Kişisel Verilerin Korunması Türkiye’de KVKK Mevzuatı, Temel İlkeler ve Kurumun Rolü
Türkiye’de kişisel verilerin korunmasına ilişkin temel çerçeve, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve bu Kanun uyarınca faaliyet gösteren Kişisel Verileri Koruma Kurumu (Kurum) tarafından belirlenmektedir. KVKK; kişisel verilerin hangi şartlarla işlenebileceğini, saklanabileceğini, aktarılabileceğini ve veri sahiplerinin hangi haklara sahip olduğunu düzenleyen, yatay etkiye sahip bir çatı kanundur.
Bu rehberde; KVKK’nın getirdiği temel ilkeler, veri sorumlusu – ilgili kişi (veri ilgilisi) ilişkisi ve Kişisel Verileri Koruma Kurumunun yapısı ile temel görevleri hakkında hem hukuki hem de pratik bakış açısıyla kapsamlı bir çerçeve sunulmaktadır.
İçerik; uyum programı yürüten kurumlar, veri sorumluları, hukuk ve BT ekipleri ile kişisel verilerinin nasıl işlendiğini anlamak isteyen bireyler için operasyonel olarak kullanılabilir bir referans niteliğindedir.
Kanun: 6698 sayılı KVKK
Kurum: Kişisel Verileri Koruma Kurumu
Merkez: Ankara
KVKK, kişisel verilerin hukuka ve dürüstlük kurallarına uygun, ölçülü ve amaçla sınırlı şekilde işlenmesini zorunlu kılarken; Kurum ise bu çerçevenin denetimi, rehberliği ve yaptırım mekanizmalarıyla sorumludur.
1. Kişisel Verilerin Korunması Kanunu (KVKK)
Türkiye, kişisel veri güvenliği alanında 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile önemli bir eşiği aşmıştır. Kanun; kişisel verilerin işlenme şartlarını, veri sorumlularının yükümlülüklerini, ilgili kişilerin haklarını ve bu alandaki kurumsal yapıyı düzenleyen çerçeve bir mevzuattır.
KVKK’nın temel amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
1.1 KVKK’nın Kapsamı
- Türkiye’de kişisel verileri işlenen gerçek kişiler,
- Türkiye’de kişisel veri işleyen gerçek ve tüzel kişiler,
- Veri işleme faaliyetinin yurtdışına uzanan aktarım boyutları (yeterli seviye, taahhütname vb.)
Kanun; kamu–özel sektör ayrımı olmaksızın, kişisel veri işleyen tüm aktörler için geçerlidir. Bu kapsamda, şirketler, kamu kurumları, dernekler, vakıflar, meslek kuruluşları ve dijital platformlar KVKK hükümlerine tabidir.
2. KVKK’daki Temel Veri İşleme İlkeleri
KVKK, kişisel verilerin işlenmesinde uyulması gereken temel prensipleri açıkça ortaya koyar. Bu ilkeler, yalnızca hukuki uyum için değil; aynı zamanda kurumsal itibar, şeffaflık ve etik yönetim açısından da kritik öneme sahiptir.
2.1 Temel İlkelere Genel Bakış
| İlke | Açıklama |
|---|---|
| Hukuka ve Dürüstlük Kurallarına Uygun İşleme | Kişisel verilerin, ilgili mevzuata uygun ve dürüstlük kuralları çerçevesinde işlenmesini ifade eder. Kurumlar, veriyi işlerken şeffaf, öngörülebilir ve kötüye kullanımdan uzak hareket etmek zorundadır. |
| Doğru ve Gerektiğinde Güncel Olma | İşlenen verilerin, gerçeği yansıtacak şekilde doğru tutulması ve ihtiyaç hâlinde güncellenmesi gerekir. Hatalı, eksik veya güncelliğini yitirmiş kayıtların düzeltilmesi için süreçler tanımlanmalıdır. |
| Belirli, Açık ve Meşru Amaçlar İçin İşlenme | Kişisel veriler; önceden belirlenmiş, net ve hukuken meşru amaçlar doğrultusunda işlenmelidir. Belirsiz, muğlak veya ileride kullanılabilir düşüncesiyle veri toplama yaklaşımı KVKK’ya aykırıdır. |
| İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma | Toplanan veri, belirlenen amaçla doğrudan ilgili olmalı; bu amacı aşacak şekilde gereğinden fazla veri işlenmemelidir. Veri minimizasyonu bu ilkenin pratik yansımasıdır. |
| İlgili Mevzuatta Öngörülen veya Amaç İçin Gerekli Süre Kadar Muhafaza | Kişisel veriler, yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca muhafaza edilebilir. Bu süre dolduğunda verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. |
2.2 Açık Rıza ve Hukuki Sebepler
Kişisel veriler, kural olarak açık rıza ile veya Kanun’da sayılan diğer hukuki sebeplerden (sözleşmenin kurulması/ifası, hukuki yükümlülük, meşru menfaat vb.) birine dayanarak işlenebilir.
- Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır.
- Rıza; baskı, zorunluluk veya hizmete erişimin imkânsızlaştırılması gibi şartlara bağlanmamalıdır.
- Veri sahiplerine, rızalarını diledikleri zaman geri çekebilme imkânı tanınmalıdır.
2.3 Veri Güvenliği İlkesi
Temel ilkelerden biri de veri güvenliğinin sağlanmasıdır. Veri sorumluları; işledikleri kişisel verilerin yetkisiz erişim, ifşa, değişiklik veya yok olmaya karşı korunması için uygun düzeyde teknik ve idari tedbir almakla yükümlüdür. Bu tedbirler:
- Erişim kontrolü ve yetkilendirme mekanizmaları,
- Şifreleme, loglama ve iz kayıtlarının tutulması,
- Personel farkındalık eğitimleri, politika ve prosedürler,
- Tedarikçi / üçüncü taraf yönetimi ve sözleşmesel güvence
gibi bileşenleri kapsar ve KVKK uyum programının çekirdeğini oluşturur.
3. Veri Sorumluları ve Veri İlgilileri
KVKK, kişisel verilerin işlenmesinde rol alan aktörler arasında özellikle veri sorumlusu ve ilgili kişi (veri ilgilisi) kavramlarına odaklanır. Bu iki kavram, sorumluluk ve hak dağılımını belirleyen temel yapı taşlarıdır.
3.1 Veri Sorumlusu Kimdir?
Veri sorumlusu; kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Başka bir ifadeyle:
- “Hangi verileri, hangi amaçla, ne kadar süreyle ve kimlere aktaracağım?” sorusunun cevabını belirleyen aktördür.
- Veri güvenliği tedbirleri, aydınlatma yükümlülüğü, başvuru süreçleri ve saklama–imha politikalarından sorumludur.
- Genellikle şirketler, kamu kurumları, dernek/vakıflar ve benzeri tüzel kişiler veri sorumlusu rolündedir.
3.2 Veri İlgilisi (İlgili Kişi) Kimdir?
Veri ilgilisi; kişisel verisi işlenen gerçek kişiyi ifade eder. Müşteriler, çalışanlar, tedarikçi çalışanları, web sitesi ziyaretçileri, adaylar ve benzeri tüm gerçek kişiler bu kapsamdadır.
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Eksik veya yanlış işlenmişse düzeltilmesini talep etme,
- İşleme amacının ortadan kalkması hâlinde silme / yok etme veya anonimleştirme talep etme,
- Aktarıldığı üçüncü kişilerin bilgilendirilmesini isteme,
- Otomatik sistemler vasıtasıyla analiz edilen veriler sebebiyle aleyhine bir sonuç çıkması hâlinde itiraz etme
gibi haklara sahiptir. Bu hakların kullanımına yönelik süreçler “Veri Sahibi Başvuru Prosedürü” ve ilgili formlar ile desteklenmelidir.
3.3 Veri Sorumlusu – Veri İşleyen İlişkisi
KVKK, ayrıca veri sorumlusu adına veri işleyen üçüncü tarafları da dikkate alır. Hizmet alınan bulut sağlayıcı, çağrı merkezi, dış kaynaklı bordro firması gibi yapılar veri işleyen rolünde olabilir. Veri sorumlusu, bu aktörlerle imzaladığı sözleşmeler ve teknik denetimler ile KVKK’ya uyumu güvence altına almalıdır.
4. Kişisel Verileri Koruma Kurumu (KVKK)
Kişisel Verileri Koruma Kurumu, Türkiye’de kişisel verilerin korunması alanında denetim, düzenleme ve rehberlik görevini üstlenmiş olan kamu otoritesidir. Kurum;
- Cumhurbaşkanının görevlendireceği bakan ile ilişkilendirilmiş olup,
- Merkezi, Türkiye’nin başkenti olan Ankara’da bulunmaktadır,
- 7 Nisan 2016 tarihinde faaliyete geçmiştir.
Kurum bünyesinde yer alan Kurul, KVKK hükümlerinin uygulanmasını gözeten, karar ve yaptırım yetkisine sahip üst karar organıdır. Kurul, kişisel veri işleme faaliyetlerine yönelik ilke kararları almak, veri ihlallerini değerlendirmek ve idari para cezalarına hükmetmek gibi kritik fonksiyonlar icra eder.
5. Kişisel Verileri Koruma Kurumunun Temel Görevleri
Kurumun temel rolü; kişisel veri güvenliği ve gizliliği alanında koruma, önleme, rehberlik ve denetim işlevlerini bütüncül bir çerçevede yürütmektir. Bu kapsamda öne çıkan görev başlıkları aşağıda özetlenmiştir.
5.1 Koruma ve Önleme Fonksiyonu
Kurum, bireylerin kişisel verilerinin hukuka aykırı şekilde işlenmesini ve yetkisiz kişilerce erişilmesini önlemeyi hedefler. Bu kapsamda:
- Kanun ve ikincil düzenlemeler çerçevesinde asgari güvenlik standartlarını belirler,
- Veri ihlallerini değerlendirir ve tekrarının önlenmesi için kurumsal tedbirler önerir,
- Bireylerin özel hayatına ilişkin hassas alanlarda (sağlık, biyometrik veriler vb.) daha sıkı koruma mekanizmaları talep eder.
5.2 Bilinçlendirme ve Eğitim
Kurum; kamuoyunu, işletmeleri ve diğer paydaşları kişisel veri güvenliği konusunda bilgilendirmek amacıyla:
- Rehber dokümanlar, sıkça sorulan sorular ve kamuoyu duyuruları yayımlar,
- Eğitim, seminer ve farkındalık etkinlikleri düzenler,
- İş dünyası, STK’lar ve üniversitelerle işbirliği yaparak iyi uygulama örneklerini yaygınlaştırır.
5.3 Denetim ve İnceleme
Kurum, kişisel verilerin işlenmesini denetleme ve ihlalleri inceleyerek idari yaptırım uygulama yetkisine sahiptir. Bu süreç:
- Şikâyetler veya resen inceleme yoluyla başlatılabilir,
- Veri sorumlularının politika, prosedür ve teknik tedbirlerinin gözden geçirilmesini içerir,
- İhlal tespiti hâlinde idari para cezası veya belirli işlemlerin durdurulması gibi yaptırımlarla sonuçlanabilir.
5.4 Politika ve Düzenleme Geliştirme
Kurum; Türkiye’de kişisel veri işleme süreçlerinin bütüncül bir politika çerçevesine oturtulması için:
- İkincil mevzuat (yönetmelik, tebliğ, ilke kararı) hazırlar,
- Sektörel bazda sıkça karşılaşılan veri işleme senaryolarına ilişkin prensip kararları yayımlar,
- Uluslararası mevzuat ve uygulamaları (ör. GDPR) takip ederek uyumlaştırma süreçlerine katkı sunar.
5.5 Rehberlik, Danışmanlık ve Şikâyet Yönetimi
Kurum, hem vatandaşlara hem de işletmelere KVKK ile ilgili rehberlik sağlar. Bu kapsamda:
- İlgili kişilerin şikâyetlerini alır ve değerlendirir,
- Veri sorumlularına yönelik rehberlik ve ilke kararları ile uyum yol haritası sunar,
- Uyuşmazlıkların mümkün olduğunca idari aşamada çözümlenmesini teşvik eder.
Bu süreçler; hizmet kalitesinin artırılması, kurumlara duyulan güvenin pekiştirilmesi ve veri koruma kültürünün toplum genelinde yerleşmesi açısından stratejik öneme sahiptir.
6. Sık Sorulan Sorular
6.1 KVKK sadece Türkiye’de yerleşik şirketler için mi geçerlidir?
KVKK, Türkiye’de kişisel veri işleyen gerçek ve tüzel kişileri kapsar. Türkiye’de yerleşik olmayan ancak Türkiye’de yerleşik kişilerin verilerini Türkiye’de işleyen yapılar da KVKK hükümlerine tabi olabilir. Özellikle çok uluslu şirketlerin, Türkiye operasyonları özelinde KVKK uyum programı yürütmesi kritik önemdedir.
6.2 KVKK ile GDPR arasında ilişki var mı?
KVKK, sistematik olarak GDPR ile benzer bir mimariye sahip olmakla birlikte, Türkiye’ye özgü hükümler ve uygulama esasları içerir. AB’de yerleşik kişilere mal veya hizmet sunan ya da onların verilerini işleyen Türk şirketleri için hem KVKK hem GDPR uyumluluğu birlikte gündeme gelebilir.
6.3 Veri sorumlusu yükümlülüklerini kim takip etmelidir?
Uygulamada; üst yönetim himayesinde, hukuk birimi, bilgi güvenliği / BT ekipleri ve insan kaynakları gibi fonksiyonlar KVKK uyumunu birlikte yönetir. Büyük ölçekli yapılarda Veri Koruma Görevlisi (DPO’yu andıran roller) veya KVKK uyum ekipleri oluşturulması iyi uygulama olarak kabul edilir.
6.4 KVK Kurumuna şikâyet süreci nasıl işler?
İlgili kişi, öncelikle veri sorumlusuna başvurarak haklarını kullanır. Başvuruya süresi içinde yanıt verilmemesi veya yanıtın yetersiz bulunması hâlinde, Kuruma şikâyet yoluna gidilebilir. Kurum; şikâyeti inceleyerek gerekli görürse idari yaptırım veya düzeltici tedbir kararı alabilir.
