ARTICLE
21 April 2022

Türkiye'de Kişisel Verilerin Korunmasi Ve Gizlilik Hukuku Alaninda Önemli Gelişmeler Ve Öngörülerimiz - 2022

G+
Gun + Partners

Contributor

Gun + Partners logo
Gün + Partners is a full-service institutional law firm with a strategic international vision, providing transactional, advisory and dispute resolution services since 1986. The Firm is based in Istanbul, with working offices Ankara and Izmir. The Firm advises in life sciences, energy, construction & real estate, technology, media and telecoms, automotive, FMCG, chemicals and the defence industries.”
Explore Firm Details
Büromuzun, yalnızca Kişisel Verilerin Korunmasına Kanununa ilişkin konuları (uyum, verilerin korunmasına ilişkin danışmanlık, veri sahiplerinin hakları ve talepleri...
Turkey Privacy
Begüm Yavuzdoğan Okumuş,Dicle Doğan,Yalçın Umut Talay
+1 Authors
 Your Author LinkedIn Connections

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK

Büromuzun, yalnızca Kişisel Verilerin Korunmasına Kanununa ilişkin konuları (uyum, verilerin korunmasına ilişkin danışmanlık, veri sahiplerinin hakları ve talepleri, yurt dışına veri aktarımlarılokalizasyon yükümlülükleri, farklı sektörlere özgü kurallar ve düzenlemeler, siber güvenlik konuları ve veri ihlali bildirimleri ile Kişisel Verilerin Korunması Kurulu (Kurul) tarafından alınan kararlara karşı yargı yollarına başvurulması gibi) kapsamakla kalmayıp, aynı zamanda verilere ilişkin lisans sözleşmeleri, iktisaplar, verilerin kullanımı ve veri sahipliği konuları gibi işlemlerle de ilgilenen gizlilik ve verilerin korunması hukuku alanında özel olarak çalışmalarını yoğunlaştırmış bir çalışma grubu bulunmaktadır.

Kişisel verilerin korunmasına ilişkin uyum projelerinin yönetilmesi ve yürütülmesi ve çok uluslu müvekkillere günlük iş ve işleyişlerinde veri koruması alanında tavsiyelerde bulunulması dâhil veri koruma hukukunun her yönüyle ilgilenmekteyiz. Hem global hem de yerel veri gizliliği ekipleriyle çalışmakta ve şirketlerin kanuna uygunluklarını sağlamak üzere bu ekipler ile iş birliği yapmaktayız.

Müvekkillerimize yeni geliştirilen cihazla ve/veya programlarına ilişkin tavsiyeler vermekte ve ilgili mobil uygulamalar veya web siteleri için gerekli politikalar ile belgeleri hazırlamaktayız.

Müvekkillerimizi, ihlal bildirimleri ve Bağlayıcı Şirket Kuralları onayları dâhil uluslar arası aktarım izni başvurularına ilişkin olarak Türkiye'deki Kişisel Verileri Koruma Kurumu ("KVKK") nezdinde temsil etmekteyiz. Davaların yürütülmesi konusundaki derin deneyimimiz sayesinde, müvekkillere - KVKK tarafından verilen aleyhteki kararlara itiraz etmek üzere temyiz stratejileri sağlamaktayız. KVKK'nın kararlarına karşı açılan iptal davalarında müvekkillerimizi Sulh Ceza Mahkemesi nezdinde temsil etmekteyiz. Ekibimiz dahilinde bize cezai soruşturmalar kapsamında destek veren ceza avukatlarımız da bulunmaktadır

Müvekkillerimize, Veri Sorumlusu olarak VeriSorumluluları Sicili'ne tescil edilme yükümlülüklerini yerine getirmeleri konusunda destek vermekte ve onları KVKK nezdinde temsil etmekteyiz. Türkiye'de tescile tabi olan yabancı veri sorumlularınTemsilci olarak atanmaktayız.

Ayrıca, müvekkillerimize birleşme ve satın alma projeleri kapsamında veri aktarımı ve veri koruma kanununa uygunluk konularında danışmanlık hizmeti sağlamaktayız.

Özellikle ilaçlar ve tıbbî cihaz sektörübankacılık, teknoloji, medya ve telekom sektörleri regüle edilen güçlü olduğumuz sektörler arasındadır.

Türkiye'de Kişisel Verilerin Korunması Hukuku ve Gizlilik Alanında Önemli Gelişmeler Ve Öngörüler

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") 2016 yılında yürürlüğe girmiştir. Kanun'un yürürlüğe girmesi öncesinde de gizlilik ve kişisel verilerin koruması hukuku ile ilgilenmekteydik ve Kanun'un yürürlüğe girmesiyle birlikte çalışmalarımızı bu alanda giderek yoğunlaştırdık ve derinleştirdik. Bu yılın raporunda, veri koruma konularının kilit unsurları ve Türkiye'deki gelişmeler ile bu alandaki en önemli hususlara odaklanmaktayız.

2021 yılında da Kişisel Verileri Koruma Kurumu ("KVKK") tarafından çıkarılan çok sayıda veri ihlali kararı olduğu görülmüştür. Bu kararlar Kurum nezdinde yapılan şikâyetlere ışık tutmakta olup, KVKK uzmanları tarafından da ifade edildiği üzere bu konudaki şikâyetlerin sayısı da çarpıcı bir biçimde artmıştır.

Diğer taraftan, global ölçekte ses getiren veri ihlalleri de yine KVKK tarafından takip edildi. KVKK tarafından uygulanan yaptırımlar dikkate değer bir sayıya ulaşmıştır ve bu nedenle gizlilikle ilgili konular Türkiye'de mal/hizmet sağlayan çoğu şirketin (yerli veya global) ajandasının ilk sırasında yer almaktadır. Sigorta, eğitim, sağlık ve hizmet sektöründe pek çok veri sorumlusu hakkında karar alınmıştır ve veri sorumlularınca veri ihlal bildirimlerinde bulunulmuştur. Hem yerli hem de global şirketlere (isim vermek gerekirse Amazon, Whatsapp, Yemek Sepeti, bunlardan birkaçı) KVKK tarafından idari para cezaları uygulanmıştır. Kurum yine kararlarında hakkında karar verilen şirketlerin ismini belirtmeme eğilimine devam etmiştir, ancak belli başlı kararlar bakımından isim verildiği görülmüştür. Gerekçeli/ uzun kararların kamuya açıklanmaması ve veri sorumlularının kimliklerinin kural olarak belirtilmemesi uygulama çokça eleştirilmektedir.

Özellikle, 2021 yılının önemli kararları arasında Whatsapp ve Yemek Sepeti kararları vardır. 2021'in başında WhatsApp hakkında başlatılan soruşturma sonuçlandırılmış ve Kişisel Verileri Koruma Kurulu ("Kurul") tarafından WhatsApp aleyhine ihlal kararı verilerek idari para cezası uygulanmıştır. Bu kapsamda yurtdışına aktarımda açık rızanın önemi ve açık rızanın hukuka uygun alınması gerekliliği açıkça belirtilmiştir. Ayrıca açık rıza verilmesinin hizmetin ön şartı olarak sunulamayacağının da bir kere daha altı çizilmiştir. Bunun yanında Kurul çerezlere ilişkin değerlendirmelerini bu kararda ilk defa yapmıştır. Yemek Sepeti kararında ise, Yemek Sepeti'ne web uygulama sunucusu üzerindeki açık sebebiyle oluşan veri ihlalinde, veri sorumlusunca 8 gün boyunca ihlalin fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğuna işaret edilerek idari para cezasına hükmedilmiştir.

Yargı paketi kapsamında Kanun'un en çok tartışmalı olan 6. Ve 9. Maddeleri hakkında planlanan değişiklik ile ilgili olarak taslak maddeler hazırlanmıştır.

KVKK yıl içerisinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ile Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler yayınlamıştır. Unutulma Hakkı arama motorları özelinde değerlendirilmiştir. Ayrıca Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Yayınlandıktan sonra bu tebliğin AB Genel Veri Koruma Tüzüğü'ne ("GDPR") uyum sağlanması açısından olumlu bir gelişme olduğu düşünülse de Kurum yaptığı açıklama ile burada düzenlenen kurumun Avrupa Birliği Hukuku'ndaki Data Protection Officer'a karşılık gelmediğini belirtmiştir.

Ayrıca 2021 yılında KVKK tarafından Çerez Uygulamasına İlişkin Rehber taslağı kamuoyunun görüş ve önerisine sunulmuştur. Bu rehber taslağı kapsamında çerez türleri, çerezler aracılığıyla veri işleme koşulları, çerez kutularının nasıl hazırlanması gerektiğine ilişkin iyi ve kötü uygulama örnekleri de yayınlanmıştır.

Son olarak KVKK 20 Ocak 2022 tarihinde yayınladığı Kurul kararında "Ortak Veri Sorumlusu" kavramına açıkça yer vermiştir. Karar kapsamında kara liste uygulamasının kullanıldığı araç kiralama şirketlerinin ilgili kişinin verisini hukuka aykırı olarak işlediği ve ilgili kişinin bilgisi olmadan işlediği verileri yazılım aracılığı ile diğer araç kiralama firmaları ile paylaşması sonucunda yapılan işlemenin hukuka aykırı olduğuna ve bu veriler üzerinde hakimiyeti bulunan araç kiralama şirketleri ile yazılım firmalarının ortak veri sorumlusu olduğuna karar verilmiştir. Ortak veri sorumlularının sorumluluğu ve kusuru somut olayın koşullarına uygun olarak olay bazında değerlendirilecektir.

Geride bıraktığımız yılda Türk hukukunda kişisel verilerin korunması ve gizliliği alanındaki gelişmelerin incelendiği bu belgede aşağıdaki konu başlıkları ele alınmıştır:

Bu belgede aşağıdaki konu başlıkları ele alınmıştır:

  • Genel Olarak Kişisel Verilerin Korunması Kanunu
  • Kişisel Verilerin Korunması Kanunu'nun Uygulanması
  • Kişisel Verilerin Hukuka Uygun Olarak İşlenmesi
  • Kişisel Verilerin Korunması Kanunu Kapsamında Açık Rıza
  • Kişisel Verilerin Üçüncü Kişilere Aktarımı
  • Kişisel Verilerin Yurt Dışına Aktarımı
  • Veri İhlali Bildirimi
  • Veri Sorumluları Sicili (VERBIS)
  • Veri İhlalinin Doğuracağı Sonuçlar
  • Kurul Kararlarının Yargısal Denetimi
  • Kişisel Verilerin Korunması Kanunu'nda Planlanan Değişiklikler
  • Çerez Uygulamaları Rehberi Taslağı

Genel Olarak Kişisel Verilerin Korunması Kanunu

7 Nisan 2016 tarihinde, kişisel verilerin korunmasına ilişkin özel kanun Türkiye'de yürürlüğe girmiştir: 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun"). Bu, özellikle kişisel verilerin korunmasını düzenlemesi bakımından Türkiye'de yürürlüğe girmiş ilk kanundur.

Kişisel Verilerin Korunması Kanunu, Türkiye'deki mevzuatı AB mevzuatı ile uyumlaştırmaya yönelik atılmış bir adım olup verilerin korunmasına ilişkin 95/46/EC sayılı Direktif ("Veri Koruma Direktifi") esas alınarak hazırlanmıştır. Kanun, Veri Koruma Direktifi'ne oldukça benzerdir ancak söz konusu Direktif'in bire bir kopyası değildir ve bununla birlikte Kanun hazırlığında GDPR'ın bazı kuralları da dikkate alınmıştır. Kişisel Verilerin Korunması Kanunu'nun, Veri Koruma Direktifi ve GDPR ile arasındaki farklılıklardan bazıları Kişisel Verilerin Korunması Kanunu bakımından iyileştirmelerden ziyade eksiklikler olarak görülebilir.

  • Kişisel Verileri Koruma Kurulu ("Kurul") oluşturulmuştur;
  • Kişisel Verilerin Korunması Kanunu'nda yer verilen çeşitli kavramlara ilişkin birtakım kılavuzlar yayımlanmıştır;
  • Kurul tarafından çeşitli yönetmelikler ve tebliğler (Türk kanunları uyarınca ikincil mevzuat sayılan) hazırlanmış ve yürürlüğe konmuştur. Söz konusu yönetmelikler ile tebliğlerden en dikkat çekenleri şunlardır:
    • Veri Sorumluları Sicili Hakkında Yönetmelil;
    • Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik;
    • Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik;
    • Aydınlatma Yükümlülüğüne İlişkin Tebliğ.
    • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
  • KVKK, farklı konulara ışık tutmak amacıyla çeşitli rehberler hazırlamıştır. Söz konusu rehberlerden en dikkat çekenleri şunlardır:
    • Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler);
    • Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi;
    • Kişisel Veri İşleme Envanteri Hazırlama Rehberi;
    • Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi
    • Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber.
  • KVKK veri ihlaline ilişkin kararlar ve ilke kararları yayınlamıştır ve
  • KVKK'ya veri ihlali bildirimlerinde bulunulmuş ve bu bildirimler kamuya açıklanmıştır.

KVKK düzenli olarak, birtakım konulara açıklık getiren ve veri ihlali olaylarına yönelik prosedürleri ana hatlarıyla belirleyen kararlar ve ilke kararları yayınlamaktadır. Açıklamaya ihtiyaç duyduğumuz konularda yabancı veri koruma kurumlarının kararlarının yanı sıra KVKK'nın kararlarını da yakından takip etmekte ve KVKK tarafından düzenlenen çalıştaylara aktif bir biçimde katılım sağlamakta veya uygulayıcılar ile KVKK uzmanlarının, Kişisel Verilerin Korunması Kanunu'nun uygulanmasını müzakere etmek üzere bir araya geldikleri çalıştaylar düzenlemekteyiz.

To read the full article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Begüm Yavuzdoğan Okumuş
Begüm Yavuzdoğan Okumuş
Photo of Dicle Doğan
Dicle Doğan
Photo of Direnç Bada
Direnç Bada
Photo of Yalçın Umut Talay
Yalçın Umut Talay
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More