Kişisel Verilerin Korunması Kanunu


KVKK




Günümüzde teknolojinin de etkisiyle; bireysel veriler farklı ortamlarda kolaylıkla işlenebilmekte ve aktarılmaktadır. Bu durum, kişisel verilerin korunması konusu da mecburen gündeme taşımıştır. Kişisel verilerin korunmasının temelinde ’kişiliğin’ korunması vardır.07.04.2016 tarihinde resmi gazetede yayınlanan 6698 sayılı kanun ile gerekli mevzuat açıklaması yapılmıştır. Birinci bölümde; amaç, kapsam ve tanımlar, ikinci bölümde kişisel verilerin işlenmesi, üçüncü bölümde haklar ve yükümlülükler, dördüncü bölümde başvuru, şikayet ve veri sorumluları sicili, beşinci bölümde suçlar ve kabahatler, altıncı bölümde kişisel verileri korumu kurumu ve teşkilat, yedinci bölümde çeşitli hükümler yer almaktadır. Kanun; uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınarak hazırlanmıştır. Kanunla kişisel verilerin gelişigüzel şekilde toplanmasının, amaç dışı ya da kötüye kullanılmasının ve yetkisiz kişilerin erişimine açılmasının engellenmesi amaçlanmıştır. Kişisel verilerin korunması kanununun içerdiği usul ve esasları özel sektör ve kamu kurum kuruluşları ayırt etmeksizin, tüm kurum ve kuruluşlar tarafından uygulanması benimsenmiştir. Bu kanun, kişisel verileri işlenen gerçek kişiler ile verileri işleyen gerçek ve tüzel kişileri kapsamaktadır.

Kişisel verinin özellikleri:
1)Gerçek kişiye ilişkin olma: Tüzel kişilere ait veriler; kişisel veri tanımının dışındadır.

2)Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin direkt kimliğini gösterebileceği gibi, direkt kimliğini göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi neticesinde kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

3)Her türlü bilgi: Bu ifade ile bir gerçek kişinin; adı, soyadı, doğum tarihi, doğum yeri gibi bireyin yalnızca kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, pasaport numarası, sosyal güvenlik numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi direkt veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri sınıfına dahil olmaktadır. Hangi verilerin kişisel veri olacağına dair sınırlı bir tanımlama yapılmadığından; kapsam genişletilebilir. Bu noktada önemli olan verinin kişi ile ilişkilendirilebilir olmasıdır.

Kişisel verilerin işlenmesi : Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsar. Kanunda otomatik işlemenin ne olduğu tam tanımlanmamakla birlikte; otomatik işlemenin, bilişim sistemleri üzerinden gerçekleştirilen faaliyetler olduğu bilgisine yer verilmiştir. Otomatik olmayan yollarla veri işleme ise manuel şekilde hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran veri işleme faaliyetini ifade eder. Veri kayıt sistemi ise; elektronik veya fiziki ortamda oluşturulabilen, kişisel verilerin belirli kriterlere göre yapılandırılarak, işlendiği kayıt sistemidir. Kanunda veri işleme faaliyetlerinde, hukuki sorumlulukları yerine getirmesi gereken kişi veri sorumlusudur.


Kişisel verilerin işlenmesinde; kanunda ortaya konulan genel ilkeler uygulanmalıdır. Bu kurallar; hukuka ve genel dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli açık ve meşru amaçlar için işlenme, işlendikleri amaçlarla bağlantılı sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerektiği kadar muhafaza edilme şeklinde sıralanmaktadır. Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine atıf yapılmak yoluyla düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin; Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır. Ayrıca kabahatler başlığı altında; mevzuat bilgi sisteminden alınan bilgiye göre;

(1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.