Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir? Haklar ve Yükümlülükler

Dijital dönüşümün hızıyla birlikte "veri", modern ekonominin en stratejik unsuru haline gelmiştir. Ancak kişisel verilerin kontrolsüzce toplanması ve işlenmesi, bireylerin mahremiyetine ve temel haklarına yönelik riskleri de beraberinde getirmektedir. Bu riskleri yönetmek ve veri işleme faaliyetlerini hukuki bir disiplin altına almak amacıyla yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bugün hem bireyler hem de işletmeler için önem arz eden yasal çerçevelerden birini oluşturmaktadır.

Kişisel Veriler Hukuku kapsamında, veri işleme faaliyetlerinin sadece bir teknik süreç değil, aynı zamanda bir anayasal hak olan özel hayatın gizliliğinin korunması meselesi olduğu unutulmamalıdır.

1. KVKK’nın Amacı ve Temel İlkeleri

KVKK’nın temel felsefesi, verilerin işlenmesini tamamen engellemek değil, bu sürecin belirli kurallar ve şeffaflık içinde yürütülmesini sağlamaktır. Kanun; verilerin hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar için işlenmesini, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını şart koşar.

2. Temel Kavramlar: Kişisel Veri ve özel Nitelikli Veri

Hukuki süreçlerin doğru yönetilmesi için korunması gereken verilerin tasnifi büyük önem taşır.

A. Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Sadece isim ve soyisim değil; telefon numarası, IP adresi, araç plakası ve hatta kişinin hobileri dahi bu kapsama girebilir.

B. özel Nitelikli Kişisel Veri (Hassas Veriler)

öğrenilmesi halinde ilgili kişinin ayrımcılığa uğrama veya mağdur olma ihtimali bulunan verilerdir. Kanun koyucu bu verileri daha sıkı bir koruma rejimine tabi tutmuştur.

• Sağlık ve Biyometrik Veriler: Kan grubu, parmak izi, yüz tanıma verileri.

• İnanç ve Düşünce: Din, mezhep, siyasi düşünce, dernek veya vakıf üyeliği bilgileri.

• Ceza Mahkumiyeti: Sabıka kaydı ve güvenlik tedbirlerine ilişkin bilgiler.

3. Veri Sorumlusu ve Veri İşleyenin Sorumlulukları

• Veri Sorumlusu: Verilerin hangi amaçla ve hangi yöntemle işleneceğine karar veren gerçek veya tüzel kişidir. Kanuni yükümlülüklerin asıl muhatabıdır.

• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına verileri teknik olarak işleyen birimdir.

4. Veri İşleme Şartları ve Açık Rıza Mekanizması

Kişisel verilerin işlenebilmesi için temel kural, kişinin açık rızasının alınmasıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onaydır. Ancak Kanun (m. 5/2), bazı durumlarda rıza aranmaksızın veri işlenmesine izin vermiştir:

1. Kanunlarda Açıkça öngörülmesi: (örn: İş kanunu gereği özlük dosyası tutulması).

2. Sözleşmenin Kurulması ve İfası: (örn: Satın alınan ürünün teslimi için adres bilgisinin kargo şirketine verilmesi).

3. Hukuki Yükümlülük: (örn: Vergi mevzuatı gereği fatura düzenlenmesi).

4. Veri Sorumlusunun Meşru Menfaati: (Kişinin temel haklarına zarar vermemek kaydıyla).

5. Şirketlerin ve Veri Sorumlularının Temel Yükümlülükleri

İşletmelerin idari ve teknik açıdan uyum sağlaması gereken süreçler şunlardır:

5.1. Aydınlatma Yükümlülüğü

Veri sorumlusu, veriyi topladığı anda ilgili kişiyi verilerin neden işlendiği, kimlere aktarıldığı ve haklarının neler olduğu konusunda bilgilendirmekle yükümlüdür. Bu, şeffaflık ilkesinin bir gereğidir.

5.2. VERBİS Kaydı ve Veri Envanteri

Belirli kriterleri (çalışan sayısı veya yıllık mali bilanço toplamı) aşan işletmelerin, işledikleri veri kategorilerini Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden beyan etmeleri zorunludur. Kayıt yükümlülüğüne aykırılık, ağır idari yaptırımlara yol açabilir.

5.3. Veri Güvenliği (Teknik ve İdari Tedbirler)

Verilerin sızmasını veya yetkisiz erişimini engellemek için gerekli siber güvenlik altyapısının (Teknik Tedbir) kurulması ve gizlilik sözleşmeleri ile eğitim süreçlerinin (İdari Tedbir) tamamlanması gerekir.

6. İlgili Kişilerin (Bireylerin) Hakları

KVKK’nın 11. maddesi uyarınca her birey, veri sorumlusuna başvurarak;

• Verisinin işlenip işlenmediğini öğrenme,

• İşlenmişse buna dair bilgi talep etme,

• Yanlış işlenen verilerin düzeltilmesini ve kanuna aykırı verilerin silinmesini (Unutulma Hakkı) isteme,

• Verilerin aktarıldığı üçüncü kişileri öğrenme hakkına sahiptir.

7. İhlal Durumunda Uygulanan Yaptırımlar

KVKK Kurulu, şikayet üzerine veya re'sen yaptığı incelemelerde mevzuata aykırılık tespit ederse, 2024 yılı için milyonlarca Türk Lirası'nı bulan idari para cezalarına hükmedebilir. Ayrıca, kişisel verilerin hukuka aykırı olarak ele geçirilmesi veya yayılması, Türk Ceza Kanunu kapsamında hapis cezası gerektiren suçlar arasındadır.

Sıkça Sorulan Sorular

Açık rızamı her zaman geri alabilir miyim? Evet. Kişisel verilerinizin işlenmesi için verdiğiniz rızayı, herhangi bir gerekçe göstermeksizin dilediğiniz zaman geri alabilirsiniz. Bu durum, geleceğe yönelik veri işlemeyi durdurur.

Apartman veya site yönetimleri KVKK'ya tabi midir? Evet. Güvenlik kamerası kayıtları veya sakinlerin iletişim bilgilerini tutan site yönetimleri "Veri Sorumlusu" sıfatıyla aydınlatma yapmalı ve veri güvenliğini sağlamalıdır.

Veri sızıntısı durumunda ne yapılmalıdır? Veri sorumlusu, bir veri sızıntısını tespit ettiği andan itibaren en geç 72 saat içinde durumu Kurul'a ve etkilenen kişilere bildirmekle yükümlüdür.

---

Yasal Uyarı (Disclaimer): Bu içerik, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat hakkında genel bilgilendirme amacıyla hazırlanmıştır. Kişisel verilerin korunması süreci; teknik altyapı analizi, veri envanteri hazırlığı ve hukuki metinlerin (politika, aydınlatma, muvafakatname) somut olaya uygun kurgulanmasını gerektiren kompleks bir alandır. Yanlış bir aydınlatma süreci veya veri güvenliği ihlali, telafisi güç maddi ve manevi zararlara yol açabilir. Bu nedenle, KVKK uyum projeleri ve veri ihlali yönetimi süreçlerinde bir hukukçu rehberliğinde yürütülen süreçlerle hukuki destek alınması tavsiye edilir.

Kartal Bilişim Avukatı

---