İÇİNDEKİLER ÖNSÖZ ................................................................ ...................................................... 7 İÇİNDEKİLER................................................. ............................................................. 9 KISALTMALAR..................................................... .................................................... 17 BİRİNCİ BÖLÜM I. KİŞİSEL VERİLERİN KORUNMASI HUKUKUNA GENEL BAKIŞ ..........................19 A. KİŞİSEL VERİLER VE HUKUKİ KORUMA MEKANİZMALARININ GELİŞİM SÜRECİ........................................................ ................................................. 19 1. Uluslararası Mevzuat Bağlamında Veri Koruma Hukukunun Gelişimi... 19 a. OECD Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler: ............................. 19 b. 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme........................... 20 c. 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi:...................................................... ....... 21 d. 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)........... 22 2. Ulusal Mevzuat Bağlamında Veri Koruma Hukukunun Gelişim Süreci.. 24 a. T.C. Anayasası ................................................................ .................. 25 b. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ................... 26 c. 5809 Sayılı Elektronik Haberleşme Kanunu: .................................... 27 d. 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ..... 28 İKİNCİ BÖLÜM II. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU, VERİ İŞLEME SÜRECİ VE GENEL İLKELER........................................................ ...................29 A. KİŞİSEL VERİLERİN KORUNMASI KANUNU'NUN AMACI VE KAPSAMI......... 29 B. TANIMLAR........................................................ ........................................... 30 1. Kişisel Veri ................................................................ ............................. 30 2. Açık Rıza........................................................... ...................................... 31 3. İlgili Kişi........................................................... ....................................... 34 4. Veri Sorumlusu....................................................... ............................... 34 5. Veri İşleyen....................................................... ..................................... 35 C. GENEL İLKELER ................................................................ ............................ 36 1. Doğru ve Gerektiğinde Güncel Olma..................................................... 36 2. Belirli, Açık ve Meşru Amaçlar İçin İşlenme .......................................... 37 3. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma ............................ 38 4. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme........................................................ 39 5. Hukuka ve Dürüstlük Kurallarına Uygun Olma...................................... 40 D. KİŞİSEL VERİLERİN İŞLENMESİ ................................................................ ..... 41 1. Kişisel Verilerin İşlenmesi (Özel Nitelikli Olmayan) ............................... 41 a. Açık rıza ................................................................ ........................... 42 b. Kanunlarda açıkça öngörülme ......................................................... 43 c. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin veya bir başka kişinin hayatı veya beden bütünlüğünün korunması için mecburi olması........................................................ 43 d. Bir sözleşmenin kurulması ya da ifası için sözleşme taraflarının kişisel verilerinin işlenmesinin zorunlu olması ................................ 44 e. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi amacıyla veri işlemenin zorunlu olması........................................... 44 f. Kişisel verinin ilgili kişi tarafından alenileştirilmiş olması ................ 45 g. Kişisel veri işlenmesinin bir hakkın tesis edilmesi, kullanılması veya korunması için zorunlu olması ................................................ 46 h. Veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması ................................................................ ................. 47 2. Özel (Hassas) Nitelikteki Kişisel Verilerin İşlenmesi .............................. 51 a. Genel Olarak.......................................................... .......................... 51 b. Biyometrik Veri İşlemenin Hukuka Uygunluk Sorunu:..................... 55 c. GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) ve KVK Özelinde "Biyometrik Veri" ...................................................... 56 d. Danıştay'ın Biyometrik Veri İşlenmemesi İlişkin Görüşleri: ............. 58 E. KİŞİSEL VERİLERİN AKTARILMASI ................................................................ 62 1. Kişisel Verilerin Yurt içinde Aktarılması................................................. 62 2. Kişisel Verilerin Yurt dışına Aktarılması................................................. 64 ÜÇÜNCÜ BÖLÜM III. KVKK KAPSAMINDA VERİ SORUMLUSUNA GETİRİLEN YÜKÜMLÜLÜKLER.....69 A. AYDINLATMA YÜKÜMLÜLÜĞÜ............................................... ..................... 69 1. Aydınlatma Yükümlülüğünün Kapsamı.................................................. 70 2. Kişisel Verinin İlgili Kişiden Elde Edilmesi Halinde Aydınlatma Yükümlülüğüne İlişkin Uyulması Gereken Usul ve Esaslar .................... 70 a. Veri Sorumlusunun ve Varsa Temsilcisinin Kimliği .......................... 72 b. Kişisel Verilerin Hangi Amaçla İşleneceği......................................... 73 c. Kişisel Verilerin Kimlere Hangi Amaçlar ile Aktarılabileceği............. 74 d. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi......................... 76 e. İlgili Kişinin KVKK m.11'de Sayılan Hakları ....................................... 78 B. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER (KVKK M.12)....................... 79 1. Kişisel Verilerin Korunmasına İlişkin İdari Tedbirler .............................. 80 a. Mevcut Durumun Tespitinin Yapılması............................................ 80 b. Kişisel Veri Güvenliği Gizliliği ve Korunması Politikalarının Hazırlanması ................................................................ .................... 80 c. Veri Minimizasyonu İlkesi ................................................................ 80 d. Sözleşme ve Protokollerin Yönetimi ................................................ 81 2. Kişisel Verilerin Korunmasına İlişkin Teknik Tedbirler........................... 81 a. Siber Güvenliği Sağlamak....................................................... .......... 81 b. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması .................. 82 c. Sistemin İyileştirilmesi ve Güncellenmesi........................................ 82 3. Veri Sızıntısı (Veri İhlali)........................................................ ................. 83 C. İLKELERE UYGUN HAREKET ETME YÜKÜMLÜLÜĞÜ (KVKK M.4) ................. 84 D. İMHA (SİLME, YOK ETME VEYA ANONİM HALE GETİRME) YÜKÜMLÜLÜĞÜ (KVKK M.7) ................................................................ ....... 84 1. Silme........................................................... ........................................... 85 2. Yok Etme ................................................................ ............................... 87 3. Anonim Hale Getirme......................................................... ................... 87 4. Kişisel Veri Saklama ve İmha Politikasının Hazırlanması: ...................... 89 E.

VERİ İŞLEME ENVANTERİ HAZIRLAMA VE VERBİS'E KAYIT YÜKÜMLÜLÜĞÜ ................................................................ .......................... 94 1. Veri İşleme Envanteri Hazırlama Yükümlülüğü ..................................... 94 2. VERBİS'e Kayıt Yükümlülüğü............................................... ................. 100 a. VERBİS'e İlişkin Kavramlar ............................................................. 100 aa.

İrtibat Kişisi......................................................... ...................... 100 bb. Veri Sorumlusu Temsilcisi ........................................................ 101 b) Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim................. 101 c. Kayıt Yükümlülüğü............................................... .......................... 102 d. Kayıt Yükümlülüğünün İstisnaları .................................................. 104 e. Yükümlülüğe Aykırı Davranmanın Yaptırımı.................................. 105 F. BAŞVURUYU YANITLAMA YÜKÜMLÜLÜĞÜ............................................... 106 G. İLGİLİ KİŞİNİN HAKLARI (M.11).......................................................... ........ 106 DÖRDÜNCÜ BÖLÜM IV. SUÇLAR, KABAHATLER VE BUNLARA KARŞI YARGI YOLU........................... 111 A. SUÇLAR ................................................................ ..................................... 111 1. Genel Olarak ................................................................ ....................... 111 2. Kişisel Verilerin Kaydedilmesi Suçu (TCK m.135)................................. 112 a. Genel Olarak.......................................................... ........................ 112 b. Korunan Hukuki Değer ................................................................ .. 113 c. Suçun Unsurları ................................................................ ............. 113 aa. Maddi Unsur: ................................................................ ........... 113

bb. Manevi Unsur: ................................................................ ......... 113 d. Hukuka Uygunluk Sebepleri .......................................................... 114 e. Suçun Özel Görünüş Biçimleri ....................................................... 114 f. Yaptırım ................................................................ ......................... 114 3. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK m.136).......................................................... ............................... 115 a. Genel Olarak.......................................................... ........................ 115 b. Korunan Hukuki Değer ................................................................ .. 116 c. Suçun Unsurları ................................................................ ............. 116 aa. Maddi Unsurlar:....................................................... ................ 116 bb. Manevi Unsur: ................................................................ ......... 118 d. Hukuka Uygunluk Sebepleri .......................................................... 118 e. Suçun Özel Görünüş Biçimleri ....................................................... 119 f. Yaptırım ................................................................ ......................... 119 4. Verileri Yok Etmeme Suçu (TCK m.138) .............................................. 120 a. Suçun Unsurları ................................................................ ............. 120 aa. Maddi Unsurlar:....................................................... ................ 120 bb. Manevi Unsur........................................................... ................ 120 b. Hukuka Uygunluk Sebepleri....................................................... .... 121 c. Suçun Özel Görünüş Biçimleri...................................................... .. 121 d. Yaptırım ................................................................ .........................121 B. KABAHATLER...................................................... ....................................... 122 1. Kanunda Tanımlanan Kabahatler Ve Yaptırımları ............................... 122 2. Kabahat İdari Yaptırım kararlarına ilişkin Yargı Yolu............................ 125 BEŞİNCİ BÖLÜM V. KİŞİSEL VERİLERİN KORUNMASI KANUNU YASAL UYUM SÜRECİ UYGULAMASI...................................................... .....................................127 A. GENEL OLARAK.......................................................... ................................ 127 B. KANUNİ DAYANAĞI VE GEREKLİLİĞİ................................................. ......... 128 C. UYUMLULUK SÜRECİNE TABİ KİŞİLER...................................................... .. 129 D. YASAL UYUM SÜRECİ DANIŞMANLARI ...................................................... 134 1. Danışmanlık Ekibinde Yer Alacak Kişiler .............................................. 134 2. Danışmanlık Hizmeti Verebilmek Adına Gerekli Yeterliliğe Ulaşmak İçin Yapılabilecekler .............................................................. 135 E. YASAL UYUM SÜRECİ DANIŞMANLIĞI ....................................................... 136 1. Genel Olarak.......................................................... .............................. 136 2. Yasal Uyum Süreci Adımları...................................................... ........... 137 a. Hizmetin Kapsamının Belirlenmesi ve Anlaşma............................. 137 b. Başlangıç Toplantısı ve Farkındalık Eğitimi .................................... 138 c. Departman Görüşmeleri.................................................. .............. 141 aa. Her Bir Departman Görüşmesi İçin Hazırlık Yapılması............ 141 bb. Kişisel Veri İşleme Faaliyetlerinin Veri Sorumlusunun Her Bir Birimi Bazında Tespiti ................................................. 143 d. Envanter Oluşturulması ................................................................ . 145 e. Açık Rıza Düzenlemeleri.................................................. ............... 145 f. Aydınlatma Yükümlülüğünün Yerine Getirilmesi........................... 146 F. OLUŞTURULACAK DOKÜMANLARIN TESPİTİ............................................. 150 G. UYUM SÜRECİNDE İHTİYAÇ DUYULABİLECEK DOKÜMANLAR..................... 151 1. Web Sitesi Aydınlatma Metni ve Çerez Politikası................................ 151 2. Müşteri Aydınlatma Metni ................................................................ .. 152 3. Tedarikçi Aydınlatma Metni ................................................................ 152 4. Ziyaretçi Aydınlatma Metni ................................................................ . 153 5. Çağrı Merkezi Aydınlatma Metni ........................................................ 153 6. Çalışan Aydınlatma ve Rıza Metni ....................................................... 153 7. Çalışan Adayları Aydınlatma Metni ..................................................... 153 8. Çalışanlar İçin Biyometrik Veri Aydınlatma ve Açık Rıza Metni........... 154 9. Çalışanlar İçin Sağlık Verisi Aydınlatma Metni ve Açık Rıza................. 154 10. CCTV Aydınlatma Metni........................................................... ........... 155 11. Etkinlik Kayıt Aydınlatma Metni.......................................................... 155 12. E-Mail Gizlilik Metni........................................................... ................. 155 13. Veri Saklama ve İmha Politikası..................................................... ...... 155 14. Kişisel Verilerin Korunması ve İşlenmesi Politikası.............................. 156 15. Parola Politikası..................................................... .............................. 156 16. İlgili Kişi Başvuru Formu ................................................................ ...... 156 17. Veri İmha Tutanağı...................................................... ........................ 157 18. Görüntü ve Ses Kayıtlarına Erişim Hakkında Ek Protokol.................... 157 19. Ortak Veri Tabanı Kullanımı Protokolü................................................ 157 20. Veri Sorumlusu İle Veri İşleyen Arasındaki İlişkiye Dair Protokol........ 157 21. Veri Güvenliği Protokolü ................................................................ ..... 159 22. Çalışan Gizlilik Taahhütnamesi.................................................. .......... 159 23. İş Ortakları Veri Aktarımı Taahhütnamesi........................................... 159 24. Veri Sorumlusu Organizasyon Şeması................................................. 160 25. İmha Prosedürü..................................................... .............................. 161 26. Eğitim Katılım Beyanı ................................................................ .......... 161 H. SÖZLEŞMELER DÂHİL OLMAK ÜZERE VERİ SORUMLUSU BÜNYESİNDE DOKÜMANTE EDİLEN SÜREÇLERİN KANUN İLE UYUMLU HALE GETİRİLMESİ.................................................. ................... 161 İ. İDARİ VE TEKNİK TEDBİRLERİN BELİRLENMESİ.......................................... 163 1. İdari Tedbirlerin Belirlenmesi.................................................... .......... 163 2. Risk Analizi - (Mevcut Risk ve Tehditlerin Belirlenmesi)..................... 164 3. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları................................ 165 4. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi.... 166 5. Kişisel Verilerin Mümkün Olduğunca Azaltılması................................ 167 6. Veri İşleyenler ile İlişkilerin Yönetimi .................................................. 168 7. Teknik Tedbirlerin Belirlenmesi: ......................................................... 169 a. Sistem Yönetimi ve Bilgi Güvenliği ................................................ 170 b. En Sık Ortaya Çıkan Veri İhlali Sebepleri........................................ 172 aa. Yanlış Yapılandırılmış Bulut Depolama..................................... 172 bb. Korunmasız Kod Depoları....................................................... .. 173 cc.

Zafiyetli Açık Kaynak Yazılımlar ................................................ 174 J. VERİ GÜVENLİĞİ İÇİN YÖNTEM VE UYGULAMALAR.................................. 175 1. Güvenlik duvarı yönetimi: ................................................................ ... 175 2. Ağ yönetimi ................................................................ ......................... 175 3.

Kimlik doğrulama ve erişim yönetimi.................................................. 176 4. File Server dosya yönetimi ................................................................ .. 176 5. Kurumsal Mail yönetimi ................................................................ ...... 177 6. Yedekleme ve Felaket Yönetimi .......................................................... 177 7. Şirket İçi Yetkilendirme - Komisyon Oluşturulması............................. 182 a. Amacı ................................................................ ............................. 182 b. Komisyonunun Görevlerinin Belirlenmesi ..................................... 183 K. VERBİS KAYDININ TAMAMLANMASI.................................................... ..... 185 L. RAPORLAMA İLE BİRLİKTE TESPİT, İHLAL VE ÖNERİLERİN BİLDİRİLMESİ... 188 ÖRNEK DOKÜMANLAR ÖRNEK-1: WEB SİTESİ AYDINLATMA METNİ VE ÇEREZ POLİTİKASI .................. 193 ÖRNEK-2: MÜŞTERİ AYDINLATMA METNİ ....................................................... 199 ÖRNEK-3: ÇALIŞAN ADAYLARI AYDINLATMA METNİ ....................................... 203 ÖRNEK-4: KİŞİSEL VERİ İŞLEME POLİTİKASI ...................................................... 206 ÖRNEK-5: VERİ SAKLAMA VE İMHA POLİTİKASI ............................................... 234 KAYNAKÇA ................................................................ ....................................253