CookieSeal Blog

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Kişisel Verilerin Korunması Kanunu, kişisel veri, veri sorumlusu, veri işleyen, özel nitelikli kişisel veri gibi birçok terim hayatımıza girdi. Yeni teknolojik gelişmeler hayatımızda bazı önemli değişikliklere yol açmıştır. Bu değişiklikler özellikle temel insan haklarından biri olan mahremiyet ve güvenlik konularındaki kurallar ve yasalar olarak karşımıza çıkmaktadır.

Günümüzde hem kamu kurumları hem de özel sektör kuruluşları yapılan iş kapsamında binlerce kişiye ait çeşitli bilgilere ulaşabilmektedir. Bilgi teknolojilerinde yaşanan hızlı gelişmeler sonucunda elde edilen bu bilgiler kolayca işlenebilmekte ve iletilebilmektedir.

Bu kaçınılmaz dönüşüm kurumların gizlilik ve güvenlik konusundaki gereksinimlerini karşılayabilmek adına hayatlarımıza Kişisel Verilerin Korunması Kanunu’nu dahil etmiştir.

KVKK’nın yürürlüğe girmesinden önce Türkiye’de kişisel verilerin korunması ile ilgili kurallar Türk Ceza Kanunu, Anayasa ve ilgili diğer mevzuatlar ile belirlenmekteydi. Kişisel Verileri Koruma Kanunu (KVKK), 7 Nisan 2016’da yürürlüğe giren ve Türkiye’de kişisel verilerin korunmasını düzenleyen ve kişisel verileri işleyen kurum ve kişilerin uyması gereken yasal yükümlülükleri belirleyen ilk kanun olma özelliğini taşımaktadır. Veri güvenliği ve korunması Türkiye Cumhuriyeti Anayasası’nda tek bir hüküm ve Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmiştir.

KVKK kapsamında hangi veriler korunmaktadır?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi olarak tanımlanmaktadır. Türkiye’nin veri koruma mevzuatı ayrıca ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep veya diğer inançlar, kılık, dernek, vakıf veya ticaret üyeliği gibi özel kategorilerdeki kişisel verileri de içermektedir. Sendikalar, sağlık verileri, cinsel yaşamla ilgili bilgiler, önceki ceza mahkumiyetleri ve güvenlik önlemleri ile biyometrik ve genetik veriler KVKK kapsamında korunmaktadır.

KVKK kimlere uygulanır?

KVKK, Türkiye’de toplanan verileri işleyen tüm veri sorumluları ve veri işleyenler için geçerlidir. Bu, Türkiye’de yerleşik kuruluşları ve ayrıca Türk veri sahiplerinin kişisel bilgilerini işleyen yabancı gerçek veya tüzel kişileri de içermektedir.

KVKK’nın GDPR (Avrupa Birliği Hukukunda Genel Veri Koruma Yönetmeliği)’den en büyük farkı, KVKK kapsamında veri sorumlularının KVKK’nın Veri Sorumluları Sicil Bilgi Sistemi olan VERBİS’e kayıt olma zorunluluğudur. VERBİS’e kayıt olmak, tüm veri sorumluları için Türkiye’de yerleşik kişilerin verilerini işlemeye başlamadan önce zorunlu tutulmaktadır. VERBİS’e kaydolduktan sonra veri kontrolleri dahil oldukları veri işleme faaliyetlerini kaydeder.

VERBİS’e kaydolmak ve kişisel verilerin işlenmesini başlatmak için kuruluşların öncelikle Türk Tüzel Kişisi veya Türk Gerçek Kişisi olması gereken bir veri sorumlusu temsilcisi ataması gerekmektedir. Kayıt sırasında, veri sahibi kategorilerini, işledikleri veri türlerini, amaçlarını, yasal dayanaklarını ve bir kuruluşun uymak için aldığı teknik ve idari önlemleri tanımlayan bir Veri İşleme Envanteri sunmaları da beklenmektedir.

VERBİS’e kaydolmamak, idari para cezalarına veya kontrolörün veri işleme faaliyetlerinin kısıtlanmasına neden olabilir.

Bir ülkenin KVKK tarafından yeterli kabul edilen bir veri koruma düzeyine sahip olması veya veri kontrolörlerinin önceden onayladığı bir şekilde yeterli düzeyde koruma sağlamayı yazılı olarak taahhüt etmesi durumunda, kişisel verilerin uluslararası aktarımına veri sahibinin açık rızasıyla izin verilir.

Bu hükümler GDPR hükümlerine benzer olmakla birlikte, KVKK ayrıca Kişisel Verileri Koruma Kurumu’nun Türkiye’nin menfaatlerini veya verinin korunmasını dikkate alması durumunda ilgili kişinin açık rızası alınmış olsa dahi verilerin sınır ötesi aktarımını yasaklamasına izin vermektedir.

Veri sorumluları, bir veri ihlalinden haberdar olduktan sonraki 72 saat içinde KVKK tarafından sağlanan Veri İhlali Bildirim Formu’nu kullanarak KVKK’ya bildirimde bulunmakla yükümlü tutulmaktadır. Herhangi bir gecikme için gerekçeler de formlar ile birlikte gönderilmelidir. Etkilenen veri sahipleri de ihlalden haberdar edilmelidir ancak bunun için belirli bir zaman çerçevesi belirtilmemiştir.

Aynı karar kapsamında, KVKK ayrıca veri sorumlularının bir veri ihlali durumunda iletişim kurulacak bir irtibat kişisini belirlemesi gereken bir Veri İhlali Müdahale Planı hazırlamasını şart koşmuştur. Bu kişi, birincil irtibat noktası olacak ve meydana gelebilecek herhangi bir ihlalin sonuçlarının değerlendirilmesinden sorumlu olacaktır.

KVKK gereklerine uymayan veri sorumluları, ihlalin ağırlığına bağlı olarak yaklaşık 1.5 Milyon TL’ye kadar idari para cezası ile karşı karşıya kalmaktadır. Cezaların değeri, Vergi Usul Kanunu Tebliğleri ile Resmi Gazete’de yayımlanan yeniden değerleme değerleri esas alınarak her yıl artırılmaktadır.

Çerezler hakkında diğer faydalı yazılarımızı da okumanızı tavsiye ederiz: “Çerez Yönetimi Zorunlu mu?”, “Çerezler ve Açık Rıza“, “Çerez Politikası Nedir?“, “Cookie Türleri“.