Kişisel verilerinizin izniniz dışında kullanılması, yayılması veya ele geçirilmesi durumunda hangi hukuki yollara başvurabileceğinizi biliyor musunuz? Bu makalemizde, Kişisel Verilerin Korunması Davası sürecini adım adım inceliyoruz. KVKK kapsamında şikayet yollarından TCK'da düzenlenen ceza davalarına, Yargıtay'ın emsal kararlarından mahkemeye delil sunma kurallarına kadar tüm detayları ve 2024 yılında kanunda yapılan güncel değişiklikleri sizler için derledik. Haklarınızı öğrenmek ve korumak için okumaya devam edin.

Elbette, istediğiniz makale bölümünü aşağıda bulabilirsiniz.

Kişisel Verilerin Korunması Kapsamında İdari Başvuru Süreci

Türkiye'de kişisel verilerin korunması, temel bir anayasal hak olarak güvence altına alınmıştır. Bu hakkın en önemli yasal dayanağı ise 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur (KVKK). Bu Kanun, bireylere kendi verileri üzerinde kontrol sahibi olma imkânı tanırken, bir ihlal yaşandığında başvurulacak hukuki yolları da net bir şekilde belirlemiştir. Kişisel verilerinin hukuka aykırı işlendiğini düşünen bir kişinin, doğrudan dava açmak yerine öncelikle izlemesi gereken bir idari başvuru süreci bulunmaktadır. Bu süreç, kanun koyucu tarafından hem sorunların daha hızlı çözülmesini sağlamak hem de yargı mercilerinin iş yükünü hafifletmek amacıyla kademeli bir yapıda tasarlanmıştır. Bu yol, veri sorumlusuna başvuru ve ardından Kişisel Verileri Koruma Kurulu'na şikâyet olmak üzere iki temel aşamadan oluşur.

Veri Sorumlusuna Başvuru Zorunluluğu

Kişisel verilerinizle ilgili bir talepte bulunmak veya bir ihlali bildirmek istediğinizde, atmanız gereken ilk ve en önemli adım, verilerinizi işleyen "veri sorumlusuna" başvurmaktır. KVKK Madde 13, bu adımı bir tercih değil, bir zorunluluk olarak düzenlemiştir. Yani, Kişisel Verileri Koruma Kurulu'na şikâyet yoluna gitmeden önce, bu aşamanın mutlaka tüketilmesi gerekir. Bu, bir nevi "zorunlu ön koşul" niteliğindedir.

Bu başvurunun temel amacı, veri sorumlusuna hatasını düzeltme veya talebinizi karşılama fırsatı vermektir. Başvurunuzda, KVKK kapsamındaki haklarınızdan hangisini kullandığınızı (örneğin, verilerinizin silinmesini talep etme, işleme amacını öğrenme, yanlış verileri düzelttirme vb.) açıkça belirtmeniz gerekir.

Veri sorumlusu, kendisine ulaşan bu talebi niteliğine göre en kısa sürede ve her hâlükârda en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, talebinizin yerine getirilmesi ek bir maliyet gerektiriyorsa, Kurul tarafından belirlenen tarifedeki ücretler talep edilebilir. Veri sorumlusunun başvuruya verebileceği üç tür yanıt vardır:

1. Talebi Kabul Etmek: Veri sorumlusu talebinizi haklı bulur ve gereğini yerine getirir. Eğer başvuru, veri sorumlusunun bir hatasından kaynaklanıyorsa ve sizden bir ücret alınmışsa, bu ücretin iade edilmesi zorunludur.
2. Talebi Reddetmek: Veri sorumlusu, talebinizi gerekçesini açıkça belirtmek suretiyle reddedebilir. Bu gerekçenin hukuki ve mantıksal bir temele dayanması beklenir.
3. Süresinde Cevap Vermemek: Veri sorumlusu, 30 günlük yasal süre içinde size herhangi bir geri dönüş yapmayabilir. Kanun, bu durumu zımni (örtülü) bir ret olarak kabul eder.

Başvurunuzun ispatı açısından yazılı olarak (örneğin iadeli taahhütlü posta, noter kanalıyla) veya Kayıtlı Elektronik Posta (KEP) gibi ispat gücü yüksek yöntemlerle yapılması, ilerleyen aşamalarda hak kaybı yaşanmaması adına kritik öneme sahiptir.

Kişisel Verileri Koruma Kurulu'na Şikayet Hakkı ve Süreleri

Veri sorumlusuna yaptığınız başvurudan istediğiniz sonucu alamadığınızda, hak arama sürecinin ikinci aşaması devreye girer: Kişisel Verileri Koruma Kurulu'na (Kurul) şikâyette bulunmak. KVKK Madde 14, bu hakkın hangi durumlarda ve hangi süreler içinde kullanılabileceğini net bir şekilde düzenlemektedir. Kurul'a şikâyet edebilmeniz için aşağıdaki şartlardan birinin gerçekleşmiş olması gerekir:

• Veri sorumlusuna yaptığınız başvurunun açıkça reddedilmesi.
• Veri sorumlusunun verdiği cevabın sizin tarafınızdan yetersiz bulunması.
• Veri sorumlusunun yasal süre olan 30 gün içinde başvurunuza hiç cevap vermemesi.

Bu şartlardan biri oluştuğunda, sizin için şikâyet süreleri işlemeye başlar. Bu süreler hak düşürücü nitelikte olup, kaçırılması halinde Kurul'a başvuru hakkınızı kaybedersiniz. Şikâyet süreleri şöyledir:

• Veri sorumlusunun cevabını öğrendiğiniz tarihten itibaren 30 gün içinde,
• Veri sorumlusu size cevap vermemişse, 30 günlük cevap süresinin bittiği tarihten itibaren, her hâlükârda ilk başvuru tarihinizden itibaren 60 gün içinde Kurul'a şikâyette bulunmanız gerekmektedir.

Kurul, yapılan şikâyetleri inceleyerek bir karara varır. KVKK Madde 15 uyarınca Kurul, yalnızca şikâyet üzerine değil, bir ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda re'sen (kendiliğinden) de inceleme başlatma yetkisine sahiptir. Kurul incelemesi sonucunda bir ihlal tespit ederse, hukuka aykırılıkların giderilmesi için veri sorumlusuna talimat verebilir ve ciddi ihlallerde yüksek idari para cezaları uygulayabilir. Bu idari süreç, kişisel verilerin korunması alanında bireylerin haklarını etkin bir şekilde kullanabilmesi için tasarlanmış temel ve güçlü bir mekanizmadır.

Elbette, istediğiniz bölümü aşağıda belirtilen talimatlara uygun olarak, profesyonel ve SEO odaklı bir dille hazırladım.

---

Kişisel Veri İhlallerinin Cezai Yaptırımları ve Yargılama Usulü

Kişisel verilerin korunması, yalnızca idari yaptırımlarla sınırlı bir alan değildir. Veri ihlallerinin niteliği ve yol açtığı hak kayıpları göz önünde bulundurulduğunda, Türk Ceza Hukuku da bu alanda ciddi caydırıcı mekanizmalar öngörmektedir. 6698 sayılı KVKK kapsamında Kişisel Verileri Koruma Kurulu'na yapılan şikayetler ve uygulanan idari para cezaları sürecin bir boyutunu oluştururken, eylemin suç teşkil etmesi halinde failler hakkında ceza davası açılması da mümkündür. Bu bölümde, kişisel veri ihlallerinin ceza hukuku boyutunu, ilgili suç tiplerini, cezaları ve yargılama sürecini detaylı bir şekilde inceleyeceğiz.

Verileri Hukuka Aykırı Verme, Yayma veya Ele Geçirme Suçu

Kişisel verilerin korunmasına ilişkin en temel cezai düzenleme, 5237 sayılı Türk Ceza Kanunu'nun (TCK) 136. maddesinde yer alan "Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme" suçudur. Bu madde, kişisel verilerin gizliliğini ve güvenliğini ceza hukuku araçlarıyla koruma altına almayı hedefler.

Maddenin ilgili fıkrası şu şekildedir: "Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır."

Bu suç, üç farklı seçimlik hareketten birinin işlenmesiyle oluşur:

1. Kişisel Verileri Hukuka Aykırı Olarak Verme: Bu hareket, bir kişiye ait verinin, onun rızası veya kanuni bir dayanak olmaksızın belirli bir üçüncü kişiye veya kuruma aktarılmasıdır. Örneğin, bir çalışanın iletişim bilgilerinin, onun onayı olmadan başka bir şirketle paylaşılması bu kapsama girer. Yargıtay'ın bu konudaki yaklaşımı oldukça nettir. Yargıtay 12. Ceza Dairesi'nin K. 2014/16665 sayılı kararında, bir kişinin cep telefonu numarasının rızası dışında başkasına verilmesi eyleminin TCK 136. maddesindeki suçu oluşturduğuna hükmedilmiştir. Kararda, numarayı izinsiz olarak veren kişinin "veren/yayan", bu numarayı alan kişinin ise "ele geçiren" olarak ayrı ayrı sorumlu tutulabileceği vurgulanmıştır.

2. Kişisel Verileri Yayma: Yayma, kişisel verinin belirsiz sayıda kişinin bilgisine ve erişimine sunulmasıdır. İnternet sitelerinde, sosyal medya platformlarında veya herkese açık forumlarda bir kişinin adını, fotoğrafını, telefon numarasını veya adresini yayımlamak bu suçu oluşturur. Eylemin "yayma" olarak kabul edilmesi için verinin çok sayıda kişiye ulaşma potansiyelinin olması yeterlidir.

3. Kişisel Verileri Ele Geçirme: Bu hareket, başkasının kontrolü altında bulunan kişisel veriler üzerinde hukuka aykırı bir şekilde hakimiyet kurmaktır. Verileri bilgisayar sisteminden çalmak, bir dosyadan kopyalamak veya fiziksel olarak almak "ele geçirme" sayılır. Yargıtay, bu suçun oluşması için verinin fiilen kullanılmış olmasını dahi aramamaktadır. Yargıtay 8. Ceza Dairesi'nin 2014/17639 K. sayılı kararında belirtildiği gibi, bir ATM'ye kart kopyalama (skimming) cihazı yerleştirmek, henüz kimsenin verisi kopyalanmamış olsa bile, suça "teşebbüs" olarak kabul edilmiştir. Bu karar, verileri ele geçirmeye yönelik hazırlık hareketlerinin dahi ne kadar ciddi bir hukuki sonuç doğurabileceğini göstermektedir.

Cezayı Artıran Haller ve Zamanaşımı

TCK, bu suçun belirli kişiler tarafından veya belirli yöntemlerle işlenmesini daha ağır bir yaptırıma tabi tutmuştur. TCK'nın 137. maddesi, suçu ağırlaştıran nitelikli halleri düzenlemektedir. Buna göre, TCK 136'daki suçun;

• Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
• Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak

işlenmesi halinde, faile verilecek ceza yarı oranında artırılır. Örneğin, bir nüfus memurunun görevini kötüye kullanarak bir vatandaşın bilgilerini üçüncü kişilerle paylaşması veya bir banka çalışanının müşterilerin finansal verilerini sızdırması bu nitelikli hallere örnek teşkil eder. Bu durumda temel ceza olan 2 ila 4 yıl hapis, 3 ila 6 yıl arasına çıkacaktır.

Yargılama Usulü ve Zamanaşımı

Kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu, şikayete tabi suçlardan değildir. Bu, suçun mağdurunun şikayetçi olup olmamasından bağımsız olarak, Cumhuriyet Savcılığının suçu öğrendiği andan itibaren re'sen (kendiliğinden) soruşturma başlatmak zorunda olduğu anlamına gelir. Bu durum, devletin kişisel verilerin korunmasına atfettiği önemi göstermektedir.

Ayrıca, bu suç uzlaşma kapsamında değildir. Yani, fail ile mağdur arasında bir anlaşma sağlanarak ceza davasının düşmesi mümkün değildir.

Suç için öngörülen dava zamanaşımı süresi ise 8 yıldır. Bu süre, suçun işlendiği tarihten itibaren işlemeye başlar. Eğer 8 yıl içinde fail hakkında bir kamu davası açılmazsa, suç zamanaşımına uğrar ve failin cezai sorumluluğu ortadan kalkar. Bu nedenle, veri ihlali mağdurlarının vakit kaybetmeden hukuki süreci başlatmaları hak kaybı yaşamamaları adına kritik öneme sahiptir.

Elbette, istediğiniz makale bölümünü aşağıda bulabilirsiniz.

---

Yargı Kararlarında Kişisel Veri, Özel Hayat ve Delil Kullanımı

Kişisel verilerin korunması hukuku, soyut kuralların yanı sıra mahkeme kararları ve Kişisel Verileri Koruma Kurulu'nun (Kurul) uygulamalarıyla şekillenen dinamik bir alandır. Özellikle Türk Ceza Kanunu (TCK) kapsamında açılan davalarda, "kişisel veri" ve "özel hayatın gizliliği" kavramları arasındaki ince çizgi, Yargıtay içtihatlarıyla belirginleşmektedir. Bir eylemin hangi suçu oluşturduğu, verinin niteliğine ve işlenme amacına göre değişmektedir. Bu bölümde, Yargıtay ve Kurul kararları ışığında, sosyal medya fotoğraflarının hukuki statüsünden, bir davada savunma hakkı için kişisel veri kullanımının sınırlarına kadar kritik konuları ele alacağız.

Sosyal Medya ve Fotoğrafların Hukuki Niteliği

Günümüzde en sık karşılaşılan veri ihlallerinden biri, sosyal medyada paylaşılan fotoğrafların izinsiz olarak alınarak başka platformlarda kullanılması veya yayılmasıdır. Genel kanının aksine, bir fotoğrafın "herkese açık" bir profilde paylaşılmış olması, o fotoğrafın başkaları tarafından serbestçe kullanılabileceği anlamına gelmez. Yargıtay, bu konuda net bir ayrım yaparak, özel hayatın gizli alanına girmeyen ancak kişiyi belirlenebilir kılan her türlü görselin "kişisel veri" olduğunu ve korunması gerektiğini vurgulamaktadır.

Bu noktada iki temel suç tipi karşımıza çıkar:

• Özel Hayatın Gizliliğini İhlal (TCK Madde 134): Bu suç, genellikle kişinin mahrem alanına (örneğin, konut içi, giyinme kabini vb.) ait, gizli kalması beklenen görüntü veya seslerin ifşa edilmesiyle oluşur.
• Kişisel Verileri Hukuka Aykırı Yayma (TCK Madde 136): Bu suç ise, bir kişiyi tanımlayan her türlü verinin, rızası olmaksızın başkalarının bilgisine sunulmasıyla meydana gelir.

Yargıtay, günlük kıyafetlerle çekilmiş, sosyal medyada paylaşılmış veya kamusal alanda çekilmiş fotoğrafları genellikle TCK Madde 134 kapsamında değil, TCK Madde 136 kapsamında değerlendirmektedir. Zira bu fotoğraflar kişinin gizli yaşam alanına ait olmasa da, onu tanımlayan birer kişisel veridir.

Bu konudaki emsal niteliğindeki Yargıtay 12. Ceza Dairesi'nin K.2021/6589 sayılı kararı, bu ayrımı net bir şekilde ortaya koymaktadır. Karara göre, mağdurun herkese açık olan sosyal medya hesabındaki bir fotoğrafını alıp, kendi hesabında yayımlayan sanığın eylemi, TCK 136'da tanımlanan "verileri hukuka aykırı olarak yayma" suçunu oluşturur. Çünkü mağdur, fotoğrafını kendi profilinde paylaşarak alenileştirmiş olsa da, bu durum başkalarının bu veriyi alıp yaymasına rıza gösterdiği anlamına gelmemektedir.

Benzer şekilde, Yargıtay 12. Ceza Dairesi'nin K. 2020/7153 sayılı kararı da düğün fotoğraflarının hukuki niteliğine ışık tutmuştur. Bu kararda, bir fotoğrafçının, müşterisinin düğün fotoğraflarını yıllar sonra ticari tanıtım amacıyla başka müşterilere göstermesi ele alınmıştır. Yargıtay, düğün fotoğraflarının özel hayatın gizli alanına girmediğini ancak tartışmasız bir şekilde kişisel veri olduğunu belirtmiş ve bu verilerin ticari amaçla izinsiz kullanılmasının TCK 136 kapsamındaki suçu oluşturduğuna hükmetmiştir.

Savunma Hakkı Kapsamında Veri Sunulması

Kişisel verilerin korunması hakkı mutlak değildir ve bazı durumlarda başka temel haklarla çatışabilir. Bu hakların başında, adil yargılanma hakkının bir unsuru olan savunma ve ispat hakkı gelir. Peki, bir davada hakkını ispatlamak isteyen bir kişi, karşı tarafa ait kişisel verileri delil olarak mahkemeye sunabilir mi?

Bu sorunun cevabı, eylemin ardındaki "kast" ve "hukuka uygunluk nedeni" unsurlarında yatmaktadır. Bir veriyi sırf karşı tarafa zarar vermek veya onu küçük düşürmek amacıyla değil, bir hakkı ispatlamak veya savunma yapmak gibi meşru bir amaçla ve zorunlu olduğu ölçüde kullanmak, eylemi suç olmaktan çıkarabilir. Ancak bu, sınırsız bir yetki vermez.

Bu konudaki en güncel ve önemli kararlardan biri, Yargıtay 12. Ceza Dairesi'nin 2020/1485 E. ve 2024/2148 K. sayılı kararıdır. Bu olayda bir avukat, vekili olduğu cinsel taciz davasında, müvekkilinin iddialarını desteklemek amacıyla karşı tarafa ait hastane kayıtlarını delil olarak mahkeme dosyasına sunmuştur. Yerel mahkeme avukatı TCK 136'dan mahkum etse de, Yargıtay bu kararı onayan Bölge Adliye Mahkemesi kararını hukuka uygun bulmuştur. Gerekçe ise avukatın suç işleme kastıyla değil, delil niteliğinde olduğuna inandığı bir belgeyi, savunma hakkı kapsamında mahkemeye sunmasıdır. Yani, eylemin hukuka aykırılık bilinciyle gerçekleştirilmediği kabul edilmiştir.

Öte yandan, kasıt olmasa bile ihmal sonucu veri ihlali yaşanması idari yaptırımlara neden olabilir. Kişisel Verileri Koruma Kurulu'nun 31/05/2019 tarihli ve 2019/166 sayılı kararı bu duruma iyi bir örnektir. Bir avukatlık bürosunun, borçluya ait bilgileri içeren bir SMS'i, telefon numarasındaki bir rakam hatası nedeniyle ilgisiz bir üçüncü kişiye göndermesi, veri güvenliğini sağlama yükümlülüğünün (KVKK md. 12) ihlali olarak kabul edilmiş ve büroya idari para cezası uygulanmıştır. Bu karar, savunma hakkı gibi meşru bir amaç olmaksızın, salt dikkatsizlik ve ihmalin dahi ciddi sonuçlar doğurabileceğini göstermektedir.

Sonuç olarak, yargı kararları, kişisel verilerin korunması alanında teorik bilgilerin pratiğe nasıl döküldüğünü gösteren en önemli rehberlerdir. Herkese açık bilginin dahi kişisel veri sayılması ve savunma hakkının sınırlarının "kast" unsuruyla çizilmesi, bu alandaki davaların ne kadar hassas ve detaylı bir inceleme gerektirdiğini ortaya koymaktadır.

Elbette, istediğiniz makale bölümünü aşağıda bulabilirsiniz.

Davalarda Delil Sunarken Uyulması Gereken KVKK Kuralları

Bir hukuki uyuşmazlıkta haklılığını ispat etme hakkı, adil yargılanma ilkesinin temel bir parçasıdır. Ancak bu hak, başka bir temel hak olan kişisel verilerin korunması hakkı ile dengelenmek zorundadır. Bir davada, karşı tarafın veya üçüncü kişilerin kişisel verilerini içeren bir belgeyi delil olarak mahkemeye sunmak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında dikkatle yönetilmesi gereken bir süreçtir. Mahkemeye sunulan her delil, KVKK terminolojisinde bir "veri aktarımı" olarak kabul edilir ve bu aktarımın hukuka uygun olması gerekir. Aksi takdirde, davanızı ispat etmeye çalışırken kendinizi bir veri ihlalinin sorumlusu olarak bulabilir ve ciddi idari yaptırımlarla karşı karşıya kalabilirsiniz.

Veri Aktarımının Hukuki Dayanakları

Kişisel veri içeren bir delili mahkemeye sunmadan önce, bu veri aktarımını hangi hukuki sebebe dayandırdığınızı netleştirmelisiniz. KVKK'ya göre temel kural, ilgili kişinin açık rızası olmadan verilerinin işlenememesi ve aktarılamamasıdır. Ancak dava süreçlerinde açık rıza almak çoğunlukla pratik veya mümkün değildir. İşte bu noktada, Kanun'un öngördüğü diğer işleme şartları devreye girer.

Davalarda delil sunmanın en önemli hukuki dayanağı, KVKK Madde 5/2-e bendinde düzenlenen "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" şartıdır. Eğer bir davada haklarınızı korumak, bir alacağı ispatlamak veya haksız bir iddiaya karşı kendinizi savunmak için belirli bir kişisel veriyi içeren delili sunmanız kaçınılmaz ise, bu hukuki dayanağa dayanabilirsiniz. Örneğin:

• İşe iade davası açan bir işverenin, çalışanın performans düşüklüğünü veya devamsızlığını ispatlamak için tutanakları veya kamera kayıtlarını sunması.
• Bir alacak davasında, borç ilişkisini kanıtlayan ve karşı tarafın kişisel bilgilerini içeren bir sözleşmenin veya e-posta yazışmasının mahkemeye sunulması.

Bu noktada kritik bir ayrım daha bulunmaktadır. Eğer veriyi sunan taraf siz değilseniz ve mahkeme, bir müzekkere ile doğrudan sizden veya kurumunuzdan bir belge talep ediyorsa, durum değişir. KVKK Madde 28/1(d), kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları tarafından işlenmesinin Kanun kapsamı dışında olduğunu belirtir. Bu bir istisnadır. Dolayısıyla, mahkemeden gelen resmi bir talebe uymak, bir KVKK ihlali oluşturmaz. Kişisel Verileri Koruma Kurulu'nun 2020/138 sayılı Kararı bu durumu net bir şekilde ortaya koymaktadır. Kararda, mahkemenin müzekkere ile talep ettiği eski çalışana ait özlük dosyasının tamamının işveren tarafından mahkemeye sunulması, yargısal faaliyet istisnası kapsamında değerlendirilmiş ve bir ihlal olmadığına hükmedilmiştir.

Ölçülülük ve Maskeleme Yükümlülüğü

Hakkınızı savunmak için delil sunma hakkınız olsa bile, bu size sınırsız bir yetki vermez. KVKK Madde 4'te düzenlenen genel ilkelerden olan "ölçülülük" ilkesi, delil sunarken de gözetilmelidir. Bu ilke, mahkemeye sadece davanın esasıyla doğrudan ilgili ve iddianızı ispatlamak için zorunlu olan minimum düzeyde veri sunmanız gerektiği anlamına gelir.

Ölçülülük ilkesinin pratikteki en önemli yansıması ise maskeleme (karartma) yükümlülüğüdür. Delil olarak sunacağınız bir belgede, davanızla ilgisi olmayan üçüncü kişilere ait veya dava konusuyla bağlantısı bulunmayan kişisel veriler varsa, bu kısımları mutlaka tanınmayacak şekilde karartmalısınız.

Örneğin:

• Bir banka dekontunu delil olarak sunuyorsanız, sadece ilgili işlem satırını açık bırakıp sayfadaki diğer tüm işlemleri ve bu işlemlere taraf olan kişilerin bilgilerini maskelemelisiniz.
• Bir e-posta yazışmasını delil yapıyorsanız, konunun tarafı olmayan ve sadece bilgi (CC) kısmında yer alan kişilerin e-posta adreslerini ve isimlerini karartmalısınız.
• Toplu bir tutanakta sadece bir kişinin beyanı veya imzası delil niteliğindeyse, diğer kişilere ait isim, imza, T.C. kimlik numarası gibi verileri kapatmalısınız.

Bu yükümlülüğe uyulmaması, delil sunma eyleminizi hukuka uygun olmaktan çıkarabilir. Mahkemeye sunduğunuz belgede gereksiz yere üçüncü kişilerin verilerini ifşa etmeniz, hakkınızı ispat amacını aşan orantısız bir müdahale olarak kabul edilebilir ve bu durum, ayrı bir veri ihlali şikayetine konu olabilir. Unutulmamalıdır ki, KVKK Madde 8 uyarınca yapılan bu veri aktarımının her adımı, Kanun'un temel ilkelerine uygun olmak zorundadır. Mahkemenin ihtiyaç duyması halinde, belgenin maskelenmemiş orijinal halini talep etme yetkisi her zaman saklıdır. Ancak ilk sunumda bu özeni göstermek, sizi olası bir KVKK yaptırımından koruyacaktır.

Harika bir şekilde ana hatları belirlenmiş bu makalenin son bölümünü, istenen tüm detayları ve genel bir toparlama paragrafını içerecek şekilde aşağıda hazırladım.

---

KVKK'da 2024 Yılında Yapılan Güncel Değişiklikler ve Etkileri

Kişisel verilerin korunması, durağan bir hukuk alanı olmayıp teknolojik ve toplumsal gelişmelere paralel olarak sürekli evrilen dinamik bir disiplindir. Bu doğrultuda, Türkiye'nin veri koruma rejiminin temel taşı olan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumu artırmak ve uygulamada karşılaşılan zorlukları gidermek amacıyla önemli değişiklikler yapılmıştır. 1 Haziran 2024 tarihinde yürürlüğe giren bu yeni düzenlemeler, özellikle özel nitelikli kişisel verilerin işlenme şartları, verilerin yurt dışına aktarımı ve idari yaptırımlara itiraz mekanizmalarında köklü yenilikler getirmiştir.

Özel Nitelikli Verilerin İşlenme Şartlarındaki Yenilikler

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri gibi hassas bilgileri kapsar. Önceki düzenlemede, bu verilerden "sağlık ve cinsel hayata" ilişkin olanlar ile diğerleri arasında işleme şartları bakımından bir ayrım bulunuyordu.

KVKK Madde 6 (Değişik) ile bu ayrım ortadan kaldırılmıştır. Artık tüm özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın aşağıdaki şartlardan birinin varlığı halinde işlenebilecektir:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması ve alenileştirme iradesine uygun olması.
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi.
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.
• Siyasi, felsefi, dini veya sendikal amaçlı vakıf, dernek ve diğer kâr amacı gütmeyen kuruluşlarca, mevcut veya eski üyelere yönelik ve faaliyet alanlarıyla sınırlı olarak, üçüncü kişilere açıklanmamak kaydıyla işlenmesi.

Bu değişiklik, veri sorumlularına daha esnek ve öngörülebilir bir hukuki zemin sunarken, hassas verilerin işlenmesinde ölçülülük ve veri minimizasyonu gibi temel ilkelere uyma sorumluluğunu ortadan kaldırmamaktadır.

Yurt Dışına Veri Aktarımında GDPR Uyumlu Yeni Sistem

KVKK'nın en çok tartışılan ve uygulamada en fazla zorluk yaratan hükümlerinden biri olan yurt dışına veri aktarımını düzenleyen 9. madde, baştan aşağı yenilenmiştir. Eski sistem, büyük ölçüde ilgili kişinin açık rızasına veya Kişisel Verileri Koruma Kurulu'nun ilan edeceği "yeterli korumaya sahip ülkeler" listesine dayanıyordu. Bu katı yapı, uluslararası ticari faaliyetleri ve veri akışını ciddi şekilde kısıtlıyordu.

KVKK Madde 9 (Değişik) ile GDPR ile uyumlu, kademeli ve daha esnek bir mekanizma benimsenmiştir. Yeni sisteme göre yurt dışına veri aktarımı şu üç temel yoldan biriyle gerçekleştirilebilir:

1. Yeterlilik Kararı: Kurul, bir ülke, ülke içindeki bir sektör veya uluslararası bir kuruluş hakkında yeterli düzeyde koruma sağlandığına dair bir "yeterlilik kararı" verebilir. Eğer aktarım yapılacak yer hakkında böyle bir karar varsa, KVKK'nın 5. veya 6. maddesindeki diğer işleme şartlarından birinin de bulunması kaydıyla veriler serbestçe aktarılabilir.

2. Uygun Güvenceler: Yeterlilik kararının bulunmadığı durumlarda, tarafların aşağıda belirtilen "uygun güvencelerden" birini sağlaması ve Kurul'dan izin alması (veya bildirimde bulunması) koşuluyla aktarım mümkündür:

   • Taraflar arasında imzalanan ve Kurul tarafından ilan edilen Standart Sözleşme Maddeleri (SCCs). Bu sözleşmenin imzalandıktan sonra 5 iş günü içinde Kurum'a bildirilmesi zorunludur.
   • Kurul tarafından onaylanan Bağlayıcı Şirket Kuralları (BCRs).
   • Veri alıcısının yeterli korumayı sağlayacağına dair yazılı bir taahhütname vermesi ve Kurul'un bu aktarıma özel olarak izin vermesi.

3. Arızi (İstisnai) Haller: Yukarıdaki iki mekanizmanın da mümkün olmadığı, tek seferlik veya istisnai durumlarda, aşağıdaki şartlardan birinin varlığı halinde aktarım yapılabilir:

   • İlgili kişinin, olası riskler hakkında bilgilendirildikten sonra aktarıma açık rıza vermesi.
   • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası için zorunlu olması.
   • Aktarımın üstün bir kamu yararı için zorunlu olması.

Bu yeni sistemin tam olarak hayata geçmesi için bir geçiş süreci öngörülmüştür. Yurt dışına veri aktarımına ilişkin eski hükümler, 1 Eylül 2024 tarihine kadar yeni düzenlemelerle birlikte yürürlükte kalacaktır. Ayrıca, KVKK Madde 18 (Değişik) ile Kurul'un verdiği idari para cezalarına karşı başvuru mercii Sulh Ceza Hâkimliklerinden alınarak İdare Mahkemelerine verilmiştir. Bu değişiklik, veri koruma hukukunun idare hukuku içindeki yerini pekiştiren önemli bir adımdır.

---

Sonuç olarak, kişisel verilerin korunması, bireyler için anayasal bir hak, kurumlar içinse titizlikle yönetilmesi gereken hukuki bir yükümlülüktür. Bu makale boyunca ele aldığımız gibi, hak ihlaliyle karşılaştığını düşünen bir bireyin öncelikle veri sorumlusuna başvurması, sonuç alamaması halinde ise Kişisel Verileri Koruma Kurulu'na şikayette bulunması gereken kademeli bir idari süreç bulunmaktadır. Bununla birlikte, verilerin hukuka aykırı olarak ele geçirilmesi veya yayılması gibi eylemler, TCK kapsamında ciddi hapis cezaları öngören suçlar teşkil etmekte ve bu alanda Yargıtay'ın oluşturduğu içtihatlar, özellikle sosyal medya kullanımı gibi güncel konularda yol gösterici olmaktadır. Davalarda delil sunarken dahi KVKK'nın ölçülülük ve veri minimizasyonu ilkelerine uyma zorunluluğu, hukuki süreçlerin veri koruma perspektifiyle iç içe geçtiğini göstermektedir. 2024 yılında yapılan kanun değişiklikleri ise bu dinamik alana yeni kurallar getirerek, Türkiye'nin veri koruma rejimini uluslararası standartlara daha da yakınlaştırmıştır. Bu nedenle, hem bireylerin haklarını bilmesi hem de veri sorumlularının yükümlülüklerini güncel mevzuata uygun şekilde yerine getirmesi, dijital çağda hukuka uygunluğun temel bir gereğidir.