Skip to content

KVKK - Kişisel Verilerin Korunması Kanunu

KVKK, gerçek kişilere ait kişisel verilerin diğer gerçek kişiler veya tüzel kişiler tarafından kaydedilmesini, işlenmesini ve korunmasını düzenleyen kanundur.

KVKK

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Kişisel verilerin korunması kanunu (KVKK) Türkiye’ de kişisel verilerin korunması için yayınlanmış regülasyonun yasal adıdır. Bu kanun aslında Avrupa Birliği’ ne uyum süreci için gerekli olduğu düşünülen kanunlardan birisidir.

KVKK olarak bilinen ve anılan bu yasa, 7 Nisan 2016 tarihinde 6698 sayılı kanun olarak resmi gazetede yayımlanarak yürürlüğe girdi. Kişisel veri gizliliğinin korunmasının yanında kanunun belirlediği usul ve esasların tüm kurum ve kuruluşlar için geçerli olması, gerekli uyumun sağlanmaması halinde yaptırımların olması KVKK’ yı ülkemizde önemli ve popüler konulardan biri haline getirdi.

Kanun’un amacı 1. maddesinde açıklandığı üzere kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Türkiye’ de kanunun etkilerini Hukuk, Bilgi Güvenliği, Organizasyon, Veri Yönetimi, Süreç Optimizasyonu gibi alanlarda görmekteyiz. Kanuna uyumluluğun sağlanması için bu alanlarda bir takım çalışmalar ve düzenlemeler yapılması gerekiyor. KVKK’ ya uyum için ayrıca yönetim kurulu başta olmak üzere tüm üst yönetimin sorumluluğu, sahiplenmesi ve sponsorluğu önem taşıyor.

KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.

Bununla birlikte kanunda kişisel verilerin ne olduğu sınırlandırılmamıştır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Dolayısıyla kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.

KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, kişi hakkında alınan güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Kıyas yoluyla genişletilmesi mümkün değildir.

KVKK ile Şirketlere Getirilen Yükümlülükler Nelerdir?

Kanun’da veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri sorumlusunun yanında bir de veri işleyen bulunmaktadır. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu ve veri işleyen, Kanun’un getirdiği yükümlülüklere aykırı davranışlardan birlikte sorumlu olacaklardır.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye  başlamadan önce Kişisel Verileri Koruma Kurulunun  gözetiminde tutulan Veri Sorumluları Siciline kaydolmak  zorundadır. Nesnel sicile kayıt kriterlerini belirleme yetkisi  Kurul’a aittir. Sicile yapılacak kayıt esnasında Kanun’un 16.  maddesi uyarınca hangi kişisel verilerin işleneceğinin de  bildirilmesi gerekmektedir.

Kanun, genel kural olarak kişisel verilerin ilgili kişinin açık  rızası olmaksızın işlenemeyeceğini belirtmektedir. Açık rızanın  aranmadığı istisna haller ise sınırlı şekilde sayılmak suretiyle  belirlenmiştir. Dolayısıyla veri sorumlusu, Kanun’da aranan  şartları sağlama yükümlülüğü altındadır.

Kanun, kişisel verilerin işlenmesinde aşağıda sayılan ilkelere uyulmasını zorunlu kılmıştır:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İşlenen kişisel verilerin, kanuni olmayan yollarla başkaları  tarafından elde edilmesi hallerinde veri sorumlusu ayrıca  bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle  yükümlüdür.

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde  edilmesi sırasında ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanunda sayılan diğer haklarını

bildirmekle yükümlüdür. Aydınlatma yükümlüğünün yerine  getirildiğinin ispat edilebilir durumda olması uygulama açısından  büyük önem arz etmektedir.

Kanun uyarınca veri sorumlusu, kendi kurum veya kuruluşunda  Kanun’a uygun hareket edilmesini sağlamak amacıyla gerekli denetimleri yapmakla veya yaptırmakla yükümlüdür.

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

Veri sorumluları, kanuna uyumlu olmak sürecinde işledikleri verilerin güvenliğini sağlamak zorundadır. KVK Kurumu, alınacak teknik tedbirleri siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı ve kişisel verilerin yedeklenmesi başlıkları altında toplayarak bir teknik rehber yayınlamıştır.

Veri sorumlusu, kişisel verilerin işlenmesini gerektiren  sebeplerin ortadan kalkması halinde kendiliğinden veya ilgili  kişinin talebi üzerine verileri silmekle, yok etmekle veya  anonimleştirmekle yükümlüdür. Bunun daha sonraki olası  sorgulamalara istinaden ispat edilebilir durumda olması  gerekmektedir.

Kişisel verileri işlenen kişi, Kanun uygulamasıyla ilgili taleplerini  veri sorumlusuna iletebilecektir. Veri sorumlusu, ilgili talebi  niteliğine göre en geç 30 gün içerisinde ücretsiz olarak  sonuçlandırmakla yükümlüdür. Ancak, işlem ayrıca bir maliyet  gerektiriyorsa Kurul’un belirleyeceği bir tarifeye göre ücret  istenebilecektir.

KVKK ihlali Durumunda Kanuni Yaptırımlar ve Cezalar

Kişisel verilerin korunması ile ilgili ihmal ve ihlaller işletmelere ağır hukuki ve cezai sorumluluklar yükler. Benzer şekilde GDPR ile ilgili uyum sorunlarında şirketin bir önceki yıla ait küresel cirosunun %4’ü veya 20.000.000 Euro’ya kadar yüksek para cezalarının uygulanması söz konusudur. Kanun, ihlal halinde uygulanacak yaptırımları “Suçlar” ve “Kabahatler” olarak iki başlık altında toplamıştır.

Kabahatler (2020 Güncel)

KVKK kanununda belirtilen ihlal durumlarında uygulanacak idari para cezaları, kanunun 18. maddesinde belirtilmiştir.

27.040 Türk Lirasından 1.802.641 Türk Lirası’ na kadar para cezası verilir.

9.013 Türk Lirasından 180.264 Türk Lirası’ na kadar para cezası verilir.

45.066 Türk Lirasından 1.802.641 Türk Lirası’ na kadar para cezası verilir.

36.053 Türk Lirasından 1.802.641 Türk Lirası’ na kadar para cezası verilir.

Yaptırımlar (2020 Güncel)

KVKK Kanunu 17. maddesinde Türk Ceza Kanunu’nun maddelerine atıfta bulunarak suç teşkil eden durumları ve cezaları belirtmiştir.

Hukuka aykırı olarak kişisel verileri kaydeden kişiye 1 yıldan 3 yıla kadar  hapis cezası verilir. Özel nitelikli kişisel veri ise ceza yarı oranda artırılır

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar  hapis cezası ile cezalandırılır.

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.

Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

Süreklilik

Kişisel Verilerin Korunması Kanunu gerekliliklerini sağlamak, uyum sürecini bir kereye mahsus geçireceğiniz denetim ve bu kapsamda alacağınız danışmanlık ve VERBİS kaydınızı tamamlamak olarak anlaşılmamalıdır. Bu şekilde yasal yükümlülüklerinizin bir kısmını yerine getirseniz de Kanuna uyumun devamlılığının sağlanması ve beyan edilen bilgilerin güncel olması gerekmektedir.

KVKK, 2016’da hayatımıza girmiş ve halen güncellemelerle süreçlerimize yeni uygulamaları adapte etmemizi gerektiren bir kanundur. Bu kanunun direktiflerinden biri, tüm faaliyetlerimizin her zaman KVKK hükümlerine uygun sürdürülmesi, VERBİS‘teki kaydımızın, Kişisel Veri Envanterimizin ve uyum sürecinde hazırlanan diğer dokümanların her zaman güncel tutulduğundan emin olmamızdır. Ayrıca sürdürülebilirliğin sağlandığından emin olunması için periyodik olarak denetimlerin yapılması gerektiği KVKK’da yer alan bir başka husustur.

Bu noktada Carnatech’ in sunduğu denetim, danışmanlık ve sürdürebilirlik hizmeti, süreçlerinizin yasalarla uyumlu olup olmadığını; uyum süreci tamamlandıktan sonra ise devamlılığın sağlanıp sağlanmadığını kontrol ederek sizi karşı karşıya kalabileceğiniz idari ve hukuki yaptırımlardan koruma garantisi sağlar.

Kişisel verilerin korunması ile ilgili yasal düzenlemelere ve KVK Kurul’u tarafından yayımlanan güncel kararlara kvkk mevzuatları sayfamızdan ulaşabilirsiniz. Ayrıca Carnatech olarak, uyum sürecinizde size sağlayabileceğimiz danışmanlığa dair detayları ve uyum sürecinin tamamlanmasının ardından müşterilerimize sunduğumuz sürdürebilirlik hizmetlerinin kapsamını incelemek için danışmanlık hizmetleri sayfamızı ziyaret edebilirsiniz.

Kuruluşunuz KVKK ile Ne Kadar Uyumlu?

Kuruluşunuzun Mevcut Yapısının 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ na ne kadar Uzak / Yakın Olduğunu Biliyormusunuz? Bilmiyorsanız Soru Cevap olarak hazırladığımız uyumluluk analizi sayfamızı ziyaret edebilir, veya daha detaylı analiz ihtiyacınız için ücretsiz sunduğumuz KVKK uyumluluk analizi desteğimizden faydalanabilirsiniz.

Carnatech Veri Danışmanlığı