Teknoloji ve dijitalleşmenin yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.

TBMM’de yasalaştırılan Kişisel Verilerin Korunması Kanunu “kişisel verilere” ilişkin düzenlemeler getirmiştir.

Kanun, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun verilerin kim tarafından, hangi amaçlara yönelik toplanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.

AB Genel Veri Koruma Regülasyonu (GDPR - General Data Protection Regulation) düzenlemesine paralel kısaltması KVKK olan Kişisel Verilerin Korunması Kanunu yayınlanarak Türkiye’de de kişisel verilerin toplanması, işlenmesi ve silinmesine ilişkin regülasyonlar getirilmiştir.

6698 Sayısı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

Resmi Gazete yayınına buradan ulaşabilirsiniz.

6698 Sayısı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, kanun, kurumlara ve işletme sahiplerine ciddi idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur.

Kanun, resmi kurumlar dahil, kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini kapsamaktadır. Gerçek kişi müşteriler, çalışanlar, ziyaretçilerin bilgileri kaydediliyor ve işleniyorsa KVKK kapsamındadır. Kanun kapsamındaki tüm kurum ve kuruluşlar, Kişisel Verileri Koruma Kurumu’nun (KVKK) belirlediği tarihler içerisinde kısa adı VERBİS olan “Veri Sorumluları Sicil Bilgi Sistemi”ne kayıt yaptırma zorunluluğu vardır.

VERBİS kaydı ile kurum ve işletmeler, hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmekle yükümlüdürler. Bu yükümlülüğünün yerine getirilmemesi halinde kanun, idari ve hapis cezası getirmiştir.

6698 Sayısı KVKK ile getirilen ağır cezalar şöyle belirlenmiştir:

İdari Para Cezaları Neler?

Bu arada, kanunda belirtilen “özel nitelikli veriler” işlendiğinde cezaların 1,5 kat, işlenen veriler Ceza Muhakemeleri Kanunu (CMK) kapsamında ise 2 kat artırılması ön görülmüştür.

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle gündeme gelen önemli kavramlardan birisi de “açık rıza” oldu. Kanun’un 3. Maddesi “Açık Rıza”yı şöyle tanımlamıştır: “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”

Açık rıza ile kişi, sahip olduğu verinin işlenmesine kendi isteği ile onay vermiş sayılır. Yine açık rıza ilgili kişi, işlenmesine izin verdiği verinin hangi sınırlarda, hangi kapsamda, hangi sürede ve biçimde kullanılacağının sınırlarını da belirlemiş olur.

KVKK’ya göre açık rıza beyanının yazılı alınması zorunluluğu olmadığı gibi, elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür. Kanun ispat yükümlülüğünü “Veri Sorumlusu”na getirmiştir.

Kanun’un açık rıza tanımından anlaşılacağı üzere “açık rıza”nın belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması zorunludur.

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğu için, kişi verdiği açık rızayı geri alabilir. Kişisel verinin geleceğini belirleme hakkı ilgili kişiye ait olduğu için, kişi istediği an veri sorumlusuna verdiği açık rızasını geri çekebilir. Burada önemli olan konu, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Açık Rıza ile ilgili ayrıntılı bilgi için KVKK resmi web sitesinde bu sayfayı ziyaret edebilirsiniz.

Kişisel Verilerin Korunması Kanunu, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki gerekçelerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği konusunda bilgi edinme hakkı tanımıştır. Kanun “Aydınlatma Yükümlülüğü”nü veri sorumlusuna getirmiştir.

Veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat ya da yetkilendirdiği kişi aracılığıyla, “Veri sorumlusunun ve varsa temsilcisinin kimliği; kişisel verilerin hangi amaçla işleneceği; kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan diğer hakları” ilgili kişiye sağlamakla yükümlüdür.

Kanun, ilgili kişinin, kişisel verisinin işlendiği her durumda aydınlatılmasını zorunlu kılmıştır. Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esasları buradan inceleyebilirsiniz.

Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin KVKK rehberini ise buradan inceleyebilirsiniz.

Kişisel Verilerin Korunması Kanunu kapsamında yayınlanan “Veri Sorumluları Sicili Hakkında Yönetmelik” ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereği veri sorumlularınca kişisel veri işleme envanteri hazırlanması zorunluluğu getirilmiştir.

Bu zorunluluk kapsamında Kişisel Verileri Koruma Kurumu, işletme ve kurumlara yol göstermek amacıyla, veri sorumlularına iyi uygulama örneklerini sunmak amacıyla “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” oluşturmuştur. Kurum, ilgili rehberi resmi web sitesi üzerinde yayınlamıştır.

İlgili rehbere buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurulu, veri sorumlularını yükümlü kıldığı kişisel veri işleme envanteri hazırlanmasına ilişkin usulleri düzenlerken, “Kişisel Veri İşleme Envanter Örneği” de hazırlayarak veri sorumlularına yol göstermiştir.

KVKK resmi web sitesinde yayınlanan envanter örneğine buradan ulaşabilir ve inceleyebilirsiniz.

KVKK’ya göre, veri Sorumluları tarafından işlenen kişisel verilerin süresiz saklanması mümkün değildir. Kurumun ya da işletmenin belirlediği veri işlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Bu süreler, işletmelerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir.

Kanunlara göre kişisel verilerin işlenme süreleri bittikten sonra, ilk periyodik imha döneminde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir. Öte yandan, ilgili kişinin kişisel verilerinin işlenmesini istememesi ya da daha önce verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklenmeksizin imha edilmelidir.

Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen ya da ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel Verileri Koruma Kurumu’nun hazırladığı ve resmi web sitesinde yayınladığı “KVKK Kişisel Veri Saklama ve İmha Politikası” usul ve esaslarını buradan inceleyebilirsiniz.