Kişisel Verilerin Korunması Kanunu (KVKK) Nedir, Neleri Kapsar?

Gelişen teknoloji ve dijital servislerin yaşamlarımızın ayrılmaz bir parçası olması, internet kullanıcılarını tüketici konumundan çıkarıp, sürekli veri üreten kaynaklara dönüştürmüştür. Bu verilerin reklam, pazarlama ve iş geliştirme amacıyla kullanılması, günümüz internet şirketlerinin en yaygın pratiklerinden birisi haline gelmiştir.

Ülkemizde kullanıcıların kişisel verilerinin güvenliğini sağlamak için internet servisleri ve şirketleri tarafından kullanımını düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi. Kanunla birlikte kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçiliyor. Kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedefleniyor. Bu doğrultuda, Kişisel Verileri Koruma Kurumu faaliyete girmiştir.

Kanun İnternet Şirketlerini Destekliyor

Kanun kişisel verilerin işlenmesini sınırlamamakta, tam tersine veri temelli ekonomide daha rekabetçi bir noktada olabilmek adına kişisel verilerin işlenmesine ilişkin usul ve esasları düzenliyor. Diğer bir ifadeyle, Kanunda kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesi gözetiliyor. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanıyor. Böylelikle veri ihlaline de engel olunuyor.

Kişisel Verilerin İşlenmesinde Temel İlkeler

KVKK, uluslararası kabul görmüş ve pek çok ülke tarafından uygulanan kişisel verilerin işlenmesine dair temel ilkeleri içerir. Kanunun kişisel verilerin işlenmesine ilişkin getirdiği usul ve esaslar, 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine (GDPR) paralel olarak düzenlendi. Buna göre, ülkemizde kişisel verilerin işlenmesinde gerekli görülen temel ilkeler şu şekilde sıralanmaktadır; hukuka ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, belirli ve açık amaçlar için veri işleme, işlendikleri amaçla bağlantılı ve ölçülü olma, yalnızca gerekli olan süre kadar muhafaza etme.

Kişisel Verilerin İşlenme Şartları

KVKK, kişisel verilerin işlenmesi için belli bazı şartların yerine getirilmiş olmasını zorunlu tutmaktadır. Bu şartlardan en az birinin yerine getirilmesi durumunda, kişisel veriler işlenebilir ancak yerine getirilen şarta göre kısıtlamalar uygulanır. Söz konusu şartlar şöyle sıralanır:

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel veri işleme, kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek kalmıyor. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkünken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. İlgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel Veri Nedir?

Kişisel veri internet üzerinde işlem yapan kullanıcılara ait verilerdir. KVKK kapsamında değerlendirilir. Kimliği belli veya belirlenme imkanı olan herkese ait veriler kişisel veri olarak geçer. Bilgi güvenliği veya kişisel veri koruma ile ilgili şüpheleriniz varsa KVKK danışmanlık tercihini değerlendirebilirsiniz.