KVKK Nedir? KVKK ile ilgili bilinmesi gerekenler (Bölüm-2)

Söz konusu olan KVKK kanun metini 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

KVKK nedir?

KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süredir tasarı halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Bu sayede kişisel verilerin işlenmesinden tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.

Kişisel Verilerin Korunması 6698 Sayılı Kanununun Amacı Nedir?

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır.

Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

Kişisel Verilerin Korunması

Kişisel verilerin korunması denildiğinde ilk olarak kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması amaçlanmaktadır. Aslında kişisel verilerin korunması demek temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktır.

Kanundaki ifadelere göre; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

Kişisel Verinin Tanımı Nedir?

Bu ifadelere göre “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Yani saklanan veya işlenen veride kişinin net olarak belirtilmiş olması şartı vardır.

Örnek vermek gerekirse, Siber Güvenlik Uzmanı Ali Berk – ali.berk@example.com Bu örneğe baktığımız zaman unvan bilgisi, ad, soyad ve e-posta birlikte yer aldığı için tek bir kişiyi işaret ettiğini net olarak söyleyebiliriz.

Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamaktadır.

Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir.

Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel verilere örnek vermek gerekirse; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler şeklinde sıralayabiliriz. Bu duruma göre hassas nitelikteki kişisel veriler genel olarak birçok sektörü sorumlu tutmaktadır.

Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Örneğin, kişisel verilerin sadece bir diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Yani kişisel veriyi depolamak da kişisel verilerin işlenmesi anlamına gelmektedir.

Yayınlanan 6698 Sayılı KVKK Kanunu ile ve Aydınlatma Yükümlülüğü Ne Anlama Gelir?

Kişisel verilerin işlenmesinde denetim sağlayan ve kuralları koyan 6698 sayılı KVKK kanunu temel hak ve özgürlüklerin korunmasını amaçlamaktadır. 7 Nisan 2016 tarihli ve 29677 Sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesinde 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesi konusunda Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca işlenen kişisel verilerimizin depolanması, paylaşılması, kullanılması ve benzeri noktalar hakkında tüketicilerin hak ve özgürlüklerini korumak için hayata geçirilmiştir. Tüketicilerin verileri işlenmeden önce aydınlatma yükümlüğü maddesi uyarında bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması zorunlu hale getirilmiştir.

Kanunda Yer Alan Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Anlama Gelir?

Kanunda, otomatik işlemenin ne olduğu tanımlanmamıştır. Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyacın asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir.

Başka bir ifade ile, otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetlerinin tümün kapsamaktadır.

Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?

Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade etmektedir. Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar dahi, bir “veri kayıt sistemi” aracılığıyla işlendiklerinde de Kanun hükümlerine tabi olmaktadır.

Kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere ülkemizde bir süre önce özerk bir kurum olarak Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun amacı: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak şeklinde ifade edilmektedir. Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.

Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere, küçük veya büyük işletmelere, organizasyonlara geçtiğimiz yıl Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ardından da KVKK kurumu denetlemelerine ve bildirimleri incelemeye başlamıştır. Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası gibi ciddi cezalar da hayata geçirilmiştir.