Kişisel Verilerin Korunması Hukuku (KVKK): Türkiye’de Veri Mahremiyetinin Hukuki Çerçevesi
Kişisel Verilerin Korunması Hukuku Nedir?
Kişisel verilerin korunması hukuku, bireylerin kişisel verilerinin işlenmesi ve korunması ile ilgili kuralları belirleyen bir hukuk dalıdır. Bu hukuk, bireylerin özel hayatlarının gizliliğini güvence altına almayı ve kişisel verilerin, yetkisiz kişiler tarafından erişilmesini veya kullanılmasını önlemeyi amaçlar. Kişisel veriler, bireyin adı, soyadı, kimlik numarası, irtibat bilgileri gibi kimliğini belirleyen her türlü bilgiyi kapsar. Bu bağlamda, KVKK, veri sahiplerinin haklarını korumak ve veri işleme faaliyetlerini düzenlemek için hukuki bir çerçeve sunar.
Kişisel verilerin korunması hukuku, yalnızca bireylerin haklarının güvence altına alınmasını sağlamaz; aynı zamanda veri işleyen kurum ve kuruluşların yükümlülüklerini de belirler. Kurumların, kişisel verileri işlerken dikkat etmesi gereken etik ve hukuki standartlara uyması beklenir. Böylece, verilerin hukuka aykırı bir şekilde işlenmesi, kötüye kullanılması veya dağıtılması önlenir. KVKK'nın amacı, bireylerin kişisel verileri üzerindeki kontrolünü artırmak ve veri koruma ile ilgili uluslararası standartlarla uyumlu bir düzenleme yapmaktır.
KVKK'nın uluslararası ve ulusal düzeyde önemi, dijitalleşmenin hız kazandığı günümüzde bir kat daha artmaktadır. Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) gibi uluslararası düzenlemeler, kişisel verilerin korunmasına dair önemli örnekler sunmaktadır. Türkiye'de yürürlüğe giren KVKK, bu tür uluslararası normlarla uyum sağlama çabalarının bir parçasıdır ve Türkiye'deki bireylerin veri mahremiyeti hakkını güvence altına almayı hedefler.
6698 Sayılı KVKK’nın Amaç ve Kapsamı
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'deki kişisel verilerin korunmasına dair temel hukuki çerçeveyi oluşturur. Bu kanun, kişisel verilerin işlenmesi, saklanması ve korunmasına yönelik çeşitli düzenlemeleri içermektedir. KVKK'nın temel amacı, bireylerin kişisel verilerinin korunmasını sağlamak ve bu verilerin işlenmesi sürecinde bireylerin haklarını güvence altına almaktır. Bu doğrultuda, kanun, kişisel verilerin hangi şartlar altında işlenebileceğini belirlemekte ve veri sahiplerinin haklarıyla ilgili hükümler getirmektedir.
KVKK, yalnızca gerçek kişilere ait olan verilerin korunmasını hedeflemektedir. Kişisel veri tanımına, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi girmektedir. Bu bağlamda, kimlik bilgileri, iletişim bilgileri, sağlık bilgileri gibi pek çok farklı veri türü KVKK kapsamında korunmaktadır. Ayrıca, bu kanun, özel nitelikli kişisel verilerin, örneğin ırk, etnik köken, siyasi düşünce, dini veya felsefi inanç, sağlık durumu gibi hassas verilerin işlenmesine yönelik daha sıkı düzenlemeler içermektedir.
KVKK’nın kapsamı, yalnızca veri işleyen gerçek ve tüzel kişilerle sınırlı değildir; aynı zamanda, kişisel verilerin korunması konusunda asıl yükümlülüğe sahip olan kamu kurum ve kuruluşlarını da içine alır. Bu yönleriyle, KVKK, Türkiye’de veri mahremiyetinin sağlanmasına katkı sunarken, aynı zamanda Avrupa'daki veri koruma standartları ile uyum arayışının bir parçası olarak da değerlendirilmektedir. Sonuç olarak, 6698 sayılı KVKK, kişisel verilerin korunmasına dair önemli bir yasal düzenlemedir ve bireylerin veri güvenliği hakkını korumak üzere oluşturulmuştur.
Kişisel Veri Nedir?
Kişisel veri, belirli bir gerçek kişiyi doğrudan veya dolaylı olarak tanımlayan her türlü bilgidir. Bu bilgiler, ad-soyad, kimlik numarası, iletişim bilgileri gibi temel unsurları kapsarken, aynı zamanda daha karmaşık verileri de içerebilir. Örneğin, genetik bilgiler, sağlık durumu, coğrafi konum gibi veriler de kişisel veriler arasında yer alır. Kişisel verilerin korunması, bireylerin mahremiyetinin güvence altına alınması açısından kritik bir öneme sahip olup, aynı zamanda toplumsal güvenin tesisinde de etkili bir rol oynar.
Hangi Veriler Korunur?
Kişisel verilerin korunması, Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde düzenlenmiştir. Bu kanun kapsamında korunan veriler çeşitli kategorilere ayrılabilir. Özellikle fiziksel, biyometrik veya ruh haline dair bilgiler gibi hassas veriler, daha sıkı bir koruma gerektirir. Ayrıca, iletişim bilgileri ve maddi durum gibi genel veriler de korunma altındadır. Sosyal medya hesapları, çevrimiçi davranışlar ya da müşteri verileri gibi dijital ortamda toplanan kişisel veriler, günümüzde sıkça karşılaşılan veri ihlalleriyle birlikte koruma altına alınması gereken diğer önemli unsurları oluşturmaktadır.
Bir kişinin mahremiyetine yönelik tehditlerin artmasıyla birlikte, kişisel verilerin korunmasının önemi daha da belirgin hale gelmiştir. Özellikle siber saldırı ve veri ihlalleri, bireylerin finansal durumlarını etkileyebileceği gibi, sosyal hayatta da olumsuz sonuçlar doğurabilmektedir. Bu nedenle, kurumsal veya bireysel olarak, kişisel veri güvenliğine gereken önemin verilmesi gereklidir. Kişisel verilerin korunması, yalnızca hukuki bir gereklilik değil, aynı zamanda etik ve sosyal bir sorumluluktur.
Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, bireyler hakkında daha hassas bilgiler sunan ve bu nedenle korunması gereken veriler olarak tanımlanmaktadır. Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, bu tür veriler kişinin sağlık durumu, etnik kökeni, dini inancı, siyasi görüşü gibi alanları kapsamaktadır. Bu tür bilgiler, bireylerin mahremiyetinin ihlal edilmesi durumunda ciddi sonuçlar doğurabilir. Bu nedenle, özel nitelikli kişisel verilerin korunmasına dair özel düzenlemeler getirilmiştir.
KVKK, özel nitelikli kişisel verilerin işlenmesini ve korunmasını belirli şartlar altında mümkün kılmaktadır. Kanun, bu verilerin yalnızca açık rıza ile işlenebileceğini ya da hangi durumlarda işlenebileceğini sıkı bir şekilde tanımlamaktadır. Örneğin, bireyin sağlığına dair veriler yalnızca sağlık hizmeti sunucuları tarafından, ilgili bireyin izniyle toplanabilir ve işlenebilir. Ayrıca, bu tür verilerin güvenli bir şekilde saklanması ve işlenmesi için gerekli tedbirlerin alınması da zorunludur.
Veri Sorumlusu Kimdir? Aydınlatma Yükümlülüğü
KVKK çerçevesinde, veri sorumlusunun tanımı, kişisel verilerin işlenmesinde kritik bir rol oynamaktadır. Veri sorumlusunu, kişisel verileri işleyen ve bu işlemleri belirleyen gerçek veya tüzel kişi olarak tanımlayabiliriz. Bu tanım, veri sorumlusunun yalnızca bir veriyi saklama ya da kullanma değil, aynı zamanda bu kullanıma dair politikaları belirleme sorumluluğunu da içerir. Dolayısıyla, veri sorumlusunun, kişisel verilerin korunması ile ilgili çeşitli yükümlülükleri bulunmaktadır.
Bu yükümlülüklerin başında aydınlatma yükümlülüğü gelmektedir. Aydınlatma yükümlülüğü, veri sorumlusunun, veri sahiplerini kişisel verilerin işlenmesine dair bilgilendirmesi anlamına gelir. Veri sahipleri, hangi verilerin toplandığı, bu verilerin ne amaçla işlendiği, kimlere aktarılabileceği ve verilerin ne kadar süreyle saklanacağı gibi konularda açık ve anlaşılır bir şekilde bilgilendirilmelidir. Bu kapsamda, veri sorumlusunun yükümlülükleri, yapılacak tüm işlemlerle sınırlı değildir; aynı zamanda veri sahiplerinin haklarını ve bu hakların kullanımı konusunda yol göstermeyi de içerir.
Veri sahipleri, KVKK kapsamında birçok hakka sahiptir. Bu haklarımız arasında verilerin işlenip işlenmediğini öğrenme, işlenen verilerle ilgili bilgi talep etme, yanlış veya eksik verilerin düzeltilmesini isteme ve verilerin silinmesini talep etme yer almaktadır. Veri sorumlusunun, bu hakları göz önünde bulundurarak hareket etmesi, veri sahiplerine karşı olan sorumluluklarının önemli bir yönünü temsil eder. Sonuç olarak, veri sorumlusunun aydınlatma yükümlülüğü, hem yasal bir zorunluluk hem de veri sahiplerinin haklarının korunması açısından hayati öneme sahiptir.
Kişisel Verilerin İşlenme Şartları
Kişisel verilerin işlenmesi, Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde belirli şartlara ve yasal dayanaklara tabidir. KVKK, kişisel verilerin hukuka uygun olarak işlenebilmesi için altı temel koşul belirlemiştir. Bu koşullar, veri sahibinin aydınlatılması, veri sahibinin rızası, yasal bir yükümlülüğün yerine getirilmesi, bir sözleşmenin ifası, veri sahibinin veya üçüncü bir kişinin haklarının korunması ve anlaşmalı bir hukuki yükümlülüğün ifası olarak sıralanabilir.
Birinci koşul, kişisel verilerin işlenmesi için veri sahibinin açık rızasının alınmasıdır. Bu, genellikle verilerin toplandığı sırada sağlanarak onaylanır. İkinci koşul ise, bir yasal yükümlülüğün yerine getirilmesi olarak belirlenmiştir. Örneğin, yasal yükümlülükler kapsamında bazı kişisel verilerin işlenmesi gerektiğinde bu koşul devreye girer. Ayrıca, kişisel verilerin bir sözleşmenin ifası için gerekli olduğunda işlenmesi de yasal bir dayanak sağlamaktadır.
Kişisel verilerin işlenmesi şartları ihlal edildiği takdirde, KVKK, çeşitli yaptırımlar öngörmektedir. Bu yaptırımlar, idari para cezalarına, veri işleme faaliyetinin durdurulmasına, hatta kişisel verilerin silinmesine kadar uzanabilir. Bu bağlamda, kuruluşların kişisel verilerin işlenmesi prosedürlerini dikkatlice gözden geçirmeleri ve uyum sağlamaları önemlidir. Kişisel verilerin hukuka uygun olarak işlenmesi, bireylerin mahremiyetinin korunması ve toplumsal güvenin artırılmasında kritik bir rol oynamaktadır.
Açık Rıza Nedir? Ne Zaman Gereklidir?
Açık rıza, bireylerin kişisel verilerinin işlenmesine izin verdiğini belirten net ve belirgin bir onay sürecidir. Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde açık rıza, kişisel verilerin toplanması, saklanması veya işlenmesi gibi çeşitli süreçlerde, veri sahibinin aktif bir şekilde katılımını zorunlu kılar. Açık rızanın geçerli olabilmesi için, bireyin özgür iradesiyle, belirli bir konuda, bilgilendirilmiş bir şekilde ve herhangi bir baskı olmaksızın onay vermesi gerekir. Yani, veri işleyen tarafın rıza alma işlemi sırasında, bireye ne amaçla veri toplandığı, bu verilerin nasıl kullanılacağı ve hangi süreyle saklanacağı gibi bilgilerin açıkça sunulması esastır.
Kişisel verilerin işlenmesi açısından açık rıza, bazı durumlar dışında gerekli olmayabilir. Ancak, özellikle özel nitelikli veriler söz konusu olduğunda, açık rıza süreci kaçınılmaz hâle gelir. Özel nitelikli veriler arasında sağlık bilgileri, etnik köken bilgileri ve cinsel hayat gibi hassas veriler yer alır. Bu tür verilerin işlenmesi, sadece veri sahibinin açık rızası ile mümkündür. Bunun yanı sıra, açık rızanın herhangi bir zamanda geri alınabileceği de önemli bir husustur. Birey, daha önce verdiği rızayı iptal edebilir ve bu durumda, veri işleyenlerin artık o verileri işlemeleri mümkün olmayacaktır.
Özetle, açık rıza, kişisel verilerin hukuka uygun bir şekilde işlenmesi için kritik bir öneme sahiptir. Bilgilendirilmiş, özgür ve açık bir şekilde alınan rıza, veri sahibinin mahremiyetini koruma amacı taşır. Bu nedenle, kişisel verilerin işlenmesi sürecinde dikkatle ele alınması gereken bir konudur.
Kişisel Verilerin Korunması Hukuku (KVKK): Türkiye’de Veri Mahremiyetinin Hukuki Çerçevesi
İçindekiler
Kişisel Verilerin Korunması Hukuku Nedir?
6698 Sayılı KVKK’nın Amaç ve Kapsamı
Kişisel Veri Nedir? Hangi Veriler Korunur?
Özel Nitelikli Kişisel Veriler
Veri Sorumlusu Kimdir? Aydınlatma Yükümlülüğü
Kişisel Verilerin İşlenme Şartları
Açık Rıza Nedir? Ne Zaman Gereklidir?
Kişisel Verilerin Yurt Dışına Aktarılması
İlgili Kişinin Hakları (Veri Sahibinin Hakları)
VERBİS Nedir? Kimler Kayıt Yükümlüsüdür?
KVKK Uyum Süreci: Şirketler İçin Uygulama Rehberi
KVK Kurulu Tarafından Verilen İdari Para Cezaları
KVKK ile GDPR Arasındaki Farklar
KVKK Avukatı Ne Yapar?
KVKK’ya Aykırılık Durumunda Ne Yapılmalı?
Sıkça Sorulan Sorular (SSS)
Kişisel Verilerin Korunması Hukuku Nedir?
Kişisel Verilerin Korunması Hukuku, bireylerin özel yaşamını, kimliğini, dijital mahremiyetini ve veri güvenliğini korumayı amaçlayan, hem anayasal hem de yasal güvencelere sahip olan özel bir hukuk dalıdır. Türkiye’de bu alan, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir.
Bu hukuk dalı, kamu kurumları, özel şirketler, e-ticaret siteleri, bankalar, sağlık kuruluşları, avukatlar ve bireyler dahil olmak üzere, kişisel veri işleyen herkesin uyması gereken kuralları belirler.
6698 Sayılı KVKK’nın Amaç ve Kapsamı
KVKK, 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanunun temel amacı:
Kişisel verilerin işlenmesinde özel hayatın gizliliğini korumak
Bireylerin bilgi ve onayına dayalı bir veri işleme rejimi kurmak
Veri güvenliğini sağlamak
İhlaller karşısında etkili yaptırımlar öngörmektir.
Kanunun kapsamı:
Veri sorumluları (şirketler, kamu kurumları, bireysel veri işleyiciler)
Veri işleyen kişiler
İlgili kişi (veri sahibi)
Kişisel Veri Nedir? Hangi Veriler Korunur?
KVKK’ya göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir.
Örnek kişisel veriler:
Ad, soyad, T.C. kimlik numarası
Telefon numarası, e-posta adresi
Plaka, IP adresi, konum bilgisi
Görüntü ve ses kayıtları
Alışveriş tercihleri, sağlık bilgileri
Bu kapsamda anonim hale getirilmemiş her veri kişisel veri sayılır.
Özel Nitelikli Kişisel Veriler
KVKK m.6 uyarınca bazı veriler daha sıkı koruma altındadır:
Irk, etnik köken
Siyasi düşünce
Dini inanç, mezhep
Sağlık bilgileri
Cinsel hayata ilişkin veriler
Biyometrik ve genetik veriler
Bu verilerin işlenmesi için kesinlikle açık rıza alınması gerekir ve veri güvenliği tedbirleri çok daha sıkıdır.
Veri Sorumlusu Kimdir? Aydınlatma Yükümlülüğü
Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişidir (örneğin: bir e-ticaret sitesi, sağlık kuruluşu, avukat bürosu, banka).
Aydınlatma yükümlülüğü:
KVKK m.10 gereğince veri sorumlusu;
Hangi verileri işlediğini
Hangi amaçla işlediğini
Kimlerle paylaştığını
Ne kadar süre sakladığını
ilgili kişiye açık ve anlaşılır şekilde bildirmek zorundadır.
Kişisel Verilerin İşlenme Şartları
KVKK’ya göre kişisel veriler, aşağıdaki şartlardan en az birinin varlığı halinde işlenebilir:
Açık rıza alınmışsa
Kanunlarda açıkça öngörülmüşse
Sözleşmenin kurulması veya ifası için gerekliyse
Hukuki yükümlülük nedeniyle gerekiyorsa
İlgili kişinin kendisi tarafından alenileştirilmişse
Bir hakkın tesisi, kullanılması veya korunması için zorunluysa
Meşru menfaat kapsamında, temel hak ve özgürlüklere zarar vermemek kaydıyla
Açık Rıza Nedir? Ne Zaman Gereklidir?
Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş onay beyanıdır. KVKK m.5’e göre, açık rıza bir veri işleme şartı olmakla birlikte, her zaman gerekmez.
Ancak özel nitelikli kişisel veriler söz konusuysa açık rıza çoğu zaman zorunludur.
Kişisel Verilerin Yurt Dışına Aktarılması
KVKK m.9, kişisel verilerin yurt dışına aktarımına özel düzenleme getirmiştir. Yurt dışı aktarım için:
Açık rıza alınmalı veya
Kurul tarafından belirlenen güvenli ülke listesinde yer almalı veya
Yeterli korumanın taahhüt edildiği yazılı bir sözleşme ile Kurul’dan izin alınmalı
📌 Avrupa’daki bazı ülkelerde “güvenli ülke” statüsü kazanılmamıştır. Bu nedenle aktarım risklidir.
İlgili Kişinin Hakları (Veri Sahibinin Hakları)
KVKK m.11 uyarınca veri sahipleri;
Kişisel veri işlenip işlenmediğini öğrenme
İşlenmişse bilgi talep etme
İşleme amacını öğrenme
Verilerin aktarıldığı üçüncü kişileri bilme
Eksik ya da yanlış işlenmişse düzeltilmesini isteme
Mevzuata aykırı olarak işlenmişse silinmesini isteme
İşlenen verilerin otomatik sistemlerle analizine itiraz etme
Zarara uğramışsa tazminat talep etme
haklarına sahiptir.
VERBİS Nedir? Kimler Kayıt Yükümlüsüdür?
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK kapsamında veri sorumlularının işledikleri kişisel verileri beyan ettikleri dijital platformdur.
VERBİS'e kayıt zorunluluğu olanlar:
Yıllık çalışan sayısı 50’den fazla olanlar
Yıllık bilançosu 25 milyon TL üzeri olanlar
Yurt dışında yerleşik veri sorumluları
Özel nitelikli kişisel veri işleyen kamu/özel tüzel kişiler
VERBİS yükümlülüğüne uymayanlara 50.000 TL’den 2.000.000 TL’ye kadar para cezası verilebilir.
KVKK Uyum Süreci: Şirketler İçin Uygulama Rehberi
Bir şirketin KVKK uyumluluğu için şu adımlar atılmalıdır:
Veri envanteri hazırlanmalı
Aydınlatma ve açık rıza metinleri düzenlenmeli
VERBİS kaydı yapılmalı
Çalışanlara eğitim verilmeli
Siber güvenlik önlemleri alınmalı
Veri saklama ve imha politikaları oluşturulmalı
KVK sözleşmeleri hazırlanmalı (veri işleyenlerle)
KVK Kurulu Tarafından Verilen İdari Para Cezaları
Kurul, KVKK ihlalleri halinde yüksek tutarlı cezalar vermektedir:
İhlal TürüCeza AralığıAydınlatma yükümlülüğüne aykırılık50.000 – 1.000.000 TLVeri güvenliğine aykırılık100.000 – 1.500.000 TLVERBİS kaydına aykırılık50.000 – 2.000.000 TL
Ayrıca KVK Kurulu, bazı durumlarda işlem yasağı getirme veya veri işleme faaliyetini tamamen durdurma yetkisine de sahiptir.
KVKK ile GDPR Arasındaki Farklar
KonuKVKKGDPRAçık rızaÇoğu işlemde şartAlternatif meşru menfaat şartları ön plandaKurul yetkisiUlusal kurulAB çapında denetimPara cezası2 milyon TL’ye kadarYıllık cironun %4’üne kadarVeri taşıma hakkıKısıtlı uygulanıyorTemel haklardan biri
KVKK Avukatı Ne Yapar?
Şirketler için KVKK uyum projeleri yürütür
Aydınlatma, açık rıza, imha politikası, gizlilik taahhütnamesi hazırlar
VERBİS kaydı sürecini yönetir
KVK Kurulu’na savunma sunar
İhlal yaşayan bireyler adına tazminat davası açar
Uluslararası şirketlere KVKK-GDPR uyum danışmanlığı verir
KVKK’ya Aykırılık Durumunda Ne Yapılmalı?
Kurula 30 gün içinde başvuru yapılabilir
Zarar gören ilgili kişi mahkemeye başvurarak maddi ve manevi tazminat talep edebilir
Veri sorumlusu, gecikmeksizin ihlali KVK Kurulu’na bildirir
72 saat içinde kamuoyuna açıklama yapılması gerekebilir (ihlal boyutuna göre)
Sıkça Sorulan Sorular (SSS)
KVKK nedir, kimleri kapsar?
KVKK, kişisel verilerin işlenmesini düzenleyen ve bireylerin veri mahremiyetini koruyan kanundur. Gerçek kişilere ait verileri işleyen tüm kurum ve kuruluşları kapsar.
Açık rıza olmadan kişisel veri işlemek suç mu?
Evet, açık rıza ya da kanuni bir dayanak olmadan kişisel veri işlenmesi hukuka aykırıdır ve idari ceza doğurabilir.
KVKK’ya göre ses ve görüntü kayıtları kişisel veri midir?
Evet. Ses kayıtları, kamera görüntüleri ve fotoğraflar, kişisel veri ve bazı durumlarda özel nitelikli kişisel veri olarak değerlendirilir.
Şirketim küçük, yine de VERBİS’e kayıt olmam gerekir mi?
Şirketin büyüklüğünden bağımsız olarak özel nitelikli veri işliyorsanız veya KVKK istisnalarına girmiyorsanız VERBİS kaydı zorunludur.