Kişisel Verilerin Korunması Kanunu

Rehberi

Kişisel Verilerin Korunması Kanunu Nedir?

KVKK, gerçek kişilere ait kişisel verilerin diğer gerçek kişiler veya tüzel kişiler tarafından kaydedilmesini, işlenmesini ve korunmasını düzenleyen bir kanundur.

6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’KVK’’, ‘’Kanun’’) 24 Mart 2016 tarihinde kabul edilmiş, 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanmıştır.

Kanun’un amacı 1. maddesinde açıklandığı üzere kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

KVKK Kimleri İlgilendirmektedir?

KVKK, gerçek kişilere ait kişisel verilerin diğer gerçek kişiler veya tüzel kişiler tarafından kaydedilmesini, işlenmesini ve korunmasını düzenleyen bir kanundur.

6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’KVK’’, ‘’Kanun’’) 24 Mart 2016 tarihinde kabul edilmiş, 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanmıştır.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (örneğin CRM, ERP v.b) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamındadır.

Kanun Kapsamındaki Kişisel Veriler Nelerdir

KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.

Bununla birlikte kanunda kişisel verilerin ne olduğu sınırlandırılmamıştır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Dolayısıyla kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.

Özel Nitelikli Kişisel Veriler Nelerdir?

KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, kişi hakkında alınan güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veridir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Kıyas yoluyla genişletilmesi mümkün değildir.

Kişisel Verilerin İşlenme Şartları Nelerdir?

Kişisel veriler, ancak ilgili kişinin açık rızasının veya Kanun’un 5. maddesinde sayılan istisnaların varlığı durumunda işlenebilecektir. Kanun, açık rıza hususunu “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlamıştır.

Açık rızanın gerektiği durumda, veri sorumlusunun ispat hukuku kurallarını gözeterek ileriye dönük dokümantasyon ve ispat vasıtalarını ortaya koyması gerekmektedir.

Açık rızanın olmaması halinde kişisel veriler ancak kanunun 5. maddesinde belirtilen, aşağıdaki istinalar halinde işlenebililir.

  • Kanunlarda açıkça öngörülmesi,
  • Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?

Kanun özel nitelikli kişisel verilerin işlenmesi konusunda ek kurallar getirmiştir. Kural olarak, özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmadan işlenmesi yasaktır. Ancak, Kanun’un 6. maddesinde özel nitelikli kişisel verilerin işlenmesi için de bir takım istisnalar getirilmiştir. Buna göre, özel nitelikli kişisel veriler;

  • Kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

ilgili kişinin açık rızası aranmaksızın kullanılabilir.

Kişisel Verilerin Aktarılma Şartları

Veri sorumlusunun kişisel verileri aktarma durumu kanunda iki başlık halinde ele alınmıştır:

  • Yurt içindeki 3. kişilere aktarılma
  • Yurt dışına aktarılma
Yurt içinde 3. kişilere aktarma

Kanun, veri sahibi kişilerin kişisel verilerinin başka tüzel ve gerçek kişileri aktarılmasını açık rıza şartına bağlamıştır.

Bununla birlikte açık rıza şartına bazı istisnalar da getirmiştir

Bu istisnai durumlar şöyle açıklanmıştır;

  • Kanunlarda açıkça öngörülmesi,
  • Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Yukarıdaki hallerin varlığı halinde kişinin açık rızası aranmadan veriler aktarılabilinir.

Ayrıca;

  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

açık rıza aranmaksızın aktarım yapılabilecektir.

Yurt dışına aktarma

Kişisel verilerin yurt dışına aktarılması, yurt içinde aktarılması gibi öncelikli olarak açık rıza şartına bağlanmıştır fakat burada da yurt içinde aktarmada açık rıza alınmasına getirilen  istisnalar aynı şekilde geçerli kılınmıştır.

Fakat yurt içinde aktarımdan farklı olarak yurt dışına aktarma için ek kurallar getirmiştir.

Bu kurallar, kişisel verilerin aktarılacağı ülkede;

  • Yeterli korumanın bulunması,
  • Yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

şartını koymuştur.

Verilerin aktarıldığı yabancı ülkede yeterli korumanın olup olmadığı kurul tarafından ilan edilecektir

Şirketlerin Yükümlülükleri Nelerdir?

Kanun’da veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri sorumlusunun yanında bir de veri işleyen bulunmaktadır. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu ve veri işleyen, Kanun’un getirdiği yükümlülüklere aykırı davranışlardan birlikte sorumlu olacaklardır.

Şirket ve Kamu Kurumlarının Yükümlülükleri

İlkelere Uyum Sağlamak

Kanun, kişisel verilerin işlenmesinde aşağıda sayılan ilkelere uyulmasını zorunlu kılmıştır:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İşlenen kişisel verilerin, kanuni olmayan yollarla başkaları  tarafından elde edilmesi hallerinde veri sorumlusu ayrıca  bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle  yükümlüdür.

Silme, Yok Etme ve Anonimleştirme

Veri sorumlusu, kişisel verilerin işlenmesini gerektiren  sebeplerin ortadan kalkması halinde kendiliğinden veya ilgili  kişinin talebi üzerine verileri silmekle, yok etmekle veya  anonimleştirmekle yükümlüdür. Bunun daha sonraki olası  sorgulamalara istinaden ispat edilebilir durumda olması  gerekmektedir.

İdari Tedbirler Alma

Kanun uyarınca veri sorumlusu, kendi kurum veya kuruluşunda  Kanun’a uygun hareket edilmesini sağlamak amacıyla gerekli denetimleri yapmakla veya yaptırmakla yükümlüdür.

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

VERBİS Veri Sorumluları Siciline Kayıt

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye  başlamadan önce Kişisel Verileri Koruma Kurulunun  gözetiminde tutulan Veri Sorumluları Siciline kaydolmak  zorundadır. Nesnel sicile kayıt kriterlerini belirleme yetkisi  Kurul’a aittir. Sicile yapılacak kayıt esnasında Kanun’un 16.  maddesi uyarınca hangi kişisel verilerin işleneceğinin de  bildirilmesi gerekmektedir.

İşleme Şartlarına Uyum Sağlama

Kanun, genel kural olarak kişisel verilerin ilgili kişinin açık  rızası olmaksızın işlenemeyeceğini belirtmektedir. Açık rızanın  aranmadığı istisna haller ise sınırlı şekilde sayılmak suretiyle  belirlenmiştir. Dolayısıyla veri sorumlusu, Kanun’da aranan  şartları sağlama yükümlülüğü altındadır.

Aydınlatma Yükümlülüğü

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde  edilmesi sırasında ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanunda sayılan diğer haklarını

bildirmekle yükümlüdür. Aydınlatma yükümlüğünün yerine  getirildiğinin ispat edilebilir durumda olması uygulama açısından  büyük önem arz etmektedir.

Teknik Tedbirler Alma

Veri sorumluları, kanuna uyumlu olmak sürecinde işledikleri verilerin güvenliğini sağlamak zorundadır. KVK Kurumu, alınacak teknik tedbirleri siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı ve kişisel verilerin yedeklenmesi başlıkları altında toplayarak bir teknik rehber yayınlamıştır.

İlgilinin Başvurusunu Yanıtlama Yükümlülüğü

Kişisel verileri işlenen kişi, Kanun uygulamasıyla ilgili taleplerini  veri sorumlusuna iletebilecektir. Veri sorumlusu, ilgili talebi  niteliğine göre en geç 30 gün içerisinde ücretsiz olarak  sonuçlandırmakla yükümlüdür. Ancak, işlem ayrıca bir maliyet  gerektiriyorsa Kurul’un belirleyeceği bir tarifeye göre ücret  istenebilecektir.

Kanuni Yaptırımlar ve Cezalar

Kanun, ihlal halinde uygulanacak yaptırımları “Suçlar” ve “Kabahatler” olarak iki başlık altında toplamıştır.

Yaptırımlar

KVKK Kanunu 17. maddesinde Türk Ceza Kanunu’nun maddelerine atıfta bulunarak suç teşkil eden durumları ve cezaları belirtmiştir.

TCK 135 (Kişisel verilerin kaydedilmesi)

Hukuka aykırı olarak kişisel verileri kaydeden kişiye 1 yıldan 3 yıla kadar  hapis cezası verilir. Özel nitelikli kişisel veri ise ceza yarı oranda artırılır

TCK 136 (Verileri hukuka aykırı olarak ele geçirme)

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar  hapis cezası ile cezalandırılır.

TCK 138 (Verileri yok etmeme)

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.

TCK 140 (Tüzel kişiler hakkında güvenlik tedbiri)

Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

Kabahatler

KVKK kanununda belirtilen ihlal durumlarında uygulanacak idari para cezaları, kanunun 18. maddesinde belirtilmiştir.

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında

5.000 Türk lirasından 100.000 Türk lirasına kadar para cezası verilir

Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında

15.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilir.

Kurul tarafından verilen kararları yerine getirmeyenler hakkında

25.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilir.

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında

20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilir.