6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (“KVKK” veya “Kanun”) yürürlüğe girmesi ile birlikte ülkemizde faaliyet gösteren şirketlerin Kanun ve ilgili mevzuat hükümlerine uyum sağlaması gereği ortaya çıkmıştır. Şirketlerin sosyal medya kullanımları Kanun nezdinde değerlendirmeden önce, bu değerlendirmelerin temelini oluşturan temel ilkelere kısaca değinmenin faydalı olacağı kanaatindeyiz.
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Doğru ve Gerektiğinde Güncel Olma İlkesi
Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı, kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilkenin yansımasıdır.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Bu ilke veri sorumlusunun, veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. (Veri Minimizasyonu)
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. İlgili sürenin sona ermesinden sonra silinmesi, yok edilmesi veya anonim hale getirilmesi gerekli olan kişisel verilerle ilgili olarak veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür.
Sosyal Medya Kullanımı Konusunda Yorumlanması Gerekli Olan Maddeler
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun («Kanun») aşağıda başlıkları ile birlikte verilen maddelerinin şirketlerce sosyal medya kullanımında herhangi bir ihlal ile karşılaşmamak adına değerlendirmeye alınması gereken hükümler içermesi nedeniyle aşağıda ayrı ayrı ele alacağız:
Madde 5: Kişisel verilerin işlenme şartları
Madde 6: Özel nitelikli kişisel verilerin işlenme şartları
Madde 7: Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
Madde 8: Kişisel verilerin aktarılması
Madde 9: Kişisel verilerin yurt dışına aktarılması
Madde 10: Veri sorumlusunun aydınlatma yükümlülüğü
Madde 11: İlgili kişinin hakları
Madde 12: Veri güvenliğine ilişkin yükümlülükler
- Madde[1] (Kişisel verilerin işlenme şartları) ve 6. Madde[2] (Özel nitelikli kişisel verilerin işlenme şartları) Bağlamında Sosyal Medya Kullanımının Değerlendirilmesi
Sosyal medyada paylaşılarak alenileştirilmiş kişisel veriler kural olarak, toplanıp işlenemez. Kişisel Verileri Koruma Kurulu’nun («Kurul») 16 Aralık 2020 tarihli duyurusunda[3] belirtildiği üzere «alenileştirme» kavramı kısaca, ilgili kişinin kişisel verilerinin, kendisi tarafından kamuoyu ile paylaşılması olarak tanımlanabilir. Öte yandan Kanun, alenileştirme kavramını çok daha dar anlamda ele almaktadır. Kanun kapsamında bir alenileştirmeden söz edebilmek için, ilgili kişinin alenileştirme iradesinin bulunup bulunmadığının ve alenileştirme amacının ne olduğunun tespit edilmesi gerekmektedir. Kişisel verilerin ancak ilgili kişinin iradesi ve amacı ile sınırlı olarak kullanılabilmesi mümkündür.
Kurul’un 07/11/2019 Tarihli ve 2019/331 sayılı Kararı’nda[4] bir sigorta şirketi, bir web sitesinde yer alan ad-soyad-telefon bilgilerini işleyerek ilgili kişiyi arayıp reklam/teklif görüşmesi yapmıştır.
Bunun üzerine konuyu ele alan Kurul, sigorta şirketi tarafından ilgili kişinin alenileştirme amacı haricinde kişisel verilerinin işlenerek kullanılmış olması üzerine, veri sorumlusu sigorta şirketine idari ve teknik tedbirleri gerekli düzeyde almamış olması nedeniyle idari para cezası uygulanmasına karar vermiştir.
- Madde[5] (Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi) Bağlamında Sosyal Medya Kullanımının Değerlendirilmesi
Kişisel verilerin sosyal medya ağlarında ve/veya haberleşme uygulamalarında paylaşılması Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7. maddesi bağlamındaki yükümlülüklerin yerine getirilmesini engellemektedir. Veri sorumlusunun silme, yok etme veya anonimleştirme yükümlülüğü, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 12. Maddesinde de detaylıca yer almaktadır.
Öte yandan, söz konusu yükümlülük Kanun ve ilgili mevzuatta detaylıca yer almasına rağmen sosyal medyada paylaşılan kişisel veri üzerinde artık veri sorumlusunun hakimiyeti kalmamaktadır. Bu durum, veri sorumlusunun ileri ilgili kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğünü yerine getirmek istediğinde, bunu gerçekleştirebilmesini oldukça zorlaştırmaktadır.
05/12/2018 tarihli ve 2018/142 sayılı veri sorumlusu banka hakkında Kararı’nda[6] her ne kadar Kurul, ilgili kişinin başvurusu kapsamındaki kişisel verilerin, ilgili mevzuat uyarınca saklanması gereken süre içerisinde olması nedeniyle, veri sorumlusu banka aleyhine karar vermemiş olsa da veri sorumlusunun re’sen ve/veya talep üzerine ilgili kişinin kişisel verileri silebilmesi ve/veya yok edebilmesi gerektiğini detaylıca açıklamıştır.
Bu kapsamda, veri sorumlusu şirketler tarafından sosyal medyada paylaşılacak kişisel veriler üzerinde artık kontrolü kaybedeceğinden Kanun’un 7. maddesindeki yükümlülüklerini yerine getirmesinin neredeyse imkansız olacağını söyleyebiliriz.
- Madde[7] (Kişisel verilerin aktarılması) ve 9. Madde[8] (Kişisel verilerin yurt dışına aktarılması) Bağlamında Sosyal Medya Kullanımının Değerlendirilmesi
Sosyal medya uygulamalarının sunucuları veri sorumlusunun kontrolünde bulunmadığından yurtiçi ve/veya yurtdışı veri aktarımı noktasında ihlaller ortaya çıkabilmektedir.
Yurtiçine aktarım, Madde 5/2 veya Madde 6/3’te yer alan şartların mevcut olduğu durumda ya da ilgili kişinin açık rızası ile gerçekleştirilebilir. Yurtdışına aktarım ise, ilgili kişinin açık rızası veya Madde 9’da yer alan yeterli korumanın bulunduğu veya yeterli korumanın taahhüt edildiği durumlarda açık rıza olmaksızın gerçekleştirilebilir.
Kurul’un 22/07/2020 tarih ve 2020/559 sayılı yurtdışı sunucularda veri depolanması hakkında Kararı’nda[9], bir otomotiv firması tarafından, reklam/bilgilendirme amaçlı gönderilen SMS hakkında yapılan şikayet üzerine Kurul tarafından veri sorumlularınca bulut bilişim kullanılması noktasında detaylı değerlendirmeler yapılmıştır. Söz konusu olayda veri sorumlusu, ilgili kişilerin kişisel verilerini AB ülkelerinden birinde bulunan bulut bilişim hizmeti sağlayıcısının sunucularında saklamıştır. Veri sorumlusu otomotiv firması, ilgili kişilere yaptığı aydınlatmada ve aldığı açık rızada, kişisel verilerinin gerekli hallerde üçüncü kişilerle paylaşılabileceğini belirtmişse de yurtdışına veri aktarımına ilişkin hukuka uygun bir açık rıza almamıştır. Verilen savunmada ise ilgili AB ülkesinin, 108 sayılı Sözleşme’ye taraf olması nedeniyle yeterli korumanın bulunduğu ülke olarak kabul edilmesi gerektiği ve Kanun’un 5/2(f) bendi uyarınca yapılan yurtdışına veri aktarımının ihlal teşkil etmemesi gerektiği ifade edilmiştir. Kurul ise veri sorumlusu otomotiv şirketinin savunmasına karşı aşağıdaki değerlendirmelere yer vererek ihlale hükmetmiştir:
- Bulut bilişimin şirketlerinin yurtdışındaki sunucularında veri depolanması yurtdışına veri aktarımıdır.
- Yurtdışına veri aktarımı için alınacak açık rızanın, özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şartlarını taşıması gerektiği, aksi halde açık rıza hukuka uygun olmayacağından kabul edilmeyecektir.
- 108 sayılı Sözleşme’ye taraf olmak, ilgili ülkeye doğrudan «yeterli korumanın bulunduğu ülke» olarak tanımlanma imkanı tanımamaktadır. Bu ülkeler Kurul tarafından belirlenen ülkeler olmak zorundadır.
- Yeterli korumanın bulunduğu ülkelerdeki veri sorumlusu veya veri işleyenlere aktarım gerçekleştirebilmek için karşılıklı taahhüt ve Kurul’un onayının alınmış olması gerekmektedir.
Kurul’un verdiği bu karar göstermektedir ki, şirketlerin sosyal medya ve/veya sunucuları yurtdışında bulunan haberleşme uygulamalarını kullanarak kişisel veri paylaşmaları, ilgili kişisel verilerin yurtdışına aktarımı olarak değerlendirilebilecektir. Bu durum, şirketlerin ciddi ihlaller sonucunda idari para cezaları ile karşılaşmalarına sebebiyet verebilecektir.
- Madde[10] (Veri sorumlusunun aydınlatma yükümlülüğü) Bağlamında Sosyal Medya Kullanımının Değerlendirilmesi
Sosyal medya üzerinden veri toplandığı ve işlendiği durumda Kanun’un 10. maddesinde yer verilen ve Kurul’un birçok kararında üzerinde durduğu aydınlatma yükümlülüğünün yerine getirilmesinde sorunlar yaşanmaktadır. Sosyal medya uygulamaları üzerinden iş başvuruları alınması, yalnızca veya bir alternatif olarak sosyal medya uygulamaları üzerinden müşteri destek hizmetlerinin sunulması gibi durumlarda aydınlatma, açık rıza alma ve takip süreçleri oldukça zorlaşmakta ve hatta bazı durumlarda imkansız hale gelmektedir.
Aydınlatma yükümlülüğünü gereği gibi yerine getirmenin oldukça zorlaşacağını belirtmemize Kurul’un 26.06.2020 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu’nda[11] yer verilen detaylı kriterler sebep olmaktadır.
Benzer şekilde Kurul’un 27/02/2020 Tarihli ve 2020/173 Sayılı Amazon Turkey Kararı’nda[12] da veri sorumlusunun, web sitesini ziyaret eden kullanıcıların “Kullanım Koşulları” ve “Gizlilik Bildirimi” başlıklı metinleri inceleyerek kişisel verilerinin hangi şartlarda işlendiğini ve/veya aktarıldığını öğrenebileceği yönündeki savunması, söz konusu aydınlatmanın gerekli şartları sağlamıyor olması nedeniyle kabul edilmemiştir. Amazon Turkey şirketine, gerekli idari ve teknik tedbirlere uyulmamış olması nedeniyle verilen idari para cezasının yanında, aydınlatma yükümlülüğünün yerine getirilmemiş olması nedeniyle ayrı bir idari para cezası uygulanmıştır.
- Madde[13] (İlgili kişinin hakları) Bağlamında Sosyal Medya Kullanımının Değerlendirilmesi
Veri sorumlusu tarafından sosyal medyada paylaşılan kişisel veriler hakkında, daha sonra ilgili kişinin haklarını kullanmak istemesi halinde ilgili kişinin taleplerinin karşılanması önemli oranda zorlaşacaktır. Sosyal medya uygulamaları aracılığıyla paylaşılan veri üzerinde, veri sorumlusunun kontrolü ortadan kalmaktadır. İlgili kişinin özellikle kişisel verilerinin silinmesini/düzeltilmesini/güncellenmesini talep ettiği durumda, sosyal medya uygulamaları ile yapılan paylaşım nedeniyle ortaya çıkmış olabilecek sayısız kopyanın tamamı üzerinde işlem yapılabilmesi mümkün olmayacaktır.
- Madde[14] (Veri güvenliğine ilişkin yükümlülükler) Bağlamında Sosyal Medya Kullanımının Değerlendirilmesi
Kanun’un 12. maddesi uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kanun maddesinde çok geniş kapsamda yer alan bu ifadeyi Kurul’un da aynı geniş kapsamda uyguladığını görmekteyiz. Veri sorumluları herhangi bir veri ihlali durumunda gerekli her türlü idari ve teknik tedbiri aldığını ispat edebilmelidir. Sosyal medya veya haberleşme uygulamalarında paylaşılan veri üzerinde ihlal gerçekleşmesi halinde veri sorumlusunun gerekli tedbirleri aldığını ispat etmesi mümkün olmayacaktır.
Özel nitelikli kişisel verilerin internet ve sosyal medya mecralarında paylaşılması yoluyla ihlale ilişkin 03.08.2018 tarihli Karar Özeti’nde[15] şu ifadelere yer verilmiştir:
“İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında idari para cezası uygulanmıştır.”
Benzer şekilde Kurul’un 07/05/2020 tarihli ve 2020/355 sayılı Medula Eczane Yazılımı Kararı’nda[16] da kurul 12. Madde’yi oldukça geniş yorumlamıştır. SGK ile yaptıkları sözleşme çerçevesinde eczaneler tarafından erişilebilen Medula yazılımına, kişilerin T.C. kimlik numaraları ile giriş yapılarak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişilebilmesi mümkündür. Bu kapsamda, veri sorumlusu eczacının eşi tarafından elde edilen üçüncü kişiye ait kişisel verilerin kullanılması sebebiyle, Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almayan eczaneye idari para cezası uygulanmıştır.
Yukarıda yer verilen örnekler göstermektedir ki, veri sorumluları kendileri tarafından işlenen kişisel verilerin ifşa olmaması adına her türlü idari ve teknik tedbiri en geniş kapsamıyla almalıdır. Öte yandan, sosyal medya ve/veya yabancı haberleşme uygulamalarını kullanarak kişisel veri paylaşımı yapıldığı takdirde ve bu durum bir ihlale sebebiyet verdiğinde ilgili veri sorumlusu şirketin gerekli ve yeterli tedbiri aldığı Kurul tarafından kabul edilmeyecektir.
SONUÇ
Şirketlerin sosyal medya ve/veya haberleşme uygulamalarından aleni kişisel veri toplaması ve işlemesinin Kanun ve ilgili mevzuat kapsamındaki yükümlülüklerine aykırılık teşkil ettiği kanaatindeyiz. Şirketlerin iç/dış iletişimde sosyal medya ve/veya haberleşme uygulamalarını kullanmalarının veri sorumlusu olarak sahip oldukları kişisel verilerin bu mecralarda paylaşılması ve dolayısıyla veri ihlali riskini arttıracağı kanaatindeyiz. Böylesi durumlarda, veri sorumlusunun ciddi idari para cezaları ile karşılaşabildiği Kurul içtihatlarında net şekilde görülmektedir.
Saygılarımızla,
Av. Dr. Oğuzkan Güzel
Av. Bekir Bozdağ
[1] Kişisel verilerin işlenme şartları – MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
[2] Özel nitelikli kişisel verilerin işlenme şartları – MADDE 6– (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
[3] https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU
[4] https://kvkk.gov.tr/Icerik/6623/2019-331
[5] Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi – MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
[6] https://www.kvkk.gov.tr/Icerik/5424/2018-142
[7] Kişisel verilerin aktarılması – MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
[8] Kişisel verilerin yurt dışına aktarılması – MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
[9] https://www.kvkk.gov.tr/Icerik/6790/2020-559
[10] Veri sorumlusunun aydınlatma yükümlülüğü – MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
[11] https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU
[12] https://www.kvkk.gov.tr/Icerik/6739/2020-173
[13] İlgili kişinin hakları – MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
[14] Veri güvenliğine ilişkin yükümlülükler – MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
[15] https://www.kvkk.gov.tr/Icerik/5408/Ozel-Nitelikli-Kisisel-Verilerin-Kanuna-Aykiri-Sekilde-Internet-ve-Sosyal-Medya-Mecralarinda-Paylasilmasi
[16] https://www.kvkk.gov.tr/Icerik/6767/2020-355