KVKK Nedir?

Dijitalleşme ile beraber kişisel verilerin korunması daha fazla önem kazanan bir konu haline geldi. Çünkü artık dijital alanda kimlik ve finans bilgileri gibi hassas verileri tek tıkla paylaşabiliyoruz. Bu da hem şirketler hem de kullanıcılar için kolaylık yaratmasının yanında riskleri de içinde barındırıyor. Peki, bu veriler nasıl korunuyor?

Türkiye'de kişisel verilerin korunmasını sağlamak amacıyla 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) bulunuyor. O halde gelin, kişisel verilerin işlenmesi ve korunması için hukuki sınırları belirleyen bu kanunu daha yakından tanıyalım.  

KVKK'nın Amacı ve Kapsamı

Açılımı Kişisel Verilerin Korunması Kanunu olan KVKK; 2016 yılında yürürlüğe giren, kişisel verilerin işlenmesi sırasında bireylerin temel hak ve özgürlüklerini korumayı, veri güvenliğini sağlamayı ve bu süreci yasal bir çerçeveye oturtmayı amaçlayan bir kanundur. 

Bu kanun ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruyacak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenir. Bu usul ve esaslara göre de Türkiye'de faaliyet gösteren tüm işletmeler; çalışanlarının, müşterilerinin ve iş ortaklarının kişisel verilerini KVKK'ya uygun şekilde işlemek zorundadır.

Kişisel Veri Nedir? KVKK Kapsamına Neler Girer?

Kanun kapsamında kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır. Yani bir kişinin kimliğini açıkça belirten veya açıkça belirtmese bile verilen bilgiden çıkarılabilir her türlü bilgi KVKK kapsamına girer. Buna göre de KVKK ile koruma altına alınan bazı önemli kişisel verileri şu şekilde sıralayabiliriz: 

• Kimlik bilgileri: Ad, soyad, doğum tarihi, T.C. kimlik numarası
• İletişim bilgileri: Telefon numarası, e-posta adresi, ikamet adresi
• Finansal bilgiler: Banka hesap bilgileri, kredi kartı numaraları
• Sağlık bilgileri: Hastalık geçmişi, test sonuçları
• Dijital veriler: IP adresleri,  sosyal medya hesap bilgileri
• Biyometrik veriler: Parmak izi, retina taraması, yüz tanıma verileri

Veri Sorumlusu Kimdir? Yükümlülükleri Nelerdir?

Veri sorumlusu; kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Kısacası kişilerden alınan bilgilerin güvenliğini sağlamak veri sorumlusuna aittir. Örneğin online bankacılık işlemleri sırasında müşterilerinden kimlik ve finansal bilgileri alan bir banka, bu bilgileri almasındaki gerekçeyi kullanıcılarına açıklama ve aldığı bilgileri güvenle saklama yükümlülüğü olduğu için aynı zamanda veri sorumlusudur. 

Veri sorumlusunun, kişisel verilerin işlenmesi ve korunması kapsamında tüm yükümlülükleri ise şu şekildedir: 

• Aydınlatma yükümlülüğü: Kişisel verilerin hangi amaçla işleneceği konusunda ilgili kişiyi bilgilendirmek
• Veri güvenliği tedbirleri: Kişisel verilerin güvenliğini sağlamak için teknik ve idari önlemler almak
• Veri sahiplerinin haklarını kullanmasını sağlamak: İlgili kişilerin verilerine erişim, düzeltme, silme gibi haklarını kullanmalarına imkan tanımak
• Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kaydı: Kişisel Verileri Koruma Kurumu tarafından yürütülen ve veri işleme faaliyetlerinin beyan edildiği Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmak

İlgili Kişinin Hakları Nelerdir?

Kanun kapsamında ilgili kişi, kişisel verileri işlenen gerçek kişi olarak tanımlanır. Yukarıdaki örneğe göre veri sorumlusu olan bankanın müşterileri de ilgili kişidir.

Kişisel verilerin işlenmesi ve korunması kapsamında ilgili kişilerin hakları ise şu şekildedir: 

• Bilgi talep etme: Kişisel verilerinin işlenip işlenmediğini, ne amaçla işlendiğini, verilerin aktarıldığı üçüncü kişileri ve amacına uygun kullanılıp kullanılmadığını öğrenme hakkı
• Düzeltme hakkı: Yanlış veya eksik işlenen verilerin düzeltilmesini isteme hakkı
• Silme hakkı: Kişisel verilerin kanuna aykırı olarak işlenmesi halinde silinmesini talep etme hakkı
• İtiraz hakkı: İşlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı
• Tazminat hakkı: Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkı

KVKK Aydınlatma Metni Nedir ve Nasıl Hazırlanır?

Veri sorumlusunun yükümlülüklerinden ve ilgili kişinin haklarından anlaşıldığı gibi kişisel verilerin işlenmesi için ilk olarak ilgili kişinin bu konuda bilgilendirilmesi gerekir. Bu nedenle de veri sorumluları, KVKK kapsamına uygun aydınlatma metni hazırlamalıdır. 

Aydınlatma metni; kişisel verilerin hangi amaçlarla işlendiğini, kimlere aktarıldığını ve ilgili kişilerin haklarını açıklayan bir belgedir. Bu belgede genel olarak yer alması gereken bilgiler ise şunlardır: 

• Veri sorumlusunun kimliği
• Kişisel verilerin işlenme amacı
• Verilerin kimlere ve hangi amaçlarla aktarılabileceği
• Veri toplama yöntemi ve hukuki dayanak
• İlgili kişinin KVKK kapsamındaki hakları

Tüm bu bilgilerin yer aldığı aydınlatma metni oluşturularak bu metnin, kişisel veriler paylaşılmadan önce bilgilendirilmesi için ilgili kişilerle paylaşılması ve izin alınması gerekir. İlgili kişiler, bu aydınlatmadan sonra izin verirse izin verdiği kişi ve kurumlar, kanunda yer alan esaslara göre kişisel verilerini işleyebilir. 

KVKK İhlalinin Cezaları Nelerdir?

Eğer kişisel verilerin işlenmesi ve korunması sürecinde kişi veya kurumlar, kanuna aykırı bir şekilde hareket ederse bu durumda idari para cezası ile karşılaşabilirler. İdari para cezası ise kabahatın türüne göre farklılaşır. KVKK kapsamında belirtilen ve kabahate göre değişen idari para cezaları ise şu şekildedir: 

• Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar,
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar, 
• Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ye kadar,
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası kesilebilir.

Şirketler KVKK'ya Nasıl Uyum Sağlar?

Kişisel verilerin işlenmesi ve korunması, şirketlerin dikkat etmesi gereken bir konudur. Aksi takdirde şirketler yaptırımlarla karşılaşabilir. Bu nedenle her şirketin hem çalışanları hem de müşterilerinin güvenliğini sağlaması için KVKK ile yükümlülükleri yerine getirmesi gerekir.

Şirketlerin kişisel verilerin işlenmesine ve korunmasına dair atması gereken adımları ise şu şekilde sıralamak mümkün: 

• Çalışanların KVKK konusunda bilinçlendirilmesi
• İşlenen kişisel verilerin detaylı bir envanterinin oluşturulması ve bu envanterin güvenliğinin sağlanması
• KVKK’ya uygun şekilde hazırlanmış aydınlatma metinlerinin çalışanlar ve müşterilerle paylaşılması
• Kişisel veri işleyen firmaların Veri Sorumluları Sicil Bilgi Sistemi'ne kaydolması
• KVKK uyumluluğunun sürekli olarak kontrol edilmesi ve güncellenmesi

Ayrıca bunlar dışında işçinin özlük bilgilerini alan işverenin, bu verileri hukuka uygun bir şekilde saklama sorumluluğu bulunur. Bu durum ise 4857 Sayılı İş Kanununun 75. maddesinde “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” şeklinde belirtilir. İşveren, bu yükümlülüğü yerine getirmediği takdirde işçi, KVKK’ya bağlı haklarını kullanabileceği gibi iş akdini haklı nedenle feshedebilir. Haklı fesih hakkında daha detaylı bilgi için “Haklı Fesih Nedir?” yazımızı okuyabilirsiniz. 

Ancak böyle bir durumda dikkat edilmesi gereken bir diğer konu ise işten çıkış kodudur. Çünkü işçi, haklı bir nedenle işten ayrılsa bile işveren işten çıkışı normal istifa olarak kodlaması halinde işçi, işsizlik ödeneği ve kıdem tazminatı gibi haklarını alamaz. Bu nedenle işten çıkış sürecinden bu kodun doğru girildiğine dikkat etmek oldukça önemli. “Peki, işten çıkış kodu değiştirilir mi?” diye merak ediyorsanız değiştirme süreci ile ilgili detayları keşfetmek için “İşten Çıkış Kodunun Değiştirilmesi” yazımızı okuyabilirsiniz. 

KVKK ile İlgili Sıkça Sorulan Sorular

Son olarak KVKK ilgili merak edilen soruları cevaplayalım. 

KVKK nedir ve neden önemlidir?

KVKK, kişisel verilerin korunmasını sağlamak ve bireylerin haklarını güvence altına almak için oluşturulmuş bir kanundur. Dijitalleşen dünyada kişisel verilerin kötüye kullanımını önlemek açısından büyük önem taşır.

Kişisel veri nedir ve KVKK kapsamında neler korunur?

Kişisel veri, belirli veya belirlenebilir bir kişiye ait tüm bilgilerdir. Kimlik bilgileri, iletişim bilgileri, sağlık verileri ve biyometrik veriler gibi kişisel veriler KVKK kapsamında korunur.

Veri sorumlusunun görevleri nelerdir?

Veri sorumlusu, kişisel verilerin işlenme sürecini belirleyen ve yasal gereklilikleri yerine getiren kişi veya kuruluştur. Aydınlatma yükümlülüğü, güvenlik önlemleri ve VERBİS kaydı gibi sorumlulukları bulunur. 

KVKK aydınlatma metni neden gereklidir ve nasıl hazırlanır?

Aydınlatma metni, bireylere kişisel verilerinin nasıl işlendiğini açıklayan yasal bir belgedir. Şeffaflık sağlamak, kişilerden kişisel verilerin işlenmesine dair rıza almak ve hukuki uyumluluğu korumak için veri sorumlusu tarafından hazırlanması gerekir.

KVKK ihlali durumunda neler yapılmalıdır?

KVKK ihlali durumunda Kişisel Verileri Koruma Kurulu’na bildirimde bulunarak şikayet oluşturulabilir. Ayrıca zarar gören bireyler, yasal haklarını kullanarak tazminat talep edebilir.