11 Nisan

Kişisel Verilerin Korunması Kanunu Nedir?



Kişisel Verilerin Korunması Kanunu bir şekilde herkesin dilinde ve gündeminde. Bu kapsamda KVKK (Kişisel Verileri Koruma Kurumu) nedir, kanuna dair örnekler neler ve niçin önemli gibi soruların yanıtları da oldukça merak ediliyor. Peki KVKK nedir, kanunda adı geçen "kişisel veri" ne demek? Kişisel veriler nasıl işleniyor? Hepsi ve daha fazlası hakkında merak ettiklerini senin için derledik! Sen de veri çağının bu önemli konusu hakkında bilinç kazanmak için incelemelere başlayabilirsin fakat unutma: Bu genel bilgilendirme amaçlı yazımız dışında kanunun tam metnini 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede bulabilirsin.

Kişisel Veri Nedir?



Öncelikle kanunda adı geçen kişisel veri nedir ona bakalım. Kişisel veri, yalnızca bireylerin adları, soyadları, doğum tarihleri, doğum yerleri ile sınırlı değil. Bunlar da dâhil olmak üzere bireylerin fiziksel, ekonomik, sosyal, ailevi ve benzeri özellikleri, durumları, bilgileri de kişisel veriler içerisinde yer alıyor. Özetle kimliği belirli veya belirlenebilir tüm gerçek kişilere dair her tür bilgi kişisel veri olarak kabul edilebiliyor. Yani gerçek kişiler ile ilgili veriler; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyorsa bunlar kişisel veriler grubunda yer alıyor. Bu başlığın son parçası olarak kişisel verilere örnek vermek gerekirse: İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, görüntü ve ses kaydı, parmak izi, genetik bilgiler kişiyi belirlenebilir kılabildiği için kişisel verilerdir.


Kişisel Verilerin Korunması Kanunu Tarihçesi



Kişisel Verilerin Korunması Kanunu ne zaman yürürlüğe girmiştir? 6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisinde kabul edildi. Kanun daha sonrasında ise 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlandı.

Kanunun Amacı Nedir?



6698 sayılı kanun olarak da bilinen Kişisel Verilerin Korunması Kanunu'nun amacı Resmi Gazetede net bir şekilde ifade ediliyor. Buna göre amaç: "Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." şeklinde aktarılıyor. Kanunun birinci bölümünün ilk maddesini oluşturan amaç bu şekilde tarif ediliyor. Bireylerin temel hak ve özgürlüklerinin korunmasını esas alan kanun, böylece kişisel verileri işleyecek gerçek ve tüzel kişilerin yükümlülüklerini, uyacakları usul ve esasları da belirtiyor.

Önemli Tanımlar



6698 sayılı Kişisel Verilerin Korunması Kanunu birden fazla tanımı da içeriyor. Bunlar kanunu daha kapsamlı bir şekilde anlayabilmek açısından son derece önemli. 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetenin "Tanımlar" başlığı altında paylaştığı bilgiler şu şekilde:

  • Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza.
  • Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hâle getirilmesi.
  • Başkan: Kişisel Verileri Koruma Kurumu (KVKK) Başkanı.
  • İlgili kişi: Kişisel verisi işlenen gerçek kişi.
  • Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Kişisel verilerin işlenmesi: Kişisel verilerin tamamen ya da kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her tür işlem.
  • Kurul: Kişisel Verileri Koruma Kurulu.
  • Kurum: Kişisel Verileri Koruma Kurumu (KVKK).
  • Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
  • Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
  • Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

 

Kişisel Veriler Neye Göre İşleniyor?



Kişisel Verilerin Korunması Kanunu genel ilkeleri, şartları vs. belirlediği için kişisel verileri işleyen gerçek veya tüzel kişilerin yükümlülükleri, uymaları gereken usul ve esaslar bulunuyor. Buna göre kişisel verilerin işlenmesinde 5 ilke var ve bunlara uymak zorunlu. Hukuka ve dürüstlük kurallarına uygun olma, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma bu 5 ilkenin ikisi. Verilerin işlenme şartındaki en önemli noktalarından biri de ilgili kişinin açık rızasının olması. İlgili kişinin açık rızası olmadan kişisel veriler işlenemiyor. Bununla beraber bu durumun belirli istisnaları var. Kanunlarda açıkça öngörülmesi, bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması gibi kanunda belirtilen şartlar varsa ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebiliyor.

Özel Nitelikli Kişisel Veri Nedir?



Kanunda "özel nitelikli kişisel veri" kavramı da yer alıyor ve bu kavram ikinci bölümün altıncı maddesinde ayrıca anlatılıyor. Buna göre özel nitelikli kişisel veri nedir diye soruyorsan sorunun yanıtı şu şekilde: "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir." Özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi ise kanuna göre yasak. Bununla beraber bu bölümde yer alan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâller dâhilinde ilgilinin açık rızası olmaksızın işlenebiliyor. Sağlık ve cinsel hayata dair kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası olmaksızın işlenebiliyor.

Kişisel Verisi İşlenen Gerçek Kişinin Hakları Neler?



Bu kanun içerisinde sunulan hakları da mutlaka öğrenmelisin. Üçüncü Bölümde "Haklar ve Yükümlülükler" başlığı altındaki 11. madde ilgili kişinin haklarından oluşuyor. İlgili kişi, demin de dediğimiz gibi kişisel verisi işlenen gerçek kişiyi ifade ediyor. Peki kişisel verisi işlenen gerçek kişinin kanunda yer alan hakları neler? Veri sorumlusuna başvurarak herkes kendisi ile ilgili çeşitli taleplerde, isteklerde bulunabiliyor. Burada önemli bir nokta olarak öncelikle "veri sorumlusu" ile "veri işleyen" kimdir, nedir ona da bir bakalım. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetki ile onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. Bir örnek: Bir muhasebe şirketi, kendi personeline yönelik tuttuğu veriler açısından veri sorumlusudur. Aynı muhasebe şirketi kendi müşterisi olan şirketlere ilişkin tuttuğu veriler açısından ise veri işleyendir. Yani bu muhasebe şirketinde çalışan personel, çalıştığı şirketten veri sorumlusu olarak çeşitli taleplerde bulunabilir. Bu talep ve istekler haklar anlamına geliyor Bu haklar neler mi?

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Yedinci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini ya da yok edilmesini isteme,
  • (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Kişisel Veri Örnekleri



Kişisel veri örnekleri içerisinde yukarıda da bahsettiğimiz isim, soyisim, doğum tarihi, doğum yeri gibi birey hakkında çok belirleyici unsurların yanı sıra farklı bilgiler de yer alabilir. Kanunda da kişisel veriler sınırlı sayma yolu ile belirlenmemiştir. Bu ne demek? Yani, her somut olayın durumuna ve özelliğine göre kişisel verinin kapsamı genişletilebilir. Bu açıdan kişinin kimlik kartındaki bilgiler gibi yaygın kişisel veri örneklerinin yanı sıra farklı bilgiler de bu kapsama girebilir. Bunlardan bazılarını örnek olarak sıralayalım:

  • Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri, bireylerin tanınabilir olması halinde kişisel veri kapsamına girebilir.
  • Telefon bankacılığında; müşterinin ses kaydı kişisel veri olarak kabul edilebilir.
  • Bir velayet davasında, çocuğa kendi ailesine yönelik olarak yaptırılan çizim de kişisel veri kabul edilebilir. Bunun nedeni; söz konusu çizimde çocuğun kendi ailesine karşı duygularının tespit edilebileceğidir. Ek olarak çocuğa yaptırılan bu çizimde anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi kabul edilebilir.
  • Bir e-ticaret sitesinden alışveriş yapan kişinin ad, soyad ve kargo için paylaştığı adres bilgileri kişisel verilerdir.
  • Takma isim, lakap vs. tek başına ya da başka kaynaklar ile birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise kişisel veri kabul edilir.

 

Kişisel Verilerin Korunması Kanunu'na Uymayan Örnekler



Kişisel Verilerin Korunması Kanunu verilerin nasıl, ne kadar süre ile vs. işlenebileceğini yönelik de tarifleri çok net bir şekilde yapıyor. Kanunun ikinci bölümünde "Genel İlkeler" yer alıyor ve burada kişisel verilerin hangi usul ve esaslara göre işlenebileceği açıkça belirtiliyor. Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve son olarak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 5 genel ilkeyi oluşturuyor. Örnekler ile ilerleyelim:

  • Bir e-ticaret sitesi, kendi web sitesinde alışveriş yapan kişinin ad, soyad ve kargo için paylaştığı adres bilgilerini işleyebilir. Bu, meşru amaç kapsamındadır. Fakat e-ticaret sitesi aynı kişinin anne kızlık soyadını ya da kan grubu bilgisini işleyemez.
  • Bir gerçek kişi, kredi kartı başvurusunda bulundu. Bu kişiden sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırı.
  • Bir benzin istasyonu belli sürede belli miktarda benzin alanlara yönelik ödüllü bir kampanya yapıyor. Yalnızca kampanyaya katılım için topladığı isim ve araç plaka bilgilerini kampanya bitiminde silmesi gerekiyor.