Kişisel veriler, içinde yaşadığımız dijital dünyada hemen hemen her ortamda paylaştığımız veriler bütünüdür. Aldığımız hemen hemen her hizmette dijital dünyanın nimetlerinden faydalanabilmek için ad-soyad, e-mail adresi, telefon numarası gibi en temel verilerimizi paylaşmak zorundayız. Bu temel verilerimiz her yerde bizim dijital ayak izimizi oluşturmaktadır.

 

Veri paylaşımı arttıkça bu verilerin nerelerde ve ne amaçla kullanıldığı soruları aklımızı çelmeye başlamıştır. Verilerimizin pazarlama, iyileştirme, geliştirme amaçlı olarak üçüncü kişilerle paylaşımı bazı güvenlik sorunlarına da yol açabilmektedir. Bunun için devletler ve resmi kurumlar birtakım düzenlemeler yapmakta ve verilerimizin kötü amaçlı kullanımına karşı önlemler almaktadırlar.

 

Dünya’nın birçok bölgesinde, vatandaşlarının verilerinin korunmasına ilişkin farklı isimlerde veri koruma kanun ve yönetmelikleri çıkarılmıştır. Avrupa’da General Data Protection Regulation (GDPR), bunlardan en geniş kapsamlı olanıdır. Çünkü, Avrupa vatandaşlarının erişimine açık olan tüm web sitelerinin uyumluluğunu gerektirir.

Avrupa'nın KVKK'sı GDPR- Klavyede AB logosu

Bu bağlamda, Avrupa Konseyi tarafından tüm üye ülkelerle kişisel verinin korunması ve sınır ötesi veri akışı ilkeleri belirlenmiş “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme” 28 Ocak 1981 tarihinde imzaya açılmıştır. Bu sözleşme, Türkiye tarafından da Avrupa Birliği Uyum Süreci kapsamında imzalanmıştır. 17 Mart 2016 tarihinde Resmî Gazetede yayımlanan mevzuat dahilinde Türkiye Cumhuriyeti iç hukukuna dahil olmuştur.

 

7 Nisan 2016 tarihinde ise Türkiye’de veri toplama ve işlenmesine dair şartların açıkça belirtildiği 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bu kanunda yer alan şartlara uygun olmayan şekilde veri işleyen gerçek ve tüzel kişilere cezai yaptırımlar uygulanır.

 

Günümüzde tüm gerçek ve tüzel kişilerin uymakla yükümlü olduğu Kişisel Verilerin Korunması Kanunu (KVKK)’na daha yakından bakalım…

 

KVKK’da Yer Alan Temel Kavramlar

Kişisel Veri

Kimliği belli veya belirlenebilir olan gerçek kişilere ait tüm bilgiler kişisel veridir. Gerçek kişi hukukta “tam ve sağ olarak doğan”, kurumsallaşmamış her birey olarak tanımlanır. Dil, din, ırk, cinsiyet ayrımları yapılmadan bu şartlara uyan her vatandaş gerçek kişidir.

Hangi Veriler Kişisel Veridir?

6698 sayılı KVKK mevzuatına göre kişisel veriler:

  • Ad-soyad,
  • Doğum tarihi,
  • Doğum yeri,
  • Telefon numarası,
  • Taşıt plakası,
  • TC no,
  • Sosyal güvenlik numarası,
  • Pasaport numarası,
  • Özgeçmiş,
  • Resim, görüntü, ses kayıtları,
  • Parmak izi,
  • E-posta adresi,
  • Aile ve sağlık bilgileridir. 

Kişisel verisi işlenen gerçek kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre “ilgili kişi” olarak adlandırılır.

Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, KVKK mevzuatında aynen şu şekilde tanımlanır:

“Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” (6698 Sk. KVKK, m. 3.1/e).

Kısacası, ilgili kişinin kimliğini belirleyen veya belirlenmesinde yol gösteren verilerin herhangi bir şekilde toplanması, işlem görmesi ve paylaşılması işlemine, “kişisel verilerin işlenmesi” adı verilir. 

 

Açık Rıza

Herhangi bir konuda gerekli bilgilendirme yapılarak, kişinin özgür iradesiyle açıkladığı rızadır. KVKK’nın 5. maddesine göre kişisel verilerin işlenmesinden ve paylaşımında önce açık rıza onayı almak zorunludur. Aksi takdirde ciddi cezai yaptırımlar uygulanır. Açık rızanın 3 temel şartı vardır:

1. Belirli Bir Konuya İlişkin Olma:

Veri sorumlusu hangi konuya yönelik rıza istediğini açıkça bildirmelidir ve yapılacak işlemler rıza alınan konunun dışına çıkmamalıdır. “Bütün kişisel verilerimin her türlü konuya ilişkin olarak kullanılmasına rıza veriyorum” şeklinde bir metin bunun için tek başına yeterli değildir. Veri sorumlusu her bir amaç için ayrı ayrı bilgilendirme yapmalı ve her bir amaç için ayrıca açık rıza almalıdır. 

 

2. Bilgilendirmeye Dayanma:

İlgili kişinin rızasının alınabilmesi için konuya ilişkin bilgi sahibi olması gerekmektedir. Bu bilgilendirmede veri sorumlusunun kimliği, veri işleme faaliyetinin amacı, hangi tür veri toplanıp kullanılacağı, rızayı geri alma hakkı, otomatik karar almaya ilişkin bilgilendirme, yurtdışına transfer halinde uygunluk kararı ve gerekli önlemlerin bulunmaması halinde söz konusu olabilecek riskler açıklanmalıdır.

 Neye rıza gösterdiğini bilmeyen ilgili kişinin açık ve özgür iradesinin olduğundan söz edilemez. Bu nedenle herkesin anlayacağı bir dille bilgilendirme yapılmalıdır.

3. Özgür İrade İle Açıklanma:

İlgili kişinin verilerinin alınması ve işlenmesi konusunda veri sorumlusu veya veri işleyenlerden herhangi birinin tehdit, aldatma, zorunlu kılma gibi yöntemlere başvurması hukuk dışıdır. Böyle bir durumda kişinin açık rızası alınmış sayılmaz. Kişisel verilerin işlenmesine dair tereddütleri olan bir kişi eğer verilerinin işlenmesini reddediyorsa, veri sorumlusu onu ikna etmeye çalışmamalıdır. 

 

I Agree- Onay kutusu ve kalem

Söz konusu web sitesinin/platformun çalışabilmesi için kesinlikle gerekli olan kişisel veriler ayrıca belirtilmeli, pazarlama veya deneyimi geliştirme gibi diğer amaçlara hizmet eden veriler için reddetme seçeneği bulunmalıdır.

 

İlgili kişinin verdiği rızayı geri alma hakkı da vardır. Rıza alındıktan iptal edilene kadar paylaşılan verilerin işlenmesi hukuka uygundur ancak ilgili kişi rızasını geri alınmışsa veri sorumlusu bu karara saygı duymakla yükümlüdür.

 

Veri Sorumlusu

Kişisel verilerin işlenme amaç, yöntem ve araçlarını belirleyen kişidir. Veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.

 

Veri Kayıt Sistemi

Kişisel verilerin veri sorumlusu tarafından belirlendiği şekilde kaydedilip işlendiği sistemdir.

 

Veri İşleyen

Veri sorumlusunun verdiği yetki kapsamında onun adına verileri işleyen gerçek veya tüzel kişidir.

 

KVKK’nın Koyulma Amacı Nedir?

KVKK’nın koyulmasındaki temel amaç kişisel verilerin çağın standartlarına uygun işlenmesi ve koruma altına alınmasıdır. Kişisel verilerin işlenme aşamalarından, işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslara tüm gereksinimler bu kanunda belirlenmiştir. 

Kişinin verilerin mahremiyetinin korunması bu kanunla güvence altına alınmıştır. Bu kanun sayesinde kişisel veriler gelişi güzel toplanamaz, yetkisiz kişilerin erişimine açılamaz, ifşa, amaç dışı kullanım veya kötüye kullanım yapılamaz. KVKK sayesinde kişi hak ve özgürlükleri ihlal edilemez.

 

Kişisel Veriler Ne Kadar Süreyle Muhafaza Edilebilir?

6698 sayılı KVKK mevzuatında kişisel veri saklama konusunda belirli bir süre yoktur ama kişisel verileri silme, yok etme ve anonimleştirme konusunda bazı kısıtlamalar ve ek bir yönetmelik vardır. Resmi Gazete’de yayınlanan 30224 sayılı yönetmeliğin 11. Maddesinde açıkça belirtildiği üzere, veri sorumlusu kişisel verileri silme, yok etme ve anonimleştirme konusunda gerekli olan süreyi kendi belirler; ancak periyodik olarak bu işlemleri gerçekleştirmek zorundadır. Süresi dolan kişisel veriler, saklama süresinden sonraki ilk periyodik silme işleminde silinmelidir. Süresi sona eren veriler, eğer saklanmasını gerektiren başka bir sebep yoksa 6 ay içinde anonimleştirilir.

 

Periyodik silme işlemlerinin gerçekleşeceği süre KVKK açık rıza onay formunda belirtilmelidir. Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlama yükümlülüğü yoksa belirtilen saklama süresi sona erdiğinde kişisel verileri siler, yok eder veya anonimleştirir. Gereken durumlarda Kişisel Verileri Koruma Kurulu bu süreyi kısaltabilir. Verilerin saklanmasını gerektiren durumlar işin mahiyetine göre değişiklik gösterebileceğinden, bu alanda uzman bir avukata danışarak süreler belirlenmelidir.

 

Örneğin, bir etkinlik için başvuran kişilerin verileri, eğer sonrasında kullanılmak üzere izin alınmadıysa veriler silinmek zorundadır. 

 

Ayrıca ilgili kişiler, KVKK’nın 13.maddesine göre veri sorumlusuna başvurarak kişisel verilerinin silinmesi, yok edilmesi ve anonimleştirilmesi talebinde bulunabilirler. Bu durumda talep gerçekleştikten sonra, eğer veri işleme şartlarının tamamı ortadan kalkmışsa, 30 gün sonra talep gerçekleştirilmeli ve kişiye bilgi verilmelidir. 

 

Eğer talep gerçekleşmeden önce veriler işlenmeye başlandıysa ve üçüncü kişilere aktarıldıysa veri sorumlusu durumu veri işleyenlere bildirip talebin gerçekleştirilmesiyle yükümlüdür. Kişisel verileri işleme şartları tamamen ortadan kalkmadıysa ilgili kişinin talebi, gerekçeleri gösterilerek en geç otuz gün içinde yazılı veya dijital ortamdan bildirerek reddedilebilir.

Kişisel verilerin saklanması hakkında en doğru bilgileri almak için mutlaka avukatınıza danışınız
KVKK Nedir?

Kişisel verilerin çağın standartlarına uygun işlenmesi ve koruma altına alınması için 7 Nisan 2016 tarihinde yürürlüğe girmiş olan 6698 sayılı kanundur. Kişisel verilerin işlenme aşamalarından, işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslara tüm gereksinimler bu kanunda belirlenmiştir. Bu kanun sayesinde kişisel veriler gelişigüzel toplanamaz, yetkisiz kişilerin erişimine açılamaz, ifşa, amaç dışı kullanım veya kötüye kullanım yapılamaz.

Kişisel Veriler Nelerdir?

Kimliği belli veya belirlenebilir olan gerçek kişilere ait tüm bilgiler kişisel veridir.6698 sayılı KVKK mevzuatına göre kişisel veriler: 

  • Ad-soyad, Doğum tarihi, Doğum yeri,
  • Telefon numarası,
  • Taşıt plakası, 
  • TC no, Sosyal güvenlik numarası, Pasaport numarası,
  • Özgeçmiş,
  • Resim, görüntü, ses kayıtları,
  • Parmak izi,
  • E-posta adresi,
  • Aile ve sağlık bilgileridir.

Bu veriler, ilgili kişinin açık rızası olmadan paylaşılamaz.