"Kurul Kararlarının yayımlanması konusunda yetki bir kişide değil, Kişisel Verileri Koruma Kurulu’ndadır. Bu yetki, dayanağını Kanundan almakta olup, Kanunun muhtelif maddelerinde verilmiş görev ve yetkiler kapsamında Kurulca gerekli görülen Kurul Kararları kamuoyu ile paylaşılmaktadır.

Yine, Kanunda yer alan Kurulun gerekli gördüğü kararları kamuoyu ile paylaşabileceği hükmünden hareketle Kurul, çok sayıda kişisel veri işleyen, bu anlamda kişisel veri ihlallerinin sıkça görülebildiği, özel nitelikli kişisel veriler gibi özellikli koruma gerektiren kişisel verilerin işlenmesi süreçlerine ışık tutabilmek, benzer ihlallerde ne gibi önlemler alınabileceğine örnek teşkil etmek ve benzer ihlaller yaşanması halinde Kurulun muhtemel tavrını ortaya koymak amacıyla uygun bulduğu kararları Kurumun web sitesinde özet olarak veya aynen yayımlayabilmektedir.

Kanunun 12 nci maddesinde ise “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü yer almaktadır. Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır.

Kuruma intikal eden veri ihlali bildirimlerinde ilgili kişiye veri sorumlusu tarafından bildirim yapılmamışsa veya yapılan bildirim “Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin”, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun değilse, etkilenen kişi sayısı, etkilenen kişisel veriler ve bu verilerin niteliği, ve olası sonuçlar gibi hususlar dikkate alınarak Kurul kararı ile Kurum internet sayfasında yayınlayabilmektedir.

Dolayısıyla Kurul tarafından veri ihlali bildirimlerinin ilan edilmesine karar verilmesi sürecinde birden fazla kriter esas alınmakta olup, bu kriterler bir bütün olarak değerlendirilmektedir. Bu bildirimler belirli bir disiplin içerisinde hareket edilerek değerlendirilmektedir. Örneğin; ilan edilmesi sürecinde etkilenen kişi sayısı önemli ölçütlerden biri olmakla birlikte Kuruma yapılan bazı veri ihlali bildirimlerinde ihlalden etkilenen kişi sayısının belirtilmediği ya da tespit edilemediği görülmektedir. Bu durumda söz konusu ihlal neticesinde çok sayıda özel nitelikli kişisel verilerin etkilenmesi veya veri sorumlusunun çok yaygın bir müşteri ağına sahip olması gibi ölçütler ihlalin ilgili kişiler üzerinde olumsuz etki doğurma riskinin yüksek olmasına sebebiyet verebileceği göz önüne alınarak Kurul tarafından bu bildirimin Kurumun internet sayfasında yayınlanmasına karar verilebilmektedir. Kurulun yayınlama kararı verdiği durumlarda veri sorumlusu ismiyle birlikte yayınlanmaktadır.

Ayrıca Kurul, veri güvenliği ihlal bildirimleri dışındaki yayınlanmasını uygun bulduğu kararları genellikle unvan belirtmeksizin yayınlamaktadır."

"Yurt dışından gelenler de dahil olmak üzere bugüne kadar Kurula intikal eden başvuru sayısı 9344, bunlardan 7744’ü sonuçlandırıldı. İhlal bildirimlerinden 95 tanesi ilan edildi. Ayrıca Kurulun görev alanına giren çeşitli konularda 548 adet hukuki görüş verildi."

"Bilindiği üzere, 11 inci Kalkınma Planında yer alan hedeflerden biri de 6698 sayılı Kanunun Avrupa Birliği (AB) Genel Veri Koruma Tüzüğü dikkate alınarak güncellenmesidir. Vize Serbestisi Diyaloğu kapsamında da kişisel verilerin korunması mevzuatının AB mevzuatı ile uyumlaştırılması gerekmektedir. Yine, Adalet Bakanlığı İnsan Hakları Eylem Planının ilgili kısmında, Kişisel Verilerin Korunması Kanununun AB standartları ile uyumlu hale getirilmesi, Hazine ve Maliye Bakanlığı Ekonomi Reformları Eylem Planının ilgili kısmında, AB Genel Veri Koruma Tüzüğünün yurt dışına veri aktarılmasına yönelik hükümleri esas alınarak Kişisel Verilerin Korunması Kanununda gerekli değişikliklerin yapılması öngörülmüştür.

Bu çerçevede, Kurum nezdinde Avrupa Genel Veri Koruma Tüzüğü ile 6698 sayılı Kanunun uyumlaştırma çalışmaları devam etmekte olup, konuya ilişkin olarak ilgili diğer kurum ve kuruluşlarla koordineli şekilde çalışılmaktadır."

"6698 sayılı Kanun çerçevesinde güvenli ülke hususu düzenlenmiştir. 6698 Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır.

Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken bir süreç sonrasında ancak karşılıklı olarak ilgili ülkenin de ülkemizi güvenli ülke kabul etmesi halinde sonuçlandırılabilecektir.

Mevcut ve potansiyel ticari ilişkiler, coğrafi ve kültürel bağlar ve siyasi-diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmektedir. Bu kapsamda çalışmalar sürdürülmekte olup; güvenli ülke statüsü tayinine ilişkin çalışmalar ilgili Bakanlıklar ile yakın iş birliği içerisinde yürütülmektedir.

Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.

Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.

Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır.

Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır.

Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurum tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir."

"Aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması bir çok saldırının başarılı olmasına ve kişisel veri ihlallerine imkan sağlamaktadır. Bu durum ilgili kişilere ait çok sayıda kişisel veriye erişilebilmesini mümkün hale getirmekte olup ilgili kişiler nezdinde olumsuz sonuç doğurma olasılığını da arttırmaktadır.

Bilindiği üzere Kişisel Verilerin Korunması Kanununda veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu; diğer yandan Kurulun görev ve yetkileri arasında veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmanın bulunduğu, öte yandan ise şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurulun bu konuda ilke kararı alıp ve bu kararı yayımlayacağı hükme bağlanmıştır.

Bu çerçevede; bahse konu husustan kaynaklanan ihlallerinin meydana gelmesinin önlenmesini ve meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını sağlamak üzere Kurulumuz veri güvenliği rehberi yayınlamış ve ilke kararı almıştır. Bu kapsamda veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesinin önüne geçilmesi amacıyla ilke kararı yayımlanmıştır.

Buna göre söz konusu amacı gerçekleştirebilmek bakımından uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumluları bilgilendirilmiştir. Öte yandan Kişisel Veri Güvenliği Rehberi’nde yetki matrisi, yetki kontrol ve buna benzer birtakım önlemlerin alınması gerektiğinin altı çizilmiştir."

"Tüm dünyada olduğu gibi ülkemizde de etkisini devam ettiren pandemi nedeniyle Veri Sorumluları Siciline kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı bilinmektedir. Bu sebeple VERBİS kayıt süreleri Kişisel Verileri Koruma Kurulu tarafından 2021 yılı sonuna kadar uzatıldı. İçinde bulunduğumuz pandemi koşullarının olumsuz etkilerini en aza indirmek ve veri sorumlularının Sicile kayıt yükümlülüklerini doğru bir biçimde yerine getirebilmesi adına Kurum olarak her türlü destek sağlanıyor.

Kurum tarafından Kişisel verilerin korunması hususunda proaktif ve çözüm odaklı bir çalışma tarzı benimsenmekte. Bu nedenle paydaşlar arasında sürekli etkin bir iş birliği ve fikir alışverişi yapılıyor. Bu bilinçle, hem kamu hem de özel sektörü içine alacak şekilde çeşitli çalışmalar yürütülüyor. Bu kapsamda, gerçekleştirilen farkındalık toplantıları ve ALO 198 bilgi danışma merkezinin yanı sıra, veri sorumlularına rehberlik etmek üzere hazırlanan VERBİS Kılavuzu, Sorularla VERBİS dokümanı ve videolar hazırlanarak Kurumun resmi internet sayfasında kamuoyunun bilgisine sunulmuştur.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kişisel veri işleme süreçlerinin şeffaflığı ve veri sorumlularının hesap verebilirliği açısından çok önemli. Kişilerin verileri üzerinde hakimiyetinin sağlanması, bir anayasal hak olan kişisel verilerinin korunmasını isteme hakkının kullanılmasının temelini teşkil etmektedir.

Veri sorumlularının Sicile kayıt yükümlülüklerini yerine getirirken her zaman Kurum desteğinin veri sorumluları ile birlikte olduğunu bilmeleri, bu yükümlülüğün gereği gibi yerine getirilmesinde izlenmesi gereken adımları takip etmeleri son derece önemlidir. Sicile kayıt yükümlülüğü bulunan veri sorumlularının kişisel veri işleme envanteri ve saklama ve imha politikasını doğru, güncel ve özenli bir biçimde hazırlamaları halinde Sicile kayıt yükümlülüğünü gereği gibi yerine getirmeleri daha kolay olacaktır."

"Kanunun ilgili maddesinde Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı düzenlenmiş olup, Kurul, veri sorumluları hakkında görev alanına giren konularda inceleme yaparak karar vermektedir. Aslında bu inceleme de soruşturma gibi değerlendirilmektedir. Çünkü inceleme sonucunda birtakım yaptırımlar uygulanmaktadır."