Veri Koruma Hukuku 2023-2024 Vize Soruları

Cevap: D) I, II, IV ve V
Açıklama: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 6. maddesinde bir “Kişisel Veri Saklama ve İmha Politikası”nın asgari unsurları belirtilmiştir. Bir şirketin hazırlayacağı bu politikada; Politikanın amacı (I), veri işleme şartları kalktığında yapılacak güvenli imha işlemlerinin idari ve teknik tedbirleri (II), Kanuna uygun belirlenen saklama/imha süre tabloları (IV) ve yılda kaç defa veya hangi aralıklarla rutin imha yapılacağını gösteren periyodik imha süreleri (V) mutlaka bulunmalıdır. Ancak imha sırasında “hangi donanımın, makinenin veya marka kırıcıların” kullanılacağına dair o anki teknik materyal bilgisine (III) politikada yer verilme gibi bir yasal zorunluluk bulunmamaktadır.

Cevap: C) Sağlık ve cinsel hayata ilişkin kişisel veriler, kanunlarda öngörülen hâllerde işlenebilir.
Açıklama: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun eski 6. maddesi uyarınca (çünkü bu sınav eski kanun dönemindeki içtihatlara dayanmaktadır), özel nitelikli kişisel veriler iki gruba ayrılır. Birinci grup sağlık ve cinsel hayat *dışındaki* (ırk, etnik köken, din, mezhep, siyasi düşünce vb.) özel verilerdir ve bunlar ancak “kanunlarda öngörülen hâllerde” ilgili kişinin açık rızası aranmaksızın işlenebilir. İkinci grup ise sağlık ve cinsel hayata ilişkin verilerdir. Bu veriler “kanunlarda öngörülen hâllerde” dahi genel işleme rejimine tabi tutulmazlar. Sadece ve ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının planlanması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurumlar tarafından işlenebilir. Dolayısıyla C şıkkındaki ifade hukuken yanlıştır.

Cevap: E) Bir bakkalın, borçlulara ilişkin bilgileri içeren veresiye defterini herhangi bir kritere göre sıralı olmaksızın sayfalara rastgele yazması
Açıklama: KVKK Madde 3’e göre bir faaliyetin Kanun kapsamında “veri işleme” sayılabilmesi için verilerin tamamen veya kısmen otomatik olan (bilgisayar, excel, bulut vb.) ya da herhangi bir “veri kayıt sisteminin parçası olmak kaydıyla” otomatik olmayan yollarla işlenmesi gerekir. Veri kayıt sistemi; kişisel verilerin belirli kriterlere göre (alfabetik, tarih, konu vb.) yapılandırılarak işlendiği kayıt sistemidir. A, B, C seçenekleri tamamen otomatik işlemlerdir. D seçeneği, manuel bir dosyalama olsa da “alfabetik sıraya göre” dizili yapılandırılmış bir sistem olduğu için kanun kapsamındadır. Ancak E şıkkındaki bakkal defteri, belli bir kriteri, indeksi veya tasnifi olmayan yapılandırılmamış rastgele karalamalardan ibaret olduğundan teknik olarak bir “veri kayıt sistemi” sayılmaz ve KVKK kapsamına girmez.

Cevap: A) Ulusal güvenliğin sağlanması
Açıklama: Teknoloji ve kriptografi dünyasında “Arka kapı” (Backdoor), şifreli bir yazılım veya donanım sistemine, normal güvenlik prosedürlerini aşarak gizlice erişim sağlayan kasıtlı bir zafiyet noktasıdır. Hükümetler ve istihbarat servisleri (örneğin ABD’de FBI, NSA), suç şebekelerini, siber saldırıları ve terör eylemlerini izleyebilmek argümanıyla teknoloji devlerinden cihazlarına arka kapı yerleştirmelerini talep etmektedir. Bu durumun arkasına sığınılan evrensel ve en geniş şemsiye gerekçe her zaman “Ulusal güvenliğin sağlanması” olmuştur; zira ancak bu olağanüstü hal konsepti ile temel iletişim mahremiyeti hakkının delinmesi meşrulaştırılmaya çalışılmaktadır.

Cevap: C) Altı ay
Açıklama: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca, veri sorumluları saklama süreleri sona eren veya işleme şartları ortadan kalkan verileri düzenli olarak temizlemek zorundadır. Bu işleme “periyodik imha” denir. İlgili Yönetmeliğin 11. maddesinin 2. fıkrası açıkça; “Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.” hükmünü amirdir.

Cevap: D) Bir yıldan iki yıla kadar hapis cezası
Açıklama: Kişisel verilerin korunması sadece idari bir sorumluluk değil, aynı zamanda ceza hukuku kapsamında da korunan bir değerdir. 5237 Sayılı Türk Ceza Kanunu’nun (TCK) “Verileri Yok Etmeme” başlıklı 138. maddesine göre; kanunların belirlediği sürelerin (saklama ve periyodik imha sürelerinin) geçmiş olmasına karşılık, bu kişisel verileri sistem içinde silmekle, yok etmekle veya anonim hale getirmekle yükümlü olan kişiler, görevlerini kasten yerine getirmediklerinde haklarında “bir yıldan iki yıla kadar hapis cezasına” hükmolunur.

Cevap: E) Doğal afetin tetiklenmesi
Açıklama: Dijital ayak izi; internette gezinti geçmişi, sosyal medya beğenileri, konum verileri ve yapılan alışverişler gibi kullanıcıların ardında bıraktığı büyük veri yığınlarıdır (Big Data). Veri madenciliği ve algoritmalar bu ayak izlerini analiz ederek kişinin psikolojik ve sosyolojik profilini çıkarır. Bu profilleme sayesinde insanlara hedeflenmiş reklamlar gösterilir, siyasi eğilimleri manipüle edilebilir (örneğin Cambridge Analytica skandalı) ve toplumsal kitle psikolojisi yönlendirilebilir. Fakat deprem, sel, fırtına gibi tektonik veya meteorolojik kökenli olaylar (doğal afetler), insanların siber uzaydaki veri hareketlerinden etkilenen veya bu yolla tetiklenebilen siber/fiziksel reaksiyonlar değildir.

Cevap: C) Ahmet’in şirketinin mali bilançosu
Açıklama: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Kanunun tanımına göre “Kişisel veri”, kimliği belirli veya belirlenebilir *gerçek kişiye* ilişkin her türlü bilgiyi ifade eder. Şirketler, dernekler, vakıflar gibi tüzel kişilere ait veriler (örneğin bir limited şirketin mali bilançosu, kurumun genel finansal raporları, ticari sırları) KVKK kapsamında korunan kişisel veri statüsünde değildir. Tüzel kişi verileri, Ticaret Kanunu veya Rekabet Hukuku gibi diğer mevzuatlarla korunur.

Cevap: E) Fizyolojik biyometriye göre çeşitleri daha kısıtlıdır.
Açıklama:

Cevap: A) Almanya
Açıklama: “Beş Göz” (Five Eyes – FVEY), İkinci Dünya Savaşı sonrasında temelleri atılan ve dünyadaki en geniş kapsamlı sinyal istihbaratı (SIGINT) ile siber takip paylaşımını gerçekleştiren anglosakson bir istihbarat ittifakıdır. Bu ittifakın resmi üyeleri; ABD, Birleşik Krallık, Kanada, Avustralya ve Yeni Zelanda’dır. Edward Snowden’ın 2013 yılındaki ifşalarıyla dünyanın dört bir yanındaki vatandaşları yasa dışı ve kitlesel bir şekilde gözetledikleri kanıtlanan bu beşli grupta, Avrupa Birliği’nin güçlü ülkesi Almanya yer almamaktadır (hatta Almanya, zaman zaman bu grubun istihbarat hedefi olmuştur).

Cevap: A) Aydınlatma
Açıklama: KVKK Madde 3 uyarınca “Kişisel verilerin işlenmesi”; verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi (Saklama), değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması (Aktarma), devralınması, elde edilebilir hâle getirilmesi (Erişilebilir hale getirme), sınıflandırılması ya da kullanılmasının engellenmesi ile silinmesi/yok edilmesi gibi veri üzerinde uygulanan her türlü sistematik hareketi kapsar. “Aydınlatma” (KVKK m.10) ise verinin kendisi üzerinde yapılan fiziksel veya dijital bir hareket değil; bu veriyi toplayan kurumun, verisi alınan kişiyi hukuken bilgilendirmesi gereken bir idari prosedür ve yasal yükümlülüktür.

Cevap: D) IV ve V
Açıklama: KVKK bağlamında “kişisel veri işleme sürecinin” asıl hukuki ve fiili aktörleri; verisi işlenen “İlgili Kişi”, veri işlemenin amaç ve vasıtalarını belirleyen “Veri Sorumlusu” ve onun adına yetkiyle veriyi fiziken işleyen “Veri İşleyen”dir. Veri sorumlusu temsilcisi (yurtdışı veri sorumluları için) ve veri sorumlusu irtibat kişisi (yurtiçi veri sorumluları için) ise sadece Kurum ile iletişim kurmak, VERBİS siciline kayıt yapmak veya tebligatları kabul etmek amacıyla atanan “idari iletişim/köprü” rolleridir. Veri işlemenin veya veri sorumluluğunun bizzat bir tarafı olarak hukuki ve cezai sürecin doğrudan parçası değildirler.

Cevap: A) İki yıl
Açıklama: Kanunların yürürlüğe girdikten sonra geriye dönük mevcut yapılara intibak sağlaması için genellikle geçiş süreçleri öngörülür. 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren 6698 sayılı KVKK’nın “Geçiş Hükümleri” başlıklı Geçici 1. maddesinin 3. fıkrasında; “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.” kuralı açıkça belirtilmiş olup, eski veri tabanlarının yasal duruma getirilmesi için kanun koyucu tam olarak 2 yıllık bir süre tanımıştır.

Cevap: D) Kimliksizleşme
Açıklama: Psikoloji ve sosyoloji literatüründe “Kimliksizleşme” (Deindividuation), bireylerin bir grubun veya anonim bir ortamın (özellikle dijital platformlar, sosyal medya, forumlar gibi sanal dünyaların) içine karıştığında kişisel farkındalıklarını, ahlaki denetimlerini ve normatif kısıtlamalarını yitirmesi durumudur. İnternetin sunduğu görünmezlik ve anonimlik kalkanı, bireylerin kendi kimliklerinden sıyrılmasına (kimliksizleşmesine) ve normal hayatta yapmayacakları siber zorbalık, hakaret, yasadışı veri paylaşımı gibi aksiyonları, bunların sonuçlarını hiç düşünmeden pervasızca gerçekleştirmelerine neden olur.

Cevap: E) Bireyin finansal verileri
Açıklama: KVKK Madde 6 uyarınca özel nitelikli (hassas) kişisel veriler kanunda tahdidi (sınırlı sayı ilkesiyle) olarak tek tek sayılmıştır. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bu listenin dışında kalan veriler özel nitelikli sayılamaz. Bu nedenle “bireyin finansal verileri” (kredi kartı, banka hesabı, maaşı, borçları vb.) son derece kritik bilgiler olsa da kanun gözünde özel nitelikli değil, genel nitelikli kişisel veridir.

Cevap: E) Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
Açıklama: Somut olayda işlenen veri, hasta Hafize’nin “rahatsızlıkları ve reçete edilen ilaçları”dır. Yani doğrudan bir “Sağlık Verisi”dir. Sağlık verileri özel nitelikli kişisel veri statüsündedir ve işlenme şartları KVKK m.6’da düzenlenmiştir. Dr. Aliye, bir hekim olarak “sır saklama yükümlülüğü altında bulunan bir kişi”dir. Hastanın sağlık verilerini, açık rızasına ihtiyaç duymadan kanunda belirtilen sınırlı istisnai amaçlar çerçevesinde; yani “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi” amacıyla doğrudan işleme hakkına ve yasal yükümlülüğüne sahiptir. Olay bir doktor-hasta ilişkisi olduğundan temel şart tıbbi teşhis ve tedavi hizmetinin yürütülmesidir.

Cevap: D) Veri sorumlusu temsilcisi
Açıklama: Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca; Türkiye Cumhuriyeti sınırları içinde yerleşik olmayan (yurtdışında yerleşik) ancak Türkiye’deki kişilerin verilerini işleyen gerçek veya tüzel kişi veri sorumluları, KVKK kapsamındaki yükümlülüklerini yerine getirebilmek, VERBİS’e kaydolmak ve Kişisel Verileri Koruma Kurumu (KVKK) ile olan resmi yazışmaları yürütmek için Türkiye’de yerleşik olan bir tüzel kişiyi veya Türkiye Cumhuriyeti vatandaşı bir gerçek kişiyi “Veri Sorumlusu Temsilcisi” olarak atamak zorundadırlar. Türkiye’de yerleşik veri sorumluları ise sadece bir ‘irtibat kişisi’ atarlar.

Cevap: D) Türkiye Cumhuriyeti Anayasası
Açıklama: Bireylerin kişisel verileri üzerindeki hakları, normlar hiyerarşisinin en tepesindeki temel bir insan hakkıdır. 2010 yılında yapılan Anayasa değişikliği ile T.C. Anayasası’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesine yeni bir fıkra eklenerek “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” hükmü getirilmiştir. Bu Anayasal hak, kişinin kendi verileri hakkında bilgilendirilme, bu verilere erişme, verilerin düzeltilmesini veya **silinmesini** talep etme hakkını açıkça ihtiva etmektedir. Diğer tüm Kanun ve yönetmelikler güçlerini Anayasa’nın bu 20. maddesinden alırlar.

Cevap: A) Kanunda öngörülen hallerden herhangi birinin varlığına rağmen ilgili kişinin açık rızası talep edilebilir.
Açıklama: KVKK ilkelerine göre; Kanun’un 5. ve 6. maddelerinde rıza dışında bir işleme şartı (kanun, sözleşme, hukuki yükümlülük vb.) zaten mevcut ise, veri sorumlusunun buna rağmen açık rıza talep etmesi hakkın kötüye kullanılması ve dürüstlük kuralına aykırılık kabul edilir. Kişiye rıza verip vermeme konusunda sahte bir seçme hakkı sunmak yanıltıcı bir işlemdir.

Cevap: B) Ancak diğer veri işleme şartlarının yokluğunda son seçenek olarak başvurulmalıdır.
Açıklama: Kişisel Verileri Koruma Kurulu uygulamaları ve Avrupa Veri Koruma Tüzüğü (GDPR) prensiplerine göre “açık rıza”, veri işlemede bir ultima ratio (son çare) prensibi olarak değerlendirilmelidir. Yani Kanun’un m.5/2’sinde yer alan; kanunlarda öngörülme, sözleşmenin kurulması veya ifası, hukuki yükümlülük, hayati tehlike veya meşru menfaat gibi işleme şartlarından herhangi birisi mevcutsa veriler zaten bu hukuki dayanakla işlenmelidir. Eğer bu hukuki dayanakların hiçbiri yoksa veri sorumlusu son seçenek olarak ilgili kişinin açık rızasına başvurmalıdır. Diğer şartların varlığında rızaya başvurulması hukuka ve dürüstlüğe aykırı kabul edilir.