Kişisel Verilerin Korunması Kanunu - KVKK
KVKK Nedir? KVKK Ne Demek? KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanununun ilk harflerinden oluşan kısaltması olup; kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemek amacıyla yürürlüğe girmiştir. Ayrıca işbu kanun ile kuruluşu düzenlenen, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğine haiz bir kurum olan Kişisel Verileri Koruma Kurumu ile yetki ve görevleri, ilgili kanunda sayılmış Kişisel Verileri Koruma Kurulu'nun da ilk harflerinden oluşan kısaltmalarını ifade etmektedir. KVKK Kişisel Veri Nedir? Özel Nitelikli Kişisel Veri Nedir? Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin, kişinin kimlik yapısını ortaya koyan ve kişiye özel her türlü bilgi, (isim, soy isim, doğum tarihi, ev adres, iş adresi, e-mail adresi, IP adresi, telefon numarası, faks numarası, kredi kartı bilgileri, vatandaşlık numarası, vergi numarası, pasaport numarası, sosyal güvenlik numarası, sürücü belgesi numarası, taşıt plakası, özgeçmişi, fotoğrafı, videosu vb.) 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, kişisel veri olarak değerlendirilmekte olup; gerçek veya tüzel kişiler tarafından işlenmesi, ancak ilgilinin açık rızası ile mümkün kılınmıştır. Ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 6 ile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmış ve ilgililerin açık rızası olmaksızın işlenmesi yasaklanmıştır. KVKK Açık Rıza Nedir? Aydınlatma Metni Nedir? 6698 sayılı Kişisel Verilerin Korunması Kanunu Tanımlar başlıklı madde 3 açık rızayı; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmış olup; işbu tanımdan da anlaşıldığı üzere açık rızanın, bilgilendirilmeye dayanması zorunludur. İşbu bilgilendirmenin nasıl yapılacağı ve açık rızanın nasıl alınacağı hususlarında belli bir şekil şartının öngörülmüş olmaması, elektronik ortamda Aydınlatma Metni ve altındaki kabul butonu ile ya da çağrı merkezi marifetiyle Aydınlatma ve Açık Rıza zorunluluklarının yerine getirilmesini, ispat külfeti veri sorumlusu üzerinde olmak kaydıyla mümkün kılmaktadır. KVKK Ne Zaman Yürürlüğe Girdi? Avrupa Birliği, kişisel verilerin korunmasına ilişkin üye ülkeler arasındaki düzenlemelerin uyumlaştırılması için 1995 yılında "Avrupa Parlamentosu ve Avrupa Konseyi Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif"i kabul edilmiştir. İşbu Direktif, Türkiye de dahil üye ülkelerin iç hukuklarındaki kanuni düzenlemelere ve Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından 2016 yılında yapılan, 2018 yılında yürürlüğe giren ve bugün hala AB'de geçerli mevzuat olan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğüne (GDPR) kaynaklık etmektedir. Ülkemizde de KVKK, insan haklarının etkin bir biçimde korunması, AB ile yürütülen üyelik müzakereleri ve uluslararası iş birliği ve ticaretin artırılması amacıyla hazırlanarak, 26 Aralık 2014 tarihinde TBMM Başkanlığına sunulmuş olup; 24 Mart 2016 tarihinde kanunlaşmış ve 7 Nisan 2016 tarihli, 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. KVKK Kimler İçin Zorunlu? 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 2, kanunun kapsamını "kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır" olarak çizmektedir. Kişisel verilerin işlenmesi ise, kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmekte olup; bu eylemleri gerçekleştiren gerçek ve tüzel kişiler arasında ayrım yapılmaksızın herkes, KVKK ile getirilen düzenlemelere uyma zorunluluğuna tabi tutulmuştur. KVKK Veri Sorumlusu Kimdir? Veri İşleyen Kimdir? 6698 sayılı Kişisel Verilerin Korunması Kanunu Tanımlar başlıklı madde 3 ile Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Veri İşleyen ise aynı maddede Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. İki kavramı birbirinden ayırt etmek için işleme faaliyetinin "neden" ve "nasıl" yapılacağı sorularının cevabını verecek kişinin tespiti gerekmektedir. KVKK Kapsamında Yapılması Gerekenler Nelerdir? 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince, Veri Sorumlusunun yükümlülükleri, ilgili kişilerin (ilgili kişi: kişisel verileri işlenen kişi) başvurularının aydınlatılması, veri güvenliğinin sağlanması için gerekli tedbirlerin alınması, Veri Sorumluları Siciline (VERBİS) kayıt, ilgili kişilerin başvurularının cevaplandırılması ile işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi ve Kişisel Verilerin Korunması Kurulu kararlarının yerine getirilmesi olarak sayılabilir. KVKK Ceza ve Yaptırımlar Nelerdir? Kişisel Verileri hukuka aykırı olarak kaydeden kimse, 5237 sayılı Türk Ceza Kanuna göre, bir yıldan üç yıla kadar; (verinin niteliğine göre bu ceza yarı oranında artırılabilir) bu verileri hukuka aykırı olarak ele geçiren veya yayan kimse iki yıldan dört yıla kadar; bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğüne aykırı hareket eden kimse ise, bir yıldan iki yıla kadar hapis cezası ile cezalandırılır. Ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanununa göre aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 5.000 Türk Lirasından 10.000 Türk Lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, Veri Sorumluları Siciline kayıt zorunluluğunu aykırı hareket edenler hakkında ise 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanır. KVKK ve GDPR Farkları Nelerdir? Her ne kadar 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun hazırlanması sürecinde, AB hukuki düzenlemeleri model alınmışsa da, KVKK ve GDPR arasında birtakım farklılıklar bulunmaktadır; GDPR kapsamında, veri kontrolörü olmasa bile veri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu kabul edilmekte iken, 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 18/2 uyarınca, veri sorumlusu ve veri işleyen açısından farklı bir sorumluluk düzeyi belirlenerek, idari para cezası yaptırımı, yalnızca veri sorumlularına uygulamakta ve yine veri sorumluları siciline kayıt zorunluluğu yalnızca veri sorumlularını kapsamaktadır. Genel olarak, bireylerin kendilerine ait kişisel verilerini kontrol etme ve mümkün olduğunda silme hakkı olarak ifade edilen unutulma hakkı kavramı GDPR ile ilk kez hukuki bir düzenleme çerçevesine alınmış olsa da; 6698 sayılı Kişisel Verilerin Korunması Kanununda buna ilişkin münferit bir düzenleme yer almamakta, işbu kavram ülkemizde Yüksek Mahkeme ve Anayasa Mahkemesi kararları ile şekillenmektedir. GDPR ile getirilen veri koruma kurallarına ilişkin ihlaller karşı 200 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü gibi önemli miktarlarda yaptırımlar öngörülmekte iken, 6698 sayılı Kişisel Verilerin Korunması Kanununda ilgili idari para cezalarının (5 bin Türk Lirası - 1 milyon Türk Lirası) nispeten daha düşük miktarlarla sınırlı olduğu görülmektedir. GDPR ile düzenlenen "veri taşınabilirliği hakkı", hassas verilerin işlenmesi bakımından "zorunlu veri koruma görevlisi" ile riskli veri işleme faaliyetleri bakımından "zorunlu veri koruma etki değerlendirmesi" gibi kurumlara ilişkin düzenlemeler, 6698 sayılı Kişisel Verilerin Korunması Kanunda bulunmamaktadır.