Kişisel Verilerin Korunması Kanunu Nedir?
Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren ve kişisel verilerin işlenmesi ile ilgili düzenlemeleri içeren bir yasadır. Bu kanunun temel amacı, bireylerin özel hayatının gizliliğini korumak ve kişisel verilerin işlenmesi sırasında temel hak ve özgürlükleri güvence altına almaktır.
KVKK, kişisel verileri işleyen gerçek ve tüzel kişileri kapsar. Bu kapsamda, kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası gereklidir. Ancak, belirli durumlarda rıza olmaksızın da veri işlenmesi mümkündür. Kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır ve bu, ad, soyad, doğum tarihi gibi temel bilgilerden, telefon numarası, sağlık bilgileri gibi daha özel verilere kadar geniş bir yelpazeyi içerir.
Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini belirli durumlarda yasaklar. İşte bu yasakların bazıları:
- Açık Rıza Olmadan İşleme: Kişisel veriler, veri sahibinin açık rızası olmadan işlenemez. Ancak, bazı istisnai durumlar mevcuttur.
- Özel Nitelikli Verilerin İşlenmesi: Özel nitelikli kişisel veriler (örneğin, sağlık bilgileri, ırk, etnik köken, siyasi görüş) yalnızca belirli koşullar altında işlenebilir. Bu verilerin işlenmesi, ilgili kişinin açık rızası olmadan yasaktır, ancak yasal zorunluluklar veya hayatın korunması gibi durumlar bu kuralın dışındadır.
- Yasal Düzenlemelere Aykırılık: Kişisel verilerin işlenmesi, yürürlükteki diğer yasalarla çelişiyorsa yasaktır. Örneğin, bir kişinin mahremiyetini ihlal eden veya suç teşkil eden bir veri işleme durumu söz konusuysa, bu işlem yasaktır.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü bilgiyi ifade eder. Bu tanım, Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi veri koruma yasalarında da benzer şekilde yer almaktadır.
Kişisel veriler, ad, soyad, kimlik numarası, iletişim bilgileri, sağlık durumu gibi bireyin kimliğini ortaya koyan veya belirleyebilen her türlü bilgi olarak kabul edilir. Bu verilerin işlenmesi, ilgili kişinin açık rızası veya kanunda belirtilen diğer hukuka uygunluk şartlarına dayanmalıdır.
Kişisel Verilerin Toplanma ve İşlenme Süreci
Kişisel verilerin toplanma ve işlenme süreci, Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde belirli kurallara ve yöntemlere dayanır. Kişisel veriler, çeşitli yöntemlerle toplanabilir:
Otomatik Yöntemler: Bilgisayar sistemleri ve yazılımlar aracılığıyla verilerin toplanması. Bu, web formları, çerezler (cookies) ve diğer dijital izleme yöntemleri ile gerçekleşir.
Yarı Otomatik Yöntemler: Hem insan müdahalesi hem de otomatik sistemler kullanılarak veri toplanması. Örneğin, bir müşteri hizmetleri temsilcisi tarafından telefonla alınan bilgiler.
Otomatik Olmayan Yöntemler: Kişisel verilerin doğrudan bireylerden veya diğer kaynaklardan manuel olarak toplanması. Bu, anketler veya yüz yüze görüşmeler gibi yöntemleri içerir.
Kişisel verilerin işlenmesi, KVKK’nın 5. maddesinde belirtilen hukuka uygunluk şartlarına dayanmalıdır.
Söz konusu kişilerden veriler toplandıktan sonra, bu verilerin işlenmesi süreci başlamaktadır. Bu sürecin aşamaları aşağıdaki gibidir:
- Veri Toplama: Kişisel veriler, yukarıda belirtilen yöntemlerle toplanır.
- Veri Kaydı: Toplanan veriler, bir veri kayıt sistemine kaydedilir.
- Veri Depolama: Kişisel veriler, güvenli bir ortamda muhafaza edilir.
- Veri İşleme: Veriler, belirlenen amaçlar doğrultusunda işlenir. Bu, verilerin değiştirilmesi, sınıflandırılması veya açıklanması gibi işlemleri içerir.
- Veri Aktarımı: Gerekli durumlarda, kişisel veriler üçüncü taraflarla paylaşılabilir. Bu aşamada, ilgili kişinin rızası veya yasal bir zorunluluk bulunmalıdır.
- Veri Silme veya Anonimleştirme: İşleme amacı sona erdiğinde veya ilgili kişi talep ettiğinde, kişisel veriler silinir veya anonim hale getirilir.
Kişisel Verilerin Korunması Hakları
KVKK, kişisel verilerin işlenmesi için belirli kurallar ve yükümlülükler getirir. Bu yükümlülükler arasında, veri sorumlusunun kişisel verilerin güvenliğini sağlamak için gerekli tedbirleri alma zorunluluğu ve kişisel verilerin işlenme amaçlarının belirlenmesi yer alır. Ayrıca, bireylerin kişisel verileri üzerinde çeşitli kişisel veri hakları bulunmaktadır; bu haklar ilgili kanunun 11. Maddesinde açıkça belirtilmektedir. İşte KVKK’nın 11. maddesinde belirtilen ilgili kişi hakları:
Veri Erişim Hakkı: İlgili kişi, kişisel verilerinin işlenip işlenmediğini öğrenme ve işleniyorsa bu verilere erişim sağlama hakkına sahiptir.
Veri Düzeltme Hakkı: Kişisel verilerinin eksik veya yanlış olması durumunda, ilgili kişi bu verilerin düzeltilmesini talep edebilir.
Veri Silme Hakkı: İlgili kişi, kişisel verilerinin silinmesini talep etme hakkına sahiptir. Bu hak, verilerin işlenme amacının sona ermesi durumunda geçerlidir.
Veri Aktarma Hakkı: İlgili kişi, kişisel verilerini başka bir veri sorumlusuna aktarma hakkına sahiptir.
İtiraz Hakkı: İlgili kişi, kişisel verilerinin otomatik sistemler aracılığıyla işlenmesi sonucunda aleyhine bir sonuç doğması durumunda itiraz etme hakkına sahiptir.
Zararın Giderilmesi Hakkı: Kişisel verilerinin kanuna aykırı olarak işlenmesi nedeniyle zarara uğrayan ilgili kişi, veri sorumlusundan zararının giderilmesini talep edebilir.
İzmir’de Kişisel Veri Güvenliği
İzmir’de de kişisel veri güvenliği, bireylerin ve kurumların dikkat etmesi gereken önemli bir konudur. Kişisel verilerin korunması için hem bireysel hem de kurumsal düzeyde alınacak önlemler, veri güvenliğini artırmakta ve olası tehditlere karşı koruma sağlamaktadır. Tüm Türkiye genelinde olduğu gibi KVKK kanun ve yükümlülükleri, İzmir genelinde de geçerli olmaktadır. Eğer kişisel verilerinizin güvenliğinin ihlal edildiğini düşünüyorsanız, İzmir Avukat Mertcan Turan Hukuk ve Danışmanlık Bürosu ile iletişime geçerek, gerekli yardım alabilirsiniz.
Sıkça Sorulan Sorular
Kişisel Veriler Nasıl Korunur?
Kişisel veriler, bireylerin temel hak ve özgürlüklerini ilgilendiren hassas bilgiler olduğundan, güvenli bir şekilde korunması büyük önem taşır. Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel verilerin korunması için çeşitli yöntemler uygulanmaktadır. Örneğin, kişisel veriler, ilgili kişinin açık rızası olmadan işlenemez. Ancak, kanunlarda öngörülen durumlar, sözleşmenin ifası, hukuki yükümlülüklerin yerine getirilmesi, ilgili kişinin kendisi tarafından alenileştirilmiş olması gibi belirli şartların varlığı halinde açık rıza aranmaz. Öte yandan, verilerin korunması için, yetkisiz erişimi engellemek, verilerin hukuka uygun işlenmesini sağlamak, muhafazasını temin etmek gibi önlemler alınır.
Kişisel Veri İhlali Durumunda Ne Yapılmalı?
İlk olarak, kişisel veri ihlalinin gerçekleşip gerçekleşmediği tespit edilmelidir. Bu kapsamda, yetkisiz erişim, veri kaybı, hatalı aktarım gibi durumların olup olmadığı kontrol edilir. İhlal tespit edilmişse, zararın büyümesini engellemek için acil önlemler alınmalıdır. Örneğin, erişim yetkileri kısıtlanabilir, şifreler değiştirilebilir veya veri aktarımı durdurulabilir. KVKK uyarınca, veri sorumlusu ihlali öğrenmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirmekle yükümlüdür. Bildirimin içeriği, ihlal türü, etkilenen kişi sayısı, alınan önlemler gibi unsurları içermelidir. Söz konusu durumlarda, İzmir Avukat Mertcan Turan Hukuk ve Danışmanlık Bürosuyla iletişime geçerek, gereken yardımı alabilirsiniz.
Kişisel Verilerin Korunması Kanunu İhlali Cezaları
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel veri ihlali durumunda uygulanacak cezalar, veri sorumlularının yükümlülüklerine uymamaları halinde belirlenmiştir. KVKK’nın 18. maddesi uyarınca, veri sorumluları, kanundan kaynaklanan yükümlülüklerini yerine getirmedikleri takdirde idari para cezalarına tabi tutulurlar. İdari para cezası 2024 itibarıyla 5.000 TL ile 1.000.000 TL arasında değişmektedir. KVKK’nın 17. maddesi, kişisel veri ihlalleri ile ilgili suçların Türk Ceza Kanunu’nda (TCK) nasıl değerlendirileceğini belirler. TCK’nın 135 ila 140. maddeleri, kişisel verilerin kaydedilmesi, hukuka aykırı olarak verilmesi veya ele geçirilmesi gibi suçları düzenler. Kişisel verileri hukuka aykırı olarak kaydeden kişiye 1 yıldan 3 yıla kadar hapis cezası verilebilir.
