KVKK Nedir? – Kişisel Verilerin Korunması Kanunu

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Türk Hukukunda, Kişisel Verilerin Korunması ve bu kapsamda yapılması gerekli çalışmalar, uyulması gerekli kurallar ve kişisel verilerin tamamen bağımsız bir konu olarak ele alınması, 12.09.2010 tarihli halk oylaması ile kabul edilip, 23.09.2010 tarihli 27708 sayılı Resmi Gazete’ de yayımlanarak yürürlüğe giren 07.05.2010 tarihli 5982 sayılı Kanun ile Anayasa’ nın 20.maddesine eklenen ek fıkra ile gerçekleşmiştir. KVKK, yapılan düzenleme ile kişisel verilerin güvenliği noktası Anayasa ile koruma altına alınmıştır. Söz konusu düzenlemeye göre kısaca KVKK Nedir? diyecek olursak “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Düzenleme ile birlikte bireylerin kendilerini ilgilendiren veriler üzerinde hangi hak ve yetkilere sahip olduğu, kişisel verilerin hangi hallerde işlenebileceği gibi hususlar açıklanmıştır.

Yeni Düzenleme KVKK Neler Getiriyor?

Kişisel Verilerin Korunması hakkında bir düzenleme yapılmasının gerekliliği, bu verilerin gelişigüzel ve yeterli güvence sağlanmadan işlenmesi ile bireylerin bu yolla işlenen verilerden dolayı karşılaşabilecekleri risk ve zararları bertaraf etmektir. Uzun yıllardan bu yana belli bir disipline sahip olmayan ve düzenlemeler açısından bakir kalmış bu alan, özellikle son teknolojik gelişmelerle her türlü bilgiye daha kolay ulaşılabilmesi ve dünyada bireylerin mahremiyet alanlarının sınırlarının daha keskin belirlenmesi ihtiyacı ve bilinçliliğin artması sonucu, Türk Hukuku kapsamında da önem kazanmış ve bu doğrultuda düzenlemeler yapılmıştır. Öyle ki eski tarihlerden bugüne bir güvenlik doğrulaması olarak kullanılan anne kızlık soyadı sorusu, sosyal medyada kişinin takip ettiklerinden birisinin bu kişinin dayısı olması sonucunda, doğrudan, onlarca belki de yüzlerce kişi tarafından öğrenilebilir bir bilgi haline gelmiştir. Bilgiye ulaşmanın bu kadar kolay olması, güvenliğin de aynı doğrultuda gelişmesi ihtiyacını doğurmuştur.

KVKK Düzenlemesi Nedir?

Daha önce bahsettiğimiz Anayasa’ ya gelen düzenleme doğrultusunda yaklaşık olarak 6 yıllık bir çalışma sonrasında, 24/03/2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) TBMM’ de kabul edilmiş ve 29677 sayılı 07/04/2016 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe girmiştir. Ancak Kanun’ un 32. Maddesi gereğince  8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde,  yürürlüğe girmiştir. Ancak henüz çok yeni bir düzenleme ile karşı karşıya kalındığı için, Kanun’ da yer alan terimlerin çok iyi anlaşılması ve buna bağlı olarak kanun maddelerinde bir yorumlamaya gidilmesi gerekmektedir. Zira terimlerin yorumlanmasına göre bir verinin kişisel olup olmadığı, bu veriler için rıza alınması gerekip gerekmediği, bu verilerin korunmasından kimin hangi şekilde sorumlu olacağı gibi hususlar doğru şekilde cevaplanmış olacaktır.

KVK KANUNU, dijital olmayan ve bir veri kayıt sistemine dahil olmayan kişisel veriler bakımından uygulanamayacaktır. Zira Kanun’ un 2.maddesinde açık bir şekilde, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı belirtilmiştir. Veri kayıt sistemi ise, Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir.

Kişisel veriler KVKK Kapsamında Nasıl İşlenmeli?

Veri kayıt sisteminde kişisel veriler; ad-soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir. Otomatik olarak veri işleme ise; Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. Otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası da değilse bu Kanun kapsamında değerlendirilmeyecektir. Fakat bu durum ilgili verilerin kişisel veri niteliğini etkilemeyeceği için, bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmeye devam edecektir.

6698 sayılı Kanun’da gerçek kişilere ait kişisel verilerin kanunun koruma kapsamı içerisine dâhil olacağı belirtildiğinden ötürü, tüzel kişilere ait kişisel verilerin korunması 6698 sayılı Kanun’un kapsamında değildir. Ancak tüzel kişiye ait bir verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden olması durumunda, bu tür verilerin de Kanun’un koruması kapsamında sayılması mümkün olabilecektir.

Kişisel Veri – Özel Nitelikli Kişisel Veri arasındaki fark nelerdir?

Kişisel Veri kapsamında sayılabilecek hususlar kanunda açıkça belirtilmemiş olup; ‘Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder’ şeklinde bir tanım yapılmıştır. Kişisel verilere ilişkin örnek olarak sayabileceğimiz hususlar; kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi bilgilerdir.

Özel Nitelikli Kişisel Veri ise kanunda tahdidi olarak belirtilmiş olup; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Açık Rıza Ne Demek?

KVK Kanunu madde 5 gereği kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenememektedir. Ancak aynı maddenin 2. fıkrasında yazılan istisnai hallerde bu rıza olmaksızın kişisel verilerin işlenmesine imkan tanınmaktadır. Buna göre; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla; sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın da veri işlenmesi mümkün olabilecektir.

KVK Kanunu madde 6’ da ise özel nitelikli kişisel verilerin nasıl işlenebileceği hususu açıklanmıştır. Buna göre özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

Veri Sorumlusu – Veri İşleyen Kimdir?

KVK Kanunu kapsamında üzerinde durulması gerekli en önemli sıfatlar veri sorumlusu ve veri işleyen sıfatları olup, aslında asıl önem teşkil eden nokta bu sıfatların ayrımında ortaya çıkmaktadır. Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.

Veri İşleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi olabilecektir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.

KVK Kurumu – KVK Kurulu

KVK Kanunu madde 21 kapsamında Kişisel Verileri Koruma Kurulu kurulmuş olup, Kurul bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirip, kullanmaktadır. Ayrıca Kurul, yine KVK Kanunu madde 19 gereği kurulan Kişisel Verileri Koruma Kurumu’ nun karar organı olarak görev yapmaktadır. Kişisel Verileri Koruma Kurumu ise KVK Kanunu ile verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz bir kurumdur. Kişisel Verileri Koruma Kurum ve Kurulu’ nun görev ve yetkileri ayrıntılı olarak KVK Kanunu’ nda yer almaktadır.

KVKK Veri Sorumlusu’ na İlişkin Hükümler

KVK Kanunu Veri Sorumlusu’ nun sorumluluğunu ayrıntılı biçimde düzenlemiştir. Bu kapsamda madde 10 gereği veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır.

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan ilgili kişinin diğer hakları konusunda, ilgili kişiyi aydınlatacaktır.

Yine veri sorumlusu, KVK Kanunu madde 12 gereği kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda sayılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Ayrıca veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’ a bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Verisi İşlenen Kişinin (İlgili Kişi) Hakları

KVK Kanunu kapsamında verisi işlene kişiler de, veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,  Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, KVK  Kanunu madde 7 kapsamında öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, son 2 halde kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Veri Sorumluları Sicili

Yine KVK Kanunu madde 16 gereğince, kişisel verileri işleyecek gerçek ve tüzel kişilerin, elektronik ortamda tutulacak Veri Sorumluları Sicili’ ne kayıt olması gerekmektedir. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ancak şu aşamada Veri Sorumluları Sicili kurulmamış olup, altyapı çalışmaları sürdürülmektedir ve çalışmalar sona erdikten sonra, Kurul tarafından belirlenecek ve ilan edilecek süre içerisinde sicile kayıt olunabilecektir.

Kişisel Verilerin Silinmesi – Yok Edilmesi

Anonim Hale Getirilmesi

KVK madde 7 gereği; KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Adaptasyon Süreci Nasıl İşliyor?

KVK Kanunu geçici hükümleri başlıklı geçici madde 1 gereği; bu kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

Sorumluluk Nedir?

Kanunda belirtilen yükümlülüklere uyulmadığı takdirde, KVK Kanunu Madde 17 ve 18 gereği Türk Ceza Kanunu kapsamında cezai sorumluluk ve KVK Kanunu kapsamında idari para cezaları söz konusu olacaktır.

Önceki
Sonraki

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.