Faaliyet Alanlarımız

Kişisel Verilerin Korunması Hukuku

Kişisel Verilerin Korunması Hukuku

Kvkk Hukuku

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), özel hayatın gizliliğini esas alarak kişisel verilerin işlenmesinin disiplin altına alınmasına ilişkin kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleyen kanundur.

Kişisel Verilerin Korunması Kanunu (KVKK) 

Dünyada ve ülkemizdeki dijital dönüşüm ile verilerimizin güvenliği, hukuk açısından en önemli problemlerden biri haline geldi.

Bu sebeple Kişisel veriler ve ticari iletişim gibi konularda kanun üretilmesi ve yeni hukukun oluşturulması konusunda çalışmalar yapılması kaçınılmaz olmuştur.

Bu çalışmaların en önemlilerinden biri bizi yakından ilgilendiriyor: “KVKK”

KVKK Uyum Süreci çalışmaları Hukuki ve İdari Hizmetler ve Siber Güvenlik Teknik Hizmetleri olmak üzere iki aşamadan oluşur.

KVKK Uyum Süreci Projeleri, kurum iç işleyişinin tespiti, eksikliklerin belirlenerek çözüm stratejilerinin sunulması ve uyumlu hale getirilmesi için hukuki ve teknik kısımların tamamlanmasını kapsamaktadır.

KVKK’nın Amacı Nedir?

Özel hayatın gizliliği olmak üzere kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemektir.

 KVKK’nın Yürürlülüğe Giriş Tarihleri Nelerdir?

Kanun, 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiş olup 7 Nisan 2018 tarihinde geçiş süreci sona ererek tüm işlenen kişisel verilerin Kanuna tam uygun hale gelmesi gerekmektedir.

 KVKK Kimleri Kapsar?

Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Veri Nedir?

Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan bilgilerdir.

Örnek: Adı, soyadı, doğum tarihi, doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü, ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi bilgiler özel nitelikli kişisel veridir.

Özel Nitelikli Kişisel Veri Nedir?

Özel Nitelikli Kişisel Veri, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.

Örnek: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler gibi bilgiler özel nitelikli kişisel veridir.

Kişisel Verilerin İşlenmesi Ne Demektir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Verilerin Korunması Neden Önemlidir?

2003 yılına kadar kayıt altına alınmış toplam veri miktarı 5 Milyar gigabayttır. Bu veri 2012 yılında her iki günde günümüzde ise saniyeleri içerisinde üretilmektedir. Bu nedenle devir “Big Data (büyük veri)” dönemidir.

Bu durum kişisel verilerin ekonomi, sosyal yaşam, eğitim, savunma gibi birçok alanda iyi ya da kötü niyetle ile her gerçek ve tüzel kişi ve hatta her akıllı nesneler tarafından kullanılmaya açık olduğunu gösterir.

Özetle, günümüzde kişisel verilerin korunması ekstra bir yükümlülük değil, toplum düzeni için olmazsa olmaz bir husus olarak görülmelidir.

Kanunun İstisnaları Nelerdir?

KVKK ve GDPR’ın (Avrupa Birliği Veri Koruma Tüzüğü) asıl amacı, veriyi minimize etme yani işleyişi aksatmayacak kadar veri işlenmesini sağlamaktır.

KVKK, bu anlamda veri işlemenin temel koşulunu ‘açık rıza’ olarak belirleyerek zorlayıcı sınırlamalar koymuştur. Ancak kanun, her faaliyet için açık rıza almak iş akışını durduracağı gerçeğinden dolayı açık rıza olmaksızın veri işlenebilir istisnalarını beraberinde getirmiştir.

Veri işlemenin; kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması bu istisnalardan bazılarıdır.

Açık Rıza Nedir? Zorunlu Mudur?

Açık Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Örneğin, bir alışveriş mağazasının müşterisine indirim kartı almasını teklif etmesi, kartı alması durumunda yararlanacağı avantajlardan bahsetmesi, mağazanın hangi verilerinizi, hangi amaçlar ile ve hangi süreyle saklayacağını size bildirmesi ve karşılığında veri işleme faaliyetinin gerçekleştirilebilmesi için müşterinin verdiği onay açık rızadır.

Açık Rıza, KVKK ile birlikte kanunun istisnaları hariç zorunludur.

Veri Sorumluları Siciline Kişisel Veri İşlenecek Midir?

Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmaz.

VERBİS sistemine, ilgili kişilerin kişisel verileri işlenmez. Başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilir.

Bu nedenle, VERBİS kesinlikle kişisel veri içermez ve dolayısıyla kişisel verilerin kamuya ifşa edilmesi söz konusu olmaz.

VERBİS’te, ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanma zorunluluğundan dolayı; veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi yer alır.

Yaptırımları Uygulama Yetkisi Kimdedir?

Veri ihlallerini, resen veya şikayet üzerine tespit ederek Kanunda yer verilen yaptırımları uygulayacak olan otorite, idari ve mali özerkliğe sahip ve Başbakanlığa bağlı olarak kurulmuş olan Kişisel Verileri Koruma Kurumu’dur.

Kurum, Kişisel Verileri Koruma Kurulu karar organlarıyla birlikte 175 üyeden oluşur.

Kurum aynı zamanda, bünyesinde devletten maaş almayan ve kesilen ceza tutarınca prim usulü çalışan 4.000 denetçi ile hizmet verir.

Bu Kurulun başlıca görevi; şikâyetleri karara bağlamak ve kişisel verilerin Kanun’a uygun olarak işlenip işlenmediğini kontrol ederek gerekirse geçici önlem ve idari yaptırımlara karar vermektir.

KVKK Hayatımızda Doğrudan Neyi Değiştirdi ve Değiştirmeye Devam Edecek?

KVKK ile birlikte; Kişisel veri işleyen gerçek ve tüzel kişilikler ve bunlarla bağlantılı olarak akıllı nesnelerin veri işleme süreçleri baştan sona kontrol edilerek yeniden planlanması kaçınılmaz bir hale gelmiştir.

Özellikle özel sektör tüzel kişiliklerinin bu süreci görmezden gelmeden hızla işleyişlerine dâhil etmeleri ve faaliyetlerini kanuna uygun hale getirmeleri gerekmektedir.

Veri Sorumlusu/Veri İşleyenlerin Alabileceği Önlemler Nelerdir?

Veri sorumluları ve veri işleyenlerin kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazası için alması gereken bazı teknik ve idari tedbirler bulunmaktadır.

Bu tedbirler ile işlenmekte olan verilerin muhtemel siber saldırılara karşı korunması amaçlanmıştır.

İdari tedbirlerden bazıları; çalışanların bilinçlendirilmesi için yapılacak farkındalık eğitimleri, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi ve veri işleyenler ile ilişkilerin düzenlenmesidir.

Bu kapsamda; veri işleyenler ile ilişkilerin düzenlenmesi özellikle önem arz etmektedir.

Veri işleyenler ile veri sorumluları idari ve teknik tedbirlerin alınması konusunda müştereken sorumludurlar.

İdari tedbirler haricinde kişisel veri içeren ortamların güvenliğinin sağlanması, siber güvenliğin sağlanması ve kişisel verilerin dijital ortamda yedeklenmesi de veri sorumluları ile veri işleyenlerin alabileceği güvenlik önlemlerinden bazılarıdır.