KVKK Nedir?
Aristoteles, insanın doğası gereği sosyal bir varlık olduğunu ifade etmiştir. İnsanlar, toplum içinde iletişim kurma, bilgi edinme, bilgilerini paylaşma ve topluluklar oluşturma ihtiyacı duyar. Tarih boyunca, bireyler tehlikelerden korunmak, uygunsuz davranışları belirlemek, başkalarının hareketlerini denetlemek ve toplumsal düzeni sağlamak amacıyla çevrelerindeki kişilerin davranışlarını incelemiş ve kaydetmişlerdir.
Dijitalleşmenin hız kazanmasıyla birlikte kişisel verilere olan ihtiyaç artmış, bu durum şirketlerin pazarlama stratejilerini de değiştirmiştir. Artık herkese rastgele reklam göstermek yerine, kullanıcıların ilgi alanları analiz edilerek hedefe yönelik reklamlar sunulmaktadır. Örneğin, bir e-ticaret platformunda “ayakkabı” arattığınızda, size ayakkabı ile ilgili reklamların gösterilmeye başlanması bu süreçle ilgilidir. Ancak bu gelişmeler, kişisel verilerin güvenliği açısından bazı riskleri de beraberinde getirmiştir.
Kişisel verilerin sanal ortamda kontrolsüz bir şekilde yayılması, bireylerin kendi bilgileri üzerindeki hakimiyetlerini kaybetmelerine yol açabilmektedir. Kişi, kendi verilerini silmek istese bile, bu bilgiler birçok farklı platformda yayılmaya devam edebilir. Bu ve benzeri tehditler nedeniyle Kişisel Verilerin Korunması Kanunu (KVKK) ve 6698 sayılı yasa yürürlüğe girmiştir. Ancak, halen birçok şirket, eczane ve diğer veri sorumluları KVKK hakkında danışmanlık ihtiyacı duymakta ve bu alanda uzman avukatlara yönelmektedir.
Kişisel Verilerin Korunması Kanunu
Kişisel verilerin korunması temel bir insan hakkı olup, bu konuda yasal düzenlemelerin eksiksiz bir şekilde uygulanması büyük önem taşımaktadır. Kişisel verilerin hukuka aykırı işlenmesi, elde edilmesi ve paylaşılması, KVKK ve Türk Ceza Kanunu kapsamında suç teşkil etmektedir. Bu nedenle, ülkemizde kişisel verilerin korunmasına ilişkin düzenlemelerin tam anlamıyla uygulanması ve bireylerin bu konuda bilinçlendirilmesi gerekmektedir.
7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren KVKK, her ne kadar yeni bir yasa gibi görünse de kişisel verilerin korunmasına ilişkin düzenlemeler daha önce de ulusal mevzuatımızda yer almaktaydı. Anayasa başta olmak üzere, Türk Ceza Kanunu, Medeni Kanun, İş Kanunu, Bankacılık Kanunu ve Elektronik Ticaret Kanunu gibi çeşitli yasal düzenlemeler, kişisel verilerin korunmasını içeren hükümler barındırmaktadır. Ancak, mevcut düzenlemelerin yetersiz kalması nedeniyle KVKK yürürlüğe konulmuştur.
Kanunun temel amacı, kişisel verilerin işlenmesi sürecinde bireylerin mahremiyetini korumak, temel hak ve özgürlükleri güvence altına almak ve veri işleyen kurum ve kuruluşların yükümlülüklerini belirlemektir. Kanun, kamu ve özel sektör fark etmeksizin tüm gerçek ve tüzel kişilere uygulanmaktadır. Ayrıca, kişisel verilerin otomatik sistemlerle veya manuel olarak işlendiği her durumda bu düzenleme geçerlidir.
Kişisel Veri Nedir?
KVKK’ya göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Bu tanım, yalnızca isim ve soyisim gibi temel bilgileri değil, aynı zamanda bireyin internet üzerindeki davranışları gibi dolaylı yollarla tanımlanmasını sağlayabilecek bilgileri de kapsamaktadır. Günümüz teknolojisi sayesinde, bireylerin çeşitli dijital ortamlardaki faaliyetleri takip edilerek analiz edilebilmekte ve bu veriler, ilgili kişiye özgü kategorilere ayrılabilmektedir.
Özel Nitelikli Kişisel Veri Nedir?
Kanun, bazı verileri “özel nitelikli kişisel veri” olarak sınıflandırmıştır. Bunlar arasında ırk, etnik köken, siyasi görüş, dini inanç, mezhep, felsefi düşünce, kılık-kıyafet tercihleri, sendika veya dernek üyeliği, sağlık bilgileri, cinsel yaşam, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler yer almaktadır. Bu tür veriler, ancak ilgili kişinin açık rızası ile işlenebilir ve özel güvenlik tedbirleri alınarak korunmalıdır.
KVKK Kapsamındaki Yükümlülükler
Kişisel veri işleyen kuruluşlar (örneğin şirketler, hastaneler, eczaneler), KVKK çerçevesinde “Veri Sorumlusu” veya “Veri İşleyen” olarak kabul edilmektedir. Veri Sorumlusu, kişisel verilerin işlenme amacını ve yöntemlerini belirleyen kişi veya kuruluşken; Veri İşleyen, bu verileri Veri Sorumlusu’nun talimatları doğrultusunda işleyen kişi veya kurumdur. Her iki tarafın da kişisel verileri hukuka uygun olarak işleme yükümlülüğü bulunmaktadır. KVKK, kişisel verilerin yalnızca belirli şartlar altında işlenebileceğini belirtmiş olup, bu şartlar dışında veri işlenmesi yasaktır. Ayrıca, veri işleme faaliyetleri için ilgili kişiden açık rıza alınması gerekmektedir.
VERBİS Kaydı ve Diğer Yükümlülükler
KVKK kapsamında, kişisel veri işleyen kuruluşların “Veri Sorumluları Sicili” (VERBİS) sistemine kayıt olmaları gerekmektedir. Bu kayıt işlemi, kişisel verilerin işlendiği her ortamda aydınlatma yükümlülüğünün yerine getirilmesi ile birlikte yürütülmelidir. VERBİS kaydı ve ilgili süreçlerin yanlış veya eksik uygulanması ciddi idari para cezalarına yol açabilir. Bu nedenle, uzman hukuk danışmanlarından destek alınması önemlidir.
KVKK Kapsamındaki Cezalar ve Yaptırımlar
KVKK’ya aykırı hareket eden veri sorumluları için idari para cezaları öngörülmüştür. 2024 yılı itibarıyla güncellenen cezalar şu şekildedir:
- Aydınlatma yükümlülüğünü ihlal edenler
- Veri güvenliğini ihlal edenler
- Kurul kararlarına uymayanlar
- VERBİS yükümlülüğünü yerine getirmeyenler
Bunun yanı sıra, kişisel verileri hukuka aykırı işleyen kişiler, Türk Ceza Kanunu kapsamında 1 yıldan 6 yıla kadar hapis cezası ile cezalandırılabilir.
Sezgin Hukuk Bürosu, kişisel veri güvenliği konusunda bireylere ve işletmelere hukuki destek sağlayarak, KVKK’ya uyum sürecinde gerekli adımları atmaları için profesyonel danışmanlık hizmeti sunmaktadır. Veri sorumluları ve işleyenlerinin mevzuata uygun hareket etmeleri için özel çözümler geliştirmekte ve KVKK gerekliliklerinin her sektöre özel olarak uygulanmasını sağlamaktadır.