KVKK, “Kişisel verileri koruma” kavramı, kişiler, kuruluşlar ve firmalar için kritik ve hassas bir uygulamadır. “Verilerin korunması” bireylerin yasal haklarını koruması yanı sıra kuruluşların da başta gizlilik ilkeleri ve güvenliğini olmak üzere diğer bütün yasal şartların yerine getirilmesinde büyük önem teşkil etmektedir.
KVKK, kişisel verilerin korunmasıyla ilgili mevzuata uygunluğu, kuruluşların bu doğrultudaki yetki ve sorumluluklarını belirleyen kanundur. Ayrıca Kanun, verilerin kim tarafından, hangi hedeflerle uygulanacağını, nasıl kullanılacağını ve nasıl imha edileceğine dair düzenlemeler getirmiştir.
(KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanmıştır.
Kişisel Veri Nedir?
Kişisel Veri, kimliği belirli veya belirlenebilir bir kuruluşa, kişiye, sektöre veya faaliyete ait özel bilgidir. Bu durumda kişisel verileri kişisel olmayan verilerden ayırt etmek için genel olarak iki kıstas kullanılmaktadır. Bir verinin kişisel veri olarak tarif edilebilmesi için kişiye özgü olması ve bu kişinin kimliğinin belirli olması gerekmektedir.
Veri Sahibi Kimdir?
Verilerin korunması, yalnızca Kanun kapsamında gerçek kişilerin verileri için geçerlidir. Bu nedenle Kanunda “veri sahibi”, kişisel verileri işlenen gerçek kişiyi tabir etmek adına kullanılmaktadır. Korunacak kişi, Yönetmelik’te yer alan tanımlamalarda belirlendiği üzere “gerçek kişi”dir.
Tüzel kişiye ait kişisel veriler, gerçek kişiyi tanımlar veya tanımlanabilir hale getiriyor ise, bu veriler Kanun kapsamında da korunabilmektedir. Ancak burada korunması gereken kâr, kanun tüzel kişilere ilişkin kişisel verilerin işlenmesini kapsamadığından dolayı tüzel kişiye değil gerçek kişiye aittir.
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işlenmesinin gerekliliklerini ve kapsamlarını belirleyen ve sistemin oluşumunda, izlenmesinde ve düzenlenmesinde yetkili ve sorumlu olan kişidir. Tüzel kişiler, kişisel verileri işlerken kendileri “denetleyici” olup, ilgili yasada belirlenen yükümlülükler tüzel kişilere aittir. Kamu tüzel kişileri ile özel tüzel kişiler arasında herhangi bir fark yoktur.
Kanuna göre veri sorumlusu, kişisel verilerin hangi sebepler ve hangi yollar ile işlendiğini belirleyen kişidir.
Kişisel Verilerin İşlenmesi Nedir?
- Verilerin işlenmesi,
- Kişisel verilerin toplanması,
- Kaydedilmesi,
- Saklanması,
- Değiştirilmesi,
- Yeniden düzenlenmesi,
- Açıklanması,
- Aktarılması,
- Devralınması,
- Geri alınabilir hale getirilmesi,
- Sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen işlemler dizisidir.
Kişisel Verilerin İşlenmesinde Temel İlkeler
KVKK’da belirtilen temel ilkeler:
- Yasal ve adil bir durumda işlenmiştir.
- Doğru ve ihtiyaç halinde güncel tutulmaktadır.
- Belirlenen, şeffaf ve yasal amaçlar adına işlenmektedir.
- İşlendikleri amaçla ilgili, sınırlı ve orantılıdır.
- İlgili mevzuatta belirlenen veya işleme amacı için gerekli görülen zaman kadar muhafaza edilmektedir.
- Tüm kişisel verilerin işlenmesi bu ilkelere uygun olarak gerçekleştirilmelidir.
Kişisel Verilerin İşlenmesine İlişkin Gereklilikler
Kanun’a göre kişisel verilerin işlenmesi ancak aşağıdaki kararların varlığı halinde gerçekleştirilebilmektedir:
Kişisel veriler;
- İlgili kişinin açık rızasını vermiş olmalı,
- Kanun ve hükümlerde açıkça öngörülmeli,
- Rızasını açıklayamadığı veya bedensel engeli nedeniyle rızasının hukuken geçersiz olduğu durumlarda; kişinin yaşamının korunması veya fiziksel olarak yaralanmasının önlenmesi için zorunlu olmalı,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartıyla, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli olmalı,
- Kontrolörün yasal yükümlülüklerini yerine getirmesi şartı olmalı,
- Veriler, ilgili kişi tarafından açıkça kamuya açıklanabilir olmalı,
- Veri sahibinin temel hak ve özgürlüklerini ihlal edilmemesi şartıyla, veri sorumlusunun yasal hak ve yükümlülükleri için zorunludur.
- Kişisel verilerin işlenmesine ilişkin esaslar Kanun ile sınırlıdır ve genişletilemez.
Veri işlemenin açık rıza dışında Kanunda sayılan koşullara dayanması durumunda açık rıza alınmasına gerek görülmemektedir. Verileri işlemek adına başka yasal şartlar varken açık rıza alınması yanıltıcı bir durumdur ve veri sorumlusu tarafından hakların kötüye kullanılması olarak kabul edilmektedir. İlgili kişinin açık rızasının geri alınması durumunda, veri sorumlusunun diğer hukuki dayanaklar ile ilgili olarak verileri işlemeye devam etmesi, Kanun ve dürüstlük kurallarına aykırı işleme olarak kabul görmektedir.
Bu nedenle, veri sorumlusu tarafından kişisel verilerin işlenme koşulunun açık rıza dışındaki işleme koşullarından birine dayanıp dayanmadığının değerlendirilmesi yapılmalıdır. Bu amaç, açık rıza dışında Kanun’da sayılan koşullardan en az birine dayanmıyor ise, veri sahibinin açık rızasının alınması gerekir.
Kişisel Verilerin Saklanma Süreleri
KVKK’ya göre, veri sorumluları tarafından işlenmiş olan kişisel verilerin süresiz bir şekilde muhafaza edilmesi mümkün değildir. Firmaların faaliyetine göre kuruluşun belirlemiş olduğu bir veri saklama süreleri mevcut olmalıdır.
Kişisel verilerin işlenme süreleri bittikten sonra, imha edilmektedir. Bu imha dönemi yılda iki kere tekrarlanmalıdır. Bilgilere, kuruluşların Kişisel Veri Saklama ve İmha Politikası belgesinde yer vermesi gerekmektedir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin koşulların tamamının ortadan kaldırılması durumunda kişisel veriler, ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi gerekmektedir.
Hassas Kişisel Veriler
Hassas Kişisel Veriler, başkaları tarafından elde edilmesi durumunda, veri öznesini ayrımcılığa veya haksız muameleye açık bırakabilir. Bu nedenle hassas kişisel verilerin diğer kişisel verilere nazaran daha sıkı ve güvenli bir şekilde korunmalıdır. Özel nitelikli kişisel veriler, ancak ilgili kişinin açık rızası ile veya Kanun’da belirtilen koşullardan herhangi biri ile işlenecektir.
Hasas veri kategorisinde sayılan kavramlar; Irk, din, mezhep, üyelikler (dernek, sendika vs.), sağlık raporları, adli sicil kaydı, etnik köken, genetik veriler vs. olarak kabul edilmektedir.
Kişisel Verilerin Türkiye İçinde Aktarılması
KVK Kanunu’nun 8. maddesi, Kanun’da belirtilen genel kriterler çerçevesinde elde edilen kişisel verilerin ancak ilgili kişinin açık rızası ile aktarılabileceğini düzenlemektedir. Kanun, Türkiye içerisinde veri işleme ve veri aktarımı için aynı şartları öngörmektedir. Madde 8 ayrıca, verilerin açık rıza olmaksızın üçüncü kişilere aktarılmasına ilişkin şartları da tanımlamaktadır.
Öte yandan, kişisel verilerin Türkiye’de hukuka uygun olarak işlenmiş olması, verilerin doğrudan üçüncü kişilere aktarılabileceği demek değildir.
Bir transfer gerçekleşecekse, aşağıdaki koşullardan birinin yerine getirilmesi gerekir:
- İlgili kişinin açık rızasını vermiş olması,
- Kanunlarda açıkça öngörülmesi,
- Bir kişinin yaşamının korunması veya fiziksel olarak yaralanmasının önlenmesi adına, o kişinin bulunduğu durumlarda zorunludur.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması sebebiyle, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Kontrolörün yasal yükümlülüklerini yerine getirilmesi zorunludur.
- Veriler, ilgili kişi tarafından açıkça kamuya açıklanır.