KİŞİSEL VERİ KORUMA HUKUKU Mevzuat - İçtihat - Bibliyografya Dr. Mehmet Bedii KAYA Furkan Güven TAŞTAN İstanbul Bilgi Üniversitesi Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Hukuk Fakültesi Bilişim ve Teknoloji Hukuku Ana Bilim Dalı Medeni Hukuk Ana Bilim Dalı Öğretim Üyesi Araştırma Görevlisi KİŞİSEL VERİ KORUMA HUKUKU Mevzuat - İçtihat - Bibliyografya Kişisel Verilerin Korunması Kanunu Yönetmelikler Tebliğler Düzenleyici Kurul Kararları Diğer Kurul Kararları Taahhütnameler Veri İhlali Bildirimleri Kurul Duyuruları (Türkçe ve İngilizce) İlgili Diğer Mevzuat Avrupa Birliği Düzenlemeleri Uluslararası Düzenlemeler Ulusal ve Uluslararası İçtihatlar Bibliyografya Ocak 2023 itibariyle güncel düzenlemeleri içerir. Çevrimiçi Sürüm 2.5 ii ÖNSÖZ Devletlerden, şirketlere, işverenlerden aile üyelerine kadar hemen herkesteki başkası hakkında bilgi sahibi olma arzusunun varlığı, modern toplumun en temel sorunlarından biri haline getirmiştir. Temel bir hak olarak kişisel verilerin korunmasını talep etme hakkı bu sorunun önlenmesindeki en önemli hukuk enstrümanlarından biridir. Kişisel verilerin korunmasıyla ilgili hem normatif düzenlemelerin hem de içtihatların sayısı sürekli olarak çoğalmaktadır. Bu hakkın uygulanmasına ilişkin olarak Avrupa Konseyi, Avrupa Birliği ve bunun ötesinde dünyanın birçok ülkesinde kişisel verilerle ilgili müstakil düzenlemeler yapıldığına ve bu alanla ilgili bağımsız kurumlar kurulmaktadır. Kişisel verilerin korunmasını talep etme hakkının dünyadaki hemen her meridyene dokunmaya başlaması, aynı zamanda kişisel veriler açısından yeni bir farkındalık dönemine girildiğini de göstermektedir. Her ne kadar Türkiye’de başlangıç noktası olarak 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) esas alınsa da bu dönemden önce de Türk hukukunda kod kanun olmaksızın dağınık şekilde yer alan düzenlemelerle sürdürülen bir uygulama bulunuyordu. Ancak KVKK, bu alanda kurumsal çerçeveyi çizmiş ve Kişisel Verileri Koruma Kurumu’nu bu çerçevenin temel aktörü haline getirmiştir. Bilişim ve teknoloji hukuku alanında çalışan akademisyenler olarak hem dünyada hem Türkiye’de bu dinamik hukuk alanındaki gelişmeleri yakından takip etmek amacıyla ekranınızda yer alan bu çalışmayı hazırladık. Amacımız, kişisel veri koruma hukuku alanındaki mevzuat, içtihat ve Türkçe akademik çalışmalara pratik erişim imkânı sağlamaktır. Bir cümlede özetlemek mümkün olmamakla birlikte bu çalışmada, Kişisel Verileri Koruma Kurulu’nun karar ve duyurularından ilişkili kanun ve ikincil düzenlemelere, dünyadaki önemli regülasyonlardan içtihatlara kadar çok geniş olarak değerlendirilebilecek bir yelpazede metinleri derlemeye çalıştık. Bunu yaparken amacımız, bu alanda çalışan akademisyen ve uygulamacılar için temel kaynaklara erişebilecekleri tek bir nokta ihdas etmekti. iii Bu çalışmaya bugüne kadar katkı yapan tüm akademisyen ve uygulamacılara teşekkür ediyoruz. Bu kapsamda, bu versiyon için desteklerini esirgemeyen meslektaşlarımız Sena Kontoğlu ve Ayşe Sidal Yaşar’a katkıları için özel olarak teşekkür etmek isteriz. Kontrollere rağmen bu çalışmada şüphesiz eksiklikler ve hatalar çıkacaktır. Çalışmanın daha iyi bir hale gelmesi için değerli katkılarınızı, yorumlarınızı ve eleştirilerinizi [email protected] veya [email protected] adresleri üzerinden bizimle paylaşabilirsiniz. Açık erişimin akademiye olan faydasının bilincinde olan akademisyenleriz. Bu çalışmanın tamamına veya bir kısmına belirli bir formatta veya erişilebilirlik aracıyla kullanmak isterseniz bizimle iletişime geçmeniz yeterlidir. Bu konuda makul olan her türlü desteği vermekten memnuniyet duyarız. Keza özel bir engellilik durumu sebebiyle dosyanın belirli bir formatta oluşturulmasını talep ederseniz size bu konuda da yardımcı olmaktan memnuniyet duyarız. Ekranınızdaki bu çalışma, yedi bin+ sayfadan oluşan bir dijital dosyasıdır. Konforlu bir çalışma deneyimi için çalışmayı teşkil eden bu PDF dosyası oluşturulurken her bir başlık için yer imi atanmıştır. Yer imleri panelinin otomatik olarak açılmaması halinde, PDF okuyucunuzun Göster menüsünden yer imleri panelini açabilirsiniz. Çalışmanın akademi ve uygulamaya faydalı olmasını temenni ederiz! Yeni bir sürümde buluşmak dileğiyle… Mehmet Bedii Kaya - Furkan Güven Taştan Nisan 2022 iv Çalışmanın güncel sürümünü ücretsiz olarak aşağıdaki linklerden veya QR kod kullanarak indirebilirsiniz: https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf https://sinerjik.org/hukuk/veri-koruma-hukuku.pdf v GÜNCELLEME GEÇMİŞİ Çevrim İçi Sürüm 2.5 (Tam Sürüm) / Ocak 2023 ▪ Güncel veri ihlal bildirimleri eklendi. ▪ Bibliyografya güncellendi. ▪ İdari para cezası tutarları 2023 oranına göre güncellendi. ▪ KVKK - 17.12.2021 - Mağazalarda SMS Doğrulama Duyurusu eklendi. ▪ Anayasa Mahkemesi - 715 sayılı Kanun - MİT Kanunu Kararı (E. 2018/137) eklendi. ▪ Anayasa Mahkemesi - Ümit Eyüpoğlu Kararı (2018/6161) eklendi. ▪ Anayasa Mahkemesi - Alper Erarslan Kararı (2018/16857) eklendi. ▪ Anayasa Mahkemesi - Fırat Gerçek Kararı (2019/25604) eklendi. ▪ Yargıtay Kararı - 12. Ceza Dairesi (E. 2020/974) eklendi. ▪ Yargıtay Kararı - 6. Ceza Dairesi (E. 2021/10682) eklendi. ▪ Avrupa Birliği - European Declaration on Digital Rights and Principles for the Digital Decade 2023/C 23/01 eklendi. ▪ ABAD - Österreichische Post (C‑154/21) eklendi. ▪ ABAD - Autoriteit Persoonsgegevens (C-245/20) eklendi. ▪ ABAD - Meta Platforms Ireland (Case C-319/20) eklendi. ▪ ABAD - PNR Directive (C‑817/19) eklendi. ▪ OECD Declaration on Government Access to Personal Data Held by Private Sector Entities eklendi. ▪ Sağlık Bilgi Sistemleri Hakkında Yönetmelik eklendi. ▪ BTK - 27.12.2016 tarihli Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar eklendi. ▪ AİHM kararları kısmı güncellendi. Çevrimiçi Sürüm 2.4 (Tam Sürüm) / Eylül 2022 ▪ Güncel veri ihlal bildirimleri eklendi. ▪ Bibliyografya güncellendi. ▪ BDDK - Sır Niteliğindeki Bilgilerin Paylaşılması Genelgesi (2022/1) eklendi. vi Çevrimiçi Sürüm 2.3 (Tam Sürüm) / Ağustos 2022 ▪ Kurul tarafından yayınlanan yeni karar özetleri eklendi. ▪ Güncel veri ihlal bildirimleri eklendi. ▪ İngilizce duyurular kısmına “Binding Corporate Rules Application Form” eklendi. ▪ Anayasa Mahkemesi - 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun Kararı (E. 2021/42) eklendi. ▪ Yargıtay 14. Hukuk Dairesi (E. 2016/2792) eklendi. ▪ Yargıtay 12. Ceza Dairesi (E. 2019/4369) eklendi. ▪ ABAD’ın önemli kararları tam metin olarak eklendi. ▪ ABD - Virginia Consumer Data Protection Act (CDPA) eklendi. ▪ ABD - Colorado Privacy Act (CPA) eklendi. Çevrimiçi Sürüm 2.2 (Tam Sürüm) / Temmuz 2022 ▪ Kurul tarafından yayınlanan yeni karar özetleri eklendi. ▪ Güncel veri ihlal bildirimleri eklendi. ▪ AİHM kararları güncellendi. ▪ Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik güncellendi. ▪ Tapu ve Kadastro Verilerinin Paylaşımı Hakkında Yönetmelik kaldırıldı, yerine Tapu ve Kadastro Verilerinin İşlenmesi ve Elektronik Ortamda Yapılacak İşlemler Hakkında Yönetmelik eklendi. ▪ Tıbbi Cihaz Klinik Araştırmaları Yönetmeliği eklendi. Çevrimiçi Sürüm 2.1 (Tam Sürüm) / Haziran 2022 ▪ Kurul tarafından yayınlanan yeni karar özetleri eklendi. ▪ Güncel veri ihlal bildirimleri eklendi. ▪ Anayasa Mahkemesi: 1 numaralı CBK Kararı (MASAK) (E. 2019/96), Ümit Karaduman Kararı (2020/20874), Ramazan Şahin Kararı (2018/11988), Bülent Kaya Kararı (2013/2941), Ali Çığır Kararı (2015/19298), B.K. Kararı (2014/14189) kararları eklendi. ▪ Yargıtay: 22. Hukuk Dairesi (E. 2017/21857), 20.Hukuk Dairesi (E. 2017/2277), 12. Ceza Dairesi (E. 2017/2960) kararları eklendi. ▪ Bursa BAM - 6. Hukuk Dairesi (E. 2019/2251) kararı eklendi. ▪ Kuzey Kıbrıs Türk Cumhuriyeti - 89/2007 Kişisel Verilerin Korunması Yasası eklendi. vii ▪ Güvenlik Soruşturması ve Arşiv Araştırması Yapılmasına Dair Yönetmelik eklendi. ▪ Vergi Usul Kanunu Genel Tebliği (Sıra No: 538) eklendi. Çevrimiçi Sürüm 2.0 (Tam Sürüm) / Nisan 2022 ▪ Çalışmanın tüm sistematiği yenilenmiştir. Mevzuat güncellenmiş; ilgili tüm KVK Kurulu kararları eklenmiş; KVK Kurulu’nun önemli sayılacak duyuruları dahil edilmiş; literatür taraması yapılarak ilgili tüm akademik çalışmalar eklenmiştir. Çevrimiçi Sürüm 1.3 / 2. Baskı / 2019 Eylül ▪ Çalışmanın sistematiği yenilenmiş ve yeni mevzuat ve içtihat metinleri eklenmiş; çalışmaya bibliyografya kısmı dâhil edilmiştir. Çevrimiçi Sürüm 1.2 / 1. Baskı / 2018 Ocak ▪ Türk hukukuna ilişkin yeni mevzuat metinleri ve içtihatları eklenmiştir. Çevrimiçi Sürüm 1.1 / 2017 Şubat ▪ Kullanım kolaylığı sağlamak adına tasarım yenilenerek güncellenen mevzuat metinleri yeniden sıralanmıştır. Çevrimiçi Sürüm 1.0 / 2016 Ekim ▪ Kişisel verilerin korunmasına dair ulusal ve uluslararası temel kaynaklar eklenmiştir. viii İÇİNDEKİLER - ANA BAŞLIKLAR ÖNSÖZ ............................................................................................................................................................. iii GÜNCELLEME GEÇMİŞİ ............................................................................................................................ vi İÇİNDEKİLER - ANA BAŞLIKLAR............................................................................................................ ix İÇİNDEKİLER - TÜM İNDEKS ................................................................................................................... xi ANAYASA ......................................................................................................................................................... 1 KİŞİSEL VERİLERİN KORUMASI KANUNU .......................................................................................... 2 GEREKÇE ......................................................................................................................................................... 25 TEMEL YÖNETMELİKLER .......................................................................................................................... 51 TEBLİĞLER VE GENELGELER ................................................................................................................. 148 USUL/ESASLAR VE DİĞER GENEL KONULAR ................................................................................. 199 İDARİ PARA CEZASI TUTARLARI ........................................................................................................ 241 İNGİLİZCE MEVZUAT............................................................................................................................... 242 KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI ........................................................... 291 KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI ..................................................................... 337 YURTDIŞINA KİŞİSEL VERİ AKTARMA TAAHHÜTNAMELERİ ............................................... 1375 KİŞİSEL VERİ İHLAL BİLDİRİMİ FORMU ......................................................................................... 1392 VERİ İHLALİ BİLDİRİMLERİ ................................................................................................................. 1401 DİĞER KURUL KARARLARI VE DUYURULARI .............................................................................. 1609 İNGİLİZCE DUYURULAR ....................................................................................................................... 1695 TÜRK HUKUKUNDAKİ DİĞER DÜZENLEMELER ......................................................................... 1774 KANUNLAR ................................................................................................................................................ 1775 TÜZÜKLER .................................................................................................................................................. 2129 YÖNETMELİKLER ..................................................................................................................................... 2133 TEBLİĞLER .................................................................................................................................................. 2650 CUMHURBAŞKANLIĞI KARARNAMELERİ .................................................................................... 2681 ix