Kişisel Verilerin Korunması Kanunu Nedir

ve Sorumluluklarımız Nelerdir?

 

Kişisel Verilerin Korunması Kanunu (KVKK) nedir, hangi tarihte yürürlüğe girdi,

bu kanunun amacı ve kapsamı nasıldır gibi soruların cevabını bu içeriğimizde bulabilirsiniz.

Öncelikle veri kavramını açıklayarak konuya başlamak istiyoruz.

 

 

 

 

 

Bilgi insan aklının alabileceği gerçek, olgu ve ilkelerin tümüne verilen isimdir. Bilgi tarih boyunca en önemli varlıklarımız arasında gelmiştir.

Zenginliğin, bilgeliğin ve en önemlisi teknolojinin en büyük kaynağı olmuştur. Bin yıl önce de bilgi vardı bugün de var. Aynı şekilde bin yıl

önce de bilgiyi korumak için kurallar koyduğumuz gibi bugün de bilgiyi korumak için kanunlarımız, kurallarımız ve standartlar geliştirmekteyiz.

nsan tarihi boyunca bilgi hep önemli olmuştur.

 

Aynı şekilde bilgi bir kurumun en önemli varlıkları arasında gelir. Kurumlar sahip olduğu bilgiyi derler, paylaşır, satar veya bir ürün, bir hizmet

elde etmek için kullanırlar. Bilgiye erişim mümkün olmadığında veya kurumların üretmiş olduğu değer ve ürünler için gerekli olan bilgi çalındığında,

değiştirildiğinde kurumlar zarar görmektedir.

 

Bilgi bazen masamızın üzerinde, bazen kitaplarda, bazen kağıtlarda, bazen ise özel olarak tasarlanan sistemlerde saklanmaktadır. En önemlisi de

bilgi çalışanların aklındadır. Bu sebeple bilgi hangi ortamda olursa olsun gerektiği şekilde korunmak zorundadır.

 

Yirminci yüzyılın ortalarından itibaren iletişim ve teknoloji alanlarındaki yaşanan gelişmeler sayesinde bilginin elde edilmesi kolaylaşmıştır.

Aynı şekilde bilgi çalmak, zarar vermek veyahut paylaşmak isteyen kötü niyetli kişiler için de bilgiye erişim çok daha kolay bir hale gelmiştir.

 

Bilgi içinde bulunduğumuz teknoloji çağının en önemli sermayesidir.

 

Bugün ülkeler, kurumlar, şirketler hatta bireyler iş veya eğlence araçları nedeniyle hızla dijitalleşmeye başlamış, ardından da bilgi herkes için çok

daha önemli bir hale gelmiştir.

 

Bilgiye erişim kolaylaştıkça kötü niyetli kişilerin dikkatini çekmiş, bilginin değeri arttıkça da saldırıların artmasına sebep olmuştur. Teknoloji bilgiye

erişimimizi çok daha kolay bir hale getirdiği gibi, saldırganların da yeni teknikler ve yeni metotlar kullanabilmesine olanak sağlamıştır.

 

 

Veriyi Hangi Ortamda Olursa Olsun Korumak Zorundayız!

 

Hem kamu hem de özel kurum ve kuruluşlar, bir hizmetin veya ürünün piyasaya sürülebilmesi için uzun bir süredir kişisel veri niteliğindeki bilgileri

toplamakta, satmakta veya paylaşmaktaydılar. Ancak kişilerin temel hak ve özgürlükleri kapsamında veri işleme süresince verinin korunması öncelikli olmalıdır.

 

Kurumların vermiş oldukları hizmetlerin sürdürülmesi, kamu hizmetlerinin etkin bir şekilde halka arz edilmesi, mal ve hizmetlerin geliştirilmesi,

dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz bir hale gelmiştir.

 

Bu veriler toplanırken de kişisel verilerin sınırsız ve gelişigüzel olması sebepleri, yetkisiz kişilerin erişimine açılmasının, ifşasının, amaç dışında

ya da kötüye kullanımı sonucunda kişisel hakların ihlal edilmesinin de önüne geçilmesi kişisel hak ve özgürlüklerimiz noktasında zorunlu olmalıdır.

 

Bu sebeple Avrupa Konseyi tarafından bir süre önce tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin

belirlenmesi amacıyla “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde

imzaya açılmış ve ülkemiz tarafından da Avrupa Birliği Üyelik Kapsamı dahilinde imzalanmıştır.

 

Bu sözleşme son olarak 17 Mart 2016 tarihinde Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir.

 

 

Kişisel Verilerin Korunması Hakkı Nedir?

 

2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine belirtildiği gibi temel bir hak olarak

düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Aynı şekilde kişisel verilerin

korunmasına ilişkin hak Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Avrupa Birliğine uyum kapsamında

hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edildi.

 

 

KVKK Ne Zaman Yürürlüğe Girdi?

 

Söz konusu olan KVKK kanun metini 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677

sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

 

 

KVKK Nedir?

 

KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza

girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süredir tasarı

halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir.  Bu sayede kişisel verilerin işlenmesinden

tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları

kurallar belirlenmiştir.

 

 

Kişisel Verilerin Korunması 6698 Sayılı Kanununun Amacı Nedir?

 

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemizin ihtiyaçları göz önüne alınması için hazırlanan bu kanun ile kişisel verilerin çağdaş

standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel

verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması

ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz

kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.

 

 

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

 

KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin

parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını

işleyen herkesi bu kanun kapsamaktadır.

Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel

verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini

gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler

Kanunun kapsamı dışında tutulmuştur.

 

 

Kişisel Verilerin Korunması

 

Kişisel verilerin korunması denildiğinde ilk olarak kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması

amaçlanmaktadır. Aslında kişisel verilerin korunması demek temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktır.

Kanundaki ifadelere göre; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden

doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

 

 

Kişisel Verinin Tanımı Nedir?

 

Bu ifadelere göre “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için,

verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Yani saklanan veya işlenen veride kişinin

net olarak belirtilmiş olması şartı vardır.

 

Örnek vermek gerekirse, Siber Güvenlik Uzmanı Ali Berk – [email protected] Bu örneğe baktığımız zaman unvan bilgisi, ad, soyad ve e-posta birlikte

yer aldığı için tek bir kişiyi işaret ettiğini net olarak söyleyebiliriz.

 

Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi

gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

 

Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte,

herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamaktadır.

 

Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan

bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak

izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak

belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

 

Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde

kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek

kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları,

resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup,

davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir.

 

Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?

 

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden

olabilecek nitelikteki verilerdir. Özel nitelikli kişisel verilere örnek vermek gerekirse; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,

mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili

verileri ile biyometrik ve genetik veriler şeklinde sıralayabiliriz. Bu duruma göre hassas nitelikteki kişisel veriler genel olarak birçok sektörü sorumlu tutmaktadır.

 

 

Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir?

 

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde

edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde

edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Örneğin, kişisel verilerin sadece bir diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

Yani kişisel veriyi depolamak da kişisel verilerin işlenmesi anlamına gelmektedir.

 

Çerez Kullanımı