KVKK BÜLTEN- OCAK 2025
Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca KVKK ve KVKK’ya bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2025 Ocak ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede bir adet veri ihlal bildirimi, “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi” ve “Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi”(“Rehber”) yayımlanmıştır.
Kurul ve Türkiye Bankalar Birliği iş birliğiyle hazırlanan Rehber, 1 Haziran 2024 tarihinde yürürlüğe giren KVKK reformları kapsamında güncellenmiştir. Bankaların, KVKK ve ilgili düzenlemelere uyum sağlamalarına rehberlik etmek amacıyla yayımlanan Rehber, yasal çerçevede veri işleme süreçlerine ilişkin pratik bilgiler ve sektörel standartların yükseltilmesine yönelik iyi uygulama örneklerini detaylı bir şekilde sunmaktadır. Kurul, işbu Rehber ile bankaların yükümlülüklerini açıklığa kavuşturarak uyum standartlarını desteklemeyi hedeflemektedir.
VERİ İHLAL BİLDİRİMİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Trabzon Üniversitesi Rektörlüğü
Veri sorumlusu sıfatını haiz olan Trabzon Üniversitesi Rektörlüğü tarafından Kurul’a iletilen veri ihlali bildiriminde; veri sorumlusu personeli ve öğrencilerine ait bazı verilerin siber saldırganlar tarafından internet üzerindeki yasadışı platformlarda satışa sunulduğu, ihlalden etkilenen veri kategorilerinin kimlik veri kategorisine ait; ad, soyad, TC Kimlik numarası, doğum tarihi, anne-baba adı, doğum yeri, iletişim veri kategorisine ait; e-posta adresi, telefon numarası, özlük veri kategorisine ait; kurumsal sicil numarası, unvan, ve lokasyon verileri olduğu belirtilmiştir. Bildirimde, ihlalin 01.01.2025 tarihinde başladığı ve 06.01.2025 tarihinde tespit edildiğine yer verilmiş olup ihlalden etkilenen kayıt sayısının 25.357 olduğu ve ilgili kişi grubunun; veri sorumlusu personeli ve öğrencileri olduğu açıklanmıştır.
GRC LEGAL Yorumu: Siber saldırılar sonucunda gerçekleşen veri ihlalleri, kişisel verilerin muhafazasında her türlü teknik ve idari tedbirin alınması gerekliliğine yapılan vurguların önemini bir kez daha ortaya koymaktadır. Özellikle siber saldırganların bu verileri yasadışı platformlarda satışa sunduğu göz önüne alındığında, verinin günümüzde yeni bir para birimi olarak görüldüğü düşüncesi güçlenmektedir. Bu durum, sadece bireylerin mahremiyetini koruma konusunda değil, ekonomik ve toplumsal riskleri de önlemek açısından da veri güvenliğinin kritik bir öneme sahip olduğunu göstermektedir.
KAMUOYU DUYURUSU
Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Kamuoyu Duyurusu
Kurul tarafından 13.01.2025 tarihinde yayımlanan duyuruda, arabuluculuk süreçlerinde aydınlatma yükümlüğünün yerine getirilmesine ilişkin arabulucuların 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu (“Arabuluculuk Kanunu”) ile KVKK kapsamındaki yükümlülüklerine değinilmiştir.
Arabuluculuk Kanunu uyarınca; arabulucuların, arabuluculuk sürecine başlamadan önce taraflara süreç hakkında bilgi verme yükümlülüğü bulunmaktadır. Ancak bu yükümlülük, yalnızca arabuluculuk faaliyetinin esaslarını kapsamakta olup kişisel veri işleme süreçlerine ilişkin bir bilgilendirmeyi içermemektedir.
Bu noktada KVKK, veri sorumlusu sıfatına sahip olan arabuluculara, kişisel verilerin işlenmesi sürecinde ilgili kişilere aydınlatma yükümlülüğü getirmektedir. KVKK kapsamında arabulucular; taraflara kişisel verilerin hangi amaçlarla işlendiği, verilerin kimlere ve hangi amaçlarla aktarılabileceği, veri toplamanın yöntemi ve hukuki dayanağı ile ilgili kişilerin hakları hakkında bilgi vermelidir. Bu bilgilendirme, veri işleme sürecinin şeffaf bir şekilde yürütülmesini sağlamak amacıyla kişisel verilerin elde edilmesi sırasında veya en geç verilerin işlenmeye başlandığı anda yapılmalıdır.
Aydınlatma yükümlülüğünün yerine getirildiğini ispat etme sorumluluğu veri sorumlusu olarak arabuluculara ait olacağından arabulucuların kişisel veri işleme faaliyetlerini KVKK’ya tam uyumlu bir şekilde yürütmeleri büyük önem taşımaktadır.
Sonuç olarak, arabulucuların, Arabuluculuk Kanunu ile KVKK kapsamındaki bilgilendirme yükümlülüklerini ayrı ayrı yerine getirmesi gerekmektedir. Arabuluculuk sürecinin taraflara sağladığı güven ve şeffaflık ortamının korunabilmesi için hem arabuluculuk faaliyetinin esasları hem de kişisel verilerin işlenmesi hakkında gerekli bilgilendirmenin doğru ve eksiksiz bir şekilde yapılması elzemdir.
GRC LEGAL Yorumu: Kurul tarafından yayımlanan kamuoyu duyurusunda, arabulucuların yalnızca Arabuluculuk Kanunu’ndan kaynaklanan bilgilendirme yükümlülüğünü değil aynı zamanda KVKK nezdindeki aydınlatma yükümlülüğünü de yerine getirmeleri gerektiği ifade edilmiştir. Bu bağlamda, Kurul’un arabulucuları veri sorumlusu olarak nitelendirdiği açıkça görülmektedir.
İlgili duyuru çerçevesinde ilk olarak; aydınlatma metninin niteliği kritik önem arz edecektir. Sürece dahil olan kişiler arasında hem tarafların hem de avukatlarının kişisel verileri bulunacağından hareketle hitap edilen ilgili kişi kitlesinin doğru tespiti, işlenen kişisel verilerin sürece ve taraflara özgü olarak düzenlenmesi gerekecektir. Dolayısıyla, arabulucuların süreçte tek bir taslak metinle hareket etmeden; mevzuatın çizdiği kapsam ve temel ilkeler ile uyumlu bir metin hazırlaması, her bir sürece özgü olacak şekilde metinlerini revize etmesi şarttır. Bu da uygulamada arabulucular için ciddi bir iş yükü anlamına gelmektedir.
Benzer şekilde; telekonferans vb. çevrimiçi yöntemler kullanılarak yapılan arabulucu görüşmelerinde, aydınlatma yükümlülüğünün ne şekilde yerine getirileceği de soru işareti yaratabilecektir. Arabulucunun bu doğrultuda mevzuata uygun olarak düzenleyeceği aydınlatma metnini taraflara sair yollarla iletmesi, aydınlatmayı tebliğ ettiğine dair ispat yükü teşkil etmesi adına da kayıt tutması gerekecektir. E-posta, SMS vb. kanalların tebliğ ve ispat yükü noktalarında sürece ve amaca hizmet edeceği bariz olmakla birlikte, açık rıza alınması gereken bir veri işleme faaliyeti gündeme geldiğinde rızanın alınması aşamasının çevrimiçi süreçlerde daha yavaş ilerleyebileceği düşünülmektedir. Bütün bu süreçlerin uzantısı olarak, arabulucuların pek çok ilgili kişi başvurusu ile karşı karşıya kalma ihtimali de kaçınılmaz gözükmektedir.
Sonuç olarak; arabuluculuk süreçlerinde taraflara, Arabuluculuk Kanunu’na uygun olarak bilgilendirme yapılması ve aynı zamanda KVKK kapsamında gerekli aydınlatmanın tebliğ edilmesi bir zorunluluk haline gelmiştir. Aksi bir tutum sergileyen arabulucuların, aydınlatma yükümlülüğünün ve/veya veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kalemleri nezdinde idari para cezalarıyla karşı karşıya kalması söz konusu olabilecektir.