KVKK Nedir? İhtiyaç Duyulma Nedeni, Yürürlüğe Girişi ve Kapsamı
Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi sürecinde özel hayatın gizliliğini ve temel hak ve özgürlükleri korumak amacıyla hazırlanmış bir çerçeve mevzuattır. Kanun; verileri işleyen kişi ve kurumların uyması gereken usul ve esasları belirlerken, çağımızda hızla artan dijitalleşme, veri paylaşımı ve veri ekonomisi karşısında bireylerin mahremiyetini güvence altına almayı hedefler.
Özellikle son yıllarda kişisel verilerin izinsiz toplanması, yetkisiz kişiler tarafından ele geçirilmesi, açık edilmesi ve kötüye kullanılması; hem Türkiye’de hem de dünyada güçlü veri koruma düzenlemelerine duyulan ihtiyacı ortaya koymuştur. KVKK; bu ihtiyaca cevap veren, kişisel verilerin işlenmesine ilişkin temel ilkeleri, hakları ve yükümlülükleri sistematik olarak düzenleyen ana kanundur.
İhtiyaç nedeni: Mahremiyetin korunması, bilgi güvenliğinin sağlanması ve kişisel verilerin
kontrolsüz şekilde toplanması ve paylaşılmasının önüne geçilmesi.
Anayasal temel: 2010 anayasa değişikliği ile kişisel verilerin korunmasını isteme hakkı
açıkça tanınmış, devamında 6698 sayılı KVKK yürürlüğe girmiştir.
Kapsam: Belirli veya belirlenebilir gerçek kişiye ilişkin her türlü kişisel verinin
toplanması, kaydedilmesi, saklanması, aktarılması, silinmesi gibi tüm işleme faaliyetleri.
Kurumsal ihtiyaç: KVKK’ya uyum için veri envanteri, süreç analizi, aydınlatma ve açık rıza
metinleri ile teknik ve idari tedbirlerin sistematik olarak tasarlanması.
1. KVKK’nın İhtiyaç Duyulma Nedeni ve Amacı
KVKK’nın getirilmesindeki temel amaç, kişisel veriler işlenirken özel hayatın gizliliğini ve kişinin temel hak ve özgürlüklerini korumaktır. Dijitalleşmenin, mobil cihazların, sosyal medyanın ve büyük veri teknolojilerinin yaygınlaşmasıyla birlikte;
- Kişisel verilerin takip edilebilir hâlde toplanması,
- Toplanan verilerin yetkisiz kişilerin eline geçmesi,
- Bu verilerin rızaya aykırı şekilde açık edilmesi veya kötüye kullanılması
hem bireysel mahremiyet hem de toplumsal güven açısından ciddi risk oluşturmaya başlamıştır. Bu nedenle kişisel verileri işleyen kişi ve kurumların uyması gereken usul ve esaslar bütünü bir kanun çatısı altında toplanmış ve Kişisel Verilerin Korunması Kanunu (KVKK) oluşturulmuştur.
1.1. KVKK’nın Temel Hedefleri
Kanunun amacı, özetle şu başlıklar altında toplanabilir:
- Temel hak ve özgürlüklerin korunması: İşlenen verilerin, kişinin onurunu, özel hayatını ve temel haklarını kısıtlamasını önlemek.
- Usul ve yükümlülüklerin belirlenmesi: Verileri işleyen kişi/kurumların uyması gereken metotları, teknik-idari tedbirleri ve hukuki sorumlulukları belirlemek.
- Özel alanların gizliliği: Verisi işlenen gerçek kişilerin (ilgili kişi) özel alanlarının gizliliğini korumak ve bu alanlara ilişkin verilerin izinsiz kullanımını engellemek.
- Bilgi güvenliğinin sağlanması: Kişisel verilerin kaybolmasını, yetkisiz erişimini ve ifşasını engelleyecek bilgi güvenliği seviyesini asgari bir standarda oturtmak.
1.2. Neden “Şimdi” KVKK?
Verilere erişmek ve verileri aktarmak, günümüzde neredeyse her alanda en üst seviyelere ulaşmış durumdadır. Bankacılık işlemleri, e-ticaret, sosyal medya, sağlık hizmetleri, eğitim ve kamu hizmetleri gibi hemen her alanda kişisel veriler yoğun şekilde işlenmektedir. KVKK:
- Bu yoğun veri akışı içerisinde kişisel verilerin etkili biçimde korunması ihtiyacına cevap verir.
- Veri işleyenler için öngörülebilir, standart bir hukuki çerçeve sunar.
- Bireylerin kendileriyle ilgili veriler üzerinde söz sahibi olmalarını güçlendirir.
2. KVKK’nın Yürürlüğe Girmesi ve Tarihsel Gelişim
Türkiye’de kişisel verilerin korunmasına ilişkin süreç, öncelikle anayasal düzeyde başlamış, ardından özel kanunla detaylandırılmıştır.
2.1. Anayasal Temel – 2010 Değişikliği
2010 yılında yapılan anayasa değişikliği ile, Anayasa’nın 20. maddesine şu içerikte bir fıkra eklenmiştir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Bu düzenleme ile, kişisel verilerin korunması temel bir hak olarak Anayasa’da güvence altına alınmış ve özel bir kanun çıkarılacağı açıkça belirtilmiştir.
2.2. 6698 Sayılı KVKK’nın Kabulü ve Yürürlük Tarihi
Anayasal altyapının ardından, “Kişisel Verilerin Korunması Kanunu” tasarısı hazırlanmış ve süreç şu şekilde ilerlemiştir:
| Tarih | Olay | Açıklama |
|---|---|---|
| 2010 | Anayasa m.20’ye fıkra eklenmesi | Kişisel verilerin korunmasını isteme hakkı anayasal düzeyde tanındı. |
| 18 Ocak 2016 | Kanun tasarısının hazırlanması | “Kişisel Verilerin Korunması Kanunu” tasarı hâline getirildi. |
| 24 Mart 2016 | TBMM’de kabul | 6698 sayılı KVKK, Türkiye Büyük Millet Meclisi tarafından kabul edildi. |
| 7 Nisan 2016 | Resmî Gazete’de yayımlanma | Kanun Resmî Gazete’de yayımlanarak yürürlüğe girdi. |
Böylece, anayasal güvenceden sonra kişisel verilerin korunmasına ilişkin esas ve usuller; 6698 sayılı özel kanun ile ayrıntılı şekilde düzenlenmiş oldu.
3. KVKK’nın Kapsamı ve Kişisel Veri İşleme İlkeleri
KVKK, belirli veya kimliği belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi kişisel veri olarak kabul eder. Ad, soyad, T.C. kimlik numarası, iletişim bilgileri, sağlık verileri, finansal veriler, konum verileri, biyometrik veriler gibi kimlikle ilişkilendirilebilir tüm bilgiler KVKK kapsamındadır.
3.1. KVKK Kapsamında Sayılan İşleme Faaliyetleri
Kanuna göre, kişisel verilerin:
- Toplanması,
- Kaydedilmesi ve muhafaza edilmesi,
- Depolanması, saklanması, yedeklenmesi,
- Değiştirilmesi, güncellenmesi, sınıflandırılması,
- Aktarılması veya üçüncü kişilerle paylaşılması,
- Silinmesi, yok edilmesi veya anonim hâle getirilmesi
gibi her türlü işlem, “kişisel veri işleme” olarak değerlendirilir ve KVKK hükümlerine tabidir.
3.2. KVKK Kapsamında Uyulması Gereken Esaslar
KVKK, kişisel veri işlenirken uyulması gereken temel ilkeleri de ortaya koyar. Bunlar özetle:
- Hukuka ve dürüstlük kuralına uygun olma: Verilerin, ilgili mevzuata ve dürüstlük kurallarına uygun işlenmesi.
- Doğru ve güncel olma: Kişisel verilerin, gerektiğinde güncellenebilir ve doğru tutulması.
- Belirli, açık ve meşru amaçlar: Veri işleme amaçlarının önceden belirlenmiş, şeffaf ve meşru olması.
- Amaçla sınırlılık: Toplanan verilerin, belirlenen amaç dışında kullanılmaması.
- Veri minimizasyonu: İşlendikleri amaçla ilgili, sınırlı ve ölçülü veri toplanması.
- Saklama süresi ile sınırlılık: Verilerin sadece gerekli olduğu süre boyunca saklanması, daha uzun süre tutulmaması.
Kısaca; KVKK, yalnızca “veri toplama” faaliyetini değil; veri işleme hayat döngüsünün tamamını kapsar. Bu nedenle kurumlar; KVKK’ya uyum sağlamaya çalışırken tüm süreçlerini (toplama, saklama, paylaşma, silme, anonimleştirme) bu ilkeler ışığında yeniden gözden geçirmek zorundadır.
4. KVKK Kurumu, Kurul ve Resmi Web Sitesi
KVKK’nın uygulanmasından ve denetlenmesinden sorumlu yapılar; Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kuruludur.
- Kişisel Verileri Koruma Kurumu (Kurum): KVKK’nın uygulanmasını sağlamak, farkındalık oluşturmak, rehber ve duyurular yayımlamak, şikâyet ve bildirimleri almakla görevli idari otoritedir.
- Kişisel Verileri Koruma Kurulu (Kurul): İhlal bildirimlerini değerlendiren, idari yaptırımlar hakkında karar veren, ilke kararları alan ve uygulamayı yönlendiren karar organıdır.
Kurumun resmi web sitesi üzerinden;
- KVKK metni, ikincil mevzuat ve rehberlere,
- Kurul kararlarına ve ilke kararlarına,
- Veri ihlali bildirimleri ve kamu duyurularına,
- Veri sorumluları sicili (VERBİS) hakkında bilgilere
erişmek mümkündür. Uyum sürecini yöneten kurumlar için bu site, güncel uygulama ve beklentilerin takip edildiği ana kaynaktır.
5. KVKK Uyum Süreci ve Danışmanlık
KVKK’ya uyum, tek seferlik bir doküman hazırlama faaliyeti değil; süreç, teknoloji ve insan boyutlarını birlikte ele alan sistematik bir dönüşümdür. Özellikle Türkiye genelinde farklı şehirlerde faaliyet gösteren, çok lokasyonlu yapı ve geniş müşteri kitlesine sahip kurumlar için bu süreç stratejik bir proje olarak ele alınmalıdır.
5.1. KVKK Uyum Sürecinin Temel Adımları
- Mevcut durum analizi: Kurumun hangi süreçlerde, hangi kişisel verileri, hangi amaçlarla işlediğinin ortaya konması; veri envanteri ve süreç haritalarının çıkarılması.
- Hukuki inceleme: Sözleşmeler, aydınlatma metinleri, açık rıza beyanları, politikalar ve prosedürlerin KVKK ile uyumlu hâle getirilmesi.
- Teknik ve idari tedbirler: Erişim kontrolü, loglama, şifreleme, kullanıcı yetkilendirme, eğitim ve iç denetim mekanizmalarının güçlendirilmesi.
- Farkındalık ve eğitim: Çalışanlara KVKK, veri güvenliği ve gizlilik kültürü konusunda düzenli eğitim verilmesi.
- İzleme ve iyileştirme: Uyum seviyesinin periyodik olarak gözden geçirilmesi, yeni risk ve teknolojilere göre güncellenmesi.
5.2. KVKK Uyum Süreci Danışmanlığı
Özellikle orta ve büyük ölçekli kurumlarda, KVKK uyum sürecinin hem hukuki hem de teknik boyutları nedeniyle profesyonel danışmanlık desteği ile yürütülmesi yaygın bir yaklaşımdır. Danışmanlık kapsamında:
- Uyum yol haritası ve proje planı hazırlanabilir,
- Veri envanteri, risk analizi ve etki değerlendirmesi (DPIA) süreçleri tasarlanabilir,
- Aydınlatma metni, açık rıza metni, politika ve prosedür şablonları oluşturulabilir,
- Teknik ekiplerle koordineli şekilde bilgi güvenliği tedbirleri tasarlanabilir.
6. Sık Sorulan Sorular
KVKK yalnızca Türkiye’deki kişisel verileri mi kapsar?
KVKK, Türkiye’de bulunan veya Türkiye’de işlenen kişisel veriler için uygulanır. Yurt dışında bulunan sistemler üzerinden de olsa, Türkiye’deki bireylere ait verilerin işlenmesi durumunda KVKK gündeme gelebilir. Uluslararası yapı ve çok ülkeye hizmet sunan kurumlar, hem KVKK’yı hem de diğer ülkelerde geçerli veri koruma düzenlemelerini birlikte dikkate almalıdır.
Her türlü bilgi kişisel veri sayılır mı?
Hayır. KVKK’ya göre kişisel veri; belirli veya kimliği belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişiyle ilişkilendirilemeyen, anonim hâle getirilmiş veriler veya tamamen istatistiksel, kimliksiz veriler (tekrar kimliklendirme imkânı yoksa) kişisel veri kapsamı dışına çıkabilir.
KVKK’ya uyum sağlamak için nereden başlanmalı?
En sağlıklı başlangıç noktası; kurumun hangi süreçlerde, hangi kişisel verileri, hangi hukuki sebebe dayanarak işlediğini ortaya koyan bir veri envanteri ve süreç haritası çalışmasıdır. Bu çalışma sonrasında hukuki dokümanlar, teknik tedbirler ve iç prosedürler daha sağlıklı tasarlanabilir.
KVKK’ya uyum tek seferlik bir proje midir?
KVKK uyumu; mevzuatın, teknolojinin ve iş süreçlerinin sürekli değiştiği bir ortamda sürekli iyileştirme gerektiren bir süreçtir. Başlangıçta kapsamlı bir uyum projesi yapılması önemlidir; ancak sonrasında periyodik gözden geçirme, denetim ve güncellemelerle bu uyum seviyesi korunmalıdır.
KVKK Kurum web sitesini takip etmek neden önemli?
Kurum, KVKK uygulamasını şekillendiren Kurul kararlarını, rehberleri ve ilke kararlarını resmi web sitesi üzerinden yayımlar. Bu duyurular, uygulamadaki gri alanların nasıl yorumlandığına ışık tuttuğu için; güncel kalmak ve uyum seviyesini korumak isteyen kurumlar açısından kritik öneme sahiptir.
