KVKK Nedir? Ne Zaman Yürürlüğe Girmiştir?

KVKK, Kişisel Verilerin Korunması Kanunu anlamına gelmektedir. 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Hakkı Nedir? 

2010 yılında yapılan Anayasa değişikliği ile Anayasa’nın özel hayatın gizliliğini düzenleyen 20.maddesine temel hak olarak kişisel verilerin korunması hakkı getirilmiştir. Bu hak, herkese kendisiyle ilgili kişisel verilerinin korunmasını isteme hakkını vermiştir. Bu hakkın kapsamı da aynı maddede açıklanmıştır. Buna göre, herkes kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini isteme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkına sahiptir. Ayrıca; kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızası ile işlenebileceği de hüküm altına alınmıştır.

 KVKK’nın Amacı Nedir?

Kanunun amacı, kişisel verilerin işlenme koşullarını, kişisel verileri işlenen kişilerin temel hak ve özgürlüklerinin korunmasını sağlamak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve uyacakları usul ve esasları belirlemektir.

KVKK Kimleri Kapsamaktadır?

 Kişisel Verilerin Korunması Kanununda belirtildiği üzere bu kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler için uygulanır. Yani kanun uygulanırken kişisel verisi işlenenler bakımından gerçek kişi olmayı ararken; veri işleyen bakımından gerçek kişi-tüzel kişi ayrımına gitmemiştir. Yani kanun, resmi kurumlar da dahil olmak üzere kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini de kapsamaktadır.

KVKK’ya Uyum Sağlamak İçin Hukuki Destek Alınmalı Mıdır?

Kanuna eksiksiz ve hatasız bir şekilde uyum sağlayabilmek, yaptırımlarla karşılaşmamak için takip edilmesi gereken önemli süreçler vardır. Bunlara örnek olarak, VERBİS’e kayıt olmak, aydınlatma metinleri hazırlamak, kurul kararlarını takip etmek verilebilir. Bu süreçteki tüm yükümlülüklerin kanuna uygun şekilde eksiksiz ve hatasız yürütülebilmesi için hukuki destek almak önemlidir.

Veri Sorumlularının Yükümlülükleri Nelerdir? 

Veri Sorumlusu olarak örneğin bir işletme sahibinin yükümlülüklerinden bazıları, kişisel verileri kanuna uygun olarak işlemek, aydınlatma yükümlülüğünü yerine getirmek, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin güvenliğini sağlamak için uygun güvenlik düzeyini sağlamak ve kişisel verileri işlemeyi gerektirecek sebeplerin ortadan kalkması halinde kişisel verileri imha yoluna gitmektir.

Veri Sorumluları Sicili Nedir? VERBİS Nedir?

Veri sorumluları sicili, Kişisel Verileri Koruma Kurulu’nun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir. Kişisel Verileri Koruma Kanununun 16.maddesinde düzenlenmiştir. Bu maddeye göre kişisel verileri işleyen gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadırlar. Bu madde kapsamında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlanmıştır. Sonuç olarak VERBİS, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel verileri işlemeye başlamadan önce kayıt olmaları gereken bir sistemdir.

Kimler Veri Sorumluları Siciline Kayıt Olma Yükümlülüğü Altındadır ? 

Veri Sorumluları Siciline kişisel verileri işleme faaliyetinde bulunan gerçek ve tüzel kişiler, veri işleme faaliyetlerine başlamadan önce kayıt olma yükümlülüğü altındadırlar. Buna göre Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de veri işlemeleri halinde genel kural olarak sicile kaydolmaları gerekmektedir.

Sonuç olarak, örneğin işletmenizde 1 kişi bile çalışıyor ise veri işleme faaliyetine başlamadan önce sicile kaydınız gerekmektedir. Ancak Kişisel Verileri Koruma Kanunu’nun 28. Maddesinde belirtilen istisna kapsamında olanlar ve kanunun 16.maddesinde belirtilen kurulca getirilecek istisna kapsamına giren kişisel veri işleyen veri sorumlularının sicile kayıt zorunluluğu yoktur.

Kanun kapsamındaki tüm kurum ve kuruluşlar, Kişisel Verileri Koruma Kurumu’nun belirlediği ve ilan ettiği tarihler arasında Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olma yükümlülüğü altındadır.

VERBİS kaydı ile kurum ve işletmeler, hangi kişisel verileri ne amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmek zorundadırlar.

Kimler Veri Sorumluları Siciline Kayıt Olmaktan Muaf Tutulmuştur?

Kişisel Verileri Koruma Kurulu 02.04.2018 tarihli 2018/32 sayılı kararında kimlerin VERBİS’e kayıt yükümlülüğünden istisna tutulacağı belirtilmiştir.

Bunlar:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  • 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • 2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
  • 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  • 3568 sayılı Kanun uyarınca faaliyet gösteren serbest muhasebeci mali müşavirler ve yeminli mali müşavirlerdir

Yukarıda sayılan istisna kapsamındaki kişiler/kurumlar sadece VERBİS’e kayıttan istisnadırlar, o halde veri sorumluları olarak kanunun veri sorumlularına getirdiği yükümlülüklere uymak zorundadırlar.

Kişisel Verilerin Korunması Kanunu’na Göre Örnek Olarak Bir Şirketin Yükümlülükleri Nelerdir?

Şirketlerin yükümlülüklerinden bazıları şunlardır: Şirketler, VERBİS sistemine kayıt olmalı, aydınlatma yükümlülüklerini yerine getirmeli, veri güvenliğini sağlamalı, kurul kararlarını yerine getirmeli, kişisel verileri işlenen ve kullanılan kişilerin başvurusu üzerine kanunda öngörülen süre içerisinde cevap vermelidir.

Veri Sorumluları Siciline Kayıtta Son Kayıt Tarihi Ne Zamandır? 

Kişisel Verileri Koruma Kurulu’nun 2019/387 sayılı kararına göre Veri Sorumluları Siciline son kayıt tarihleri aşağıdaki şekildedir:

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumlularının kayıt yükümlülüğü için son tarih 30.06.2020’dir.
  • Yurtdışında yerleşik veri sorumluları için kayıt yükümlülüğü son tarihi 30.06.2020’dir.
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon tl’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için kayıt yükümlülüğü son tarihi 30.09.2020’dir.
  • Kamu kurum ve kuruluşu veri sorumluları için son tarih 31.12.2020’dir. 

Veri Sorumluları Sicili’ne Kayıt Yükümlülüğüne Uymayanlara Ne Tür Yaptırım Uygulanacaktır?

Veri Sorumluları Siciline kayıt yükümlülüğü olup, bu yükümlülüğe aykırı davranarak kayıt olmayanlar için Kişisel Verileri Koruma Kanunu’na göre 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörülmüştür.

KVKK’nın Yayımından Önce İşlenmiş Olan Kişisel Verilerin De Kanuna Uyumu Sağlanmalı Mıdır?

 Kanunun geçici 1.maddesinde belirtildiği üzere kanunun yayımından önce işlenmiş kişisel veriler, kanunun yayımından itibaren 2 yıl içinde kanunun hükümlerine uygun hale getirilmelidir. Dolayısıyla kanun 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe girdiğinden dolayı 7 Nisan 2018 tarihine kadar, işlenmiş olan verilerin kanun hükümlerine uygun hale getirilmesi gerekmektedir. Bu tarih itibariyle küçük, orta veya büyük ölçekli fark etmeksizin tüm işletmelerin kanuna uygun önlemleri alması gerekmektedir. Aksi takdirde kanunda belirtilen yaptırımlar uygulanır.

KVKK’da Belirtilen Yükümlülükleri Yerine Getirmemenin Yaptırımları Nedir?

 Suç oluşturanlar:

KVKK’nın 17.maddesine göre kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140.madde hükümlerinin uygulanacağı belirtilmiştir. Buna göre cezalar şunlardır:

TCK m.135’e göre hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası,

  • TCK m.136’ya göre kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan ya da ele geçiren kişi 2 yıldan 4 yıla kadar hapis cezası,
  • TCK m.137’ye göre yukarıda sayılan suçların kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötü kullanmak suretiyle işlenmesi veya belirli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır,
  • TCK m.138’e göre kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.

Kabahat olanlar: 

(2020 yılı güncel tutarlar)

  • Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15.000 Türk lirasından 1.000.000 Türk lirasında kadar,
  • Kurul tarafından verilen kararların yerine getirilmemesi halinde 25.000 Türk lirasından 1.000.000 Türk lirasında kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilmesidir. 

Kişisel Veri Nedir? 

Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örnek olarak, kişilerin adresi, telefon numarası, doğum tarihi birer kişisel veridir. Fakat, kanun tüzel kişilere ait verileri kişisel veri kapsamına almamıştır. Örnek olarak, bir şirketin adresi, telefon numarası kişisel veri niteliğinde değildir.

Kişisel Verilerin İşlenmesi Ne Demektir? 

Kişisel Verileri Koruma Kanunu’nda kişisel verilerin işlenmesi “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.” olarak tanımlanmıştır. 

Özel Nitelikli Kişisel Veri Ne Demektir? Nelerdir? 

Özel nitelikli kişisel veri, öğrenilmesi halinde kişilerin mağdur olmasına veya ayrımcılığa uğramasına yol açabilecek nitelikteki veridir. Kişisel Verileri Koruma Kanunu’nda bu veriler sınırlı sayıda aşağıdaki şekilde sayılmıştır:

Kişilerin,

  • Irkı, etnik kökeni,
  • Siyasi düşüncesi,
  • Felsefi inancı,
  • Dini, mezhebi veya diğer inançları,
  • Kılık ve kıyafeti,
  • Dernek, vakıf ya da sendika üyeliği,
  • Sağlık verisi,
  • Cinsel hayatı,
  • Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri,
  • Biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları Nelerdir?

Kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel verilerin işlenme şartı olarak ilgili kişinin açık rızası aranmıştır. Kanun’da sınırlı şekilde sayılmış olan bu kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin rızası olmaksızın da işlenebilir.

İlgili Kişi Kimdir?  

İlgili kişi, Kişisel Verilerin Korunması Kanunu’na göre kişisel verisi işlenen gerçek kişi olarak tanımlanmıştır.

İlgili Kişinin Hakları Nelerdir? 

Kişisel Verilerin Korunması Kanunu’nun 11.maddesinde ilgili kişinin hakları düzenlenmiştir. Bu maddeye göre herkes veri sorumlusuna başvurarak kendisiyle ilgili,

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içindeki veya yurt dışındaki kişisel verilerin aktarıldığı 3.kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin yok edilmesini veya silinmesini isteme
  • Kişisel verilerin eksik veya yanlış işlenmesi nedeniyle düzeltildikten sonra bu düzeltmenin kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
  • Kişisel verilerin yok edilmesi veya silinmesinin üzerine yapılan işlemlerin kişisel verilerin aktarıldığı 3.kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Açık Rıza Nedir? Herhangi Bir Şekil Şartına Bağlı Mıdır? Açık Rıza Geri Alınabilir Mi?

Kişisel Verileri Koruma Kanunu’nda açık rıza “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bu tanıma göre açık rızanın unsurları olarak:

  • Belirli bir konuya ilişkin olma,
  • Bilgilendirilmeye dayanma,
  • Özgür iradeyle açıklanmış olmayı sayabiliriz.

Açık rıza herhangi bir şekil şartına bağlı değildir. Yukarıda sayıldığı gibi belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması, özgür iradeyle açıklanmış olması yeterlidir. Sözlü, yazılı veya elektronik vb. ortamlarda alınabilir önemli olan açık rızanın ispatlanabilir olmasıdır.

Açık rıza, kişiye sıkı sıkıya bağlı bir hak olduğu için geri alınabilir.

Veri Sorumlusu ve Veri İşleyen Kimdir?

Veri sorumlusu kişisel verilerin hangi amaçla işleneceğine ve hangi vasıta ile işleneceğine karar vererek verilerin yönetilmesinden sorumlu olan gerçek veya tüzel kişidir; Veri işleyen ise veri sorumlusunun verdiği yetki ile onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. 

Kişisel Verilerin Yurt İçinde Aktarımı İçin Veri Sahibinin Açık Rızası Alınmalı Mıdır? 

Kişisel verilerin yurt içinde aktarımı Kişisel Verileri Koruma Kanunu’nun 8.maddesinde düzenlenmiştir. Maddeye göre kişisel verilerin aktarımı ilgili kişinin açık rızasına bağlıdır. 8. Maddenin 2.fıkrasının a bendi ve b bendinde ilgili kişinin, kişisel verilerinin aktarımı için açık rızasının gerekmediği haller düzenlenmiştir. Kişisel Verileri Koruma Kanunu’nun 8.maddesinin 2.fıkrasının a bendine göre kanunun 5.maddesinin 2.fıkrasında sayılan aşağıdaki işleme şartlarından birinin bulunması halinde:

  • Kanunlarda açıkça öngörülmesi hallerinde,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde,

kişisel verilerin aktarımı için ilgili kişinin açık rızası gerekmemektedir.

Ayrıca; Kişisel Verileri Koruma Kanununun 8.maddesinin 2.fıkrasının b bendinde yapılan atıfla kanunun 6.maddesinin 3.fıkrasına göre yeterli önlemler alınması koşuluyla sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmadan işlenebileceği, sağlık ve cinsel hayat hakkındaki kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler ile veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası olmaksızın işlenebileceği hüküm altına alınmıştır.

Kişisel Verilerin Yurt Dışında Aktarımı İçin Veri Sahibinin Açık Rızası Alınmalı Mıdır?  

Kişisel verilerin yurt dışına aktarılması Kişisel Verileri Koruma Kanunu’nun 9.maddesinde düzenlenmiştir. Maddeye göre kişisel verilerin yurt dışına aktarımı ilgili kişinin açık rızasına bağlıdır. Aynı maddede bu durumun istisnaları da düzenlenmiştir. Bu istisnalar, kanunun 5.maddesinin 2.fıkrasındaki şartlar ile 6.maddesinin 3.fıkrasında belirtilen şartlardan birinin varlığı halinde ve kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı şekilde taahhüt etmeleri ve kurulun izni bulunması halinde ilgili kişinin açık rızasının yokluğu halinde de yurt dışına aktarımın yapılabileceğidir. 

Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Nedir? 

Kişisel Verileri Koruma Kanunu’nun 7.maddesinde kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi düzenlenmiştir. Bu madde uyarınca kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebiyle veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.