KVKK, “Kişisel verileri koruma” kavramı, kişiler, kurumlar ve şirketler için kritik ve hassas bir uygulamadır. “Verilerin korunması” bireylerin yasal haklarını ve özgürlüklerini koruması yanı sıra kurumların da başta gizlilik ilkeleri ve güvenliğini olmak üzere diğer bütün yasal gerekliliklerin yerine getirilmesinde büyük önem arz etmektedir.
KVKK, kişisel verilerin korunmasıyla ilgili mevzuata uygunluğu, kurumların bu doğrultudaki yetki ve sorumluluklarını belirleyen kanundur. Ayrıca Kanun, verilerin kimin tarafından, hangi amaçlarla uygulanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.
(KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Kişisel Veri Nedir?
Kişisel Veri, kimliği belirli veya belirlenebilir bir kuruma, kişiye, sektöre veya faaliyete ait özel ve çeşitli bilgidir. Bu durumda kişisel verileri kişisel olmayan verilerden ayırt etmek için temel olarak iki kriter kullanılmaktadır. Bir verinin kişisel veri olarak tanımlanabilmesi için kişiye özgü olması ve bu kişinin kimliğinin belli olması gerekmektedir.
Veri Sahibi Kimdir?
Verilerin korunması, yalnızca Kanun kapsamında gerçek kişilerin verileri için geçerlidir. Bu nedenle Kanunda “veri sahibi”, kişisel verileri işlenen gerçek kişiyi ifade etmek için kullanılmaktadır. Korunacak kişi, Yönetmelik’te yer alan tanımlarda belirtildiği üzere “gerçek kişi”dir.
Tüzel kişiye ait kişisel veriler, gerçek kişiyi tanımlıyor veya tanımlanabilir hale getiriyorsa, bu veriler Kanun kapsamında da korunmaktadır. Ancak burada korunması gereken menfaat, kanun tüzel kişilere ilişkin kişisel verilerin işlenmesini kapsamadığından tüzel kişiye değil gerçek kişiye aittir.
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işlenmesinin gerekliliğini ve kapsamını belirleyen ve sistemin oluşturulmasında, izlenmesinde ve düzenlenmesinde yetkili ve sorumlu olan kişidir. Tüzel kişiler, kişisel verileri işlerken kendileri “denetleyici” olup, ilgili mevzuatta belirtilen yükümlülükler tüzel kişilere aittir. Kamu tüzel kişileri ile özel tüzel kişiler arasında hiçbir fark yoktur.
Kanuna göre veri sorumlusu, kişisel verilerin hangi amaçlarla ve hangi yollarla işlendiğini belirleyen kişidir.
Kişisel Verilerin İşlenmesi Nedir?
- Verilerin işlenmesi,
- Kişisel verilerin toplanması,
- Kaydedilmesi,
- Saklanması,
- Değiştirilmesi,
- Yeniden düzenlenmesi,
- Açıklanması,
- Aktarılması,
- Devralınması,
- Geri alınabilir hale getirilmesi,
- sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen işlemler dizisidir.
Kişisel Verilerin İşlenmesinde Temel İlkeler
KVKK’da belirtilen temel ilkeler:
- Yasal ve adil bir şekilde işlenmiştir,
- Doğru ve gerektiğinde güncel tutulmaktadır,
- Belirlenen, şeffaf ve yasal amaçlar için işlenmektedir,
- İşlendikleri amaçla ilgili, sınırlı ve orantılıdır,
- İlgili mevzuatta belirtilen veya işleme amacı için gerekli görülen süre kadar muhafaza edilmektedir
Tüm kişisel verilerin işlenmesi bu ilkelere uygun olarak gerçekleştirilmelidir.
Kişisel Verilerin İşlenmesine İlişkin Gereklilikler
Kanun’a göre kişisel verilerin işlenmesi ancak aşağıdaki hükümlerin varlığı halinde gerçekleştirilebilmektedir:
Kişisel veriler;
- İlgili kişinin açık rızasını vermiş olması,
- Kanunlarda açıkça öngörülmesi,
- Rızasını açıklayamadığı veya bedensel engeli nedeniyle rızasının hukuken geçersiz olduğu durumlarda; kişinin yaşamının korunması veya fiziksel olarak yaralanmasının önlenmesi için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Kontrolörün yasal yükümlülüklerini yerine getirmesi zorunlu olması,
- Veriler, ilgili kişi tarafından açıkça kamuya açıklaması,
- Veri sahibinin temel hak ve özgürlüklerini ihlal etmemesi kaydıyla, veri sorumlusunun yasal hak ve yükümlülükleri için zorunludur.
Kişisel verilerin işlenmesine ilişkin esaslar Kanun ile sınırlıdır ve genişletilemez.
Veri işlemenin açık rıza dışında Kanunda sayılan şartlara dayanması halinde açık rıza alınmasına gerek yoktur. Verileri işlemek için başka yasal gerekçeler varken açık rıza alınması yanıltıcıdır ve veri sorumlusu tarafından hakların kötüye kullanılması olarak kabul edilir. İlgili kişinin açık rızasının geri alınması durumunda, veri sorumlusunun diğer hukuki dayanaklara dayalı olarak işlemeye devam etmesi, Kanun ve dürüstlük kurallarına aykırı işleme olarak kabul edilmektedir.
Bu nedenle, veri sorumlusu tarafından kişisel verilerin işlenme amacının açık rıza dışındaki işleme koşullarından birine dayanıp dayanmadığının değerlendirilmesi gerekmektedir. Bu amaç, açık rıza dışında Kanun’da sayılan koşullardan en az birine dayanmıyorsa, veri sahibinin açık rızasının alınması gerekmektedir.
Kişisel Verilerin Saklanma Süreleri
KVKK’ya göre, veri sorumluları tarafından işlenen kişisel verilerin süresiz saklanması mümkün değildir. İşletmelerin faaliyetine göre kurumun belirlediği bir veri saklama süresi mevcut olmalıdır.
Kişisel verilerin işlenme süresi bittikten sonra, imha edilmektedir. Bu imha dönemi yılda iki kere tekrarlanmalıdır. Bilgilere, kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmektedir.
Hassas Kişisel Veriler
Hassas Kişisel Veriler, başkaları tarafından elde edilirse, veri öznesini ayrımcılığa veya haksız muameleye açık bırakabilir. Bu nedenle hassas kişisel verilerin diğer kişisel verilere göre daha sıkı bir şekilde korunması gerekmektedir. Özel nitelikli kişisel veriler, ancak ilgili kişinin açık rızası ile veya Kanun’da belirtilen şartlardan herhangi biri ile işlenecektir.
Hasas veri kategorisinde sayılan kavramlar; Irk, din, mezhep, üyelikler (dernek, sendika vs.), sağlık raporları, adli sicil kaydı, etnik köken, genetik veriler vs. olarak kabul edilmektedir.
Kişisel Verilerin Türkiye İçinde Aktarılması
KVK Kanunu’nun 8. maddesi, Kanun’da belirtilen genel ilkeler çerçevesinde elde edilen kişisel verilerin ancak ilgili kişinin açık rızası ile aktarılabileceğini düzenlemektedir. Kanun, Türkiye içinde veri işleme ve veri aktarımı için aynı koşulları öngörmektedir. Madde 8 ayrıca, verilerin açık rıza olmaksızın üçüncü kişilere aktarılmasına ilişkin koşulları da tanımlamaktadır.
Öte yandan, kişisel verilerin Türkiye’de hukuka uygun olarak işlenmiş olması, verilerin doğrudan üçüncü kişilere aktarılabileceği anlamına gelmemektedir.
Bir transfer gerçekleşecekse, aşağıdaki koşullardan birinin yerine getirilmesi gerekmektedir:
- İlgili kişinin açık rızasını vermiş olması,
- Kanunlarda açıkça öngörülmesi,
- Bir kişinin yaşamının korunması veya fiziksel olarak yaralanmasının önlenmesi için, o kişinin bulunduğu durumlarda zorunludur.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Kontrolörün yasal yükümlülüklerini yerine getirmesi zorunludur.
- Veriler, ilgili kişi tarafından açıkça kamuya açıklanır.
GDPR- KVKK Karşılaştırması
Kişisel Verilerin Korunması Kanunu (KVKK) ile GDPR arasında bazı önemli farklar bulunmaktadır.
KVKK’ya kıyasla GDPR daha geniş bir kitleye ve yetkiye sahiptir.
KVKK’da “veri sorumlusu” kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kurumu’na karşı sorumlu tutulmaktadır. GDPR’da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda “veri kontrolörü” kavramı mevcuttur.
KVKK kapsamınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmaktadır. GDPR’ da ise böyle bir kayıt bilgi sistemine kayıt zorunluluğu bulunmamaktadır.
KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmiştir. GDPR kapsamında cezai yaptırım yıllık küresel cironun yüzde 4’üne ya da 20.000.000 Euro olarak belirlenmiştir.
Daha detaylı bir bilgi alabilmek için aşağıdaki formu doldurup tarafımızla iletişime geçebilirsiniz.
KVKK, “Kişisel verileri koruma” kavramı, kişiler, kurumlar ve şirketler için kritik ve hassas bir uygulamadır. “Verilerin korunması” bireylerin yasal haklarını ve özgürlüklerini koruması yanı sıra kurumların da başta gizlilik ilkeleri ve güvenliğini olmak üzere diğer bütün yasal gerekliliklerin yerine getirilmesinde büyük önem arz etmektedir.
KVKK, kişisel verilerin korunmasıyla ilgili mevzuata uygunluğu, kurumların bu doğrultudaki yetki ve sorumluluklarını belirleyen kanundur. Ayrıca Kanun, verilerin kimin tarafından, hangi amaçlarla uygulanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.
(KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Kişisel Veri Nedir?
Kişisel Veri, kimliği belirli veya belirlenebilir bir kuruma, kişiye, sektöre veya faaliyete ait özel ve çeşitli bilgidir. Bu durumda kişisel verileri kişisel olmayan verilerden ayırt etmek için temel olarak iki kriter kullanılmaktadır. Bir verinin kişisel veri olarak tanımlanabilmesi için kişiye özgü olması ve bu kişinin kimliğinin belli olması gerekmektedir.
Veri Sahibi Kimdir?
Verilerin korunması, yalnızca Kanun kapsamında gerçek kişilerin verileri için geçerlidir. Bu nedenle Kanunda “veri sahibi”, kişisel verileri işlenen gerçek kişiyi ifade etmek için kullanılmaktadır. Korunacak kişi, Yönetmelik’te yer alan tanımlarda belirtildiği üzere “gerçek kişi”dir.
Tüzel kişiye ait kişisel veriler, gerçek kişiyi tanımlıyor veya tanımlanabilir hale getiriyorsa, bu veriler Kanun kapsamında da korunmaktadır. Ancak burada korunması gereken menfaat, kanun tüzel kişilere ilişkin kişisel verilerin işlenmesini kapsamadığından tüzel kişiye değil gerçek kişiye aittir.
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işlenmesinin gerekliliğini ve kapsamını belirleyen ve sistemin oluşturulmasında, izlenmesinde ve düzenlenmesinde yetkili ve sorumlu olan kişidir. Tüzel kişiler, kişisel verileri işlerken kendileri “denetleyici” olup, ilgili mevzuatta belirtilen yükümlülükler tüzel kişilere aittir. Kamu tüzel kişileri ile özel tüzel kişiler arasında hiçbir fark yoktur.
Kanuna göre veri sorumlusu, kişisel verilerin hangi amaçlarla ve hangi yollarla işlendiğini belirleyen kişidir.
Kişisel Verilerin İşlenmesi Nedir?
- Verilerin işlenmesi,
- Kişisel verilerin toplanması,
- Kaydedilmesi,
- Saklanması,
- Değiştirilmesi,
- Yeniden düzenlenmesi,
- Açıklanması,
- Aktarılması,
- Devralınması,
- Geri alınabilir hale getirilmesi,
- sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen işlemler dizisidir.
Kişisel Verilerin İşlenmesinde Temel İlkeler
KVKK’da belirtilen temel ilkeler:
- Yasal ve adil bir şekilde işlenmiştir,
- Doğru ve gerektiğinde güncel tutulmaktadır,
- Belirlenen, şeffaf ve yasal amaçlar için işlenmektedir,
- İşlendikleri amaçla ilgili, sınırlı ve orantılıdır,
- İlgili mevzuatta belirtilen veya işleme amacı için gerekli görülen süre kadar muhafaza edilmektedir
Tüm kişisel verilerin işlenmesi bu ilkelere uygun olarak gerçekleştirilmelidir.
Kişisel Verilerin İşlenmesine İlişkin Gereklilikler
Kanun’a göre kişisel verilerin işlenmesi ancak aşağıdaki hükümlerin varlığı halinde gerçekleştirilebilmektedir:
Kişisel veriler;
- İlgili kişinin açık rızasını vermiş olması,
- Kanunlarda açıkça öngörülmesi,
- Rızasını açıklayamadığı veya bedensel engeli nedeniyle rızasının hukuken geçersiz olduğu durumlarda; kişinin yaşamının korunması veya fiziksel olarak yaralanmasının önlenmesi için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Kontrolörün yasal yükümlülüklerini yerine getirmesi zorunlu olması,
- Veriler, ilgili kişi tarafından açıkça kamuya açıklaması,
- Veri sahibinin temel hak ve özgürlüklerini ihlal etmemesi kaydıyla, veri sorumlusunun yasal hak ve yükümlülükleri için zorunludur.
Kişisel verilerin işlenmesine ilişkin esaslar Kanun ile sınırlıdır ve genişletilemez.
Veri işlemenin açık rıza dışında Kanunda sayılan şartlara dayanması halinde açık rıza alınmasına gerek yoktur. Verileri işlemek için başka yasal gerekçeler varken açık rıza alınması yanıltıcıdır ve veri sorumlusu tarafından hakların kötüye kullanılması olarak kabul edilir. İlgili kişinin açık rızasının geri alınması durumunda, veri sorumlusunun diğer hukuki dayanaklara dayalı olarak işlemeye devam etmesi, Kanun ve dürüstlük kurallarına aykırı işleme olarak kabul edilmektedir.
Bu nedenle, veri sorumlusu tarafından kişisel verilerin işlenme amacının açık rıza dışındaki işleme koşullarından birine dayanıp dayanmadığının değerlendirilmesi gerekmektedir. Bu amaç, açık rıza dışında Kanun’da sayılan koşullardan en az birine dayanmıyorsa, veri sahibinin açık rızasının alınması gerekmektedir.
Kişisel Verilerin Saklanma Süreleri
KVKK’ya göre, veri sorumluları tarafından işlenen kişisel verilerin süresiz saklanması mümkün değildir. İşletmelerin faaliyetine göre kurumun belirlediği bir veri saklama süresi mevcut olmalıdır.
Kişisel verilerin işlenme süresi bittikten sonra, imha edilmektedir. Bu imha dönemi yılda iki kere tekrarlanmalıdır. Bilgilere, kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmektedir.
Hassas Kişisel Veriler
Hassas Kişisel Veriler, başkaları tarafından elde edilirse, veri öznesini ayrımcılığa veya haksız muameleye açık bırakabilir. Bu nedenle hassas kişisel verilerin diğer kişisel verilere göre daha sıkı bir şekilde korunması gerekmektedir. Özel nitelikli kişisel veriler, ancak ilgili kişinin açık rızası ile veya Kanun’da belirtilen şartlardan herhangi biri ile işlenecektir.
Hasas veri kategorisinde sayılan kavramlar; Irk, din, mezhep, üyelikler (dernek, sendika vs.), sağlık raporları, adli sicil kaydı, etnik köken, genetik veriler vs. olarak kabul edilmektedir.
Kişisel Verilerin Türkiye İçinde Aktarılması
KVK Kanunu’nun 8. maddesi, Kanun’da belirtilen genel ilkeler çerçevesinde elde edilen kişisel verilerin ancak ilgili kişinin açık rızası ile aktarılabileceğini düzenlemektedir. Kanun, Türkiye içinde veri işleme ve veri aktarımı için aynı koşulları öngörmektedir. Madde 8 ayrıca, verilerin açık rıza olmaksızın üçüncü kişilere aktarılmasına ilişkin koşulları da tanımlamaktadır.
Öte yandan, kişisel verilerin Türkiye’de hukuka uygun olarak işlenmiş olması, verilerin doğrudan üçüncü kişilere aktarılabileceği anlamına gelmemektedir.
Bir transfer gerçekleşecekse, aşağıdaki koşullardan birinin yerine getirilmesi gerekmektedir:
- İlgili kişinin açık rızasını vermiş olması,
- Kanunlarda açıkça öngörülmesi,
- Bir kişinin yaşamının korunması veya fiziksel olarak yaralanmasının önlenmesi için, o kişinin bulunduğu durumlarda zorunludur.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Kontrolörün yasal yükümlülüklerini yerine getirmesi zorunludur.
- Veriler, ilgili kişi tarafından açıkça kamuya açıklanır.
GDPR- KVKK Karşılaştırması
Kişisel Verilerin Korunması Kanunu (KVKK) ile GDPR arasında bazı önemli farklar bulunmaktadır.
KVKK’ya kıyasla GDPR daha geniş bir kitleye ve yetkiye sahiptir.
KVKK’da “veri sorumlusu” kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kurumu’na karşı sorumlu tutulmaktadır. GDPR’da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda “veri kontrolörü” kavramı mevcuttur.
KVKK kapsamınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmaktadır. GDPR’ da ise böyle bir kayıt bilgi sistemine kayıt zorunluluğu bulunmamaktadır.
KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmiştir. GDPR kapsamında cezai yaptırım yıllık küresel cironun yüzde 4’üne ya da 20.000.000 Euro olarak belirlenmiştir.
Daha detaylı bir bilgi alabilmek için aşağıdaki formu doldurup tarafımızla iletişime geçebilirsiniz.