Kişisel Verilerin Korunması Kanunu’na Genel Bakış
KVKK Nedir?
Teknoloji ve internet çağının yaygınlaşmasıyla beraber kişisel veri, kişisel verilerin aktarılması ve korunması gibi kavramlar hayatımıza girmiştir. Kişisel verilerin aktarılması sırasında mağduriyetlerin doğması Kişisel Verilerin Korunması Kanunu’na (KVKK) ihtiyaç duyulmasına neden olmuştur.7 Nisan 2016 tarihinde yürürlüğe giren KVKK, kurum ve şirketlere büyük sorumluluklar yüklemektedir. Kanun, verilerin kim tarafından hangi amaçlarla toplanacağını, nasıl kullanılıp imha edileceğini ve kişisel verilerin kimlere ne şekilde aktarılacağına ilişkin tüm işlemleri detaylı olarak regüle etmektedir.
Kişisel Veri Nedir?
Ulusal ve uluslararası birçok hukuki düzenlemede belirtildiği üzere, kişisel veri, kimliği belirli ya da belirlenebilir nitelikteki bir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veriyle kişisel olmayan veriyi birbirinden ayırmak için iki ölçüt esastır. Kişisel veriden söz edebilmek için verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli veya belirlenebilir nitelikte olması gerekir. Kişisel veriler, kişinin adı soyadı, vatandaşlık numarası, adresi, iletişim bilgisi, finans bilgisi şeklinde sıralanabilir.
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veri öğrenilmesi halinde kişiyi mağdur edebilecek veya kişiye karşı ayrımcılık yapılmasına sebebiyet verebilecek veridir. KVKK 6.maddesinde özel nitelikte veriler “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler” şeklinde sayılmıştır.
Kanun Kapsamında Sorumlular Kimlerdir? Veri Sorumlusu ve Veri İşleyen Kimdir?
KVKK, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. KVKK’da kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. KVKK’nın belirlediği usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu KVKK hükümleri uygulanacaktır. Veri sorumlusu kavramı kanunda tanımlandığı üzere “kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi “ ifade eder. Veri işleyen kavramı ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.
Kişisel Verilerin İşlenmesi Nasıl Olmalıdır?
Kişisel verilerin sisteme işlenmesi her şeyden evvel dürüstlük kuralına ve 6698 Sayılı KVKK kapsamında öngörülen usul ve esaslara uygun işlenmek zorundadır. Güncel ve şeffaf olan veriler, işlenme amaçlarından sapmadan sınırlı ve ölçülü olarak işlenmelidir. Kişisel veriler ihtiyaç duyulan süre boyunca sistemde tutulmalıdır. Burada asıl önemli olan husus, verileri işlenen kişinin bu duruma açık rıza vermiş olması halinde kişisel verilerinin işlenmesidir. Ancak istisnai olarak KVKK 5.maddesinde sayılan sınırlı hallerin varlığı halinde kişinin açık rızası alınmadan kişisel verileri işlenebilir.
KVKK’nda sınırlı olarak sayılan ve açık rıza alınması zorunluluğuna istisna getiren haller ise aşağıdaki gibidir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
KVKK Yaptırımları ve Cezaları Nelerdir?
Kanun kapsamında yer ala tüm kurum ve kuruluşların Kişisel Verileri Koruma Kurumu’nun belirlediği tarihler içerisinde,Veri Sorumluları Sicil Bilgi Sistemi’ne(VERBİS) kayıt yaptırma zorunluluğu vardır. Sisteme, hangi kişisel verilerin hangi amaçlarla alındığını, hangi hukuki sebeplerle ve ne kadar süre ile saklanacağı gibi hususlar kaydedilmek zorundadır. Bu yükümlülüğünün yerine getirilmemesi halinde KVKK kapsamında idari para ve/veya hapis cezaları düzenlenmiştir.
6698 Sayısı KVKK ile getirilen ağır cezalar şöyle belirlenmiştir:
İdari Para Cezaları
- KVKK’nun 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenlere 9.013 Türk Lirasından 180.264 Türk Lirasına kadar,
- KVKK’nun 12. maddesinde düzenlenen veri güvenliğine karşı yükümlülüklerini yerine getirmeyenler 27.040 Türk Lirasından 1.802.641 Türk Lirasına kadar,
- KVKK’nun 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenlere 45.066 Türk lirasından 1.802.641 Türk lirasına kadar,
- KVKK’nun 16. maddesinde düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilir.
Hapis Cezaları
- Kişisel verileri hukuka aykırı olarak kaydetme suçunu işleyenlere 1-3 yıl arasında,
- Kişisel verileri hukuka aykırı olarak verme ve/veya ele geçirme suçunu işleyenlere 2-4 yıl arasında,
- Kişisel verileri yok etmeme suçu işleyenlere 1-2 yıl arasında hapis cezası verilir.