Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.

1. KİŞİSEL VERİLERİN KORUNMASI
BİLİNMESİ GEREKENLER
mgc.com.tr

2. Kişisel Verileri Koruma
Kanunu ve Amacı
KVKK ile; gerçek kişiye ilişkin verinin işlenmesi ilkesinin amaç ve sınırları belirlenmiştir. Üçüncü kişilere ve yurt dışına
aktarım, ilgilinin hakları, ilgilinin başvurusuna yanıt verme yükümlülüğü, Kurul’a şikâyet, re’sen inceleme, Veri
Sorumluları Sicili ile suçlar ve kabahatler düzenlenerek denetim ve yaptırımlar belirlenmiştir.
KVKK, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini
korumak ve bununla beraber kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve
esasları belirlemiştir. Böylece unutulma hakkı ekseninde tartışılan, Anayasa ve Avrupa İnsan Hakları Sözleşmesi
ile de koruma altına alınan özel hayatın gizliliği ve kişisel bilgilere ilişkin mahremiyet hakkı, korunan
hukuki değer olarak amaçlanmıştır.
Muhatap olarak, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen kamu
kuruluşları da dahil olmak üzere gerçek ve tüzel kişiler alınmıştır.
Artık kişisel veriler, ancak Kanun’da öngörülen istisnai hallerde veya kişinin açık rızası
alınmak kaydıyla, belirlenen amaç ve ilkeler doğrultusunda işlenebilecektir. Verileri
işleyen kişiler de bu kanuna uyum ile yaptırıma uğramadan, müşteri memnuniyetini
sağlamış, itibarını kaybetmemiş şekilde rekabet etme gücüne sahip olacaktır.

3. Kurum; Kişisel Verileri Koruma Kurumu’dur. Kurum bünyesinde bulunan Kurul aracılığıyla kişisel verilerin en
uygun şekilde işlenmesini sağlamak, şikayetleri incelemek, Veri Sorumluları Sicili’ni tutmak, düzenleyici
işlemleri yapmak ve idari yaptırımlara karar vermek başlıca görevleri arasındadır.
Export
Import
HR
Veri Sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya
vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin
“neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri İşleyen; veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.
İlgili Kişi; kişisel verisi işlenen kişilerin verilerinin korunması öngörülmüş, tüzel kişilerin verileri kanun kapsamı
dışında tutulmuştur.
Mahkeme; Kurum’un vermiş olduğu kararlara karşı yapılan başvurulara ilişkin olarak karar
vermeye yetkili olan mahkeme Sulh Ceza Hakimliği’dir.
Kanun Muhatapları

4. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişisel veriden söz edebilmek için
verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Kişisel Veri Nedir?
Kişisel Veri İşlenmesi
Ne Demektir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

5. Kişisel Veri Nedir?
Kişisel Veri Nedir?
İsim
Soyisim
Kimlik No
Pasaport No
Ehliyet No
Telefon No
01 02 Özgeçmiş
Meslek Bilgisi
Medeni Durumu
03 Adres vb.04
Özel Nitelikli Kişisel Veri Nedir?
Irk
Etnik Köken
Siyasi Düşünce
Felsefi İnanç
Demek
Vakıf
Sendika Üyeliği
01 02 Din
Mezhep
Diğer İnançlar
03
Kılık ve Kıyafet
Sağlık
Cinsel Hayat
04 Ceza Mahkumiyeti ve Tedbirler
Biyometrik ve Genetik Veriler
05

6. Kişisel Verilerin İşlenme Şartları
Aydınlatma Yükümlülüğü
Kişisel verinin işlenebilmesi için kişinin aydınlatılması gerekmektedir.
Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği,
veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile kanunda
sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin
onayına tabi değildir.
Açık Rıza Gerekliliği
Kişisel verinin işlenmesi için kural; ilgili kişinin açık rızasının alınmalıdır..
Açık rıza alınmasına gerek olmayan haller; kanunlarda açıkça öngörülmesi, fiili imkansızlık, bir sözleşmenin
kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi
için zorunlu olması, ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için
veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Amaç ve Süre
Kişisel veri, alınma amacına uygun ve yeterli süre kadar işlenmelidir.
Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Bu
bağlamda veri sorumlusu, kişisel verileri toplamadan önce amacına ulaşmak için verilerin
kullanılıp kullanılmaması gerektiğini mutlaka saptamalı, kişisel verilerden amaca ulaşmak için
yeterli miktarını toplamalı ve işlemeli, gereğinden fazla veri toplamamalı ve işlememelidir.
İlkeler ile Uyumlu
Kişisel veri, Kanun’da belirtilen ilkelere uygun olarak işlenmelidir.
Kişisel veri, hukuka ve dürüstlük kuralına uygun, doğru ve gerektiğinde güncel
olacak şekilde, belirli, açık ve meşru amaçlar dahilinde ve işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü olarak işlenmelidir.

7. Veri İşlerken Yapılması Gerekenler
Kişisel veri işleme faaliyeti yerine getirilirken veri sorumlularının ve veri işleyenlerin veri işleme şartlarına uyumlu, azami
güvenlik önlemlerini almış, süreci güncel takip edilebilir tutmuş ve bütün bunların sonunda kişisel veriyi, işleme amacı
kalktığında veya süre dolduğunda silmiş, yok etmiş ve anonim hale getirmiş olmalıdır.
Aydınlatma
Açık Rıza
İlkeler
Amaç – Süre
Planlama, Standart ve Politikalar
Erişim Kontrolü ve Uygulama Güvenliği
Güncel Tutulmalı
Farkındalık
KVKK Ekibi Oluşturulmalı
Acil Müdahale Prosedürleri Oluşturulmalı
Vaka Bildirimi Derhal Yapılmalı
Kurum ile İşbirliği Halinde Olunmalı
Silinmeli
Yok Edilmeli
Anonim Hale Getirilmeli
Şartlara Uyum Güvenlik
Süreç Yönetimi Amaç ve Süre Sonu

8. Amacın Meşru Olması
Ne Demektir?
Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar
için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi
meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
Uyulmaz ise
Ne Olur?
Günümüz ticaret hayatında, teknolojik dönüşümün hızla artması paralelinde “akıllı robotlar”, “nesnelerin
interneti”, “cloud” ve “yapay zeka” gibi gelişmeler, Endüstri 4.0’ın ortaya çıkmasına neden olmuştur. Bu
dönüşümü besleyen en büyük unsurlardan birisi ise veridir. Veri, günümüzde maden değerindedir. Kanun’a
uygun kişisel veri işlenmemesi halinde ise meydana gelecek veri kaybının yanında idari ve cezai yaptırımlar
kaçınılmaz olacaktır.

9. İdari Yaptırımlar
Kanun’da öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu
kapsamda; aydınlatma ve veri güvenliğini sağlama, kurul kararlarını yerine getirme ile sicile kayıt ve bildirim yükümlülüklerine
aykırı davranılması kabahat olarak öngörülerek 5.000 TL ile 1.000.000 TL arasında idari para cezası yaptırımına bağlanmıştır. İdari
yaptırımlara kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.
Cezai Yaptırımlar
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümlerine
(md. 135-140) atıf yapılmak suretiyle düzenlenmiş olup, kişisel verileri yok etmeyenlerin
cezalandırılacağı ise Türk Ceza Kanunu’nun 138. maddesinde hüküm altına alınmıştır.
Uyulmaz ise Ne Olur?
Aydınlatma
Yükümlülüğü
9.013 TL
180.264 TL
Veri
Güvenliği
27.040 TL
1.802.641 TL
Kurul
Kararları
45.066 TL
1.802.641 TL
Verbis
36.053 TL
1.802.641 TL
TCK 135
• Kaydedilmesi
• 1-3 Yıl
• Siyasi-Irk-Ahlaki-Cinsel Yaşam-
Sağlık (1/2 Artırım)
TCK 136
• Başkasına Veren, Yayan
veya Ele Geçiren
• 2-4 Yıl
TCK 137
• Kamu Görevlisi
• Belli Bir Mesleğin Sağladığı Kolaylık
• 1/2 Artırım
TCK 138
• Silinmesi ve Yok Edilmesi
Gereken Veriyi Silmeme
• 1-2 Yıl
Tüzel Kişiler için Ayrıca Güvenlik Tedbiri Hükümleri
Uygulanır (Örn. İzin İptali)

10. Kanun uyarınca herkes kendisiyle ilgili aşağıda belirtilen hususlarda veri sorumlusuna
başvurma hakkına sahiptir.
• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• İşlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok
edilmesini isteme,
• Bunların kişisel verisinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın
giderilmesini talep etme.
İlgili Kişinin Hakları

11. Mevcut Durum
Business to Consumer (B2C) olarak faaliyet gösteren firmalar genel hatlarıyla doğrudan gerçek kişi müşterilerle ilişki içerisinde
olduğundun kişisel verilerin işlendiği alanlar olarak Müşteriler, Satış ve Pazarlama, insan kaynakları süreçleri, tedarikçilerle ve
iş/çözüm ortaklarıyla yürütülen sözleşme süreçleri ve iletişim faaliyetleri ön plana çıkmaktadır.
Bölümler
Departman Bazında Örnek Veri İşleme Faaliyetleri
İnsan Kaynakları
Çalışanlar
Yüz Tanıma Sistemi
Kamera Kayıtları
Çalışan Adayları
CV
Gösterilen Referanslar
Mülakatlar
Ziyaretçiler
Ziyaretçi Formu
Kimlik Bilgileri
Üçüncü Taraflar
Satış
Eğitim Firması Yetkilisi

12. KURUL
KARARLARI

13. Marriott International Inc. Hakkında Kurul Tarafından Verilen Karar
Teknik Tedbirler
İhlalden etkilenen veri tabanının tutulduğu Starwood Hotels ağına 2014'ten beri yetkisiz erişim olduğu, 2016 yılı Eylül ayında
Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood’u devralma işlemi gerçekleştirdikten sonra da ihlalin
19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin
ve kontrollerin yapılmadığının göstergesi olduğu,
İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport
numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı
numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,
• Kişisel Verilerin Korunması Kanunu çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve
tedbirleri almayan Şirket hakkında 1.100.000 TL,
• Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim
yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya
başlanmasının, “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi
nedeniyle, Şirket hakkında 350.000 TL,
olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir.

14. Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya
sahip olarak kullanılıp kullanılamayacağı ilişkin karar
İlke Kararı
Karar ile, Gmail gibi e posta bulut tabanlı hizmet altyapısının kullanılması durumunda gönderilen ve alınan
e-postalar ile yine serverları yurt dışında bulunan veri sorumluları açısından bu verilerin yurt dışına
aktarılmış olacağından, veri işleme faaliyetinin KVKK’nun 9. Maddesine uygun gerçekleştirilmesi
gerektiğine karar verilmiştir.

15. Kurul tarafından verilen karar uyarınca bir turizm şirketine, veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler
alınmadığından 400.000 TL, ilgili kişilere bildirim yapılmaması ve Kuruma yapılan bildirimin “en kısa sürede” yapılmaması
nedeniyle 100.000 TL idari para cezası verilmiştir. Karar verilirken Kurum tarafından aşağıdaki unsurlar dikkate alınmıştır:
• Etkilenen kişisel veriler arasında özel nitelikli kişisel veri bulunmaması,
• Bilgisayara yetkisiz 3. kişinin erişmesi nedeniyle idari tedbirsizlik bulunması,
• Network bağlantılarının ihlalden hemen sonra kapatılmış olması,
• Güvenlik duvarının güncel durumda bulunmaması nedeniyle teknik eksiklik bulunması,
• Çalışanların ihlal öncesinde konuya dair eğitim almamış olmaları,
• Sisteme sızma eyleminin IT tarafından fark edilememesi ve verilerin geri getirilemez şekilde
imha edilmiş olması,
• İhlalin diğer çalışanlar tarafından Bilgi İşlem Birimine bildirilmiş olmasının birimin
düzgün çalışmadığını göstermesi,
• İhlali gerçekleştiren kişinin önce şirket içinden sunucuya erişim sağlayıp sonrasında
bu sunucuya yüklediği erişim yazılımı ile ihlali gerçekleştirmesi.
Bir Turizm Şirketi Hakkında Teknik ve İdari Tedbirlerin Alınmamış Olması ve
Bildirim Yükümlülüğüne Uyulmaması Nedeniyle Verilen İdari Para Cezası
Teknik Tedbirler

16. Karar ile, Veri sorumlusunca veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere makul olan en kısa süre
içerisinde bildirim yapılırken yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak aşağıdaki unsurları
barındırması gerektiğine ilişkin karar verilmiştir.
• İhlalinin ne zaman gerçekleştiği,
• Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden
etkilendiği,
• Kişisel veri ihlalinin olası sonuçları,
• Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
• İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da
veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları
Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması
gereken asgari unsurlara ilişkin ilgili kararı
İlke Kararı

17. İhlalden Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından,
yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere
ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;
• Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından,
yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı
dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı
Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden,
bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye
yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri
sorumlularının bilgilendirilmesine,
oy birliği ile karar verilmiştir.
Kişisel Verilere Erişimi Bulunan Personelin Yetkisi ve Amaç Dışı
Veri İşleme Konusundaki İlke Karar
İlke Kararı

18. Analiz: Verinin hangi kanallardan girdiği, içeride ve dışarıda nerelere aktarıldığı tespit edilerek, verinin
ilk olarak alındığı kanallardan kanuna uygun olarak alınmasının yol ve yöntemleri belirlenmeli. Aktarılırken
yine regülasyona uygun olarak aktarılmalı ve bütün bu süreçlerinin analizinin doğru yapılması gereklidir.
Raporlama: Analiz sonrası kişisel verinin resmini çeken bir rapor hazırlanmalı, raporda atılması gereken
adımlar, politika, prosedürler ve devamlılık gerektiren süreçler belirlendikten sonra alınan veri
regülasyona uyumlu hale getirilmelidir.
Uyum: Veri işleme faaliyetinin yaşayan, büyüyen ve gelişen bir faaliyet olduğu içeriden ve
dışarıdan tehditlere açık olduğu gözden kaçırılmamalıdır.
Süreklilik: Uyumluluğun sürekliliğini sağlamak için oluşturulan politika, prosedür ve
süreçler güncel tutulmalı, uygulayıcılara farkındalık eğitimleri verilmeli, açık alanlar
tespit edilerek derhal müdahale edilmelidir.
Uyum Süreci ve Gereklilikler

19. Raporlama ve Çözüm Önerileri
Analiz doğrultusunda raporlama yapılarak uyum için çözüm önerileri getirilir.
Uygulama Danışmanlığı
Uyum sonrasında uygulamaya dair çıkacak yeni düzenlemeler veya aksaklıklara
dair denetim ve danışmanlık verilir.
Yaklaşımımız ve Sunulan Hizmetler
Uyum
Çözüm önerilerine uygun politika, prosedür ve süreçler belirlenerek dokümantasyon
dahil olmak üzere gerekliliklerin yerine getirilmesi sağlanır.
Envanter Oluşturma
İşletmenin gerçek kişiye ilişkin verinin hangi kanallardan hangi amaç ve hukuki sebeplerle topladığı ve saklandığı tepit
edilerek bu verilerin hangi verilerin aktarıldığı kişi ve gruplar tespit edilerek buna dair bir envanter oluşturulur.
Analiz
Envantere göre analiz yapılarak uyum süreci için gerekli olacak süreç ve yöntemlerin analizi yapılır.

20. İletişim
MGC LEGAL
Büyükdere Cad. No: 127 Astoria B Kule
Kat 5 Şişli-İstanbul, TÜRKİYE
+90 850 333 86 60
+90 212 215 25 84
info@mgc.com.tr
mgc.com.tr