Kişisel Verileri Koruma Kurumu Başkanlığının 02/06/2026 tarihli yazısında ;
"Bilindiği üzere Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (ç) bendi uyarınca ilgili kişi; kişisel verisi işlenen gerçek kişiyi ve (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Kanunun kişisel verilerin işlenme şartlarının düzenlendiği 5 inci maddesinin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ikinci fıkrasında ise bu fıkrada belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi,
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
-İlgili kişinin kendisi tarafından alenileştirilmiş olması,
-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
Mobil uygulamalar vasıtasıyla işlenen kişisel veriler açısından değerlendirildiğinde ise bu işlemeye dayanak oluşturacak işleme şartlarının belirlenmesi ve bu durumun gerekçeleri ile ortaya konulması gerekecektir.
Bununla birlikte, Kanunun kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4 üncü maddesinin birinci fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmü yer almakta olup bahse konu maddenin ikinci fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayılmaktadır. Kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu ilkelerden kişisel verilerin "belirli, açık ve meşru amaçlar için işlenme"si ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Mobil uygulama üzerinden personelin konum takibinin yapılmasında "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi de önem arz etmektedir. Bu ilkeye göre işlenen veriler belirlenen amaçların gerçekleştirilebilmesine elverişli olmalıdır. Amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi ve amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Amaç için gerekli olanın dışında kişisel veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Ölçülülük ilkesi ise veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Diğer bir deyişle, veri işlemenin amacı gerçekleştirecek ölçüde olmasını ifade etmektedir. PDKS vasıtasıyla işlenmesi öngörülen kişisel veriler açısından da işleme faaliyetinin amacının ortaya konulmasının ardından, söz konusu amacı gerçekleştirebilmek için hangi kişisel veri kategorilerine ihtiyaç duyulduğu belirlenmelidir. Bu belirleme yapılırken, mümkün olan en az çeşit ve sayıda kişisel veri toplanması hedeflenerek, kişisel verilerin işlenmesi bağlamında bireylerin temel hak ve özgürlüklerinin en üst düzeyde korunmasını sağlayacak bir yaklaşım benimsenmelidir.
Diğer taraftan, Kanunun 10 uncu maddesi ile veri sorumluları için kişisel verisini işlediği ilgili kişileri aydınlatma yükümlülüğü getirilmiştir. İlgili madde, "(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür." hükmünü amirdir. Aydınlatma yükümlülüğünün yerine getirilebilmesi için kişisel verileri işlenen kişiler asgari olarak Kanunun 10 uncu maddesinde sayılan hususlar hakkında bilgilendirilmelidir. Bu kapsamda, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ dikkate alınmalıdır. Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı bir yükümlülük değildir. İlgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü gerek açık rıza gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Aydınlatma Tebliği uyarınca aydınlatma yükümlülüğü yerine getirilirken işleme amacının belirli, açık ve meşru olması gerekir. Ayrıca bilgilendirmede genel nitelikte, muğlak ve gündeme gelmesi muhtemel başka amaçlar için kişisel veri işlenebileceği kanaatini uyandıran ifadelerden kaçınılmalıdır.
Bu çerçevede, işçi-işveren ilişkileri bağlamında benzer bir konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından tesis edilen "Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi" hakkında 19.01.2023 tarihli ve 2023/86 sayılı Kurul kararında;
"İlgili kişinin şikâyet dilekçesinde; veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin ve veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddialarının mevcut olduğu, İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği 17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi'nin (AİHM) 12/01/2016 tarihli "Bărbulescu v. Romanya" Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, bu kararlarda özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceğine ilişkin değerlendirmelere yer verildiği, bu bağlamda, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken; işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, iletişimin bir kısmı veya tamamının mı izlendiği, izlemenin zaman açısından sınırlı olup olmadığı, sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği, her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı, Uluslararası Çalışma Örgütü'nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu, · Madde 29 Çalışma Grubu'nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği; izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği," açıklamalarına yer verilmiştir. Ayrıca ilgide kayıtlı yazınızda PDKS uygulamasının bulut altyapısı üzerinden çalışacağı ve belediye bünyesinde ayrıca sunucu kurulumu yapılmayacağı açıklanmıştır.
Bu noktada belirtmek gerekir ki 31.05.2019 tarihli ve 2019/157 sayılı Kurul kararında;
· "Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) "Kişisel verilerin yurt dışına aktarılması" başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
· "Server"ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine" karar verilmiştir. Bu kapsamda serverları yurt dışında bulunan kurum veya kuruluşlarca sunulan bulut depolama hizmetinden yararlanma, yurt dışına kişisel veri aktarımına sebebiyet verecek olup bu durumda Kanunun 9 uncu maddesine uygun hareket edilmesi gerekecektir. Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin; -birinci fıkrasında, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması, -dördüncü fıkrasında, yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, anılan fıkrada belirtilen uygun güvencelerden birinin taraflarca sağlanması ve -altıncı fıkrasında ise yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece bahse konu altıncı fıkrada belirtilen istisnai hâllerden birinin varlığı hâlinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır. Diğer taraftan, anılan maddenin onuncu fıkrasında kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu düzenlenmiştir.
Bu itibarla, görüş talebinize konu kişisel veri işleme faaliyetinin uygunluğuna ilişkin nihai değerlendirmenin yukarıda yer verilen açıklamalar çerçevesinde Kanun, Kanuna dayalı olarak çıkarılan ikincil mevzuat ve tabi olunan ilgili diğer mevzuat hükümleri de gözetilmek suretiyle veri sorumlusu tarafından yapılmasının uygun olacağı düşünülmektedir. Bununla birlikte, "Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler" ve "Kişisel Verilerin Yurt Dışına Aktarılması Rehberi" başta olmak üzere kişisel verilerin korunması mevzuatının uygulanmasına ilişkin olarak açıklayıcı nitelikte rehberler ile Kurul tarafından yayımlanmasına karar verilen diğer karar özetlerine Kurumumuz resmi internet sitesinden ulaşabilmesi mümkündür." açıklaması yer almaktadır.
Bu itibarla ; kamu kurum ve kuruluşları tarafından anılan Kurul Kararı çerçevesinde işlem yapılması gerektiği değerlendirilmektedir.
Sabah.com.tr Uygulamamızı İndirin
Uygulamalara Özel Ayrıcalıkları Keşfedin!
