Teknoloji ve dijitalleşmenin yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.
TBMM’de yasalaştırılan Kişisel Verilerin Korunması Kanunu “kişisel verilere” ilişkin düzenlemeler getirmiştir.
Kanun, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun verilerin kim tarafından, hangi amaçlara yönelik toplanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.
AB Genel Veri Koruma Regülasyonu (GDPR - General Data Protection Regulation) düzenlemesine paralel kısaltması KVKK olan Kişisel Verilerin Korunması Kanunu yayınlanarak Türkiye’de de kişisel verilerin toplanması, işlenmesi ve silinmesine ilişkin regülasyonlar getirilmiştir.
6698 Sayısı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Resmi Gazete yayınına buradan ulaşabilirsiniz.
6698 Sayısı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, kanun, kurumlara ve işletme sahiplerine ciddi idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur.
Kanun, resmi kurumlar dahil, kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini kapsamaktadır. Gerçek kişi müşteriler, çalışanlar, ziyaretçilerin bilgileri kaydediliyor ve işleniyorsa KVKK kapsamındadır. Kanun kapsamındaki tüm kurum ve kuruluşlar, Kişisel Verileri Koruma Kurumu’nun (KVKK) belirlediği tarihler içerisinde kısa adı VERBİS olan “Veri Sorumluları Sicil Bilgi Sistemi”ne kayıt yaptırma zorunluluğu vardır.
VERBİS kaydı ile kurum ve işletmeler, hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmekle yükümlüdürler. Bu yükümlülüğünün yerine getirilmemesi halinde kanun, idari ve hapis cezası getirmiştir.
6698 Sayısı KVKK ile getirilen ağır cezalar şöyle belirlenmiştir:
Bu arada, kanunda belirtilen “özel nitelikli veriler” işlendiğinde cezaların 1,5 kat, işlenen veriler Ceza Muhakemeleri Kanunu (CMK) kapsamında ise 2 kat artırılması ön görülmüştür.
Cezalar her yıl enflasyona göre güncellenmektedir.
Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle gündeme gelen önemli kavramlardan birisi de “açık rıza” oldu. Kanun’un 3. Maddesi “Açık Rıza”yı şöyle tanımlamıştır: “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”
Açık rıza ile kişi, sahip olduğu verinin işlenmesine kendi isteği ile onay vermiş sayılır. Yine açık rıza ilgili kişi, işlenmesine izin verdiği verinin hangi sınırlarda, hangi kapsamda, hangi sürede ve biçimde kullanılacağının sınırlarını da belirlemiş olur.
KVKK’ya göre açık rıza beyanının yazılı alınması zorunluluğu olmadığı gibi, elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür. Kanun ispat yükümlülüğünü “Veri Sorumlusu”na getirmiştir.
Kanun’un açık rıza tanımından anlaşılacağı üzere “açık rıza”nın belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması zorunludur.
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğu için, kişi verdiği açık rızayı geri alabilir. Kişisel verinin geleceğini belirleme hakkı ilgili kişiye ait olduğu için, kişi istediği an veri sorumlusuna verdiği açık rızasını geri çekebilir. Burada önemli olan konu, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
Açık Rıza ile ilgili ayrıntılı bilgi için KVKK resmi web sitesinde bu sayfayı ziyaret edebilirsiniz.
Kişisel Verilerin Korunması Kanunu, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki gerekçelerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği konusunda bilgi edinme hakkı tanımıştır. Kanun “Aydınlatma Yükümlülüğü”nü veri sorumlusuna getirmiştir.
Veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat ya da yetkilendirdiği kişi aracılığıyla, “Veri sorumlusunun ve varsa temsilcisinin kimliği; kişisel verilerin hangi amaçla işleneceği; kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan diğer hakları” ilgili kişiye sağlamakla yükümlüdür.
Kanun, ilgili kişinin, kişisel verisinin işlendiği her durumda aydınlatılmasını zorunlu kılmıştır. Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esasları buradan inceleyebilirsiniz.
Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin KVKK rehberini ise buradan inceleyebilirsiniz.
Kişisel Verilerin Korunması Kanunu kapsamında yayınlanan “Veri Sorumluları Sicili Hakkında Yönetmelik” ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereği veri sorumlularınca kişisel veri işleme envanteri hazırlanması zorunluluğu getirilmiştir.
Bu zorunluluk kapsamında Kişisel Verileri Koruma Kurumu, işletme ve kurumlara yol göstermek amacıyla, veri sorumlularına iyi uygulama örneklerini sunmak amacıyla “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” oluşturmuştur. Kurum, ilgili rehberi resmi web sitesi üzerinde yayınlamıştır.
İlgili rehbere buradan ulaşabilirsiniz.
Kişisel Verileri Koruma Kurulu, veri sorumlularını yükümlü kıldığı kişisel veri işleme envanteri hazırlanmasına ilişkin usulleri düzenlerken, “Kişisel Veri İşleme Envanter Örneği” de hazırlayarak veri sorumlularına yol göstermiştir.
KVKK resmi web sitesinde yayınlanan envanter örneğine buradan ulaşabilir ve inceleyebilirsiniz.
Kişisel Verilerin Korunması Kanunu’na göre veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir “irtibat kişisi” atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.
Söz konusu irtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. Kanuna göre, İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Veri sorumlusu eğer bir kamu kurumu ise, Kanunun uygulanmasıyla ilgili kamu kurumunda koordinasyonu sağlamak üzere belirlenerek Kurul’a bildirilen üst düzey yönetici tarafından, VERBİS’in hizmete açılması ve kayıt yükümlülüğünün başlaması akabinde ilgili yönetmeliğe göre VERBİS sistemine irtibat kişisi bilgi girişi yapılması gerekmektedir.
Veri Sorumluları Sicili Hakkında Yönetmelik’in 11 inci maddesine göre, veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.
Yurtdışında yerleşik tüzel kişi veri sorumluları, veri sorumlusu temsilcisi atadığına dair bir karar almalı ve kararın tasdikli örneğini bu veri sorumlusu temsilcisi aracılığıyla Kuruma sunmalıdır. Veri sorumlusu temsilcisi olduğuna dair yapılan görevlendirme, Kanun hükümleri uyarınca yurtdışında yerleşik veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
KVKK’ya göre, veri Sorumluları tarafından işlenen kişisel verilerin süresiz saklanması mümkün değildir. Kurumun ya da işletmenin belirlediği veri işlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Bu süreler, işletmelerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir.
Kanunlara göre kişisel verilerin işlenme süreleri bittikten sonra, ilk periyodik imha döneminde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir. Öte yandan, ilgili kişinin kişisel verilerinin işlenmesini istememesi ya da daha önce verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklenmeksizin imha edilmelidir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen ya da ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Kişisel Verileri Koruma Kurumu’nun hazırladığı ve resmi web sitesinde yayınladığı “KVKK Kişisel Veri Saklama ve İmha Politikası” usul ve esaslarını buradan inceleyebilirsiniz.
KVKK’ya göre, saklama süresi dolan kişisel veriler, saklama süresinin bitimini takip eden ilk periyodik imha zamanında imha edilir. Süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama sürelerinin sona ermesini takiben 180 gün içerisinde anonim hale getirilir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, 12. Maddede getirilen düzenleme ile kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlularına bir takım teknik ve idari tedbirler alma zorunluluğu getirmiştir.
Kişisel Verileri Koruma Kurulu, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Veri Güvenliği Rehberi hazırlanmış ve resmi web sitesinde yayınlamıştır.
İlgili rehbere buradan ulaşabilirsiniz.
Kişisel Verileri Koruma Kurulu, kişisel veri ihlali bildirim usul ve esaslarını belirleyerek 24 Ocak 2019 tarihinde resmi web sitesinde duyurmuştur. Bu duyuruyu buradan inceleyebilirsiniz.
Kurul, Kanun’un 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar vermiş ve duyurmuştur.
Kurul duyurusuna göre, Veri İhlali Bildirim formu yalnızca Veri Sorumlusu tarafından doldurulması gerekmektedir.
Şikayet ve İhbar içerikli başvuruların Kuruma yazılı olarak ya da kurumun şu internet adresinden iletilmesi gerekmektedir.
Ayrıca bildirimler için şu adresler de kullanılabilir:
Veri İhlali Bildirim Formu (İnternet)
Veri İhlali Bildirim Formu Kılavuzu
Veri İhlali Bildirim Formu (PDF)
AB Genel Veri Koruma Regülasyonu (GDPR - General Data Protection Regulation) ile Kişisel Verilerin Korunması Kanunu (KVKK) arasında bazı önemli farklar bulunmaktadır. GDPR'a, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları (lokasyonları) fark etmeksizin GDPR uyumluluğu ile yükümlülerdir.
Ayrıca, KVKK'da “veri sorumlusu” kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kurumu’na karşı sorumlu tutulurken, GDPR'da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda "veri kontrolörü" kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır.
KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmakla yükümlü iken, GDPR da böyle bir kayıt bilgi sisteminden söz edilmemektedir.
Bir diğer önemli fark ise cezai sorumluluk yönündendir. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmiştir. Oysa, GDPR kapsamında cezai yaptırım yıllık küresel cironun yüzde 4'üne ya da 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır.
