Genel
Posted in

14 Soruda KVKK Nedir?

Posted in

KVKK Nedir ve Neden Düzenlenmiştir?

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), anayasa ile paralel olarak, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gereken prosedürleri açıklamak amacıyla düzenlenmiştir.

Kanunun amacı, kişisel verilerin işlenmesi süreçlerinde kişilerin temel hak ve özgürlüklerini korumak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek, mahremiyet hakkının korunması ve kişisel veri güvenliği hakkının korunmasıdır. Kanun ile verilerin rastgele ve gerekli olup olmadığı gözetilmeden toplanmasının, üçüncü taraflara açılmasının, amaç ile bağlı kalınmadan yahut kötü niyetlerle kullanımının engellenmesi amaçlanmaktadır.

Kanun’un bu amaçlar ile öngördüğü veri düzenleme kıstasları ve usullerine tüm veri işleyenler tarafından uyulması gerekir. Bu noktada düzenleme, her gün pek çok kişisel verinin işlenmesi mümkün olduğundan şirketler bakımından özellikle önem arz etmektedir, nitekim bu düzenlemelere uyulmadığında, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından şirketlerle yüksek meblağlarda idari para cezaları kesilebilmektedir.

Kişisel Verilerin Korunmasına İlişkin Diğer Düzenlemeler Nelerdir?

Kişisel verilerin korunmasına ilişkin düzenlemelere baktığımızda ilk olarak 6698 sayılı Kanun’u görürüz. Ancak kişisel verilerin korunmasına ilişkin mevzuat KVKK ile sınırlı değildir.

  • 2010 yılında 5982 sayılı Kanunla yapılan Anayasa değişikliği ile Anayasanın 20. maddesine bir fıkra eklenmiş ve kişisel verilere “özel hayatın gizliliği ve korunması hakkı” içinde yer verilerek kişisel verilere ilişkin koruma hakkına Anayasal güvence tanınmıştır.
  • Veri Sorumluları Sicili Hakkında Yönetmelik; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gibi veri sorumlularını ilgilendiren yönetmelikler yayınlanmıştır. Kişisel verilerin korunmasına dair tüm yönetmelikler Kurum’un sitesinde görüntülenebilmektedir: https://www.kvkk.gov.tr/Icerik/5257/Yonetmelikler
  • Konu ile ilgili birçok tebliğ ile de düzenleme yapılmıştır. Veri sahibinin yapacağı, veri sorumlusu tarafından verilerin işlenip işlenmediğine/işlendiyse bu işlemeye ilişkin bilgi alma başvurusunu düzenleyen Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ; Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ve Veri Koruma Görevlisine ilişkin düzenlemelere yer veren Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ bu kapsamda yürürlüğe girmiştir.
  • Ayrıca veri sorumlularının Kurul tarafından açıklanan kararlara ve taahhütlere de uyması gerekmektedir. Kurul’un kararlarına https://kvkk.gov.tr/Icerik/5419/Kurul-Kararlari linki üzerinden erişilebilir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

    1. Aydınlatma yükümlülüğü
    2. Veri güvenliğine ilişkin yükümlülükler
    3. Veri sorumluları siciline kayıt yükümlülüğü
    4. İlgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü
    5. Kurul kararlarının yerine getirilmesi yükümlülüğü

KVKK’nin Öngördüğü Yaptırımlar Nelerdir?

Kanun, kişisel verilerin kanuna ve diğer mevzuata uygun olarak işlenmemesi halinde bu verileri işleyenlere çeşitli yaptırımlar öngörmüştür. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde, 2022 yılı itibariyle 13.393 Türk Lirası’ndan 2.678.866 Türk Lirası’na kadar idari para cezasına hükmedilebilmektedir.

Kişisel Verilerin Korunması Konusunda Danışmanlık Hizmetleri Nasıl Sağlanmalıdır?

Kurum tarafından yüksek meblağlarda idari para cezalarına hükmedilebiliyor olması sebebiyle özellikle son yıllarda, pek çok tüzel kişi, KVKK’ye uyum süreçlerinin eksiksiz yerine getirilebilmesi amacıyla bu alanda çalışan hukukçuların danışmanlığına başvurabilmektedir.

Bu hizmet yerine getirilirken hem KVKK ve diğer mevzuat ile uyumlu veri işleme politikalarının yürütülmesinin sağlanması ve veri işleme süreçlerinin hukuki zemine oturtulması, hem de veri güvenliğine ilişkin siber güvenlik önlemlerinin alınması gerekir.

Aydınlatma Metni Nedir?

Kanun koyucu tarafından kendilerine ait kişisel veriler işlenen kişilere verilerinin kim tarafından, hangi saikler gözetilerek ve hangi hukuki gerekçelerle işlendiği, kimlere hangi amaçlarla aktarılabileceği, saklama yöntemleri ve süresi ve bu verilerin imha süreçleri noktalarında bilgi edinme hakkı ön görmektedir ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, kişisel verilerin elde edilmesi sırasında, aydınlatma metni ile, aşağıdaki bilgileri veri sahibine sağlamakla yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi.

Kanun’un 18. Maddesi uyarınca, aydınlatma yükümlülüğüne aykırılık hâlinde 2022 Yeniden Değerleme Oranına Göre, 13.393 Türk Lirası’ndan, 267.886 Türk Lirası’na kadar idari para cezası öngörülebilmektedir.

Aydınlatma Metni Nasıl Hazırlanır?

Aydınlatma yükümlülüğünü yerine getirirken veri sahibi ilgili kişiye verilecek bilgiler, veri sorumlusu siciline açıklanan bilgilerle uyumlu ve kategorize edilmiş olmalıdır. Aydınlatma yükümlülüğü yerine getirilirken veri sahibinin onayının alınması zorunlu değildir; tek taraflı bir aydınlatma beyanıyla bu kanuni yükümlülük yerine getirilmiş olacaktır. Aydınlatma yükümlülüğünün yerine getirilmesine dair ispat yükümlülüğü veri sorumlusundadır.
Aydınlatma yükümlülüğü, sözel olarak, yazılı olarak, ses kaydı aracılığıyla fiziksel veya sanal ortamlarda gerçekleştirilebilir. Veri sorumlusu hangi ortamı ve yöntemi seçeceğini belirlemek noktasında kendi seçimini yapabilir.  Kişisel Verilerin Korunması Kurumu bu yöntemlere, veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü (yüz yüze yapılan), yazılı (web sayfasında yer alan metinler, web sitesi açıldığında kendiliğinden açılan pencereler, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu gibi), ses kaydı (ilgili kişiye ses kaydı dinletilmesi gibi), çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi örnekler vermektedir.

İlaveten, 5378 sayılı Engelliler Hakkında Kanun ve Erişilebilirlik İzleme ve Denetleme Yönetmeliği gereğince engellilerin söz konusu aydınlatmaya erişebilmesi için düzenlenen uygulamaların yerine getirilmesi, bu kişilerin okudukları, duydukları ya da gördüklerini anlayabilecekleri açık ve sade aydınlatmalar yapılarak yükümlülüğün gerekliliklerinin yapılması gerekir.

Açık Rıza Nedir?

Kanunun 3. maddesinde unsurları belirtilen açık rıza, kişisel verilerin işlenmesi için şağlanması gereken şartlardandır. Kişi, verilerinin işlenmesine onay verdiğini bu tek taraflı irade beyanı ile ortaya koyar. Kişi kendi isteğiyle bu rızayı verebilir, veya karşı taraf aydınlatma yükümlülüğünün gereği gibi yerine getiirlmesi akabinde belirli verilerine yönelik olarak belirli amaçlarla ondan bu rızayı istediğinde onay göstererek açık rızasını gösterebilir.

Açık Rıza Metni Hasıl Hazırlanılmalıdır?

Kanunun 3. maddesinde yer verilen açık rıza tanımında 3 unsur ön plana çıkarılmaktadır:

  1. Belirli bir konuya ilişkin olması:

Konu yönünden sınırlanmamış, pek çok işlem için tek seferde rıza verildiğini belirten, açık rızalar hukuken geçerli değildir. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu veya faaliyet sınırlaması yapılmamış rıza beyanları Kurum tarafından bu kapsamda değerlendirilmektedir.

  1. Rızanın bilgilendirmeye dayanması:

Açık rıza bir irade beyanıdır. Özgür irade kullanılarak rıza gösterilebilmesi veri sahibinin neye rıza verdiğini bilmesi zaruridir. Bu sebeple, aydınlatma yükümlülüğü mutlak surette verinin işlenmesinden önce yerine getirilmeli ve şüpheye yer bırakmayacak açıklık ve yalınlıkta olmalıdır. Kişisel verinin kullanılma amacının belirtilmesi, kullanılan dilin sade ve anlaşılır olması, okuyanın anlamakta zorlanmasına yol açmayacak büyüklükte yazılar kullanılması, ses kayıtları vasıtası ile yapılan bilgilendirmelerin takip edilmeyi zorlaştıracak bir hızda akmaması gibi hususlar bu açıdan önemlidir.

  1. Özgür iradeyle açıklanması:

Açık rıza beyanı bir iradenin dışa vurumu olduğundan herhangi bir ürün veya hizmetten faydalanılmasının ön koşulu olarak kişinin verilerinin işlenmesine rıza göstermesinin talep edilmesi yapılan düzenlemelerin amacıyla uyuşmaz.  Örneğin alışveriş yapılması için, sitede dolaşılmaya devam edilebilmesi için, site üzerinden yayımlanan bir metni okumaya devam edebilmek için siteye üye olunmasının istenmesi ve bu kapsamda veri işlenmesine yönelik açık rıza beyanının talep edilmesi hukuka aykırı olacaktır.

Aydınlatma ve Açık Rıza Metinleri Hazırlanırken Örnek Metinler Esas Alınabilir Mi?

İnternet üzerinden yapılacak kısa bir aramayla pek çok aydınlatma metni ve açık rıza örneği bulunabilir. Ancak bu örneklerin doğrudan kopyalanarak kullanılması birçok sorun yaratabilecektir. Öncelikle bu metinlerin Kanun’un aradığı şartları sağlayıp sağlamadığı şüphelidir. Kanuni açıdan uygun olduğu varsayılsa dahi metni kullanacak kişinin işlediği/işleyeceği verilere, bu verilerin işlenme yöntemine, saklanma yöntemine, saklanma süresi ve imha sürecine ilişkin hususlarda farklılık bulunması olasıdır. Bu sebeple kişisel verilerin korunmasına ilişkin metinlerin hazırlanması süreçlerinde profesyonel destek alınmalıdır.

KVK İhlal Bildirimi Nedir?

Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin üçüncü kişilerce ve hukuki olmayan yollarla ele geçirilmesi halinde mümkün olan en kısa sürede Kurul’a ihlal bildiriminde bulunulması yükümlülüğüdür. Kurul’un internet sitesinde yapılan bu ihlal bildirimleri yayınlanabilmektedir. Kişisel Verilerin Korunması Kurumu, verdiği bir karar ile “en kısa süre” ifadesini 72 saat olarak yorumlamıştır.

Veri Koruma Görevlisi Olma Şartları Nelerdir?

Veri koruma görevlileri hakkında düzenlemeler, 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile yapılmıştır.

KVKK’nin getirdiği sistem ile Veri Koruma Görevlisi olabilmek için Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen ve Kurum tarafından yetkilendirilen bir kuruluştan sertifika alınması gerekecektir. Bu sertifikanın geçerlilik süresi 4 yıldır.

Sicil Sorgulaması Nasıl Yapılır?

Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt zorunluluğu bulunan veri sorumluları için https://verbis.kvkk.gov.tr/Query/Search linki üzerinden VERBİS’e kayıt sorgulaması yapılabilir.

Kişisel Verilerin Korunması Başvuru Formu Ne Amaçla ve Nasıl Hazırlanmalıdır?

KVKK’nın veri sahibi için tanıdığı verilere ilişkin bilgi alma hakkının bir neticesi olarak, ilgili kişilerin, veri sorumlusuna başvurarak kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme hakları bulunmaktadır. Veri işlenmişse bunlar talep edilebilir, veri içeriğinin eksik veya hatalı olması durumlarında verinin düzeltilmesini, hukuka aykırı bir veri bulunması halinde silinmesini talep edebilir. Ayrıca kanuna aykırı olarak işlenmiş verileri sebebiyle zarar görmüş kişi, veri sorumlusundan bu zararının giderilmesini talep edebilir.

Bu başvuru Kişisel Verilerin Korunması Kurulu’na yapılacak başvurulardan önce başvurulması gereken bir yöntem olmasıyla öne çıkmaktadır. İlgili, veri sorumlusuna başvurmadan Kurul’a başvuramaz. Ancak yargı yollarıyla ilgili böyle bir düzenleme bulunmamaktadır. Veri sorumlusuna başvurulmadan da yargı yollarına başvuru yapılabilir.

İlgililer bu başvuruyu Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ çerçevesinde hazırlamalıdır. Veri işleyenler tarafından, Tebliğ’e uygun bir başvuru formu önden hazırlanarak sunulabileceği gibi, başvuru sahibi kendisi de bu formu hazırlayabilir. Burada öne çıkan husus yazılılık ve imzanın bulunmasıdır. Bahsi geçen imza elle atılabilir, ya da elle atılan imzanın sonuçlarını doğuran elektronik imzalar da kullanılabilir.