Kişisel Verilerin Korunması (KVKK)


Giriş


6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) 07.06.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğü girmiştir. Başta özel hayatın gizliliği olmak üzere kişilerin hak ve özgürlüklerini korumak amacıyla düzenlenen Kanunla veri işleyen gerçek ve tüzel kişilerin yükümlülükleri, uyacakları usul ve esaslar ile veri sahiplerinin hakları belirlenmiştir.


Kişisel Veri


Kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi”ifade eder. Kanun hangi verilerin kişisel veri sayıldığını belirtmemekte; kişiyi tanımlayabilme kabiliyeti olan her verinin kişisel veri olduğunu kabul etmektedir.

Bu bağlamda, TCKN gibi kesin bilgilerin varlığı şart değildir. Kişinin lakabı, alışveriş alışkanlıkları, fiziki özellikleri vb. bilgiler de kişiyi belirlenebilir kıldığı takdirde kişisel veridir.


Özel Nitelikli Kişisel Veri


Özel nitelikli kişisel veriler, daha fazla korumayı gerektiren kişisel verilerdir. Kanunda hangi verilerin özel nitelikli kişisel veri olduğu tek tek sayılmıştır. Buna göre, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”


Veri Sorumlusu ve Veri İşleyen


Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi; veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu, hem de veri işleyen olabilmesi de mümkündür.


Kişisel Verilerin İşlenmesinin Şartları


Kanun uyarınca,

a) Kanunlarda açıkça öngörülmesi,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

durumlarında veri sahibinin açık rızası aranmaksızın kişisel veriler işlenebilir.


Yukarıda sayılan şartlardan en az birinin mevcut olmadığı durumlarda ise kişisel veriler yalnızca veri sahibinin açık rızası ile işlenebilir.


Özel nitelikli kişisel verilerin işlenmesi şartlarında ise kanun koyucu ikili bir ayrıma gitmiştir. sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.


Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.


Kişisel Verilerin İşlenmesinde Uyulması Gereken İlkeler

Kişisel veriler Kanun’da belirtilen usul ve esaslar doğrultusunda,

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

ilkelerine uygun olarak işlenir.


Kişisel Verilerin Aktarılması


Kişisel Verilerin Yurt İçine Aktarılması


Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır.


Kişisel Verilerin Yurt Dışına Aktarılması


Kişisel verilerin yurt dışına aktarılmasında veri aktarılan ülkede yeterli korumanın bulunup bulunmadığı önem arz etmektedir. Yeterli korumanın bulunduğu ülkelere veri aktarımında Kanun kişisel verilerin işlenmesiyle aynı şartları aramaktadır. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir.


Kişisel Verilerin İmha Edilmesi


Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin veri sorumlularının ve veri işleyenleri bir Veri İmha Politikası hazırlamaları tavsiye edilmektedir.


Veri Sorumlusunun Aydınlatma Yükümlülüğü


Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) Veri sahibinin hakları,

konularında bilgi vermekle yükümlüdür.


Aydınlatma metinleri hazırlanarak veri sorumlularının bu yükümlülüklerini yerine getirmeleri gerekmektedir.


Veri Sahibinin Hakları


Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kişisel verilerinin silinmesini veya yok edilmesini isteme,

f) Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi durumlarında yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.


Veri sahibi bu taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.


Yaptırımlar


Tespit edilen ihlallere göre aşağıdaki yaptırımlar söz konusu olabilecektir:

 • Kişisel verilerin hukuka aykırı olarak kaydedilmesi: 1-3 yıl hapis cezası,

 • Kişisel verileri hukuka aykırı olarak başkasına verme, yayma, ele geçirme: 2-4 yıl hapis cezası

 • Kişisel verileri, belirli sürenin geçmesine karşın yok etmeme: 1-2 yıl hapis cezası

 • Aydınlatma yükümlülüğünün ihlali: 5.000 TL–100.000 TL idari para cezası

 • Veri güvenliği yükümlülüğünün ihlali: 15.000 TL–1.000.000 TL idari para cezası

 • Kişisel Verileri Koruma Kurulu kararlarına muhalefet: 25.000 TL-1.000.000 TL idari para cezası

 • Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık:20.000 TL-1.000.000 TL idari para cezası.


#KişiselVeri #Korunma #KVKK #dilaraöner

Öne Çıkanlar
Önceki Yayınlar
Arşiv
Etikete Göre Ara
Henüz etiket yok.
Bizi Takip Edin
 • LinkedIn Social Icon
 • Twitter Basic Square
 • Instagram Social Icon
 • Linkedin
 • @itshukuk
 • itshukuk
 • @itshukuk
 • itshukuk