KVKK’dan yeni karar özetleri: Uygulama yavaş yavaş netleşmeye başlıyor

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren karar ve duyurular yayınlanmıştır. Kurul kararlarında özellikle sağlık, e-ticaret ve kamu sektörlerine ilişkin değerlendirmelere yer verilmektedir. Bu yazımızda, Kurul’un kişisel verilerin işlenmesi, muhafazası, yurtiçine ve yurtdışına aktarımı ile veri ihlali bildirimi hususlarına ilişkin kararları açıklanmakta ve ilgili kararların uygulamada ne gibi sonuçlar doğuracağına ilişkin değerlendirmelerimiz yer almaktadır.  

I. Eczanenin Hukuka Aykırı Veri Aktarımı

Doktor kontrolünde ilaç kullanan ilgili kişiye ait sağlık verilerine ilişkin bilgilerin, ilaçlarını temin ettiği eczane tarafından, herhangi bir işleme şartına dayanmadan üçüncü kişilere aktarıldığı gerekçesi ile ilgili tarafından Kurum’a şikayet başvurusu yapılmıştır. Kurum tarafından yapılan inceleme neticesinde, kişisel verilerin işlenmesinde ve kişisel verilerin üçüncü kişilere aktarılmasında temel kuralın, ilgilinin açık rızasının alınması olduğuna dikkat çekilmiştir. Bu kuralın istisnası olan hallerin ise yalnız ilgili mevzuat çerçevesi ile sınırlı olduğu belirtilmiş ve bu kapsamda olmayan hallerde temel kurala uyulmamasının ihlal olarak nitelendirileceği ortaya konulmuştur. Bu anlamda, eczanenin, kanunda yer alan istisnai hallerden herhangi birine dayanmaksızın, ilgilinin özel nitelikli kişisel verisi olan sağlık verilerini üçüncü kişilere aktarmasının hukuka uygun bir aktarım olmaması sebebiyle veri sorumlusunun en temel yükümlülüklerinden olan kişisel veri güvenliğinin sağlanması yükümlülüğüne aykırı hareket ettiğini saptayan Kurum, bu ihlal neticesinde eczaneye idari para cezası uygulanmasına karar vermiştir.[1]

Karardan anlaşıldığı üzere, özellikle özel nitelikli kişisel veri işleyen veri sorumlularının kişisel verilerin işlenmesinde ve bu verilerin aktarılmasında Kanun’unda öngörülen hukuki sebebe dayanması gerekmektedir. Aksi halde yaptırımı idari para cezası olacaktır.

II. Sistemde Yer Alan Verilerin Erişilebilir Hale Gelmesi

İlgili kişi, bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yaparken, kendisine ait teslimat adresi, adı, soyadı, adresi ve telefon numarası gibi kişisel bilgilerinin, şirkete ait bu internet sitesi üzerinden alışveriş yapan diğer kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunmuş ve kişisel verilerinin sistemlerinden silinmesini talep etmiştir. Şirket tarafından şikayetin kendilerine gelmesi ile olayın öğrenildiği, olayın sistemsel bir hatadan kaynaklandığı ve Şirket tarafından başka müşterilerin aynı olaya maruz kalmamaları için önlemlerin alındığı belirtilmişse de ilgili kişi bu yanıtı yetersiz bularak Kurum’a başvurmuştur. Kurum tarafından yapılan değerlendirmede, firmanın kişisel verilere hukuka aykırı erişilmesini önleme amacıyla gerekli tedbirleri almadığı saptanmış ve firma aleyhine idari para cezası uygulanmasına karar verilmiştir.[2]

Karardan görüleceği üzere, özellikle e-ticaret alanında faaliyet gösteren veri sorumlularının sistemlerinde yer alan kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğüne uyulmaması, idari para cezası yaptırımı uygulanmasını gerektirmektedir.  

III. Verilerin İşlenmesini Gerektiren Sebeplerde Dikkat Edilecek Süreler

Devlet memuru ilgili kişilerce, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebi ile veri sorumlusu kamu kurumuna başvurulmuş ve kişisel verilerinin silinmesi talep edilmiştir. Anılan kurum, ilgili mevzuat uyarınca verileri saklamaları gerektiğini belirterek bu talebi reddetmiştir. İlgili söz konusu şikayeti Kurum’a taşımış ve Kurul, kanunda yer alan özel saklama sürelerinin (memurluğun sona ermesinden itibaren 101 yıl) devam ediyor olması sebebiyle ilgili kişinin bu talebinin karşılanmamasının hukuka uygun olduğu yönünde karar vermiştir.[3]

Karardan anlaşılacağı üzere, Kurum, kişisel verilerin işlenmesini gerektiren sebebe ilişkin olarak özellikle saklama süreleri bakımından mevzuattan doğan en uzun süreyi dikkate almıştır. Bu anlamda, veri sorumlularının, kişisel verilerin işlenmesi ve muhafaza edilmesinde mevzuatta yer alan sürelere dikkat etmesinin çok önemli olduğunu vurgulamak isteriz.

IV. Veri İhlali Bildiriminde “en kısa süre” 72 Saat Olarak Belirlendi[4]

Veri sorumlularının veri ihlalini öğrenmelerinin üzerine durumu en kısa sürede ilgilisine ve Kurul’a bildirmesine ilişkin düzenleme, uygulamada “en kısa süre”den ne anlaşılması gerektiğine ilişkin soru işaretleri ortaya çıkarmaktaydı. Bu hususta Kurul’un alacağı kararlar arasında yeknesaklığın sağlanması ve uygulamada bir standardın yakalanması amacı Kurul, “en kısa süre” ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Bu sayede Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile de yeknesak bir uygulama yaratılmıştır.

Veri sorumlusu, ihlali öğrenmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapmalı, ihlalden etkilenen kişilerin belirlenmesini takiben makul olan en kısa süre içerisinde ilgili kişilere iletişim adreslerinden ve kendi web sitesinden ihlale ilişkin bildirimde bulunmalıdır. Kurul’a yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu sunulmalı, formda yer alan tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde ise bilgilerin gecikmeksizin aşamalı olarak sağlanması gerekmektedir. Haklı bir gerekçe ile 72 saat içerisinde yapılamayan bildirimlerde, yapılan bildirim ile beraber gecikme sebepleri de mutlaka Kurul’a açıklanmalıdır. Kurul duyurusunda veri sorumlularınca bir veri ihlali müdahale planı hazırlanmasına ve belirli aralıklarla bu planın gözden geçirilmesine de karar vermiştir.

Veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde gerçekleşmesi halinde ise Türkiye’de yerleşik kişilerin ihlalden etkilenmesi ve ilgili kişilerin ürün ve hizmetlerden Türkiye’de yararlanması şartlarıyla aynı bildirim süreci yürütülecektir.

Veri ihlali bildirimi noktasında Kurul’a yapılacak bildirimler ön planda tutulmuş, ilgili kişiye ve veri işleyen tarafından veri sorumlusuna yapılacak bildirimlerde ise süre belirlememiştir. Ancak Kurul’un önceki kararlarında “en kısa süre”ye ilişkin esnek yorumlarının artık kabul edilmeyeceği varsayımında söz konusu bildirimlerde de süre konusuna titizlikle yaklaşılması gerekmektedir. Veri ihlali müdahale planlarının kapsamlı bir biçimde hazırlanması (kimlere raporlama yapılacağı, ihlalin olası sonuçlarının değerlendirilmesinde sorumluluğun kimde olduğu vs.) hem ilgili bildirim formunun doldurulmasında hem de ihlale ilişkin bilgi, etki ve önlemlerin Kurul’un incelemesine hazır halde bulundurulmasında kolaylık sağlayacaktır.

Sonuç

Yayınlanan kararlarda da görüldüğü üzere Kurul, özel nitelikli kişisel verilerin hukuka aykırı biçimde işlenmesi ve kişisel verilere hukuka aykırı biçimde erişilmesi hususlarında idari para cezası verme uygulamasını oldukça katı bir biçimde sürdürmektedir. Veri sorumlularının bu noktada iç politikalarını titizlikle incelemeleri önem arz etmektedir. Kurul, kişisel verilerin saklanması ve veri ihlali bildirimi noktalarında da uygulamanın süreye ilişkin kaygılarını giderir nitelikte kararlar vermiştir. Bu kararların ilgililerce gerek kişisel verilerin muhafazası aşamasında, gerek ise olası bir veri ihlalinin bildirimi noktasında dikkate alınması gerekmektedir.

Kurul kararları ile ilgili yeni gelişmeler oldukça güncellemeler aracılığı ile sizlere bilgi vermeye devam edeceğiz.


[1] Kurul’un 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı

[2] Kurul’un 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı

[3] Kurul’un 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı

[4] Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı Kararı

KVK Kurulu’ndan Başvuru ve Şikayet Sürelerine ilişkin Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 13 Şubat 2019 tarihinde duyurulan, 24.01.2019 tarih ve 2019/9 sayılı karar (“Karar”) ile birlikte, başvuru ve şikâyet sürelerine ilişkin bazı soru işaretlerini gidermek adına başvuru sürelerine ilişkin çeşitli ihtimallere açıklık getirilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veriye temas edenlerin yükümlülükleri ile birlikte verisi işlenen ilgili kişilerin hakları da düzenlenmiştir. Kanun, ilgili kişiler tarafından yürütülecek veri sorumlularına başvuru ve Kurul nezdinde şikâyet imkânlarını 13 ve 14. Maddelerinde yer verdiği hükümler ile açıklamaktadır.

Kanun’un ilgili maddeleri uyarınca veri sorumlusu, kendisine gelen ilgili kişi başvurularını en geç otuz gün içerisinde yanıtlamakla yükümlüdür. Başvurunun reddedilmesi, hiç yanıt verilmemesi veya verilen yanıtın ilgili kişi tarafından yeterli bulunmaması hâllerinde; ilgili kişinin Kurul nezdinde şikâyet sunma hakkı saklıdır. Ancak Kanun metninde de açıkça belirtildiği üzere, şikâyet öncesinde, veri sorumlusuna başvuru müessesesinin tüketilmesi gerekmektedir.

13 Şubat 2019 tarihinde Kişisel Verileri Koruma Kurumu’nun internet sitesi üzerinden yayınlanan Karar’da veri sorumlusuna başvuru ve başvuruya verilen yanıta istinaden Kurul’a başvurma sürelerinin yorumlanmasına ilişkin endişelerin giderilmesi adına başvuru süreleri üç farklı ihtimal üzerinde durularak açıklanmıştır.

Veri Sorumlusunun Yanıtı Şikayet Süresi
Başvuruya 30 gün içinde yanıt verilmesi Veri sorumlusu tarafından verilen yanıttan itibaren 30 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya hiç yanıt verilmemesi Veri sorumlusuna yapılan başvurudan itibaren 60 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya 30 günlük süre tamamlandıktan sonra yanıt verilmesi Veri sorumlusuna yapılan başvurudan itibaren, 30 günlük cevap verme süresi beklendikten sonra 30 gün içerisinde (başvuru tarihinden itibaren 60 gün) içerisinde şikâyette bulunulması gerekir.

Karar’da 60 gün olarak açıklanan sürelerin, başvuru sürecinin doğası gereği, başvuruyu izleyen otuz günlük sürenin sonunda başlayacak olan, yeni bir otuz günlük süre olarak yorumlanması yerinde olacaktır. Zira aslında veri sorumlusuna başvuruya yanıt hakkı tanıyan ilk otuz günlük dönemde (yanıt alınmadığı müddetçe) herhangi bir şekilde şikâyet prosedürünü işletmek mümkün değildir.

Son olarak hatırlatmak gerekir ki, her ne kadar Karar’da yer alan açıklamalar veri sorumlusu tarafından başvuruya yanıt verilmesini esas alsa da mevzuatta da açıkça belirtildiği üzere, ilgili kişinin, yanıtın tatmin edici olmaması hâlinde,  veri sorumlusunun yanıtından itibaren 30 gün içerisinde Kurul nezdinde şikâyet yoluna başvurma haklı saklı kalacaktır.

GDPR İHLALİ İLE GOOGLE’A 50 MİLYON € CEZA!

Fransız Veri Koruma Otoritesi Ulusal Bilişim ve Özgürlük Komisyonu (“CNIL”), 21 Ocak 2019 tarihinde kamuoyuna açıkladığı karar ile birlikte, Google LLC’nin (“Google”), şeffaflık ilkesinin ve aydınlatma yükümlülüğünü Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) gerekliliklerine uygun olarak getirmediği ve belirli faaliyetler için alınan rızanın geçersiz olduğu gerekçeleri ile 50 Milyon € değerinde ceza ödemesine hükmetti.

GDPR’ın yürürlüğe girdiği 25 Mayıs 2018’i izleyen hafta içerisinde, pek çok küresel ve sektör lideri firma gibi, Google’ın da faaliyetlerinin veri koruma mevzuatına uygunluğu şikâyet konusu olmuştu. Bilişim ve özgürlük gibi kamuya hitap eden alanlarda faaliyet gösteren sivil toplum örgütleri olan None Of Your Business (“NOYB”) ve La Quadrature du Net (“LQDN”), CNIL’e şikâyetlerini sunmuşlardı. Şikâyetler temel olarak, Google’ın hüküm ve koşullarını kabul etmeksizin, Android telefonları kullanmanın mümkün olmadığı ve Google tarafından gerçekleştirilen davranış analizi ve kişiye özgü reklam faaliyetleri için hukuki bir dayanak bulunmadığı iddiaları etrafında şekillenmekteydi. CNIL tarafından yürütülen soruşturma ve alınan karar, hem sektörlerinde hâkim konumda olan şirketlere uygulanacak cezalar için içtihat oluşturması açısından; hem de veri koruma otoritelerinin küresel firmalar nezdinde gerçekleştirecekleri soruşturmalara ilişkin yetki değerlendirmesi açısından büyük önem taşıyor.

I. VERİ KORUMA OTORİTELERİNİN YETKİSİ 

Google şikâyetlerle ilgili bildirimlerin kendisine ulaşmasını takiben, GDPR uyarınca bu tür şikâyetlerin ‘veri sorumlusu kuruluşun genel merkezinin bulunduğu ülke’ veri koruma otoritesi tarafından yetkili olarak değerlendirilmesi gerektiğini savunmuş ve anılan şikâyetlerin İrlanda veri koruma otoritesine aktarılmasını talep etmişti.

Bu talebe dayanak olarak, (i) Google Ireland Ltd.’nin (“Google İrlanda”), Google’ın AB içerisindeki ana kuruluşu olması, (ii) finansal süreçler ve denetim süreçleri gibi pek çok idari sürecin Google İrlanda tarafından yürütülmesi, (iii) AB’de yer alan müşteriler ile kurulan reklam hizmetleri sözleşmelerinin Google İrlanda tüzel kişiliği altında yapılması, (iv) Google İrlanda altında yalnızca gizlilik sorunları ile ilgilenmek üzere istihdam edilmiş bir ekip bulunması ve (v) Google’ın küresel iştirakleri tarafından, Google bünyesinde AB vatandaşlarının verilerinin işlenmesini içeren süreçler için Google İrlanda’nın veri sorumlusu olarak konumlandırılmış ve kabul edilmiş olması gösterilmişti.

Google’ın itirazları CNIL tarafından, GDPR’ın 4.maddesinin 16.fıkrası ve 36 sayılı gerekçesi ile gerekçelendirilmek suretiyle reddedilmişti. Ret kararı temelde Google İrlanda’nın, Google’ın kişisel veri işleme faaliyetleri üzerinde karar alma yetkisi olmadığı ve ana kararlarda rol aldığına ilişkin yeterli dayanak bulunamadığı nedeniyle verilmişti. Ana kuruluş değerlendirmesinden bağımsız olarak, şikâyetlerin temel kaynaklarından birisi olan Android yazılımının Google tarafından geliştirilmiş olması, Google’ın aydınlatma metinlerinde Google İrlanda’nın karar verici iştirak olarak belirtilmemesi de talebin reddinde büyük rol oynadı. Netice olarak CNIL yetkili otorite olduğunu tespit edip ihlallerin içeriğini değerlendirdi.

II. TESPİT EDİLEN İHLALLER

CNIL’in esasa ilişkin değerlendirmelerinde, Google’ın cezaya tabi olduğuna karar verdiği bulgular şu şekilde:

  • Aydınlatmanın Erişilebilir Olmaması: CNIL, ilgili kişilerin Google’ın aydınlatma metni niteliği taşıyan bilgilendirmelerinde metinlerinde, yanıtların farklı dokümanlarda yer aldığını ve kullanıcıların pek çok farklı doküman arasında yanıt aramak durumunda kaldığını belirtmiştir.
  • Bilgilendirmenin Yeterince Açık ve Saf Olmaması: Veri koruma mevzuatlarında genel ölçüt, bilgilendirmenin konuya hâkim olmayan kişiler tarafından da anlaşılabilmesi olarak belirlenmektedir. Google uygulamaları özelinde ise ilgili kişilerin ‘verilerim neden toplanıyor?’ sorusuna yanıt almakta zorlandığı belirtilmiştir.
  • ‘Şemsiye’ Aydınlatma: CNIL’in kararını incelediğimizde, Google’ın doktrinde ‘şemsiye aydınlatma’ olarak tabir edilen genel bir hataya düştüğü görülmektedir. Google verileri pek çok farklı hukukî dayanakla işlemektedir. Bu, hukuki açıdan yapılabilir kabul edilse de, ilgili kişilerin, işleme faaliyetleri baz alınarak farklı hukukî dayanakları bilmesi gerektiği vurgulanmaktadır. Şikâyet konularından birisi olan kişiye özgü reklam faaliyetleri esasen rızaya tabi bir veri işleme faaliyeti olmasına karşın, Google’ın bilgilendirme dokümanlarında bu faaliyetin rızaya tabi olduğu ise açıkça belirtilmemiştir.
  • Bilgilendirmenin Zamanında Yapılmaması: Kural olarak verinin toplanması esnasında, ilgili kişinin bilgilendirilmesi esastır. Ancak CNIL Android ürünlerinin kullanımında, kullanıcıların bilgilendirme metnine erişebilmek için profil oluşturması (‘verinin toplanması’) gerektiğini tespit etmiştir. Bu durumda ise sürecin mevcut modelinde aslında bilgilendirme veri toplandıktan sonra yapılmış olmaktadır.
  • Rızanın Hukuka Uygun Olarak Alınamaması: Veri koruma mevzuatında tanımlanan rızanın unsurları arasında, ilgili kişinin bilgilendirilmiş olması da yer almaktadır. Yukarıda da açıklamış olduğumuz üzere, her ne kadar kişiye özgü reklam faaliyeti ilgili kişilerin rızası esas alınarak gerçekleştirilse de, bilgilendirme ile ilgili tespit edilen hususlar aslında rızayı da hukukî olarak sağlıksız hale getirmektedir. Zira rıza veren kişi aslında, yeterince bilgilendirilmemiş olmaktadır. CNIL bu hususu bir adım daha ileri taşıyıp ve kişiye özgü reklamcılık için rıza alınan bölümde Google’ın Youtube, Google Plus, Google Maps, Playstore gibi uygulamalardan söz etmediğini, ancak bu platformlardan toplanan çevrimiçi verilerin de işlendiğini tespit etmektedir. Yine mevzuata ve Avrupa’da oturmuş veri koruma içtihadına bakıldığında rızanın ‘aktif’ bir hareketle alınması gerektiği görülmektedir. CNIL, Google tarafından bu veri işleme faaliyetine ilişkin rıza alınması esnasında onay verilen ‘kutucuğun’ otomatik olarak işaretlenmiş olduğunu belirtmektedir. Bu kapsamda aslında kişi aktif bir hareketine ihtiyaç duyulmaksızın rıza vermiş olmaktadır.

III. CEZANIN BELİRLENMESİ

Türkiye’de, Nisan 2018 itibariyle tam anlamıyla yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında öngörülen cezaların ne şekilde uygulanacağı tartışma konusudur. Türk veri koruma otoritesi tarafından bazı veri sorumlularına cezaî işlem uygulanmış olmasına karşın cezaların nasıl belirleneceği, cezanın şahsiliği ilkesinin ne ölçüde uygulanacağı gibi tartışmalar, gerek hukukî platformlarda gerek akademide henüz net bir yanıt bulamamış durumdadır.

Buna karşın CNIL, 50 milyon €’luk cezayı nasıl belirlediği konusunda bizleri biraz olsun aydınlatmaktadır. Yapılan açıklamaya göre (i) aydınlatma yükümlülüğünün ve şeffaflığın kişisel verilerin korunması üzerindeki önemi, (ii) ihlâlin tek seferlik değil, geçmişten gelen ve bugün dahi sürmekte olan bir ihlâl olması, (iii) hakları ihlâl edilen kullanıcıların (ilgili kişilerin) sayılarının fazlalığı ve (iv) Android telefonların soruşturmanın yürütüldüğü yer olan Fransa’daki yaygınlığı ceza miktarının belirlenmesinde göz önüne alınmıştır.

Her ne kadar 50 milyon €, kamuoyunda yarattığı yankı ile birlikte ciddi bir meblağ olarak değerlendirilse de, GDPR kapsamında anılan ihlaller için öngörülen ceza miktarı, grup şirketlerin global cirosunun %4’üne kadar çıkabilmektedir. 50 milyon € ise Google’ın yıllık cirosunun yalnızca %0,05’ine tekabül etmektedir.

Karara ilişkin şikâyet sürecini başlatmış olan sivil toplum örgütleri ise, cezanın yeterli olmadığını, Google’ın çok daha fazla ilkeyi ihlâl ettiğini iddia etmeyi sürdürürken, Google CNIL tarafından verilen kararı Fransız Danıştayı’nın önüne taşımıştır.

Dert Sende, Derman Bende: Kişiselleştirilmiş Fiyatlandırma Üzerine BIAC-OECD Değerlendirmeleri

1920 senesinde alışverişe çıkan bir insanın, alacağı ürünlere dair aklına gelebilecek pek çok soru vardır. Ne var ki, bu ürünlerin fiyatının, alıcı profiline göre değişip değişmeyeceği bu sorular arasında yer almamaktadır. Zira fiyatların kişiselleştirilmesi, o dönem ekonominin maruz kaldığı bir kavram değildir. Fakat aradan geçen yıllarda, teknolojide meydana gelen gelişmeler, müşteri davranışlarına ilişkin kapsamlı verileri toplamayı ve çeşitli algoritmalar üzerinden işleyerek kullanmayı mümkün kılmıştır. İşte bu dijitalleşme, ticaret hayatında yeni bir perde açmış ve böylece başlayan yaratıcı yıkım süreci bizleri fiyatların müşteri profiline göre kişiselleştirilmesi yönündeki çok boyutlu uygulamalar ile baş başa bırakmıştır.

İşte bu bağlam içerisinde, OECD de bu konuya kayıtsız kalmayarak 28 Kasım 2018 tarihinde, Rekabet ve Tüketici Politikaları Komiteleri arasında ortak bir çalışma grubu toplantısı gerçekleştirdi. Dijital çağda kişiselleştirilmiş fiyatlandırma konusunu değerlendirmek için toplanan çalışma grubuna, çeşitli ülkelerin rekabet otoritelerinin yanı sıra özel sektör temsilcilerinden oluşan Business and Industry Advisory Committee (Business at OECD – BIAC) de iştirak etti.

Konuya ilişkin OECD görüşü kapsamında, müşteri verilerinin analitik incelemeleri sonucu fiyatlama algoritmaları oluşturulmasının, dijital dönüşümün bir sonucu olarak ticaret hayatının mutat bir uygulaması haline geldiği tespit edilirken; kişiselleştirilmiş fiyatlandırmanın tahsis etkinliğini artıracağını ve düşük seviyeli müşterilerin -başka türlü alamayacakları ürünleri- almalarına imkân tanıyabileceği değerlendiriliyor. Öte yandan, fiyatları kişiselleştirmek için kullanılan parametrelerin şeffaf olmamasının, dijital pazara duyulan güvenin sarsabileceği ve fiyat ayrımcılığına dönüşerek tüketici refahını düşürebileceği yönünde endişeler de dile getiriliyor.

Uygulamayı Tanıyalım

Bu kapsamda, özel sektör temsilcilerinin değerlendirmelerine geçmeden evvel, fiyat kişiselleştirmesi hakkında kısa bir arka plan bilgisi vermek isabetli olacaktır. Fiyat kişiselleştirmesi, temelde her bir müşteri için, kişisel eğilimleri ve harcamaya hazır olduğu en yüksek tutar üzerinden bir değerlendirme yapılmasını içeriyor. Elbette, bu değerlendirmenin en önemli girdisini, müşteriler hakkında farklı mecralardan elde edilen bilgiler oluşturuyor. Yaptığı değerlendirmede OECD, gelişen teknolojilerin şirketlere, müşterilerin harcamayı göze aldıkları en yüksek tutarları tahmin edebilme imkânı sağladığını belirtirken bu tahminlerin mükemmel olmadığını da ekliyor. Office of Fair Trade’in (OFT) 2013 tarihli bir raporu ise kişiselleştirilmiş fiyatı; bireylerin işlem veya karakteristikleri hakkında gözlem, gönüllü paylaşım veya veri toplama gibi faaliyetler üzerinden bilgi edinip bu bireylerin ne kadar harcama yapmaya razı olduklarını değerlendirerek farklı müşteriler için (bireysel veya grup olarak) farklı fiyatlamalar yapılması olarak tanımlanmaktadır.

Buradan hareketle OECD, fiyat kişiselleştirmesini üç kategoride inceliyor;

  • birinci derece fiyat ayrımcılığı (mükemmel fiyat),
  • ikinci derece fiyat ayrımcılığı (versiyonlama) ve
  • üçüncü derece fiyat ayrımcılığı (grup fiyatlama).

Bu kapsamda birinci derece fiyat ayrımcılığı; her bir müşteriye, ödemeye razı oldukları tutarların en fazlası üzerinden fiyat teklif edilmesini ifade etmektedir. Bu yöntem içim müşteriler arası farklar çok iyi gözlemlenip fiyatlandırmaya yansıtılmalıdır. İkinci derece fiyat ayrımcılığında ise satıcı, aynı ürünün farklı versiyonları için farklı fiyatlar vermekte ve seçimi müşteriye bırakmaktadır. Burada ayrımcılık dolaylıdır ve bu faaliyet müşteriler hakkında sahip olunan bilgilere dayanmamaktadır. Son olarak, üçüncü derece fiyat ayrımcılığı, farklı müşteri grupları için farklı fiyatlandırmalar belirlenmesini ifade etmektedir. Burada fiyatlama bireysel davranışların değil grup tercihlerinin gözlemlenmesine dayanmaktadır.

BIAC’ın Görüşü

Uygulamanın esaslarına kısaca temas ettikten sonra, BIAC çatısı altındaki özel sektör temsilcilerinin görüşlerine geçtiğimizde; çevrimiçi fiyat farklılaşmalarının, fiziki mağazalarda sunulanlar ile benzer nitelikte kişiselleştirilmiş teklifler içerdiği yönünde önemli bir tespit paylaşıldığını görüyoruz. Aynı kapsamda, bu ikisinin bir kombinasyonu olarak, bazı şirketlerin müşterilerine çevrimiçi ortamda kendi indirimlerini seçme ve daha sonra bu indirimleri fiziki mağazalarda kullanma imkânı tanıması örneği paylaşılıyor.

Özel sektör temsilcilerinin dikkati çektiği bir başka önemli vurgu noktası ise fiziki mağazalarda uygulanan fiyatlandırma politikalarının, gerek müşteri beklentilerini gerekse geleneksel perakendecilerin beklenmedik sonuçlar ile karşılaşmasını engellemek açısından oldukça önemli olduğudur. Bu kapsamda, çok-kanallı bir değerlendirme yapılması hem fiziksel mağazalarda hem de çevrimiçi mecralarda inovasyonun ve yenilikçi yaklaşımların engellenmemesi için elzem olarak tespit ediyor.

Müşterilerin Yaklaşımı

Tüm bu dijital muharebe içerisinde müşterilerin karşı-davranışları (veya davranışsızlıkları) da BIAC’ın değerlendirdiği mülahazalar arasında. Bu kapsamda özel sektör temsilcileri, müşterilerin, fiyat kişiselleştirmesinin temelini oluşturan veri toplama faaliyeti karşısında pasif kalmak mecburiyetinde olmadıklarını belirterek satın alma davranışlarına dair bilgileri stratejik olarak bloke edebileceklerini değerlendiriyor. Bu amaca hizmet eden uygulamalara örnek olarak ise satın alımların geciktirilmesi, veri geçmişini muhafaza eden “çerezlerin” silinmesi veya alternatif e-posta adreslerinin kullanılması sunuluyor.

Öte yandan müşterilerin, fiyatların kişiselleştirilmesine dair harcanan tüm bu çabaya olumlu bakan tarafta da yer alabileceklerini belirten özel sektör temsilcileri, kişiselleşen fiyatlardan elde edilebilecek menfaatlerin, bu yaklaşımı güçlendireceğini vurguluyor. Bu kapsamda tedarikçilerin -genellikle- müşterilerini kişisel verilerini kullanıma açmaları yönünde ikna etmeye çalıştıkları ve bu amaçla ücretsiz üyelik gibi teşvik mekanizmaları kurdukları da değerlendiriliyor.

Uygulamanın Güncel Durumu ve Rekabet Hukuku Perspektifinden Değerlendirilmesi

Güncel uygulamalar değerlendirildiğinde ise BIAC, kişiselleştirilmiş fiyatların hâlihazırda oldukça kısıtlı durumlarda kullanıldığı yönünde bir gözlem paylaşıyor. Ayrıca, bahse konu uygulamanın rekabetçi süreçleri akamete uğrattığını gösteren bir örneğin de bulunmadığı vurgulanıyor.

Bu değerlendirmeyi bir adım ileri taşıyan özel sektör temsilcileri, kişiselleştirilmiş fiyatların bazı müşteriler açısından daha düşük fiyat uygulayarak bunları, aksi takdirde ulaşamayacakları mal ve hizmetlere kavuşturduğunu belirtiyor. Tüketici refahını artıran bir unsur olarak değerlendirilen bu durum ve benzeri pozitif geri dönüşlerin, bahse konu uygulamanın baskın unsuru olduğuna kanaat getiren özel sektör temsilcileri; tüketicilerin bu uygulamadan zarar görebileceklerinin ise ancak hâkim durumda teşebbüslerin söz konusu olduğu özel koşullar için gündeme gelebileceğini değerlendiriyor.

Rekabet politikaları ve tüketicinin korunması merceğinden bakıldığında ise BIAC, mevcut düzenlemelerin etkin olduklarını ve ilave bir şeffaflık getirilmesinin gerekli veya yararlı olmadığını değerlendiriyor.

Özel Sektörden Uyarılar

Yukarıdaki değerlendirmeleri kapsamında; yeni pazarlara giriş imkanını, mal ve hizmetlerde artan çeşitliliği ve araştırma maliyetlerinin azalmasını dijital ekonomide inovasyonun gerçek faydaları arasında sayan özel sektör temsilcileri, bu alana müdahale etmek isteyen otoritelerin bu faydaları göz ardı etmemesi gerektiğini not ediyor. Aşırı uygulamalardan kaçınılmasını savunan bu görüş kapsamında ayrıca, toplam refahın her daim gözetilmesi gerektiği değerlendiriliyor.

Aynı kapsamda, tüketiciler nezdinde oluşabilecek olası risklere müdahale ederken, dijital ekonomi için gereken yenilik dostu eko-sistemin zarar görmemesi gerektiği de vurgulanırken çevrimiçi pazarlar ile fiziki mağazalar arasındaki dengenin de gözetilmesi tavsiye ediliyor.

Sonuç olarak, BIAC’ın, rekabet ve tüketici politikalarını düzenleyen otoritelerin müdahalelerine ılımlı baktıklarını, bu müdahalelerin koordinasyon içerisinde yapılması gerektiğini ve gelişmekte olan uygulamalar ile müşterilerin eğitilmesi gereken muhtemel durumların gözlemlenmesi gerektiği vurgulanıyor.

Kayıt Tarihleri Belli Olmuşken Sicile Kayıt Detaylarını Hatırlayalım

Geçtiğimiz günlerde sıcağı sıcağına yayınladığımız yazımız ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”), uzun bir bekleyişin ardından Veri Sorumluları Sicili’ne (“Sicil”) kayıt tarihlerini belirleyip ilan ettiğinden, ayrıca aynı gün yayınlanan iki kararla bazı veri sorumlularının Sicile kayıt yükümlülüğünden müstesna tutulduğundan bahsetmiştik. Bu yazımızda da kayıt tarihlerinin de belli olmasıyla birlikte herkesin aklındaki ortak sorunun cevaplarına değineceğiz; Sicile kayıtla ilgili nelere dikkat edilmeli?

Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genel esaslarına yer verilen Sicil, Veri Sorumluları Sicili Hakkında Yönetmelik’le (“Yönetmelik”) ayrıntılı şekilde düzenleniyor. Yönetmelik hükümlerinde özellikle dikkat edilmesi gereken konular ise Sicile ilişkin ilke ve esaslar, kayıt işlemi, verilerin azami muhafaza süresi ile irtibat kişisi ve veri sorumlusu temsilcisi alt başlıklarında düzenleniyor.

Sicile İlişkin İlke ve Esaslar

Kurul, Sicile ilişkin ilke, usul ve esaslar başlığı altında öncelikle veri sorumlularının veri işleme faaliyetlerine başlamadan önce Sicile kayıt yükümlülüklerini  tekrar ediyor. Bu noktada bu temel düzenlemenin, Sicilin faaliyetine başlamasından ve Kurul’un halihazırda yayınladığı ilk kayıt takvimi sürelerinin sona ermesinden sonra hayata geçeceğini hatırlatmakta fayda var.

Sicil kamuya açık bir şekilde tutuluyor olacak. Bu sayede kişisel verileri işlenecek ilgili kişiler, Sicil üzerinden veri sorumlularının bilgilerine erişebilecek, ayrıca hangi verilerinin ne kadar süre ile işleneceğine dair bilgi sahibi olabilecekler.

Sicile ilişkin ilkeler noktasında belki de en önemli husus Sicil ile veri envanterinin birbirleri ile olan bağlantısı. Zira Yönetmelik hükmüne göre Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacak. Öte yandan veri sorumlularının Kanun’dan doğan yükümlülüklerinin çerçevesinin belirlenmesinde de veri envanterine dayalı olarak Sicile bildirilip yayınlanan bilgiler esas alınacak. Bu kapsamda aydınlatma yükümlüğünün, ilgili kişilerin başvurularına verilecek yanıtların ve ilgili kişilerden alınacak açık rızaların kapsamlarının belirlenmesinde Sicilde yayınlanan bilgiler önem arz edecek. Dolayısıyla Sicile kayıt öncesinde veri envanterinin sürece uygun şekilde hazırlanmış olması dikkat edilmesi gereken hususlardan.

Daha önceden Sicile kayıt yükümlülüğüne tabi olmadığı halde kayıt yükümlüsü haline gelen veri sorumlularının kayıt yükümlüsü haline geldikleri tarihten itibaren otuz gün içerisinde kayıt yükümlülüklerini yerine getirmeleri gerekeceğini de hatırlatalım.

Sicile Kayıtta Verilecek Bilgiler

Sicile Kayıt İşlemi

Sicile kayıt işlemi ve sonrasında Sicil üzerinde veri sorumlularınca gerçekleştirilecek tüm işlemler, internet üzerinden erişim sağlanabilecek bir bilişim ağı olan VERBİS üzerinden yapılacak.

Sicile kayıt başvurusunda bulunacak veri sorumlularının VERBİS üzerinden, veri envanteri ile de paralellik arz edecek şekilde aşağıdaki asgari bilgileri iletmeleri gerekiyor:

  • Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin başvuru formunda yer alan bilgiler,
  • Kişisel verilerin hangi amaçlarla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin veri sorumluları tarafından alınan tedbirler,
  • Kişisel verilerin azami muhafaza edilme süresi.

Azami Muhafaza Süreleri

Yönetmelikte düzenlenen en önemli konulardan biri de kişisel verilerin ne kadar süre ile muhafaza edileceği belirlenirken dikkate alınacak kriterler. Kanun’un belirlediği genel ilkelerde de belirtildiği üzere kişisel veriler, ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre boyunca veri sorumluları tarafından muhafaza edilebiliyor.

Düzenlemeye göre veri sorumluları tarafından verilerin hangi sürelerle işleneceğine ilişkin bilgiler ilgili veri kategorileri de eşleştirilerek Sicile bildirilecek. Veri sorumlusu tarafından Sicile bildirilen işleme amaçlarına dayalı muhafaza süreleri ile mevzuattaki süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza süresi öngörülmüşse bu süre, yoksa bunlardan en uzun süre esas alınarak veri kategorisi için süre bildirimi yapılması gerekiyor. Kişisel verilerin işlendikleri amaç için gerekli azami muhafaza süreleri belirlenirken Kurulca aşağıdaki hususların dikkate alınması gerektiği düzenlenmiş:

  • İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • Kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak devam edeceği süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Belirlenecek olan azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
  • Veri sorumlusunun hukuki yükümlülüğü gereği kişisel verileri saklamak zorunda olduğu süre,
  • Veri sorumlusu tarafından kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen azami zamanaşımı süresi.

İrtibat Kişisi ve Veri Sorumlusu Temsilcisi

Bilindiği üzere tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir ve veri sorumlusu sıfatından doğan yükümlülükler bu tüzel kişiliği temsil ve ilzama yetkili organ ya da kişilerce yerine getirilir. Bu sorumluluk baki kalmak kaydıyla pek çok sicil tipinde olduğu gibi Veri Sorumluları Sicilinde de irtibat kişisi kavramının düzenlendiğini görüyoruz. İrtibat kişisi, Türkiye’de yerleşik tüzel kişi veri sorumluları tarafından belirlenip Kurum ile kurulacak iletişim için Sicile kayıt esnasında bildirilen gerçek kişidir. Bu noktada irtibat kişisinin veri sorumlusunun hiçbir surette temsile yetkili olmadığını belirtmekte fayda var. İrtibat kişisinin tek görevi ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusundaki iletişimin sağlanmasıdır.

Türkiye’de yerleşik olmayan veri sorumlularının da Sicile kaydolacağı, Sicil nezdinde çeşitli işlemler yürüteceği düşünüldüğünde, Yönetmelik ile bu kimselerin temsil sorununa ilişkin bir çözüm getiriliyor; veri sorumlusu temsilcisi. Veri sorumlusu temsilcileri, Türkiye’de yerleşik olmayan veri sorumlularının Sicil nezdindeki işlemleri yürütebilmeleri adına yetkilendirdikleri Türkiye Cumhuriyeti vatandaşı gerçek kişiler ya da Türkiye’de yerleşik tüzel kişilerdir. Veri sorumlusu temsilcisinin, çoğunluğu veri sorumlusunun iletişim sorunlarını gidermek üzerine kurulmuş çeşitli görevleri bulunuyor:

  • Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan tebligat ve yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna; veri sorumlusundan gelecek cevapları da Kurum’a iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, ilgili kişi başvurularını veri sorumlusu adına almak ve veri sorumlusuna iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, başvurular üzerine veri sorumlusunun cevabını ilgili kişilere iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak.

Son olarak hatırlatmakta fayda var; Sicile kayıt ve bildirim yükümlülüğüne tam olarak riayet edilmesi, Sicile yapılan bildirimlerin gerçeği tam olarak yansıtması ve yanıltıcı bilgi içermemesi çok önemli. Aksi takdirde veri sorumlularının yirmi bin TL ile bir milyon TL arasında bir idari para cezası ile karşılaşmaları mümkün.

Kimler VERBİS’e kayıt yükümlülüğünün dışında tutuluyor?

Bildiğiniz üzere, 2016 yılında yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüm veri sorumluları için, veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline (“VERBİS”) kaydolma yükümlülüğü getirilmişti. Aynı kanun ile sicile kayıt yükümlülüğünün uygulanmayacağı bazı istisnai haller düzenlenirken, Kişisel Verileri Koruma Kurumu’na (“KVKK”) da ayrıca istisna getirme yetkisi verilmişti.

Bu doğrultuda KVKK’nın, VERBİS’e kaydolma yükümlülüğünden istisna tutulacak veri sorumlularını belirleyen kararı 15 Mayıs 2018 tarihinde Resmi Gazete’de yayımlandı. Karara göre aşağıda belirtilenler, veri işleme faaliyetleri açısından açıklığı temin etmek amacıyla getirilen kayıt yükümlülüğünden istisna tutuluyor:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  • Dernekler Kanunu’na göre kurulmuş derneklerden, Vakıflar Kanunu’na göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca söz konusu mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
  • Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  • Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ!

Kişisel Verileri Koruma Kurumu tarafından hazırlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliği”) ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Veri Sorumlusuna Başvuru Tebliği”) 10 Mart 2018 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe girdi. Bu iki tebliğ ile kişisel verilerinizin korunmasına ilişkin oldukça önemli düzenlemeler getirildi.

Bu tebliğler hakkında detaylı bilgiler anlatılmadan önce veri sorumlusu ve veri sahibinin kimler olduğu konusunda kısa bir bilgi vermekte fayda var. Veri sorumlusu, kişisel verileri işleyen ve tüm sürecin merkezinde bulunan; veri sahibi, kişisel verileri işlenen toplanan kaydedilen kişiler olarak açıklanabilir.

Öncelikli olarak Aydınlatma Yükümlülüğü Tebliği kapsamında, yapılacak olan bilgilendirmenin içermesi gereken zorunlu hususlar açıklığa kavuşturuldu. Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verinin işlenme amacı, kimlere hangi amaçla aktarılabileceği, bunların toplama yöntemleri, hukuki sebepleri ve veri sorumlusuna başvuru yapıldığı takdirde ilgili kişinin bilgi alabilmesine ilişkin düzenlemeler getirildi.

Bunun yanı sıra veri sorumlularına ilişkin aydınlatma yükümlülüğünün nasıl yerine getirilmesi gerektiğine ilişkin detaylı ve oldukça önemli düzenlemelere yer verildiği de görülüyor. Veri sahibinin veri işleme amacı hakkında belirli ve açık, muğlak ifadelere yer vermeyecek şekilde aydınlatılması, veri işleme amacı değiştiğinde veri sahibinin bu değişikliğe istinaden ayrıca ve tekrar bilgilendirilmesi gerekliliği yer alıyor. Öte yandan, veri sorumlusuna aynı veri sahibine ilişkin bilgilerin birden fazla amaç için işlendiği durumlarda da her bir amaç için ayrı ayrı aydınlatma yükümlülüğü getirdiği anlaşılıyor. Böylelikle alınan veriler sadece belirli bir amaç dâhilinde kullanılabilecek.

Tebliğ kapsamında belki de en çok üzerinde durulması gereken düzenleme, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak yapılması durumunda aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin veri sorumlusu tarafından ayrı ayrı gerçekleştirilmesi gerekliliğine ilişkin düzenlemedir. Bir başka deyişle, kişisel verilerin işlenmesine ilişkin olarak alınan rızanın aydınlatma metninin içerisine yedirilmeksizin, ayrı bir sekmede açıkça alınması gerekiyor.

Tebliğ’de aydınlatma yükümlülüğüne ilişkin son düzenleme ise, kişisel verilerin veri sahibinden elde edilmemesi durumunda veri sorumlusuna yüklenen bir sorumluluğa ilişkin. Buna göre, kişisel veri doğrudan veri sahibinden elde edilmiyorsa bu verilerin elde edilmesinden itibaren makul bir sürede bir başka deyişle mümkün olan en kısa sürede veri sorumlusunun veri sahibine karşı aydınlatma yükümlülüğü doğuyor.

Öte yandan Veri Sorumlusuna Başvuru Tebliği ise adından da anlaşılacağı üzere kişisel verileri işlenen gerçek kişilerin veri sorumlusuna başvuruyu nasıl yapacağına ilişkin düzenlemeleri içeriyor. Başvuru dilinin Türkçe olması şartının yanı sıra başvurunun yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletileceği düzenleniyor. Bu konuda belirtilmesi gereken noktalardan bir diğeri ise veri sorumlusunun gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olmasıdır. Böyle bir düzenlemeye yer verilmesinin nedeni ise başvuruların etkin bir şekilde sonuçlandırılması olarak açıklanıyor. Ancak veri sorumlusu, veri sahibinin talebini yerine getirirken sınırsız bir süreye sahip olmayıp 30 günlük bir süreyle sınırlandırılıyor.

Kişisel Verileri Koruma Kurumu bu iki tebliğ ile veri sahibinin haklarını mümkün olduğunca güvence altına alarak kendisi hakkında oluşturulan her türlü verinin kullanımı ile ilgili bilgilendirme yükümlülüğünü veri sorumlusuna yüklediğini, veri sahibine de dilediğinde bilgi alma hakkını tanıdığını ayrıntılarıyla açıklıyor. Ayrıca bu düzenlemeler, Kişisel Verileri Koruma Kurumu’nun kişisel verilerin korunmasına yönelik çalışmalarını tam gazla sürdürdüğünü gösteriyor. Bakalım bu alanda Kurum tarafından ilerleyen dönemlerde ne gibi yeni düzenlemeler getirilecek…