6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanmıştır. Bu kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Anayasa’da 2010 yılındaki yapılan değişiklik ile “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir” maddesi getirilmiştir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.

Kanunda tanımlandığı haliyle kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir”.

Anayasa Mahkemesi, kişisel verileri kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, SGK numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler olarak tanımlamıştır.

Özel nitelikli kişisel verilerin kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.




a) Belirli bir konuya ilişkin olması : Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile battaniye rızalar hukuken geçersizdir.

b) Rızanın bilgilendirmeye dayanması : Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

c) Özgür iradeyle açıklanması : Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.




Kanunun 13. maddesinde, ilgili kişinin kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, ilgili kişilerin kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanunda ilgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirlediği diğer yöntemlerle iletebilmelerine imkân sağlanmıştır.

Veri sorumlusunun ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekmektedir. İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.



Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, Kurula şikâyette bulunabilir. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. Bu kapsamda, ilgili kişilerin Kanunun uygulanması ile ilgili taleplerini öncelikle veri sorunlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.




Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna gidebilmesi mümkündür.



Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler yargı yoluna gidebilirler.




Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır. İlgili kanun maddelerine göre öngörülen hapis cezaları şu şekildedir;

• Kişisel Verileri Hukuka Aykırı Olarak Kaydetmek > 1-3 YIL
• Kişisel Verileri Hukuka Aykırı Olarak Yayma, Başkasına Verme ve/veya Ele Geçirme > 2-4 YIL
• Kişisel Verileri süresi geçmesine veya ilgili kişi istemesine rağmen yok etmeme > 1-2 YIL





Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır. İlgili kanun maddelerine göre öngörülen idari para cezaları şu şekildedir;

• Aydınlatma yükümlülüğünün ihlali > 5.000 TL – 100.000 TL
• Veri güvenliği yükümlülüğünün ihlali > 15.000 TL-1.000.000 TL
• Sicil yükümlülüğü ihlali > 25.000 TL-1.000.000 TL
• Kurul kararlarına muhalefet > 20.000 TL-1.000.000 TL




Günümüzün globalleşen dünyasında teknolojideki gelişmeler ve dolayısıyla sosyal medyaya olan ilgi ve alakanın artması sebebiyle kişilerin kişisel veri paylaşımı da artmıştır. Bir kimseye ait fotoğraf ve video paylaşımı, özel hayat kavramı ile ilgilidir. Bu durumda kişinin bu paylaşıma ilişkin rızası yoksa, özel hayata müdahale teşkil eder. Aynı durum çocuklar için de geçerlidir. Ancak çocuklar için ebeveynleri ve üçüncü kişilerce yapılan veri işleme durumu arasında ayrım yapmak gerekir. Zira üçüncü kişilerin çocuğun kişisel verisini işlemesi durumunda ebeveynin rızasına ihtiyaç varken; ebeveyn tarafından yapılan işlemede zaten rızanın var olduğu kabul edilir. Ancak zarara yol açması durumunda da ayrı bir değerlendirme yapmak gerekir. Çocuğun özel hayatı ve kişisel verilerinin korunmasına ilişkin uluslararası kaynaklarda özel düzenlemeler bulunmaktadır.

Öncelikle BM Çocuk Hakları Hakkında Sözleşme’ de çocuğun özel hayat hakkının bulunduğuna ilişkin doğrudan düzenleme ile birlikte, AB Genel Veri Koruma Tüzüğü’nde de çocukların kişisel verilerinin korunmasına ilişkin düzenlemeye yer verilmiştir. Bu düzenlemelerde çocuğu hakkında fotoğraf video gibi kişisel veri paylaşacak olan ebeveyn çocuğun üstün yararını gözetmelidir. Bu çerçevede çocuk, fiil ehliyetine sahip olduğu andan itibaren, kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi hakkını kullanabilecektir.

DİĞER HİZMETLERİMİZ