Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?
Özel hayatın gizliliği ve korunması, kişinin temel haklarından biridir. Kişisel verilerin korunmasıyla ilgili bu hak, 2010 yılında eklenen bir hüküm ile Anayasamızın 20. maddesinde güvence altına alınmıştır. İlgili maddenin uygulanması kapsamında ve kişisel veriler konusunda ülkemizde atılan en önemli adım ise 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)‘dur. KVKK, Avrupa Birliği’ne uyum çerçevesinde hazırlananmış ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun tam metnine ulaşmak için lütfen tıklayınız. ASN Bilgisayar olarak KVKK Danışmanlığı süreçlerini söz konusu kanun kapsamında güncel mevzuatı takip ederek yürütüyoruz.
KVKK’yı anlayabilmek için öncelikle kişisel verinin tanımı yapmak gerekmektedir.
KVKK’da verilen tanımına göre, kişisel veri, belirli ya da belirlenebilir bir kişiye ilişkin her türlü bilgidir. Bu bilgilere örnek olarak; kimlik bilgiler, fiziksel özellikler, etnik köken, sağlık, eğitim, cinsel yaşam, haberleşme bilgisi, kredi kartı bilgisi, ekonomik durum, alışveriş alışkanlıkları, aile hayatı, özgeçmiş, ses, görüntü ve biyometrik bilgiler verilebilir.
KVKK'nın Amacı Nedir?
Ülkemizde kişisel veriler alanında en önemli adım; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile atılmıştır.
Kanunun Amacı;
- Kişisel verilerin işlenmesinde özel hayatın gizliliğini ve kişinin mahremiyetini korumak,
- Veri güvenliğini sağlamak,
- Kişisel verilerin işlenmesini disiplin altına almak,
- Veri sorumluları ve veri işleyenlerin uymaları gereken usul ve esasları belirlemektir.
Genel anlamda kanunun amacı kişisel verilerin işlenmesini kısıtlamak / sınırlandırmak değil, sadece belli standartlar belirleyerek hem veri sorumlusunu hem de verisi işlenen kişileri korumaktır.
Kanun Kimleri Kapsamaktadır?
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.
Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.
Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.
Kural olarak Kişisel Verilerin Korunması Kanunu’nda kamu ya da özel kuruluşlar açısından bir ayrıma gidilmemiştir. Bu nedenle kamu kurum ve kuruluşları da gerekli tedbirleri almak zorundadır. Mevzuata uyumluluğu sağlayabilmek için kamu kurum ve kuruluşlarının da alanında uzman KVKK Danışmanlığı firmaları ile birlikte süreçleri yürütmeleri gerekmektedir.
KVKK Kapsamında Öngörülen Cezalar
Kişisel veriler alanında, kanuna aykırı işlenebilecek fiiller, suç ya da kabahat kapsamında değerlendirilmektedir. Suç kapsamındaki fiillerin karşılığı olan cezalarda Türk Ceza Kanunu’na (TCK) atıfta (KVKK m.17) bulunulmaktadır ve söz konusu yaptırımlar gerçek kişilere uygulanır. Bunlar;
- Kişisel ve nitelikli kişisel verileri hukuka aykırı olarak kaydetmek
- Kişisel verileri hukuka aykırı olarak vermek, yaymak veya ele geçirmek
- Kanunla belirlenen süreler geçmiş olmasına rağmen verileri imha etmemek.
- Kanunen imha edilmesi gereken verileri imha etmemek.
Kabahat kapsamındaki fiillerim karşılığı idari para cezaları ise, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Bu kabahatler bir kamu tüzel kişisi tarafından işlenmesi durumunda ise, Kişisel Verileri Koruma Kurulun yapacağı bildirim üzerine, ilgili kurumdaki çalışan hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Kişisel veri ihlali durumunda, KVKK kapsamında işletmelere 1.966.862 TL yi aşabilen idari para cezaları öngörülmektedir. Ayrıca, ihlalden sorumlu kişiler, 5237 Sayılı Türk Ceza Kanunu (TCK) kapsamında 4 yıla kadar hapis cezası ile yargılanmaktadır.