KVKK (Kişisel Verileri Koruma Kanunu) Nedir?

Veri, günlük yaşantımızda gitgide önemi artan bir konu haline gelmektedir. Bazı şirketler kullanıcalardan elde ettikleri verileri farklı şekilde kullanabilmektedirler. Bu durum bazen risk yaratabilmektedir. Satın alma alışkanlıklarımızdan, vereceğimiz bazı önemli kararlara kadar verinin işlenmesine pek çok noktada oldukça kritiktir. Peki, verinin bu kadar önemli olduğu bir dönemde kullanıcı verileri nasıl korunacak? Bu içeriğimizde sizler için Kişisel Verileri Koruma Kanunu anlamına gelen “KVKK Nedir?” sorusunu yanıtlayacağız.

KVKK Nedir?

KVKK, kişisel verilerin korunmasını ve işlenmesini düzenleyen bir yasadır. KVKK açılımı, Kişisel Verileri Koruma Kanunu’dur. Bu kanun,  kişisel verilerin korunmasını ve işlenmesini düzenleyen bir yasa olup T.C. Anayasa Mahkemesi tarafından onaylanmıştır. 

KVKK; kişisel verilerin toplandığı, işlendiği ve kullanıldığı her türlü etkinlikte kişilerin haklarını korur ve bu verilerin güvenliğini sağlar.

Bu kavramı gündelik yaşantımızdan bir örnek ile açıklayalım:

İnternet üzerinden herhangi bir ürün satın aldığınız zaman, siparişinizin size doğru bir şekilde ulaştırılması için bazı kişisel bilgilerinizi satıcı ile paylaşmanız gerekmektedir. Örneğin; adınızı, soyadınızı, adresinizi, telefon numaranızı ve kart bilgilerinizi gibi verileri satıcıyla paylaşmanız son derece önemlidir. 

Bu kanun, kişisel bilgilerinizin paylaştığınız kişi veya kurumlar tarafından korunmasını zorunlu kılmaktadır. Bu verilerin isteğinizin haricinde paylaşılmasını da suç olarak tanımlanmaktadır. 

KVKK’ın Önemi

KVKK (Kişisel Verilerin Korunması Kanunu), kişisel bilgilerin güvenliğini sağlamak için oluşturulmuş bir kanundur. 6698 sayılı Kanun kapsamında KVKK, kişisel veri işleme süreçlerinde uyulması gereken standartları belirleyerek veri ihlallerini önlemeyi amaçlamaktadır. Bu kanun, bireylerin isim, adres, telefon numarası gibi özel bilgilerini izinsiz kullanılmaktan korumaktadır. Örneğin, bir şirket sizin onayınız olmadan bilgilerinizi reklam için kullanamaz. KVKK, bireylerin gizliliğini korumanın yanı sıra şirketlere bu kurallara uyması için sorumluluklar da yüklemektedir. Bu sayede, herkesin kişisel bilgileri güvende kalmakla birlikte kötüye de kullanılamaz hale gelecektir. Kapsamı dahilinde, kişisel verilerin otomatik ya da otomatik olmayan yollarla işlenmesi sırasında, veri sahiplerinden onay alınması zorunludur. KVKK’nın önemi, bireylerin mahremiyetini koruyarak güvenli bir dijital ortam yaratmakta kendini göstermektedir.

KVKK Ne Zaman Yürürlüğe Girdi?

KVKK, Türkiye Büyük Meclisi tarafından 24 Mart 2016 tarihinde kabul edilmiştir. 7 Nisan 2016 günü, 29677 Sayılı Resmi Gazete‘de yayımlanmıştır. 

Yürürlüğe girdiği tarihten itibaren uygulanması birkaç yıl sürmüştür. KVKK‘nın tam olarak uygulanmaya başlaması, yasal düzenlemelerin tamamlanması ve veri koruma sorumlularının atanması ile son halini almıştır.

İlgili İçerik: E-Ticaret İade İşlemlerinde Yeni Dönem

Kişisel Verilerin Korunması 6698 Sayılı Kanununun Amacı

“KVKK Nedir?” sorusuyla birlikte sıkça sorulan bir diğer soru da KVKK’nın amacının ne olduğudur.

KVKK, Türkiye Cumhuriyeti’nde kişisel verilerin; toplama, kullanma, açıklama, paylaşma ve saklama gibi işlemlerinin yapılmasını düzenler ve bu işlemlerin yasal bir çerçeve içinde yapılmasını sağlar.KVKK kapsamında verilerinizi toplayan, işleyen ve kullanan kişi veya kurumlar karşı tarafı bilgilendirmesi zorunludur. Yani verilerinizi paylaştığınız yerler, almış oldukları veriler ile ne yapacaklarını size bildirmek zorundadır.

Kanun ile birlikte kişisel verileriniz korunma altına alınır. Paylaştığınız veriler şahsi bilgilerinizi içerdiği için, sizin rızanız haricinde verilerinizin üçüncü kişilerle paylaşılmasını suç olarak tanımlar.

Özet olarak kanunun amacı kişisel verilerinizin korunması ve bu bilgilerin rızanız haricinde paylaşılmamasını sağlamaktır.

İlgili İçerik: Tüketici Hakları Nelerdir?

Hangi Kişisel Bilgiler KVKK Kapsamına Girer?

Kişisel Verileri Koruma Kanunu’nun kapsamı son derece geniş ve nettir. Bu kanun; kişisel verileri kısmen veya tamamen, otomatik olan ya da olmayan, veri kayıt sisteminin parçası olmak kaydıyla işleyen tüm gerçek ve tüzel kişiler ile birlikte kişisel verileri işlenen gerçek kişileri kapsar. Yani KVKK, Türkiye’de yerleşik olan veya Türkiye’de faaliyet gösteren her türlü kuruluşu ve kurumu kapsar. Bu kuruluşlar ve kurumlar, özel veya tüzel kişiler olabilir ve ticari veya sivil amaçlarla faaliyet gösterebilir. KVKK, ayrıca Türkiye’de yerleşik olmayan ancak Türkiye’de kişisel verilerini işleyen kuruluşları da kapsar.

Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili’ne  kayıt olma zorunluluğu getirmiştir. Ama bazı durumlarda, işlenecek verinin niteliği, konusu, amacı, boyutu gibi kriterler göz önüne alınarak, kurul tarafından bazı veri sorumlularına, bu sicile kayıt olma konusunda muafiyet getirilebilir. Bu muafiyet genellikle verinin bir kanun kapsamında işlenmesi durumu  doğar. 

KVKK İzni Nasıl Alınır?

Günlük hayatta neredeyse tüm kategoriler kapsamında KVKK izni alınabilir. Örneğin bir etkinliğe katılım durumunda KVKK izni alınır. Bu izin, kişiye ait verilerin paylaşılması veya kullanılması için KVKK kapsamında alınan bir açık rızadır. Açık rıza ile kişiler, kendilerine ait verilerin işlenmesine onay verir. Bu onay kimi zaman kişinin kendi isteğiyle kimi zaman karşı taraftan gelen istek üzerine verilir.

KVKK Aydınlatma Metni Nasıl Olmalıdır?

KVKK aydınlatma metni, kanunun 10. ve 11. maddesi kapsamında belirtilen tüm detayları içerecek ve veri sahibi tarafından anlaşılabilecek şekilde olmalıdır. Ayrıca verileri işleyen tarafın Veri Sorumluları Sicili’ne kaydı varsa, aydınlatma metnindeki bilgiler ile sicile bildiren bilgiler birbiri ile uyumlu olmalıdır, yanıltıcı ve çelişkili bilgiler içermemelidir.

Bunların yanında kanun kurulu tarafından hazırlanan ve 10.03.2018 tarihinde Resmi Gazete’de yayımlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ’de belirtilen usul ve esaslara da uyulmalıdır.

KVKK Kimleri Kapsar?

KVKK, kişilere ait bilgileri açık rıza olmadan hiçbir şekilde işleyemez. Verilerin işlenmesi için öncelikle kişinin açık rızası alınır. Açık rızanın alınması gereken bilgiler aşağıdaki gibi sıralanabilir.

• Kimlik Bilgileri
• Irkı, dini ve mezhebi
• Etnik kökeni
• Genetik ve biyometrik veriler
• Telefon numarası ve e-posta adresi
• Sosyal güvenlik ve pasaport numarası 
• Özgeçmiş
• Parmak izi
• Hobiler ve tercihler
• Resim, görüntü ve ses kayıtları
• Siyasi düşünce
• Ceza mahkumiyeti
• Dernek, vakıf ve sendika üyeliği 
• Güvenlik tedbirleriyle ilgili bilgiler
• Motorlu taşıt plakası

gibi her türlü kişisel bilgi KVKK’nın kapsamındadır. Kişiyi tanımlayan veya ilişkilendiren bilgiler KVKK ile koruma altına alınır.

Kişisel Verilerin Korunması Kanunu Kapsamında E-ticaret Siteleri İçin Alınması Gereken Önlemler Nelerdir?

Dijital ortamlar, kişisel verilerin en çok toplandığı ortamlardan biridir. E-Ticaret siteleri de veri akışını en çok olduğu yerlerdendir. Kullanıcıların alışveriş yapmaları için kimlik bilgileri, ev adresleri gibi kişisel bilgileri ile giriş yapmalılardır. 

E-ticaret sitelerinin KVKK kapsamında yerine getirilmesi gereken bazı yükümlülükler aşağıdaki gibidir:

• Veri Sorumluları Siciline kayıt olmak 
• Veri sahipleri için aydınlatma metni yayınlamak
• Veri sahiplerinin açık rızasını almak
• Veri güvenliği ile ilgili tedbirler almak
• Veri güvenliğini riske atmayacak teknik altyapıya sahip olmak
• Verileri hukuka uygun bir şekilde aktarmak
• Verileri ilkelere uygun bir şekilde işlemek
• Veri sahiplerinin taleplerini cevaplamak
• Veri işleme eylemi ortadan kalktığında verileri silmek veya anonimleştirmek 

Bu şartların yanında bir de kişisel veriler yeniden kullanma konusunda bir yönetmelik mevcuttur. İleti Yönetim Sistemi adı verilen bu uygulama, kullanıcıların iletişim bilgilerini izinsiz kullanmayı engelleyen bir uygulamadır.

KVKK Kapsamında Alınması Gereken Teknik Tedbirler Nelerdir?

E-Ticaret siteleri veri güvenliklerini riske atmayacak teknik altyapıya sahip olmalı ve bu durum için tedbirler almalıdırlar. Teknik altyapıyı iyileştirmelerini içeren bu tedbirler, kullanıcı verilerinin güvenliğini sağlar. Bu güvenlik önlemlerini aşağıdaki gibi sıralayabiliriz;

• Sertifikalar
• SSL Güvenlik Katmanı 
• Güvenlik Duvarı
• Çerkez Politikası

KVKK’nın Ceza ve Yaptırımları Nelerdir?

İçeriğimizin bu kısmına kadar sizlere “KVKK Nedir?” sorusunu yanıtlandırdık. Peki, bu kanuna uymamanın ceza ve yaptırımları nelerdir? 

KVKK bir kanundur. Bu kanun; veri toplama, işleme, kullanma ve paylaşma gibi faaliyetleri düzenleyen bir yasa olup veri sahiplenme, veri güvenliği, veri sızıntıları ve veri kullanımı gibi konuları da kapsar. Kişisel Verileri Koruma Kanunu’na uymamanın çeşitli ceza ve yaptırımı vardır. Para cezasından hapis cezasına kadar farklı yaptırımlar bulunmaktadır. 

İlgili İçerik: Mesafeli Satış Sözleşmesi Nedir?

İdari Para Cezaları Nelerdir?

İdari para cezalarının miktarı, KVKK hükümlerine uymadığının ağırlığına göre belirlenir. Bu cezaların miktarı, KVKK hükümlerine uymadığının ağırlığına göre değişebilir. 

Bu para cezaları maddelerin yükümlülüklerine göre değişmektedir. Bu cezalar, on binlerce türk lirasından milyonlara kadar çıkabilmektedir. 

KVKK resmi web sitesinden bu cezaların tutarlarını öğrenebilirsiniz.

Hapis Cezaları Nelerdir?

Kişisel Verileri Koruma Kanunu’nun ihlali ciddi bir suçtur. Suçun işlenmesi sonucunda verilebilecek cezalardan biri de hapis cezasıdır. Bu cezalar Türk Ceza Kanunu uyarınca mahkemeler tarafından verilmektedir.

KVKK ile İlgili Sıkça Sorulan Sorular

“KVKK Nedir?” sorusu başta olmak üzere, kullanıcılar bu konu hakkında birçok detayı merak etmektedir. Kullanıcılar tarafından sıkça sorulan sorular aşağıdaki gibi listelenebilir.

Kişisel Veri Nedir?

Kişisel veri, bir bireyi doğrudan ya da dolaylı olarak tanımlayabilecek her türlü bilgidir. Bu bilgiler arasında ad, soyad, doğum tarihi, kimlik numarası, adres, telefon numarası, e-posta gibi bilgiler yer almaktadır. Bunlara ek olarak, bir kişinin fiziksel, ekonomik, sosyal ya da kültürel özelliklerini ortaya koyan bilgiler de kişisel veri kapsamındadır. Kısacası, bir kişiyi belirli veya belirlenebilir hale getiren her türlü bilgi kişisel veri olarak kabul edilmektedir.

Özel Nitelikli (Hassas) Kişisel Veri Nedir?

Özel nitelikli (hassas) kişisel veri, bir kişinin mahremiyetini daha fazla koruma gerektiren ve kötüye kullanıldığında kişiye zarar verebilecek bilgilerdir. Bu veriler, kişinin ırkı, etnik kökeni, siyasi görüşü, dini inancı, sağlık durumu, cinsel hayatı, ceza mahkûmiyeti gibi hassas konuları içermektedir. Ek olarak, biyometrik ve genetik veriler de özel nitelikli kişisel veri kapsamında değerlendirilmektedir. Bu tür verilerin işlenmesi, daha sıkı kurallar ve özel izinlere bağlı olduğundan bu verilerin korunması kişinin temel hak ve özgürlükleri açısından çok daha önemlidir.

KVKK Kimler için Zorunludur?

KVKK, kişisel veri işleyen herkes için zorunludur. Haliyle, hem bireyler hem de şirketler için geçerlidir. Özellikle şirketler, müşterilerin, çalışanların veya iş ortaklarının kişisel verilerini topluyor, saklıyor veya işliyorlarsa KVKK’ya uymak zorundadırlar. Örneğin, bir e-ticaret sitesi müşterilerinin adını ve adresini kaydediyorsa ya da bir hastane hasta bilgilerini işliyorsa bu kanuna uygun hareket etmeleri gerekmektedir. Kısacası, kişisel verilerle işlem yapan her kuruluş ve kişi, KVKK’nın getirdiği kurallara uymak zorundadır.

KVKK Onayı Nedir?

KVKK onayı, bir kişinin kişisel verilerinin işlenmesine izin vermesi anlamına gelmektedir. Bu onay, kişinin açık ve bilinçli bir şekilde, hangi verilerin neden ve nasıl kullanılacağını bilerek verdiği bir izindir. Örneğin, bir web sitesi sizden isim ve e-posta adresinizi kaydetmek için izin isterse sizin de buna rıza göstermeniz gerekmektedir. Bu onay, kişisel verilerin toplanması, işlenmesi ve paylaşılması gibi her adım için alınmalıdır. Onay alınmadan kişisel verilerin kullanılması, KVKK’ya aykırıdır.

Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir?

Kişisel verilerin işlenmesi, bir kişinin kimliği veya diğer özel bilgileriyle ilişkilendirilebilen verilerin; toplandığı, kaydedildiği, saklandığı, güncellendiği, değiştirildiği, açıklandığı veya diğer şekillerde kullanıldığı süreçleri ifade etmektedir.

Özel Nitelikli Hassas Veri Ne Demektir?

Özel nitelikli hassas veri, bir kişinin rızası dışında açıklanması veya kullanılması halinde o kişinin aşağıdaki gibi haklarının ihlal edilebileceği verilerdir:

• Cinsiyet, etnik köken, dil, düşünce, inanç, sağlık, aile veya kişisel hayatı ile ilgili veriler.
• Kimliğini belirleyen veriler. (kimlik numarası,isim, soyisim, doğum tarihi, doğum yeri gibi)
• İletişim verileri (telefon numarası, e-posta adresi vb.)
• Para ve mal varlığı ile ilgili veriler.

Veri Sorumlusu Kimdir?

KVKK kapsamında veri sorumlusu, kişisel verilerin işlenmesi sırasında sorumlu olan kişi veya kuruluştur. Veri sorumlusu, kişisel verilerin toplandığı, işlendiği ve kullanıldığı süreçlerde sorumludur ve bu süreçlerde uygulanacak esasları belirler.

Kişisel Veri İhlali Nedir?

Kişisel veri ihlali, kişisel verilerin izinsiz bir şekilde yetkisiz kişiler tarafından ele geçirilmesi, paylaşılması, değiştirilmesi veya kaybolması durumudur. Bu ihlal, bireylerin mahremiyetinin ve güvenliğinin tehlikeye girmesine neden olmaktadır. Örneğin, bir şirketin veritabanına siber saldırı düzenlenip müşteri bilgileri çalındığında, bu bir kişisel veri ihlalidir. KVKK’ya göre, bu tür ihlaller ciddi bir sorundur ve ihlali yapanlar yasal sorumlulukla karşı karşıya kalacaktır. İhlal durumunda, ilgili kişilerin bilgilendirilmesi ve gerekli güvenlik önlemlerinin alınması zorunludur.

Veri İhlali Durumunda Ne Yapılmalıdır?

Veri ihlali durumunda; veri sorumlusu bu ihlali hızlı bir şekilde tespit etmeli, ilgili kurumlara ve bu ihlalden etkilenen kişilere açık bir şekilde bilgi vermelidir. Daha sonrasında gerekli önlemleri alarak bu ihlalin tekrarlanmamasını sağlamalıdır. 

Sizler de bir veri ihlalinden etkilenmeniz durumunda üyelik ve kart bilgilerinizi değiştirerek olası zararları önleyebilirsiniz.

İlgili İçerik: 3D Secure Nedir?

Kişisel Verilerin Otomatik Olarak İşlenmesi Ne Anlama Gelir?

Kişisel verilerin otomatik olarak işlenmesi, bir yazılım veya benzeri mekanizma kullanılarak verilerin toplandığı, işlendiği ve kullanıldığı süreçleri ifade etmektedir. Bu süreçler, insan gücünün katılımı olmadan otomatik olarak gerçekleşir.

Örneğin bir web sitesi ziyaret edildiğinde, ziyaretçinin tarayıcısı tarafından toplanan veriler otomatik olarak işlenebilir. Bu veriler, ziyaretçinin IP adresi, tarayıcı türü ve ziyaret ettiği sayfalar gibi bilgiler olabilir. Bu veriler, web sitesi ziyaretçi sayısını takip etmek ve web sitesi kullanımını analiz etmek amacıyla işlenebilir.

Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?

Kişisel verilerin otomatik olmayan yollarla işlenmesi, verilerin dijital sistemler yerine, daha manuel yöntemlerle işlenmesi anlamına gelmektedir. Bu yöntem, kişisel bilgilerin elle yazıldığı dosyalar, kağıt belgeler veya fiziksel kayıtlar gibi dijital olmayan ortamlarda saklanması, düzenlenmesi ve kullanılmasıdır. Örneğin, bir iş yerinde çalışanların bilgilerini bir dosya dolabında saklamak veya müşteri bilgilerini kağıt üzerinde tutmak, otomatik olmayan yolla veri işleme olarak kabul edilmektedir. Bu tür işlemler de KVKK kapsamına girdiğinden aynı şekilde korunmalıdır.

KVKK Açık Rıza Metni Nedir?

KVKK açık rıza metni, kişinin veri sorumlusuna kişisel verilerinin belli amaçlar için toplandığı, işlendiği ve kullanıldığını onayladığı metindir. 

Örneğin, bir web sitesine üye olurken sık sık karşınıza çıkan bir metindir. Bu metni genelde kişiler okumadan onaylamaktadır. Sizlerin de hangi verilerin ne amaçla kullanılacağını öğrenebilmesi adına ilgili sitelerde bulunan açık rıza metnine göz gezdirmesini tavsiye ederiz. 

İlgili İçerik: CRM Nedir?

KVKK Aydınlatma Yükümlülüğü ve Aydınlatma Metni Nedir?

Aydınlatma metni, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirebilmek için hazırladığı metindir.

KVKK aydınlatma yükümlülüğü, veri sorumlusunun kişinin verilerinin toplandığı, işlendiği ve kullanıldığı süreçler hakkında kişiyi bilgilendirme yükümlülüğüdür. Aydınlatma yükümlülüğü, KVKK hükümlerine göre düzenlenir ve veri sorumlusu tarafından yerine getirilir.

Kişisel Veriler Ne Kadar Süre Saklanabilir?

Kişisel verilerin saklanma süresi, veri sorumlusunun veri işleme amaçlarına göre belirlenir. Veri sorumlusu, veri işleme amaçlarına uygun olarak verileri sadece gerekli süre boyunca saklar ve daha sonra verileri güvenli bir şekilde imha eder. Bu süre 10 yıla kadar uzayabilir.