Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin işlenmesi başlangıçta kişinin özel hayatının gizliliği olmak üzere en temel hak ve özgürlüğü korumak için verileri işleyen hükmi şahısların yükümlülükleri, uyacakları unsur ve esasları düzenleyebilmek amacıyla 24 Mart 2016 tarihinde 6689 sayılı Kişisel Verileri Koruma Kanunu olarak kabul edilip 7 Nisan 2016 tarihinde yürürlüğe girip 29677 sayılı Resmi Gazete olarak yayınlanmıştır.
İlgili Kişi Kimlerdir?
İlgili kişi kişisel verisi işlenen gerçek kişiyi ifade eder. Bu nedenle, kişisel verilerin işlenmesi gerçek kişiyi ifade edebilmek için “ilgili kişi” olarak ifade edilir. Korunması gereken şahıs, düzenlemesinin tanımlar kısmında açık olarak belirttiği üzere “gerçek kişi” dır.
KVKK Kimler Kapsar?
Kanunu hükümleri, kişisel verileri işlenen gerçek kişi ve bu verileri tamamlayan kısmen otomatik olan veya herhangi veri kayıt sistemi parçası olarak kaydıyla otomatik olmayan yolla işleyen ve hükmi kılan kişiler hakkında uygulanır. Kısaca Türkiye’de kişisel verilerin korunmasını sağlamak ve gözlemlemek için kurulmuş düzenleyici bir kurumdur.
Kişisel Veri Nedir?
Kimliği berili veya belirli olmayan gerçek kişilere her türlü bilgi ifade eder. Kişisel Verilerin işlenmesi Kanunun 5. maddesinde sayılar hallerinde en az bir kişinin bulunabilmesi mümkündür. Açmak gerekirse bu kapsamdaki kişilere ait yerleşim yerleri, kimlik bilgileri, telefon görüşmeleri, mesaj bilgileri kişisel veri olarak kabul edilir. Söz edebilmek için verinin gerçek kişiye ilişkin olması gerekir ve de bu kişi de belirli veya belirlenebilir nitelikte olması gerekir. Buna göre;
- Gerçek Kişiye İlişkin Olma: Kişisel veri, ilgili kişiye ilişkin olup, hükmi kişilere ilişkin veriler kişisel verinin tanımının dışındadır.
- Kişiyi Belirli veya Belirlenebilir Kılması: Kişisel veri, gerçek kişinin doğrudan kimliğinin göstereceği gibi o kişinin kimliğinin doğrudan göstermemek ile beraber, herhangi bir kayıt ila ilişkilendirilmesi sonucunda kişinin belirlenmesi gereke tüm bilgileri birden kapsar…
- Her Türlü Bilgileri: Bu ifade ile son derece geniş olup ilgili kişinin her türlü bilgileri; adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim vs. gibi kişiye dolaylı yoldan veya doğrudan belirleyebilir kılan bütün kişi verilerini kişisel veri olarak kabul edilir.
Veri Sorumlusu Kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtasıyla belirleyen, veri kayıt sistemi kurulmasından yönetilmesinden sorumlu olan ilgili ya da tüzel kişiyi ifade etmektedir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk hükmi kişinin şahsında doğrulanacaktır.
Veri İşleyen Kimdir?
Veri Sorumlusu verdiği etkiye dayanarak onun adına verileri işleyen ilgili ya da hükmi kişiyi ifade eder.
Açık Rıza Nedir?
“Belirli konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan razı.” Yasanın içinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile veya karşı taraftan gelen istek üzerine, onay vermesi anlamını taşır.
Açık Rıza Alırken Dikkat Edilecek Hususlar Nelerdir?
Açık rıza elektronik ortamda ve çağrı merkezleri vs. yollarla alınması da mümkündür. Kanunun 3. Maddesinde yer alınması açık rızanın tanımı kapsamında, açık rızasının 3 unsurun bulunmaktadır.
- Belirli bir konuya ilişkin olması,
- Rızanın bilgilendirmeye dayanması,
- Özgür iradeyle açıklanması,
Belirli bir konuda sınırlandırılmayan ilgili işlemle sınırlı olamayan genel nitelikli açık rıza verileridir. Açık Rıza vermek, kişiye sımsıkı bağlı bir hak olduğu için verilen açık rıza geri alabilir. Ancak ve ancak geri alacağı zaman işlem ileriye yönelik sonuç doğuracağı için açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı an itibariyle veri sorumlusu tarafından durdurulmalıdır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Ne Anlama Gelir?
Kişisel Verilerin Korunması Kanunu, verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesi gerektiren sebeplerin ortadan kalkması halinde bu veriler, resen ve yahut ilgili şahısın talebi üzerine veri sorumlusu tarafından silinir ve yok edilir ya da anonim hale getirilir.
İşlenmesi gereken sebepler ortadan kalktığı halde kişisel verileri silmek, ortadan yok etmek ve anonim hale getirmek veri sorumluların yükümlülükleridir. İlgili kişinin başvurusu şart değildir. Ve bununla beraber veri sorumlusunun ihlal durumuyla ilgili kişini kişisel verilerini yok etmesi ya da silinmesi talep etme hakkı bulunmaktadır.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrarlanmaz hale getirilir.
Verilerin anonim hale gelmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme e verilerin başka verilerle eşleşmesi gibi kayıt ortamı ile ilgili faaliyet alanı açısında uygun teknikleri kullanılması yoluyla dahil kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri Güvenliği için Yapılması Gerekenler Nelerdir?
Kişisel Verilerin Korunması Kanunu, Güvenlik mimarisinin doğru kurgulanması, VPN kullanması, veri yedeklemelerinin alınması, bilgisayarların güncel hale getirmesi ve kuruluş çalışanları farkındalığının artırılması öncelik verilerin veri güvenliği için gerekenler. KVKK Teknik tedbirler listesi
Veri Koruma:
- Kritik verilerin sistemde kontrol altına alınabilmesi,
- İlgili kişinin rızası bulunmuyorsa veri görülmemesi ve işlenmemesi,
- Sadece görmesi gereken kişiler veriye ulaşmalı,
- Verinin hem ekranda hem raporlarında kontrolü sağlanmalı,
- Veri erişimi sistemdeki kullanıcıların yetkileriyle entegre olmalı,
- Gerektiğinde veriler anonimleştirilebilmeli.
Erişim İzleme:
- Kritik verilere erişim kayıt altına alınmalı,
- Veriyle erişim kayıtları istendiğinde rapor edilmelidir,
- Bilgilendirme talepleri sistem tarafından takip edilip işlenebilir.
Kişisel Verilerin Korunması Kanunu Yaptırımları Nelerdir?
Hapis Cezası:
- Kişisel verileri, belirli süresinin geçmesinde karşında yok etmeme: 1-2 sene
- Kişisel verileri hukuka aykırı olarak başkasına verme, yayma ve ele geçirme: 2-4 sene
- Kişisel verileri hukuka aykırı olarak kayıt edilmesi: 1-3 sene
İdari Para Cezası:
- Veri sorumluları siciline kayıt ve bildirim yükümlülüğü aykırılık: 20.000TL 1.000.000TL
- Aydınlatma yükümlülüğü ihlali: 5.000TL – 100.000TL
- Veri güvenliği yükümlülüğü ihlali: 15.000TL – 1.000.000TL
- Kişisel Verileri Koruma Kurulu kararları muhalefet: 25.000TL – 1.000.000TL