KVKK Nedir? 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Temel İlkeler
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girerek, Türkiye’de kişisel verilerin hangi kurallara göre işleneceğini, kimler tarafından hangi amaçlarla kullanılacağını ve veri sorumlularının uyması gereken usul ve esasları belirleyen temel mevzuat hâline gelmiştir. Kanun; kimliği belirli veya belirlenebilir gerçek kişilere ait verilerin korunmasını merkeze alır.
KVKK’nın ana hedefi, kişisel verilerin rastgele, kontrolsüz ve ölçüsüz şekilde kullanılmasını engellemek, veri sorumlularına açık yükümlülükler getirerek bireylerin temel hak ve özgürlüklerini –özellikle de özel hayatın gizliliği hakkını– güvence altına almaktır. Bu rehber; KVKK’nın amacını ve tarihçesini, veri işleme şartlarını, genel ve özel nitelikli kişisel veri ayrımını ve ilgili kişinin haklarını kurumsal ve pratik bir bakış açısıyla ele almaktadır.
KVKK neyi düzenler? Türkiye’de kişisel verilerin toplanması, işlenmesi, saklanması
ve aktarılması süreçlerinde uyulması gereken kuralları belirler.
Kapsam: Tamamen veya kısmen otomatik yollarla işlenen, ya da bir veri kayıt sisteminin parçası olmak
kaydıyla manuel işlenen tüm kişisel veriler.
Temel ilkeler: Hukuka ve dürüstlük kurallarına uygunluk, aydınlatma yükümlülüğü,
açık rıza veya istisnaî hukuki sebep, amaçla ve süreyle sınırlılık, veri minimizasyonu ve doğru-güncel veri işleme.
Coğrafi odağımız: Türkiye’de faaliyet gösteren veya Türkiye’deki bireylerin verilerini işleyen şirketler,
kurumlar ve profesyoneller için pratik KVKK rehberi.
1. KVKK’nın Amacı ve Kısa Tarihçesi
KVKK’nın temel amacı; kişisel veriler işlenirken başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ile uymaları gereken usul ve esasları belirlemektir.
Günlük hayatımızda; alışverişten hastane randevularına, mobil uygulamalardan sosyal medya platformlarına kadar pek çok noktada kişisel verilerimizi bilinçli veya bilinçsiz şekilde paylaşıyoruz. KVKK, bu verilerin rastgele toplanması ve kontrolsüz kullanılmasını değil, belirli kurallar çerçevesinde, amaçla sınırlı ve güvenli şekilde işlenmesini zorunlu kılar.
Kişisel verilerin korunması alanındaki ilk uluslararası adımlardan biri, 1981’de Avrupa Konseyi tarafından hazırlanan 108 No’lu Sözleşme ile atılmıştır. Türkiye; hem bu uluslararası çerçeveye hem de Avrupa Birliği veri koruma standartlarına uyum sağlamak üzere 6698 sayılı Kanun’u yürürlüğe koymuştur. Böylece Türkiye’de ilk kez veri koruma, müstakil bir kanun ile sistematik olarak düzenlenmiştir.
Kanun; tamamen veya kısmen otomatik yollarla işlenen ya da bir veri kayıt sisteminin parçası olmak kaydıyla manuel yollarla işlenen kişisel veriler bakımından; kişisel verisi işlenen gerçek kişileri (ilgili kişi) ve bu verileri işleyen gerçek ve tüzel kişileri (veri sorumlusu / veri işleyen) kapsar. Bu kapsam; Türkiye’de faaliyet gösteren şirketler, dernekler, vakıflar, meslek örgütleri ve serbest meslek mensuplarını da içine alan geniş bir evreni ifade eder.
2. KVKK Kapsamında Veri İşleme Şartları
KVKK’ya göre veri sorumluları (kişisel verilerin işleme amaç ve araçlarını belirleyen gerçek veya tüzel kişiler), ilgili kişiden kişisel veri toplarken hem temel ilkelere hem de veri işleme şartlarına uymak zorundadır. Bu şartlar sağlanmadan yapılan veri işleme faaliyetleri, kural olarak hukuka aykırı kabul edilir.
2.1. Temel İlkeler ve Uyum
Veri sorumlusu, kişisel verileri ancak aşağıdaki ilkeler gözetilerek işleyebilir:
| İlke | Açıklama | Örnek |
|---|---|---|
| Hukuka ve Dürüstlük Kurallarına Uygunluk | Veri işleme faaliyetleri yalnızca kanunun izin verdiği veya açıkça yasaklamadığı alanlarda yürütülmeli, ilgili kişinin makul beklentilerini zedelememelidir. | Müşteriye haber vermeden, üçüncü kişilere toplu reklam listesi satmamak. |
| Amaçla Sınırlı ve Ölçülü İşleme | Veriler, yalnızca bildirilen ve meşru amaçlarla bağlantılı olarak, bu amaçla sınırlı ve ölçülü şekilde işlenmelidir. | Sadece kurye teslimi için adres ve telefon bilgisinin alınması, gereksiz ek veri talep edilmemesi. |
| Doğru ve Güncel Olma | İşlenen veriler güncel tutulmalı, hatalı veya eksik verilerin düzeltilmesi için mekanizmalar kurulmalıdır. | Müşteri panelinde iletişim bilgilerini güncelleme imkânı sunmak. |
| Saklama Süresi ile Sınırlılık | Veriler, ilgili mevzuat ve işleme amacının gerektirdiği süre boyunca saklanmalı, bu süre sona erdiğinde silinmeli, yok edilmeli veya anonim hâle getirilmelidir. | Finansal kayıtları kanuni saklama süresi sonunda anonimleştirme politikası uygulamak. |
2.2. Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, KVKK’nın en görünür ve pratikte en sık karşılaşılan yükümlülüklerinden biridir. Veri işlenmeden önce ilgili kişiye;
- Veri sorumlusunun kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Toplama yöntemi ve hukuki sebebi,
- Verilerin kimlere ve hangi amaçla aktarılabileceği,
- Verilerin ne kadar süreyle saklanacağı,
- KVKK m.11 kapsamındaki hakları
açık ve anlaşılır bir dille bildirilmelidir. Aydınlatma yapılmadan veri işlenmesi hâlinde, veri sorumlusu hakkında idari para cezası uygulanabilmektedir.
2.3. Açık Rıza veya İstisnalar
KVKK’da kural; kişisel verilerin işlenmesi için açık rıza alınmasıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Ancak Kanunda sayılan bazı durumlarda, açık rıza aranmaksızın da veri işlenebilir.
Özetle aşağıdaki hallerde açık rıza olmaksızın kişisel veri işlenmesi mümkündür:
- Kanunda açıkça öngörülmesi,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
- Fiili imkânsızlık nedeniyle rıza veremeyecek durumda olan kişinin hayatı veya beden bütünlüğünün korunması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin verisini alenileştirmiş olması,
- Veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması (ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla),
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
Ancak bu istisnalar uygulanırken dahi ölçülülük, amaçla sınırlılık ve veri minimizasyonu ilkeleri mutlaka gözetilmelidir.
3. Genel ve Özel Nitelikli Kişisel Veriler
KVKK’ya göre kişisel veriler; genel nitelikli ve özel nitelikli (hassas) kişisel veriler olmak üzere iki ana kategoride ele alınır. Her iki kategori de yalnızca gerçek kişilere ilişkindir; tüzel kişilere ait veriler KVKK kapsamına girmez.
3.1. Genel Nitelikli Kişisel Veriler
Bir kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi genel kişisel veri sayılır. Örneğin:
- Ad, soyad, T.C. kimlik numarası, doğum yeri ve tarihi,
- Telefon numarası, plaka, pasaport numarası, sosyal güvenlik numarası,
- Adres, e-posta adresi, özgeçmiş ve eğitim bilgileri,
- Fotoğraf, görüntü ve ses kayıtları,
- Hobiler, tercihler, etkileşimde bulunulan kişiler, aile bilgileri, grup üyelikleri vb.
Bu veriler, Türkiye’deki günlük ticari ve dijital işlemlerde en sık işlenen veri türlerini oluşturur ve KVKK’daki genel işleme şartlarına tabidir.
3.2. Özel Nitelikli (Hassas) Kişisel Veriler
Özel nitelikli kişisel veriler; öğrenildiğinde ilgili kişinin ayrımcılığa uğramasına veya mağduriyet yaşamasına sebep olabilecek, bu nedenle daha sıkı korunması gereken verilerdir. Örneğin:
- Irk ve etnik köken,
- Siyasi düşünce, felsefi inanç, din, mezhep ve diğer inançlar,
- Kılık kıyafet, dernek, vakıf veya sendika üyelikleri,
- Sağlık verileri ve cinsel hayata ilişkin veriler,
- Ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler,
- Biyometrik ve genetik veriler.
| Kategori | Tanım | Örnekler |
|---|---|---|
| Genel Nitelikli Kişisel Veri | İlgili kişiyi doğrudan veya dolaylı biçimde tanımlamaya elverişli, günlük işlemlerde sıkça kullanılan veriler. | Ad-soyad, iletişim bilgileri, adres, plaka, özgeçmiş, fotoğraf. |
| Özel Nitelikli Kişisel Veri | Öğrenilmesi hâlinde ayrımcılık veya mağduriyet riski doğuran, bu nedenle daha sıkı koruma gerektiren hassas veriler. | Sağlık bilgisi, biyometrik veri, siyasi görüş, din, sendika üyeliği. |
Özel nitelikli kişisel verilerin işlenmesi, saklanması ve aktarılması bakımından KVKK’da daha sıkı şartlar ve daha yüksek güvenlik tedbirleri öngörülmüştür. Örneğin; antivirüs, düzenli zafiyet taramaları, saldırılara karşı önleyici sistemler, veri sızıntısını önleyici mekanizmalar gibi teknik tedbirlerin yanı sıra; rol ve yetki matrisi, erişim sınırlandırması, personel eğitimi gibi idari tedbirler de uygulanmalıdır.
Bir siber saldırı veya güvenlik ihlali sonrasında verilerin çalındığının veya kaybolduğunun fark edilmesi hâlinde; veri sorumlusu, durumu Kişisel Verileri Koruma Kurumu’na ve gerekli hâllerde ilgili kişilere bildirmekle yükümlüdür.
4. KVKK’ya Göre İlgili Kişinin Hakları
KVKK’nın 11. maddesi, kişisel verisi işlenen gerçek kişilere veri sorumlularına karşı kullanabilecekleri bir dizi hak tanımaktadır. Bu haklar; bireylerin kendi verileri üzerindeki kontrolünü güçlendirmeyi ve şeffaflığı artırmayı amaçlar.
İlgili kişi, veri sorumlusuna başvurarak aşağıdaki haklarını kullanabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- Verilerin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
- Verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Verilerin eksik veya hatalı olması hâlinde bunların düzeltilmesini isteme,
- Kanunda öngörülen şartlar çerçevesinde verilerinin silinmesini, yok edilmesini veya anonim hâle getirilmesini talep etme,
- Yapılan düzeltme, silme veya yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Verilerin hukuka aykırı işlenmesi nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri sorumlusu, bu taleplere kural olarak en geç 30 gün içinde cevap vermek zorundadır. Türkiye’de uygulamada, pek çok kurum veri sahibine başvuru kanalları (e-posta adresi, form, KEP, posta vb.) sunarak bu yükümlülüğünü yerine getirir. Cevap verilmemesi veya verilen cevabın yetersiz olması hâlinde ilgili kişi, Kişisel Verileri Koruma Kurumu’na şikâyet yoluna başvurabilir.
5. Sık Sorulan Sorular
KVKK hangi verileri kapsar?
KVKK; kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi kapsar. Ad, soyad, iletişim bilgileri gibi genel verilerin yanı sıra, sağlık bilgileri, biyometrik veriler, siyasi görüş gibi özel nitelikli kişisel veriler de Kanun kapsamındadır. Tüzel kişilere ait veriler ise KVKK kapsamına girmez.
KVKK sadece şirketleri mi ilgilendirir?
Hayır. KVKK, kişisel veri işleyen tüm gerçek ve tüzel kişileri ilgilendirir. Bu kapsamda; şirketler, dernekler, vakıflar, meslek örgütleri, kamu kurumları ve serbest meslek mensupları dahil olmak üzere, Türkiye’de kişisel veri işleyen herkes Kanun’a uymakla yükümlüdür.
Aydınlatma yapılmadan kişisel veri işlenebilir mi?
Aydınlatma yükümlülüğü, KVKK’nın temel unsurlarından biridir. İlgili kişiye; veri sorumlusunun kimliği, işleme amacı, saklama süresi, aktarım ve hakları hakkında bilgi verilmeden veri işlenmesi, istisna hâller dışında hukuka aykırı kabul edilir ve idari para cezası doğurabilir.
Özel nitelikli kişisel veriler için neden ek önlemler gerekiyor?
Irk, sağlık durumu, siyasi görüş, sendika üyeliği gibi özel nitelikli veriler öğrenildiğinde ilgili kişinin ayrımcılığa uğrama veya mağdur olma riski daha yüksektir. Bu nedenle KVKK, bu verilerin işlenmesini daha sıkı şartlara bağlar ve güçlü teknik ve idari tedbirlerin alınmasını zorunlu kılar.
Verilerimin ihlal edildiğini düşünürsem ne yapabilirim?
Öncelikle veri sorumlusuna başvurarak durumu sorabilir, verilerinize ilişkin bilgi talep edebilirsiniz. Veri sorumlusu en geç 30 gün içinde yanıt vermek zorundadır. Yanıt verilmez veya yanıt yetersiz olursa, Kişisel Verileri Koruma Kurumu’na şikâyet hakkınızı kullanabilirsiniz.
