Menu
Sepetiniz
0

Aydınlatma ve Rıza Metni

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.
Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.
Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.
Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;
  • Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
  • Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
  • Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
  • Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
  • Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
  • Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
  • Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
  • Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
  • Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
  • Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
  • Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı
gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.
Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:
a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.
c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.
d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.
e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.
g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.
h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.
i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.
j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.
k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.
Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.
Kamuoyuna saygıyla duyurulur.

VERBİS’E KAYIT SÜRELERİNİN UZATILMASI HAKKINDA DUYURU

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,
  • Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.
Kamuoyuna saygıyla duyurulur.

Küresel Mahremiyet Asamblesi (GPA-Global Privacy Assembly) Tarafından Covid-19 Görev Gücü Çalışmaları Başlatıldı

Ülkeler Koronavirüs (COVID-19) tedbirleri kapsamında uygulanan kısıtlamaları hafifletmeye başladıkça dünya genelindeki veri koruma ve mahremiyet otoriteleri de temel bir soruyla karşı karşıya kalmaktadır: Bir yandan vatandaşların kişisel verilerini ve mahremiyetini korumayı sürdürürken aynı zamanda hükümetlerin salgına ve bunu izleyen iyileşmeye yönelik yanıtlarına nasıl katkıda bulunabiliriz?
Küresel Mahremiyet Asamblesi (GPA) de bu zorlu görevin farkında olarak, salgın dolayısıyla ortaya çıkan mahremiyet sorunlarına pratik yanıtlar vermek ve ayrıca üyelerine içgörü ve en iyi uygulamalar hususunda yardımcı olmak amacıyla bir COVID-19 Görev Gücü başlatmıştır.
GPA COVID-19 Görev Gücü’ne, Filipinler Ulusal Mahremiyet Komisyonu Mahremiyet Komiseri ve GPA Yürütme Kurulu üyesi olan Sayın Raymund Liboro başkanlık edecektir.
Sayın Liboro şunları belirtmiştir: “Hükümetlerin COVID-19 salgınıyla mücadelelerine yardım hususunda kişisel verilerin ve teknolojinin hayati önem taşıdığını gördük. İnsanlar işyerlerine dönmeye başladıkça, temas takibi ve konum izleme uygulamalarından COVID-19 testlerine kadar, veri koruma ve mahremiyet hiç bu kadar önem arz etmemişti.
Oluşturulan Görev Gücü ile güncel mahremiyet endişelerinin incelenmesi ile birlikte, salgınla mücadele için yeniliklerin desteklenmesi ve insanların kişisel verilerine ve bilgi edinme haklarına saygı gösterilmesinin temini arasında doğru dengenin bulunması amaçlanmaktadır. Ortak zorluklara ilişkin faydalı bir içgörü sağlamak için üyelerimizin ve paydaşlarımızın uzmanlıklarından yararlanacağız.”
Tüm dünyada 30’dan fazla kuruluşu temsil eden GPA COVID-19 Görev Gücü ilk olarak, Asya-Pasifik bölgesinde ‘Mahremiyet Farkındalığı Haftası’na rastlayan 26 Mayıs 2020 tarihinde toplanmıştır. Görev Gücü ilk toplantısında, önümüzdeki birkaç ay içerisinde derinlemesine incelenmesi gereken en stratejik ve acil mahremiyet konularını tartışmıştır. Üyeler, GPA üyelik topluluğuna ve daha geniş bir kitleye yönelik gelişmeler ve girişimler hakkında düzenli olarak iletişim kurmak amacıyla bir başlangıç çalışma planı üzerinde anlaşmışlardır.
Veri koruma ve COVID-19 hakkında daha fazla bilgi ve kaynak için globalprivacyassembly.org/covid19 adresini ziyaret edebilirsiniz.

“Doğru Bilinen Yanlışlar” Dokümanı Kurum İnternet Sayfasında Yayınlanmıştır.

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Bu kapsamda kişisel verilerin korunması mevzuatında yer alan bazı temel konularda kamuoyunda farkındalık oluşması amacıyla Kurumumuzca “Doğru Bilinen Yanlışlar” kitapçığı hazırlanmış ve Kurum internet sayfasında yayınlanmıştır.
Söz konusu kitapçığa Kurum internet sayfasında “Yayınlar” menüsü altında yer alan “Diğer Dokümanlar” başlığı aracılığıyla veya https://kvkk.gov.tr/Icerik/5383/Diger-Dokumanlar linki ile giriş yaparak ulaşılabilmektedir.
Kamuoyuna saygıyla duyurulur.

YURT DIŞINA KİŞİSEL VERİ AKTARIMINDA HAZIRLANACAK TAAHHÜTNAMELERDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN DUYURU

A-USULE İLİŞKİN DİKKAT EDİLMESİ GEREKEN HUSUSLAR
  1. Kurumumuza, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi uyarınca yapılacak yurt dışına veri aktarımı izin başvurularında, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair tevsik edici belgelerin de eklenmesi gerekmektedir. Bu kapsamda, tüzel kişiler tarafından yapılacak başvuruların, ilgili veri sorumlusunu bu konuda temsil ve ilzama yetkili kişiler tarafından yapılması ile başvuruya bu hususu tevsik edici belgelerin eklenmesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.
  2. Taahhütname ve ekinin sonunda imza ve kaşe; her bir sayfasında ise imzacıların parafı bulunmalıdır.
  3. İmzacıların yetkisini göstermesi bakımından, Taahhütname ekine Türkiye’de mukim şirketler bakımından imza sirkülerinin aslı veya onaylı örneği, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf olan ülkelerde mukim veri alıcısı bakımından ise imzalayanın imzaya yetkili olduğunu gösterir apostil şerhli belgenin aslı veya onaylı örneği eklenmelidir. Anılan Sözleşmeye taraf ülkelerin resmi makamlarınca hazırlanmış her belgede apostil şerhi bulunmalı, Sözleşmeye taraf olmayan ülkeler bakımından ise, belgelerin Türkiye’de hukuken geçerli olmasına ilişkin süreç işletilmelidir.
  4. Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.
  5. Taahhütname hazırlanırken, Kurumumuz resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan (Veri Sorumlusundan Veri Sorumlusuna Aktarım, Veri Sorumlusundan Veri İşleyene Aktarım) hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır. Örneğin “Veri aktaran, veri alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirecektir.” gibi.
B-ESASA İLİŞKİN DİKKAT EDİLMESİ GEREKEN HUSUSLAR
  • Taahhütname Düzenlenirken Dikkat Edilmesi Gereken Hususlar
  1. Aktarımın tarafları arasındaki ilişki doğru bir şekilde belirlenmeli ve alıcı tarafın niteliğine göre Kurumumuz resmi internet sitesinde yayımlanan Taahhütname örneklerinden uygun olan kullanılmalıdır.
  2. Kanunun 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu, veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.
Veri işleyen ise, Kanunun 3 üncü maddesinin birinci fıkrasının (ğ) bendinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar kapsamında ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır.
Yukarıda yer alan açıklamalar ışığında, veri sorumlusundan veri işleyene aktarımlarda, veri sorumlusunun ve veri işleyenin gerçekleştirmekte olduğu hizmetler ile veri aktarımına ilişkin faaliyetlerinin, net bir şekilde anlaşılabilmesini teminen anlaşılır detayda açıklama yapılması gerekmektedir.
Sonuç olarak, veri sorumlusundan veri sorumlusuna veya veri sorumlusundan veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde Taahhütname ile gönderilmesi önem arz etmektedir.
  1. Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır.
  2. Birbiriyle ilişkili başlıklar arasında bağ kurulmalıdır. Bu anlamda, hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususu, söz konusu başlıklar arasında bağ kurulmak suretiyle anlaşılır detayda açıklanmalıdır.
  3. Açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilemeyecektir.
  4. Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “-Hukuka ve dürüstlük kurallarına uygun olma, -Doğru ve gerektiğinde güncel olma, -Belirli, açık ve meşru amaçlar için işlenme, -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Diğer bir deyişle, Kanunun 4 üncü maddesinde sayılan genel ilkelerin kişisel veri işleme faaliyetinin tüm süreçlerinde, her hal ve şartta uygulanması hukuki bir gerekliliktir.
Anılan maddenin ikinci fıkrasının (c) bendinde yer alan “Belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.
Diğer taraftan, anılan maddenin ikinci fıkrasının (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre ise, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Diğer bir deyişle ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
Bu çerçevede, Taahhütname ve ekinde yer verilen belgeler düzenlenirken kişisel verilerin işlenme amacına ilişkin yukarıda belirtilen ilkeler başta olmak üzere, Kanunun 4 üncü maddesinde yer alan genel ilkelerin gözetilmesi gerekmektedir.
  1. EK-1’de Yer Alan Başlıklar Altında Yer Verilen Açıklamalarda Dikkat Edilmesi Gereken Hususlar
  1.  Veri konusu kişi grubu ve grupları
Veri konusu kişi ve kişi grupları belirtilirken “gibi, ve benzeri, olası, muhtemel, …” gibi muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.
  1. Veri kategorileri
“Veri kategorileri” belirlenirken, özellikle Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin ikinci fıkrasının (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine riayet edilmelidir. Bu anlamda, ancak belirli, açık ve meşru bir veri aktarımı amacıyla bağlantılı, sınırlı ve ölçülü olacak şekilde veri kategorileri belirlenmelidir. Veri kategorileri ifade edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler anlaşılır detayda ortaya konulmalıdır.
Aktarılacak kişisel verilerin, “Veri konusu kişi grubu ve grupları” başlığı ile bağ kurulmak suretiyle, bu başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.
  1. Veri aktarımının amaçları
Veri aktarımının amaçları, “Veri Kategorileri” başlığında belirtilen veri kategorileri ile bağ kurulmak suretiyle açıklanmalıdır. Bununla birlikte, Kanunun 4 üncü maddesine göre kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. Belirli, açık ve meşru amaçlar için işlenme ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bu çerçevede, ilgili bölümde kişisel verilerin işlenme amacı sınırları belirli ve açık bir şekilde anlaşılır detayda açıklanmalıdır.
  1. Veri aktarımının hukuki sebebi
Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen kişisel veri işleme şartlardan hangisine dayalı olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya konulması gerekmektedir.
Kanunun 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebileceği hükme bağlanmıştır. Bu anlamda, sağlık verilerinin ve diğer özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmaksızın yurt dışına aktarımında öncelikli olarak 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında tahdidi olarak sayılan işleme şartlarından birinin mevcut olması gerekmektedir. Bu çerçevede, söz konusu işleme şartlarının mevcut olmadığı durumlarda, özel nitelikli kişisel verilerin yurt dışına aktarımı ancak ilgili kişilerin hukuka uygun bir şekilde açık rızalarının alınması ile mümkün olabilecektir ki, açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilmemektedir.
“İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayanılarak gerçekleştirilecek aktarımlarda, Kurumumuz resmi internet sitesinde yayımlanan Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 sayılı kararında yer verilen denge testi uygulanmalı ve çıkan olumlu sonuç ortaya konulmalıdır. Bu kapsamda, veri sorumluları tarafından; söz konusu veri işleme/aktarım faaliyetinin ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyeceği hususu, veri işleme/aktarımı dolayısıyla veri sorumlusu olarak ilgili kişinin temel hak ve özgürlükleriyle yarışır düzeyde ne tür bir meşru menfaatin elde edileceği, veri işlemeden/aktarımından elde edilecek meşru menfaatin tesisi için söz konusu veri işlemenin/aktarımının neden zorunlu olduğunun her bir veri konusu kişi grubu ve veri kategorisi bakımından somut faaliyet özelinde anlaşılır detayda açıklanması gerekmektedir.
  1. Alıcı ve alıcı grupları
“Alıcı ve alıcı grupları”, veri alıcısı tarafından örneğin verilerin ifşası veya aktarılması suretiyle gerçekleştirilecek sonraki devam eden aktarımlarda veri alıcısının bulunduğu ülkede mukim olan veri sorumlusu veya veri işleyeni ifade etmektedir. Ayrıca belirtmekte fayda görülmektedir ki, sonraki devam eden aktarıma taraf veri sorumlularının veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri gereğince aktarım gerektiren yetkili kurum ve kuruluşlar kapsamında olması gerekmektedir. Örneğin, aktarımın gerçekleşeceği ülkede yetkili kamu kurum ve kuruluşları ile mahkemeler bu kapsamda değerlendirilmektedir. Bununla birlikte, yetkili kamu kurum ve kuruluşlarının rekabet, telekomünikasyon otoritesi gibi belirlenebilir olması halinde bunların açıkça ortaya konulması gerekmektedir.
Öte yandan, Taahhütnameye taraf veri alıcısından, alıcının mukim olduğu ülkede yerleşik başka yukarıda belirtilenlerden farklı bir veri sorumlusuna ya da veri alıcısının mukim olduğu ülkeden başka bir ülkede yerleşik veri sorumlusu veya veri işleyene, Taahhütname kapsamında sonraki devam eden veri aktarımı gerçekleşemeyecektir. Bu durumdaki veri sorumluları veya veri işleyenlerle ayrıca taahhütname imzalanması gerekmektedir. Böyle bir durumda, aktarımın amacı ve niteliğine uygun düştüğü ölçüde, farklılıklar varsa bu farklılıklar da her bir veri sorumlusu ya da veri işleyen bakımından açık ve net bir şekilde ortaya konulmak suretiyle tek bir taahhütname metninin veri aktarılan veri alıcısı ile söz konusu veri sorumluları ya da veri işleyenler tarafından birlikte imzalanması da mümkündür.
  1. Veri alıcısı tarafından alınacak teknik ve idari tedbirler
İlgili bölüm düzenlenirken, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla hazırlanan ve Kurumumuz resmi internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler)”nin dikkate alınması, taahhüt edilen teknik ve idari tedbirlerin ayrı başlıklar halinde açıklanarak, bu tedbirlere ilişkin tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
  1. Özel Nitelikli Kişisel veriler için alınan ek önlemler
İlgili bölüm düzenlenirken, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirleri tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
  1. Veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
Kayıt yükümlülüğünün bulunup bulunmadığı bilgisinin gerekçesi ile birlikte açıklanması ve kayıt yükümlülüğünün bulunması halinde VERBİS bilgilerine bu başlık altında yer verilmesi gerekmektedir.
  1. Ek faydalı bilgiler
Saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilecek olup; kişisel verilerin işlenme süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer verilmek suretiyle belirtilmesi gerekmektedir. Ayrıca, sürelerin belirlenmesinde Kanunun 4 üncü maddesinin ikinci fıkrasının (d) bendinde yer alan, “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkesinin gözetilmesi gerekmektedir.
Mevzuattan kaynaklı bir sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne dayandırıldığının belirtilmesi gerekmektedir.
Taahhütname ekinde yer alan başlıklar dışında ayrıca belirtilmek istenen hususlar “Ek faydalı bilgiler” başlığı altında açıklanmalıdır.
  1. İrtibat kişisi iletişim bilgileri
İrtibat kişisine ait bilgiler bu başlık altında yer almalıdır.
  1. “Veri Sorumlusundan Veri İşleyene Aktarım” başlıklı Taahhütname örneği EK-1’de yer alan “Veri Sorumlusu” ve “Veri İşleyen” başlıkları
Bu başlıklar altında yapılacak açıklamalarda veri sorumlusu ve veri işleyenin faaliyet alanlarının açıklanması ile veri sorumlusunun veri aktarımına, veri işleyenin ise aktarım sonrasında gerçekleştireceği işleme faaliyetlerine ilişkin açıklamaların anlaşılır detayda ortaya konulması gerekmektedir.
  1. “Veri Sorumlusundan Veri İşleyene Aktarım” başlıklı Taahhütname örneği EK-1’de yer alan “İşleme faaliyetleri” başlığı
Aktarılan kişisel verilerin aktarım amacıyla bağlantılı olacak şekilde ne tür bir işleme faaliyetine tabi tutulacağı hususu somut aktarım özelinde anlaşılır detayda ve netlikte ortaya konulmalıdır.

Çocukların Kişisel Verilerinin Korunması Bakımından Dikkat Edilmesi Gerekenler

Bilindiği üzere, dünyada ve Ülkemizde teknoloji ve bunun bir uzantısı olarak internet yaygın şekilde kullanılmakta, bu kullanım birçok faydası yanında birtakım riskleri de beraberinde getirmektedir. Bu risklerin başında, kişisel verilerin farkında olmaksızın paylaşımı neticesinde çocukların karşılaşabileceği mağduriyetler gelmektedir. Taciz, siber zorbalık, uygunsuz materyallere erişim ve doğrudan pazarlamanın muhtemel olumsuz etkileri bunların başlıcalarıdır.
Özellikle çocuklar arasında yeni teknolojilerin kullanımının yaygınlığı, çocuğun algı düzeyi ve yaşı itibariyle kişisel verilerini paylaşmasının sonuçlarını öngörememesi, risklerin farkında olmaması, yasal haklarını ve bu hakların nasıl kullanılacağını bilmemesi ve aile gözetiminin dijital alanlarda zayıf olması gibi hususlar çocukları, çevrimiçi ortamdaki söz konusu risklere karşı savunmasız kılmaktadır.
Çocuklar eğitim, sosyalleşme, eğlence, iletişim kurma gibi birçok gereksinimi için internet ve sosyal medyayı yoğun olarak kullanmakta olduğundan özellikle çocukların kişisel verilerinin korunmasına önem vermek ve onları muhtemel risklerden korumak adına faydalı olacaktır. Salgın hastalıkla mücadele edilmekte olan günümüzde, bir yandan sosyal mesafe ve izolasyon ile uzaktan eğitim gibi tedbirler uygulanırken, bir yandan da çocukların çevrimiçi ortamlarda geçirdiği sürelerde ciddi bir artış gözlemlenmektedir. Bu nedenle çocukların kişisel verilerinin korunması noktasında ebeveynlere her zamankinden daha fazla görev ve sorumluluk düşmektedir.
Bu kapsamda, öncelikle ailelerin çocukların kişisel verilerinin korunması konusunda kendi bilgi ve farkındalıklarını artırması, devamında çocuklarını bu konuda yönlendirmeleri ve kişisel veri mahremiyeti konusunu gündelik sohbetlerinin bir parçası haline getirmeleri, yine çocuklara yönelik ürün ve hizmet geliştirenler tarafından 6698 sayılı Kanuna uyum konusunda maksimum özenin gösterilmesi her zamankinden daha fazla önem arz etmektedir.
Geleceğimizin teminatı olan çocuklarımızın kişisel verilerinin etkin şekilde korunması adına Kurumumuz tarafından hazırlanan ve pratik önerilerin yer aldığı broşürler aşağıda yer almaktadır.

KVKK ve İTÜ’den Yapay Zeka ve Veri Bilimi Konularında İş Birliği

Kişisel Verileri Koruma Kurumu (KVKK) ve İstanbul Teknik Üniversitesi (İTÜ), yapay zeka ve veri bilimi konularında iş birliği yapmak üzere protokol imzaladı. KVKK Başkanı Prof. Dr. Faruk BİLİR, yapay zeka teknolojisinin hız kazandığı bir dönemde, İTÜ ile imzalanan protokolün önemli olduğunu ifade etti.
İstanbul Teknik Üniversitesi Yapay Zeka ve Veri Bilimi Uygulama ve Araştırma Merkezi ile Kişisel Verileri Koruma Kurumu (KVKK) arasında iş birliği protokolü imzalandı. Protokol kapsamında, iki kurum arasında kişisel verilerin korunması, veri mahremiyeti ve veri güvenliğine ilişkin olarak ortak çalışmalar ve yayınlar yapılması, ulusal ve uluslararası projeler yürütülmesi ve eğitim ve öğretim konularında iş birliği yapılması hedefleniyor.
“İTÜ’nün sağlayacağı akademik ve teknik katkıdan memnunuz”
Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir ise yapay zekanın, nesnelerin internetinin, blokzincirin ve büyük verinin konuşulduğu; dijital dönüşüm süreçlerinin gün geçtikçe hız kazandığı bir dönemde ülkemizin ilk teknik üniversitesi olan İTÜ ile imzalanan protokolün önemli olduğunun altını çizdi.
Protokol kapsamında yapılacak faaliyetler ile üniversite öğrencilerinin kişisel verilerin korunması konusunda farkındalık düzeylerinin artacağını söyleyen Prof. Dr. Bilir, yapay zeka uygulamaları kapsamında veri mahremiyetinin sağlanması ile veri güvenliği ihlal tespitleri gibi konularda üniversitenin sağlayacağı akademik ve teknik katkılardan memnuniyet duyduğunu belirtti.
“Yapay zeka insan onurunu merkeze alan bir anlayışla kullanılmalı”
KVKK Başkanı Prof. Dr. Bilir, bilişim teknolojileri alanında en çok konuşulan konuların başında gelen yapay zeka teknolojisinin ülkemize ve dünyaya son derece önemli katkılar sağlayacağını fakat bu teknolojinin insan onurunu merkeze alan bir anlayışla kullanılması gerektiğini belirterek, şunları söyledi:
“Ülkemizin de içinde bulunduğu dijital dönüşüm sürecinin temel unsurlarından birisi veri güvenliğidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu veriden değer üretebilen teknolojilerin kullanılmasına karşı değildir. Aksine bu süreçte kişisel verilerin korunması hususunda teknolojinin sağladığı imkânlardan yararlanılması taraftarıdır.”
İTÜ, KVKK’ya akademik katkı sağlayacak
Protokolün iki yıllık bir süreyi kapsadığını söyleyen İTÜ Rektörü Prof. Dr. Mehmet Karaca, kişisel verilerin korunması konusunda düzenleyici kurum olan KVKK ile yapılan iş birliğinin önemine işaret etti. Her geçen gün büyüyen veri ağıyla birlikte ortaya çıkan veri güvenliğine dikkat çeken Rektör Prof. Dr. Karaca, “Veri mahremiyetini içerecek şekilde veri temelli ekonominin önünü açacak yapay zeka ve veri bilimi uygulamaları geliştirerek Kuruma akademik açıdan katkı sağlamayı amaçlıyoruz. KVKK ile yapay zeka kapsamında kişisel verilerin korunması, veri mahremiyeti ve güvenliği konusunda, kişilerin temel hak ve özgürlüklerini koruyacak ulusal veya uluslararası projeler geliştireceğiz.” değerlendirmesinde bulundu.
Öğrenciler kişisel veriler konusunda bilinçlendirilecek
Protokol kapsamında atılacak adımlara ilişkin bilgi veren Rektör Prof. Dr. Karaca, öğrencilerin kişisel verilerinin korunması konusunda farkındalığını artıracaklarını belirterek şöyle konuştu: “Çift taraflı protokol kapsamında akademik içeriği de zenginleştirerek, geleceğin en önemli konuları arasında yer alan kişisel verilerin korunması hakkında bilinçlendirme çalışmaları da hayata geçireceğiz. Veri güvenliğinin demokratik toplumların vazgeçilmez unsurları arasında yer aldığı gerçeğinden hareketle, KVKK ile ortak bildiri, makale ve raporlar gibi bilimsel çalışmaları hedefliyoruz. Ayrıca kamu ve özel kuruluşlar için de bilgilendirici rehberler hazırlayacağız.”

BAĞLAYICI ŞİRKET KURALLARI HAKKINDA DUYURU

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.
Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.
Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.
6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.

KAMUOYU DUYURUSU (COVID-19 İLE MÜCADELEDE KONUM VERİSİNİN İŞLENMESİ VE KİŞİLERİN HAREKETLİLİKLERİNİN İZLENMESİ HAKKINDA BİLİNMESİ GEREKENLER)

 
Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.
Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.
Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.
Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.
Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.
Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;
6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.
Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.
Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü