KVKK: Kişisel Verilerin Korunması Kanunu

Kişisel verilerin korunması, günümüzde hem bireyler hem de kurumlar, özellikle de web hizmeti sağlayıcıları için büyük önem taşımaktadır. Bu içerik, kişisel verilerin korunması konusunda bilgi sahibi olmak isteyen bireyler, kurumlar ve dijital hizmet sağlayıcıları için hazırlanmıştır. Kişisel verilerin güvenliği, hem yasal yükümlülüklerin yerine getirilmesi hem de bireylerin temel hak ve özgürlüklerinin korunması açısından kritik öneme sahiptir.

Bu yazıda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında temel hükümler, kişisel verilerin işlenmesi süreçleri ve veri sorumlularının yükümlülükleri ele alınacaktır. Ayrıca, KVKK ile ilgili sıkça sorulan sorulara yanıtlar ve anahtar kavramların tanımları da sunulacaktır.

KVKK, 24 mart 2016 tarihinde Türkiye Büyük Millet Meclisi’nde kabul edilmiş ve 7 nisan 2016 tarihinde 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Bu sayılı resmî düzenleme, hem gerçek kişiler hem de tüzel kişiler, kamu kurum ve kuruluşları ile gerçek ve tüzel kişileri kapsamakta olup, kişisel verilerin korunması ve işlenmesiyle ilgili tüm taraflara yasal yükümlülükler getirmektedir.

KVKK Hakkında Sıkça Sorulan Sorular (SSS)

KVKK nedir?
KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kısaltmasıdır. Kişisel verilerin işlenmesi, aktarılması ve korunması süreçlerini düzenleyen bir kanundur.

Kimleri kapsar?
KVKK, Türkiye’de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar. Hem bireyler hem de kurumlar bu kanun kapsamındadır.

Hangi yükümlülükleri getirir?
KVKK, kişisel verilerin işlenmesi, saklanması, aktarılması ve silinmesi süreçlerinde veri sorumlularına çeşitli idari ve teknik yükümlülükler getirir. Ayrıca, ilgili kişilere (veri sahiplerine) haklar tanır.

---

Kişisel Verinin Tanımı

Kişisel veri, KVKK’da kimliği belirli ya da belirlenebilir gerçek kişilere ait her türlü bilgi olarak tanımlanır. Bu bilgiler yalnızca ad ve soyadı değil, adres, telefon numarası, e-posta, kimlik numarası gibi kişiyi doğrudan veya dolaylı olarak tanımlayabilecek tüm verileri kapsar. Kişisel verilerin korunması, kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliği açısından büyük önem taşır.

Anahtar Kavramlar:

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
• İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, dini inanç, sağlık bilgileri gibi hassas nitelikteki kişisel veriler.

Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bir veri, veri sorumlusu tarafından yasal yükümlülükler çerçevesinde işlenebilir.

Kişisel verilerin işlenmesinde aşağıdaki teknik süreçler kullanılabilir:

• Otomatik sistemler ve münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişisel verilerin değerlendirilmesi
• Veri saklama ve yok etme işlemleri sırasında, herhangi bir veri yalnızca yasal saklama süresi boyunca veya herhangi bir işleme amacı kalmadığında imha edilir ya da anonim hale getirilir
• Kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması durumlarının değerlendirilmesi

Veri Sorumlularının Yükümlülükleri

Veri sorumluları, kişisel verilerin korunması için gerekli idari ve teknik tedbirleri almakla yükümlüdür. Ayrıca, veri kayıt sisteminin kurulumu, yönetimi ve güvenliği de veri sorumlularının sorumluluğundadır. Kişisel verilerin aktarımı ve paylaşımı süreçlerinde de veri sorumluları, kanunda belirtilen kurallara uymak zorundadır.

---

Kişisel Verilerin Korunması Kanunu Kapsamında Haklar ve Süreçler

Kişisel verilerin korunması, yalnızca verilerin toplanması ve saklanmasıyla sınırlı değildir. Aynı zamanda, verilerin işlenmesi, aktarılması, silinmesi ve anonim hale getirilmesi gibi süreçleri de kapsar. Şimdi, KVKK’nın temel kavramlarını açıkladıktan sonra, kişisel verilerin işlenme süreçlerine ve veri sorumlularının yükümlülüklerine daha yakından bakalım.

Kişisel Veri ve İşleme

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder ve bu verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile güvence altına alınmıştır. Kişisel verilerin işlenmesi, KVKK’nın belirlediği usul ve esaslar ile usul ve esasları çerçevesinde, verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, açıklanması, aktarılması, silinmesi veya yok edilmesi gibi işlemleri kapsar. Özel nitelikli kişisel veriler ise, sağlık bilgileri, biyometrik veriler gibi daha hassas ve korunması gereken verilerdir.

Kişisel veriler, belirli amaçlar olmak üzere ve ilgili mevzuatta öngörülen şartlar olmak kaydıyla, işlenen kişisel veriler kapsamında, kişisel veri işleme süreçlerinde, kişisel verilere ilişkin olarak, yer alan yasal düzenlemelere uygun şekilde, Türkiye içinde veya yurt dışında aktarılabilir ve saklanabilir. KVKK’nın belirlediği usul ve esaslara uygun hareket edilmesi zorunludur. Özellikle web hosting, domain ve dijital hizmetler sunan firmalar için kişisel verileri işlenen kullanıcıların verilerinin güvenli bir şekilde işlenmesi ve saklanması büyük önem taşır.

Aydınlatma Yükümlülüğü

KVKK’nın 10. maddesi uyarınca, veri sorumlusu (kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi), kişisel verilerin işlenmesine ilişkin olarak ilgili kişiye (veri sahibi) bilgi vermekle yükümlüdür. Bu kapsamda, veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesinde, kişisel verilerin hangi amaçla işlendiği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişilerin hakları açıkça belirtilmelidir. Ayrıca, veri sorumlusu tarafından hazırlanması gereken aydınlatma metni ile kişisel verileri işlenen kişilere, veri işleme amaçları, usul ve esasları ile kişisel verilerine ilişkin bilgi talep etme hakları detaylı şekilde sunulmaktadır..

Açık Rıza ve İstisnalar

Kişisel verilerin işlenmesinde, kural olarak ilgili kişinin açık rızası aranır. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Ancak KVKK’nın 5. maddesinin 2. fıkrasında belirtilen bazı istisnai durumlarda, açık rıza olmaksızın da kişisel veriler işlenebilir.

Veri Sorumlusunun Yükümlülükleri

Veri sorumluları, kişisel verilerin korunması için gerekli idari ve teknik tedbirleri almakla yükümlüdür. Bu tedbirler, kişisel verilerin yetkisiz erişime, kayba veya sızdırılmasına karşı korunmasını sağlar. Ayrıca, veri sorumlularının kişisel verilerin güncel ve doğru tutulmasını sağlamak ve ilgili kişilere verilerine erişim hakkı tanımak gibi yükümlülükleri de bulunmaktadır. Kişisel verilerin eksik veya yanlış işlenmiş olması durumunda, ilgili kişiler bu verilerin düzeltilmesini ve giderilmesini talep etme hakkına sahiptir.

Kişisel Verilerin Güvenliği

Kişisel veriler, uygun olarak sunucularda, veri tabanlarında ve uygulamalarda düzenli olarak taranmalı, raporlanmalı ve gerektiğinde sınıflandırılarak taşınmalı, silinmeli veya anonim hale getirilmelidir. Özellikle web hosting ve dijital hizmet sağlayıcıları için, kişisel verilerin güvenli bir şekilde yönetilmesi ve KVKK’ya tam uyum sağlanması, hem yasal yükümlülüklerin yerine getirilmesi hem de müşteri güveninin korunması açısından kritik öneme sahiptir.

Yaptırımlar ve Denetim

KVKK, kişisel verilerin korunmasına ilişkin yükümlülüklerin ihlali durumunda idari para cezaları ve tazminat gibi yaptırımlar öngörmektedir. Kişisel Verileri Koruma Kurumu, 6698 sayılı kişisel verilerin korunması kanunu kapsamında, veri sorumlularının yükümlülüklerini yerine getirip getirmediğini denetler ve ihlallerde idari para cezası uygular. Bu nedenle, veri sorumlularının kişisel verilerin işlenmesinde ve korunmasında azami özen göstermesi gerekmektedir.

---

Kişisel Verilerin İşlenmesinde Kullanılan Teknik Süreçler

Kişisel verilerin işlenmesinde aşağıdaki teknik süreçler kullanılabilir:

• Otomatik sistemler vasıtasıyla analiz edilmesi
• Veri saklama ve yok etme işlemleri
• Kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması durumlarının değerlendirilmesi

---

Kişisel Verilerle İlgili Başvuru ve Hak Arama Süreçleri

Kişisel verilerle ilgili olarak ilgili kişilerin sahip olduğu başvuru ve hak arama süreçleri şunlardır:

• Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı: İlgili kişi, kişisel verilerinin işlenip işlenmediğini öğrenmek için başvuru yapabilir.
• Kişisel verilerinin işlenmesine ilişkin bilgi talep etme hakkı: Kişisel verilerinin işlenmesine dair detaylı bilgi talep edebilir ve buna ilişkin bilgi talep hakkını kullanabilir.
• Düzeltme talep etme hakkı: Eksik veya yanlış işlenmiş kişisel verilerin düzeltilmesini talep edebilir.
• Silme veya yok etme talep etme hakkı: Kişisel verilerinin silinmesini veya yok edilmesini talep edebilir.
• Anonim hale getirilmesini talep etme hakkı: Kişisel verilerinin anonimleştirilmesini isteyebilir.
• Aktarılan kişilerin bilinmesini talep etme hakkı: Kişisel verilerinin aktarıldığı üçüncü kişileri öğrenme hakkına sahiptir ve kişisel veriler işlenmişse buna ilişkin bilgi verilmesini talep edebilir.
• İşlenmesine itiraz hakkı: Kişisel verilerinin işlenmesine itiraz edebilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Süreçleri

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçleri aşağıdaki adımlarla gerçekleştirilir:

1. Kişisel veri saklama süresi sona erdiğinde veya herhangi bir veri işleme amacı kalmadığında, veri sorumlusu tarafından herhangi bir veri tespit edilir.
2. Tespit edilen kişisel veriler, ilgili mevzuata uygun şekilde silinir, yok edilir veya anonim hale getirilir.
3. Silme işlemi, verinin ilgili kişiyle ilişkilendirilemeyecek şekilde sistemlerden kaldırılmasıdır.
4. Yok etme işlemi, verinin hiçbir şekilde geri getirilemeyecek şekilde ortadan kaldırılmasıdır.
5. Anonim hale getirme işlemi ise, verinin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
6. Veri ihlali durumunda, kişisel verilerin hukuka aykırı veya olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu kısa sürede ilgili kuruma bildirimde bulunmakla yükümlüdür.

İhlal Bildirimi ve Sonuç

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel verilerin kanuna aykırı olarak işlenmesi veya yetkisiz üçüncü kişilere aktarılması durumunda, veri sorumlusunun hem ilgili kişiye hem de Kişisel Verileri Koruma Kurumu’na (KVKK) kısa sürede ihlal bildirimi yapması zorunludur. Bu süreç, kişisel verilerin korunması ve ilgili kişilerin temel haklarının güvence altına alınması açısından büyük önem taşır.

İhlal bildirimi, kişisel verilerin korunması kanunu uyarınca, veri sorumlusunun yükümlülüğünün yerine getirilmesinde uyulacak temel adımlardan biridir. Kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan kişilerin haklarının korunabilmesi için, ihlal tespit edildiği anda, veri sorumlusuna düşen ilk görev, durumu yazılı olarak veya elektronik ortamda hem ilgili kişiye hem de Kişisel Verileri Koruma Kurumu’na bildirmektir. Bu bildirimde, ihlalin niteliği, etkilenen kişisel veriler, ihlalin potansiyel sonuçları ve alınan önlemler gibi bilgiler yer almalıdır.

Kişisel verilerin korunması kanunu KVKK’ya uygun olarak yapılan ihlal bildirimi sonrasında, Kişisel Verileri Koruma Kurumu gerekli incelemeleri başlatır. Kurum, veri sorumlusuna kişisel verilerin korunması ve ilgili kişilerin haklarının korunması için ek tedbirler almasını talep edebilir, gerektiğinde idari para cezası veya diğer yaptırımlar uygulayabilir. Ayrıca, veri sorumlularının, ihlal bildirimi sürecini şeffaf ve hızlı bir şekilde yönetmesi, hem yasal yükümlülüklerin yerine getirilmesi hem de müşteri güveninin korunması açısından kritik öneme sahiptir.

Özellikle web hosting, domain ve dijital hizmet sağlayıcıları gibi kişisel verileri işleyen kurum ve kuruluşlar için, ihlal bildirimi sürecinin doğru ve zamanında yürütülmesi, hem yasal uyumluluk hem de marka itibarı açısından vazgeçilmezdir. Kişisel verilerin korunması ve ilgili kişilerin haklarının korunması için, ihlal bildirimi sürecinin titizlikle takip edilmesi gerekmektedir.