Kişisel Verilerin Korunması Kanunu

Kişisel Verilerin Korunması Kanunu (kısaca KVKK), 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisinde kabul edildikten sonra 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanan yasadır.^[1]

Kişisel verilerin işlenmesinde;

• Özel hayatın gizliliğini korumak,
• Kişilerin temel hak ve özgürlüklerini korumak,
• Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemek,
• Kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemektir.

Kanun hükümleri;

• Kişisel verileri işlenen gerçek kişiler,
• Kişisel verileri tamamen veya kısmen otomatik olan yollarla işleyen gerçek ve tüzel kişiler,
• Kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler

hakkında uygulanır.

Kişisel verilerin işlenebilmesi için kural olarak kişinin açık rızası gerekir ve bu veriler ancak belirli bir amaç için işlenebilir. Bununla birlikte kanunun 5. maddesinin 2. fıkrası kapsamında açık rızaya dayanılmadan da veri işlenmesi de mümkün kılınmıştır. Veri sorumlusu, kişisel verilerin işlenmesine ilişkin olarak ilgili kişiye bilgi verme yükümlülüğü bulunmaktadır.

KVKK, veri sorumlularının kişisel verilerin korunmasına ilişkin özel bir dikkat göstermeleri gerektiğini vurgulamaktadır. Bu kapsamda, veri sorumluları, kişisel verilerin güvenliğini tehdit edecek veri sızıntılarını önlemek amacıyla gerekli tedbirleri almakla yükümlüdür.

KVKK, ilgili kişilerin kişisel verilerinin işlenmesine ilişkin haklarını da koruma altına almaktadır. Bu haklar arasında, kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verilerinin işlendiği amaçları ve bunlarla ilgili olarak veri sorumlusunun hangi faaliyetlerde bulunduğunu öğrenme, yanlış veya eksik verilerin düzeltilmesi ve kişisel verilerin silinmesi gibi haklar yer almaktadır.^[2]

Kişisel verileri KVKK'ya uygun olarak sunucularda, veri tabanlarında ve kullanıcı bilgisayarlarında düzenli olarak tarayıp raporlamak gerekmektedir. Kişisel verileri dosyaların içerisinde, taranmış dokümanlarda, yazılımlarda, veri tabanlarında ve bunları kullanan uygulamalarda bularak; bu verileri ilgili kişinin talebi üzerine sınıflandırmak, taşımak, silmek ve anonim hale getirmek kanuna uyum açısından gereklidir.^[3] Kişisel verilerin güvenliğini tehdit edecek veri sızıntılarını önlemek amacıyla ilgili idari ve teknik tedbirleri almak gerekmektedir.^[4]

Veri sorumluları, ilgili kişilerin kişisel verilerinin işlenmesi ve kullanımı konusunda bilgilendirilmesi, bu verilerin güncel ve doğru tutulması ve ilgili kişilere verilerine erişim hakları tanınması gibi yükümlülükler de üstlenmektedir. KVKK, ayrıca, kişisel verilere ilişkin olarak oluşabilecek zararların önlenmesine yönelik yaptırımlar da düzenlemektedir. Bu yaptırımlar arasında veri sızıntılarına karşı alınacak tedbirler, ilgili kişilerin haklarına saygı gösterilmesi ve bu hakların ihlali durumunda uygulanacak cezalar yer almaktadır.

Veri sızıntılarına karşı alınacak tedbirler, KVKK'ya göre veri sorumlularının kişisel verilerin güvenliğini tehdit edecek veri sızıntılarını önlemek amacıyla gerekli tedbirleri almakla yükümlü olduğunu belirtmektedir. İlgili kişilerin haklarına saygı gösterilmesi ise, veri sorumlularının ilgili kişilerin kişisel verilerine ilişkin haklarının ihlali durumunda KVKK'nın öngördüğü yaptırımları uygulanmasını gerektirmektedir. Bu yaptırımlar arasında ilgili kişilere ödenmesi gereken tazminatlar, veri sorumlularına uygulanacak idari para cezaları ve hukuki süreçler de bulunmaktadır.

KVKK ile verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. Kurum faaliyetlerine başlamış, 6698 numaralı KVKK'nın ihlali nedeniyle idari para cezası ile karşı karşıya kalınmaya başlanmıştır. 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin KVKK'ya uyumu için verilen süre 7 Nisan 2018 tarihinde sona ermiştir.