KVKK Nedir?

yazar

Dijital çağda bilgi, en değerli varlıklardan biri hâline geldi. Özellikle bireylere ait kişisel veriler; ticaretten sağlığa, eğitimden kamu hizmetlerine kadar her alanda toplanıyor, işleniyor ve çeşitli amaçlarla kullanılıyor. Bu durum, kişisel verilerin korunması konusunu yalnızca bireylerin değil, kurumların da birincil sorumluluğu haline getirmiştir.

Türkiye’de bu alandaki yasal düzenlemeleri çerçeveleyen en temel yasa, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur. 7 Nisan 2016 tarihinde yürürlüğe giren bu kanun, bireylerin kişisel verileri üzerindeki haklarını güvence altına alırken, veri işleyen gerçek ve tüzel kişilere de ciddi sorumluluklar yüklemektedir.

KVKK Nedir?

KVKK, tam adıyla 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Cumhuriyeti sınırları içerisinde kişisel verilerin işlenmesini, saklanmasını, aktarılmasını ve silinmesini düzenleyen kapsamlı bir kanundur. Bu yasa ile Türkiye, Avrupa Birliği’nin GDPR düzenlemesine paralel olarak, bireylerin mahremiyetini korumayı ve dijital güvenliği sağlamayı amaçlamaktadır.

KVKK’nın amacı; kişisel verilerin işlenmesinde özel hayatın gizliliğini korumak ve bireylerin temel hak ve özgürlüklerini güvence altına almaktır.

KVKK’nın Hukuki Dayanağı ve Gelişim Süreci

KVKK’nın kökeni, 1982 Anayasası’nın 20. maddesine dayanır. Bu madde 2010 yılında yapılan anayasa değişikliği ile şu ifadeyi almıştır:

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.”

Bu anayasal güvence sonrasında, 2016 yılında 6698 sayılı Kanun kabul edilerek, kişisel verilerin korunmasına ilişkin yasal çerçeve oluşturulmuştur.

KVKK’nın Temel Kavramları

KVKK’da sıklıkla geçen bazı temel kavramlar ve anlamları şu şekildedir:

1. Kişisel Veri Nedir?

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örneğin:

  • Ad, soyad
  • T.C. kimlik numarası
  • Telefon numarası
  • IP adresi
  • Konum bilgisi
  • E-posta adresi
  • Görsel kayıtlar, ses kayıtları

2. Özel Nitelikli Kişisel Veri

İfşa edilmesi hâlinde bireyin mağdur olmasına veya ayrımcılığa uğramasına yol açabilecek hassas verilerdir. Örnekler:

  • Irk, etnik köken
  • Siyasi düşünce
  • Din, mezhep
  • Sağlık verileri
  • Cinsel yaşam
  • Biyometrik ve genetik veriler

3. Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

KVKK Kapsamında Kişisel Verilerin İşlenme Şartları

KVKK’ya göre kişisel veriler, yalnızca belirli yasal dayanaklara dayanarak işlenebilir. Bunlardan bazıları şunlardır:

  1. Açık rıza bulunması
  2. Kanunlarda açıkça öngörülmesi
  3. Fiili imkânsızlık hâlinde rıza veremeyecek kişinin verisinin işlenmesi (örneğin acil sağlık durumu)
  4. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
  5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi
  6. İlgili kişinin kendisi tarafından alenileştirilmiş olması
  7. Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
  8. Veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması (kişinin temel hak ve özgürlüklerine zarar vermemesi kaydıyla)

KVKK Kapsamında İlgili Kişinin Hakları

KVKK, bireylere (ilgili kişi) kişisel verileri üzerinde geniş haklar tanımaktadır. Bu haklar:

  1. Veri işlenip işlenmediğini öğrenme
  2. İşlenmişse buna ilişkin bilgi talep etme
  3. İşleme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme
  4. Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri öğrenme
  5. Verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
  6. Kanuni şartlar çerçevesinde silinmesini veya yok edilmesini talep etme
  7. Düzeltilen veya silinen verilerin, aktarıldığı üçüncü kişilere bildirilmesini isteme
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
  9. Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde tazminat talep etme

KVKK’ya Uyum Sürecinde Şirketlerin Sorumlulukları

1. Aydınlatma Yükümlülüğü

Veri sorumluları, kişisel verilerin elde edilmesi sırasında ilgili kişiye aydınlatma metni sunmak zorundadır. Bu metin, verilerin kim tarafından, hangi amaçla işlendiğini, hangi yöntemle toplandığını, kimlere aktarılacağını ve hangi haklara sahip olunduğunu içermelidir.

2. Açık Rıza Alınması

Kanunda belirtilen şartlar dışında kişisel verilerin işlenmesi için ilgili kişinin açık rızası alınmalıdır. Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır.

3. Veri Sorumluları Siciline (VERBİS) Kayıt

KVKK uyarınca, belirli büyüklükteki kurum ve kuruluşlar, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’e kayıt olmak ve işledikleri verileri beyan etmek zorundadır.

4. Teknik ve İdari Güvenlik Önlemleri

Verilerin güvenliği için siber güvenlik, erişim kontrolü, şifreleme gibi teknik önlemlerin yanı sıra, personel eğitimi, gizlilik sözleşmeleri gibi idari önlemler de alınmalıdır.

KVKK İhlalleri ve Cezalar

KVKK’ya uyulmaması durumunda idari para cezaları söz konusudur. Bu cezalar:

  • Aydınlatma yükümlülüğüne aykırılık: 50.000 TL – 1.000.000 TL
  • Veri güvenliğine ilişkin yükümlülüklere aykırılık: 100.000 TL – 1.500.000 TL
  • Kurul kararlarına aykırılık: 100.000 TL – 1.500.000 TL
  • VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık: 50.000 TL – 1.000.000 TL

Ayrıca, TCK madde 135-140 kapsamında, kişisel verilerin hukuka aykırı şekilde kaydedilmesi, ifşa edilmesi gibi durumlar hapis cezası ile de sonuçlanabilir.

KVKK ile GDPR Arasındaki Farklar

ÖzellikKVKK (Türkiye)GDPR (Avrupa Birliği)
Yürürlük Tarihi7 Nisan 201625 Mayıs 2018
Coğrafi KapsamTürkiye sınırlarıAB sınırları + AB vatandaşlarına hizmet veren tüm dünya
İhlal Bildirimi Süresi“En kısa sürede”72 saat içinde
Veri Koruma Görevlisi (DPO)Zorunlu değilBelirli koşullarda zorunlu
Veri Taşınabilirliği HakkıBelirsizNet olarak tanımlanmıştır

Sonuç: KVKK Bir Yasal Zorunluluk, Aynı Zamanda Dijital Etik Kılavuzudur

KVKK yalnızca şirketlerin uyması gereken bir kanun değil, aynı zamanda dijital çağda bireylere saygı göstermenin, şeffaf ve güvenilir bir kurum imajı oluşturmanın temel aracıdır. Kişisel verilerin korunması, sadece hukuki değil; etik, kurumsal ve rekabetçi bir zorunluluk hâline gelmiştir.

KVKK’ya uyum sağlamak:

  • Şirketin hukuki risklerini azaltır,
  • Müşteri güvenini artırır,
  • Kurumsal itibar kazandırır.

Yorum yapın