KVKK İle İlgili Tüm Sorular ve Cevapları Detaylı Rehber

Kişisel Verilerin Korunması Ne Demek? Neden Bu Kadar Önemli?

Günümüzde neredeyse her işlemimiz dijital ortamda gerçekleşiyor. Banka işlemleri, hastane kayıtları, sosyal medya paylaşımları, alışveriş tercihleri… Hepsi birer kişisel veri. Peki bu veriler kimin elinde? Ne amaçla kullanılıyor? Daha da önemlisi, izinsiz kullanılırsa ne olur?

İşte bu noktada devreye Kişisel Verilerin Korunması Kanunu (KVKK) giriyor. Bu kanun, adeta bir “veri anayasası” gibi çalışıyor. Bireyin verisinin izinsiz toplanmasını, depolanmasını, paylaşılmasını önlemeyi amaçlıyor.

1. Kişisel Verilerin Korunması Ne Anlama Geliyor?

Kişisel verilerin korunması demek, kimliğimizi ortaya koyan bilgilerin — yani adımız, adresimiz, sağlık bilgilerimiz, banka hesaplarımız gibi her türlü özel bilginin — bizden izinsiz işlenememesi demektir.

Bu sadece hukuki bir güvence değil; aynı zamanda kişilik haklarımızın temel bir parçasıdır. Bir kişinin verisi üzerinden onun kim olduğu, nerede yaşadığı, hatta hastalığı bile öğrenilebiliyorsa, bu veriler kontrolsüz kullanıldığında tüm hayatı tehdit altına girer.

2. Türkiye’de Bu Konuda Hangi Yasal Düzenlemeler Var?

Türkiye’de kişisel verilerin korunması birkaç yasal temele dayanır:

• Anayasa Madde 20/3: Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
• 6698 sayılı KVKK: Temel yasal düzenlemedir. 2016’da yürürlüğe girmiştir.
• Türk Ceza Kanunu: Verilerin hukuka aykırı şekilde ele geçirilmesi ve yayılması suçtur.
• Ayrıca Türk Medeni Kanunu, Borçlar Kanunu, Elektronik Haberleşme Kanunu gibi birçok özel kanunda da ilgili hükümler vardır.

3. Anayasal Bir Hak Olarak Bu Koruma Hakkı Neyi Kapsıyor?

Bu hak sadece “verimi paylaşma” demek değildir. Aynı zamanda:

• Bilgilendirilme hakkı,
• Verilere erişme hakkı,
• Düzeltme veya silinmesini isteme hakkı,
• Hatalı veya hukuksuz işlem varsa buna itiraz etme hakkı içerir.

Yani kişinin, kendi verisi üzerinde aktif bir kontrol gücü vardır. Devlet bu hakkı korumakla yükümlüdür.

4. Peki Neden Böyle Bir Kanuna Gerek Duyuldu?

Çünkü teknoloji ilerledikçe veriler kontrolsüzce toplanmaya başlandı.
Sosyal medya uygulamaları, mobil cihazlar, alışveriş siteleri hepimizden farkında olmadan veri topluyor. Bu veriler reklamda kullanılabiliyor, hatta kötü niyetli kişilerin eline geçebiliyor.

Kanun, işte bu kontrolsüz ve izinsiz veri işlemeye “dur” demek için çıkarıldı.

5. Bu Hak Sınırsız mı? Her Şeyi Engelleyebilir miyim?

Hayır. Kişisel verilerin korunması hakkı da sınırlanabilir. Örneğin:

• Milli güvenlik,
• Kamu sağlığı,
• Suçun önlenmesi gibi durumlarda devlet bazı verilere erişebilir.

Ama burada bir denge var: Sınırlama yapılırken bireyin temel hakları zedelenemez. Bu, Anayasa tarafından korunur.

6. Kanun Ne Zaman Yürürlüğe Girdi?

KVKK, 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Bazı maddelerin uygulanması için geçiş süresi tanındı, bu nedenle uygulama 2016’nın sonlarına kadar kademe kademe başladı.

7. Bu Kanunun Asıl Amacı Nedir?

Kanunun amacı çok nettir:

• Bireyin kişisel verisini korumak,
• Bu verileri işleyen kişi ve kurumların sınırlarını çizmek,
• Hak ihlali olursa ceza ve yaptırımlar uygulamak.

Yani hem vatandaşı hem de sistemi düzenlemeyi hedefler. Sadece devlet değil, özel şirketler ve bireyler de bu kurallara uymak zorundadır.

8. Kanun Hangi Durumları Kapsıyor?

Kanun, kişisel verilerin otomatik yollarla işlenmesini kapsar. Bu şu anlama gelir:

• Bilgisayarla yapılan işlemler,
• Dijital veri tabanları,
• Kamerayla yapılan kayıtlar,
• Otomasyon sistemleri.

Ama aynı zamanda otomatik olmayan yöntemle ama bir veri sisteminin parçası olarak yapılan işlemler de bu kapsamdadır.
Yani “ben Excel’e yazıyorum, sistem değil” diyemezsiniz.

9. Kanunun Kapsamı Dışında Kalan Haller Var mı?

Evet, bazı özel durumlar kapsam dışındadır. Örneğin:

• Sadece kişisel, ailevi amaçlarla yapılan işlemler (örneğin düğün albümü),
• Anonimleştirilmiş veriler (kimliği belirlenemeyecek şekilde),
• Mahkemelerin yargı faaliyetleri,
• Milli güvenlik, istihbarat, savunma gibi devlet faaliyetleri.

Bu gibi durumlar özel olarak kanun dışında bırakılmıştır. Ama “kişisel” amaç denilen şey, ticari amaca dönüştüğünde kanun kapsamına girer.

KVKK’da Eski Veriler ve Önceden Alınan Rızalar Ne Olacak?

Kanun yürürlüğe girmeden önce birçok kurum zaten bizden bazı verilerimizi aldı. Peki o veriler ne olacak? Geri mi verilecek? Silinecek mi? Yoksa geçerli sayılacak mı?

10. KVKK Yürürlüğe Girmeden Önce Alınan Rızalar Hâlâ Geçerli mi?

Eğer bu rızalar hukuka uygun şekilde alındıysa ve kişi 1 yıl içinde aksini belirtmediyse, evet geçerli sayılıyor.
Yani kanun, geçmişi tamamen silmiyor ama şeffaflık ve bilgilendirme ilkesi gereği kişiye açıkça hak tanıyor:
“İstersen itiraz et, verini işleyemesinler.”

11. Peki, Kanun Yayınlanmadan Önce Toplanan Kişisel Veriler Ne Olacak?

Burada net bir kural var:
Veri sorumluları, 7 Nisan 2016’dan itibaren 2 yıl içinde bu verileri KVKK’ya uygun hale getirmek zorundaydı.
Bu yapılmadıysa ne olur?

• Ya silinir,
• Ya yok edilir,
• Ya da anonim hale getirilir.

Yani kişiyle ilişkilendirilemez hâle getirilerek sistemde tutulabilir.

Otomatik Sistemler, Elle Kayıtlar ve Defterler KVKK’ya Girer mi?

İnsanlar çoğu zaman şu soruyu sorar:
“Ben sadece bir deftere müşteri ismi yazıyorum, ne var bunda?”
Cevap: O defter sistematikse, KVKK devreye girer.

12. Otomatik veya Kısmen Otomatik İşlem Ne Demek?

Veriler bilgisayarda tutuluyorsa, algoritmalarla işleniyorsa, yani insan müdahalesi minimumsa, bu otomatik sistemdir.
Ama elle yazılıyorsa, ama düzenli şekilde işleniyorsa, yani belirli bir kayıt sistemi varsa, bu da kapsam içindedir.

13. Fiziksel Kayıtlar Kanun Kapsamına Girer mi?

Eğer sadece gelişigüzel yazılmış bir listeyse hayır.
Ama belirli bir düzene göre yazılmışsa (örneğin soyadına göre sıralanmış müşteri listesi gibi), evet girer.

14. Veri Kayıt Sistemi Nedir?

Kişisel verilerin belirli kriterlere göre sınıflandırıldığı ve erişime uygun hale getirildiği sistemdir.
İster bilgisayarda olsun ister klasörlerde.
Önemli olan sistematik ve organize olması.

Kişisel Veri İşleme Ne Demektir?

Bir bilgiyi sadece kaydetmek bile KVKK’ya göre işlem sayılır.
Hatta hiç kullanmasanız da, sadece elinizde tutmanız bile bir “veri işleme” faaliyetidir.

15. Kişisel Veri İşleme Ne Anlama Gelir?

Toplamak, saklamak, kaydetmek, güncellemek, silmek, paylaşmak…
Veri üzerinde yapılan her işlem bu kapsamdadır.
Örnek: Sadece bir diskte veriyi tutmak bile veri işleme sayılır.

16. Veri Sorumlusu Kimdir?

Verilerin ne amaçla toplanacağına, nasıl işleneceğine, nerede saklanacağına karar veren kişidir.
Bu kişi bir kamu kurumu, özel şirket ya da vakıf olabilir.
Yani, sistemin direksiyonunda kim varsa o kişi veri sorumlusudur.

17. Şirket İçindeki Sorumlu Kişi mi, Yoksa Şirketin Kendisi mi Veri Sorumlusudur?

Veri sorumlusu tüzel kişiliktir.
Yani şirketin içinde o işi yapan personel değil, doğrudan şirketin kendisi bu sıfatı taşır.
Ama uygulamada, sorumlu kişinin belirlenmesi gerekir. Ceza da bu tüzel kişiliğe verilir.

Veri Sorumlusu Kimdir, Ne İş Yapar? Peki Ya “Veri İşleyen”?

Bu sorular genelde birbirine karıştırılır. Aslında aradaki farkı bir şirket örneğiyle açıklarsak çok daha netleşir.

18. Veri İşleyen Kimdir?

Veri işleyen, veriyi kendi kararıyla değil; veri sorumlusunun talimatıyla işleyen kişidir.
Örneğin bir hastane, verilerin sahibi (veri sorumlusu) iken; çağrı merkezi firması onun adına randevu sistemini yönettiğinde veri işleyen olur.

Anahtar fark: Yetki kimdeyse, sorumluluk ondadır.

19. Veri Sorumlusu ile Veri İşleyen Aynı Kişi Olabilir mi?

Evet. Bazı faaliyetlerde bir kişi ya da kurum hem verinin sahibi olur hem de işlemeyi kendisi yapar.
Bu durumda iki ayrı sıfatı aynı anda taşıyabilir.

Örneğin bir butik işletme, müşterilerine dair bilgileri alır ve kampanya SMS’lerini kendi gönderirse hem sorumlu hem işleyen odur.

20. Peki, Her İki Unvanı Taşıyan Birinin Sorumluluğu Daha mı Ağırdır?

Evet. Çünkü hem karar verip hem işlemi kendisi yapıyorsa, tüm sürecin sorumluluğu da tek başına ondadır.
İhlalde doğrudan muhatap olur.

21. Veri Sorumlusu ile Veri İşleyen Farklı Kişilerse, Hangi Taraf Sorumludur?

Temel sorumluluk veri sorumlusundadır.
Veri işleyenin görevi ise veri sorumlusunun talimatlarına sadık kalmaktır.
Ancak veri işleyen kişi, görev sınırlarını aşarsa kendi başına da hukuki sorumluluk doğabilir.

22. Bir Şirket Kendi Çalışanlarına Ait Verileri İşliyorsa KVKK’ya Tabi midir?

Evet. Sadece kendi personeliyle sınırlı da olsa, kişisel veri işliyorsa kanun kapsamına girer.
KVKK, çalışan verisini de korur.

23. Verinin Toplandığı Yöntem Önemli mi? Elle veya Dijital Olması Fark Eder mi?

Veri ister bilgisayarla ister elle toplansın, eğer düzenli ve sistematik bir kayıt sistemine dahilse KVKK kapsamındadır.
Deftere yazılan sistematik müşteri listesi de bu kapsamdadır.

24. Kişisel Verilerin İşlenmesinde Uygulanması Gereken Temel İlkeler Nelerdir?

Bu çok kritik. Kanun 6 temel ilke sayar:

1. Hukuka ve dürüstlük kurallarına uygun olmalı
2. Doğru ve gerektiğinde güncel olmalı
3. Belirli, açık ve meşru amaçlarla işlenmeli
4. Amaçla bağlantılı, sınırlı ve ölçülü olmalı
5. İlgili mevzuatta öngörülen süre kadar saklanmalı
6. Sonrasında imha edilmeli veya anonimleştirilmeli

25. “Hukuka ve Dürüstlük Kuralına Uygun” Ne Demek?

Veri işlerken sadece kanuna değil, ahlaka ve genel teamüllere de uymak gerekir.
İnsanlara tuzakla, aldatıcı formlarla, yanıltıcı beyanla rıza alırsanız bu açıkça ihlaldir.

26. Doğru ve Güncel Olması Ne Anlama Geliyor?

İşlediğiniz veri yanlışsa, bu büyük bir risktir.
Veri güncel değilse (örneğin eski adresiyle işlem yapılması), bu da hem bireyi mağdur eder hem sizi cezai sorumluluk altına sokar.

27. Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma Ne Demek?

Bir kişi sadece kargo gönderecekse, ondan medeni durumu, gelir düzeyi gibi bilgileri istemek abartılı olur.
Veri toplarken kendinize şu soruyu sorun:
“Bu veriye gerçekten ihtiyacım var mı?”
Cevap hayırsa, almayın.

Kişisel Veriler Ne Kadar Süre Saklanabilir? Saklama Süresi Geçince Ne Olur?

Veri toplamak kadar, veriyi gerektiği sürece saklamak ve sonra imha etmek de yasal bir zorunluluktur. Sınırsız arşiv diye bir şey yoktur.

28. Kişisel Veriler Ne Kadar Süreyle Saklanabilir?

Veri, toplandığı amaçla doğrudan ilgili olduğu sürece saklanabilir.
Amaç ortadan kalktıysa — örneğin hizmet sona erdiyse — o veriyi sistemde tutmak artık yasal değildir.
Kanun şöyle der: “Amaç sona erince veriyi ya sil ya da anonimleştir.”

29. Saklama Süresi Dolan Verilerle Ne Yapılmalı?

Ya silinmeli, ya yok edilmeli, ya da anonim hale getirilmeli.
Silmek demek: Sistemde artık geri getirilemeyecek şekilde kaldırmak.
Anonimleştirmek demek: Veriyi kişiyle ilişkilendirilemez hale getirmek (örneğin isim-soyadı silip sadece yaş grubu bırakmak gibi).

30. Verilerin Anonim Hale Getirilmesi Ne İşe Yarar?

Veri silinmeden istatistiksel, bilimsel ya da analiz amaçlı kullanılmak isteniyorsa, anonim hale getirme çözüm olabilir.
Anonim veri artık kişisel veri değildir. Dolayısıyla KVKK kapsamının dışına çıkar.

31. Peki, Özel Nitelikli Kişisel Veri Ne Demek?

Bunlar, bir kişiyi ayrımcılığa açık hale getirebilecek en hassas bilgilerdir:

• Irk, etnik köken
• Siyasi düşünce
• Din, mezhep, inanç
• Sağlık bilgileri
• Cinsel hayat
• Genetik ve biyometrik veriler

Bunlara karşı çok daha yüksek düzeyde koruma gerekir.

32. Özel Nitelikli Veriler Her Koşulda İşlenemez mi?

Hayır, açık rıza olmadan işlenemez.
Ancak sağlık ve cinsel hayata ilişkin veriler ancak sır saklama yükümlülüğü bulunan kişiler tarafından işlenebilir. Örneğin bir doktor, hemşire veya sağlık kurumu.

33. Açık Rıza Nedir?

Açık rıza, kişinin özgür iradesiyle, bilgilendirilmiş şekilde onay vermesidir.
“Okudum, anladım, kabul ediyorum” kutucuğunu işaretlemek değil; gerçekten neye onay verdiğini bilmek gerekir.

34. Açık Rıza Nasıl Alınmalıdır?

Rıza, net, belirli ve somut olmalıdır.

• Genel ifadeler (örneğin “tüm işlemler için onay veriyorum”) geçersizdir.
• Ayrıntılı bilgilendirme yapılmalıdır.
• Kayıt altına alınmalı, gerektiğinde ispat edilebilir olmalıdır.

35. Açık Rıza Zorla Alınırsa Geçerli midir?

Kesinlikle hayır.
Kişi, hizmetten yararlanmak için mecbur bırakılıyorsa, bu rıza geçersizdir.
Açık rıza, adından da anlaşılacağı gibi açık, özgür ve bilgilendirmeye dayalı olmalıdır.

36. Açık Rıza Geri Alınabilir mi?

Evet. Kişi dilediği zaman açık rızasını geri çekebilir.
Ve bu durumda veri sorumlusu, artık o veriyi kullanamaz.
Ama geri alma ileriye dönük sonuç doğurur; geçmişte işlenen veriler meşru kalabilir.

Açık Rıza Şart Değilse Hangi Durumlarda Kişisel Veri İşlenebilir?

“Açık rıza almazsam hiçbir veri işleyemem” diye düşünen çok kişi var. Ama kanun böyle demiyor. Bazı durumlarda rıza almadan da veri işlemek mümkün. Elbette bazı kurallar dahilinde…

37. Kişisel Veriler Açık Rıza Olmaksızın Ne Zaman İşlenebilir?

KVKK’da açık rıza dışındaki yedi temel hukuki işleme şartı sayılmıştır. Bunlar varsa ayrıca rıza gerekmez:

1. Kanunlarda açıkça öngörülüyorsa
2. Fiili imkânsızlık varsa ve kişinin rızası alınamıyorsa
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgiliyse
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi gerekiyorsa
5. Kişi verisini alenileştirmişse
6. Bir hakkın tesisi, kullanılması veya korunması için zorunluysa
7. Meşru menfaat için gerekliyse ve kişinin temel haklarına zarar vermiyorsa

38. Fiili İmkânsızlık Halinde Veri İşlemek Ne Demek?

Kişi bilincini yitirmişse veya onay veremeyecek durumdaysa, hayati durumlar için rıza aranmaksızın veri işlenebilir.
Örneğin trafik kazası geçirmiş birinin sağlık bilgileri acil müdahale için doktor tarafından işlenebilir.

39. Meşru Menfaat Durumunda Açık Rıza Gerekir mi?

Eğer veri sorumlusunun meşru bir menfaati varsa ve bu menfaat, ilgili kişinin temel hak ve özgürlüklerine zarar vermiyorsa, açık rıza aranmaz.
Ama bu oldukça hassas bir dengedir.
Örneğin işyerinde kamera kaydı olabilir; ama bu kayıt soyunma odasına yapılırsa meşru menfaat sınırını aşar.

40. Battaniye Rıza Ne Demektir? Neden Geçersizdir?

“Her türlü işlem için onay veriyorum” gibi ucu açık, belirsiz ve kapsamı bilinmeyen onaylar geçersizdir.
Açık rıza, ancak belirli bir işleme amacıyla, net ve anlaşılır biçimde verildiğinde geçerlidir.
Yani kişiye neye “evet” dediği açıkça anlatılmalı.

41. Açık Rıza İçin Önceden Hazırlanmış Kutucuklar Yeterli mi?

Hayır. Onay kutucuğunun önceden işaretli olması, geçerli açık rıza sayılmaz.
Kullanıcının kendi iradesiyle bunu işaretlemesi gerekir.
Aksi halde bu işlem, rızaya değil dayatmaya dönüşür.

42. Açık Rıza Alınmadan Kişisel Veri İşlenirse Ne Olur?

Bu durum kanuna aykırı veri işleme sayılır.
Veri sorumlusu hakkında idari para cezası uygulanabilir.
Ayrıca kişi uğradığı zarar nedeniyle tazminat da talep edebilir.

Kişisel Verimin İşlenip İşlenmediğini Nasıl Öğrenebilirim?

İşte KVKK’nın en güçlü yönlerinden biri burada devreye giriyor: kişinin verisi üzerindeki denetim hakkı.

43. Kişisel Verim İşleniyor mu Bunu Nasıl Sorgulayabilirim?

Her birey, veri sorumlusuna başvurarak şunları öğrenme hakkına sahiptir:

• Hakkında kişisel veri işlenip işlenmediğini
• İşlenmişse hangi verilerin işlendiğini
• İşleme amacını ve bu amacın gereği gibi kullanılıp kullanılmadığını
• Yurt içinde veya dışında kime aktarıldığını

44. Bilgilendirme Yükümlülüğü Veri Sorumlusuna mı Aittir?

Evet. Veri sorumlusu, kişiye verilerinin hangi amaçla işlendiğini, ne kadar süreyle saklanacağını ve kimlerle paylaşılacağını açıkça bildirmek zorundadır.
Bu yükümlülük her işleme öncesinde yerine getirilmelidir.

45. Kişisel Verilere Erişim Talebi Nasıl Yapılır?

Kişi, veri sorumlusuna yazılı olarak (veya varsa belirttiği e-posta/başvuru sistemi üzerinden) başvuruda bulunabilir.
Veri sorumlusu bu başvuruya en geç 30 gün içinde yazılı olarak yanıt vermek zorundadır.

Kişisel Verimi Düzeltmek veya Sildirmek İstiyorum. Bu Hakkım Var mı?

Evet. KVKK sadece verinin toplanmasını değil, aynı zamanda doğru şekilde işlenmesini ve gerekirse silinmesini de güvence altına alır. Bu haklar sadece teorik değil, doğrudan uygulanabilir haklardır.

46. Kişisel Verilerimin Hatalı Olduğunu Fark Ettim. Ne Yapabilirim?

Veriniz yanlışsa, veri sorumlusuna başvurarak düzeltilmesini isteyebilirsiniz.
Bu, kanuni bir haktır ve veri sorumlusu talebinizi incelemekle yükümlüdür.
İstersenize rağmen düzeltmiyorsa, Kuruma şikâyet hakkınız doğar.

47. Verilerimin Silinmesini veya Yok Edilmesini Talep Edebilir miyim?

Evet.

• Veri işleme amacı sona ermişse
• İşleme hukuka aykırı hale gelmişse
• Açık rızanızı geri çekmişseniz

Bu durumlarda verilerinizin silinmesini, yok edilmesini ya da anonimleştirilmesini talep edebilirsiniz.

48. Talebimi İlettiğimde Ne Kadar Sürede Cevap Almalıyım?

Veri sorumlusu, talebinize en geç 30 gün içinde cevap vermelidir.
Eğer cevap verilmezse, Kişisel Verileri Koruma Kurulu’na (KVKK) başvuru yolu açılır.

49. Kurula Başvurmadan Önce Ne Yapmalıyım?

Önce veri sorumlusuna yazılı olarak başvurmalısınız.
Eğer cevaptan memnun kalmazsanız ya da cevap hiç verilmezse, bu işlemden itibaren 60 gün içinde Kurula şikâyet edebilirsiniz.

50. Kurula Yapılan Şikâyet Üzerine Ne Olur?

Kurul şikâyeti inceler, gerekirse yerinde denetim yapar ve ihlalin varlığına karar verirse idari para cezası uygular.
Ayrıca verilerin silinmesi, yok edilmesi ya da aktarımının durdurulması gibi yaptırımlar da getirebilir.

Kişisel Verilerim Yurt Dışına Aktarılabilir mi? Aktarılırsa Ne Olur?

Bu konu özellikle e-posta servisleri, bulut sistemleri, sosyal medya platformları nedeniyle çok sık karşımıza çıkıyor. Peki yurt dışına veri aktarımı yasal mı?

51. Kişisel Verilerim Yurt Dışına Aktarılabilir mi?

Evet ama bazı şartlarla.

• Açık rıza varsa aktarım yapılabilir.
• Açık rıza yoksa ancak yeterli korumanın bulunduğu ülkeler için aktarım mümkündür.
• Aksi hâlde, Kurul’un izni gerekir.

52. Yeterli Koruma Sağlanan Ülkeler Listesi Var mı?

Evet, Kişisel Verileri Koruma Kurulu tarafından belirlenen ülkeler “güvenli ülke” olarak ilan edilir.
Bu liste günceldir ve Kurumun web sitesinde yayımlanır.
Güvenli olmayan ülkeye aktarım için Kurul onayı şarttır.

53. Açık Rızam Olmadan Verim Yurt Dışına Aktarıldı. Ne Yapabilirim?

Bu durum kanuna aykırı veri aktarımıdır.
Doğrudan Kurula şikâyette bulunabilirsiniz. Kurul, ilgili kurum veya şirket hakkında idari yaptırım uygular.

54. Kişisel Verilerimin Hangi Kurum ve Kişilerle Paylaşıldığını Öğrenebilir miyim?

Evet.
Veri sorumlusuna başvurarak verilerinizin kimlerle, ne amaçla ve hangi hukuki gerekçeyle paylaşıldığını öğrenme hakkına sahipsiniz.

55. Başvurumu Redderlerse Ne Yapabilirim?

Reddedildiyse veya cevap verilmediyse, en geç 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyet başvurusunda bulunabilirsiniz.
Kurul, konuyu inceleyip sonuçlandırmak zorundadır.

Bir Kurum Hakkında Şikâyette Bulundum. Sonuçlar Kamuya Açık mı?

Evet. Kurul, bazı kararlarını kamuoyu ile paylaşır. Bu sayede örnek uygulamalar gelişir ve standartlar oluşur.

56. Kişisel Verileri Koruma Kurulu Kararları Nereden Takip Edilebilir?

Kurulun resmî internet sitesinde yayımlanan kararlar kamuoyuyla paylaşılır.
Bazı kararlar anonimleştirilerek yayımlanır. Böylece kişi ismi açıklanmaz ama hukukî değerlendirme öğrenilebilir.

57. Mahkemeye Gitmek İçin Önce Kurula Şikâyet Etmek Zorunlu mu?

Hayır.
İdari süreçten bağımsız olarak doğrudan mahkemeye başvurabilirsiniz.
Kurula şikâyet, bir alternatif yoldur ama zorunlu değildir.

58. Kurulun Verdiği Cezalar Ne Türdür?

Kurulun uygulayabileceği cezalar arasında şunlar yer alır:

• Uyarı
• İlgili işlemin durdurulması
• Verilerin silinmesi
• İdari para cezaları (2024 yılı için üst sınırı milyon TL düzeyindedir)

Bu cezalar hem özel sektörü hem kamu kurumlarını kapsar.

59. Kurul, Kendi Kararıyla Denetim Yapabilir mi?

Evet.
Şikâyet olmasa bile Kurul resen (kendiliğinden) denetim yapabilir.
Özellikle hassas sektörlerde (sağlık, eğitim, finans gibi) bu sıkça uygulanır.

Kişisel Veriler Korunuyor mu? Siber Saldırıya Uğrarsam Kim Sorumlu?

KVKK yalnızca verilerin “yasaya uygun işlenmesini” değil, aynı zamanda bu verilerin güvenliğini de sağlama yükümlülüğünü veri sorumlusuna yükler. Yani veri çalınırsa, “benim suçum değil” deme lüksü yok.

60. Veri Sorumlusu, Kişisel Verilerin Güvenliğini Sağlamak Zorunda mı?

Evet, bu yasal bir zorunluluktur.
KVKK, veri sorumlusunun hem teknik hem de idari önlemleri alarak veriyi korumasını şart koşar.
Yani sadece sistem kurmak yetmez; bu sistemin saldırılara karşı da güvenli olması gerekir.

61. Veri Güvenliği İhlali Olursa Ne Olur?

Eğer bir veri ihlali meydana gelirse (örneğin sistem hacklenirse ya da yetkisiz kişiye erişim sağlanırsa), veri sorumlusu:

• İlgili kişiyi derhal bilgilendirmekle,
• En geç 72 saat içinde Kuruma bildirimde bulunmakla yükümlüdür.

62. Kişisel Veri İhlallerinde Kurul Ne Yapar?

Kurul, ihlalin niteliğine ve etkisine göre inceleme başlatır.
Gerekirse denetim yapar, veri sorumlusundan savunma ister ve idari yaptırımlar uygular.
Ayrıca ihlalin boyutu büyükse, kamuoyu ile paylaşılmasına da karar verebilir.

63. İhlali Yaşayan Kişinin Tazminat Talep Etme Hakkı Var mı?

Evet.
Veri ihlali nedeniyle zarar gören kişi, Türk Borçlar Kanunu hükümleri uyarınca tazminat talep edebilir.
İdari para cezasından ayrı olarak, maddi ve manevi zarar için mahkemeye başvurulabilir.

64. “İlgili Kullanıcı” Ne Demektir?

Bu terim, veriye doğrudan erişim yetkisi olan personel ya da sistem kullanıcılarını ifade eder.
Örneğin bir bankada müşteri temsilcisi, veriye doğrudan erişiyorsa ilgili kullanıcıdır.

65. Veri Sorumlusu Hangi Teknik Tedbirleri Almalıdır?

Bu tedbirler, sistemin altyapısına göre değişir ancak genel olarak:

• Güçlü parola politikası
• Antivirüs ve güvenlik duvarları
• Gerekli şifreleme sistemleri
• Erişim loglarının tutulması
• Yetkisiz erişimin engellenmesi

gibi önlemler mutlaka alınmalıdır.

66. İdari Tedbirler Nelerdir?

Teknik önlemlerin yanında, organizasyonel önlemler de şarttır. Örneğin:

• İç politika ve prosedürler oluşturulmalı
• Çalışanlara veri güvenliği eğitimi verilmelidir
• Verilere erişim rol bazlı sınırlandırılmalıdır
• Veri envanteri oluşturulmalıdır

67. Tüm Bu Tedbirler Alındıysa Sorumluluk Biter mi?

Hayır.
KVKK’da “önlem aldım, ama yine de ihlal oldu” diyerek sorumluluktan kaçmak mümkün değil.
Alınan önlemler yeterli değilse ya da ihmalkârlık varsa, veri sorumlusu tam sorumlu kabul edilir.

68. Kurumların Veri Güvenliği Konusunda Personeline Eğitim Vermesi Zorunlu mu?

Evet.
Veri güvenliğinin sağlanmasında en zayıf halka genellikle insan faktörüdür.
Bu nedenle çalışanlara düzenli olarak veri güvenliği eğitimi verilmesi kanuni bir yükümlülüktür.

69. Veri Sızıntısı Olduğunda Şirket Bunu Kamuoyuna Açıklamak Zorunda mı?

Kurul gerekli görürse evet.
Özellikle büyük çaplı ihlallerde, kişilerin haberdar edilmesi ve risklere karşı önlem alması amacıyla ihlalin kamuoyuna duyurulması emredilebilir.
Şeffaflık, KVKK’nın temel prensiplerindendir.

VERBİS Nedir? Kimler Kayıt Olmak Zorunda? Kayıt Olmayanlara Ne Olur?

KVKK’nın en pratik uygulama araçlarından biri olan VERBİS, veri sorumlularının tüm veri işleme süreçlerini şeffaf biçimde kamuya beyan ettikleri dijital bir sistemdir.

70. VERBİS Nedir?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), kişisel veri işleyen gerçek ve tüzel kişilerin, işledikleri verileri, hangi amaçlarla kullandıklarını ve ne kadar süreyle sakladıklarını Kamuya açık şekilde beyan ettikleri bir kayıt sistemidir.

71. VERBİS’e Kayıt Olmak Neden Zorunlu?

Amaç şeffaflık.
Veri sorumluları, hangi veriyi neden ve nasıl işlediklerini beyan ederek hem bireyleri bilgilendirir hem de denetim mekanizmasının parçası haline gelir.
Bu sistem sayesinde vatandaş, hangi kurumun hangi verisini tuttuğunu öğrenebilir.

72. VERBİS’e Kimler Kayıt Olmak Zorunda?

Genel kural şudur:

• Yıllık çalışan sayısı 50’den fazla olan veya
• Yıllık mali bilançosu 25 milyon TL’nin üzerindeki tüm gerçek/tüzel kişiler
  VERBİS’e kayıt olmak zorundadır.

Ayrıca ana faaliyeti özel nitelikli veri işlemek olan (örneğin hastaneler, psikologlar, diş hekimleri) ölçekten bağımsız olarak kayıt yükümlülüğü altındadır.

73. VERBİS’e Kayıt İçin Son Tarih Var mı?

Kurul zaman zaman son tarihler ilan eder.
Ancak esas olan, yükümlülük doğduğu anda kayıt yapılmasıdır.
Geç kayıt, idari para cezası ile sonuçlanabilir.

74. VERBİS’e Kayıt Olmamanın Cezası Nedir?

2024 yılı itibarıyla VERBİS’e kayıt olmama cezası:
100.000 TL ile 1.000.000 TL arasında değişmektedir.
Cezanın miktarı, kurumun niteliği ve ihlalin kapsamına göre belirlenir.

75. VERBİS’e Kimler Kayıt Yaptırmak Zorunda Değildir?

Kurul, bazı veri sorumlularını istisna kapsamına almıştır. Örneğin:

• Avukatlar
• Serbest muhasebeci ve mali müşavirler
• Bakkal, terzi gibi küçük esnaflar
• Apartman yöneticileri

Ancak istisna yalnızca kayıt zorunluluğu açısından geçerlidir; KVKK’nın diğer hükümlerine uyulmak zorundadır.

76. VERBİS’e Kayıt Olmayan Ama Veri İşleyen Bir Esnaf Sorumluluktan Kurtulur mu?

Hayır.
İstisna sadece sisteme kayıt için geçerlidir.
Ancak bu kişiler de verileri hukuka uygun şekilde işlemek, güvenliği sağlamak ve gerektiğinde silmekle yükümlüdür.

77. VERBİS’e Nasıl Kayıt Olunur?

Kayıt işlemi, https://verbis.kvkk.gov.tr adresi üzerinden gerçekleştirilir.
Kurumlar önce sistemde kullanıcı oluşturur, ardından veri envanteri ile birlikte kayıt işlemlerini tamamlar.
Karmaşık görünse de Kurul bu konuda detaylı kılavuzlar yayımlamıştır.

78. VERBİS’e Kayıt Olunduktan Sonra Sürekli Güncelleme Gerekir mi?

Evet.
Veri işleme süreçlerinde değişiklik olduğunda — örneğin yeni bir veri kategorisi eklendiğinde, veri aktarımına başlandığında — VERBİS kaydı güncellenmelidir.
Aksi halde eksik veya yanıltıcı kayıt nedeniyle ceza doğabilir.

79. VERBİS Sadece Türkiye’deki Kurumlar İçin mi Zorunlu?

Hayır.
Türkiye’de faaliyet gösteren, burada veri işleyen yabancı şirketler de VERBİS’e kayıt olmak zorundadır.
Bu şirketler, Türkiye’de temsilci atayarak kayıt işlemini tamamlamalıdır.

Kurul Kimdir? Ne İş Yapar? Para Cezaları Ne Kadar Ciddi?

KVKK’nın yürütülmesinden sorumlu olan en yetkili kurum, **Kişisel Verileri Koruma Kurulu (KVK Kurulu)**dur. Bu Kurul sadece denetim değil, aynı zamanda yol gösterme, rehberlik etme ve kamuoyunu bilgilendirme görevi de üstlenir.

80. Kişisel Verileri Koruma Kurulu Kimlerden Oluşur?

Kurul, Cumhurbaşkanı tarafından seçilen toplam 9 üyeden oluşur.
Üyelerin hukuk, kamu yönetimi, bilişim ve teknik alanlarda uzmanlık sahibi olması beklenir.
Bağımsız karar alabilirler, siyasi otoriteden talimat alamazlar.

81. Kurulun Görevi Nedir?

Kurulun temel görevleri şunlardır:

• Kişisel verilerin korunmasını denetlemek
• Vatandaşların şikâyetlerini incelemek
• Gerekli durumlarda resen inceleme başlatmak
• VERBİS’i yürütmek
• İlke kararı almak
• İdari para cezaları uygulamak

82. Kurulun Kararları Bağlayıcı mıdır?

Evet.
Kurulun kararları idari işlem niteliğindedir ve bağlayıcıdır.
Ancak bu kararlara karşı idari yargıda (İdare Mahkemesi) dava açmak mümkündür.

83. Kurulun Uyguladığı İdari Para Cezaları Ne Kadardır?

2024 yılı için örnek ceza aralıkları şunlardır:

• Aydınlatma yükümlülüğüne aykırılık: 50.000 – 1.000.000 TL
• Veri güvenliğine ilişkin önlemleri almamak: 100.000 – 1.500.000 TL
• Kurul kararına aykırı davranmak: 200.000 – 1.500.000 TL
• VERBİS’e kayıt olmamak: 100.000 – 1.000.000 TL

Bu rakamlar her yıl yeniden değerleme oranında artırılır.

84. Aynı Eylemden Hem Kurul Hem Mahkeme Ceza Verebilir mi?

Evet.
Kurul idari ceza verir.
Ancak aynı fiil, örneğin verileri hukuka aykırı şekilde yaymak gibi bir suç oluşturuyorsa, savcılık tarafından ceza davası da açılabilir.
Yani kişi hem idari para cezası hem hapis cezasıyla karşılaşabilir.

85. Kurul Kararları Mahkemeye Taşınabilir mi?

Evet.
Kurulun idari para cezası veya diğer kararlarına karşı, kararın tebliğinden itibaren 60 gün içinde idare mahkemesinde iptal davası açılabilir.
Yani Kurul mutlak güç değildir; kararları yargı denetimine açıktır.

86. Kurul, Ceza Mahkemesi Gibi Delil Toplayabilir mi?

Hayır.
Kurul idari bir organdır. Ceza Mahkemesi gibi zorla delil toplama yetkisi yoktur.
Ancak bilgi ve belge isteme, yerinde inceleme yapma gibi denetim yetkileri vardır.
Ceza davası gerekiyorsa, konuyu savcılığa bildirir.

87. Kurul Tarafından Uygulanan Cezalar Kime Uygulanır?

Cezalar doğrudan veri sorumlusuna verilir.
Eğer veri sorumlusu tüzel kişiyse (örneğin bir şirket), ceza şirkete uygulanır.
Ancak şirket içinde ihmali ya da kastı olan personel ayrıca disiplin veya tazminat sorumluluğuna uğrayabilir.

88. Kurul Kararıyla Verilerin Silinmesine Karar Verilirse Ne Olur?

Veri sorumlusu, Kurulun bu kararını en geç 30 gün içinde yerine getirmek zorundadır.
Getirmezse hakkında hem yeni cezai işlem uygulanır hem de kararın zorla yerine getirilmesi için yargı yoluna gidilebilir.

Her Veri Kişisel Veri midir? Peki Ya Anonim Hale Gelen Veriler?

Veri toplamak bir sorumluluk işidir. Her veri, KVKK kapsamında değildir. Bazı veriler kişisel olmaktan çıkar, bazılarıysa özel nitelik taşır. Bu farklar pratikte çok şey değiştirir.

89. Anonim Veri Nedir?

Anonim veri, kişiyi belirleyemeyeceğimiz hale getirilmiş veridir.
Yani veriden o kişinin kim olduğunu artık anlayamazsınız.
Örneğin: “35 yaşında bir kadın, İstanbul’da yaşıyor” demek anonim olabilir; ama isim-soyisim varsa bu anonim değildir.

90. Anonimleştirme Nasıl Yapılır?

İsim, TC kimlik numarası, adres gibi tanımlayıcı bilgiler veri kümesinden çıkarılır.
Kişiyle ilişki kurulamayacak seviyeye gelmişse veri artık anonimdir.
Ama dikkat: “Maskelenmiş” veri her zaman anonim olmaz. Geriye dönük kimlik tespiti mümkünse hâlâ kişisel veridir.

91. Anonim Veriler KVKK’ya Tabi midir?

Hayır.
Bir veri gerçekten anonimleştirilmişse, artık kişisel veri sayılmaz.
Dolayısıyla KVKK hükümleri bu veri için uygulanmaz.
Ancak anonimleştirildiği iddia edilen verinin aslında geri döndürülebilir olması durumunda kanun devreye girer.

92. Ölmüş Kişilere Ait Veriler KVKK Kapsamında mı?

KVKK sadece yaşayan bireyleri kapsar.
Ancak ölen kişiye ait verilerin paylaşılması, hâlâ yaşayan yakınlarının özel hayatını etkileyebilir.
Bu nedenle ölmüş kişilere ait veriler, dolaylı etkileri nedeniyle hassas şekilde korunmalıdır.

93. Gerçek Kişi ile Tüzel Kişi Verisi Arasında Fark Var mı?

Evet.
KVKK sadece gerçek kişilere ait verileri korur.
Şirketlere, derneklere, vakıflara ait bilgiler KVKK kapsamında değildir.
Ancak bir tüzel kişiliğin temsilcisinin adı-soyadı varsa, o bölüm kişisel veri sayılabilir.

94. Tüzel Kişiler KVKK’ya Tabi midir?

Evet.
Tüzel kişiler (örneğin şirketler), veri sorumlusu sıfatıyla KVKK’ya tabidir.
Yani başkasının verisini işledikleri için değil, sahip oldukları sistem üzerinden kişisel veri işledikleri için sorumlu olurlar.

95. Kamu Kurumları da KVKK’ya Tabi midir?

Evet.
Kamu kurumları da veri işledikleri için KVKK hükümlerine uymak zorundadır.
Ancak bazı özel hallerde (örneğin milli güvenlik, kamu düzeni gibi durumlarda) istisnalar söz konusu olabilir.

96. Kamu Kurumlarının Veri İşlemesi Nerede Sınırlandırılır?

Kanun, kamu kurumlarına da sınırlar çizer.
Her ne kadar görevleri gereği veri işleseler de, bu işlemenin:

• Amaçla bağlantılı,
• Sınırlı ve ölçülü olması,
• Hukuka uygun yapılması

gerekir. Aksi halde vatandaşın hakları ihlal edilmiş olur.

97. Milli Güvenlik Gibi Durumlarda KVKK Uygulanmaz mı?

Kanunun 28. maddesine göre, milli savunma, kamu güvenliği, kamu düzeni, ekonomik güvenlik gibi konularda veri işleme KVKK’dan istisna tutulabilir.
Ancak bu istisna keyfi değil, kanunda açıkça tanımlanmış durumlarda geçerlidir.

98. İstisnalar Ne Zaman Geçerli Olur?

Bir veri işleme faaliyeti kanunla açıkça öngörülmüşse, ya da özel durumlar (örneğin suç soruşturması) varsa istisnalar devreye girer.
Bu, otomatik muafiyet değil, gerekçeye dayalı bir sınırlamadır.

99. Emniyet ve İstihbarat Birimleri KVKK’ya Tabi mi?

İlke olarak evet. Ancak:

• Suçun önlenmesi, soruşturulması,
• Devlet güvenliğinin sağlanması,
• İstihbari faaliyetler

gibi durumlarda KVKK hükümleri uygulanmaz.
Ama bu durumlarda bile veri işleme kanuni sınırlar içinde kalmalıdır.

100. KVKK İle Diğer Mevzuatlar Arasında Çelişki Olursa Hangisi Uygulanır?

KVKK özel kanun niteliğindedir.
Ancak öncelikli olan, özel kanunda açıkça düzenlenmiş haktır.
Örneğin sağlık verileriyle ilgili Sağlık Bakanlığı mevzuatı daha detaylı düzenleme içeriyorsa, uygulamada öncelik o kanunundur.

101. Kişisel Veri İşlemenin Hukuki Dayanağı Yoksa Ne Olur?

Bu durumda veri işlemesi hukuka aykırıdır.
Veri sorumlusu hem idari ceza hem de tazminatla karşılaşabilir.
Ayrıca veri, derhal silinmeli veya yok edilmelidir.

102. Kişisel Veri İşleme Faaliyetinin İspatlanması Gerekir mi?

Evet.
Veri sorumlusu, veri işleme faaliyetinin hukuka uygun olduğunu ispatla yükümlüdür.
Aksi takdirde varsayım, kişinin haklı olduğu yönündedir.
Bu ilke KVKK’da “tersine ispat yükü” mantığıyla işler.

103. Kişisel Veri İhlaline İlişkin Şikâyetler Gerçek İsimle mi Yapılmalı?

Evet.
Kurul, başvuruların gerçek kişi tarafından ve ispatlı olarak yapılmasını ister.
Anonim ya da takma adla yapılan başvurular dikkate alınmaz.
Ancak şikâyette bulunan kişi kimliğinin gizlenmesini talep edebilir.

Kişisel Veriler Nerelerde Daha Çok İhlal Ediliyor? En Hassas Veriler Hangileri?

Kişisel veriler içinde bazıları var ki, “yanlış ellere geçtiğinde” doğrudan ayrımcılık yaratabilecek kadar hassas. Sağlık bilgileri, çocuklara ait veriler, siyasi görüş gibi veriler bu kategoriye girer ve işlenmesi ciddi kurallara tabidir.

104. Sağlık Verileri KVKK’ya Göre Özel Nitelikli Veri midir?

Evet.
Sağlık bilgileri, kişinin en mahrem alanını oluşturur ve özel nitelikli kişisel veri olarak kabul edilir.
Bu veriler, ancak açık rıza ile veya kamu sağlığının korunması gibi kanuni zorunluluklarla işlenebilir.

105. Sağlık Verileri Hangi Hallerde Açık Rıza Olmadan İşlenebilir?

• Tıbbi teşhis ve tedavi süreçlerinde
• Kamu sağlığının korunması amacıyla
• Sağlık hizmetlerinin planlanması ve finansmanı için
  Bu gibi durumlarda, sır saklama yükümlülüğü bulunan kişiler tarafından rıza aranmaksızın işlenebilir.

106. Cinsel Hayat Verileri Nasıl Korunur?

Cinsel yaşamla ilgili veriler de özel nitelikli kişisel veridir.
Bunların işlenmesi yalnızca kişinin açık ve bilgilendirilmiş rızası ile mümkündür.
Hiçbir koşulda “dolaylı yoldan öğrenilen” bilgiler, rıza olmadan işlenemez.

107. Çocuklara Ait Kişisel Veriler Daha Fazla Korunur mu?

Evet.
Çocukların kişisel verileri, onların gelişim düzeyi ve kırılganlığı nedeniyle özel koruma altına alınmıştır.
Velisinin rızası olmadan veri işlenemez. Reklam ve pazarlama amacıyla asla kullanılamaz.

108. 18 Yaşından Küçükler KVKK Kapsamında Başvuru Yapabilir mi?

İlgili kişinin 18 yaşından küçük olması durumunda veli veya vasisi KVKK başvurusu yapabilir.
Ancak istisnai durumlarda, ergin sayılan küçükler (örneğin evlenmiş bir 17 yaşındaki) bireysel başvuru hakkını kullanabilir.

109. Sosyal Medyada Paylaşılan Fotoğraflar Kişisel Veri midir?

Evet.
Bir kişinin açık kimliğini ortaya koyabilecek her türlü fotoğraf ve video kaydı, kişisel veridir.
Paylaşımın kamuya açık olması, verinin sınırsız şekilde işlenmesine rıza verildiği anlamına gelmez.

110. Kişinin Sosyal Medyada Yayınladığı İçerik Alenileşmiş Veri Sayılır mı?

Kısmen.
Kişi kendisi yayınlamışsa bu “alenileştirme” sayılabilir.
Ancak bu durum, o veriyi her amaçla ve sınırsız sürede işleyebileceğiniz anlamına gelmez.
Amaç, kapsam ve süre sınırlaması hâlâ geçerlidir.

111. Reklam Amaçlı SMS Göndermek İçin Ne Gerekir?

Öncelikle açık rıza gerekir.
Kişinin izni olmadan ticari elektronik ileti gönderilmesi hem KVKK’ya hem de Elektronik Ticaret Kanunu’na aykırıdır.
Şikâyet edilmesi halinde idari para cezası uygulanır.

112. Bir Web Sitesine Ziyaret Ettiğimde Verim İşleniyor mu?

Evet.
Çerezler (cookies), IP adresi, tarayıcı bilgisi gibi birçok veri arka planda toplanır.
Bu verilerin hangi amaçla toplandığı, ne süreyle saklanacağı açıkça bildirilmeli ve gerekiyorsa onay alınmalıdır.

113. Aydınlatma Metni ile Açık Rıza Metni Aynı Şey midir?

Hayır.
Aydınlatma metni: Kişiye verisinin nasıl işleneceği hakkında bilgi verilmesidir.
Açık rıza: Kişinin buna izin vermesidir.
Bu iki metin ayrı olmalı, birleştirilmemelidir.

114. Kişisel Veri İşleyen Herkes Aydınlatma Yapmak Zorunda mı?

Evet.
Veri işleme faaliyetine başlamadan önce ilgili kişiye, veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir.
Bu yükümlülüğün ihlali, idari para cezası doğurur.

115. E-Posta Listesine Kayıt Yapan Biri Sürekli Mail Almak Zorunda mı?

Hayır.
Kişi dilediği zaman bu e-posta listesinden çıkma hakkına sahiptir.
Ayrıca bu çıkış hakkı, her e-postada açık ve erişilebilir şekilde sunulmak zorundadır.

116. Kişisel Veriler Reklamcılıkta Profil Oluşturmak İçin Kullanılabilir mi?

Ancak açık rıza varsa evet.
Veri sahibinin izni olmadan profilleme yapmak — örneğin ilgi alanlarını belirleyerek ona göre reklam göstermek — KVKK’ya aykırıdır.

117. Üçüncü Taraflara Veri Aktarımı İçin Ne Gerekir?

Açık rıza şarttır.
Kişinin verisini üçüncü bir firmaya, özellikle de pazarlama ya da analiz firmalarına aktarmak istiyorsanız, bu işlem açık ve özgür rızaya dayanmalıdır.

118. KVKK’da “Veri Sahibi” Ne Demektir?

Veri sahibi, kişisel verisi işlenen bireydir.
Hukuki metinlerde “ilgili kişi” olarak da anılır.
Yani verinin öznesi kimse, kanun onun haklarını korur.

119. Açık Rızamla Verilen Bir Veriyi Geri Alabilir miyim?

Evet.
KVKK, açık rızayı geri alma hakkını tanır.
Bunun ardından veri sorumlusu, işleme faaliyetini durdurmalı ve veriyi imha etmelidir (eğer başka bir yasal dayanak yoksa).

120. İşlenen Verilerin Silinmesini Talep Etmem Mümkün mü?

Eğer veri işleme amacı sona ermişse ya da rızanızı geri çekmişseniz, veri sorumlusu bu verileri:

• Silmeli
• Yok etmeli
• Veya anonimleştirmelidir.

Bu hak kişisel veri üzerindeki denetimin en güçlü yansımasıdır.

121. Veri Sorumlusunun Aydınlatma Yapmadığını Nasıl Kanıtlarım?

KVKK, ispat yükünü veri sorumlusuna yükler.
Yani kişi “aydınlatılmadım” diyorsa, veri sorumlusu aydınlattığını ispatlamakla yükümlüdür.
Bu nedenle yazılı belge ya da sistem kaydı gerekir.

122. Yalnızca Ad ve Soyad Kişisel Veri Sayılır mı?

Evet.
Tek başına ad-soyad, kişinin kimliğini belirlemeye yeterli olabileceği için kişisel veri sayılır.
Ancak ad-soyad + T.C. kimlik numarası gibi verilerle birlikte kullanılırsa daha hassas hale gelir.

123. Şirket İçi Personel Listeleri KVKK’ya Tabi midir?

Evet.
Çalışanların adı, soyadı, telefon numarası, e-posta bilgileri gibi veriler de kişisel veridir.
Bu nedenle işyeri içinde dahi olsa KVKK kurallarına uygun işlenmelidir.

124. Güvenlik Kamerası Kayıtları Kişisel Veri midir?

Evet.
Görüntü ve ses kayıtları, kişisel veridir.
Bu nedenle işyerleri, apartmanlar ve mağazalar kamera kaydı yapıyorsa, uygun bilgilendirme tabelaları koymak ve verileri güvenli biçimde saklamak zorundadır.

125. KVKK Yalnızca Dijital Veriler İçin mi Geçerlidir?

Hayır.
Veri işleme elle yapılsa bile, sistematik bir kayıt sisteminin parçasıysa KVKK kapsamına girer.
Örneğin klasörlenmiş müşteri dosyaları, elle tutulan personel listeleri bu kapsamdadır.

İnternetten Silinmek Mümkün mü? Arama Motorları, Sosyal Medyalar Sorumlu mu?

Dijital dünyada iz bırakmamak neredeyse imkânsız. Ancak KVKK, bu izlerin silinebilmesi ve kontrol altına alınabilmesi için “unutulma hakkı” gibi güçlü araçlar sunar. Peki bu nasıl işler?

126. Unutulma Hakkı KVKK’da Var mı?

Evet.
Kişi, belli bir süre sonra verilerinin dijital ortamdan silinmesini talep edebilir.
Bu hak, Avrupa’daki “right to be forgotten” kavramına paraleldir.
Özellikle arama motorlarında çıkan, artık güncelliğini yitirmiş içeriklerin kaldırılması bu kapsamda değerlendirilir.

127. Google Gibi Arama Motorları Veri Sorumlusu Sayılır mı?

Evet.
Kurul, bazı kararlarında Google’ı veri sorumlusu olarak değerlendirmiştir.
Çünkü kişi hakkında oluşturulan bağlantılı içeriklerin listelenmesi, doğrudan veri işleme faaliyetidir.

128. Arama Motorlarından İçerik Kaldırmak İçin Ne Yapmalıyım?

Önce ilgili arama motorunun “içerik kaldırma başvuru formu” doldurulmalıdır.
Eğer içerik hâlâ yayındaysa, veri sorumlusuna başvuru yapılır.
Olumsuz cevap gelirse veya cevap verilmezse, Kurula şikâyet hakkı doğar.

129. Sosyal Medyada Hakkımda Paylaşılan İçeriği Sildirebilir miyim?

Evet.
İlgili içeriğin sizi tanımlayıcı nitelikte olması durumunda, kişisel verinizin hukuka aykırı işlendiği gerekçesiyle silinmesini talep edebilirsiniz.
Özellikle ifşa, rızasız fotoğraf paylaşımı, özel hayat ihlali gibi durumlar buna girer.

130. Profil Çıkarma Nedir? KVKK Bunu Yasaklıyor mu?

Profil çıkarma (profiling), kişinin davranışları, tercihleri, geçmişi gibi verilere bakılarak onun hakkında otomatik bir tahmin veya sınıflandırma yapılmasıdır.
KVKK buna doğrudan karşı çıkmaz ama bu işlem kişiyi mağdur edecek nitelikteyse açık rıza gerektirir.

131. Otomatik Karar Verme Nedir?

Bir sistemin, kişinin verilerini analiz ederek insan müdahalesi olmaksızın karar vermesidir.
Örneğin: “Bu kişiye kredi verme” diyen otomatik bankacılık sistemi.
Bu tür kararlar, kişinin hayatını etkileyecek düzeydeyse KVKK tarafından sınırlandırılmıştır.

132. Otomatik Kararlara İtiraz Etme Hakkım Var mı?

Evet.
Kişi, tamamen otomatik sistemlerce verilmiş kararlara itiraz edebilir ve insan müdahalesi talep edebilir.
Veri sorumlusu, bu talebe uygun davranmak zorundadır.

133. Yapay Zekâ Sistemleri Kişisel Veri İşleyebilir mi?

Evet ama kurallar dahilinde.
Yapay zekâ, kişinin davranışlarını analiz ediyorsa, bu bir kişisel veri işlemidir.
Açık rıza, şeffaflık ve güvenlik yükümlülükleri aynen geçerlidir.

134. Kişisel Veriler Açık Kaynaklardan Toplanabilir mi?

Açık kaynak demek serbest kullanım demek değildir.
Kişisel veriler kamuya açık olsa bile, bu verilerin toplanması ve işlenmesi KVKK’ya uygun olmalıdır.

135. Şirketler Çalışanlarının Sosyal Medyasını İzleyebilir mi?

Hayır.
İşverenin kontrol yetkisi sınırlıdır.
Sosyal medya faaliyetleri, kişisel alanın parçasıdır. Ancak çalışan bu faaliyetleri işyeri cihazı üzerinden yapıyorsa, denetim belli şartlarla mümkündür.

136. E-Devlet Verileri KVKK Kapsamına Girer mi?

Evet.
E-devlet sistemleri kişisel veri içerir.
Bu nedenle hem devleti hem de entegre kurumları veri sorumlusu olarak kabul ederiz.
Bu veriler hukuka aykırı şekilde sızdırılırsa ağır cezai sonuçlar doğar.

137. İşe Alım Sürecinde Adli Sicil Kaydı İstenebilir mi?

Ancak mevzuatta açıkça belirtilmişse istenebilir.
Her pozisyon için adli sicil kaydı talep etmek, orantısız bir veri işleme sayılabilir.
Özellikle “temiz kağıdı” şartı, istismar edilmeye açıktır.

138. Güvenlik Soruşturması KVKK’ya Aykırı mı?

Hayır, ama sınırlıdır.
Kamu görevlisi atamalarında yapılan güvenlik soruşturmaları kanuni düzenlemeye dayandığı sürece geçerlidir.
Ancak bu soruşturmalarda elde edilen verilerin korunması yine KVKK kapsamındadır.

139. Kişisel Veriler Mahkeme Kararıyla İşlenebilir mi?

Evet.
Mahkeme kararları, KVKK’dan önce gelir.
Bir delil elde etmek veya ceza soruşturması yürütmek için verilen mahkeme kararına dayalı veri işleme işlemleri, istisna kapsamındadır.

140. Ses Kayıtları Kişisel Veri midir?

Evet.
Kişinin ses kaydı da onun tanımlayıcı bir parçasıdır.
Dolayısıyla izinsiz ses kaydı almak kişisel veri ihlali doğurur.
Ayrıca bu durum Ceza Kanunu’na göre suç da oluşturabilir.

141. Hastanelerde Hasta Bilgileri Görülebilir Yerde Olabilir mi?

Hayır.
Teşhis, tedavi, rapor, ilaç bilgileri gibi veriler özel nitelikli kişisel veridir.
Bunların ekranlarda, koridorda ya da muayene dışı ortamlarda açıkta olması KVKK’ya aykırıdır.

142. Mağazalarda Kimlik Fotokopisi Alınması Yasal mı?

Ancak çok sınırlı hallerde mümkündür.
Örneğin fatura iadesi, GSM hattı açılışı gibi kimlik teyidinin zorunlu olduğu işlemlerde fotokopi alınabilir.
Ama fotokopide gereksiz bilgiler (örneğin din, medeni hal) kapatılmalıdır.

143. Ürün Teslimi İçin Kimlik İbrazı Zorunlu mu?

Eğer ürünün niteliği, ödeme şekli ya da güvenlik nedeniyle kimlik doğrulaması gerekiyorsa evet.
Ama bu bilgi sadece o teslim işlemiyle sınırlı kalmalı, sistematik arşiv yapılmamalıdır.

144. Kişisel Veri Paylaşımı İçin Yazılı Sözleşme Gerekli mi?

Evet.
Özellikle başka bir firma ya da kişiyle veri paylaşımı varsa, bu ilişkinin mutlaka bir veri işleme protokolü ya da sözleşmesi ile sınırları belirlenmelidir.

145. Kayıp Kimlik Bildirimi Kişisel Veri İhlali Sayılır mı?

Kimlik kaybı, ciddi bir kişisel veri riski doğurur.
Bu nedenle kişinin vakit kaybetmeden nüfus müdürlüğüne başvurması, ardından bankalar ve dijital hizmet sağlayıcılara bilgi vermesi gerekir.
Kimlik çalınması, dolandırıcılık olaylarında kullanılabilir.

146. Alışveriş Sonrası Fiş veya Fatura Üzerinde Kişisel Veri Yer Alabilir mi?

Evet.
İsim, adres, vergi numarası gibi bilgiler kişisel veri sayılır.
Bunların üçüncü kişilerce görüntülenmesi veya açıkta bırakılması KVKK ihlali doğurabilir.

147. KVKK’ya Göre “Veri Tabanı” Ne Anlama Gelir?

Veri tabanı, kişisel verilerin düzenli biçimde işlendiği ve erişildiği sistematik dijital ortamlardır.
Excel listesi de, gelişmiş bir CRM programı da veri tabanı sayılır.
Her biri KVKK kapsamında güvenli olmalıdır.

148. Her Şifreleme Yeterli midir?

Hayır.
Şifreleme düzeyi, verinin hassasiyetine uygun olmalıdır.
Örneğin sağlık verilerini basit kullanıcı şifreleriyle korumak yetersiz teknik tedbir sayılır.
Kurul bu durumda cezai yaptırım uygulayabilir.

149. Açık Rıza Verdim Ama Sözleşme İptal Oldu. Verim Silinmeli mi?

Eğer açık rıza, sözleşmeye bağlı bir işlem için verilmişse ve sözleşme sona ermişse, veri işleme amacı da sona ermiş demektir.
Bu durumda veriler derhal silinmeli ya da anonim hale getirilmelidir.

150. KVKK ve Anayasa Arasında Nasıl Bir İlişki Vardır?

KVKK, Anayasa’nın 20. maddesindeki özel hayatın gizliliği ilkesinin uygulama aracıdır.
Anayasa’da tanımlanan “kişisel verilerin korunması hakkı”, KVKK ile somut kurallara bağlanmıştır.
Yani KVKK, doğrudan anayasal bir hakkın güvencesidir.

KVKK’da Açık Rıza Ne Zaman Geçerli Sayılır? Her Onay Rıza mıdır?

“Açık rıza aldık, iş bitti” diyen kurumlar büyük bir yanılgı içindedir. Çünkü her onay, geçerli açık rıza anlamına gelmez. KVKK bu konuda çok net kriterler koymuştur.

151. Açık Rıza Geçerli Olması İçin Hangi Şartları Taşımalıdır?

Üç temel şart vardır:

• Özgür iradeyle verilmiş olmalı
• Belirli bir işleme amacı için verilmiş olmalı
• Açık ve anlaşılır bir biçimde verilmiş olmalı

Bu üç şarttan biri eksikse, o rıza geçersizdir.

152. Önceden İşaretlenmiş Kutucuk Açık Rıza Sayılır mı?

Hayır.
Kullanıcının kendisinin aktif olarak seçim yapması gerekir.
Önceden işaretlenmiş kutucuklar veya “devam ediyorsanız kabul etmiş sayılırsınız” ifadeleri geçersiz rıza anlamına gelir.

153. Açık Rızayı Geri Almak Mümkün mü?

Evet.
Kişi dilediği zaman rızasını geri alabilir.
Rıza geri alındıktan sonra veri işlenmeye devam ederse bu açıkça hukuka aykırılık teşkil eder.

154. Açık Rızanın Yazılı Olması Şart mı?

Hayır.
Yazılı olmak zorunda değildir. Ancak ispat edilebilir olması şarttır.
E-posta, SMS, log kaydı, onay ekran görüntüsü gibi delillerle rızanın varlığı kanıtlanabilmelidir.

155. Tek Bir Açık Rıza ile Tüm Amaçlar Kapsanabilir mi?

Hayır.
Açık rıza “genel geçer” değil, belirli bir işlem için verilmiş olmalıdır.
“Her türlü faaliyette verimi işleyebilirsiniz” şeklindeki rızalar geçersiz sayılır.

KVK Kurulu Gerçekten Ceza Kesiyor mu? Hangi Kararlar Öne Çıkıyor?

Evet. Kurul bugüne kadar çok sayıda önemli karar verdi ve milyonlarca liralık ceza uyguladı. Aşağıda bunlardan bazıları örneklerle açıklanmıştır.

156. Kurul, Eczane Sahibini Neden Cezalandırdı?

Bir eczanenin, ilaç alan hastaların bilgilerini açıkça görebilecek şekilde ekran konumlandırması nedeniyle veri güvenliği ihlali tespit edildi.
Eczaneye 75.000 TL para cezası verildi.

157. Kurul, İşyeri Kameralarını Gerekçesiz Yönlendirdiği İçin Ceza Verdi mi?

Evet.
Bir işyerinde kamera sisteminin tuvalet koridoruna yönlendirilmiş olması nedeniyle “özel hayatın gizliliği” ihlali görüldü ve 250.000 TL idari ceza kesildi.

158. Kurul, Bir Kargo Şirketine Neden Ceza Verdi?

Teslimat sırasında başka bir kişinin kargosunu farklı bir kişiye teslim ettiği ve kimlik bilgilerini ifşa ettiği için 120.000 TL ceza verildi.

159. Kurul, Rıza Almadan Ticari SMS Gönderen Şirkete Ne Yaptı?

Kurul, rıza alınmadan reklam mesajı gönderen GSM firmasına 900.000 TL idari para cezası verdi.
Gerekçe: Açık rıza olmadan kişisel verinin pazarlama amacıyla işlenmesi.

160. Kurul, Bir AVM’ye Neden Ceza Verdi?

AVM otoparkına girişte araç plakasının sistematik olarak kaydedilip analiz edilmesi ancak bu konuda aydınlatma yapılmaması sebebiyle 150.000 TL ceza kesildi.

Hangi Sektörlerde KVKK İhlalleri Daha Sık Görülüyor?

Bazı sektörlerde veri işleme yoğunluğu çok fazla. Bu durum, ihlal riskini de artırıyor. Kurul kararlarına göre en sık sorun çıkan sektörler şunlardır:

161. Sağlık Sektöründe En Sık Yapılan KVKK İhlali Nedir?

• Hastaların verilerinin yetkisiz personele açık bırakılması
• Ekranların herkesin görebileceği alanda olması
• Dosya ve raporların kilitlenmeden tutulması

Bu gibi uygulamalar, özel nitelikli veri güvenliği ihlalidir.

162. Eğitim Kurumlarında Ne Tür İhlaller Oluyor?

• Öğrencilerin sınav sonuçlarının ilan panolarında herkese açık şekilde paylaşılması
• Disiplin kayıtlarının diğer velilerle paylaşılması
• Kamera sisteminin sınıflara yönlendirilmesi

Bu durumlar KVKK’ya aykırıdır.

163. E-Ticaret Siteleri Hangi Hataları Yapıyor?

• Sipariş geçmişi ve kullanıcı verilerinin silinmemesi
• Üyelik iptali sonrası verilerin tutulmaya devam etmesi
• Üçüncü taraf çerezlerle kullanıcı davranışlarının izlenmesi

Kurul bu konuda çok sayıda ceza vermiştir.

164. Bankacılık Sektöründe En Çok Hangi İhlaller Görülüyor?

• Müşteri temsilcisinin, müşterinin izni olmadan hesap bilgilerini üçüncü kişiyle paylaşması
• İnternet bankacılığı giriş verilerinin kayıtsız şartsız alınması
• Sesli yanıt sisteminde yeterli bilgilendirme yapılmaması

Bu tür işlemler ciddi veri ihlali sayılır.

KVKK Cezaları Artıyor mu? Son Dönemde Uygulanan Para Cezaları Ne Düzeyde?

Kurul’un 2024 ve 2025 yıllarında verdiği kararlar, artık cezaların hem sayıca arttığını hem de rakamsal olarak büyüdüğünü gösteriyor.

165. 2024’te En Yüksek KVKK Cezası Ne Kadar Oldu?

Bir online pazarlama şirketi, 2 milyondan fazla kişinin verisini açık rıza olmadan üçüncü taraflara ilettiği için 2.250.000 TL para cezası aldı.
Bu, şimdiye kadar verilmiş en yüksek cezalardan biridir.

166. KVKK Cezaları Artık Mahkemeye Gitmeden Kesilebiliyor mu?

Evet.
Kurul, incelemeyi tamamladıktan sonra doğrudan ceza kararı verebiliyor.
Kurumlar mahkemeye başvurabilir ama ceza tahakkuk etmiş olur.

167. Kurulun Ceza Verdiği Kurumlar Kamuya Açık mı?

Evet, çoğu karar anonimleştirilmiş olarak Kurul’un internet sitesinde yayımlanıyor.
Böylece benzer ihlaller için emsal kararlar oluşuyor.

168. İdari Ceza Alan Kurum, Cezayı Durdurmak İçin Ne Yapabilir?

60 gün içinde idare mahkemesine iptal davası açabilir.
Ancak dava açmak cezanın tahsilini otomatik olarak durdurmaz.
Yürütmenin durdurulması ayrıca talep edilmelidir.

169. Tazminat Davası İdari Cezadan Bağımsız mıdır?

Evet.
Kurul idari ceza verir, vatandaş tazminat davası açabilir.
Aynı olay nedeniyle hem idari hem özel hukuk yaptırımı uygulanabilir.

170. Mahkeme Kurul Kararını Ne Ölçüde Denetler?

Mahkeme yalnızca kararın hukuka uygun olup olmadığını denetler.
Kurul’un değerlendirme ve takdir alanına karışmaz.
Ancak açık usul hatası veya ölçüsüzlük varsa iptal kararı verilebilir.

KVKK’ya Uyum Ne Demek? Şirketler Ne Yapmalı? Avrupa’daki GDPR ile Ne Fark Var?

Kişisel veri koruma hukukunda sadece “yasaya aykırı hareket etmemek” yetmez. Kurumlar aktif şekilde sistem kurmalı, dokümantasyon hazırlamalı ve süreci yönetmelidir. Bu sadece yasal zorunluluk değil, kurumsal güvenilirlik göstergesidir.

171. KVKK’ya Uyum Süreci Nedir?

Uyum süreci, bir kurumun tüm veri işleme faaliyetlerini KVKK hükümlerine uygun hale getirmesi demektir.
Bu kapsamda:

• Mevcut uygulamalar analiz edilir
• Riskli noktalar belirlenir
• Teknik ve idari önlemler alınır
• Politika ve prosedürler hazırlanır

172. KVKK Uyum Süreci Ne Kadar Sürer?

Kuruma, sektöre ve işlenen veri yoğunluğuna göre değişir.
Küçük bir işletme için 1-2 ay sürebilirken, çok uluslu bir şirketin uyumu 6 ayı bulabilir.
Süreç dinamik olduğundan, periyodik güncellemeler de gerekir.

173. Veri Envanteri Nedir?

Veri envanteri, bir kurumun elinde tuttuğu tüm kişisel verileri kategori bazında listelediği ve işleme amaçlarını belirttiği detaylı tablodur.
VERBİS kaydının temelidir.
Veri envanteri olmadan KVKK’ya uyum sağlamak mümkün değildir.

174. Veri Envanterinde Neler Yer Almalı?

• Veri türü (isim, TC no, e-posta vb.)
• İlgili kişi grubu (müşteri, çalışan, tedarikçi vb.)
• Veri işleme amacı
• Aktarılan kişi/kurumlar
• Saklama süresi
• Hukuki dayanak
• Alınan güvenlik önlemleri

175. Veri Minimizasyonu İlkesi Nedir?

Veri minimizasyonu, “gerekli olan kadar veri işleme” ilkesidir.
Yani fazla veri toplamak yerine, amacın gerektirdiği kadar veriyle yetinme zorunluluğudur.
Bu ilkeye aykırılık ciddi yaptırım doğurur.

176. Örnek: Müşteri Doğum Tarihi Almak Gerekli mi?

Eğer doğum günü kutlaması, yaş analizi gibi bir amacınız yoksa müşterinin doğum tarihi bilgisi minimizasyon ilkesine aykırı şekilde toplanmış olur.
Gerek yoksa almayın.

177. KVKK Politikası Ne Demektir?

KVKK politikası, kurum içi veri koruma kültürünü oluşturan, çalışanlara ve dış paydaşlara yönelik rehber belgedir.
Genellikle şunları içerir:

• Genel ilkeler
• Personel sorumlulukları
• İhlal halinde yapılacaklar
• Gizlilik taahhüdü

178. Örnek Kurumsal Dokümanlar Neler Olmalıdır?

• Açık rıza formları
• Aydınlatma metinleri
• Kişisel veri saklama ve imha politikası
• Gizlilik sözleşmeleri
• Üçüncü taraf veri işleme sözleşmeleri

179. Çalışanlar KVKK Uyum Sürecine Nasıl Dahil Edilir?

• KVKK eğitimi verilir
• Rol ve sorumluluklar tanımlanır
• Yetkisiz erişim sınırlandırılır
• Çalışanlarla gizlilik sözleşmesi yapılır

Personel, en zayıf halka değil, bilinçli bir savunma duvarı olmalıdır.

180. KVKK Uyum Süreci Neden Sürekli Güncellenmelidir?

Çünkü:

• Mevzuat değişebilir
• Kurum içi süreçler farklılaşabilir
• Yeni sistemler devreye alınabilir

Bu nedenle uyum süreci tek seferlik değil, canlı bir süreçtir.

Türkiye’de KVKK ile Avrupa’daki GDPR Aynı mı? Ne Fark Var?

KVKK, Avrupa’daki GDPR’dan (General Data Protection Regulation) ilhamla hazırlanmış olsa da aralarında yapısal farklar vardır. Bu farkları bilmek, yurt dışı işlem yapan kurumlar için özellikle önemlidir.

181. GDPR Hangi Ülkelerde Geçerlidir?

Avrupa Birliği üyesi ülkelerde ve AB vatandaşı bireylerin verisini işleyen tüm küresel şirketlerde geçerlidir.
Yani Türkiye’deki bir şirket bile AB vatandaşının verisini işliyorsa GDPR’a tabi olabilir.

182. GDPR ile KVKK Arasındaki Temel Farklar Neler?

183. GDPR’daki “Taşınabilirlik Hakkı” KVKK’da Var mı?

KVKK’da doğrudan bu isimle yer almıyor.
Ancak kişi, kendi verisinin başka bir hizmet sağlayıcısına aktarılmasını isteme hakkına sahiptir.
Kurul uygulamaları bu yönde gelişmektedir.

184. GDPR’da Profil Çıkarma Sıkı Şekilde Sınırlandırılmış mı?

Evet.
GDPR, kişisel veriler üzerinden yapılan otomatik profilleme işlemlerini ciddi şekilde denetler.
Özellikle kredi skoru, işe alım gibi konularda profil çıkarma, açık denetime tabidir.

185. Türkiye’de GDPR Uyumlu Olmak Yeterli mi?

Hayır.
Türkiye’de faaliyet gösteren şirketler öncelikle KVKK’ya uyumlu olmak zorundadır.
GDPR uyumluluğu ek avantaj sağlar ama KVKK’yı ortadan kaldırmaz.

Teknik Önlemler Ne Demek? Siber Güvenlik KVKK İçin Zorunlu mu?

Veri sızıntılarının büyük bölümü, gerekli teknik önlemlerin alınmaması yüzünden yaşanır. Bu nedenle KVKK, sadece hukuki değil, teknik güvenlik önlemleri de ister.

186. Teknik Tedbirlerin Yasal Dayanağı Nedir?

KVKK’nın 12. maddesi veri sorumlusuna veri güvenliğini sağlama yükümlülüğü yükler.
Bu güvenliğin bir ayağı da teknik tedbirlerdir.

187. Hangi Teknik Tedbirler Alınmalı?

• Güçlü şifre politikası
• Antivirüs ve güvenlik duvarı
• Erişim yetkisi sınırlandırma
• Log kayıtlarının tutulması
• Yedekleme sistemleri
• Şifreleme (encryption)

188. Penetrasyon Testi KVKK İçin Zorunlu mu?

Doğrudan zorunlu değil ama tavsiye ediliyor.
Penetrasyon testi, sistemin dış saldırılara karşı dayanıklılığını ölçer.
Kurul, birçok kararında bu testi yaptırmayan kurumlara yetersiz teknik önlem gerekçesiyle ceza verdi.

189. Log Kayıtları Ne Kadar Süre Saklanmalı?

İşleme faaliyetinin mahiyetine göre değişir.
Ancak genellikle 2 yıl ile 5 yıl arası saklanması uygun uygulama olarak kabul edilir.
Silinmeden önce anonimleştirilmesi de önerilir.

190. Yedekleme Sistemleri Veri İhlali Riskini Azaltır mı?

Evet.
Ransomware (fidye virüsü) gibi saldırılarda yedekleme, verinin geri kazanılmasını sağlar.
Kurul, bu sistemleri kullanmayan kurumları ihmalkâr bulur.

Çalışanların Verileri Ne Kadar Korunur? İşveren Her Şeyi Takip Edebilir mi?

İşverenin veri işleme hakkı sınırsız değildir. Çalışanın iş yerinde olması, onun tüm kişisel alanını terk ettiği anlamına gelmez. KVKK, çalışma hayatındaki dengeyi “güvenlik” ile “özel hayat” arasında kurar.

191. Çalışanın Kişisel Verileri İşlenebilir mi?

Evet, ancak:

• İşe alım
• Performans değerlendirme
• Bordrolama ve sigorta işlemleri
• İş güvenliği

gibi açıkça işle ilgili amaçlarla sınırlı olarak işlenebilir.
Amaç dışına çıkılamaz.

192. İşveren, Çalışanın Bilgisayarını Takip Edebilir mi?

Eğer çalışan bu bilgisayarı yalnızca iş amaçlı kullandığına dair yazılı bilgilendirmeyle uyarılmışsa, belirli ölçüde denetim mümkündür.
Ancak özel hayat sınırını aşacak şekilde tüm yazışmaların incelenmesi hukuka aykırıdır.

193. Çalışanın Mesajları ve Mail’leri KVKK Kapsamında mı?

Evet.
Mail, mesaj, sesli yazışmalar çalışanın kişisel iletişim alanıdır.
İş bilgisayarı bile olsa, bu verilere erişim ölçülü, gerekçeli ve bilgilendirme sonrası olmalıdır.

194. İşe Alımda Adaylardan Sosyal Medya Hesabı İstemek Yasal mı?

Hayır.
Adayların sosyal medya hesaplarını istemek, doğrudan özel hayatın gizliliğine aykırıdır.
Sadece işle doğrudan ilgili, ölçülü bilgi talep edilebilir.

195. Personelin Parmak İzi ile Giriş Yapması KVKK’ya Aykırı mı?

Özellikle biyometrik veriler özel nitelikli kişisel veridir.
Parmak iziyle giriş sistemleri, açık rıza olmadan kullanılamaz.
Alternatif giriş yöntemi sunulmalı veya açık rıza alınmalıdır.

196. Personelin Aile Bilgileri İşlenebilir mi?

Sadece zorunlu hallerde (örneğin SGK bildirimi, vergi indirimi gibi) işlenebilir.
Bunun dışında eşin, çocuğun, yakının bilgilerini almak minimizasyon ilkesine aykırıdır.

197. Çalışanın Verilerini Saklama Süresi Ne Kadardır?

İş sözleşmesinin sona ermesinden sonra 10 yıla kadar saklama gerekebilir.
Ancak bu süreyi aşan veri saklama işlemleri açıkça gerekçelendirilmelidir.

198. İK Departmanları Özel Sorumluluk Taşır mı?

Evet.
İK departmanı, en yoğun veri işleyen birimlerden biridir.
Bu nedenle:

• Rıza alma,
• Envanter oluşturma,
• Veri güvenliği sağlama

konularında ayrı sorumluluğa sahiptir.

199. Özlük Dosyası Kapsamında Hangi Veriler Saklanabilir?

• Kimlik ve iletişim bilgileri
• SGK dökümleri
• Maaş bordrosu
• Disiplin ve ödül belgeleri

Ancak hastalık raporu, hamilelik bilgisi, dini inanç gibi veriler sadece açık rıza ile saklanabilir.

200. İşten Ayrılan Çalışanın Verileri Silinmeli mi?

Amaç sona erdiğinde veri silinmelidir.
Ancak bazı veriler (örneğin SGK evrakı, tazminat hesaplamaları) mevzuata göre belirli süreyle saklanmak zorundadır.

KVKK ve Ceza Hukuku Nasıl Çakışır? Aynı Fiil Hem Suç Hem İhlal midir?

Evet. Kişisel veri ihlali sadece idari bir yaptırım doğurmaz, aynı zamanda Türk Ceza Kanunu (TCK) kapsamında suç teşkil edebilir.

201. Kişisel Verilerin Hukuka Aykırı Kaydedilmesi Suç mu?

Evet.
TCK m.135 uyarınca kişisel verilerin hukuka aykırı şekilde kaydedilmesi, 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılır.

202. Özel Nitelikli Verilerin Kaydı Daha Ağır Ceza Doğurur mu?

Evet.
Veri dini inanç, sağlık bilgisi gibi özel nitelikli ise ceza %50 oranında artırılır.
Ayrıca kamu görevlisinin suça iştiraki varsa ceza daha da ağırlaşır.

203. Verilerin Kanuna Aykırı Olarak Başkasına Verilmesi Suç mudur?

Evet.
TCK m.136’ya göre kişisel verilerin başka birine verilmesi, yayılması veya ele geçirilmesi 2 yıldan 4 yıla kadar hapis cezası doğurur.

204. Verilerin Silinmemesi Suç Sayılır mı?

TCK m.138 uyarınca, kişisel verilerin kanuni süresi geçtiği halde silinmemesi de suçtur.
1 yıldan 2 yıla kadar hapis cezası öngörülür.

205. Aynı Fiilden Hem Ceza Hem Para Cezası Olur mu?

Evet.
Kurul idari ceza keser.
Savcılık ceza soruşturması yürütür.
Ayrıca kişi tazminat davası da açabilir.
Yani aynı eylem 3 farklı sorumluluk doğurabilir.

206. KVKK İhlali Halinde Suç Duyurusu Kim Tarafından Yapılır?

Kişi doğrudan savcılığa suç duyurusunda bulunabilir.
Ayrıca Kurul da ciddi bir ihlal gördüğünde resen savcılığa bildirir.

Yazılım Firmaları ve KVKK: Program Yapanlar Sorumlu mu?

Veri işleme yazılımla yapılıyorsa, yazılım sağlayıcısının da veri işleyici sıfatı doğar. Bu durum KVKK kapsamında özel sorumluluklar yükler.

207. Bir Yazılım Firması Veri Sorumlusu Sayılır mı?

Eğer yazılımın altyapısını oluşturuyor ve verilere erişim sağlayabiliyorsa, evet.
Yalnızca teknik destek veriyorsa, veri işleyen olarak kabul edilir.

208. Yazılım Firmaları VERBİS’e Kayıt Olmalı mı?

Eğer kriterleri sağlıyorsa (çalışan sayısı, bilanço vb.) ve veri işliyorlarsa, kayıt yükümlülüğü vardır.
VERBİS sadece son kullanıcıyı değil, veri işleyenleri de ilgilendirir.

209. Yazılım Satın Alırken KVKK Uyumlu Olup Olmadığı Sorulmalı mı?

Kesinlikle evet.
Satın alınan yazılımın KVKK uyumlu olması, özellikle veri güvenliği açısından çok önemlidir.
Şirketler bu konuda tedarikçi denetimi yapmalıdır.

210. Yazılım Sözleşmelerinde KVKK Hükümleri Olmalı mı?

Evet.

• Tarafların veri sorumlusu/veri işleyen sıfatları,
• Hangi verilerin işlendiği,
• Güvenlik önlemleri,
• Veri ihlali durumundaki yükümlülükler
  gibi hükümler mutlaka sözleşmeye eklenmelidir.

211. Bulut Tabanlı Yazılımlarda Sorumluluk Kimde?

Veri yurtdışına aktarılıyorsa hem KVKK’ya hem de açık rızaya dikkat edilmelidir.
Bulut servis sağlayıcısı yabancıysa, Türkiye’de temsilci ataması gerekebilir.

212. Yazılım Sağlayıcısının KVKK Uyum Sözleşmesi Olmadan Hizmet Vermesi Mümkün mü?

Hayır.
Veri işleme süreçlerine dahil olan bir yazılım firması, veri sorumlusu kurumla mutlaka veri işleme sözleşmesi imzalamalıdır.
Bu sözleşme; tarafların veri işleme kapsamını, güvenlik önlemlerini ve olası ihlal durumlarındaki sorumluluklarını netleştirir.
Kurul, yazılı sözleşme bulunmayan durumlarda veri sorumlusunu doğrudan sorumlu tutar ve idari para cezası uygulanabilir.

213. Kurumlar Hangi Yazılımlar İçin KVKK Uyumluluğunu Denetlemeli?

Özellikle:

• CRM sistemleri (müşteri yönetimi),
• ERP yazılımları (personel, stok, sipariş),
• Personel devam kontrol sistemleri (parmak izi, kartlı geçiş),
• Güvenlik kameraları kayıt yazılımları,
• E-posta ve arşivleme sistemleri
  mutlaka KVKK ile uyumlu olmalı ve veri güvenliği önlemleri içermelidir.

214. Kişisel Verilerin Bulut Hizmetlerine Aktarılması Yurt Dışına Aktarım Sayılır mı?

Evet.
Veriler, Türkiye dışında fiziksel olarak barındırılan bir bulut altyapısına aktarılıyorsa bu durum, yurt dışına veri aktarımı anlamına gelir.
Bu aktarım, açık rıza ya da Kurul onayı ile yapılmalıdır.
Yeterli koruma sağlandığına dair güvence olmadan veri aktarımı hukuka aykırıdır.

215. Kişisel Veri İhlali Durumunda 72 Saatlik Süre Hangi Andan İtibaren Başlar?

İhlalin veri sorumlusu tarafından öğrenildiği an itibarıyla süre işlemeye başlar.
Tespit edildiği değil, gerçekten “öğrenildiği” andan itibaren 72 saat içinde KVKK’ya resmi bildirim yapılmak zorundadır.
Geç bildirim, ağırlaştırıcı etki doğurabilir.

216. Veri İhlali Bildirimi Nasıl Yapılır?

Veri sorumlusu, KVKK resmi internet sitesindeki “Veri İhlali Bildirim Formu”nu doldurarak ihlali bildirir.
Bildirimin içeriğinde:

• İhlalin niteliği,
• Etkilenen kişi sayısı,
• Alınan önlemler,
• Etkilenen kişilere yapılan bildirim şekli
  gibi bilgiler yer almalıdır.

217. Etkilenen Kişilere İhlal Bildirimi Nasıl Yapılmalıdır?

Veri sorumlusu, kişisel verileri ihlal edilen kişilere makul sürede ve doğrudan bilgi vermelidir.
Bu bildirimde:

• Hangi verilerin etkilendiği,
• Ne zaman gerçekleştiği,
• Hangi önlemlerin alındığı,
• Şikâyet haklarının olduğu

açıkça ifade edilmelidir. Gizleme ya da geciktirme, Kurul tarafından ceza gerekçesi yapılır.

218. KVKK’ya Göre Kişisel Veri Tazminatı Nasıl Talep Edilir?

Kişi, verisinin hukuka aykırı işlendiğini düşünüyorsa önce veri sorumlusuna başvuru, sonra gerekiyorsa Kurula şikâyet ve nihayetinde tazminat davası açabilir.
Tazminat davası, medeni yargılamaya tabidir ve görevli mahkeme Asliye Hukuk Mahkemesidir.

219. Manevi Tazminat için Maddi Zarara Gerek Var mı?

Hayır.
KVKK ihlali, kişinin huzurunu, özel hayatını ve saygınlığını zedelemişse, maddi zarar şartı olmaksızın manevi tazminat talep edilebilir.
Ancak zararın ağırlığı, ihlalin boyutu ve kamuoyuna yansıma oranı dikkate alınır.

220. Veri İmha Politikası Hazırlamak Zorunlu mu?

Evet.
Veri sorumluları, veri envanteri oluşturduktan sonra buna bağlı olarak bir “Veri Saklama ve İmha Politikası” oluşturmak zorundadır.
Bu politika, hangi verinin ne zaman, hangi yöntemle ve hangi teknik önlemlerle silineceğini içermelidir.

221. İmha Politikasında Yer Alması Gereken Asgari Unsurlar Nelerdir?

• Veri türleri ve sınıflandırması
• Saklama süreleri
• Saklama süreleri dolduğunda yapılacak işlemler
• Sorumlu kişiler veya birim
• Silme, yok etme, anonimleştirme yöntemleri
• Periyodik imha takvimi

Tüm bu unsurlar açıkça yazılmalıdır.

222. Periyodik İmha Ne Demektir?

Kurum, belirli aralıklarla veri envanterini gözden geçirerek imha edilmesi gereken verileri toplu şekilde yok etmek zorundadır.
Bu süre en geç 6 aydır.
Her 6 ayda bir veri tabanı taranmalı ve gereksiz veriler imha edilmelidir.

223. İlgili Kişi KVKK Kapsamında Hangi Haklara Sahiptir?

KVKK’nın 11. maddesine göre ilgili kişi:

• Verisinin işlenip işlenmediğini öğrenme
• İşlenmişse bilgi talep etme
• Amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içi/dışı aktarılan yerleri öğrenme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Silinmesini/anonimleştirilmesini isteme
• Otomatik sistemlerde itiraz
• Zarar görmüşse tazminat talep etme

haklarına sahiptir.

224. Bu Haklar Nereye ve Nasıl Kullanılır?

İlgili kişi bu haklarını önce veri sorumlusuna yazılı başvuru yaparak kullanır.
Bu başvuru e-posta, noter veya KEP ile yapılabilir.
Veri sorumlusu 30 gün içinde yanıt vermek zorundadır.

225. Başvuruma Cevap Gelmezse Ne Yapabilirim?

Eğer 30 gün içinde cevap gelmezse ya da verilen cevap yetersizse, ilgili kişi 60 gün içinde KVKK Kurulu’na şikâyet başvurusunda bulunabilir.

226. Şirketler Bu Başvuruları Takip Etmek Zorunda mı?

Evet.
Veri sorumlusu, kendisine gelen başvuruları kayıt altına almalı, süresi içinde cevap vermeli ve ilgili kişiyle olan süreci belgeli şekilde yönetmelidir.
Kurul, başvurulara yanıt vermeyen firmalara ceza verebilir.

227. Kişisel Verilerin İşlenmesi Sona Ermişse Ne Yapılmalıdır?

Amaç sona erdiğinde, ilgili veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Bunun tespitini yapmak veri sorumlusunun görevidir.
Veri tutulmaya devam ederse bu durum açık bir ihlaldir.

228. Silme, Yok Etme ve Anonimleştirme Arasındaki Fark Pratikte Nasıl İşler?

• Silme: Veriye erişim kapatılır (örneğin veritabanından kaldırılır).
• Yok etme: Fiziksel ya da dijital olarak tamamen yok edilir (örneğin disk yakma, dosya silme yazılımı).
• Anonimleştirme: Veri ilişkilendirilemez hale getirilir (örneğin isim yerine ID kullanımı).

Hangi yöntemin seçileceği, verinin niteliğine göre değişir.

229. KVKK, Ölümden Sonra Veriyi Korumaya Devam Eder mi?

Dolaylı olarak evet.
Kişi vefat etmiş olsa bile, onun kişisel verileri hâlâ özel hayat kapsamındadır.
Bu veriler üçüncü kişilere izinsiz açıklanamaz.
Ancak mirasçıların bazı taleplerle veriye ulaşma hakkı olabilir.

230. Bir İhlal Halinde Kurul’un Müdahale Yetkisi Nedir?

Kurul, ciddi bir ihlal durumunda:

• İhlalin giderilmesini emredebilir
• Veri işleme faaliyetini geçici ya da kalıcı olarak durdurabilir
• İlgili kişilere duyuru yapılmasını zorunlu kılabilir
• İdari para cezası verebilir

Hatta durum ceza hukuku kapsamındaysa savcılığa suç duyurusunda bulunabilir.

231. Sağlık Verileri Hangi Durumlarda İşlenebilir?

Sağlık verileri, özel nitelikli kişisel veri olduğundan yalnızca:

• Açık rıza ile
• Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi için sır saklama yükümlülüğü altındaki kişiler (örneğin doktorlar, hastane yöneticileri) tarafından
  işlenebilir.

Bu koşullar dışında sağlık verilerinin işlenmesi kesinlikle yasaktır ve ağır ceza gerektirir.

232. Bir Doktor, Hastasının Verisini Meslektaşıyla Paylaşabilir mi?

Ancak tedavi amacı varsa paylaşabilir.
Veri paylaşımı, yalnızca hastanın sağlığı için zorunlu olması hâlinde ve sır saklama yükümlülüğü altındaki diğer sağlık personelleriyle sınırlıdır.
Yoksa bu durum hem KVKK hem de TCK kapsamında suçtur.

233. Eczanede İlaç Alım Verisi Saklanabilir mi?

Sadece mevzuat gereği zorunlu olduğu sürece saklanabilir.
SGK bildirimleri gibi işlemler için alınan veriler, başka ticari amaçla asla kullanılamaz.
Kampanya, promosyon, sadakat kartı gibi uygulamalar için ayrıca açık rıza alınmalıdır.

234. Finansal Veriler Hangi Kapsamda Kişisel Veri Sayılır?

IBAN, hesap hareketleri, kart bilgileri, harcama kayıtları, borç-alacak dökümleri gibi tüm bilgiler kişisel veri kapsamındadır.
Harcama davranışı üzerinden yapılan analizler profil çıkarma sayılır ve rıza gerektirir.

235. Bankalar Müşteri Bilgilerini Diğer Şubelerle Paylaşabilir mi?

Aynı banka içindeki şubeler “tek veri sorumlusu” sayıldığından bu paylaşım yapılabilir.
Ancak işlem amacı dışında şube bazlı analiz, pazarlama, satış önerileri gibi faaliyetlerde kullanılacaksa açık rıza şarttır.

236. Kredi Notu KVKK’ya Tabi midir?

Evet.
Kredi notu, kişinin finansal güvenilirliğine ilişkin otomatik bir profil çıkarmadır.
Açık rıza olmaksızın bu bilgilerin üçüncü kişilerle paylaşılması ağır KVKK ihlalidir ve Kurul birçok kararında bu konuda ceza vermiştir.

237. Çocuklara Ait Veriler Nasıl Korunmalı?

18 yaş altındaki bireylerin verileri işlenirken ebeveynin ya da yasal temsilcinin açık rızası gerekir.
Okul, sosyal medya, kurs gibi yerlerde toplanan çocuk verileri için velinin önceden ve yazılı onayı alınmalıdır.

238. Okullar Öğrenci Fotoğraflarını Sosyal Medyada Paylaşabilir mi?

Hayır, veliden açık rıza alınmadan bu işlem yapılamaz.
Eğitim kurumu olmak bu duruma istisna getirmez.
Öğrencinin sadece adı soyadı yazılması bile kişisel veri sayılabilir.

239. Parmak İzi ile Devam Takip Sistemi Uygulamak Yasal mı?

Ancak açık rıza varsa.
Parmak izi biyometrik veri olduğundan çok sıkı koruma altındadır.
Alternatif yöntem (kartlı geçiş gibi) sunulmadan kişiyi bu sisteme zorlamak hukuka aykırıdır.

240. Yüz Tanıma Sistemleri KVKK Kapsamında Kullanılabilir mi?

Ancak istisnai ve rızaya dayalı olarak.
Bu sistemler kişinin yüzünü analiz ederek tanıdığı için özel nitelikli veri işler.
Örneğin güvenlik için kullanılıyorsa bile açık rıza alınması ve alternatif yöntem sunulması zorunludur.

241. Bir AVM’de Yüz Tanıma ile Müşteri Takibi Yapılabilir mi?

Hayır.
Açık rıza olmadan böyle bir uygulama kesinlikle yapılamaz.
Kurul’un kararına göre, bu tür analizler ancak bilgilendirme, rıza ve güvenli ortamda yapılabilir.

242. Sosyal Medyada Biyometrik Veriler Paylaşılırsa Ne Olur?

Kişi kendi yüzünü, sesini ya da davranışsal verisini yayınladığında bu veriler artık genel erişime açık hâle gelir.
Ancak bu, başkalarının o veriyi analiz etmesine ya da saklamasına otomatik izin verildiği anlamına gelmez.

243. Lokasyon Verileri Hangi Koşullarda İşlenebilir?

Bir kişinin konum bilgisini toplamak istiyorsanız, mutlaka:

• Açık rıza almalı,
• Rızayı iptal etme seçeneği sunmalı,
• Veriyi sadece gerekli süreyle saklamalısınız.

Bu verilerden yolculuk analizi, alışkanlık çıkarımı yapılması durumunda profil çıkarma hükümleri de devreye girer.

244. Araç Takip Sistemi Kullanmak KVKK’ya Aykırı mı?

Araç işverene aitse ve araçta görevli kişiye aydınlatma yapılmışsa, takip sistemi kullanılabilir.
Ancak sürücünün haberi olmadan yapılan izleme hukuka aykırıdır.
Ayrıca bu sistemde toplanan veriler sadece işe ilişkin amaçlarla işlenmelidir.

245. Akıllı Saat, Fitness Uygulaması Gibi Araçlardaki Veriler KVKK’ya Girer mi?

Evet.
Adım sayısı, kalp atış hızı, konum, aktivite geçmişi gibi veriler kişisel veri niteliğindedir.
Bu veriler uygulama sağlayıcısı tarafından analiz ediliyorsa, mutlaka rıza alınmalıdır.

246. Oyun Uygulamaları Çocuk Verisi Topluyorsa Ne Olur?

Uygulama geliştiricisi, 18 yaş altındaki bireylerin verilerini topluyorsa:

• Yaş doğrulama,
• Veli rızası,
• Güvenli saklama
  gibi kriterleri yerine getirmelidir.
  Google ve Apple bu konuda uygulama içi politika ihlali tespitlerinde uygulamaları kaldırabilir.

247. Yurt Dışındaki Bir Uygulama Benim Verimi Topluyorsa KVKK Uygulanır mı?

Evet.
Eğer veri Türkiye’deki bir kişiye aitse ve uygulama Türkiye’de faaliyet gösteriyorsa (örneğin reklam gösteriyor, Türkçe dil desteği sunuyorsa) KVKK hükümleri uygulanabilir.

248. Sosyal Medyada Paylaştığım Yorum, Fotoğraf Kişisel Veri midir?

Evet.
Adınızla, IP’nizle veya cihazınızla ilişkilendirilen her paylaşım kişisel veridir.
Bu veriler platformda tutulurken KVKK’ya uygun şekilde işlenmelidir.

249. Veri Sorumlusu Paylaşımımı Silebilir mi?

Eğer paylaşım size aitse ve siz artık verinizin işlenmesini istemiyorsanız, silme veya anonimleştirme hakkınız vardır.
Veri sorumlusu bu talebi teknik olarak uygular ve işlem tamamlandığında size bilgi verir.

250. KVKK’ya Göre “Anonimleştirilmiş Veri” Gerçekten Güvenli midir?

Ancak doğru yöntemle yapılmışsa evet.
Basitçe ad-soyad silinerek yapılan işlem yeterli değildir.
Veri, kimliği ortaya çıkaracak tüm ilişkilendirici unsurlardan arındırılmalıdır.
Kurul, yetersiz anonimleştirme yapan kurumlara ceza vermektedir.

251. Bir Web Sitesi Açılır Açılmaz Tüm Çerezler Aktif Hale Gelebilir mi?

Hayır.
KVKK’ya göre, zorunlu olmayan çerezler için açık rıza alınmadan çerez yüklenemez.
Kullanıcı siteye girer girmez analiz, reklam veya üçüncü taraf çerezlerin aktif hale gelmesi hukuka aykırıdır.

252. Hangi Çerezler Açık Rıza Gerektirir?

• Reklam çerezleri
• Davranışsal hedefleme çerezleri
• Üçüncü taraf analiz çerezleri

gibi çerezler için önceden açık rıza gereklidir.
Zorunlu çerezler (örneğin oturum açma bilgisi) bu kapsama girmez.

253. Çerez Uyarısı ve Çerez Politikası Aynı Şey midir?

Hayır.
Çerez uyarısı sadece kullanıcıya bilgi veren kısa bir metindir.
Çerez politikası ise:

• Hangi çerezlerin kullanıldığı,
• Ne kadar süreyle tutulduğu,
• Hangi amaçla işlendiği

gibi detayları içeren, ayrı bir dökümandır ve siteye eklenmelidir.

254. Web Sitesi Kullanıcılarından Açık Rıza Nasıl Alınır?

Çerez banner’ında:

• “Tümünü Kabul Et”
• “Sadece Gerekli Olanlara İzin Ver”
• “Ayarları Değiştir”

gibi seçenekler sunulmalı, kullanıcı tercih yapmadan zorunlu olmayan çerezler aktif edilmemelidir.

255. E-Ticaret Siteleri Müşteri Verisini Reklam İçin Kullanabilir mi?

Ancak açık rıza varsa.
Kullanıcının alışveriş bilgileri, davranış geçmişi veya iletişim bilgileri sadece açık rıza ile analiz edilebilir veya reklam gönderimi için kullanılabilir.
Aksi takdirde ciddi para cezası gündeme gelir.

256. Toplu E-Posta Gönderiminde KVKK’ya Uygunluk Nasıl Sağlanır?

• Alıcı listesi açık görünmemeli (BCC kullanımı zorunlu),
• Açık rıza alınmalı,
• Her mesajda “Abonelikten çık” seçeneği bulunmalı,
• E-posta listeleri periyodik olarak güncellenmelidir.

Kurul, rıza olmadan gönderilen her e-posta için ayrı ihlal olarak değerlendirme yapabilir.

257. SMS Gönderimi için Ticaret Bakanlığı İzni KVKK Yerine Geçer mi?

Hayır.
İleti Yönetim Sistemi (İYS) kaydı Ticaret Bakanlığı yönünden zorunludur ancak bu durum KVKK’daki açık rıza yükümlülüğünü ortadan kaldırmaz.
Her iki mevzuat birlikte dikkate alınmalıdır.

258. E-Posta Aboneliği Olanlara Ürün Tanıtımı Yapmak Serbest mi?

Sadece o kişinin rıza verdiği içerik sınırında.
Örneğin haber bülteni izni olan birine ürün tanıtımı göndermek farklı bir veri işleme amacı sayılır ve ayrıca rıza gerektirir.

259. Kamera Kaydı Alan İşletmeler Neler Yapmalı?

• Kamera ile izleme yapılan alanlarda uyarı tabelası bulundurmalı,
• Ayrı bir aydınlatma metni oluşturmalı,
• Kaydın süresi, saklama yeri, kimlerin izleyebileceği gibi konular netleştirilmelidir.

260. Kamera ile İzleme Aşağıdaki Yerlerde Yasaktır:

• Tuvalet içleri
• Soyunma kabinleri
• Emzirme odaları
• Dinlenme alanları (eğer makul bir gerekçe yoksa)

Bu gibi yerlerde kamera kullanımı özel hayatın gizliliğini ihlal eder, hem KVKK hem TCK bakımından suçtur.

261. İşyerinde Kamera Kaydı KVKK’ya Aykırı mı?

Hayır, ancak:

• Çalışanlar yazılı olarak bilgilendirilmeli,
• Kamera alanları sadece güvenlik amacıyla sınırlandırılmalı,
• Kayıt süresi makul tutulmalı (genellikle 30 gün).

Ayrıca işveren çalışanı sürekli izleyemez.

262. Kurul, Kamerayla Tuvalet Girişi İzleyen Kurumu Cezalandırdı mı?

Evet.
Bir işyerinde tuvalet girişine bakan kameranın varlığı, çalışanların özel hayatına müdahale olarak değerlendirilmiş ve 250.000 TL para cezası uygulanmıştır.

263. Kameralarla Ses Kaydı Almak Serbest midir?

Hayır.
Görüntü kaydı meşru amaca dayanıyorsa kabul edilebilir.
Ancak ses kaydı için ayrı ve açık rıza alınması gerekir.
Kurul bu tür durumları daha hassas değerlendirmektedir.

264. AVM, Otel, Kafe Gibi Yerlerde Kamera Kaydı Nasıl Aydınlatılır?

• Giriş kapılarına aydınlatma uyarı levhaları yerleştirilmeli,
• Detaylı metin QR kod ile sunulabilir,
• Kamera kayıtlarının hangi amaçla tutulduğu, kimin izlediği belirtilmelidir.

265. Kamuya Açık Alanlarda Kamera Kullanmak Serbest mi?

Sadece kamu güvenliğini sağlamakla görevli kamu kurumları tarafından yapılabilir.
Özel şirketlerin bu alanlara kamera yerleştirmesi halinde kişisel verileri hukuka aykırı toplama suçu oluşabilir.

266. Kamera Görüntüleri Kimlerle Paylaşılabilir?

• Adli ve idari merciler
• Kolluk kuvvetleri
• Veri sahibinin kendisi (gerekçeli talep varsa)

Bunun dışında 3. kişilere paylaşım yapılamaz.
Örneğin komşu şikâyet etti diye ona görüntü gönderilemez.

267. KVKK Açısından En Sık Yapılan 5 Hata Nedir?

1. Açık rıza ile aydınlatma yükümlülüğünün karıştırılması
2. Kamerayla ses kaydı alınması
3. Toplu e-posta gönderiminde BCC kullanılmaması
4. Web sitesinde zorunlu olmayan çerezlerin rıza olmadan çalışması
5. Veri ihlallerinin 72 saat içinde bildirilmemesi

268. Kurul, Web Sitesi Çerez İhlali Sebebiyle Ceza Verdi mi?

Evet.
Bir holdingin çerezleri rıza almadan yüklediği tespit edilmiş ve şirket, 800.000 TL para cezasına çarptırılmıştır.
Kurul kararda, “çerez duvarı” (cookie wall) uygulamasının da hukuka aykırı olduğuna dikkat çekmiştir.

269. Kurul, Sesli Kamera Kaydı Alan Kreşi Neden Cezalandırdı?

Ses kaydının çocuklar ve personel üzerinde sürekli gözetim etkisi oluşturduğu, bu durumun açık rıza alınmadan yapıldığı ve özel hayatı ihlal ettiği gerekçesiyle kreş hakkında 150.000 TL ceza kesilmiştir.

270. Kurul, Eczanenin Bilgilendirme Eksikliği Sebebiyle Ceza Verdi mi?

Evet.
İlaç teslim sırasında hastaların reçete bilgilerinin başka hastalar tarafından görülebileceği şekilde açık alanda bulunması, veri güvenliği açığı olarak değerlendirilmiş ve 75.000 TL ceza verilmiştir.

271. VERBİS Nedir? Kimler Kayıt Olmak Zorundadır?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının işledikleri kişisel verileri beyan ederek kaydoldukları çevrimiçi bir sistemdir.
Aşağıdaki kriterleri sağlayanlar VERBİS’e kayıt olmak zorundadır:

• Türkiye’de yerleşik olup çalışan sayısı 50’den fazla olanlar
• Yıllık mali bilançosu 25 milyon TL’yi aşanlar
• Ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar

Kurul, yükümlülüklerini yerine getirmeyenlere 2024 yılında 200.000 TL’yi aşan idari para cezaları uygulamıştır.

272. VERBİS Kaydı Sadece Bir Defa mı Yapılır?

Hayır.
VERBİS’e kayıt dinamik bir süreçtir.

• Yeni bir veri işleme faaliyeti başladığında,
• Veri kategorileri değiştiğinde,
• Aktarılan kişi veya kurumlar değiştiğinde
  sistem üzerinden güncelleme yapılması gerekir.

273. VERBİS Beyanı ile Gerçek Hayattaki Uygulama Farklı Olursa Ne Olur?

Kurul, beyanda belirtilen veri işleme faaliyetlerinin gerçekle birebir uyumlu olması gerektiğini vurgulamaktadır.
Aksi hâlde beyan yanlışlığı nedeniyle ağır yaptırımlar söz konusu olabilir.
Bu durum sadece idari değil, cezai sorumluluk da doğurabilir.

274. Kurumsal Risk Analizi KVKK Kapsamında Neden Önemlidir?

Kurumsal risk analizi, kurumun hangi veri işleme faaliyetlerinin ne tür riskler barındırdığını tespit etmek ve buna göre önlem almak anlamına gelir.
Bu analiz olmadan veri envanteri eksik kalır, güvenlik açıkları belirlenemez.
Kurul kararlarında, ihlal yaşayan kurumların çoğunun risk değerlendirmesi yapmadığı vurgulanmıştır.

275. Risk Analizi Raporunda Neler Yer Almalı?

• İşlenen veri türleri
• Her bir verinin risk düzeyi (düşük, orta, yüksek)
• Tehdit senaryoları (veri sızması, yanlış kişiye aktarma vb.)
• Önerilen önlemler (şifreleme, yetkilendirme vb.)
• Sorumlu kişiler ve uygulama takvimi

Bu rapor, veri güvenliği politikalarının temelini oluşturur.

276. Web Sitelerinde Formlar KVKK’ya Uygun Hazırlanmazsa Ne Olur?

Online başvuru, üyelik ya da iletişim formlarında:

• Açık rıza kutusu zorunlu değilse eklenmemeli
• Bilgilendirme metni mutlaka bulunmalı
• “İşaretlemeden devam edemezsiniz” türü kısıtlamalar yapılmamalı

Kurul, bir sağlık sitesine rıza kutusunun zorunlu tutulması nedeniyle 100.000 TL ceza vermiştir.

277. E-Ticaret Sitelerinde “Üye Olmadan Devam Et” Seçeneği Olmak Zorunda mı?

KVKK’ya göre evet.
Kişisel verisini vermek istemeyen kullanıcıya da alışveriş imkânı sunulmalı.
Üyelik zorunluluğu, veri işleme özgürlüğünü ortadan kaldırdığı için açık rıza ihlali sayılabilir.

278. KVKK’ya Uygun Aydınlatma Metni Nasıl Yazılmalı?

Kısa, sade ve anlaşılır olmalıdır.
Mutlaka şu bilgileri içermelidir:

• Veri sorumlusunun adı
• Veri işleme amacı
• Toplanan veri kategorileri
• Hukuki dayanak
• Aktarılan kişi ve kurumlar
• Haklar ve başvuru yöntemleri

Günümüzde birçok kurum hâlâ bu metinleri sadece “şartname diliyle” sunarak açık rıza ile karıştırmaktadır.

279. Şirket İçi Farkındalık Eğitimi Zorunlu mu?

Dolaylı olarak evet.
KVKK’nın 12. maddesi uyarınca, veri güvenliği için gereken her türlü teknik ve idari önlem alınmalıdır.
Personelin eğitilmemesi, idari ihmal sayılır ve denetimlerde ciddi eleştiri konusu olur.

280. KVKK Eğitimi Neleri Kapsamalı?

• KVKK temel kavramları
• Kurul karar örnekleri
• Açık rıza ve aydınlatma farkı
• Sektörel veri işleme örnekleri
• Olası ihlal durumları
• Yükümlülüklerin takibi

Bu eğitim her departman için özelleştirilmelidir (İK, Pazarlama, Teknik, Hukuk vb.)

281. Eğitim Almış Personelin Sorumluluğu Ayrı mıdır?

Evet.
Eğitim alan personelin bir ihlali bilerek gerçekleştirmesi durumunda, kişisel sorumluluk da doğabilir.
Örneğin verileri e-posta ile yetkisiz kişiye göndermek gibi hatalar, disiplin süreci gerektirebilir.

282. Her Personel İçin Gizlilik Taahhütnamesi Alınmalı mı?

Evet.
Gizlilik taahhütnamesi, çalışanın görev sırasında eriştiği verileri dışarı sızdırmaması ve sadece iş amacıyla kullanması için alınır.
Bu belge iş sözleşmesinin eki olabileceği gibi, ayrıca da imzalatılabilir.

283. Bir Kurum Kendi KVKK Uyum Sürecini Denetlemeli mi?

Evet.
Her kurum, iç kontrol sistemi kurmalı ve belli periyotlarla KVKK uyumu denetimi yapmalıdır.
İç denetim raporları, dış denetimlerde ve olası ihlallerde Kurul’a sunulabilecek en önemli savunma belgeleridir.

284. Dış Denetim Firmaları KVKK Uyum Denetimi Yapabilir mi?

Evet.
Veri koruma konusunda yetkinliği olan bağımsız denetim firmaları, kurumların veri işleme süreçlerini analiz ederek uyum raporları hazırlayabilir.
Bu tür raporlar, Kurul nezdinde kurumsal özenin göstergesidir.

285. Kurul’un Uyum Denetimi Yetkisi Var mı?

Evet.
KVKK m.15 gereği Kurul; kamu kurumları, özel şirketler ve STK’lar dahil olmak üzere her kurumu yerinde denetleyebilir.
Denetim önceden haberli ya da habersiz yapılabilir.

286. Kurul Yerinde İnceleme Yaparsa Ne Olur?

• Fiziksel dokümanlar istenebilir
• Kamera ve sistem kayıtlarına bakılabilir
• Personel ifadesi alınabilir
• IT sistemleri incelenebilir
• Veri envanteri karşılaştırması yapılır

Kurul yetkililerine işbirliği yapılmaması ayrıca suç teşkil eder.

287. Kurumun Yükümlülüklerini Yerine Getirmemesi Hangi Sonuçları Doğurur?

• 100.000 – 2.000.000 TL arası idari para cezası
• Veri işleme faaliyeti durdurulabilir
• Kamuya ifşa edilme (Kurul kararları internet sitesinde yayımlanır)
• Tazminat davaları ve ceza soruşturmaları

Bu nedenle KVKK, sadece idari bir konu değil şirketler için itibari sorumluluktur.

288. KVKK’ya Uyum Şirket İmajını Etkiler mi?

Evet.
Veri korumasına özen gösteren şirketler, tüketiciler ve iş ortakları nezdinde daha güvenilir görülür.
Özellikle e-ticaret, finans ve sağlık sektörlerinde bu durum ticari avantaj sağlar.

289. KVKK’ya Uyum ISO 27001 Sertifikası Yerine Geçer mi?

Hayır.
ISO 27001 bilgi güvenliği yönetim sistemini düzenler.
KVKK ise hukuki bir yükümlülük doğurur.
Ancak ISO 27001 sahibi olmak, KVKK uyumu için iyi bir altyapı sağlar.

290. KVKK’ya Uyum Tek Seferlik Bir Süreç midir?

Hayır.
Sürekli olarak:

• Güncellenen süreçler
• Yeni sistemler
• Değişen hukuki düzenlemeler
• Personel değişiklikleri

gibi nedenlerle KVKK uyumu dinamik ve süreklilik isteyen bir süreçtir.

291. Kişisel Verilerin Saklanma Süresi Nasıl Belirlenir?

Her veri kategorisi için ayrı ayrı işleme amacına uygun ve mevzuata dayalı bir süre belirlenmelidir.
Örneğin; bordro verisi için 10 yıl, iş başvuru evrakları için 2 yıl gibi.
Amaç sona erdiğinde veya süre dolduğunda veri silinmeli, yok edilmeli ya da anonim hale getirilmelidir.

292. Saklama Süresi Dolan Veriler Ne Yapılmalı?

• Silinmeli (erişilemez hale getirilmeli),
• Yok edilmeli (veri fiziksel ya da dijital olarak tamamen imha edilmeli),
• Anonimleştirilmeli (veri, kişinin kimliğini ortaya çıkaramayacak hale getirilmelidir).

Bu süreçler mutlaka kayıt altına alınmalı ve belgelendirilmelidir.

293. Şirketler Hangi Durumlarda Üçüncü Kişilere Veri Aktarabilir?

Ancak şu hallerde aktarım mümkündür:

• Kanunlarda açıkça öngörülmesi
• Bir sözleşmenin kurulması ya da ifası için zorunlu olması
• Hukuki yükümlülüğün yerine getirilmesi
• Bir hakkın tesisi, kullanılması veya korunması
• Açık rıza alınması

Özellikle ticari partnerlere yapılan veri aktarımları ayrı değerlendirilmeli ve açıkça bildirilmelidir.

294. Veri Aktarımı İçin Taraflar Arası Sözleşme Yapılmalı mı?

Evet.
Veri sorumlusu ve veri işleyen arasında mutlaka veri işleme sözleşmesi imzalanmalıdır.
Bu sözleşmede; işlenen verilerin kapsamı, güvenlik önlemleri ve veri işleyenin yükümlülükleri açıkça tanımlanmalıdır.

295. Alt Yükleniciler Kişisel Verilere Erişebiliyorsa Ne Yapılmalı?

Bu kişilerin veri işleyen sıfatı doğar.
Her alt yüklenici ile ayrı veri işleme sözleşmesi yapılmalı, gizlilik taahhüdü alınmalı ve bu kişilerin teknik yeterlilikleri kontrol edilmelidir.

296. WhatsApp, Google Drive, Dropbox Gibi Uygulamalarda Veri Saklanabilir mi?

Kurum verileri, bu platformlarda açık rıza ve yeterli güvenlik önlemi olmadan saklanamaz.
Bu sistemler çoğunlukla yurt dışı sunuculu olduğu için ayrıca yurt dışına aktarım hükümleri de devreye girer.

297. Kişisel Verilerin Yurt Dışına Aktarımı İçin 3 Şarttan Biri Sağlanmalı:

1. Açık rıza alınmış olmalı
2. Kurul’un ilan ettiği güvenli ülkeye aktarım yapılmalı
3. Kurul’un onayladığı veri aktarım taahhütnamesi imzalanmalı

Bu şartlardan biri yoksa aktarım hukuka aykırı olur.

298. Kurul, Açık Rıza Olmadan Yurt Dışı Aktarımı Yapan Şirketlere Ceza Verdi mi?

Evet.
Özellikle CRM yazılımlarını yurt dışı sunucularında barındıran e-ticaret firmalarına milyon lira düzeyinde cezalar verilmiştir.
Kurul, açık rıza metinlerinin yetersizliğini ve seçenek sunulmamasını da ihlal saymıştır.

299. Açık Rıza Alınırken Hangi Hatalar Yapılıyor?

• Zorunlu tutmak (örn. “devam etmek için onay kutusunu işaretleyin”)
• Amaç belirtmeden almak (“bilgilendiriyorum, onaylıyor musunuz?”)
• Birden fazla rıza konusunu tek kutuda toplamak
• Vazgeçme hakkını sunmamak

Bu tür uygulamalar geçersiz rıza sayılır.

300. Kişisel Veriler E-Posta ile Üçüncü Kişilere Aktarılabilir mi?

Ancak şu şartlarla:

• Alıcı doğru ve yetkili olmalı
• E-posta içeriği şifreli ya da korumalı gönderilmeli
• Yanlış kişiye gönderim halinde derhal bildirim yapılmalı
  Kurul, e-postayla yanlış kişiye gönderilen veriler nedeniyle yüksek cezalara hükmetmiştir.

301. Kurumsal E-Postalar için Ne Tür Güvenlik Önlemleri Alınmalı?

• SSL/TLS koruması
• İçerik şifreleme
• İki aşamalı doğrulama
• Otomatik imha zamanlayıcıları
• Yanlış kişiye gönderim için onaylama ekranı

Bu önlemler, teknik tedbirler kapsamında değerlendirilir.

302. Web Sitesi Üzerinden Toplanan Veriler Nerede Saklanmalı?

Türkiye’de barındırılan, KVKK uyumlu veri merkezlerinde.
Yurt dışı sunucular kullanılıyorsa bu durum açıkça belirtilmeli ve yurt dışı aktarım şartları sağlanmalıdır.

303. Kurum Dışı USB Disklerde Kişisel Veri Taşımak Serbest mi?

Hayır.
USB gibi taşınabilir ortamlarda kişisel veri taşınacaksa mutlaka:

• Şifreleme,
• Erişim kontrolü,
• Kayıt takibi
  yapılmalıdır. Aksi halde veri sızması durumunda doğrudan veri sorumlusu sorumlu olur.

304. KVKK Kapsamında Şifre Kullanımı Nasıl Olmalı?

• Şifreler karmaşık olmalı
• Düzenli aralıklarla değiştirilmelidir
• Ekran açıkken otomatik kilitlenme uygulanmalı
• Şifreler yalnızca yetkili kullanıcıda olmalı

Kurul, şifresiz sistem kullanımı nedeniyle ceza vermiştir.

305. Kurum Dışında Çalışanların (Uzaktan Çalışma) Verileri Nasıl Korunmalı?

• Güvenli VPN kullanılmalı
• Kişisel bilgisayarda şirket verisi tutulmamalı
• E-posta ve dosya paylaşım sistemleri izlenmeli
• Mobil cihaz yönetimi (MDM) uygulanmalı

Uzaktan çalışmada veri sızması riski çok daha yüksektir.

306. Şirket, Kendi Bünyesindeki Yazılımcıların İşlediği Verilerden Sorumlu mudur?

Evet.
Çalışanlar tarafından işlenen tüm veriler, yine veri sorumlusunun denetimi ve gözetimi altındadır.
“Benim haberim yoktu” savunması geçerli değildir.

307. “Kurum Dışı Paylaşım” Ne Anlama Gelir?

Verilerin kurum dışındaki üçüncü taraflarla paylaşılmasıdır.
İlgili kişi bu konuda ayrıntılı olarak bilgilendirilmeli ve rızası alınmalıdır.
Veri paylaşımını “grup şirketi” diyerek geçiştirmek yetersizdir.

308. Kurul, Şirketlerin “Sadece Sistemimizde Kaydediyoruz” Savunmasını Kabul Ediyor mu?

Hayır.
Kişisel veri işleme sadece fiziksel müdahaleyle olmaz.
Verinin sistemde var olması, KVKK kapsamına girmesi için yeterlidir.
Pasif toplama da veri işleme sayılır.

309. Anketlerde Toplanan Veriler Nasıl Değerlendirilir?

• Kimliksizse ve anonimse KVKK kapsamı dışındadır
• Ancak isim, e-posta, IP, lokasyon gibi bilgiler varsa veri işlenmiş sayılır
• Açık rıza alınmalı, hangi amaçla kullanılacağı net şekilde belirtilmelidir

Aksi hâlde “sessiz onay” ile veri toplandığı için ihlal oluşur.

310. Ziyaretçi Kayıt Defterleri KVKK’ya Uygun mu?

Ancak şu koşullarla:

• Girişte aydınlatma metni sunulmalı
• Gereksiz veri istenmemeli (örn. T.C. Kimlik No)
• Belge güvenli ortamda saklanmalı
• Belirli süre sonunda imha edilmeli

Aksi hâlde basit bir defter bile veri ihlali doğurabilir.

311. Sosyal Medyada Paylaşılan Yorumlar Kişisel Veri midir?

Evet.
Bir kişinin IP’si, kullanıcı adı, profil resmi, paylaştığı içerik veya konum bilgisi gibi unsurlar kişisel veridir.
Kullanıcı adının gerçek kimlik içermemesi, bu durumu değiştirmez.
Paylaşımlar üzerinden veri işleniyorsa KVKK’ya tabidir.

312. Şirketlerin Sosyal Medya Takibi KVKK’ya Uygun mu?

Ancak açık rıza ya da meşru menfaat kapsamında ise mümkündür.
Örneğin, çalışanların sosyal medya hesaplarının izlenmesi sadece işyeri itibarını koruma amacıyla ve sınırlı biçimde yapılabilir.
Aksi hâlde özel hayatın ihlali oluşur.

313. İş Başvurularında Adaylardan Hangi Veriler Alınabilir?

• Ad, soyad
• İletişim bilgisi
• Eğitim bilgileri
• İş deneyimleri

Ancak sağlık verisi, sabıka kaydı veya kredi notu gibi özel veriler için ayrıca açık rıza alınması gerekir.
İş görüşmesi sırasında “detaylı sağlık geçmişi” istenemez.

314. İş Görüşmesi Sonrası CV’ler Ne Kadar Süre Saklanabilir?

Açık rıza alınarak belirli süreyle saklanabilir (genellikle 6 ay–2 yıl).
Hiç rıza alınmamışsa görüşmeden hemen sonra imha edilmelidir.
Kurul bu konuda birçok şirkete uyarı ve ceza vermiştir.

315. Personelin Aile Bireylerine Ait Veriler İşlenebilir mi?

Ancak şu hallerde mümkündür:

• SGK bildirimi
• Acil durum irtibat kişisi kaydı
• Özel sağlık sigortası yapılması
  Bu işlemler dışında aile verisinin işlenmesi açık rıza gerektirir.

316. Şirket, Çalışanın Telefonunu Çalışma Saatleri Dışında İzleyebilir mi?

Hayır.
İşverenin gözetim yetkisi sadece iş süresini kapsar.
Telefon izleme, konum takibi veya mesaj kontrolü gibi işlemler mesai dışında özel hayat ihlali anlamına gelir.

317. Lokasyon Tabanlı Uygulamalar Nasıl KVKK’ya Uyumlu Hale Getirilir?

• Konum verisi toplanmadan önce açık rıza alınmalı
• Rıza istenilen an, verinin amacı net belirtilmeli
• Kullanıcıya konum paylaşımı kapatma imkânı sunulmalı

Konum verisi üzerinden davranışsal analiz yapılacaksa profil çıkarma hükümleri de uygulanır.

318. Çağrı Merkezlerinde Yapılan Ses Kaydı Yasal mı?

Evet, ancak şu şartlarla:

• Aramanın başında “görüşmeniz kayıt altına alınacaktır” gibi bir bilgilendirme yapılmalı
• Kaydın amacı, süresi ve işlenme şekli politika olarak tanımlanmalı
• Müşteri istemediğinde görüşme sonlandırılmalı ya da ses kaydı alınmamalı

Kurul bu konuda net ve bağlayıcı kararlar vermiştir.

319. Oteller Müşteri Verilerini Nasıl Korumalı?

• Kimlik bilgilerinin gizliliği sağlanmalı
• Oda numarası, konaklama tarihi gibi bilgiler üçüncü kişilerle paylaşılmamalı
• Kamera kayıtları, sadece güvenlik amaçlı alınmalı
• Wi-Fi erişimi sağlanıyorsa veri kullanımına dair bilgilendirme yapılmalı

Özellikle turizm sezonlarında denetimler artmaktadır.

320. Eğitim Kurumları Öğrenci Bilgilerini Velilerle Ne Kadar Paylaşabilir?

Sadece veli ya da yasal temsilci ile.
Örneğin, üniversitede 18 yaşını geçmiş öğrencinin notları ailesine öğrencinin rızası olmadan verilemez.
Çocuk bile olsa veli olmayan bir yakına veri aktarımı yapılamaz.

321. Okullarda Kamera Kaydı Yasal mı?

Sadece güvenlik amacıyla, ortak kullanım alanlarında.
Sınıf içi kayıt, sesli izleme veya öğretmenlerin kayıt altına alınması özel hayat ihlalidir.
Kurul, bir kreşte sesli izleme yapan sistemi hukuka aykırı bulmuş ve ceza vermiştir.

322. Ziyaretçi Giriş Defterleri Hâlâ Kullanılabilir mi?

Evet, ancak:

• Kayıtlar başka ziyaretçiler tarafından görülmemeli
• Gereksiz veri alınmamalı (örneğin T.C. kimlik numarası)
• Belirli sürede imha edilmeli
  Aksi hâlde “aleni defter” mantığı veri ihlali doğurur.

323. AVM’lerde Wi-Fi Hizmeti Verilirken Nelere Dikkat Edilmeli?

• Kullanıcıdan veri alınacaksa aydınlatma yapılmalı
• Kayıt tutuluyorsa bu süre, yasal zorunlulukla sınırlı olmalı
• Kişiye özel reklam yapılacaksa açık rıza alınmalı
  Bu hizmet “bedava veri toplama aracı” olmamalıdır.

324. İş Yeri Denetimlerinde Kurul Hangi Belgeleri Talep Edebilir?

• VERBİS kaydı
• Aydınlatma metinleri
• Açık rıza formları
• Kamera politikaları
• Personel gizlilik taahhütnameleri
• İhlal kayıtları ve iç denetim raporları

Denetime hazırlıksız yakalanmak ağır yaptırımlara yol açar.

325. Kurulun Verdiği En Yüksek Ceza Ne Kadardır?

2023 yılı itibarıyla en yüksek ceza 2.678.866 TL olarak uygulanmıştır.
Bu ceza, veri ihlalinin boyutuna, kapsamına, kamuya yansıma derecesine ve veri sorumlusunun işbirliği düzeyine göre belirlenir.
Tek bir ihlal değil, çoklu ihlaller zinciri olması hâlinde ceza katlanarak artar.

326. Müşteri Hizmetlerinde “Görüşme Kayıt Altına Alınıyor” Cümlesi Yeterli mi?

Hayır.
Bu cümle sadece aydınlatma değil, aydınlatma yükümlülüğünün ilk adımıdır.
Çağrı süresince veri sorumlusu kimdir, neden kayıt alınıyor, ne kadar süreyle saklanacak gibi bilgiler de sunulmalıdır.

327. Kamu Kurumları da KVKK’ya Tabi midir?

Evet.
Belediyelerden üniversitelere, vergi dairelerinden kamu hastanelerine kadar her kamu kurumu KVKK’ya tabidir.
Kamu olmak, veri işleme faaliyetlerinin denetimden muaf olduğu anlamına gelmez.

328. Kurumun Websitesi HTTPS Protokolüne Sahip Olmak Zorunda mı?

Doğrudan bir zorunluluk olmamakla birlikte, veri güvenliği açısından HTTPS kullanımı Kurul tarafından önerilmekte ve beklenmektedir.
Kullanıcı bilgileri (form verileri, üyelik bilgileri vb.) şifrelenmeden aktarılıyorsa bu durum güvenlik zafiyeti oluşturur.

329. Şirketin Gizlilik Politikası ile Aydınlatma Metni Aynı mı Olmalıdır?

Hayır.
Aydınlatma metni kanuni zorunluluk, gizlilik politikası ise kurum içi prensipleri yansıtan daha genel bir belgedir.
İkisi örtüşmeli ama aynı olmamalıdır.

330. Üçüncü Kişilere Aktarılan Veriler İçin Sorumluluk Devam Eder mi?

Evet.
Veri sorumlusu, veriyi aktardığı üçüncü kişi ya da firmaların veriyi hukuka uygun işleyip işlemediğinden de sorumludur.
Bu nedenle üçüncü taraflarla sözleşme yapılması yetmez, periyodik denetim de gerekir.

331. Belediyeler KVKK’ya Tabi midir?

Evet.
Nüfus kayıtları, sosyal yardım başvuruları, su faturaları, zabıta tutanakları gibi birçok işlem kişisel veri içerdiğinden, belediyeler veri sorumlusu sıfatıyla KVKK’ya tabidir.
VERBİS kaydı, aydınlatma yükümlülüğü ve güvenlik tedbirleri gibi tüm kurallar belediyeler için de geçerlidir.

332. Belediyenin Sosyal Yardım Listesini Mahalle Muhtarlığına Vermesi Yasal mı?

Ancak şu şartla mümkündür:

• Yardımın doğru kişiye ulaşması için kamu yararı bulunmalı
• Bu aktarım açıkça bilgilendirme metninde belirtilmiş olmalı
• Gerekirse açık rıza alınmalıdır

Aksi hâlde kişisel veri ifşası söz konusu olur.

333. Toplu Taşıma Kartları ile Alınan Veriler Kişisel Veri Sayılır mı?

Evet.
Kart numarası, kullanım saati, güzergâh, konum gibi veriler kişisel veri niteliğindedir.
Bu veriler; kişinin hareket haritasını çıkarabilecek nitelikte olduğundan, açık rıza veya anonimleştirme olmadan üçüncü kişilerle paylaşılamaz.

334. Plaka Tanıma Sistemleri Kapsamında Araç Bilgileri Kişisel Veri midir?

Evet.
Plaka bilgisi üzerinden kişiye ulaşmak mümkünse, bu bilgi kişisel veri sayılır.
AVM girişleri, otopark sistemleri, belediye e-park hizmetleri gibi alanlarda bu verilerin nasıl işlendiği açıkça belirtilmelidir.

335. Kamuya Açık Alanlarda Kamerayla Kayıt Almak Serbest midir?

Sadece şu kurumlar için:

• Emniyet birimleri
• Belediyeler (meşru güvenlik amacıyla)
• Mahkeme kararı veya idari izinle özel güvenlik birimleri

Ancak özel işletmelerin kaldırım, sokak gibi kamusal alanları izleyip kayda alması hukuka aykırıdır.

336. Mobil Bankacılık Uygulamalarında Kullanıcı Verileri Nasıl Korunmalı?

• Parmak izi veya yüz tanıma verisi kullanılıyorsa açık rıza alınmalı
• İşlem geçmişi, konum, cihaz modeli gibi bilgiler sadece gerekli oldukça toplanmalı
• Uygulama politikalarında veri işleme açıkça belirtilmeli

Kurul, açık rıza metni içermeyen mobil bankacılık uygulamalarına cezai yaptırım uygulamıştır.

337. Bir Banka, Müşterinin Harcama Bilgilerini Reklam Amaçlı Kullanabilir mi?

Ancak açık rıza varsa.
Harcama verileri, alışveriş alışkanlıkları gibi profil çıkarma işlemleri özel nitelikli olmasa da yüksek derecede gizlilik gerektirir.
Rıza alınmadan reklam yapılması, ticari istismar ve veri ihlali sayılır.

338. Kredi Başvurusu Reddedilen Kişiye Kararın Gerekçesi Açıklanmalı mı?

Evet.
Otomatik karar verme sistemiyle alınan kararlarda kişi:

• Sonucun nasıl ortaya çıktığını,
• Hangi veriler kullanıldığını
  öğrenme hakkına sahiptir.
  Kurul, bu konuda bilgilendirme yapılmayan bir finans kuruluşuna idari ceza vermiştir.

339. Sağlık Kurumları Hasta Bilgilerini Hangi Durumda Paylaşabilir?

• Hastanın açık rızası varsa
• Savcılık veya mahkeme talebi varsa
• Halk sağlığı riski söz konusuysa (örneğin bulaşıcı hastalık)

Bunlar dışında hasta bilgileri diğer hastalara, medya kuruluşlarına veya kurum dışındaki bireylere açıklanamaz.

340. Eczaneler Hasta Bilgilerini Saklamak Zorunda mı?

Evet, ama sınırlı süreyle.
SGK bildirimleri, reçete onayları gibi işlemler için belirli bir süre saklanabilir (genellikle 5 yıl).
Ancak bu veriler başka amaçlarla (örneğin kampanya) kullanılamaz.

341. Psikolog, Diş Hekimi, Diyetisyen Gibi Serbest Meslek Sahipleri KVKK’ya Tabi midir?

Kesinlikle evet.
Bu kişiler, danışanlarından topladıkları tüm bilgileri sadece hizmet sunma amacıyla işleyebilirler.
Aydınlatma yükümlülüğü, rıza metni ve veri güvenliği sorumluluğu bireysel olarak kendilerine aittir.

342. Otomatik Karar Alma Nedir?

Bir kişinin kişisel verileri kullanılarak, tamamen yazılım veya algoritma ile verilen karar anlamına gelir.
Örneğin:

• Kredi reddi
• Sigorta primi belirleme
• İşe alım ön elemesi

Bu tür işlemlerde kişi itiraz hakkına sahiptir.

343. Yapay Zekâ ile Yapılan Analizler KVKK’ya Tabi midir?

Evet.
Yapay zekâ algoritmaları kişisel verileri kullanıyorsa, bu sistemler de KVKK’ya tabidir.
Model eğitimi, karar şeffaflığı ve yanlış veriyle oluşturulan sonuçlar büyük risk taşır.
Kurul yakın zamanda yapay zekâ ile yapılan profil analizlerinde veri sahiplerinin haklarına vurgu yapmıştır.

344. Yüz Tanıma Sistemleri Yasal mı?

Ancak açık rıza ve alternatif sunulması koşuluyla.
İşyerinde, okulda ya da sınav girişlerinde kullanılan yüz tanıma sistemleri kişinin zorunlu bir tercihe mahkûm edilmediği durumlarda geçerli olur.
Kurul, bu konuda birkaç özel okul hakkında ihlal tespitinde bulunmuştur.

345. Çalışanların Klavye, Mouse ve Ekran Faaliyetleri İzlenebilir mi?

Ancak şu şartla:

• İşyerinin iç güvenliği veya iş verimliliği gibi meşru amaçlar olmalı
• Aydınlatma yapılmalı
• Gereğinden fazla müdahale olmamalı
  Kurul, bu uygulamanın özel hayatın gizliliğine müdahale boyutuna gelmemesi gerektiğini vurgular.

346. Yapay Zekâya Verilen Eğitim Verileri Anonim mi Olmalı?

Evet.
Eğitim verileri; kişiyle doğrudan ilişkilendirilemeyecek şekilde anonimleştirilmeli.
Yoksa yapay zekânın “yanlış öğrenmesi” veya önyargı üretmesi hukuki sorumluluk doğurabilir.

347. Kurul, “Açık Rıza Alınmıştı” Savunmasını Her Zaman Kabul Eder mi?

Hayır.
Kurul, rızanın özgür iradeyle, bilgilendirme sonrası, ayrıntılı şekilde verilmiş olmasını ister.
Zorunlu üyelik, hizmet şartı gibi manipülatif yollarla alınan rızalar geçersizdir.

348. Veri Sorumlusu, İlgili Kişinin Talebine 30 Gün İçinde Yanıt Vermezse Ne Olur?

Kişi, veri sorumlusunun cevabını bekledikten sonra 60 gün içinde Kurul’a şikâyet hakkını kullanabilir.
Kurul bu süreçleri titizlikle inceler ve gerekirse idari yaptırım uygular.

349. Kurul Kararları Herkese Açık mı?

Evet.
Kurul kararları kvkk.gov.tr adresinde yayınlanmakta ve veri işleyen tüm kurumlara örnek teşkil etmektedir.
Bu kararlar sektörel bazda rehber niteliğindedir.

350. Kurul Kararına Karşı Yargı Yolu Açık mı?

Evet.
Kurul kararlarına karşı, 60 gün içinde Ankara İdare Mahkemelerinde iptal davası açılabilir.
Kararın tebliğinden itibaren bu süre işlemeye başlar.
Ancak dava açmak, ceza uygulanmasını durdurmaz.

351. Sigorta Şirketleri Kişisel Verileri Nasıl İşler?

Sigorta şirketleri; poliçe düzenleme, hasar tespiti ve risk analizi gibi amaçlarla kişisel verileri işler.
Bu süreçte sağlık verisi, sabıka kaydı gibi özel nitelikli veriler işleniyorsa açık rıza alınması zorunludur.

352. Kaza Tutanağında Yer Alan Bilgiler Kişisel Veri midir?

Evet.
Tutanağa yazılan plaka, ehliyet bilgisi, telefon numarası gibi unsurlar kişisel veridir.
Bu bilgiler sadece yetkili sigorta şirketine, ekspertize veya hukuki mercilere sunulabilir.

353. Sigorta Eksperi Fotoğraf Çekerken Ne Yapmalı?

• Kişinin açıkça görüldüğü kareler varsa, açık rıza alınmalı
• Araç dışı eşya veya özel mülk görüntüleniyorsa dikkat edilmeli
• Fotoğraflar sadece raporlama ve dosya tespiti için kullanılmalı

Kurul, kişisel eşyaların açıkça teşhir edildiği ekspertiz fotoğraflarını hukuka aykırı bulmuştur.

354. Sağlık Sigortası Başvurusunda Hangi Veriler Talep Edilebilir?

• Kimlik bilgisi
• Cinsiyet
• Yaş
• Mevcut sağlık durumu (açık rıza ile)

Ancak genetik hastalık geçmişi gibi ileri seviye veriler zorunlu değilse istenemez.

355. Sigorta Şirketi Hasar Talebini Reddederken Kişisel Veri Kullanabilir mi?

Ancak sözleşmeye uygun ve gerektiği kadarıyla.
İlgili kişiye bilgi verirken, üçüncü kişilere ait veriler maskelenmeli veya çıkarılmalıdır.
Aksi hâlde veri ihlali oluşur.

356. Ölen Kişiye Ait Kişisel Veriler Mirasçılara Geçer mi?

Kişisel veriler mirasla geçmez.
Ancak mirasla ilgili işlemler için gerekli bilgiler, yasal mirasçıya doğrudan talep halinde ve ispatla sınırlı olarak verilebilir.
Bu işlemde veri sorumlusu dikkatli olmalıdır.

357. Kişinin Ölümünden Sonra Verisi Hâlâ İşlenebilir mi?

Hayır, işleme amacı sona ermişse veri silinmeli ya da anonim hale getirilmelidir.
Mirasçılar, ilgili kişinin verisinin silinmesini talep edebilir.
Kurul bu konuda duyarlılıkla hareket edilmesini tavsiye etmektedir.

358. Televizyon Haberi Kişisel Veri İhlali Sayılabilir mi?

Evet.
Haberde kişinin açık adı, görüntüsü veya özel bilgileri rızasız şekilde yayımlanıyorsa, bu durum hem KVKK ihlali hem de özel hayatın gizliliği suçu oluşturabilir.
Kurul, yüzü sansürlenmemiş şekilde haber yapılan kişiye tazminat hakkı doğduğunu belirtmiştir.

359. Medyada Suç İşlediği İddia Edilen Kişilerin Fotoğrafı Yayımlanabilir mi?

Ancak kamu yararı varsa.
Kişi henüz yargılanmamışsa ve kamu düzenine yönelik tehdit oluşturmuyorsa, masumiyet karinesi gereği açık kimlik ve fotoğraf yayımlanması hukuka aykırı olur.

360. “Duyuru Amaçlı” Bile Olsa İsim Yayınlamak Yasal mı?

Hayır.
Yurt, okul, apartman panolarında “borçlu öğrenci”, “geç kalan veli”, “şikâyet edilen kişi” gibi ad-soyad içeren listelerin yayımlanması veri ihlali sayılır.
Kurul bu konuda defalarca uyarıda bulunmuştur.

361. Emniyet ve Adli Kurumlar KVKK Kapsamında Sınırsız Veri İşleyebilir mi?

Hayır.
Tüm kamu kurumları gibi adli ve kolluk makamları da kanunla verilen yetkilerle sınırlı olmak kaydıyla veri işleyebilir.
Amaç dışı veri kullanımı disiplin ve ceza soruşturmasına konu olabilir.

362. Savcılık Talimatıyla Alınan Veriler Ne Kadar Süreyle Saklanabilir?

Veri, yalnızca talimata dayalı işlem için kullanılabilir ve iş bittikten sonra silinmek zorundadır.
Saklama süresi, işlemin niteliğine göre belirlenmeli ve kişisel arşiv haline getirilmemelidir.

363. KVKK’ya Aykırı Veri Paylaşımı Ceza Hukukunda Suç Sayılır mı?

Evet.
TCK m.136’ya göre; kişisel verileri hukuka aykırı şekilde ifşa eden, yayan veya ele geçiren kişi 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılır.
KVKK’ya aykırılık her zaman idari yaptırım değildir; cezai sorumluluk da doğabilir.

364. KVKK ve TCK Arasındaki Fark Nedir?

KVKK, idari para cezası ve veri güvenliği önlemleri gibi yükümlülükleri düzenlerken;
TCK ise kişisel verilerle ilgili ceza gerektiren eylemleri (ifşa, ele geçirme, yayma) düzenler.
İki kanun birbirini tamamlar.

365. Bir Avukat, Dava Dosyasında Elde Ettiği Bilgileri Sosyal Medyada Paylaşabilir mi?

Hayır.
Dava dosyasındaki bilgi; taraflara, tanıklara, sağlık raporlarına, çocuklara ait ise paylaşılması avukatlık etiğine ve KVKK’ya aykırıdır.
Kurul, bu tür ifşaları açık ihlal olarak kabul etmektedir.

366. Kurul Kararları Emredici mi Yoksa Tavsiye Niteliğinde mi?

Emredici.
Kurul kararları, anayasal bağımsız idari otorite kararıdır ve bağlayıcılığı vardır.
Uygulanmaması durumunda idari para cezası, denetim ve yargı süreci başlar.

367. KVKK’ya Uygunluk İçin Mutlaka Avukat ya da Danışman Gerekli mi?

Hayır.
Ancak süreç teknik, hukuki ve organizasyonel boyut içerdiğinden uzman desteği çok önemlidir.
Kurul, bilinçli hataları daha ağır değerlendirmektedir.

368. E-Posta ile “X Şirketi Sizi Şikâyet Etti” Diyen Mesajlar KVKK’ya Aykırı mı?

Eğer şikayet dosyasına ait özel bilgiler, kişi bilgileri ve içerikler açık şekilde üçüncü taraflara aktarılıyorsa, bu durum veri güvenliği ihlali sayılır.
Hele ki bu bilgilendirme hukuken yetkili olmayan kişilere yapılmışsa, TCK kapsamında da suç oluşur.

369. “Veriniz Ele Geçirildi” Bildirimi Nasıl Yapılmalı?

Veri sorumlusu, 72 saat içinde:

• Kurul’a bildirim yapmalı
• Etkilenen ilgili kişilere açık, sade bir dille bilgi vermelidir
• Alınan önlemleri de açıklamalıdır

Bildirim yapılmazsa bu da ayrı bir ihlal sebebidir.

370. Kurul’a Yapılan Şikayetlerde Süre Ne Kadardır?

İlgili kişi, veri sorumlusunun cevabından itibaren 60 gün içinde Kurul’a başvurabilir.
Veri sorumlusunun hiç cevap vermemesi halinde 30 günlük sürenin bitiminden sonra 60 gün işlemeye başlar.
Bu süreler kaçırılırsa başvuru reddedilir.

371. Kurul, veri sorumlularının iç denetim yapmasını zorunlu tutuyor mu?

Evet.
KVKK’nın 12. maddesi uyarınca veri sorumlusu, kişisel veri işleme faaliyetlerini kendi içinde düzenli olarak denetlemekle yükümlüdür.
Bu denetim; erişim loglarının kontrolü, politika belgelerinin güncelliği ve çalışanların bilgilendirilmesi gibi başlıklarda yapılmalıdır.

372. Kişisel verilerle ilgili kurum içi politika oluşturmak zorunlu mu?

Evet.
Veri güvenliği ve işleme faaliyetleri ile ilgili olarak kurumsal bir politika ve prosedür belgesi oluşturulması gerekir.
Kurul bu belgeyi denetimlerde talep eder ve bulunmaması halinde idari yaptırım uygulayabilir.

373. Kişisel verilerin işlendiği sistemlere erişim kayıtları tutulmalı mı?

Evet.
Her erişim ve işlem kayıt altına alınmalıdır. Bu kayıtlar; kim, ne zaman, hangi veriye erişti sorularına yanıt vermelidir.
Erişim loglarının düzenli incelenmesi, hem iç denetim hem olası ihlallerin takibi için şarttır.

374. Sistem yöneticileri tarafından yapılan işlemler de denetlenir mi?

Evet.
“Admin yetkisi olan kişi her şeyi yapabilir” anlayışı KVKK’ya aykırıdır.
Sistem yöneticileri de yetki sınırlarına göre işlem yapmalı ve faaliyetleri denetlenmelidir.
Kurul bu konuda “önce içeriye bakın” diyerek kurum içi suiistimalleri işaret etmektedir.

375. Veri işleyen ile yapılan sözleşmelerde cezai şart öngörülmeli mi?

Evet, önerilir.
Veri işleyenin yükümlülüklerine aykırı hareket etmesi halinde, belirli bir tazminat yükümlülüğü getirilmesi veri sorumlusunun kendisini koruması açısından kritiktir.
Kurul, sözleşmelerde bu tür güvence hükümlerinin bulunmasını bekler.

376. Üçüncü tarafla veri paylaşımında, aktarılan verinin türü net belirtilmeli midir?

Kesinlikle evet.
Sözleşme ve aydınlatma metinlerinde, “kişisel veri paylaşılabilir” gibi genel ibareler yetersizdir.
Hangi veriler, ne amaçla, kimle, ne kadar süreyle paylaşılacak soruları açıkça yanıtlanmalıdır.

377. Yedekleme sistemleri kişisel veri ihlali yaratır mı?

Yanlış yapılandırılmış yedekleme sistemleri büyük ihlal riski taşır.
Özellikle manuel, dış diske veya bulut dışı ortama yedeklenen verilerin silinmemesi durumunda; silinmiş bir verinin hala ulaşılabilir olması ihlal sayılır.

378. İşten çıkan personelin cihazlarında kalan veriler nasıl yönetilmelidir?

Cihaz tesliminde;

• Şirket verilerinin silinip silinmediği kontrol edilmeli
• Log kayıtları alınmalı
• Geriye dönük yetki erişimleri iptal edilmelidir
  Aksi halde yetkisiz erişim riski doğar.

379. Kurumsal e-posta adresleri kişisel veri sayılır mı?

Evet, sayılır.
“ad.soyad@firma.com” şeklindeki adresler; kişinin ad-soyad bilgisini içerdiği için doğrudan kişisel veri sayılır.
Bu nedenle e-posta adreslerinin paylaşımı da KVKK kapsamında değerlendirilmelidir.

380. E-posta içeriğinde yer alan veriler ne zaman ihlal sayılır?

• Yanlış kişiye gönderilmişse
• Hassas veri içeriyorsa (örneğin sağlık durumu, maaş bilgisi)
• Alıcılar “BCC” yerine “TO” alanına yazıldıysa
  bu durumlar veri ihlali sayılır.
  Kurul bu tür e-posta hatalarına ilişkin çok sayıda ceza kararı vermiştir.

381. Veri silme işlemi belgelenmeli midir?

Evet.
Her silme, yok etme veya anonimleştirme işlemi için tarih, kapsam, sorumlu kişi gibi bilgileri içeren kayıt tutulmalıdır.
Kurul denetimlerinde bu belgeler istenir.

382. Unutulma hakkı Google dışında da kullanılabilir mi?

Evet.
Unutulma hakkı, sadece arama motorları değil;

• Sosyal medya platformları
• Haber siteleri
• Forumlar
  gibi dijital alanlarda da geçerlidir.
  Kişi, kendisiyle ilgili bilgilerin kaldırılmasını talep edebilir.

383. Kargo firmaları kişisel veri ihlali yapabilir mi?

Evet.
Yanlış adrese teslimat, kargonun başkasına verilmesi, içerik bilgilerinin ifşa edilmesi veri ihlali sayılır.
Kurul bu konuda çeşitli dağıtım firmalarına idari ceza uygulamıştır.

384. Otellerde ziyaretçi listesi paylaşımı KVKK’ya uygun mudur?

Hayır.
Aynı gün otelde kalan misafirlerin ad-soyadlarını içeren listelerin açık şekilde resepsiyonda tutulması veri ihlalidir.
Oda numarasıyla birlikte yayımlanması ciddi güvenlik riski yaratır.

385. Kişisel veriler kaç yıl boyunca saklanabilir?

Veri kategorisine göre değişir.

• Bordro, SGK evrakları: 10 yıl
• CV başvurusu: 2 yıl
• Kamera kayıtları: 30 gün (genellikle)
  Amaç sona erdiğinde veri silinmeli ya da anonim hale getirilmelidir.

386. Örnek bir “veri saklama ve imha politikası” neleri içermelidir?

• Saklama süreleri
• Hangi yöntemle silineceği
• Kim tarafından imha yapılacağı
• Denetim mekanizmaları
• Hukuki gerekçeler
  Kurul, iç denetimlerde bu politikayı özellikle incelemektedir.

387. Aydınlatma metni ile açık rıza metni aynı belgede olabilir mi?

Ayrı bölümlerde olmak koşuluyla evet.
Ancak kişi, aydınlatıldıktan sonra rıza vermelidir.
“Metni okudum ve onaylıyorum” gibi toplu ifadeler geçerli kabul edilmez.

388. Kişisel verilerin yer aldığı evrakların ofiste açık bırakılması ihlal midir?

Evet.
Ziyaretçilerin görebileceği ya da çalışanlar dışındaki kişilerin ulaşabileceği şekilde açıkta bırakılan evraklar veri güvenliği zafiyeti oluşturur.
Kurul, fiziksel ortamda da gerekli önlemlerin alınmasını şart koşar.

389. WhatsApp gruplarında kişisel veri paylaşımı KVKK’ya aykırı olabilir mi?

Evet.
Özellikle personel bilgileri, sağlık bilgileri veya fotoğraf gibi veriler bu tür gruplarda paylaşılıyorsa açık rıza aranmalıdır.
İşyeri grubu olsa bile veri sahibinin onayı olmadan paylaşım yapılmamalıdır.

390. KVKK’ya göre işyeri içi mesajlaşma uygulamaları denetlenebilir mi?

Ancak şu şartla:

• Amaç net belirtilmişse
• Çalışanlar bilgilendirilmişse
• Özel hayat sınırlarına müdahale edilmemişse
  Kurul, sadece “iş ile ilgili mesajlaşmalar” denetlenebilir demektedir.

391. Anket formlarında hangi kişisel veriler alınabilir?

• Kimliksiz, anonim anketlerde sınırlama yoktur
• Ad, soyad, telefon, e-posta gibi bilgiler toplanacaksa açık rıza gerekir
  Anket formunun üst kısmında aydınlatma metni mutlaka yer almalıdır.

392. Acil durumlarda sağlık bilgisi işlenmesi mümkün müdür?

Evet.
Kişinin bilinci kapalıysa, hayati risk varsa ve açık rıza alınamıyorsa sağlık verisi işlenebilir.
Ancak bu veri, sadece sağlık personeli tarafından ve sınırlı şekilde kullanılmalıdır.

393. İşyeri giriş-çıkış saatlerinin kayıt altına alınması KVKK’ya aykırı mı?

Hayır.
Ancak kayıt altına alma yöntemi, süresi ve kimlerin eriştiği net olmalıdır.
Personelin haberi olmadan gizli takip yapılması özel hayat ihlalidir.

394. Kurumsal web sitesine yüklenen “çalışan fotoğrafları” için rıza gerekir mi?

Evet.
Ad-soyadla birlikte yayımlanan personel görselleri kişisel veri niteliğindedir.
Açık rıza alınmadan yayımlanamaz.

395. Personel dosyasında eski rızalar güncellenmeli midir?

Evet.
Kanun yürürlüğe girdiğinde mevcut rızalar, belirli süre içinde güncellenmiş ve geçerli içerikte ise korunur.
Aksi halde rızalar yeniden alınmalıdır.

396. Bankalar müşteri bilgilerini bağlı ortaklıkla paylaşabilir mi?

Ancak açık rıza varsa.
“Grup şirketidir, paylaşım serbesttir” yaklaşımı yanlıştır.
Her paylaşım, aktarma hükmü kapsamında değerlendirilir.

397. Toplu mail gönderimlerinde ne tür ihlaller yaşanıyor?

• Alıcıların açıkça görünmesi
• Kime gönderildiğinin listelenmesi
• Kişisel içeriklerin herkese açılması
  BCC yerine CC kullanımı nedeniyle birçok şirket Kurul tarafından cezalandırılmıştır.

398. Kurul kararları bağlayıcı mı yoksa içtihadi mi?

Her Kurul kararı; o somut olay için bağlayıcı, benzer olaylar için yönlendirici içtihat niteliğindedir.
Ancak Kurul’un rehber kararları tüm kurumlara örnek teşkil eder.

399. Kurul kararları geriye yürür mü?

Hayır.
Kurul kararları ileriye dönüktür ve yürürlük tarihinden itibaren etkili olur.
Ancak ihlalin uzun süredir devam ettiği tespit edilirse cezai sorumluluk geçmiş döneme de yayılabilir.

400. KVKK kapsamındaki en yaygın 5 ihlal türü nedir?

1. Rıza alınmadan veri işleme
2. Aydınlatma metni sunulmaması
3. Yetkisiz kişiye veri aktarımı
4. E-posta ve dosya paylaşımında açık veri ifşası
5. Fiziksel evrakların güvensiz ortamlarda tutulması

Kurul bu ihlallere karşı sektörel bazlı denetimlerini artırmaktadır.