Kişisel Verilerin Korunması Kanunu (KVKK)
Veri Nedir?
Veri, bilgilerin işlenmemiş (ham) halidir. Bir veya birden fazla bilgiden oluşan kümedir. Veri genellikle araştırma, gözlem, deney, sayım, ölçüm yoluyla elde edilir. Yaş, isim, telefon numarası, bir toplama işleminin sonucu ya da sınıfın yaş ortalaması birer veridir.
Kişisel Veri Nedir?
Kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgidir. Buna göre; paylaştığınız adınız, soyadınız, elektronik posta adresiniz ve telefon numaranız kişisel veri olarak adlandırılır. Kişisel veriden söz edebilmek için, verinin gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre:
a) Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı, adresi, vergi kimlik numarası, MERSİS numarası ve cirosu gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
b) Gerçek kişiyi belirli veya belirlenebilir kılması: Kişisel veri, T.C. kimlik numarasında olduğu üzere ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte araç plaka numarasında olduğu üzere herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
c) Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin sadece kimliğini ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler de kişisel veri olarak kabul edilmektedir. Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esası benimsenmediğinden, kişisel verilerin kapsamının genişletilmesi mümkündür. Önemli olan, verinin herhangi bir gerçek kişi ile ilişkilendirilebiliyor olması ya da o gerçek kişiyi tanımlayabilmesidir.
Neden Kişisel Verileri Korumak Zorundayız?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir. Bu kanuna ihtiyaç duyulmasının nedeni, her alanda dijitalleşme ile beraber kişisel verilerin hızla el değiştirebilmesi ve bu yönde birçok mağduriyetin ortaya çıkması, sanal sunucu ve ortamda saklanılan kişisel verilen siber hırsızlık ile ele geçirilmesinden kaynaklanacak güvenlik sorunları ve endişeleridir.
Kişisel Verilerin Korunması Hakkı Nedir?
2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesinde belirtildiği gibi temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Aynı şekilde kişisel verilerin korunmasına ilişkin hak Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edildi.
Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?
KVKK, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel Verilerin Korunması Kanunu’nun (KVKK) Amacı Nedir?
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda Kanunun amacı; kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun gerekçesinde, kişinin mahremiyet hakkının korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.
Kişisel Verilerin Korunması Kanunu’nun Kapsamı Nedir?
KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır.
Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.
Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.
Kişisel Verilerin İşlenmesi Nedir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin, kişisel verilerin sadece bir hard diskte, CD’de veya sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Özel Nitelikli (Hassas) Veri Nedir?
Özel nitelikli veri, hassas verilerdir. Çünkü dini inanç, siyasi görüş, dernek ya da sendika üyeliği, ceza mahkumiyeti, cinsel hayat gibi konulara ait veriler; başkaları tarafından öğrenildiğinde ilgili kişinin mağduriyetine ya da ilgili kişiye ayrıcalık verilerek diğer insanların mağduriyetine sebebiyet verebilir.
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri İşleyen Kimdir?
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. Bu kişiler veri sorumlusunun kişisel veri işlemek üzere yetkilendirdiği ayrı bir gerçek veya tüzel kişi de olabilir. Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.
İlgili Kişi Kimdir?
Kanunda kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Başkanlığımızca Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Kurumların KVKK Uyumluluk Süreçleri
KVKK kapsamında, kurumların mevzuata uygunluğu ve yükümlülüklerini sağlaması, verilerinin bulunduğu ortamlarının fiziksel güvenliğini sağlaması, personel bilinçlendirmesi ve danışmanlık hizmetlerinin yanında teknolojik çözümlerden de yararlanması gerekmektedir. Verilerin işlenmesinin amaç dışı kullanımının önüne geçmek adına KVKK uyumluluk çözümleri geliştirilmiştir. Verinin şifrelenmesi, verinin sınıflandırılması, verinin maskelemesi ve veri kaybının engellenmesi, iç denetim ve uyum kurallarına uygun raporlama gibi çözümler değerlendirilmelidir.
- Veri Denetimi
Hassas içeriğe sahip verilerin nereye taşındığını, bu verileri kimlerin, ne amaçla kullandığını görüntülemeniz gereklidir.
- Çalışanların Eğitimi
Her çalışan hangi verinin ne şekilde kullanılması gerektiğini bilmelidir. Çalışanları güvenlik politikanız hakkında bilgilendirerek veri kullanım sınırlarını belirleyebilirsiniz.
- Veri Kullanım Kuralları
Kişisel verilerle kimlerin, ne şekilde çalışabileceği konusunda kesin kurallar oluşturmalısınız. Bu kurallar kağıt üzerinde kalmamalı, etkin bir şekilde uygulanmalıdır.
- Şifreleme
Kişisel bilgiler içeren tüm veriler şifrelenmelidir. Şifreleme kullanımını uç noktalar da dahil olmak üzere tüm şirketinize yaymalısınız.
- Veri sızıntısı önleme (DLP)
Veri sızıntısı önleme, mutlaka etkin bir şekilde uygulanmalı ve tüm iletişim kanallarını kapsamalıdır. E-posta, yazıcılar, USB, DVD gibi çıkarılabilir cihazlar ve diğer iletişim kanalları denetlenerek yalnızca belirli verilerin şirket dışına çıkabilmesi sağlanmalıdır.
KVKK Kapsamında Suçlar ve Kabahatler
Kanunun 17. maddesinde kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanununun ilgili maddelerine atıfta bulunulurken, 18. maddesinde ise kabahat niteliğini haiz fiiller düzenleme altına alınmıştır.
Buna göre, kişisel verilerin işlenmesine ilişkin hukuka aykırılıkları suçlar ve kabahatler olarak iki başlık altında incelemek mümkündür.
A) Suçlar
Kişisel verilere ilişkin suçlara Türk Ceza Kanununun 135 ila 140’ncı madde hükümleri uygulanır. Türk Ceza Kanununda;
- Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar,
- Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar,
- Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
B) Kabahatler
Kişisel Verilerin Korunması Kanununda;
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 10.000 Türk lirasına kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
*Bu makale www.kvkk.gov.tr sitesinden derlenerek hazırlanmıştır.