Tunesoft.com.tr web sitesi istatistik sağlamak amacıyla Google Analytics çerezleri kullanmaktadır. Çerezleri nasıl kullandığımızı incelemek ve çerezleri nasıl kontrol edebileceğinizi öğrenmek için Çerez Politikamızı inceleyebilirsiniz.
 
Güncel Gelişmeler
 
Veri Sorumluları Tarafından Açık Rıza Ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararı
24.03.2026

Açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde ilgili kişilere sunulması, Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hukuka aykırılıklardan biri olarak görülmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesinde düzenlenen aydınlatma yükümlülüğü temelde, kişisel verileri işlenen ilgili kişilerin bilgilendirilmesi anlamına gelmektedir. Açık rıza ise kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanun’da öngörülen işleme şartlarından biridir. Bu doğrultuda, niteliği itibariyle farklı kavramlara karşılık gelen açık rıza ve aydınlatma metinlerinin ayrı ayrı metinlerde düzenlenmesi gerektiği hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.

Bu çerçevede, konu ile alakalı mevzuat hükümlerine bakıldığında;

  • Anayasa’nın 20’nci maddesinin üçüncü fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır.
  • 6698 sayılı Kanun’un 5’inci maddesinde kişisel verilerin, 6’ncı maddesinde ise özel nitelikli kişisel verilerin işlenmesi için açık rıza alınması kişisel veri işleme şartları arasında sayılmıştır.

Açık rıza, Kanun’un 3’üncü maddesinde; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Bu tanım kapsamında açık rıza, ilgili kişinin kendisiyle ilgili kişisel verilerin işlenmesine izin verdiğini/işlenmesini onayladığını gösteren özgürce verilmiş, konuya özel, bilgilendirilmiş ve belirsizlik içermeyen rızası anlamına gelmektedir.

Açık rıza metinlerine, ilgili kişiler tarafından kişisel verilerinin metinde yer alan amaç ve hukuki sebeplere dayalı olarak işlenmesine açık rıza verildiğinin beyan edilmesi gerekmektedir. Bununla birlikte, Kanun’a uygun bir şekilde açık rıza alındığına ilişkin ispat yükümlülüğü veri sorumlusuna aittir.

Aydınlatma yükümlülüğü ise Kanun'un 10'uncu maddesinde "(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür." şeklinde açıklanmıştır. Aydınlatma yükümlülüğün amacı işlenen kişisel veriler ve işleme faaliyetlerine ilişkin olarak ilgili kişilerin bilgilendirilmesinden ibaret olup aydınlatma metinleri sözleşme niteliği taşımamaktadır. Bu nedenle aydınlatma metinlerinde sıkça yapılan hatalardan olan "okudum ve kabul ediyorum", "okudum ve açık rıza veriyorum", "okudum ve onaylıyorum" şeklindeki metnin sonunda yer verilen ifadeler yerine aydınlatma metninin ilgili kişi tarafından okunduğu ve anlaşıldığına yönelik olarak "okudum ve anladım" şeklindeki beyanda bulunulması bu aşamada hukuka uygun bir kullanım teşkil edecektir. Ayrıca, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna aittir.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5'inci ("Tebliğ") maddesinin birinci fıkrasının (f) bendi; "Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir: Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir." hükmünü amirdir.

Bu kapsamda, ilgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün kişisel veri işleme faaliyetinin açık rıza da dahil olmak üzere Kanun'da sayılan işleme şartlarından hangisine dayalı olarak gerçekleştirildiğinden bağımsız olarak her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi gerekmektedir. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ile açık rıza metni ayrı ayrı düzenlenerek ilgili kişilere sunulmalıdır. Söz konusu metinler tek bir sayfada yer alacak olsa dahi ilgili kişiler tarafından verilecek beyanlar niteliği itibariyle farklı olduğundan her iki metnin alt ve üst şeklinde ayrı ayrı yer alması ve her iki metin için ayrı beyanlarda bulunulması gerekmektedir.

Öte yandan uygulamada;

  • Açık rıza ve aydınlatma metinlerinin iç içe geçmiş şekilde tek bir metin halinde sunulması,
  • Aydınlatma yapıldığına dair ilgili kişilerden onay/rıza talep edilmesi,
  • Başka bir veri sorumlusu tarafından düzenlenen metinlerin veri sorumluları tarafından kendi faaliyetlerine uyarlanmadan birebir aynısının kullanılması,
  • Aydınlatma metinlerinde açık, anlaşılır ve sade bir dil kullanılmaması, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmesi (örneğin; yurt dışına aktarım yapılmıyorken yurt dışına aktarım yapıldığı izlenimi uyandıran ifadeler kullanılması, "kişisel verileriniz Kanun'un 5 ve 6'ncı maddesinde belirtilen işleme şartları kapsamında işlenmektedir" gibi muğlak ifadelere yer verilmesi),
  • Çok detaylı, karmaşık ve uzun metinlerin kullanılması,

gibi hukuka aykırılıklar sıkça tespit edilmektedir.

Bu itibarla;

  • İlgili kişinin talebine veya herhangi bir onaya bağlı olmayan aydınlatma yükümlülüğünün her durumda (kişisel veri işlemeye başlamadan önce) veri sorumluları tarafından yerine getirilmesi,
  • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma metni ve açık rıza metinlerinin farklı başlıklar altında ayrı ayrı metinler olarak düzenlenmesi,
  • Aydınlatma metni ve açık rıza metinlerinin aynı sayfada bulunması halinde farklı başlıklar altında (alt alta gelecek şekilde) ve iki metin için ayrı beyanlarda bulunulacak şekilde düzenlenmesi,
  • Kişisel veri işleme faaliyetinin açık rıza şartı haricindeki Kanun'da sayılan diğer işleme şartlarından herhangi birine dayalı olarak gerçekleştirilmesi durumunda sadece aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilere ayrıca açık rıza metni sunulmaması,
  • İlgili kişilerden sadece, aydınlatma metninin okunduğuna ve bilgi edinildiğine ilişkin geri bildirim alınması, aydınlatma metninde yer alan ifadeler için onay/rıza verilmesinin talep edilmemesi,
  • Başka bir veri sorumlusu tarafından düzenlenen metinlerin birebir aynısının kullanılmaması, metinlerin her veri sorumlusu tarafından kendi organizasyonuna ve faaliyetlerine uygun şekilde düzenlenmesi,
  • Metinlerde açık, anlaşılır ve sade bir dil kullanılması; genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi,
  • Çok detaylı, karmaşık ve uzun metinlerin kullanılmaması (örneğin; Kanun'un 11'inci maddesinin tamamına yer verilmesi metnin uzamasına sebep olacağından, "Kanun'un 11'inci maddesi kapsamındaki haklarınız" şeklinde ifade edilmesi),
  • Aydınlatma metinlerinde işlenen kişisel veriler ve kategorileri ile birlikte kişisel veri işleme faaliyetinin amaç ve hukuki sebebinin açık ve net bir biçimde ifade edilmesi,

gerektiği kamuoyunun bilgisine sunulmaktadır.

Kanun'un 12'nci maddesinin birinci fıkrası "Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmünü, Kanun'un 15'inci maddesinin altıncı fıkrası "Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar" hükmünü amirdir.

Bu çerçevede yukarıda belirtilen hususların, Kanun'un 12'nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun'un 18'inci maddesi hükümleri gereği işlem tesis edileceğine dair kamuoyunun bilgilendirilmesi ve bu kapsamda veri sorumluları tarafından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği hususunda Kanun'un 15'inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararı'nın Karar ekinde yer alan şekilde Resmi Gazetede ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.

Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı
28.02.2026

Başta gıda, kozmetik, teknoloji, yapı market, giyim olmak üzere muhtelif sektörlerde veri sorumluları tarafından yürütülen Sadakat Kart Programları kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü bir şahıs tarafından alışveriş sırasında kasa görevlisine bildirilmek suretiyle, ilgili kişinin bilgisi ve rızası olmaksızın ve herhangi bir işlem onay kodu sisteme girilmeksizin alışveriş işlemlerinin gerçekleştirildiğine ilişkin Kişisel Verileri Koruma Kurumuna intikal ettirilen ihbar ve şikayetler dikkate alınarak yürütülen inceleme sonucunda, şikayete konu uygulamanın yaygın olduğu, hukuka aykırı veri işleme faaliyetine ve kişisel veri ihlallerine yol açabileceği değerlendirilmiş olup Kişisel Verileri Koruma Kurulu (Kurul) tarafından bahse konu uygulamanın kişisel verilerin korunması mevzuatına uygun hale getirilmesini teminen İlke Kararı alınmasına ve bu konuda kamuoyunun bilgilendirilmesine ihtiyaç duyulmuştur.

Konuya ilişkin olarak öncelikle belirtilmesi gerekir ki; sadakat kartların, genellikle bir üyelik sözleşmesi çerçevesinde ilgili kişilerin şahsi kullanımına yönelik olarak verildiği ve ilgili kişiye ait cep telefonu numarasına SMS yoluyla tek kullanımlık doğrulama kodu gönderilmesi, mobil uygulama/internet sitesi üzerinden sağlanan barkod/QR kod okutma vb. doğrulama yöntemlerinin kullanılması suretiyle üyeliğin gerçekleştirildiği dikkate alındığında; söz konusu uygulamanın bu kapsamda hukuka uygun olduğu kanaatine varılmıştır. Bununla birlikte; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının, ilgili kişinin bilgisi ve rızası olmaksızın ve üyelik sürecindekine benzer bir şekilde herhangi bir doğrulama yapılmaksızın üçüncü bir şahıs tarafından alışveriş sırasında kasa görevlisine bildirilmesi suretiyle, ilgili kişinin sadakat kartı üzerinden alışveriş işlemlerinin gerçekleştirilmesinin hukuka aykırı veri işleme faaliyetine ve kişisel veri ihlaline yol açabileceği değerlendirilmektedir.

Yürütülen incelemeler neticesinde; sadakat kartların genel olarak üyelik sözleşmesi çerçevesinde ilgili kişilerin şahsi kullanımı için verildiği; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının kasa görevlisine bildirilmesi suretiyle sadakat kart üzerinden alışveriş yapılabildiği, indirim ve promosyonlardan faydalanılabildiği; genel olarak sadakat kartın alışveriş esnasında indirim, promosyon, puan kazanımı gibi amaçlarla kullanımı için alışverişin bizzat ilgili kişi tarafından veya ilgili kişinin bilgisi ve onayı dahilinde yapılıp yapılmadığına dair veri sorumlularınca herhangi bir doğrulama mekanizmasının oluşturulmadığı; diğer taraftan sadakat kart üzerinden gerçekleştirilen alışveriş işlemi sonucunda düzenlenen fatura vb. belgenin sıklıkla sadakat kart sahibi ilgili kişi adına düzenlendiği ve yapılan alışverişe ilişkin müşteri işlem bilgilerinin (satın alınan ürün/hizmet, satın alma tarihi vb.) ilgili kişi ile ilgili kayıtlar arasına ve/veya üyelik hesabına işlendiği tespit edilmiştir.

Kurul tarafından; bahse konu uygulamanın, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayandırılamayacağı ve hukuka aykırı kişisel veri işleme faaliyetine yol açacağı; diğer taraftan ilgili kişinin bizzat kendisi tarafından yapılmayan, bilgisinin ve rızasının olmadığı bir alışveriş işlemine ilişkin olarak ilgili kişi adına fatura vb. belge düzenlenmesi ve/veya hatalı müşteri işlem bilgisinin ilgili kişi ile ilgili kayıtlara/ üyelik hesabına işlenmesinin Kanun’un 4’üncü maddesinde öngörülen genel ilkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil edeceği ve son olarak her ne kadar veri sorumluları tarafından Sadakat Kart Üyelik Sözleşmesi kapsamında ilgili kişilerin şahsi kullanımı için verilen sadakat kartın üçüncü kişilere kullandırılmaması hususunda ilgili kişilere sorumluluk yüklenmiş olsa da bu durumun Kanun’un 12’nci maddesinde düzenlenen veri sorumlularının kişisel veri güvenliğini sağlama yükümlülüğünü ortadan kaldırmadığı değerlendirilmiştir.

Bu çerçevede; Kurul tarafından alınan 11/02/2026 tarihli ve 2026/266 sayılı “Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı” ile sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının veya sadakat kart numarasının üçüncü bir kişi tarafından alışveriş esnasında kasadaki görevliye bildirilmesi suretiyle herhangi bir doğrulama yapılmaksızın sadakat kart üzerinden alışveriş işleminin yapılabilmesine imkân sağlayan uygulamaya son verilmesine karar verilmiştir. Karara göre; sadakat kart üzerinden gerçekleşen alışveriş işlemlerine ilişkin kişisel veri işleme süreçlerinin Kanun’a uygun hale getirilmesini sağlamak üzere, Kanun’un 12’nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerekmektedir. Bu kapsamda; sadakat kartların üyelik oluşturma, alışverişte puan kazanımı, puan kullanımı, indirimden/ promosyondan faydalanma vb. herhangi bir amaçla alışveriş sırasında kullanılmasının ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini doğrulamak ve oluşabilecek kişisel veri ihlallerini önlemek amacıyla veri sorumluları tarafından bu amaca hizmet edecek uygun doğrulama mekanizmalarının oluşturulması gerekmektedir. Veri sorumluları tarafından, kişilerin yaş, eğitim düzeyi, ekonomik durum, teknoloji okuryazarlığı seviyesi vb. farlılıkları gözetilerek farklı ilgili kişi gruplarına yönelik alternatif doğrulama mekanizmaları sunulabilecektir. Ayrıca, sadakat kart uygulaması kapsamında üyelik doğrulama, puan/indirim/promosyon kazanma, puan harcama gibi farklı işlem türlerine ve bu işlemlerin risk oranına göre farklı doğrulama mekanizmaları tercih edilebilecektir.

Yukarıda ifade edilen doğrulama mekanizmalarının oluşturulabilmesi için veri sorumlularına İlke Kararının Resmî Gazetede yayımlanma tarihinden itibaren 6 aylık uyum süresi verilmesine karar verilmiş olup bahse konu önlemleri almayarak Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden, İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edilecektir.

Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında Kişisel Verileri Koruma Kurulunun 11/02/2026 Tarihli ve 2026/266 sayılı İlke Kararı

Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri işleme Olan Veri Sorumlularının VERBİS’e Kayıt Yükümlülüğüne İlişkin İstisna Kriteri Hakkında Kişisel Verileri Koruma Kurulu Kararı
01.10.2025

KURUL KARARI
Karar No: 2025/1572 Karar Tarihi: 04/09/2025

Kişisel Verileri Koruma Kurulunun (Kurul) 06.07.2023 tarih ve 2023/1154 sayılı kararı ile değişik 19.07.2018 tarih ve 2018/87 sayılı Kurul kararında yer alan “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” ifadesinin güncellenmesi suretiyle;

• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar ile ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularının” şeklinde değiştirilmesine,
• Anılan değişikliğin Resmî Gazete’de yayımlandığı tarihte yürürlüğe girmesine

oy çokluğu ile karar verilmiştir.

Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında İlke Kararı
09.12.2025

Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında İlke Kararı

Konaklama yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alındığı yönünde Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif sayıda şikâyet ve ihbarın iletilmesi üzerine bu husus hakkında sektörün bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği gündeme gelmiştir. Bu kapsamda konuya ilişkin olarak ilke kararı taslağı hazırlanmış ve Kurul’a sunulmuştur. Bunun üzerine Kurul Kararı ile; Kültür ve Turizm Bakanlığı, Ticaret Bakanlığı, İçişleri Bakanlığı, Türkiye Odalar ve Borsalar Birliği, Otel Satınalma Yöneticileri Derneği, Türkiye Otelciler Birliği’nden görüş alınması akabinde konunun yeniden Kurul gündemine sunulmasına karar verilmiştir. Devam eden süreçte bahsi geçen kurum ve kuruluşlardan alınan görüş cevap yazılarının değerlendirilmesi sonucunda Kurul tarafından söz konusu İlke Kararının yayımlanması kararlaştırılmıştır.

Anılan İlke Kararında; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5 ve 6’ncı maddelerine; 1774 sayılı Kimlik Bildirme Kanunu’nun 2’nci maddesine ve Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmeliğin 5’inci maddesine yer verilerek konaklama hizmeti alan ilgili kişilerden isim, soy isim, T.C. kimlik numarasından oluşan kimlik bilgilerinin kaydedilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin Kanunun 5’inci maddesinin ikinci fıkrasının (a) bendi “Kanunlarda açıkça öngörülmesi” ve (ç) bendi “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları çerçevesinde işlendiği ve dolayısıyla hukuka uygun bir işleme faaliyeti olduğu belirtilmiştir. Bununla birlikte anılan yerlerde konaklayan kişilerden, kişisel verilerinin doğruluğunun resmî belge ile karşılaştırmak suretiyle teyidinin sağlanması için kimlik belgesinin talep edilebileceği fakat T.C. kimlik belgesinin istenmesinin ardından fotokopisinin de alınarak kayda geçirilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin gereğinden fazla veri işleme sonucunu doğurduğu ve bu işleme faaliyetinin herhangi bir hukuki bir dayanağının da söz konusu olmadığı vurgulanmıştır.

Diğer taraftan turizm ve otelcilik sektöründe genel olarak konaklamaya ilişkin bir hizmet satışı söz konusu olduğundan faturalandırma amacıyla ilgili kişilerin kişisel verilerinin işlenmesinin tabi olduğu ve bu işleme faaliyetinin 213 sayılı Vergi Usul Kanunun ilgili maddeleri çerçevesinde Kanunun 5’inci maddesinin ikinci fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” şartı çerçevesinde hukuka uygun bir işleme faaliyeti olduğu belirtilmiştir.

Sonuç itibariyle, turizm ve otelcilik alanında hizmet veren veri sorumluları tarafından, konaklama yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alınması uygulamasına son verilmesi, İlke Kararının yayımlanmasından önce konaklama amacıyla hizmet alan ilgili kişilere ait T.C. Kimlik Belgesi fotokopilerini kayıt altına alan veri sorumlularının bu nitelikteki belgeleri Kanun’un 7’nci maddesine uygun olarak imha etmesi gerektiği kararlaştırılmıştır.

Bu çerçevede belirtilen hususlara uygun hareket edilmediğinin tespiti halinde de ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun ve sektör temsilcilerinin bilgilendirilmesi ve bu kapsamda Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınarak Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.

Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında Kişisel Verileri Koruma Kurulunun 06/11/2025 Tarihli ve 2025/2120 sayılı İlke Kararı

Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun İlke Kararı
26.06.2025
Karar Tarihi : 10/06/2025
Karar No : 2025/1072
Konu Özeti : Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulu İlke Kararı

 

Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden muhtelif sayıda şikâyet ve ihbarda, ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin iletişim bilgilerinin talep edildiği ve akabinde ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi öne sürülerek söz konusu kodun görevliye bildirilmesinin/sisteme girilmesinin istenildiği ancak bahse konu işlemin akabinde ilgili kişilere söz konusu veri sorumlusunun faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir.

Kişisel Verileri Koruma Kurulu (Kurul) tarafından, söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) doğrulama kodu gönderilen SMS’lerin içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca veya yetkilendirdiği kişilerce herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

Bilindiği üzere;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, ikinci fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.
  • Kanun’un 3’üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir irade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması gerekmektedir. Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.
  • Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Veri sorumluları tarafından yapılacak aydınlatma, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine de uygun olmalıdır.
  • Öte yandan, Kanun’un 12’nci maddesinde veri sorumlularının veri güvenliğine ilişkin yükümlülüklerine yer verilmiş olup söz konusu yükümlülüklerin yerine getirilmemesi halinde Kanun hükümleri gereğince veri sorumluları hakkında Kanun’un 18’inci maddesinde düzenlenen yaptırımların uygulanması gerekmektedir.

Bu kapsamda, yaygın olarak uygulandığı anlaşılan somut duruma ilişkin olarak Kurul tarafından yapılan değerlendirmeler neticesinde;

  • Ürün ve hizmet sunumlarına ilişkin süreçlerde (ödeme yapma, kayıt açma, üyelik oluşturma, teklif oluşturma ve benzeri işlemler esnasında) ilgili kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun görevlileri tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
  • İlgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ilgili kişilerden ayrı ayrı açık rıza alınması,
  • Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
  • Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
  • Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün ve hizmet sunumunun tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi takdirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceği, bu nedenle tüm süreçlerin Kanun’a uygun şekilde gerçekleştirilmesi,
  • Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, ürün ve hizmet sunumunun tamamlanmasından sonra talep edilmesi veya gerek SMS içeriklerinde gerekse veri sorumlusu tarafından fiziksel ortamda veya dijital ortamda yapılan bilgilendirmelerde söz konusu kodun görevli ile paylaşılması suretiyle verilen rızanın ürün ve hizmet sunumunun tamamlanması için zorunlu olmadığı, kodun verilmemesi halinde de her zaman ürün ve hizmet sunulabileceği, kod ile verilen izinlerin ve tercihlerin istendiği zaman değiştirilebileceği bilgisine net bir şekilde yer verilmesi yöntemlerinin tercih edilmesi ile ticari elektronik ileti iznine yönelik açık rızanın ürün ve hizmet sunumunun zorunlu bir unsuru gibi algılanmasının önüne geçilmesi,
  • Bahse konu işlemlerin hukuka uygunluğunun sağlanmasını teminen veri sorumluları tarafından bu süreçlerde yer alan personele yönelik gerekli eğitim ve farkındalık çalışmalarının periyodik olarak yürütülmesi

gerektiği kararlaştırılmıştır.

Ayrıca, Kanun’un 12’nci maddesinin birinci fıkrası “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir.

Bu çerçevede yukarıda belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi ve bu kapsamda Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınarak Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.

 

İlke Kararının Yayımlandığı Resmî Gazete’nin

Tarihi

Sayısı

26.06.2025

32938

 

6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları
08.01.2025

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18’inci maddesinde düzenlenen İdari Para Cezalarının 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinin yedinci fıkrasına göre her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanunu’nun mükerrer 298’inci maddesi hükümleri uyarınca 2017-2025 yılları için tespit ve ilan edilen yeniden değerleme oranında arttırılmış tutarlarını gösteren tablo aşağıdadır.

Madde Aykırılık Oluşturulan Madde Açıklama 2016 YILI CEZA TUTARLARI 2017 YILI CEZA TUTARLARI 2018 YILI CEZA TUTARLARI 2019 YILI CEZA TUTARLARI 2020 YILI CEZA TUTARLARI 2021 YILI CEZA TUTARLARI 2022 YILI CEZA TUTARLARI 2023 YILI CEZA TUTARLARI 2024 YILI CEZA TUTARLARI 2025 YILI CEZA TUTARLARI 2026 YILI CEZA TUTARLARI
3,83% 14,47% 23,73% 22,58% 9,11% 36,20% 122,93% 58,46% 43,93% 25,49%
18/a 10 Aydınlatma      yükümlülüğünü yerine getirmeme 5.000 100.000 5.191 103.830 5.942 118.854 7.352 147.058 9.012 180.263 9.832 196.684 13.391 267.883 29.852 597.191 47.303 946.308 68.083 1.362.021 85.437 1.709.200
18/b 12 Veri        güvenliğine        ilişkin yükümlülüklerin              yerine getirilmemesi 15.000 1.000.000 15.574 1.038.300 17.827 1.188.542 22.057 1.470.583 27.037 1.802.640 29.500 1.966.860 40.179 2.678.863 89.571 5.971.989 141.934 9.463.213 204.285 13.620.402 256.357 17.092.242
18/c 15 Kurul      kararlarının      yerine getirilmemesi 25.000 1.000.000 25.957 1.038.300 29.712 1.188.542 36.762 1.470.583 45.062 1.802.640 49.167 1.966.860 66.965 2.678.863 149.285 5.971.989 236.557 9.463.213 340.476 13.620.402 427.263 17.092.242
18/ç 16 Veri Sorumluları  Siciline kayıt ve     bildirim     yükümlülüğüne aykırı hareket edilmesi 20.000 1.000.000 20.766 1.038.300 23.770 1.188.542 29.410 1.470.583 36.050 1.802.640 39.334 1.966.860 53.572 2.678.863 119.428 5.971.989 189.245 9.463.213 272.380 13.620.402 341.809 17.092.242
18/d 9 Standart sözleşme bildirim yükümlülüğünün yerine getirilmemesi - - - - - - - - - - - - - - - - 50.000 1.000.000 71.965 1.439.300 90.308 1.806.177
Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılmasına ilişkin Kişisel Verileri Koruma Kurulunun Karar Özeti
16.02.2022

Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılmasına ilişkin Kişisel Verileri Koruma Kurulunun  Karar Özeti

Karar Tarihi

:

06/01/2022

Karar No

:

2022/13

Konu Özeti

:

İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

Kuruma intikal eden şikâyette; ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, kişisel verilerinin bu şekilde hukuka aykırı olarak işlenmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna başvurarak bilgi talebinde bulunduğu, söz konusu başvurunun tebliğ edilmesine karşın başvurunun yanıtsız bırakıldığı ifade edilerek konuya ilişkin Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup veri sorumlusu tarafından Kuruma herhangi bir cevap verilmemiştir.

Bu itibarla yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/01/2022 tarihli ve 2022/13 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise sayılan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • Şikâyetin incelemeye alındığı tarihte veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiğinin görüldüğü, şikayete konu iddialara ilişkin olarak veri sorumlusunun savunması ve savunmasına temel teşkil edecek bilgi ve belgelerin talep edildiği, veri sorumlusunu muhatap yazının tebliğ edilmiş olmasına rağmen Kanunun 15 inci maddesinin (3) numaralı fıkrasında öngörülen on beş günlük süre içerisinde Kuruma bir cevap verilmediği, dolayısıyla veri sorumlusunun ilgili kişinin kişisel verilerinin işlendiği iddiası hakkında savunma hakkını kullanmadığı ve bu nedenle ilgili kişinin sunmuş olduğu iddiasını tevsik edici belgeler ile şikâyetin sonuçlandırılmasının gerektiği,
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, kişinin adı, soyadı ve fotoğrafının kişisel veri niteliğini haiz olduğu konusunda tereddüt olmamakla birlikte kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin kişisel veri niteliğine haiz olup olmadığı hususunun ayrıca değerlendirilmesi gerektiği, sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirildiğinden kişisel veri niteliğini haiz olduğu, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendine göre; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi hâlinde Kanun hükümlerinin uygulanmayacağının hüküm altına alınmış olduğu, Anayasanın 28 inci maddesinde düzenlenen basın özgürlüğünün Anayasanın 26 ncı maddesinde düzenlenen düşünceyi açıklama ve yayma özgürlüğünün bir yansıması olarak kabul edildiği, demokratik toplumlarda basının en önemli görevinin, kamu yararını ilgilendiren olay ve konularda haber ve bilgi vermek, açıklamalar yapmak, eleştiri ve değer yargıları sunmak suretiyle toplumu aydınlatmak ve kamuoyu oluşturmak olduğu ve yaptığı bu görev nedeniyle basına “haber verme hakkı ve görevi” tanınmış olduğu,
  • Şikâyete konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu,  dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği ve bunun için temel ölçütün ise kamu yararı olduğu, gerek yazılı ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunmasının gerektiği,
  • Haber başlığında ilgili kişinin yalnızca üniversiteyi kazanan gençlerin sevincinden bahisle T.C. kimlik numarası maskelenerek ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını içeren sınav sonuç belgesine yer verilmiş olduğu, haberde başkaca bir bilgiye veya belgeye yer verilmediği, bu bilgilerin kullanılarak yapılan haber kapsamındaki kişisel verilerin kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi gerektiği,
  • Bu kapsamda, biçim ve öz arasındaki denge açısından haberlerde kullanılan dil ve ifadenin gerektirdiği ölçüde olduğu ve haberlerin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varılması sebebiyle habere konu kişisel veriler açısından öz ile biçim arasındaki denge kriterine muhalefet edilmediği anlaşılmakla beraber, söz konusu haberin ilgili kişinin yüksek bir başarısı olduğundan bahisle yapılmadığı, yalnızca üniversiteyi kazanan gençlerden birinin örneğinin verildiğinin görüldüğü, bu sebeple haberin toplumda sık rastlanan bir olay olduğu ve haberdeki olayın toplumu konu üzerinde düşünmeye sevk etmediği ve dolayısıyla bir kamu yararı bulunmadığı kanaatine varılmış olup söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği ve söz konusu kişisel veri işleme faaliyetinin istisna kapsamında olmadığının görüldüğü,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin ikinci fıkrasının (d) bendinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması”nın bir kişisel veri işleme şartı olarak düzenlendiği, Yükseköğretim Kurumları SınavıÖlçme, Seçme ve Yerleştirme Merkezi tarafından yapılan bir sınav olup sınav sonucunun ancak kişinin oluşturduğu bir şifre ve T.C. kimlik numarası ile sorgulanabildiği, bu bilgiden hareketle ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanının ilk olarak ilgili kişi tarafından yayımlanması suretiyle alenileştirilmiş olabileceği ihtimalinin gündeme geldiği, ancak veri sorumlusunun şikâyete ilişkin bilgi ve belge talebine cevap vermeyerek savunma hakkını kullanmamış olması nedeniyle ilgili kişinin kişisel verilerinin nereden ve nasıl elde edildiği ve kişisel verilerinin hangi veri işleme şartına dayanılarak işlendiği bilgisine ulaşılamadığı, Kanunun kişisel verilerin işleme şartlarının düzenlendiği 5 ve 6 ncı maddelerinde kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin,  veri sorumlusu tarafından Kanunda yer alan hangi hukuka uygunluk sebebine dayanılarak kişisel veri işlendiğinin belirtilmemiş olması nedeniyle kişisel verilerin hukuka aykırı olarak işlendiği yönündeki karineye dayanarak veri sorumlusunun kişisel veri işleme faaliyetinin hukuka aykırı olduğu kanaatine varıldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesine göre veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, veri sorumlusunun ilgili kişinin kişisel veri niteliğini haiz adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını hukuka aykırı olarak işlemesi nedeniyle Kanunun 12 nci maddesinde yer alan yükümlülüklerine aykırı hareket ettiği,
  • 5326 sayılı Kabahatler Kanununun “İdari Para Cezaları” başlıklı 17 nci maddesinin ikinci fıkrasına göre idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağının hüküm altına alındığı,
  • Karar tarihi itibariyle veri sorumlusuna ait internet sitesinde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanının paylaşıldığı haberin kaldırılmış olduğunun görüldüğü

değerlendirmelerinden hareketle;

  • Şikayete konu kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olarak işlendiği, karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsuru dikkate alınarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu
15.02.2022

Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.

LuckyEye ve TuneSoft iş birliği ile geliştirilen Dijital KVKK Çözümleri, organizasyonların KVKK uyum süreçlerini dijitalleştirerek karmaşık yapıların önüne geçiyor!
17.10.2022

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da resmi gazetede yayımlanması ile birlikte hayatımıza giren KVKK süreç yönetimi kavramıyla birlikte, özellikle çok kanallı organizasyonlarda süreçlerin entegre platformlar üzerinden veri sorumluları / veri işleyicileri tarafından yönetilmesi ciddi bir sorumluluk haline geldi.

Çözümlerimiz hakkında detaylı bilgi almak için bizimle iletişime geçin.

KVKK uyum ve platform rehberini indirin.

Kanallarınız üzerinden gelen veri sahiplerinin ve çalışanlarınızın kişisel verileri ile izinlerinin, hak sahiplerinin güncelleyebileceği yapıda olması, veri envanterinin sürekli güncel tutulması, izinli veriler üzerinden tanıtım ve iletişim çalışmalarının yapılması gibi sorumlulukların yasal mevzuata uygun olarak yönetilmesi için LuckyEye ve TuneSoft iş birliği ile hazırlanan dört platform, organizasyonların hayatını kolaylaştırmak ve KVKK mevzuatına tam uyum sağlamaları için geliştirildi.

Gerçekleştirilen iş birliği hakkında LuckyEye CEO’su Tolga Artan: “Günümüzde şirketlerin rekabete uyum sağlamaları, dijital dönüşümü ne kadar hızlı gerçekleştirebildiklerine bağlı. Farklı regülasyonlara adaptasyon, konuyu daha karmaşık hale getirebiliyor. Müşterilerimizle yaptığımız projelerde özellikle Pazarlama, Satış, Hukuk, İnsan Kaynakları, Bilgi Sistemleri ve Yönetim gibi çok sayıda departmanın ortak sorumluluğunda bulunan KVKK süreçlerinin etkin yönetimi için dijital platform kullanımının ciddi bir katma değer oluşturduğunu gözlemliyoruz. Hem süreçte yer alan paydaşların deneyimini kolaylaştırmak, hem sorumlu departmanların yükünü azaltmak hem de regülasyonu denetleyen kurumların isteklerini hızlı ve kolay karşılamak için KVKK süreçlerinizi dijital platformlar aracılığı ile yönetmenizi öneriyoruz. Tunesoft ile gerçekleştirdiğimiz işbirliği ile Şirketiniz için oluşturabileceğimiz katma değeri gelin birlikte değerlendirelim.” açıklamasında bulundu.

TuneSoft CEO’su Nedim Nazlı ise kurumların hayatını kolaylaştıracak bu iş birliği hakkında “Veri gizliliği düzenlemelerini karşılamak ve sürekli uyumluluğu sağlamak şimdi her zamankinden daha önemlidir.  Bu gereksinimler, müşterilerimizin önemli ölçüde zaman ve kaynaklarını tüketebilir.  Tunesoft & LuckyEye birlikte, müşterilerimize KVKK süreçlerini basitleştirmelerini ve kolaylaştırmalarını sağlayan çözümler sunmaktan gurur duyuyoruz. Harika bir takım olup, bu süreçte daha fazla ve daha fazla şirkete birlikte yardım etmeyi dört gözle bekliyoruz.” dedi.

Veri Envanteri Yönetimi Platformu

KVKK süreçlerinizi kolayca yönetmenizi sağlayacak Veri Envanteri Yönetimi Platformu sayesinde organizasyonunuzun varlıklarını platform üzerinde Organizasyon, Departman, Faaliyet ve Veri Kaynağı şeklinde sınıflandırarak süreçlerinizi kategorize edebilirsiniz.

Çerez Politikası Platformu

Bilgilendirme yönetimi ile rızaya dayalı çerez yönetimini birlikte gerçekleştiren Çerez Politikası Platformu ile ziyaretçiler opsiyonel olarak sunulan çerezlerin bilgilendirme metinlerini okuyabilir, dilediği opsiyonel çerezi gerekli izni vermek suretiyle seçerek kişiselleştirilmiş bir deneyim elde edebilir. Organizasyonlar ise opsiyonel çerezleri yasal mevzuata uygun şekilde kullanıcıyla buluşturarak sadece izinli kitlenin verilerini işleyerek yasal çerçevede yaptırımlardan uzak bir dijital kanal yönetimi fırsatı elde eder.

Çalışan Açık Rıza Yönetimi Platformu

Çalışan Açık Rıza Yönetim Platformu sayesinde kurum çalışanları e-posta ve telefon numaraları aracılığı ile giriş yapacakları platform üzerinden çalıştığı kurum tarafından onay verilmesi beklenen izinleri görüp yönetebilir, aynı zamanda o ana dek verdiği tüm izinleri tek bir ekranda kolayca görüntüleyebilir.

Müşteri İletişim İzni Yönetimi Platformu

Dijital platformlarınız üzerinden alınan kişisel bilgileriı yönetmeyi sağlayan Müşteri İletişim İzni Yönetimi Platformu ile KVKK uyumlu iletişim datası sürekli güncel olarak şirket sunucularında tutularak yalnızca yetkili kişilerin bu verilere ulaşması  ve veri sahiplerinin kolaylıkla izinlerini yönetebilmeleri sağlanmakta.

Kullanıcı dostu arayüzleri ve BT sistemleri ile kolay entegre edilebilir altyapıyla hazırlanan platformlar ile hem müşterileriniz hem de çalışanlarınız için aydınlatma yükümlülüklerinizi gerçekleştirebilir, açık rıza ve izin süreçlerinizi sistematik hale getirerek verilerin güncelliğini anlık olarak sağlayabilirsiniz.

LuckyEye Hakkında

Türkiye'nin önde gelen teknoloji şirketlerinden LuckyEye, 1999'dan beri hem Türkiye’de hem Avrupa'da iş çözümleri için yeni nesil akıllı teknolojileri kullanarak yüzlerce deneyim yönetimi ve dijital dönüşüm projesine başarılı bir şekilde imza atmıştır.

LuckyEye, teknolojiye ve yaratıcı fikirlere katkıda bulunma mirasından yola çıkarak; müşterilerine değişen koşullara hızlı ve güvenli bir şekilde uyum sağlayabildikleri takdirde başarıya ulaşabilecekleri akıllı dijital çözümler sunmaktadır.

Daha fazla bilgi için www.luckyeye.com sitesini ziyaret edebilirsiniz.

TuneSoft Hakkında

Bir Regtech şirketi olan TuneSoft’un deneyimli ekibi 20 yıldan fazla süredir teknoloji, veri, güvenlik, risk yönetimi, iş süreçleri analizi ve yönetim konularında deneyim sahibidir. Tam donanımlı ve çoklu disiplin yaklaşımıyla, hukuki ve teknik deneyimlerini birleştirerek KVKK ve GDPR ve benzeri regülasyonlarda uyum çözümleri tasarlamaktadır.

 Daha fazla bilgi için www.tunesoft.com.tr sitesini ziyaret edebilirsiniz.

 
Aydınlatma MetniBaşvuru FormuKVKK PolitikasıÇerez PolitikasıEtkinlik Aydınlatma Metinleri

TUNE SOFT TEKNOLOJİ TİCARET A.Ş.
KVKK BAŞVURU FORMU

A. İLGİLİ KİŞİNİN HAKLARI

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. Maddesi ve ilgili mevzuat kapsamında herkes, veri sorumlusu sıfatını haiz Şirketimize aşağıdaki hususlarda başvurma hakkına sahiptir:

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 6698 sayılı Kanun’un 7nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

B. İLGİLİ KİŞİNİN VERİ SORUMLUSUNA BAŞVURU USUL VE ESASLARI

KVKK’nın 13. maddesinin 1. fıkrası uyarınca ve 10.3.2018 tarih ve 30356 sayılı Resmi Gazetede Yayınlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında; veri sorumlusu olan Şirketimize bu haklara ilişkin olarak yapılacak başvuruların aşağıdaki belirtilen veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerden biriyle tarafımıza iletilmesi gerekmektedir.

Kişisel veri sahibi “İlgili Kişi”, 6698 Sayılı Kişisel Verilerin Korunması Kanunu madde 11 ve ilgili mevzuat uyarınca sahip olduğu tüm haklarını kullanmak amacıyla,

  • Yazılı olarak,
  • Güvenli elektronik imza ile,
  • Kayıtlı Elektronik Posta (KEP) adresi ile,
  • Mobil imza ile,
  • İlgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı olan e-posta adresinden gönderilmek suretiyle,

Başvurabilir.

Başvuruda aşağıda yer verilen hususların bulunması zorunludur:

  • Ad, soy ad ve başvuru yazılı ise imza,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • Talep konusu.

Konuya ilişkin bilgi ve belgeler mevcutsa başvuruya eklenir.

Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihi olarak esas alınacaktır.

Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihi olarak esas alınacaktır.

Başvuru talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Başvurular, kişinin kendisi tarafından yapılmalıdır. Bir başkası adına başvuru ancak KVKK kapsamında bilgi talep etme içeriğini haiz olması koşulu ile vekaletname ibraz edilmek suretiyle yapılabilir. Şirketimiz, başvuru sahibinin kimliğinden şüphelenirse buna ilişkin doğrulama bilgilerini ilgili kişiden talep edebilir.

İLETİŞİM BİLGİLERİ

Unvan : Tune Soft Teknoloji Ticaret A.Ş.

Adres : Göztepe Mah. Santral Sk. No: 20 Kavacık / İstanbul

İletişim Linki ve e-mail adresi: : https://tunesoft.com.tr/ - destek@tunesoft.com.tr

Başvuru Formunu indirmek için tıklayınız