Kişisel Verileri Koruma Kanunu ve Kişisel Verilerin Korunması: Hukuki Çerçeve ve Uygulamalar

Kişisel Verileri Koruma Kanunu ve Kişisel Verilerin Korunması: Hukuki Çerçeve ve Uygulamalar

1. Kişisel Verileri Koruma Kanunu (KVKK) Nedir?

Kişisel Verileri Koruma Kanunu (KVKK, 6698 sayılı Kanun), 7 Nisan 2016’da yürürlüğe girmiştir. Türkiye’de kişisel verilerin işlenmesi, korunması ve bireylerin haklarının düzenlenmesinde temel hukuki dayanak olarak görev yapar. Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ile bazı benzerlikler taşırken, kendi özgün hükümlerini de içermektedir. Kanunun temel amacı, bireylerin özel yaşamının gizliliğini sağlamak, kişisel verilerin işlenmesine ilişkin kuralları belirlemek ve bu alandaki hukuki sorumlulukları düzenlemektir.

2. Kişisel Veri Kavramı ve Türleri

KVKK kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanır. Bu veriler iki ana gruba ayrılır:

• Genel Kişisel Veriler: Ad, soyad, telefon numarası, e-posta, adres, doğum tarihi gibi bilgiler.
• Özel Nitelikli Kişisel Veriler: Irk, etnik köken, siyasi düşünce, dini inanç, sağlık bilgileri, biyometrik ve genetik veriler gibi daha hassas bilgiler.

Özel nitelikli kişisel verilerin işlenmesi, daha sıkı şartlara bağlı olup açık rıza gerektirmektedir.

3. Kişisel Verilerin İşlenmesi ve Hukuki Dayanaklar

Kişisel verilerin işlenmesi; verinin toplanması, kaydedilmesi, saklanması, değiştirilmesi, açıklanması, devredilmesi veya silinmesi gibi işlemleri kapsamaktadır. KVKK’ya göre, kişisel verilerin işlenebilmesi için aşağıdaki şartlardan en az birinin sağlanması gerekmektedir:

• Açık rızanın alınması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rıza verilemeyen kişilerin temel haklarının korunması amacıyla zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilişkili olması,
• Hukuki yükümlülüğün yerine getirilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmesi,
• Bir hakkın tesisi, kullanılması veya korunması için gerekli olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati gereği işlenmesi.

Açık rıza her zaman öncelikli tutulmalı ve veri sahibi, rızasını geri çekme hakkına sahiptir.

4. Veri Sorumlusu ve Veri İşleyen Kavramları

KVKK, kişisel verilerin işlenmesinde iki ana aktörü tanımlar:

• Veri Sorumlusu: Kişisel verilerin hangi amaçla ve nasıl işleneceğini belirleyen gerçek veya tüzel kişilerdir.
• Veri İşleyen: Veri sorumlusunun talimatları doğrultusunda veriyi işleme yetkisine sahip kişi veya kuruluşlardır.

Örneğin, bir şirket müşteri verilerini işlerken veri sorumlusu konumunda bulunur; verilerin bulut hizmeti sağlayıcısında saklanması durumunda ise ilgili hizmet sağlayıcısı veri işleyici rolünü üstlenir.

5. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

KVKK’ya göre, kişisel veriler işleme amacını yitirdiğinde; silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bu süreçlerde Kişisel Verileri Koruma Kurumu’nun belirlediği prosedürler uygulanır:

• Silme: Verinin erişilemez ve yeniden kullanılamaz hale getirilmesidir.
• Yok Etme: Verinin fiziksel veya dijital olarak tamamen ortadan kaldırılmasıdır.
• Anonim Hale Getirme: Verinin, veri sahibinin kimliğinin tespit edilemeyecek şekilde değiştirilmesidir.

Bu işlemlerin usulüne uygun yapılmaması, yüksek para cezaları ve diğer yaptırımları beraberinde getirebilir.

6. KVKK’ya Uyumsuzluk ve Yaptırımlar (2025 Güncellemesi)

2025 güncellemesi çerçevesinde, KVKK’ya aykırı hareket eden kişi veya kurumlara yönelik idari para cezaları uygulanmaktadır. 6698 sayılı Kanunun 18. maddesi uyarınca belirlenen para cezaları şu şekildedir:

1. Aydınlatma Yükümlülüğünü Yerine Getirmeme (KVKK m.10):
   • Alt Limit: 68.973 TL
   • Üst Limit: 1.378.865 TL
2. Veri Güvenliği Yükümlülüklerini İhlal Etme (KVKK m.12):
   • Alt Limit: 137.947 TL
   • Üst Limit: 2.757.731 TL
3. Kurul Kararlarına Aykırı Hareket Etme (KVKK m.18):
   • Alt Limit: 275.894 TL
   • Üst Limit: 6.896.828 TL
4. Veri Sorumluları Sicili (VERBİS) Kayıt ve Bildirim Yükümlülüğünü Yerine Getirmeme (KVKK m.18):
   • Alt Limit: 68.973 TL
   • Üst Limit: 1.378.865 TL

Öneriler:

• Aydınlatma metinleri güncellenmeli ve açık rıza süreçleri eksiksiz uygulanmalıdır.
• Veri güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirler alınmalıdır.
• VERBİS kaydı zorunlu olan şirketler, ilgili sicile kayıt yaptırarak yükümlülüklerini yerine getirmelidir.

Sonuç: Kişisel Verilerinizin Korunması İçin Ne Yapmalısınız?

• Kişisel verilerinizi paylaşmadan önce, hangi amaçla ve kimlerle paylaştığınızı dikkatle değerlendirin.
• KVKK’ya uyum sağlamayan şirketler hakkında şikayette bulunma hakkınızı kullanın.
• Açık rıza taleplerini özenle inceleyin ve gerekirse rızanızı geri çekin.
• Dijital ortamda paylaştığınız kişisel verilerin silinmesi ve anonim hale getirilmesi yöntemleri hakkında bilgi sahibi olun.
• Şüpheli veri işleme faaliyetleriyle karşılaştığınızda, Kişisel Verileri Koruma Kurumu’na başvurun.