Mar72024
Ceza HukukuMarka ve Rekabet HukukuKİŞİSEL VERİLERİN KORUNMASI KANUNU

Yazımızda son günlerde popülaritesi gittikçe artan bir konu olan ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’ (KVKK) ile ilgili bilgi vereceğiz. Kişisel verilerin Korunması Kanunu’nun popülaritesinin giderek artmasının nedeni teknolojinin hayatımıza girmesiyle bilgilere ulaşım kolaylığının artmasıyla ilgilidir. Kişisel verilerinizin ele geçirilmesinden veya yayılmasından şüphe duyuyorsanız yazımız ilginizi çekecektir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDİR?

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı resmî gazetede yayımlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması, Anayasa’da sayılan temel insan haklarından biri olan özel hayatın gizliliğini korumak için yürürlüğe girmiş bir kanundur. Temel hak ve özgürlüklerin korunmasını amaçlayan bu kanun temelde kişilerin korunmasını amaçlamakta ve kişilere ait özel verilerin gelişi güzel toplanmasının ve aktarılmasının yaratabileceği zararların önüne geçilmesini hedeflemektedir.

KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI NEDİR?

Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişisel Verilerin Korunması Kanunu’nun uygulamasında, Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Bu şekilde kişiler veriler korunma altına alınmıştır.

KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN KAPSAMI NEDİR?

Kişisel Verilerin Korunması Kanunu’nun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Verilerin Korunması Kanunu kapsamında 3 muhatap vardır.

  • Gerçek Kişi
  • Veri Sorumlusu
  • Verileri işleyen gerçek veya tüzel kişiler

BÖYLE BİR KANUNA NEDEN İHTİYAÇ DUYULDU?

Teknolojinin gelişmesiyle internet kullanımı çok arttı bununla beraber bilgiye erişim hiç olmadığı kadar kolaylaştı. İnsanların bir siteye giriş yapması ile bile kişisel verilerine ulaşılabilir hale gelindi. Kişisel verileri alıp başka şirketlere satarak bunun üzerinden ticaret yapılmaya başlandı. Bunun üzerine kanun koyucu vatandaşlarının kişisel verilerini, kötü niyetli insanlara karşı koruma amacıyla Kişisel Verilerin Korunması Kanunu’nu hazırladı.

KİŞİSEL VERİ NEDİR?

Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye denir. Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel veri tanımı kapsamına girmez. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler kişisel veri olarak sayılamaz.

KİŞİSEL VERİ TÜRLERİ NELERDİR?

Kişisel Veriler iki türde incelenebilir.

Bunlardan birincisi özel nitelikli kişisel verilerdir.

Özel nitelikli kişisel veriler, üçüncü kişiler tarafından öğrenildiği takdirde verinin ait olduğu kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalabilmesine neden olabilecek verilerdir. Özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

 İkinci kişisel veri türü ise genel nitelikli kişisel verilerdir. Bu veri türü en genel tabirle özel nitelikli kişisel veri kategorisine dahil edilmeyen her tür kişisel veriyi ifade eder.

KİŞİSEL VERİ İŞLEME ŞARTLARI NELERDİR?

Kişisel veri işleme şartları Kişisel Verilerin Korunması Kanunu’nda sayılmıştır.

  • Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
  • Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7.  İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KİŞİSEL VERİ NEDEN KORUNUR?

Kişisel verilerin korunması kişinin özel hayatının ihlal edilmesini engellemesinin yanında güvenlik açıklarından korunmasını da sağlamaktadır. Hal böyle olunca kişisel verilerin korunması bu noktada önem teşkil eder. Daha sonra güvenlik sorunlarının yaşanmaması açısından kişisel veriler mutlaka korunması gerekmektedir.

HANGİ BİLGİLER KİŞİSEL VERİ KAPSAMINDADIR?

Kişisel Verilerin Korunması Kanunu kişisel verinin kapsamını da saymıştır. Buna göre ad, soyad, vergi numarası, vatandaşlık kimlik numarası, adres, fotoğraf, video ve benzeri veriler kişisel nitelikli veridir ve bunların işlenmesi ancak ilgilinin açık rızası ile mümkündür.

Kişisel Verileri Koruma Kanunu 6. maddesinde özel nitelikli kişisel veriler sayılmıştır:

  • Kişilerin ırkı,
  • etnik kökeni,
  • siyasi düşüncesi,
  • felsefi inancı,
  • dini,
  • mezhebi veya diğer inançları,
  • kılık ve kıyafeti,
  • dernek, vakıf ya da sendika üyeliği,
  • kişilerin sağlığı,
  • cinsel hayatı,
  • ceza mahkûmiyetleri ve haklarındaki güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

özel nitelikli kişisel veri kapsamına alınarak işbu verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmıştır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KORUNMAYAN BİLGİLER NELERDİR?

  • Kişisel Verilerin Korunması Kanunu, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır.
  • Kişisel Verilerin Korunması Kanunu’ndakişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, verileri işlenen tüzel kişiler de bu Kanunun kapsamı dışında tutulmuştur.
  • Kanunun 28. maddesinde tamamen veya kısmen kapsam dışı olan haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna hallerinde Kanun hiçbir şekilde uygulanamayacak, kısmi istisna hallerinde ise, Kanunun sadece bazı maddeleri uygulanmayacaktır.

MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin

yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

KİŞİSEL VERİLERİN KORUNMASINDA VERİ SORUMLUSU KİMDİR?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Herhangi bir hukuki düzenlemenin, kişisel veri işleme amaçlarını ve vasıtalarını belirlemesi durumunda, bu hukuki düzenleme kapsamında belirlenen görevleri yerine getirecek gerçek ve tüzel kişiler veri sorumlusu olarak kabul edilmelidir.

VERİ SORUMLULUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?

Veri sorumlusunun Kişisel Verilerin Korunması Kanunu kapsamındaki başlıca yükümlülükleri aşağıdaki gibidir.

  • Aydınlatma Yükümlülüğü
  • Veri Güvenliğine İlişkin Yükümlülükler
  • İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması
  • Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
  • Veri Sorumluları Siciline Kaydolma Yükümlülüğü
  • Bildirim Yükümlülüğü
  • Teknik ve İdari Tedbirleri Alma yükümlülüğü
  • Denetim Yükümlülüğü:
  • Silme/Yok Etme/Anonimleştirme yükümlülüğü:
  • İlgili Kişinin Hakları kapsamındaki yükümlülükleri
  • Veri İşleyenin Yükümlülükleri

Veri sorumlusu ve veri işleyenler bu yükümlülüklerini yürürlükteki yasal düzenlemeleri gözeterek Şirket politika ve prosedürlerinde belirtilen usullere göre yerine getirir.

KİŞİSEL VERİLERİN KORUNMASINDA ALINACAK İDARİ ÖNLEMLER NELERDİR?

Kişisel verilerin korunmasında alınacak idari önlemleri sıralamak gerekirse:

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

KİŞİSEL VERİLERİN KORUNMASINDA ALINACAK TEKNİK ÖNLEMLER NELERDİR?

Kişisel verilerin korunmasında alınacak teknik önlemler sıralamak gerekirse:

  • Yetki Matrisi:
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

KVKK İHLALİ / KİŞİSEL VERİ İHLALİ SUÇU NEDİR?

Kişisel verileri hukuka aykırı olarak başkasına verme ve yayma ayrı bir suç olarak 5237 sayılı TCK’da düzenlenmiştir. Suçla korunan hukuki değer, kişinin özel hayatı ve kişisel verileridir. Kanun gereğince veya kişinin rızasıyla tutulan kişisel veri hukuka uygun elde edilmiş veridir. Ancak bu verilerin kanuni bir düzenleme olmadan veya kişinin rızası hilafına kaydedilmesi ve kullanılması halinde bu suçun işlenmesi söz konusu olur.

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

KVKK’YA AYKIRILIK HALİNDE ÖNGÖRÜLEN YAPTIRIMLAR NELERDİR?

Kişisel verilere ilişkin suçlar ve yaptırımları Türk Ceza Kanunu’nda düzenlenmiş ve ilgili suçların tek bir yaptırımı olarak hapis cezası öngörülmüştür.

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Kanun ayrıca Kabahatlar başlığı altında;
(i) aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen.
(ii) Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen kararları uygulamayan.
(iii) Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne aykırı hareket eden veri sorumlusu gerçek ve tüzel kişiler hakkında para cezaları öngörmüştür. Bu para cezaları 5.000 Türk lirasından başlayarak 1.000.000 Türk Lirası’na kadar çıkabilmektedir.

KİŞİSEL VERİNİN İHLALİ DAVASI NEDİR?

Kişisel verilerin gizliliğinin ihlal edilmesi ya da hukuka aykırı şekilde işlenmesi gibi durumlarda uğradığı zararların tazmini için tazminat talep edebileceği Kişisel Verileri Koruma Kanunu`nda (KVKK) düzenlenmiştir. KVKK’nın 14`üncü maddesinin (3) numaralı fıkrası, “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” şeklindedir.

Bir kişinin kişisel veri ihlalleri sebebiyle zarara uğraması ve bu zarar sebebiyle bir tazminat talebinde bulunması halinde, söz konusu talep ile ilgili genel mahkemelerde dava açabilecektir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU

KİŞİSEL VERİLERİN KORUNMASI KANUNU

KVKK’YA UYUM ÇALIŞMALARINDA AVUKATLIK HİZMETLERİNİN ÖNEMİ

KVKK uyum süreci, başlayıp biten bir süreç değildir. Başlar, ancak bitmez, devam eder. Bu sebeple, kişisel verilerin işlenmesi ile ilgili işletmede yapılan değişikliklerin, dönem dönem nasıl işletildiği kontrol edilmelidir. Kontroller rutin olmalı, kontroller için ise prosedürler ve dokümanlar hazırlanmalıdır. Bu nedenle kontrolleri yapacak bir avukata ihtiyaç vardır.

SIKÇA SORULAN SORULAR

Kişisel Veri Tanımı Nedir?

Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye denir.

Kişisel Verilerin Korunması Kanunu Neden Çıktı?

Kanun koyucu vatandaşlarının kişisel verilerini, kötü niyetli insanlara karşı koruma amacıyla Kişisel Verilerin Korunması Kanunu’nu hazırladı.

Kişisel Verilerin Korunması Kanunu Ne Zaman Çıktı?

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı resmî gazetede yayımlanarak yürürlüğe girmiştir.

KVKK Kimler İçin Zorunlu?

Kişisel Verilerin Korunması Kanunu gerçek kişi, veri sorumlusu, verileri işleyen gerçek veya tüzel kişiler için zorunludur.

Kişisel Verilerin Korunması Hangi Hak?

Kişisel Verilerin Korunması, Anayasa’da sayılan temel insan haklarından biri olan özel hayatın gizliliğini korumak için yürürlüğe girmiş bir kanundur.

Kişisel Veri Kapsamına Neler Girer?

Kişisel Verilerin Korunması Kanunu kişisel verinin kapsamını da saymıştır. Buna göre ad, soyad, vergi numarası, vatandaşlık kimlik numarası, adres, fotoğraf, video ve benzeri veriler kişisel nitelikli veridir ve bunların işlenmesi ancak ilgilinin açık rızası ile mümkündür.

Kişisel Verilerin Korunması Kurulu Nedir?

Kişisel Verileri Koruma Kurumu, Türkiye’de kişisel verilerin korunmasını sağlamak ve gözetmek için kurulmuş olan düzenleyici ve denetleyici bir kurumdur.

Kişisel Verilerin Korunması Kurulu Üyelerini Kim Atar?

Kişisel Verileri Koruma Kurulu, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.

KVKK İhlali Cezası Ne Kadar 2024?

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ihlali halinde ilgili kişilere haklarında 5.000,00 TL’den 1.000.000,00 TL’ye kadar para cezası verilir.

DİLARA GÜL ERBAŞ

Bir yanıt yazın

E-posta hesabınız yayımlanmayacak Gerekli alanlar işaretlendi *

Yorum Yap