Levent / Istanbul, Turkey

CONTACT

T: +90 (212) 249 29 39
M: info@kplawtr.com

Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve uygulaması hakkındaki sıkça sorulan sorular ve doğru bilinen yanlışlarla ilgili ikinci çalışmayı yayınladı.

Her ne kadar Kişisel Verilerin Korunması Kanunu ve ikincil mevzuat gerekli yasal temeli oluşturmuş olsa da mevzuatın uygulanması ile ilgili pratik sorular gündeme gelmektedir.

Kurum da bu kapsamda sıkça karşılaşılan ve pratik önemi bulunan birçok soruya ve bu soruların cevaplarına “Doğru Bilinen Yanlışlar-2”’de yer verdi.

Bu rehberde yer alan ve dikkati çeken birkaç soru ve cevapları ise şöyle:
 

  • Bir kişisel veri işleme faaliyeti Kanunda öngörülen birden fazla işleme şartına dayanılarak gerçekleştirilebilir mi?
     

Kişisel veri işleme faaliyeti gerçekleştirilirken birden fazla kişisel veri işleme şartı bulunabilir. Ancak, açık rıza dışındaki veri işleme şartlarından biri varken ayrıca ilgili kişiden açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi anlamına geleceğinden kişisel veri işleme faaliyeti açık rıza işleme şartı ile birlikte diğer işleme şartlarına dayanılarak gerçekleştirilemeyecektir.
 

  • Bir hizmetin sunumu için açık rıza verilmesinin zorunlu tutulması her durumda hukuka aykırı mıdır?
     

Kişisel verilerin “açık rıza” işleme şartına dayanılarak işlenmesi hâlinde, ilgili kişilerden alınacak açık rızanın “belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma, özgür iradeyle açıklanma” unsurlarının tamamını taşıması gerekmektedir. Bu kapsamda, açık rızanın ilgili kişilerin özgür iradeleriyle açıklanması gerekmekte olup hizmet sunumunun ön koşulu olarak zorunlu tutulması kural olarak hukuka uygun olmayacaktır.

Ancak, somut olayın niteliği gereği, işleme faaliyetinin yalnızca ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği durumlarda ilgili kişiden açık rıza alınması Kanuna aykırılık teşkil etmeyebilir.

  • Aydınlatma yükümlülüğü, her durumda veri sorumlusu tarafından mı yerine getirilmelidir?
     

Kanuna göre, aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında veri sorumlusu veya veri sorumlusunun yetkilendirdiği kişi tarafından yerine getirilmelidir. Örneğin, veri sorumlusunun yetkilendirmesi hâlinde, veri işleyenin de veri sorumlusu adına, aydınlatma yükümlülüğünü yerine getirmesi mümkündür.
 

  • Veri sorumlusunun gerçekleşen bir veri ihlâline ilişkin olarak “kişisel veri ihlâli bildirimi formunda” yer alan hususları henüz net olarak tespit edememesi hâlinde, bu veri ihlâlini Kuruma hemen bildirmesi gerekir mi?
     

Veri sorumlusunun gerçekleşen bir veri ihlâlini Kurula en kısa sürede (72 saat içinde) bildirmesi zorunludur. Kişisel veri ihlâli bildirimi formunda yer alan hususların net olarak tespit edilememesi durumunda ise, eldeki bilgilerle en kısa sürede (72 saat içinde) Kurula ihlalin bildirilmesi gerekmekte olup devam eden süreçte ilave bilgilerin de gecikmeye mahal verilmeksizin tespit edildikçe Kurula iletilmesi gerekmektedir.

“Doğru Bilinen Yanlışlar-2”de yer alan soru ve cevapların tamamını detaylı olarak incelemek için: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/d077b665-66b6-4615-975a-249f93e084ba.pdf