KVKK’nın Kapsamı ve Anayasal Uygunluğu Kişisel Verilerin İşlenmesi ve Korunması
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Tüzel kişilere ilişkin veriler kişisel veri tanımına girmediğinden, Kanun’un doğrudan kapsamı dışında kalır; çünkü KVKK’da korunan özne, “kişisel verileri işlenen gerçek kişilerdir”.
Kanun’un temel amacı; bireylerin kişisel verilerinin, pazarlama ve profilleme süreçleri dahil olmak üzere her aşamada güvenli, ölçülü ve hukuka uygun şekilde işlenmesini sağlamaktır. Bu çerçevede; ürün ve hizmetlerin pazarlanması, kişiye özel kampanya ve teklif iletilmesi gibi faaliyetlerde açık rızanın sınırları kritik hale gelmektedir.
Odak: KVKK’nın kime uygulanacağı, kişisel verilerin pazarlama süreçlerinde nasıl
işleneceği ve kişisel verilerin korunması hakkının anayasal temeli.
Hukuki çerçeve: 2010 yılında Anayasa m.20’ye eklenen fıkra ve 6698 sayılı Kanun’un
1. maddesinde yer alan amaç hükmü.
Kurumsal sonuç: KVKK’ya uyumlu veri işleme süreçleri, açık rızaya dayalı
pazarlama ve veri ihlallerine karşı güvenlik tedbirleri.
1. KVKK’nın Kapsamı: Gerçek ve Tüzel Kişiler Bakımından
KVKK, kural olarak kişisel verilerin işlenmesine ilişkin faaliyetleri düzenler ve bu çerçevede:
- Kişisel verileri işlenen gerçek kişileri korur,
- Bu verileri işleyen gerçek ve tüzel kişilere yükümlülükler getirir.
Tüzel kişilere (şirket, dernek, vakıf vb.) ilişkin bilgiler, kanuni tanım gereği kişisel veri sayılmadığı için doğrudan KVKK koruma alanına girmez. Kanun; “kişisel verileri işlenen gerçek kişileri” korur ve tüm sistem bu öznenin hakları etrafında şekillenir.
| Grup | KVKK Kapsamındaki Durum | Örnek |
|---|---|---|
| Gerçek kişi | Kişisel verileri işlenen herkes KVKK koruması altındadır. | Müşteri, çalışan, aday, ziyaretçi, web sitesi kullanıcısı |
| Gerçek kişi veri sorumlusu | Başka gerçek kişilerin verilerini işlerse KVKK’ya tabidir. | Serbest meslek erbabı doktor, avukat, mali müşavir |
| Tüzel kişi veri sorumlusu | Gerçek kişilerin verilerini işliyorsa KVKK yükümlülüğü vardır. | Şirketler, dernekler, vakıflar, kamu kurumları |
| Tüzel kişiye ait bilgiler | Kural olarak kişisel veri sayılmaz, bu nedenle KVKK kapsamı dışındadır. | Şirket unvanı, vergi numarası, ticaret sicil numarası |
Bununla birlikte, bir tüzel kişiyi temsil eden kişinin adı, iletişim bilgisi veya görev bilgisi çoğu zaman kişisel veri niteliği taşır ve KVKK’nın koruma alanına girer.
2. Pazarlama Süreçlerinde Kişisel Verilerin İşlenmesi
KVKK; ürün ve hizmetlerin pazarlama süreçlerinin planlanması ve icrası sırasında kişisel verilerin nasıl işlenebileceğini de çerçevelendirir. Özellikle profilleme ve analiz faaliyetleri, kişiye özel kampanya ve teklif sunulmasını sağlayan en önemli araçlardan biridir.
Kişisel verileriniz, aşağıdaki amaçlarla açık rızanız kapsamında işlenebilir:
- Ürün ve hizmetlerin pazarlama süreçlerinin planlanması ve yürütülmesi,
- Profilleme ve analiz faaliyetlerinin yapılması,
- Sunulan ürün ve hizmetlerin; beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirilerek önerilmesi ve tanıtılması,
- Kabulünüz kapsamında paylaştığınız iletişim bilgilerinize; reklam, kampanya, promosyon vb. ticari elektronik ileti gönderilmesi,
- Bu amaçlarla, hizmet aldığımız üçüncü kişilerle veri paylaşımı yapılması.
Önemli: Pazarlama amaçlı veri işleme faaliyetlerinde, açık rızanın özgür iradeye dayalı, belirli ve bilgilendirmeye dayanan bir beyan olması gerekir. Rıza vermeme veya verilen rızayı geri alma hakkı; hizmetten yararlanmanın koşulu hâline getirilemez.
3. Teknolojinin Gelişimi, Dolandırıcılık Yöntemleri ve Güvenlik Açıkları
Artan teknoloji, beraberinde güvenlik eksikliği ve yeni dolandırıcılık yöntemlerini de getirmektedir. Teknoloji ilerledikçe, dolandırıcılar daha sofistike teknikler geliştirerek hem bireyleri hem de kurumları hedef alabilmektedir.
Bu tablo, büyük bir siber güvenlik açığı ortaya çıkarır:
- Kurumsal firmalar; ağ, uygulama ve veri güvenliği için yoğun teknik yatırımlar yapar,
- Buna rağmen, her zaman “o ihtimal” yani başarılı bir saldırı veya veri ihlali riski gündemde kalır,
- KVKK, bu riskler karşısında yalnızca hukuki bir çerçeve sunmakla kalmaz, aynı zamanda veri güvenliği kültürünün kurumsal hayata yerleşmesini hedefler.
Dolayısıyla KVKK uyumu, sadece “ceza almamak” için değil; müşteri güvenini korumak, marka itibarını sürdürmek ve veri temelli iş modellerini sürdürülebilir kılmak için stratejik bir gerekliliktir.
4. KVKK ile Getirilen Kanuni Güvenceler
KVKK ile birlikte kişisel verilerin işlenme süreci, kanunla çizilmiş bir kural ve ilke setine bağlanmıştır. Kişisel verilerin işlenmesi sırasında:
- Kişilerin temel hak ve özgürlüklerinin korunması,
- Veri sorumlularının açıkça tanımlanmış yükümlülüklere uyması,
- Veri işleme amaçlarının meşru, açık ve belirli olması,
- İşlendiği amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine uyulması
zorunlu hâle gelmiştir. Kanun; verilerin yetkisiz kişilerce erişilmesi, ifşa edilmesi, amaç dışı kullanılması veya kötüye kullanılması sonucu kişilik haklarının ihlal edilmesini önlemeyi hedefler.
Bu kapsamda veri sorumluları; teknik ve idari tedbirlerle, işledikleri kişisel verilerin güvenliğini sağlamak, ihlal hâlinde ilgili kişiyi ve Kurumu bilgilendirmek ve gerekli düzeltici önlemleri almakla yükümlüdür.
5. KVKK’nın Anayasal Uygunluğu ve Anayasa m.20
KVKK sadece sıradan bir kanun değil, Anayasa’da ifadesini bulan temel bir hakka dayanır. 2010 yılında kabul edilen 5982 sayılı Kanun ile Anayasa’nın 20. maddesine eklenen fıkra ile kişisel verilerin korunmasına ilişkin şu hüküm getirilmiştir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Bu ek fıkra ile; herkesin kendisiyle ilgili kişisel verilerin korunmasını istemesi anayasal bir hak olarak güvence altına alınmıştır. Dolayısıyla bireylerin kişisel verileri üzerindeki hak ve yetkileri ile bu verilerin hangi şartlarda işlenebileceği, sadece KVKK değil, Anayasa ile de korunmaktadır.
Nitekim KVKK’nın 1. maddesi Kanun’un amacını açıkça ifade eder:
Amaç; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile bu kişilerin uyacakları usul ve esasları düzenlemektir.
Bu bütünlük içinde KVKK, Anayasa ile uyumlu ve Anayasa’dan güç alan bir özel kanun olarak, Türkiye’de kişisel verilerin korunmasına ilişkin temel çerçeveyi oluşturur.
6. Kurumlar Açısından KVKK Uyumunun Pratik Anlamı
KVKK, yalnızca teorik bir düzenleme değil; kurumların günlük işleyişini doğrudan etkileyen operasyonel yükümlülükler setidir. Bu bağlamda kurumların şu sorulara net cevap verebiliyor olması gerekir:
- Hangi kişisel verileri, hangi hukuki sebebe dayanarak işliyoruz?
- Pazarlama ve iletişim faaliyetlerinde açık rıza süreçlerimiz nasıl tasarlanmış durumda?
- Veri ihlali yaşanması hâlinde, ihlal bildirimi ve kriz yönetimi planımız hazır mı?
- Çalışanlarımızın KVKK farkındalığı ve eğitim seviyesi yeterli mi?
- Veri envanteri, saklama-imha politikası ve aydınlatma metinlerimiz güncel mi?
Bu sorulara verilecek yanıtlar, KVKK uyum sürecinin ne kadar sistematik yürütüldüğünün somut göstergesidir. Uyumun sağlanmadığı durumlarda; idari para cezaları, tazminat riski ve itibar kaybı gibi sonuçlarla karşılaşmak kaçınılmaz hâle gelir.
KVKK Kurum Sayfasını İnceleyin KVKK Uyum Danışmanlığı Teklifi Alın
7. KVKK Hakkında Sık Sorulan Sorular
KVKK yalnızca gerçek kişilere mi uygulanır?
KVKK, kişisel verileri işlenen gerçek kişileri korur. Ancak bu verileri işleyen veri sorumluları hem gerçek hem de tüzel kişi olabilir. Tüzel kişilere ait veriler kural olarak kişisel veri sayılmadığı için doğrudan KVKK kapsamına girmez; fakat tüzel kişiyi temsil eden gerçek kişinin adı, iletişim bilgisi gibi veriler kişisel veri niteliğindedir.
Pazarlama ve reklam amaçlı veri işleme için her zaman açık rıza gerekir mi?
Pazarlama, profilleme ve ticari elektronik ileti gönderimi gibi faaliyetlerde kural olarak açık rıza aranır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır. İlgili kişi, verdiği rızayı dilediği zaman geri çekme hakkına sahiptir.
KVKK’nın Anayasa ile ilişkisi nedir?
2010 yılında Anayasa m.20’ye eklenen fıkra ile “kişisel verilerin korunmasını isteme hakkı” anayasal düzeyde tanınmıştır. KVKK ise bu hakkın uygulanmasına ilişkin esas ve usulleri düzenleyen özel kanundur. Böylece kişisel verilerin korunması, hem anayasal hem de kanuni düzeyde güvenceye kavuşturulmuştur.
KVKK’ya uyum sağlamak için nereden başlamalıyız?
İlk adım; mevcut veri işleme süreçlerini ortaya koyan kişisel veri envanterinin hazırlanmasıdır. Ardından; aydınlatma metinleri, açık rıza süreçleri, saklama-imha politikaları, teknik ve idari tedbirler ile çalışan eğitimleri planlanmalı ve uygulanmalıdır. Uygulamada çoğu kurum, bu süreçte profesyonel KVKK uyum danışmanlığı almayı tercih etmektedir.
