Kişisel verinin korunma kanunu 7 Nisan 2016 tarihinde Resmi gazete’de duyurulmuş ve o gün itibariyle de yürürlüğe girmiştir. Uzun yıllar boyunca tasarı olarak bekleyen kanun 6698 sayılı kişisel verilerin korunma kanunu olarak yürürlükte yerini almıştır. Sizlere KVKK (Kişisel Verilerin Korunma Kanunu) ile ilgili geniş bir yazı dizisi hazırladık. Bu yazımızda Kişisel Veri nedir? Kişisel Verilerin Korunma Kanunu Nedir? Kişisel verilerin korunma kanunu dünya ve Türkiye’de nasıl işlemektedir? Kişisel verilerin korunması neden bu kadar önemlidir? Kanuna uyulmaması durumunda şirketlerin başına neler gelebilir? sorularının cevaplarını rahatlıkla bulabilirsiniz.

Kişisel Verilerin Korunma Kanunu Nedir? KVKK Nasıl Sonuçlar Doğurmaktadır?

Kişisel verilerin korunma kanunu; en başta özel hayatın gizliliğini, kişinin temel hak ve özgürlüklerini korumak, tüzel ve özel kişilerin verilerinin korunmasında uyulacak olan kuralları düzenlemektedir. Kişisel verilerin korunma kanunu içerisinde belirlenen istisnalar haricinde, veriler kişinin kendi ve açık rızası olmadan işlenemeyecek. Bununla beraber yurtdışına ve üçüncü kişilere aktarılamaz. Eğer kurumlar bu maddelere uymazlar ise ağır para cezalarına çarptırılırlar. Kanun hükmünde; kişisel verileri ihlal edenlere de 1 ila 3 yıl kadar hapis cezası öngörülmektedir. Sadece ihlal eden değil, veriyi ihlal yolu ile ele geçirmiş olan kişilerin de 2 ila 4 yıla kadar hapis cezası ile cezalandırılır. İdari olan para cezası ise ihlal edilmiş olan maddelere göre değişmektedir. 5.000 tl ile başlayan cezalar 1.000.000 tl tutarına kadar verilebilmektedir.

Kişisel verilerin korunma kanunu; kişisel verileri işleyen kurumlar için de büyük bir dönüşümü birlikte getirmiştir. Kurumların dikkat etmesi gereken tek şey ise; emanet alınan kişisel veriler ile ilgili hesap verebilir durumda olmalarıdır. Bunu yapabilen tüm kurumlar kişisel verilerin korunması kanuna uyumlu bir halde olacaktır. Kişisel verilerin korunma kanunu içerisinde; kurumsal mimari ve bilgi güvenliği kısımları oldukça önem kazanmaktadır.

Kurumsal mimari denilen kısımda, iş süreçleri ve hizmetleri, kişilerin rolleri ve sorumlulukları, kullanılan uygulama ve sistemlerin erişmekte olduğu veriler ve depolanmakta olduğu ve verilerin işlenmiş olduğu teknoloji de önem kazanmıştır. Bilgi güvenliği kısmında ise; yazılım yetkilendirmesi, uygulama kontrolleri, erişim yönetimi ve güvenliği, veri tabanı yetkileri, ağ erişim yetkilendirmeleri ve yönetiminin oldukça önemli olduğunu söylemek mümkündür.

Kişisel Verilerin Korunma Kanunu Nedir? KVKK neden önemli? | Bilgi güvenliği son zamanlarda şirketlerin en çok dikkat ettiği alan

Kişisel Veri Nedir? Kişisel Verilerin Korunması Neden Önemlidir?

Kişisel verilerin korunma kanunu olarak bilinen ve 7 Nisan 2016 tarihinde Resmi Gazete’de yürürlüğe girmiş olan 6698 sayılı yasanın tanımı olarak; kimliği belirlenmiş ya da belirli olan ve gerçek kişilere ilişkin tüm bilgileri ifade etmektedir. Yani, kimliği belirlemeye yetecek olan bir bilgi bile kişisel veri olarak sayılmaktadır. Böylelikle kişisel verilerin korunma kanunu kapsamı altında korunacaktır. Kanun içerisindeki gerekçede ise; yalnızca adı, soyadı, doğum tarihi ya da doğum yeri gibi bilgiler değil, kişinin aynı zamanda akli, psikolojik, fiziki ya da sosyal özelliklerini barındıran bilgiler de dahil edilmiştir.

Özetleyecek olursak; ismi, telefon numarası, özgeçmişi, pasaport numarası, resim ya da herhangi bir ses kaydı gibi veriler kişiyi belirleyebilir kılar. Bu sebepten ötürü de kişisel veri olarak sayılmaktadır. Ayrıca demokratik hukuk devletleri için kişisel verilerin korunması kanunu büyük derecede önem arz etmektedir. Öte yandan gelişen teknoloji ile birlikte insanlarında özel hayat ve bilgilerini koruma altına almaları oldukça zorlaşmıştır. Bu bilgilerin ve insanların, haklarının güvence altına alınıyor olması da hukuk devleti olmanın zorunluluğudur.

Kişisel Verilerin Korunma Kanunu Nedir? KVKK neden önemli? | Bazı kötü amaçlı yazılımlar kişisel bilgilerinizi çalmaya çalışır

Gelişmiş Ülkelerde Kişisel Veriler Nasıl Korunmaktadır?

Türkiye’nin de dahil olmayı planlamış olduğu Avrupa Birliği’ni ele alalım. Kişisel verilerin korunması (Protection Of Personal Data); kişisel verilerin işlenmesi ve gerçek kişilerin korunması direktifi ile güvence altına alınmış durumdadır. Bu bağlamda, 6698 sayılı kişisel verilerin korunma kanunu, Avrupa Birliği direktifine göre hazırlanmış durumdadır. Öte yandan İtalya, İngiltere ve Almanya gibi gelişmiş ülkelerde, kişisel bilgiler yalnızca verinin sahibinin açık rızası ile işlenebilmektedir. Ekstra olarak bu ülkelerin, verilen diğer üçüncü kişilere aktarılma durumlarına karşılık olarak sözleşme zorunluluğu da uygun görülmüştür.

Diğer yandan kişisel verilerin başka ülkelere aktarım yapılması durumları en hassas ve önemli durumdur. Günümüzde yatırımlar global haldedir. Bu sebeple kişisel veriler, büyük sıklıkta yurtdışına aktarılabilir. Buna örnek verecek olursak; İngiliz hukuku alanı dışına çıkarılan verilerin aktarılabilmesi durumu, ancak diğer ülkede de koruma bulunması halinde meydana gelmektedir.

Kişisel Verilerin Korunma Kanunu Nedir? KVKK neden önemli? | Kişinin izni olmadan verilerinin kullanılması suçtur

Peki Kişisel Verileri Ne Zaman Kullanırız?

Kişisel veriler üzerinde yapılabilen kayıt, değiştirme, saklama, aktarım ve açıklama gibi işlemler, kişisel veri işleme alanına girmektedir. Aslında bir kişinin bilgilerini öğrendiğimiz zamandan, bilgiyi yok ettiğimiz zamana kadar veri işlemiş bulunuyoruz. Fakat kişisel verilerin işlenmesinin de hukuka uygun olması gerekmektedir. Bunun için de bazı şartlar gerekmektedir.

İlk olarak yukarıda da bahsettiğimiz gibi kişisel verileri işleniyor olan kişinin rızası bulunması gerekmektedir. Bu açık rıza da kişi tarafından bilgilendirme şeklinde haberdar edilmelidir. Ve onaylatılmış olmalıdır.

Kanunda öngörülmüş olan kişisel veri, bir hakkın kullanılması için zorunlu hale gelmiş ise, işlenmesi gereken kişisel veriler kişinin açık rızası olmadan da işlenebilmektedir. Bunun yanında bir sözleşme üzerindeki yükümlülüklerin yerine getirilmesi açısından gerekli olan bilgiler, sözleşme gereği diğer tarafa da ait olan bilgiler şartı ile birlikte gerçek kişinin rızası olmadan da işlenebilmektedir.

Kişisel Verilerin Korunma Kanunu Nedir? KVKK neden önemli? | Bilgisayar Korsanları, müşterisi olan büyük sosyal ağların ana bilgisayarlarından kişisel verileri aşırmaya çalışır. Çaldığı verileri hem satar hem de çaldığı şirketin itibarını düşürür

Kişisel Verileri İşlerken Dikkat Etmemiz Gereken Kurallar Nelerdir?

6698 sayılı kişisel verilerin korunma kanununa göre; kişisel verilerin işlenme süreçleri hukuka uygun bir şekilde yapılmalıdır. Ancak bu verileri toplarken gerçek kişinin açık rızası ya da kanunda öngörülmüş maddelere uygun olması yeterli bulunmamaktadır. Çünkü kanun; kişisel verilerin işlenmesi hususunda farklı kuralları da üzerinde barındırmaktadır. Dolayısıyla göz önünde bulundurulması gereken bu kuralları sizler için sıralayalım.

Öncelikle kişisel verilerin işlendikten sonra diğer üçüncü kişilere aktarılabilmesi için, gerçek kişinin rızası bulunmalı ya da kanundaki diğer istisnalara sahip olması gerekmektedir. Bunun yanında kişisel verilerin yurtdışına aktarılabilmesi için çok daha ağır şartlara yer verilmektedir. Gerçek kişinin açık rızasının alınmış olması, yurtdışına yapılacak olan aktarımın hukuka uygunluğunu sağlayacaktır.

Fakat kanun hükmündeki istisnalar üzerinden kişisel verilerin aktarımı yapılacak ise; aktarım yapılacak olan ülkelerin kişisel verileri koruma kurulu tarafından belirlenmiş olan güvenli ülkeler arasında yer alması durumu gerekmektedir. Yani kişisel verilerin korunması hususunda gerekli korumayı taahhüt etmesi gerekmektedir. Öte yandan işlenmiş olan kişisel verilerin, yetkisiz kişilerin erişmesini engelleyecek önlemler alınması son derece önemli bir husustur.

Bu bağlamda Avrupa Birliği çok net bir örnek olarak gösterilebilmektedir. İlk olarak verilerin şifrelenmesi, firewall yani güvenlik duvarı gibi teknolojilere yer verilmesi, teknolojinin altyapısının bulunmakta olduğu fiziksel güvenliğin de yapılıyor olması gerekmektedir. Ayrıca ilgili yetkilendirme ve doğrulama prosedürlerinin de yapılmış olması gerekmektedir. Yine de işlenmiş olan kişisel veriler, yetkisiz kullanıcıların ellerine geçer ise; kişisel verileri koruma kuruluna kesinlikle bildirilmesi gerekmektedir.

Bir diğer kişisel veri işlenme durumunda, uyulması gereken kural da kanunda bizzat belirtilmiştir. Buna göre; kişisel verilerin işlenmesi sırasında dürüstlük ve doğruluk esastır. Yani toplanan kişisel verinin doğru ve güncel şekilde olması sağlanmalıdır. Verinin işlenme amacı da kesinlikle belirli ve açık bir şekilde olmalıdır. İşlenen veriler; kullanım amacına göre o süre boyunca saklanmalı, biten sürenin ardından da silinmelidir.

Ayrıca kanuna göre verileri işlenmiş olan kişilerin; verilerinin işlenmiş ya da işlenmemiş olduğunu veya amacına uygun olarak kullanılıp kullanılmadığını, eksik ya da hatalı olduğunda düzeltilmelerini, zarar görmüşse de itiraz etme ve değiştirme, düzeltme hakkını saklı tutmaktadır.

Okumadan Geçme: Hacklenmekten Nasıl Korunabiliriz? İnternet Güvenliği nasıl sağlanır?

Kişisel Verilerin Korunma Kanununa Uyulmaması Durumunda Ne Olur?

Başından beri önemini vurgulamış olduğumuz, kişisel verilerin korunma kanunu Avrupa ülkelerinde ve Türkiye’de, adeta bir temel insan hakkı olarak görülmektedir. Dolayısıyla kişisel verilerin korunma kanunu konusundaki kurallara yapılan aykırılıklar, artan cezalar ile yaptırım haline getirilmiştir.

Kişisel verilerin korunma kanunu kapsamındaki aydınlatma yükümlülüğüne aykırılık etmek, sicile kayıt yaptırmamak, veri güvenliğini sağlamamış olmak ya da kurul kararlarına aykırılık durumlarında öngörülmüş olan cezaların değeri 1.000.000 tl’ye kadar çıkmaktadır. Son olarak kişisel verilerin korunma kanununa göre; verilerin hukuka aykırı bir şekilde kayıt altına alınması, beraberinde yayılmış olması, öte yandan verilerin ele geçirilmesi ya da yok edilmesi gibi durumlarda 2 yıldan 4 yıla kadar hapis cezası öngörülmektedir.

Kişisel Verilerin Korunma Kanunu Nedir? KVKK neden önemli? | Eğer şirketler sizden aldığı bilgileri satmaya kalkarsa yada sizin izniniz olmadan bilgilerinizi kayıt altına alırsa hem hapis hem de yüksek para cezaları alırlar

Ayrıca Bakınız

1. Bilişim Suçları nedir? |  Bilişim Suçu Nedir? Bilişim Suçları Nelerdir? Kanunları ve Cezaları
2. Adli Bilişim Nedir? | Adli Bilişim nedir? Adli Bilişim İnceleme Süreci ve Yöntemleri nelerdir?
3. Kişisel verilerin izin alınmadan saklanması ve satılmasının cezaları