KVKK nedir? KVKK'nın amacı ve kapsamı nelerdir?
Dijitalleşmenin hızla arttığı günümüzde, kişisel verilerin korunması, bireylerin mahremiyetinin ve temel haklarının güvence altına alınması açısından büyük önem taşımaktadır. Bu bağlamda, Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesine ilişkin usul ve esasları belirleyerek, bireylerin haklarını ve veri sorumlularının yükümlülüklerini düzenlemektedir. Bu makalede, KVKK'nın kapsamı, temel ilkeleri, veri sorumlularının yükümlülükleri ve ilgili kişilerin hakları detaylı bir şekilde ele alınacaktır.
KVKK'nın Amacı ve Kapsamı
KVKK'nın temel amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini, özellikle özel hayatın gizliliğini korumaktır. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve uyacakları usul ve esasları düzenlemektedir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır.
Temel Kavramlar
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Kişisel Verilerin İşlenme Şartları
KVKK'ya göre, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıdaki durumlarda açık rıza aranmaksızın kişisel veriler işlenebilir:
-
Kanunlarda açıkça öngörülmesi.
-
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
-
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
-
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
-
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenmesi ise, ilgili kişinin açık rızasıyla veya kanunda öngörülen özel şartların varlığı halinde mümkündür.
Kişisel Verilerin İşlenmesinde Temel İlkeler
Kişisel verilerin işlenmesinde aşağıdaki temel ilkelere uyulması zorunludur:
-
Hukuka ve dürüstlük kurallarına uygun olma: Verilerin işlenmesinde yasalara ve dürüstlük ilkelerine riayet edilmelidir.
-
Doğru ve gerektiğinde güncel olma: İşlenen verilerin doğru olması ve gerektiğinde güncellenmesi sağlanmalıdır.
-
Belirli, açık ve meşru amaçlar için işlenme: Veriler, belirli ve meşru amaçlar doğrultusunda işlenmelidir.
-
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir.
-
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.
Veri Sorumlusunun Yükümlülükleri
Veri sorumluları, KVKK kapsamında aşağıdaki yükümlülüklere sahiptir:
Aydınlatma Yükümlülüğü: Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişileri bilgilendirmekle yükümlüdür. Bu bilgilendirme; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin KVKK kapsamında sahip olduğu haklar konularını kapsamalıdır.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlenmesinin zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel veriler ise daha sıkı kurallara tabi tutulmuştur. Sağlık ve cinsel hayata ilişkin veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi özel durumlarda işlenebilir.
KVKK'ya Göre Veri Sorumlusunun Yükümlülükleri
KVKK, kişisel verileri işleyen veri sorumluları için belirli yükümlülükler öngörmektedir. Bunlar şu şekilde sıralanabilir:
1. Aydınlatma Yükümlülüğü
Veri sorumlusu, kişisel verileri işlerken ilgili kişileri aşağıdaki hususlarda bilgilendirmekle yükümlüdür:
- Veri sorumlusunun kimliği
- Kişisel verilerin hangi amaçla işleneceği
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
- Veri toplama yöntemi ve hukuki sebebi
- İlgili kişinin KVKK kapsamında sahip olduğu haklar
2. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumlusu, işlediği kişisel verilerin gizliliğini ve güvenliğini sağlamakla yükümlüdür. Bu kapsamda, yetkisiz erişimi önlemek, verilerin bütünlüğünü korumak ve kayıpları engellemek için gerekli teknik ve idari tedbirleri almalıdır.
3. Kişisel Verileri Koruma Kurulu’na Kayıt Yükümlülüğü (VERBİS)
Veri sorumluları, Kişisel Verileri Koruma Kurulu tarafından tutulan Veri Sorumluları Sicili’ne (VERBİS) kayıt olmak zorundadır. Bu yükümlülük, özellikle büyük ölçekli veri işleyen şirketler ve kamu kurumları için zorunludur.
4. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
KVKK, veri sorumlusunun işleme şartlarının ortadan kalkması durumunda kişisel verileri silmesi, yok etmesi veya anonim hale getirmesi gerektiğini belirtmektedir. Bu süreç, "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" ile detaylandırılmıştır.
KVKK Kapsamında İlgili Kişinin Hakları
KVKK, ilgili kişilere (veri sahiplerine) bazı haklar tanımaktadır. Bireyler, veri sorumlusuna başvurarak aşağıdaki taleplerde bulunabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- Verilerin işlenme amacını ve bunların amaca uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenen verilerin düzeltilmesini isteme
- Kişisel verilerin silinmesini veya yok edilmesini talep etme
- Verilerin düzeltilmesi veya silinmesi hâlinde bu durumun üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerin hukuka aykırı olarak işlenmesi nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme
Bu haklar, ilgili kişinin veri sorumlusuna doğrudan başvurması ile kullanılabilir. Eğer başvuruya yanıt alınamazsa, Kişisel Verileri Koruma Kurulu’na şikâyet yoluna gidilebilir.
KVKK’ya Uyulmaması Durumunda Uygulanacak Cezalar
KVKK'ya aykırı hareket edilmesi durumunda hem idari para cezaları hem de hapis cezaları öngörülmüştür.
- Aydınlatma yükümlülüğüne aykırılık: 50.000 - 1.000.000 TL
- Veri güvenliğine ilişkin yükümlülüklere aykırılık: 50.000 - 1.500.000 TL
- Kurul tarafından verilen kararların yerine getirilmemesi: 50.000 - 1.000.000 TL
- Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık: 20.000 - 1.000.000 TL
KVKK hükümlerine aykırı olarak kişisel verileri hukuka aykırı olarak işleyenler hakkında Türk Ceza Kanunu’nun 135-140. maddeleri kapsamında 1 yıldan 4 yıla kadar hapis cezası öngörülmüştür.
KVKK ve GDPR Arasındaki Farklar
Türkiye’deki KVKK ile Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) arasında bazı farklılıklar bulunmaktadır:
| Kriter | KVKK | GDPR |
|---|---|---|
| Kapsam | Türkiye'de bulunan veri sorumlularını kapsar | AB’de yerleşik tüm şirketler ve AB vatandaşlarının verilerini işleyen şirketleri kapsar |
| Veri İşleme İlkeleri | 6 temel ilke içerir | 7 temel ilke içerir |
| Silme ve Anonimleştirme | Veri işleme şartları ortadan kalktığında zorunludur | "Unutulma hakkı" kapsamındadır |
| İdari Para Cezaları | 1.500.000 TL’ye kadar idari para cezası | Şirketlerin yıllık cirosunun %4’üne kadar ceza |
| Kişisel Veri Koruma Kurumu | Kişisel Verileri Koruma Kurumu (KVKK) tarafından yönetilir | Avrupa Veri Koruma Kurulu (EDPB) yönetir |
KVKK, kişisel verilerin korunmasını sağlamak ve veri işleyen tarafların yükümlülüklerini belirlemek amacıyla hazırlanmış önemli bir yasadır. Günümüzde dijitalleşme ve veri odaklı iş modellerinin artması, kişisel veri güvenliğinin sağlanmasını zorunlu kılmaktadır.
KVKK'ya uyum sağlamak, hem bireylerin haklarının korunmasını hem de şirketlerin hukuki risklerden kaçınmasını sağlar. Kanunun uygulanması ve geliştirilmesi için farkındalığın artırılması büyük önem taşımaktadır. Özellikle teknolojik gelişmelerle birlikte kişisel veri koruma politikalarının sürekli güncellenmesi ve uygulanması gerekmektedir.