KVKK nedir? Kişisel Verilerin Korunması Kanunu olarak da bilinen KVKK, Türkiye’de kişisel verilerin korunması ile ilgili yasal düzenlemeler getiren bir kanundur. Bu kanun, kişisel verilerin işlenmesi, aktarılması, saklanması ve silinmesi gibi konularda çeşitli yükümlülükler ve haklar tanımlamaktadır. Bu bağlamda, KVKK’nın temel amacı nedir? Hangi tür veriler kişisel veri olarak kabul edilir? Bu kanun kimleri kapsar? KVKK’ya uyum sağlamak için hangi adımlar atılmalıdır ve ihlal durumunda hangi cezalar uygulanır? Ayrıca, KVKK’nın Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) ile benzerlikleri ve farklılıkları nelerdir? Bu soruların cevaplarını detaylı bir şekilde öğrenmek istiyorum.
Cevap
KVKK, Kişisel Verilerin Korunması Kanunu’nun kısaltmasıdır. 7 Nisan 2016 tarihinde kabul edilmiş ve 6698 sayılı kanun numarası ile Türkiye Büyük Millet Meclisi (TBMM) tarafından yasalaşmıştır. 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
KVKK’nın temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Bu amaç doğrultusunda, kişisel verilerin işlenmesi, aktarılması, saklanması ve silinmesi gibi konularda belirli kurallar ve yükümlülükler getirilmiştir.
KVKK’nın Kapsamı:
KVKK, kişisel verileri işlenen gerçek kişileri kapsar. "Kişisel veri" terimi, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu bilgiler, ad, soyad, doğum tarihi, adres, telefon numarası, e-posta adresi, kimlik numarası, IP adresi, parmak izi, genetik bilgiler, sağlık bilgileri, cinsel tercih, dini inanç, siyasi görüş gibi çok çeşitli olabilir.
KVKK, kişisel verileri işleyen tüm gerçek ve tüzel kişileri de kapsar. Bu, özel sektördeki şirketlerden kamu kurumlarına, derneklerden vakıflara kadar geniş bir yelpazeyi içerir. Veri sorumlusu olarak adlandırılan bu kişiler, KVKK’da belirtilen yükümlülüklere uymakla yükümlüdürler.
KVKK’nın Temel İlkeleri:
KVKK, kişisel verilerin işlenmesinde uyulması gereken temel ilkeler belirlemiştir. Bu ilkeler şunlardır:
- Hukuka ve Dürüstlük Kurallarına Uygun Olma: Kişisel veriler, yürürlükteki mevzuata ve dürüstlük kurallarına uygun olarak işlenmelidir.
- Doğru ve Gerektiğinde Güncel Olma: İşlenen kişisel verilerin doğru ve güncel olması sağlanmalıdır.
- Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Kişisel veriler, belirli, açık ve meşru amaçlarla işlenmelidir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
KVKK’nın Veri Sorumlusuna Yüklediği Yükümlülükler:
KVKK, veri sorumlularına çeşitli yükümlülükler yüklemektedir. Bu yükümlülüklerden bazıları şunlardır:
- Aydınlatma Yükümlülüğü: Veri sorumlusu, kişisel verilerin işlenmeye başlanmasından önce ilgili kişileri (veri sahiplerini) aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğü kapsamında, veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere aktarılacağı, kişisel veri toplama yöntemi ve hukuki sebebi, veri sahibinin hakları gibi konularda bilgi verilmelidir.
- Veri Güvenliğini Sağlama Yükümlülüğü: Veri sorumlusu, kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu tedbirler, yetkisiz erişimi, veri kaybını, veri ihlalini ve diğer riskleri önlemeyi amaçlamalıdır.
- Kişisel Veri İşleme Şartlarına Uyma Yükümlülüğü: Kişisel veriler, KVKK’da belirtilen kişisel veri işleme şartlarından birine dayanarak işlenmelidir. Bu şartlar arasında ilgili kişinin açık rızası, kanunda açıkça öngörülmesi, bir sözleşmenin ifası için gerekli olması, hukuki yükümlülüğün yerine getirilmesi, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması gibi durumlar yer almaktadır.
- Veri Sahibinin Başvurularına Cevap Verme Yükümlülüğü: Veri sahipleri, KVKK’da belirtilen haklarını kullanarak veri sorumlusuna başvurabilirler. Veri sorumlusu, bu başvurulara en kısa sürede ve en geç otuz gün içinde cevap vermekle yükümlüdür.
- VERBİS’e Kayıt Yükümlülüğü: Bazı veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt olmakla yükümlüdür. VERBİS, kişisel veri işleyen veri sorumlularının kayıtlı olduğu bir sistemdir. Kayıt yükümlülüğü, belirli kriterleri sağlayan veri sorumluları için geçerlidir.
KVKK’nın İlgili Kişiye (Veri Sahibine) Tanıdığı Haklar:
KVKK, ilgili kişilere (veri sahiplerine) çeşitli haklar tanımaktadır. Bu haklardan bazıları şunlardır:
- Kişisel Verilerinin İşlenip İşlenmediğini Öğrenme Hakkı: İlgili kişi, kişisel verilerinin işlenip işlenmediğini öğrenme hakkına sahiptir.
- Kişisel Verileri İşlenmişse Buna İlişkin Bilgi Talep Etme Hakkı: İlgili kişi, kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahiptir.
- Kişisel Verilerin İşlenme Amacını ve Bunların Amacına Uygun Kullanılıp Kullanılmadığını Öğrenme Hakkı: İlgili kişi, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme hakkına sahiptir.
- Yurt İçinde veya Yurt Dışında Kişisel Verilerin Aktarıldığı Üçüncü Kişileri Bilme Hakkı: İlgili kişi, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme hakkına sahiptir.
- Kişisel Verilerin Eksik veya Yanlış İşlenmiş Olması Halinde Bunların Düzeltilmesini İsteme Hakkı: İlgili kişi, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme hakkına sahiptir.
- Kişisel Verilerin Silinmesini veya Yok Edilmesini İsteme Hakkı: KVKK’da belirtilen şartların varlığı halinde ilgili kişi, kişisel verilerinin silinmesini veya yok edilmesini isteme hakkına sahiptir.
- Düzeltme, Silme veya Yok Etme İşlemlerinin Kişisel Verilerin Aktarıldığı Üçüncü Kişilere Bildirilmesini İsteme Hakkı: İlgili kişi, düzeltme, silme veya yok etme işlemlerinin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkına sahiptir.
- İşlenen Verilerin Münhasıran Otomatik Sistemler Vasıtasıyla Analiz Edilmesi Suretiyle Kendisi Aleyhine Bir Sonucun Ortaya Çıkmasına İtiraz Etme Hakkı: İlgili kişi, işlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkına sahiptir.
- Kişisel Verilerin Kanuna Aykırı Olarak İşlenmesi Sebebiyle Zarara Uğraması Halinde Zararın Giderilmesini Talep Etme Hakkı: İlgili kişi, kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkına sahiptir.
KVKK’ya Aykırılık Halinde Uygulanacak Cezalar:
KVKK’ya aykırı davranışlar, idari para cezaları ve hapis cezaları ile cezalandırılabilir. İdari para cezaları, veri ihlalinin ciddiyetine, veri sorumlusunun kusuruna ve diğer faktörlere bağlı olarak değişebilir. Hapis cezaları ise, belirli suçlar için öngörülmüştür.
Kişisel Verileri Koruma Kurulu (KVKK):
Kişisel Verileri Koruma Kurulu (KVKK), KVKK’nın uygulanmasını denetlemek ve geliştirmekle görevli bağımsız bir kamu kurumudur. Kurul, veri ihlallerini soruşturmak, idari para cezaları uygulamak, rehberler ve görüşler yayınlamak, veri sorumlularını VERBİS’e kaydetmek gibi çeşitli görevleri yerine getirir.
Sonuç:
KVKK, Türkiye’de kişisel verilerin korunmasını sağlamak amacıyla çıkarılmış önemli bir kanundur. Kişisel verileri işleyen tüm gerçek ve tüzel kişilerin KVKK’da belirtilen yükümlülüklere uyması gerekmektedir. Aksi takdirde, ciddi idari ve cezai yaptırımlar uygulanabilir. Veri sahipleri ise, KVKK’da kendilerine tanınan hakları kullanarak kişisel verilerinin korunmasını talep edebilirler.
