Lexpera Blog

Türkiye Cumhuriyeti - Rusya Federasyonu Kişisel Verilerin Korunması Kanunlarının Temel Kavramlar ve Temel Yükümlülükler Açısından Karşılaştırması

I. Giriş

Rusya ve Türkiye, kişisel verilerin korunmasına yönelik kanunlara sahip iki ülkedir.

Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”), 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanmış ve yürürlüğe girmiştir. 6698 sayılı Kanun’un 20. maddesinde sayılan görevlerin ifası yanında kişisel verilerin korunmasına yönelik usul ve esaslara uyulmasının sağlanması ve gözetimi amacıyla Kişisel Verileri Koruma Kurumu (”Kurum”) kurulmuş ve Kurum’un karar ve yaptırım organı olan Kurul 12 Ocak 2017 tarihinde göreve başlamıştır.

Rusya ise, 2006 yılında 1981 yılına ait Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunması Sözleşmesi’ni onaylamış ve yine aynı yılın Temmuz ayında 152-FZ Kişisel Veriler Hakkında Federal Kanunu[1] (“152-FZ sayılı Kanun”) yürürlüğe koymuştur. 152-FZ sayılı Kanun’un etkili kullanımı ise, Rusya Federasyonu İdari Suçlar Kanunu’nda 2014 yılında yapılan değişiklikler sonucunda gerçekleşmiştir[2]. Bu değişikliklerle, kişisel verilerin yasadışı kullanımına ilişkin cezalar önemli ölçüde artırılmış, Rusya’daki veri koruma otoritesi olan Roskomnadzor’un (İletişim, Bilgi Teknolojisi ve Kitle İletişiminin Denetimine dair Federal Servis) yetkileri genişletilmiştir. 2022 yılına geldiğimizde ise, geçtiğimiz Temmuz ayında 152-FZ sayılı Kanun’da tekrar önemli değişiklikler yapılmıştır. 20 Temmuz 2022 tarihli Rusya Federasyonu Resmi Gazetesi’nde yayımlanan değişikliklerin çoğunluğu 1 Eylül 2022’de yürürlüğe girmiş, yurtdışına veri aktarımı ile ilgili olan değişiklikler ise 1 Mart 2023 tarihinde yürürlüğe girecektir.

II. Detaylarıyla İki Kanunun Karşılaştırması

Rusya’nın 152-FZ sayılı Kanunu ile Türkiye’nin 6698 sayılı Kanunu’nun teknik ve niceliksel detaylarına baktığımızda, 152-FZ sayılı Kanun’un 6 bölümden ve 25 maddeden oluştuğu, 6698 sayılı Kanun’un ise 7 bölümden ve 33 maddeden oluştuğu görülmektedir.

2.1. Bazı Temel Kavramlar


İlgili Kişi

Her iki Kanun’da da kişisel verisi işlenen gerçek kişi “ilgili kişi” olarak ifade edilmektedir.

Veri Sorumlusu / Veri İşleyen

Türkiye Rusya
6698 sayılı Kanun, veri işleyeni ve veri sorumlusunu ayrı ayrı tanımlamıştır.

Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak kişisel verileri işleme faaliyetinde bulunan gerçek veya tüzel kişiyi ifade eder.
152-FZ sayılı Kanun, veri sorumlusu ve veri işleyen kavramlarını ayrı ayrı tanımlamadan, “veri operatörü” adı altında hem veri sorumlusunu hem de veri işleyeni açıklamaktadır.

152-FZ sayılı Kanun'da veri işleyen tanımı bulunmamakla beraber Kanun’un çeşitli hükümlerinde “kişisel verileri veri operatörünün talimatı/yetkilendirmesi doğrultusunda işleyen kişi” şeklinde veri işleyen 3. taraflara atıflar bulunmaktadır.

2.2. Kapsam

Türkiye Rusya
6698 Sayılı Kanun kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamına almış olup, Kanun’da Türkiye dışındaki veri sorumlularının Kanun’a tabi olup olmayacaklarına dair açık bir düzenleme yer almamaktadır.

Bununla birlikte, yabancı veri sorumlularına VERBİS’e kayıt yükümlülüğü getirilmiş olduğu dikkate alındığında, Türk uyruklu kişilerin verilerini işleyen yabancı veri sorumlularının 6698 sayılı Kanun kapsamında oldukları söylenebilir. Nitekim Kişisel Verileri Koruma Kurulu’nun yabancı veri sorumlularına (Marriott International Inc., Facebook Inc, WhatsApp LLC vs) yönelik verdiği kararlar da mevcuttur.
Daha önce 152-FZ sayılı Kanun’un kapsamı 6698 sayılı Kanun ile paralel ve coğrafi kapsama ilişkin herhangi açık bir düzenleme barındırmaz iken, 2022 yılı Temmuz ayında yapılan son değişikliklerle; 1 Eylül 2022 tarihinden itibaren, Rus uyruklu bir kişi ile sözleşme yapan ve/veya verilerini işlemek için rızasını almış olan yabancı veri operatörleri (gerçek veya tüzel kişiler) de, söz konusu verileri Rusya’da saklama yükümlülüğü dahil, 152-FZ sayılı Kanun’a tabi kılınmışlardır.
Diğer yandan, 28/1. maddede sayılan aşağıdaki veri işleme halleri Kanun’un kapsama alanı dışında kalmaktadır:

● Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
● Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
● Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
● Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
● Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
152-FZ sayılı Kanun’un 1/2.Maddesine göre aşağıdaki veri işleme halleri Kanun’un kapsama alanı dışındadır:

● Kişisel verilerin ilgili kişilerin haklarını ihlal etmemek koşuluyla kişisel ve ailevi ihtiyaçlar için işlenmesi.
● Kişisel verilerin, Arşiv Kanunu’na (125-FZ) uygun şekilde işlenmesi.
● Kişisel verilerin devlet sırrı niteliğinde işlenmesi.
● Kişisel verilerin yargılama faaliyetleri kapsamında ve ilgili verilere erişim adına oluşturulan sistemler için işlenmesi.

2.3. Kişisel Verilerin İşlenme İlkeleri ve Şartları

Türkiye Rusya
6698 Sayılı Kanun’un 4. maddesi genel veri işleme ilkelerini düzenler. Bunlar;

● Hukuka ve dürüstlük kurallarına uygunluk,
● İşlenen verilerin doğru ve gerektiğinde güncel olması,
● Belirli, açık ve meşru amaçlar için işlenme,
● İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
● İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir.
Veri işleme faaliyeti ile ilgili genel ilkeler 152-FZ sayılı Kanun’un 5. maddesinde düzenlenmiş olup, 6698 Sayılı ile Kanun’da belirtilen ilkeler ile aynıdır.
6698 Sayılı Kanun’un 5. maddesi kişisel verilerin işlenme şartlarını düzenler. Maddenin 1. fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği belirtilmiş, 2. fıkrasında sayılan durumların varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkün kılınmıştır. İlgili kişinin açık rızası gerekmeksizin kişisel veri işleme faaliyetinin yapılabileceği istisnai veri işleme şartları ise şunlardır:

● Kanunlarda açıkça öngörülen bir veri işleme faaliyeti olması,
● Fiili bir imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması adına ilgili kişinin verisinin işlenmesinin zorunlu olması,
● Bir sözleşmenin kurulması veya yerine getirilmesi amacıyla kişisel verilerin işlenmesinin gerekli olması,
● Veri sorumlusunun hukuki yükümlülüğünden kaynaklı olarak veri işlenmesi,
● Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
● Veri işlemenin bir hakkın tesisi, kullanılması ve korunması için zorunlu olması,
● İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.
152-FZ sayılı Kanun’a göre kişisel veri işleme faaliyeti kişinin açık rızası ile veya aşağıdaki hallerde açık rızası bulunmaksızın işlenebilir.

● Rusya Federasyonu’nun uluslararası bir antlaşma veya kanun ile amaçlanan hedeflerine ulaşmak ve Rusya Federasyonu mevzuatının veri operatörüne verdiği yetkileri, görevleri ve işlevleri yerine getirmek için gerekli olması,
● Adli bir işlemin, resmi makamların veya başka bir organın mevzuata uygun olarak icraya tabi olan işlemlerin icrasının yürütülmesi için gerekli olması,
● Rusya Federasyonu’nun yürütme organlarının, devlet bütçesi dışı fon organlarının, yerel makamların ve ilgili kuruluşların işlevlerinin yerine getirilmesi vesilesiyle,
● İlgili kişinin bir sözleşmenin tarafı, lehtarı veya kefili olduğu durumlarda ve sözleşmenin ifası için gerekli olması,
● İlgili kişinin rızasının alınmasının imkânsız olduğu durumlarda ilgili kişinin hayatının, sağlığının, diğer hayati menfaatlerinin korunması için gerekli olması,
● İlgili kişinin hak ve özgürlüklerinin ihlal edilmemesi koşuluyla, veri operatörünün ve üçüncü tarafların hakları ve meşru menfaatleri veya yüksek bir kamu menfaatini sağlamak için gerekli olması,
● İlgili kişinin haklarının ve kişisel menfaatlerinin ihlal edilmemesi koşuluyla, bir gazetecinin mesleki faaliyeti kapsamında ve/veya kitle iletişim araçlarının meşru faaliyetleri veya bilimsel, edebi ve diğer yaratıcı faaliyetler için gerekli olması,
● Anonimleştirilmek koşuluyla istatistiksel veya diğer araştırma amaçları kapsamında işlenmesi,
● Doğrudan federal kanunların öngördüğü hallerde zorunlu olarak açıklanması ve yayımlanması amacıyla.
6698 sayılı Kanun uyarınca açık rızanın hukuken geçerli olabilmesi için, rızanın belirli bir konuya ilişkin verilmiş olması, rıza verilecek konu hakkında ilgili kişinin bilgi sahibi olması ve rızasını özgür iradesiyle açıklamış olmasını gerekli kılmaktadır. 152-FZ sayılı Kanun’da da, açık rızası istenen ilgili kişi, veri işleme faaliyetinden önce veri işleme faaliyetine ilişkin aydınlatılmış, açık rızasını belirli bir konuya ilişkin ve tam bir farkındalık içinde kendi özgür iradesi ile bilinçli olarak verebiliyor olmalıdır.

152-FZ sayılı Kanun’da 6. maddede belirtilen kişisel veri işleme faaliyetinde açık rızanın aranmadığı haller 6698 sayılı Kanun’un 5/2 maddesinde sayılan yukarıda yer verdiğimiz işleme şartları ve 28. Maddede sayılan Kanun hükümlerinin uygulanmayacağı istisnalar ile uyumludur.

Yine Temmuz ayında yapılan son değişikliklerle veri operatörü, 1 Eylül 2022’den itibaren, açık rızanın aranmadığı veri işleme faaliyetine ilgili kişinin karşı çıkması halinde sonuçlarının ne olacağına dair ilgili kişiye bilgi vermekle yükümlü hale getirilmiştir.

2.4. Özel Nitelikli Kişisel Veriler

Türkiye Rusya
6698 sayılı Kanun’un 6. maddesinde özel nitelikli kişisel veriler sınırlı olarak sayılmış olup, bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf veya sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsar. 152-FZ sayılı Kanun’da özel nitelikli kişisel veriler, kişinin ırkı, etnik kökeni, milliyeti, ideolojisi, dini görüşleri, sağlık durumu, cinsel hayatı, önceki cezai mahkumiyetleri ile ilgili bilgileri kapsar.
Özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın işlenemez.

Bununla beraber, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi kanunlarda öngörülmüş ise açık rıza aranmaz.

Sağlık ve cinsel hayata ilişkin kişisel verilerin işlenebilmesi için, 6698 sayılı Kanun’un 6. maddesinin 3. fıkrasında da açıkça belirtilen amaçlarla (kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının yapılması ve yönetimi) ve belirtilen gruba giren kişiler/kurumlar (sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar) tarafından işlenmesi gerekmektedir.
Özel nitelikli kişisel verilerin işlenme şartları, 152-FZ sayılı Kanun’un 10. maddesinde düzenlenmiştir. Özel nitelikli kişisel veriler ilgili kişinin yazılı rızası ile veya aşağıdaki hallerden birinin varlığı halinde ilgili kişinin yazılı rızası olmaksızın işlenebilir:

● Özel nitelikli kişisel verinin ilgili kişi tarafından alenileştirilmiş olması,
● Rusya Federasyonu’nun taraf olduğu uluslararası geri kabul anlaşmalarında(*) doğan yükümlülüklerin yerine getirilmesi kapsamında işlenmesi,
● 8-FZ Sayılı Rusya Nüfus Sayımına İlişkin Kanun kapsamında işlenmesi,
● İlgili kişinin veya bir başkasının yaşamını, sağlığını ve diğer hayati menfaatlerini korumak için gerekli olması,
● Tıbbi faaliyetlerde bulunan ve Rusya Federasyonu kanunlarına uygun olarak sır saklama yükümlülüğü altında olan biri tarafından gerçekleştirilmesi koşuluyla, tıbbi hastalık önlemek, tıbbi teşhis koymak, tıbbi - sosyal hizmetler sunmak amaçlarıyla işlenmesi,
● Kamusal derneklerin veya dini kuruluşlara üye olan kişilerin özel nitelikli verilerinin, ilgili kişilerin yazılı rızası olmaksızın üçüncü kişilere aktarılmamak kaydıyla, adı geçen dernek ve kuruluşların tüzük/ana sözleşmelerinde belirtilen amaçlar kapsamında işlenmesi,
● İlgili kişinin veya üçüncü kişilerin haklarının tesisi veya icrası veya adaletin sağlanması için gerekli olması,
● Rusya Federasyonu’nun savunma, güvenlik, terörle mücadele, ulaşım güvenliği, yolsuzlukla mücadele, operasyona dayalı soruşturma faaliyetleri, kanunların icrası, infaz, ceza soruşturması veya kovuşturma düzenlemeleri kapsamında işlenmesi,
● Zorunlu sigorta türleri ve sigorta mevzuatı uyarınca işlenmesi,
● Rusya Federasyonu mevzuatı, devlet kurumları, belediye yetkilileri ve kuruluşları tarafından öngörülen durumlarda ebeveynsiz kalan çocukların koruyucu ailelere yerleştirilmesi amacıyla işlenmesi,
Adli sicil kaydının, Rusya Federasyonu kanunlarına uygun olarak kendilerine yetki verilen devlet kurumlarınca veya belediye organlarınca ve federal kanunlara uygun olarak belirlenen durum ve prosedürlere göre işlenmesi.

Özel nitelikli kişisel verilerden olan biyometrik veriler, diğer özel nitelikli kişisel verilerden ayrı olarak 152-FZ sayılı Kanun’un 11. maddesinde, kişinin fiziksel ve biyolojik özelliklerini ortaya çıkaran veri türü olarak tanımlanmıştır. İlgili hükme göre biyometrik veriler kişinin yazılı izni olmadan işlenememektedir. Bu kuralın istisnaları ise 152-FZ sayılı Kanun’un 11/2. maddesinde düzenlenmiştir. Bu istisnalar; biyometrik verilerin geri kabule ilişkin uluslararası anlaşma hükümlerinin uygulanmasına, savunma, güvenlik, terörle mücadele, ulaşım güvenliği, yolsuzlukla mücadele, soruşturma faaliyetleriyle adaletin sağlanmasına yönelik yürütülen süreçlerdir. Bu süreçlerde işlenen biyometrik veriler için ilgili kişinin açık rızasına başvurulmaz.

Kanun’da açıkça biyometrik verinin işlenmesine yönelik hüküm bulunmadıkça ve açık rıza gerektirmeyen bir durum ortaya çıkmadıkça, veri operatörü biyometrik verilerini vermeyen veya işlenmesini istemeyen ilgili kişiye hizmet vermeye devam etmekle mükelleftir. Yani, biyometrik veriler için açık rızanın hizmet şartı haline getirilemeyeceği Temmuz ayında yapılan son değişikliklerle 152-FZ sayılı Kanun’a girmiştir.
(*) Örneğin, Rusya ile Avrupa Birliği arasında 2007 yılında düzensiz göçü önlemek, karşılıklılık ilkesi dahilinde iş birliği gerçekleştirmek maksatları ile geri kabul anlaşması imzalanmıştır ve bu anlaşmanın yükümlülükleri çerçevesince açık rızaya gerek olmaksızın özel nitelikli kişisel veri işleme faaliyeti yapılabilecektir.

2.5. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

İki ülkenin de veri koruma kanunları, anonimleştirme kavramını aynı şekilde tanımlamaktadır. Buna göre, kişisel veriler, -başka verilerle eşleştirilerek dahi- gerçek kişinin hiçbir şekilde kimliğini belli etmeyecek hale getiriliyorsa, buna anonim hale getirme denilmektedir.

Türkiye Rusya
Kişisel veriler, hukuka uygun olarak işlenmiş olmasına rağmen, veri işleme faaliyetini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, resen yapılabileceği gibi, ilgili kişinin veri sorumlusuna yapacağı talep ile de gerçekleştirilebilir. İlgili kişi, kişisel verilerinin güncel olmadığı veya eksik ya da yanlış olduğu, hukuka aykırı olarak işlendiği veya veri işlemenin belirli amacı gerçekleşmiş olup artık verinin işlenme faaliyetine gerek olmadığı durumlarda, kişisel verilerinin silinmesini ve yok edilmesini talep etme hakkına sahiptir.

Veri operatörü ise, 152-FZ sayılı Kanun’un 21/4. maddesine göre; veri işleme faaliyetinin amacının gerçekleşmesinin ve sona ermesinin ardından 10 gün içerisinde veri işleme faaliyetine son vermeli veya veri işleme faaliyetinin durdurulduğuna emin olmalı ve akabinde 30 gün içerisinde kişisel verileri imha etmeli veya imha edildiğine emin olmalıdır. Veri işleme faaliyetinin kanunlardan kaynaklı devamını gerektiren durumlarda veri operatörünün bu yükümlülüğü ortadan kalkar.

Veri operatörü, eksik veya yanlış verilerin imha edilmelerine yönelik gerekli önlemleri almalı, süreçle ilgili güvenlik prosedürleri oluşturmalıdır.

2.6. Kişisel Verilerin Aktarılması

Türkiye Rusya
Yurt içine Aktarım
Kişisel verilerin yurt içine aktarımında, açık rıza kural olarak aranır. Kişisel verilerin yurt içine aktarımında 6698 sayılı Kanun’un 8. maddesinin atfıyla 5. maddesinde sayılan işleme şartlarındaki istisna hallerinin varlığı durumunda, aktarım için açık rıza aranmayacaktır.
Yurt içine Aktarım
Kişisel verilerin üçüncü kişilere aktarımı gerçekleşecekse, veri operatörü ile veri aktarılacak üçüncü kişi arasında 152-FZ sayılı Kanun’un genel ilkelerine ve işleme şartlarına aykırı olmayacak şekilde bir sözleşme bulunması gerekmektedir.

Kişisel veriler, aktarım konusunda yerel depolama kriterlerine tabi olmaktadır. Buna göre, Rusya’da faaliyet gösteren veri operatörü, faaliyet konusu ne olursa olsun, işlediği kişisel verileri Rusya’da yerleşik veri tabanlarında tutmalı ve buraya aktarmalıdır. Uluslararası sözleşmelerle ilgili durumlar istisna hali olarak verilmiştir.
Yurt dışına Aktarım
6698 sayılı Kanun’un 9. maddesi doğrultusunda kişisel verilerin, yurt dışına aktarımı için de kural ilgili kişinin açık rızasının bulunmasıdır.

İlgili kişinin açık rızası olmaksızın yurt dışına kişisel veri aktarımı yapılabilmesi için Kanun’un 5. maddesinin 2. fıkrasında, özel nitelikli kişisel verilerin yurt dışına aktarımı ise 6. maddede yer alan koşullardan birinin varlığına ilave olarak;

● Kişisel verilerin aktarılacağı yabancı ülkenin, Kişisel Verileri Koruma Kurulu’nca belirlenen, kişisel verilerin güvenliğine ilişkin yeterli korumanın bulunduğu ülkelerden olması, VEYA
● Veri aktarımını yapacak olan ve verilerin aktarılacağı ilgili veri sorumlularının yeterli bir korumayı sağlayacaklarına dair yazılı bir taahhütte bulunmaları ve Kişisel Verileri Koruma Kurulu’nun buna izin göstermesi gereklidir.

Kişisel verilerin yurt dışına aktarılmasında uluslararası sözleşmeler ile diğer kanun hükümlerinin saklı tutulduğuna dair 6698 sayılı Kanun’un “Kişisel verilerin yurt dışına aktarılması”nı düzenleyen 9. maddesinin (5) ve (6) numaralı fıkralarının atfı ile kişisel verilerin yurt dışına aktarılmasında dayanak bir mevzuat olan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (“108 sayılı Sözleşme”), Kişisel Verileri Koruma Kurulu’nun 22/07/2020 tarih ve 2020/559 sayılı kararı ile Sözleşmeye taraf olan ülkenin yeterlilik değerlendirmesinde dikkate alınacak bir kriter olarak değerlendirilmiştir. Bu karara göre; 108 sayılı Sözleşme’ye taraf olan ülkelerden herhangi birine veri aktarımı yapılması, veri sorumlularının yurt dışına veri aktarımında uymaları gereken 9. maddenin (1) ve (2) numaralı fıkralarında sayılan aktarım şartlarını bertaraf etmemektedir.
Yurt dışına Aktarım
152-FZ sayılı Kanun, kişisel verilerin yurt dışına aktarımı konusunda, yeterli koruma sağlayan ülkelere veri aktarımına izin verir. Bununla birlikte, yurt dışına kişisel veri aktarımı, Rusya’nın anayasal düzenini korumak, kamu ve ülke güvenliğini sağlamak ve buna bağlı gerekçelerle kısıtlanabilir. Yeterli koruma kriteri, Avrupa Konseyi tarafından hazırlanan ve Rusya’nın da imzacı ülkelerden olduğu 108 no’lu Sözleşme’ye taraf olan ülkeleri, ayrıca Roskomnadzor’un yayımladığı ülkeler listesini kapsar.

Temmuz ayında yapılan değişiklikler sonucu; 1 Mart 2023 tarihinden itibaren yeterli koruma kriterine sahip ülkelere yapılacak veri aktarımı öncesinde veri operatörlerine Roskomnadzor’a bildirim yapma yükümlülüğü getirilmiştir.

108 No.lu Sözleşme’ye taraf olmayan ve Roskomnadzor’un yayımladığı listeye dahil olmayan yani yeterli koruma kriterine sahip olmayan ülkelere kişisel veri aktarımı yapılması için, Kanun’un belirlediği kriterler Temmuz ayında yapılan kanun değişikliğine konu edilmiştir. Değişiklik öncesinde, kişisel veriler yeterli koruma kriterine sahip olmayan bir ülkeye;

● İlgili kişinin yazılı olarak rıza göstermesi,
● Veri aktarımını gerekli gören bir sözleşmenin varlığı,
● Veri aktarımının anayasal koruma amacıyla gerekli olması ve Rusya’nın güvenliğini ve savunmasını sağlamaya yönelik olması hallerinden birinin mevcut olması halinde aktarılabilir iken,

Temmuz ayında yapılan değişiklikler sonucunda; 1 Mart 2023 tarihinden itibaren yeterli koruma kriterine sahip olmayan bir ülkeye kişisel veri aktarımı için veri operatörü öncelikle Roskomnadzor’a başvuruda bulunacak ve Roskomnadzor’un izin vermesi halinde aktarımı gerçekleştirebilecektir. Ancak, ilgili kişinin veya başkalarının yaşamını, sağlığını ve/veya diğer hayati menfaatlerini korumak için gerekli olması halinde kişisel veriler Roskomnadzor’un izni beklenmeksizin aktarılabilecektir. Yurt dışına veri aktarım izin talebi Roskomnadzor tarafından 10 günlük yasal süre içinde değerlendirilecektir.

2.7. Veri Sorumlusunun Aydınlatma Yükümlülüğü

Türkiye Rusya
Kişisel verilerin elde edildiği sırada veri sorumlusu, ilgili kişiye asgari olarak; veri sorumlusunun ve mevcutsa temsilcisinin kimliği, kişisel verilerin işlenme amacı, aktarımın nasıl ve kimlere yapılabileceği, kişisel verilerin toplanma yöntemi ve hukuki dayanağı ve ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür. Veri operatörünün, kişisel verilerin elde edilmesi sırasında ilgili kişiyi veri işleme politikalarına, veri işleme faaliyetlerine, işlenen veri kategorilerine, işleme amaçlarına, veriler üzerinde gerçekleştirilen diğer tüm işlemlere, işleme yöntemlerine, uluslararası aktarımlara ve ayrıca ilgili kişinin haklarına ilişkin bilgilendirme yükümlülüğü bulunmaktadır.

Veri operatörü, internet sitesinin kişisel veri topladığı her sayfasına aydınlatma bildirimini yerleştirmelidir.

2.8. İlgili Kişinin Hakları

Türkiye Rusya
İlgili kişi, 6698 sayılı Kanun’un 11. maddesine dayalı olarak, veri sorumlusuna başvurarak;

● Kendisi ile ilgili herhangi bir veri işlenip işlenmediğini öğrenme,
● Kişisel veri işleme faaliyeti gerçekleşmişse buna ilişkin bilgi talep etme,
● Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
● Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
● Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
● Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi ile ilgili 6698 sayılı KVKK 7. maddede öngörülen şartların varlığı halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
● Eksik veya yanlış işlenmiş verilerin düzeltilmesi ve kişisel verilerin silinmesi veya yok edilmesi talebinin üçüncü kişilere bildirilmesini isteme,
● İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
● Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

İlgili kişi tarafından yapılan başvuruda yer alan talepleri veri sorumlusu en 30 gün içerisinde sonuçlandırmak ve ilgili kişiye yazılı olarak kabul veya red cevabını vermekle yükümlüdür.
İlgili kişi, 152-FZ sayılı Kanun’un 14. maddesine dayanarak;

● Veri operatörünün gerçekleştireceği veri işleme faaliyetine dair veri işlemenin hangi hukuki dayanaklara ve gerekçelere göre yapıldığı,
● Veri işlemenin hangi yöntemle yapılacağı veya yapıldığı,
● Veri operatörünün farklı bir operatöre aktarım yapması halinde aktarılan tarafın ismi ve adresi,
● Veri saklama süreleri,
● Veri operatörünün temsilcilerinin bilgilerini,
● Veri operatörünün yükümlülüklerini nasıl yerine getirdiği hakkındaki bilgileri,
● Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini,
● Kişisel verilerin silinmesini isteme haklarına sahiptir.

İlgili kişi, 152-FZ sayılı Kanun’un 15. maddesinde belirtildiği üzere, kişisel verilerinin pazarlama maksadı ile kullanılmasına karşı çıkabilir.

Yine, 152-FZ sayılı Kanun’un 17. maddesine dayanarak veri operatörünün işlemleri, eylemleri ve ihmalleri hakkında şikâyette bulunma ve manevi zararları da dahil olmak üzere tazminat talep etme hakkına da sahiptir.

Temmuz ayında yapılan değişiklik öncesinde ilgili kişi, bilgi talep etme hakkını kullandığında veri operatörü, 30 gün içerisinde ilgili kişiye olumlu veya olumsuz şekilde cevap vermek ile yükümlü iken, Temmuz ayında yapılan değişiklik ile bu süre 1 Eylül 2022’den itibaren geçerli olmak üzere 10 güne indirilmiştir.

2.9. Veri Güvenliği

Türkiye Rusya
6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;

● Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak,
● Kanun hükümlerinin uygulanması ve veri güvenliğinin sağlanması kapsamında gerek iç denetimini, gerekse veri işleyenlerinin denetimini yapmak veya yaptırmak,
● Kişisel verileri Kanun hükümlerine aykırı olarak ifşa etmemek ve işleme amacı dışında kullanmamak,
● Kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilerek veri ihlalinin gerçekleşmesi halinde bu durumu, Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararı doğrultusunda, 72 saat içinde Kurul’a ve makul olan en kısa süre içerisinde de ilgili kişilere bildirmek ile yükümlüdür.
Veri operatörü, veri güvenliğini sağlamaya yönelik alacağı tedbirler kapsamında;

● Bir veri koruma görevlisi atamak,
● Veri ihlallerini önlemeye ve tespit etmeye yönelik bir gizlilik ve veri koruma politikası ve kurumsal emir ve kuralları içeren diğer belgeleri hazırlamak ve uygulamaya almak,
● Kanun ve veri operatörü iç politikalarına uyumun sağlanması için iç değerlendirmeler ve denetimler yapmak,
● İhlal halinde ilgili kişiye verilen zararın değerlendirmesini yapmak,
● Çalışanlara veri koruma mevzuatı ve iç politikalarına ilişkin eğitimler vermek,
● Gerekli olan diğer hukuki, idari ve teknik güvenlik tedbirlerini uygulamak ile yükümlüdür.

152-FZ sayılı Kanun’da Temmuz ayında yapılan ve 1 Eylül 2022 tarihinde yürürlüğe giren son değişiklikler doğrultusunda veri ihlalleri ve siber saldırılarla ilgili önemli değişiklikler düzenlemeler yapılmıştır. Bunlardan en önemlisi, siber saldırılarla ilgili yalnızca Roskomnadzor’a değil, aynı zamanda FSB’ye (Federal Güvenlik Servisi) bildirimde bulunma yükümlülüğüdür. Veri ihlali bildirimi, 24 saat içinde Roskomnadzor’a yapılmalıdır.

2.10. Sicil

Türkiye Rusya
Veri sorumluları sicili (“VERBİS”), 6698 sayılı Kanun’un 16. maddesinde ve 30 Aralık 2017 tarihli 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik’te düzenlenir. Kişisel veri işleyen veri sorumluları, VERBİS’e kaydolmak ve VERBİS’te kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde Kuruma bildirmekle yükümlüdür. Kayıt zorunluluğuna istisna getirilmesi Kurulca belirlenir. Veri operatörü, kişisel veri işleme faaliyetine başlamadan önce Roskomnadzor’un yayımlamış olduğu bir formu doldurup veri işleme faaliyetlerine ve aldığı koruyucu önlemlere ilişkin elektronik olarak veya posta yoluyla Roskomnadzor’a bildirimde bulunmakla ve sicile kayıt olmakla yükümlüdür.

2.11. Yaptırımlar

Türkiye Rusya
Kişisel verilerin işlenmesi, aktarılması ve imha süreçlerinin hukuka uygun şekilde yürütülmemesi durumunda 6698 Sayılı Kanun’da idari para cezaları ve Türk Ceza Kanunu’nda ise hapis cezaları öngörülmüştür. Kişisel verilerin korunmasını kapsayan Rusya mevzuatında, ihlal meydana gelmesi durumunda veri operatörüne idari para cezası, internet sitesine veya bir uygulamaya erişim engeli, cezai sorumluluk ve zarar gören ilgili kişinin zararının giderilmesi yaptırımları yer almaktadır(**).

6698 sayılı Kanun’dan farklı olarak, 152-FZ sayılı Kanun’da kanuna aykırılık halinde veri operatörü olan şirket tüzel kişiliğinden ayrı olarak şirketin sorumlu yöneticisi aleyhine de idari para cezası verilmektedir.
1. İdari suçlar ve para cezaları

6698 sayılı Kanun’da idari para cezasına konu edilen aykırılıklar ve 2022 yılı için yeniden değerleme oranına göre güncellenen ceza tutarları şöyledir:

● Aydınlatma Yükümlülüğüne Aykırılık: 13.393 TL – 267.886 TL.
● Veri Güvenliğine İlişkin Aykırılık: 40.183 TL – 2.678.866 TL
● Kurul Tarafından Verilen Kararlara Aykırılık: 66.972 TL – 2.678.866 TL.
● VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık: 53.576 TL – 2.678.866 TL
1. İdari suçlar ve para cezaları

Kişisel veri koruma mevzuatına aykırılık sebebiyle idari para cezasına konu eylemler ve yaptırımları 195-FZ sayılı İdari Suçlar Kanunu’nda belirlenmiştir. Buna göre, veri sorumlusu tüzel kişiliklere aykırılık türüne göre verilen idari para cezası tutar aralığı şöyledir:

● Kanunlarla düzenlenmemiş hallerde veya işleme amaçlarına aykırı olarak kişisel veri işlenmesi ve bu eylemlerin suç teşkil etmemesi halinde; 60.000 – 100.000 Ruble. Tekrarı durumunda 100.000 – 300.000 Ruble.
● İlgili kişinin yazılı rızası alınmaksızın veya Kanun’da belirlenen zorunlu koşullara uygun yazılı rıza alınmaksızın veri işlenmesi (ve bu ihlalin suç teşkil etmemesi) halinde; 30.000 – 150.000 Ruble. Tekrarı durumunda 300.000 – 500.000 Ruble.
● Veri operatörünün, kişisel verilerin işlenmesine yönelik politikasını ve uyguladığı veri koruma gerekliliklerini yayınlamaması veya bunlara erişilebilirliği sağlamaması halinde; 30.000 – 60.000 Ruble
● Veri operatörünün kanunla zorunlu tutulan durumlarda ilgili kişileri aydınlatma yükümlülüğünü yerine getirmemesi halinde; 40.000 – 80.000 Ruble
● Eksik, güncelliğini yitirmiş, yanlış, hukuka aykırı olarak elde edilmiş veya gerektiğinden fazla olan kişisel verilere ilişkin ilgili kişilerin veya veri koruma otoritesinin açıklama, erişimin engellenmesi veya imha taleplerinin yerine getirilmemesi halinde; 50.000 – 90.000 Ruble. Tekrarlanırsa 300.000 – 500.000 Ruble
● Kişisel verilerin güvenli bir veri ortamında saklanmasının sağlanmaması ve yetkisiz erişimin engellenmemesi ve bu aykırılıkların haksız veya arızi bir şekilde kişisel veriye erişim, kişisel verilerin imhası, değiştirilmesi, erişimin engellenmesi, kopyalanması, yayılması veya kişisel verilere ilişkin diğer haksız eylemler ile sonuçlanması ve bu eylemlerin suç teşkil etmemesi halinde; 50.000 – 100.000 Ruble
● Veri operatörü bir devlet kurumunun veya belediyenin kişisel verilerin anonimleştirilmesine dair yükümlülüklere ve yöntemlere uymaması halinde: 6.000 – 12.000 Ruble.
● Veri yerelleştirme (data localization) yükümlülüklerine uyulmaması halinde; 1.000.000 – 6.000.000 Ruble. Tekrarı halinde 6.000.000 – 18.000.000 Ruble
2. Adli suçlar ve yaptırımları

Türk Ceza Kanunu’nda (TCK) kişisel verilerin ihlali ile bağlantılı suç teşkil eden eylemler ve yaptırımları şunlardır:

TCK 135 – Kişisel verileri hukuka aykırı olarak kaydedilmesi
● 1 ila 3 yıl arasında hapis cezası,
Özel nitelikli kişisel verilere ilişkin işlenmesi halinde 1,5 ila 4,5 yıl arası hapis cezası.

TCK 136 – Kişisel verileri hukuka aykırı olarak verme veya ele geçirme
● 2 ila 4 yıl arasında hapis cezası

TCK 137 – Nitelikli haller
Yukarıdaki maddelerde tanımlanan suçların;
● Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak veya,
● Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak
suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır.

TCK 138 – Kişisel verileri yok etmeme
● 1 ila 2 yıl arasında hapis cezası
2. Adli Suçlar ve Yaptırımları

Kişisel verilerin ihlali ile bağlantılı suç teşkil eden eylemler Rus Ceza Kanunu’nda 137 ve devamı maddelerinde şöyle düzenlenmiştir:

● Kişinin özel veya aile sırrı niteliğinde olan bir bilginin hukuka aykırı bir şekilde elde edilmesi veya kitle iletişim araçları ve kamuya açık konuşmalar ile yayılması halinde iki yıla kadar hapis cezası verilebilir.
Bu suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde ceza yarı oranında artırılır.

Rus Ceza Kanunu’nun 272. ve 273. maddelerinde yer alan aşağıdaki suçlar kişisel veriler yönünden de işlenebilen bilişim suçlarıdır.

● Elektronik ortamdaki verilere yetkisiz erişilmesi suretiyle verilerin kopyalanmasına, değiştirilmesine, engellenmesine veya imhasına sebebiyet verilmesi halinde 200.000 Rubleye kadar para cezası veya zorunlu kamu hizmeti veya 2 yıla kadar hapis cezası verilebilir. Aynı eylemin organize bir grup tarafından veya resmi konum kullanılarak yapılması halinde 100.000 – 300.000 Ruble para cezası, 5 yıla kadar hapis cezası verilebilir.
Söz konusu eylemler, ciddi sonuçlara yol açması (miktarı 1 milyon Rubleyi aşan zarar) veya büyük tehdit meydana getirme ihtimali var ise hapis cezası 7 yıla kadar verilebilir.
● Verilerin imhası, engellenmesi, değiştirilmesi veya kopyalanması amaçlarıyla mevcut programlarda değişiklik yapmak için virüs oluşturulması, bilişim sistemlerinin çalışmasını kesintiye uğratmak için bu tür virüslerin kullanılması halinde 200.000 Rubleye kadar para cezası verilebilir. Aynı eylemin ağır sonuçları olması durumunda 3 – 7 yıl arası hapis cezası söz konusudur.
(**) Nikita Maltsev, “Russia amends data protection law to increase personal data subjects’ rights”, https://iapp.org/news/a/level-up-russia-enhances-the-protection-of-personal-data/

III. Sonuç

Türkiye ve Rusya kişisel veri koruma kanunları, temel ilke ve düzenlemeleri ile benzerlikler göstermekle birlikte, bazı açılardan da farklılıklar barındıran kanunlar olarak öne çıkmaktadır.

Öncelikle tarihsel olarak ele aldığımızda; Rusya’nın 152 -FZ sayılı Kanunu’nun, doğuşu 108 sayılı Sözleşme’nin hem Rusya hem Türkiye tarafından imzalandığı tarih olan 1981 yılına dayanan, bir taraftan yerleşik, diğer taraftan ise değişen şartlara göre pek çok kez güncellenmiş, 6698 sayılı Kanun’a nazaran daha detaylı ve uygulanabilir bir kanun olduğu göze çarpmaktadır. Yine, Rusya veri koruma otoritesi olan Roskomnadzor’un yetkilerinin, Türk koruma otoritesi Kişisel Verileri Koruma Kurumu’ndan daha geniş kapsamlı olduğu bir farklılık olarak belirtilebilir.

Ne var ki, 2022 Şubat ayında başlayan Rusya – Ukrayna savaşı ile birlikte batı devletlerince Rusya’ya uygulanmakta olan yaptırımların da etkisiyle, Temmuz ayında Rusya bir kez daha veri koruma mevzuatında değişiklik yapmaya gitmiş ve 6698 sayılı Kanun’a nazaran çok daha liberal olan uluslararası veri aktarımına ilişkin düzenlemelerini sıkılaştırmıştır. Bu yönüyle Rus veri koruma kanununun yurt dışına veri aktarımına ilişkin düzenlemeler bağlamında 6698 sayılı Kanun’a yaklaştığı söylenebilir.

Yukarıda temel kavramlar ve yükümlülükler açısından her iki ülke mevzuatında ele aldığımız hususları, aşağıda bu defa karşılaştırmalı bir özet olarak da sunuyoruz.


Türkiye – Rusya Kişisel Verilerin Korunması Kanunları Karşılaştırma Tablosu
Konu Başlıkları Türkiye (6698 Sayılı KVKK) Rusya (152-FZ)
Kavramlar ● İlgili Kişi
● Veri Sorumlusu
● Veri İşleyen
● İlgili Kişi
● Veri Operatörü
● Veri İşleyen tanımı bulunmamakta. Ancak md. 6/3-4-5-6 ve sair maddelerde “kişisel verileri veri operatörünün talimatı/yetkilendirmesi doğrultusunda işleyen kişi” şeklinde veri işleyen 3. taraflara atıflar bulunmakta.
Kapsam ● Kişisel verileri işlenen gerçek kişiler
● Gerçek kişilerin verilerini tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler.
● Coğrafi kapsama ilişkin açık düzenleme yok.
● Kanun’un uygulanmadığı haller (KVKK md. 28)
● Kişisel verileri işlenen gerçek kişiler
● Bir bilgi / telekomünikasyon ağı da dahil olmak üzere otomatik araçlar kullanarak veya otomatik olmadığı halde doğası gereği otomatik işlemeye benzer manuel yöntemleri kullanarak gerçek kişilerin verilerini işleyen Devlet ve belediye kurumları, tüzel kişiler ve gerçek kişiler.
● Rusya Federasyonu uyruklu bir kişi ile sözleşme yapan ve/veya verilerini işlemek için rızasını almış olan yabancı uyruklu gerçek veya tüzel kişiler.
● Kanun’un uygulanmadığı haller (152/FZ md. 1/2)
Kişisel Verileri İşleme Genel İlkeleri ● Hukuka ve dürüstlük kurallarına uygunluk,
● İşlenen verilerin doğru ve gerektiğinde güncel olması,
● Belirli, açık ve meşru amaçlar için işlenme,
● İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
● İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
● KVKK ile aynı.
Kişisel Verileri İşleme Şartları ● Açık Rıza
● Açık rıza gerektirmeyen haller (KVKK md. 5/2)
    ▹ Kanunlarda açıkça öngörülme,
    ▹ İlgili kişinin fiili bir imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunması,
    ▹ Bir sözleşmenin kurulması veya yerine getirilmesi gereği,
    ▹ Veri sorumlusunun hukuki yükümlülüğü gereği,
    ▹ Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
    ▹ Veri işlemenin bir hakkın tesisi, kullanılması ve korunması için zorunlu olması,
    ▹ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.
● Açık Rıza
● Açık rıza gerektirmeyen haller (152/FZ md. 6)
    ▹ Rusya Federasyonu’nun uluslararası bir antlaşma veya kanun ile amaçlanan hedeflerine ulaşmak ve Rusya Federasyonu mevzuatının veri operatörüne verdiği yetkileri, görevleri ve işlevleri yerine getirmek için gerekli olması,
    ▹ Adli bir işlemin, resmi makamların veya başka bir organın mevzuata uygun olarak icraya tabi olan işlemlerin icrasının yürütülmesi için gerekli olması,
    ▹ Rusya Federasyonu’nun yürütme organlarının, devlet bütçesi dışı fon organlarının, yerel makamların ve ilgili kuruluşların işlevlerinin yerine getirilmesi vesilesiyle,     ▹ İlgili kişinin bir sözleşmenin tarafı, lehtarı veya kefili olduğu durumlarda ve sözleşmenin ifası için gerekli olması,
    ▹ İlgili kişinin rızasının alınmasının imkânsız olduğu durumlarda ilgili kişinin hayatının, sağlığının, diğer hayati menfaatlerinin korunması için gerekli olması,
    ▹ İlgili kişinin hak ve özgürlüklerinin ihlal edilmemesi koşuluyla, veri operatörünün ve üçüncü tarafların hakları ve meşru menfaatleri veya yüksek bir kamu menfaatini sağlamak için gerekli olması,
    ▹ İlgili kişinin haklarının ve kişisel menfaatlerinin ihlal edilmemesi koşuluyla, bir gazetecinin mesleki faaliyeti kapsamında ve/veya kitle iletişim araçlarının meşru faaliyetleri veya bilimsel, edebi ve diğer yaratıcı faaliyetler için gerekli olması,
    ▹ Anonimleştirilmek koşuluyla istatistiksel veya diğer araştırma amaçları kapsamında işlenmesi,
    ▹ Doğrudan federal kanunların öngördüğü hallerde zorunlu olarak açıklanması ve yayımlanması amacıyla.
Özel Nitelikli Kişisel Verilerin İşlenmesi ● Açık Rıza
● Açık rıza gerektirmeyen haller (KVKK m. 6/3)
    ▹ Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda işlenmesi açıkça öngörülmüş ise,
    ▹ Sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının yapılması ve yönetimi amaçlarıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
● Yazılı Şekilde Açık Rıza
● Açık rıza gerektirmeyen haller (152/FZ md. 10/2)
    ▹ Özel nitelikli kişisel verinin ilgili kişi tarafından alenileştirilmiş olması,
    ▹ Rusya Federasyonu’nun taraf olduğu uluslararası geri kabul anlaşmalarında doğan yükümlülüklerin yerine getirilmesi kapsamında işlenmesi,
    ▹ 8-FZ Sayılı Rusya Nüfus Sayımına İlişkin Kanun kapsamında işlenmesi,
    ▹ İlgili kişinin veya bir başkasının yaşamını, sağlığını ve diğer hayati menfaatlerini korumak için gerekli olması,
    ▹ Tıbbi faaliyetlerde bulunan ve Rusya Federasyonu kanunlarına uygun olarak sır saklama yükümlülüğü altında olan biri tarafından gerçekleştirilmesi koşuluyla, tıbbi hastalık önlemek, tıbbi teşhis koymak, tıbbi - sosyal hizmetler sunmak amaçlarıyla işlenmesi,
    ▹ Kamusal derneklerin veya dini kuruluşlara üye olan kişilerin özel nitelikli verileri, ilgili kişilerin yazılı rızası olmaksızın üçüncü kişilere aktarılmamak kaydıyla, adı geçen dernek ve kuruluşların tüzük/ana sözleşmelerinde belirtilen amaçlar kapsamında işlenmesi,
    ▹ İlgili kişinin veya üçüncü kişilerin haklarının tesisi veya icrası veya adaletin sağlanması için gerekli olması,
    ▹ Rusya Federasyonu’nun savunma, güvenlik, terörle mücadele, ulaşım güvenliği, yolsuzlukla mücadele, operasyona dayalı soruşturma faaliyetleri, kanunların icrası, infaz, ceza soruşturması veya kovuşturma düzenlemeleri kapsamında işlenmesi,     ▹ Zorunlu sigorta türleri ve sigorta mevzuatı uyarınca işlenmesi,
    ▹ Rusya Federasyonu mevzuatı, devlet kurumları, belediye yetkilileri ve kuruluşları tarafından öngörülen durumlarda ebeveynsiz kalan çocukların koruyucu ailelere yerleştirilmesi amacıyla işlenmesi,
    ▹ Adli sicil kaydının, Rusya Federasyonu kanunlarına uygun olarak kendilerine yetki verilen devlet kurumlarınca veya belediye organlarınca ve federal kanunlara uygun olarak belirlenen durum ve prosedürlere göre işlenmesi.
Biyometrik verilerin işlenmesi için açık rıza gerektirmeyen haller (md. 11)
    ▹ Geri kabule ilişkin uluslararası anlaşma hükümlerinin uygulanmasında,
    ▹ Savunma, güvenlik, terörle mücadele, ulaşım güvenliği, yolsuzlukla mücadele, soruşturma faaliyetleriyle adaletin sağlanmasına yönelik yürütülen süreçlerde.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi ● Re’sen
● İlgili Kişinin Talebi Üzerine
● Re’sen
● İlgili Kişinin Talebi Üzerine
Kişisel Verilerin Aktarılması (Yurt içi) ● Açık Rıza
● Açık rıza gerektirmeyen diğer işleme şartlarından birinin varlığı (KVKK md. 8 atfı ile md 5/2)
● Açık Rıza veya diğer işleme şartlarından birinin varlığı,
● Veri operatörü ile aktarım yapılacak üçüncü kişi arasında aktarılan tarafa gizlilik yükümlülükleri de getiren bir sözleşmenin varlığı
Kişisel Verilerin Aktarılması (Yurt dışı) ● Açık Rıza
● Açık rıza gerektirmeyen diğer işleme şartlarından birinin (KVKK md 5/2) varlığı ve aktarılacak ülkede yeterli koruma sağlanması
● Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması.
● Açık rıza
● Açık rıza gerektirmeyen haller;
    ▹ Kanunlarla veya Rusya’nın taraf olduğu uluslararası sözleşmeler kapsamında açıkça izin verilmesi,
    ▹ Aktarım yapılacak ülkede yeterli koruma sağlanması (1 Mart 2023 tarihinden itibaren yeterli koruma kriterine sahip ülkelere yapılacak veri aktarımı öncesinde Roskomnadzor’a bildirim yapma yükümlülüğü getirildi)
● Yeterli koruma kriterine sahip olmayan ülkelere, ilgili kişi ile yurt dışına kişisel veri aktarımına ilişkin yapılan sözleşmenin varlığı (1 Mart 2023 tarihinden itibaren öncelikle Roskomnadzor’a izin başvurusu, Roskomnadzor’un izin vermesi halinde aktarım. İstisna; ilgili kişinin veya başkalarının yaşamını, sağlığını ve/veya diğer hayati menfaatlerini korumak için gerekli olması halinde kişisel veriler Roskomnadzor’un izni beklenmeksizin aktarılabilecektir).
● Veri aktarımının anayasal koruma amacıyla gerekli olması ve Rusya’nın güvenliğini ve savunmasını sağlamaya yönelik olması.
Veri Sorumlusunun Aydınlatma Yükümlülüğü ● Veri işleme faaliyeti öncesinde verisi işlenecek ilgili kişiyi bilgilendirme. ● Veri işleme faaliyeti öncesinde verisi işlenecek ilgili kişiyi bilgilendirme.
İlgili Kişinin Hakları ● Kendisi ile ilgili herhangi bir veri işlenip işlenmediğini öğrenme,
● Kişisel veri işleme faaliyeti gerçekleşmişse buna ilişkin bilgi talep etme,
● Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
● Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
● Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
● Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi ile ilgili 6698 sayılı KVKK 7. maddede öngörülen şartların varlığı halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
● Eksik veya yanlış işlenmiş verilerin düzeltilmesi ve kişisel verilerin silinmesi veya yok edilmesi talebinin üçüncü kişilere bildirilmesini isteme,
● İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
● Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
● Veri operatörünün gerçekleştireceği veri işleme faaliyetine dair veri işlemenin hangi hukuki dayanaklara ve gerekçelere göre yapıldığı,
● Veri işlemenin hangi yöntemle yapılacağı veya yapıldığı,
● Veri operatörünün farklı bir operatöre aktarım yapması halinde aktarılan tarafın ismi ve adresi,
● Veri saklama süreleri,
● Veri operatörünün temsilcilerinin bilgilerini,
● Veri operatörünün yükümlülüklerini nasıl yerine getirdiği hakkındaki bilgileri
● Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini,
● Kişisel verilerin silinmesini isteme haklarına sahiptir.
● Kişisel verilerinin pazarlama maksadı ile kullanılmasına karşı çıkabilir.
● Veri operatörü hakkında şikâyette bulunabilir, maddi manevi tazminat talep edebilir.
Veri Güvenliği ● Veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesi ile kişisel verilere hukuka aykırı olarak erişilmesinin önüne geçerek kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu,
● Veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun’a uyumluluk denetimi yapmak veya yaptırmak zorunluluğu,
● Veri sorumluları ile veri işleyen kişilerin süresiz gizlilik yükümlülüğü,
● Veri ihlallerini 72 saat içinde Kurul’a bildirme yükümlülüğü.
Kişisel verileri yetkisiz erişime, değiştirilmeye, aktarılmaya, aktarım veya silinme yoluyla ifşaya, ayrıca hasara ve hatalı imhaya karşı koruma yükümlülüğü. Bu kapsamda;

● Veri koruma politikalarının uygulamaya alınmalı,
● Veri koruma görevlisi tayin edilmeli,
● Kişisel verilerin yetkisiz olarak işlenmesi durumunda meydana gelebilecek zararın düzeyi belirlenmeli,
● Kişisel verilere erişim ile ilgili kurallar belirlenmeli.
● Veri ihlalleri (iki aşamada; 24 saat ve 72 saat içinde) Rozkomnazdor’a bildirilmelidir.
● Rus uyruklu gerçek kişilerin işlenen verilerinin Rusya’da bulunan sunucularda, BT sistemlerinde, veri tabanlarında veya veri merkezlerinde saklanması zorunluluğu (Uluslararası sözleşmeler, kanunlardan doğan yükümlülüklerin yerine getirilmesi amacıyla işlenen veriler istisnadır)
Sicil ● Kurul tarafından açıklanan kriterleri karşılayan veri sorumlularının Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü ● Veri işlemeye başlamadan önce Rozkomnazdor’a veri işleme faaliyetleri ve aldığı koruyucu önlemlere ilişkin bildirim yükümlülüğü
Yaptırımlar ● İdari Para Cezası
● Türk Ceza Kanunu Kapsamında Hapis Cezası
● İdari Para Cezası
● Erişim Engeli
● Rus Ceza Kanunu kapsamında adli para cezası, zorunlu çalışma veya hapis


Dipnotlar


  1. “Rossiskaya Federatsiya Federalnıy Zakon O Personalnıh Dannıh”, http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261, ↩︎

  2. The Law Reviews, Vyacheslav Khayryuzov, “The Privacy, Data Protection and Cybersecurity Law Review: Russia”, 5 Kasım 2021, https://thelawreviews.co.uk/title/the-privacy-data-protection-and-cybersecurity-law-review/russia ↩︎

Faydalanılan Kaynaklar

  1. “6698 Sayılı Kişisel Verilerin Korunması Kanunu (29677 Sayılı Resmî Gazete, 07.04.2016)”.
    https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
  2. “Federalnıy Zakon ot 27 İyulya 2006 g., N 152-FZ personalnıh dannıh (c izmeneniyami i dopolneniyami)” https://base.garant.ru/77322148/
  3. “Kişisel Verileri Koruma Kurumu” internet sitesi https://www.kvkk.gov.tr/
  4. Maltsev, Nikita. “Russia amends data protection law to increase personal data subjects’ rights” https://iapp.org/news/a/level-up-russia-enhances-the-protection-of-personal-data/
  5. Morgan, Lewis & Bockius LLP—Ksenia Andreeva; Anastasia Dergacheva; Anastasia Kiseleva; Alena Neskoromyuk, “Russia.” Data Protection & Privacy 2021içinde, ed. Aaron P. Simpson, Lisa J. Sotto, 214-221. London: Law Business Research Ltd, 2020.
  6. “Roskomnadzor” internet sitesi https://rkn.gov.ru/
  7. “Rossiskaya Federatsiya Federalnıy Zakon O Personalnıh Dannıh” http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261
  8. Khayryuzov, Vyacheslav. “The Privacy, Data Protection and Cybersecurity Law Review: Russia”. https://thelawreviews.co.uk/title/the-privacy-data-protection-and-cybersecurity-law-review/russia
  9. Medvedev, Sergey, “Data Protection in the Russian Federation: Overview”. https://www.gorodissky.com/publications/articles/data-protection-in-the-russian-federation-overview-2021
Lexpera Blog’da yayımlanan yazılar, yazarlarının görüşlerini ifade eder. Lexpera Blog’da bir yazıya yer verilmesi, o yazıda savunulan görüşlerin On İki Levha Yayıncılık tarafından benimsendiği anlamına gelmez. Yazılar, bilgi amaçlı olup, hukuki mütalaa ya da tavsiye niteliği taşımamaktadır.
5846 sayılı Fikir ve Sanat Eserleri Kanunu ve diğer mevzuat hükümlerine aykırı ve bilimsel yazma etik kurallarını aşan iktibaslar konusunda yazarların ve On İki Levha Yayıncılık’ın rızası bulunmamaktadır.