KVKK : Kişisel Verilerin Korunması Kanunu Hakkında Genel Bilgiler

Posted on by

KVKK HAKKINDA GENEL BİLGİLER

KVKK, Kişisel Verilerin Korunması Kanunu, Türkiye’de 24 Mart 2016 tarihinde kabul edilmiş ve 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu, hızla değişen ve gelişen teknoloji karşısında bireylerin hak ihlalini önlemek üzere çıkarılmıştır. Kanun 2016 yılında yürürlüğe girmiş ve aktif bir şekilde uygulama alanı bulmuştur. KVKK’nın ne zaman yürürlüğe girdiği, kişisel verilerin işlenmesi ve bu hususta düzenlenen cezai yaptırımlar nedeniyle önemlidir.

Kişisel veri, kimliği belirli ya da belirlenebilir bir kişiyle ilgili herhangi bir bilgidir. Kişisel veriler gerçek kişinin diğer kişilerden ayırt edilmesini, bilinmesini, tanınmasını sağlar. 6698 sayılı kanun; kişisel verilerin işlenmesi, korunması, kullanımı ve saklanması ile ilgili kuralları belirleyerek bu alanda faaliyet gösteren kurumların ve kişilerin yükümlülüklerini düzenler.

Kişisel Verilerin Korunması Kanunu : ttps://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf tam metin için tıklayınız.

Kişisel Veriler Neleri Kapsıyor?

Kişisel veri, kimliği belirli ya da belirlenebilir her türlü veri olarak tanımlanır. Bu doğrultuda Kanunun 5. maddesinde düzenlendiği üzere ad,soyad, TC kimlik numarası, vergi numarası, adres, telefon, fotoğraf, video vb. veriler kişisel nitelikli verilerdir ve bunların işlenmesi ancak kişinin açık rızası ile mümkündür.

Kişisel veriler çok çeşitli olabilir ve kişinin kimliği ya da özel hayatı hakkında herhangi bir bilgiyi içerebilir. Birkaç örnek verecek olursak:

  1. Temel Kişisel Veriler: Ad, soyad, TC kimlik numarası, cinsiyet,doğum tarihi…
  2. Özel Nitelikli Kişisel Veriler: Din, ırk, etnik köken, siyasi görüş, sendikal üyelik, sağlık durumu, cinsel yaşam…
  3. İletişim Bilgileri : Telefon numarası, posta adresi, e-posta adresi, sosyal medya hesapları…
  4. Konum Bilgileri : GPS bilgileri, IP adresi, yerel veriler…
  5. Finansal Bilgiler: Kredi kartı bilgileri, banka hesap numaraları, kişilerin finansal bilgileri, ödeme geçmişi…
  6. İşlem Bilgileri: İnternet tarayıcısı verileri, işlem geçmişi, arama geçmişi…
  7. Sağlık Bilgileri: Tıbbi kayıtlar, teşhis raporları, hastalık geçmişi, sigorta bilgileri, reçeteler…

Kişilerin üçüncü kişiler tarafından ayrımcılığa uğramaması ve haysiyetinin korunması amacıyla yaşam şekline ilişkin kişisel verileri korunur. (Örneğin suç geçmişi, cinsel tercih, kişisel özel aktiviteler, politik eğilimler vb.)

Suçlular tarafından suistimale ve kimlik hırsızlığına hedef olmamak için, ekonomik ve finansal kişisel veriler korunur. (Örneğin; mali varlık, sahip olunan hisse ve hesaplar, borçlar, yapılan alış verişler vb.)

Sağlık verileri kişilerin sosyal yaşantısı ve psikolojik durumları hakkında bilgi edinilmesine neden olabilir. Sağlık verileri kişilerin iş güvenliğini, toplum içindeki statüsünü ve sigorta kapsamını etkileyen hassas bilgilerdir. Bu nedenle sağlık verileri korunur.

İnternette gezinti yapan kişi, birçok kişisel verisini paylaşmakta ve bu bilgiler kayıt altına alınmaktadır. Kişilerin verileri, bilişim alanına ilişkin kişisel veriler olarak korunmaktadır. E-postaların bizzat adresleri veya şifreleri, internet ortamında paylaşılan kişisel veriler mahrem olarak değerlendirilebilir.

Politik kişisel veriler, toplum içinde yaşayan kişilerin ayrımcılığa maruz kalma ihtimalini oluşturduğundan korunur.

Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanunda, kişisel verilerin işlenme ilkeleri belirlenerek işlenme şartlara bağlanmıştır. Kişisel verilerin hukuka uygun olarak işlenmesi gerekir. Verilerin toplanması için açık rıza alınmalı, veriler güncel ve doğru tutulmalıdır. Verilerin güvenliği için gerekli önlemler alınmalı ve işlenmesi amaca uygun olmalıdır. Veriler işlenirken, veri sahibi bilgilendirilmelidir. Verilerin saklanması için belirli süreler belirlenmeli ve verilerin silinmesi veya yok edilmesi için belirli prosedürler izlenmelidir.  Ayrıca KVKK, kişisel verilerin yurtdışına aktarılması ile ilgili kuralları da belirler.

Kişisel Veri İşleme Şartları

Kişisel veri işleme şartları, ulusal yasalar, yönetmelikler ve uluslararası sözleşmeler tarafından belirlenir ve uygulanır. Kişisel veri işleme şartları ilgili Kanun’un 5. maddesinde sayılmıştır. KVKK m.5’e göre kişisel veri işleme şartları şunlardır:

  1. Açık rıza.
  2. Kanunlarda açıkça öngörülmesi.
  3. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  6. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.,
  8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel Verilerin Korunmasından Kim/Kimler Sorumludur?

Kanun kapsamında üç ana muhatap vardır;

  1. Verileri işlenen gerçek kişiler (Kanun genel olarak yalnızca gerçek kişilerin verilerini korumaktadır ve tüzel kişilerin verileri Kanun kapsamında değildir.)
  2. Veri kayıt sisteminin kurulmasını ve yönetilmesini sağlayan veri soumlusu.
  3. Veri sorumlusunun direktifleri doğrultusunda verileri işleyen kişiler.

Kişisel verilerin korunmasından öncelikle veri sorumlusu görevlidir. Veri sorumlusu, insanların kişisel verilerini belirli bir amaç doğrultusunda ve belirli bir yöntemle kaydeden tüzel veya gerçek kişidir. Bununla birlikte, veri sorumlusunun direktifleriyle veriyi işleyen kişiler de verilerin korunmasında sorumluluk sahibidir.

KVKK Kabahatleri ve Cezalar

KVKK cezalarını iki gruba ayırmak mümkündür: hapis cezaları ve idari para cezaları. KVKK’nın 17. maddesinde; kişisel veri ihlallerinde, kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. maddelerinin uygulanacağı, 18. maddesinde ise kişisel veri ihlali halinde uygulanacak idari para cezaları yani kabahat niteliği taşıyan fiiller düzenlenmiştir.

Kişisel Verilerin Kaydedilmesi Suçu / TCK Madde 135

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu / TCK Madde 136

(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

Verileri Yok Etmeme Suçu / TCK Madde 138

(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

TCK 135, TCK 136 ve TCK 138 suçları, takibi şikayete bağlı olmayan suçlardandır. Bu suçlardan dolayı soruşturma veya yargılama işlemlerinin yapılabilmesi için herhangi bir kişinin şikayetine gerek yoktur. TCK 135, TCK 136 ve TCK 138 suçlarından ötürü şikayetten vazgeçme gibi bir durum da söz konusu olamaz.

SUÇUN İŞLENİŞ ŞEKLİSUÇUN CEZASI
TCK 135Kişisel verilerin KVKK ve diğer mevzuat hükümlerine aykırı olarak kaydedilmesi1 yıl ile 3 yıl arasında değişen hapis cezası

Kişisel verilerin özelliğine göre 1/2 oranında artırılmış ceza verilebilir.
TCK 136Kişisel verilerin hukuka aykırı olarak başkalarına aktarılması, ele geçirilmesi, yayılması2 ile 4 yıl arasında değişen hapis cezası
TCK 138Kişisel verilerin yok edilmemesi1 ile 2 yıl arasında değişen hapis cezası
Tablo 1
KVKK Kabahatleri ve Cezalar

Bazı durumlarda veri sorumlusunun fiilleri kabahat teşkil edebilir. Hangi fiillerin kabahat olduğu ve öngörülen cezalar KVKK madde 18’de yer alıyor.

Madde 18 – Kabahatler

(1) Bu Kanunun;

  • a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Söz konusu idari para cezaları her yıl değerleme oranına göre değişmektedir.

Kişisel Verilerin Korunması Hukukunun Ulusal Kaynakları

  • 1982 Anayasası
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 4721 sayılı Türk Medeni Kanunu (TMK)
  • 6098 sayılı Türk Borçlar Kanunu (TBK)
  • 5237 sayılı Türk Ceza Kanunu
  • 5809 sayılı Elektronik Haberleşme Kanunu
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • Kişisel Verilerin Korunması Yönetmeliği
  • Kişisel Verileri Koruma Kurulu Kararları