Kişisel Verilerin Korunması Ne Demektir?

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

Ülkemizde Kişisel Verilerin Korunmasına İlişkin Hukuki Düzenlemeler Nelerdir?

Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Anayasal Bir Hak Olarak Kişisel Verilerin Korunmasını İsteme Hakkının Kapsamı Nedir?

2010 yılında 5982 sayılı Kanunla yapılan değişiklik ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenerek, kişilerin kişisel verilerinin korunması hakkının kapsamı belirlenmiştir.

Kişisel Verilerin Korunması Konusunda Kanuni Bir Düzenlemeye Neden İhtiyaç Duyulmuştur?

Gerek kamu kurumları gerek özel kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri uzun süredir işlemektedirler. Bu durum kanunlardan kaynaklanabildiği gibi, bazen kişilerin rızasına veya bir sözleşmeye dayanmakta, bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin işlenmesi kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşa edilmesinin veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.

Kişisel Verilerin Korunması Hakkının Dayanağı Nedir? Bu Hak, Sınırsız Bir Hak mıdır?

Kişisel verilerin korunması hakkının dayanağı, Anayasanın 20. maddesinin son fıkrasıdır. Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, Anayasanın 20. maddesinde tanınan kişisel verilerin korunmasına ilişkin her bir hakkın uygulanması ve diğer haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir. Anayasa Mahkemesi, 9 Nisan 2014 tarihli ve E:2013/122, K:2014/74 sayılı kararında da, Anayasanın 20. maddesinin 3. fıkrasının son cümlesinde, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer vererek ve “yasama yetkisinin devredilmezliği” ilkesi gereğince, Anayasanın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemeyeceğine hükmederek, Anayasada öngörülen kanuni düzenlemenin mutlaka gerçekleştirilmesi gerektiğinin altını çizmiştir. Dolayısıyla Anayasanın 20. maddesinin son fıkrasında tanınan kişisel verilerin korunması hakkına ilişkin düzenlemeler kanun ile yapıldığı sürece uygulama alanı bulacaktır.

Açık Rıza Geri Alınabilir mi? Geri Alınmasının Hukuki Sonuçları Nelerdir?

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Bununla birlikte geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur. Ancak saklanmasını gerektiren başka bir hukuki sebep varsa söz konusu kişisel veriler veri sorumlusu tarafından sadece bu amaçla sınırlı olmak üzere saklanabilir.

Verbis Kayıt Sistemi Nedir?

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Yukarıda da belirtildiği gibi, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kâğıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre olarak bir kâğıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.

Kişisel Verilerin Korunması Kanununun Kapsamı Nedir?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.

Kişisel Sağlık Verisi Nedir?

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?

Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade eder. Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar da, bir “veri kayıt sistemi” aracılığıyla işlendiklerinde de Kanun hükümlerine tabi olmaktadır. Diğer bir ifade ile Kanun, otomatik olmayan yollarla veri işlenmesini tamamen Kanun kapsamı dışında tutmamakta, otomatik olmayan yolla veri işleme eğer bir veri kayıt sisteminin parçası ise, veri işleme faaliyeti kanun kapsamında kabul edilmektedir.

Açık Rıza Nedir?

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.

Açık rızanın üç unsuru bulunmaktadır:

1. Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belir- siz bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile battaniye rızalar hukuken geçersizdir.

2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.

Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler Nelerdir?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır.

Kişisel verilerin işlenmesinde genel ilkeler şunlardır:

a. Hukuka ve dürüstlük kurallarına uygun olma,

b. Doğru ve gerektiğinde güncel olma,

c. Belirli, açık ve meşru amaçlar için işlenme,

ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Hukuka ve Dürüstlük Kurallarına Uygun Olma Ne Demektir?

Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasını ifade eder. Veri işleme faaliyetinde bulunanların, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, otonomisini, onurunu ihlal edecek şekilde veri işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir. Bu kapsamda, dürüstlük ilkesi uyarınca, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre işlenebilecek en az miktarda veri işlemeleri, veri sahiplerinin öngöremeyeceği biçimde hareket etmemeleri, veri sahiplerinin çıkarlarını ve makul beklentilerini göz önüne almaları gibi davranışları gerektirir. Bu ilkelere riayet edilmeksizin veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun veri işlenmesine aykırı olacaktır.

KVKK Hizmeti Neden Devamlılık Arz Eder?

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunmasını ve veri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasların belirlenmesini teminen 7 Nisan 2016’da yürürlüğe girmiştir. Kanunun yürürlüğü ile kişisel verilerin sınırsız ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kullanılması bertaraf edilmeye çalışılmıştır. Bu kapsamda veri işleyen veri sorumlularına birçok yükümlülük getirilmiştir.

Veri sorumluları, kanunda yer alan tüm yükümlülüklerini eksiksiz olarak yerine getirmiş olsa dahi dikkat etmeleri gereken en önemli konu ise sürdürülebilirliği sağlayıp sistemin devamlılığını sağlamalarıdır. Bu şu anlama gelmektedir; veri sorumlularınca, kişisel verilerin korunmasına dair hukuki alt yapının oluşturulması, KVKK kapsamında gerekli politikalarının belirlenmesi, aydınlatma ve açık rıza metinlerinin hazırlanması ve VERBİS bildirimlerinin yapılması tek seferliğe mahsus bir işlem değildir. Veri sorumlularının, gerekli güncellemelerle hukuki güvencesinin devamını sağlaması, kurul kararlarını ve veri ihlallerini takip edip ilgili güncellemeleri yapmaları gerekmektedir. Ayrıca veri sorumlusu bünyesinde yeni bir veri işleme faaliyeti söz konusu olduğunda KVKK’nın öngördüğü yükümlülüklere uygun olarak hareket edilmeli, Kişisel Veri Envanterinde, VERBİS’te ve diğer dokümanlarda gerekli güncellemeler yapılmalıdır. (Veri Sorumluları Sicili Hakkında Yönetmelik madde 13 uyarınca Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirilmesi gerekmektedir.)

Ayrıca; Kişisel Verileri Koruma Kanunu’nun 4. Maddesinin 2. Fıkrasında “a) hukuka ve dürüstlük kurallarına uygun olma b) doğru ve gerektiğinde güncel olma c) belirli, açık ve meşru amaçlar için işlenme ç) işlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü olma d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkeleri yer almakla kişisel verilerin işlenmesinde işbu genel ilkelere uyulması zorunlu kılınmıştır. Bahsi geçen ilkeler; kişisel veri işleme sürecinin süreklilik arz ettiğinin, hazırlanan tüm dokümanların doğruluğunun ve güncelliğinin sağlanması gerektiğini açıkça ortaya koymaktadır.

Kurul kararları doğrultusunda yaşanan gelişmelerin takip edilmesi, düzenli olarak yapılacak denetimler ile eksikliklerin zamanında tespit edilmesi ve gerekli düzenlemelerin yapılması, periyodik aralıklarla verilmesi zorunlu olan KVKK Farkındalık eğitimlerinin verilmesi, VERBİS bildirimlerinin ve gerekli tüm dokümanların doğru ve güncel olmasının sağlanması KVKK uyumluluğu adına yapılması zorunlu olan işlemlerdir.

KVKK İDARİ PARA CEZALARI 2025

KVKK İdari Para Cezaları
Kabahat Alt limit-TL Üst limit-TL
Aydınlatma Yükümlülüğünü yerine
getirmemek (md.10)
68.083 ₺ 1.362.021 ₺
Veri güvenliğine ilişkin
yükümlülükleri yerine getirmemek (md.12)
204.285 ₺ 13.620.402 ₺
Kurul tarafından verilen kararları
yerine getirmemek (md.15)
340.476 ₺ 13.620.402 ₺
Veri Sorumluları Siciline kayıt ve
bildirim yükümlülüğüne aykırı hareket etmek
272.380 ₺ 13.620.402 ₺
Yurtdışı veri aktarımına ilişkin standart
sözleşme bildirim yükümlülüğünü yerine getirmemek
71.965 ₺ 1.439.300 ₺
KVKK İdari Para Cezaları
Kabahat Alt limit-TL Üst limit-TL
Aydınlatma Yükümlülüğünü yerine
getirmemek (md.10)
68.083 ₺ 1.362.021 ₺
Veri güvenliğine ilişkin
yükümlülükleri yerine getirmemek (md.12)
204.285 ₺ 13.620.402 ₺
Kurul tarafından verilen kararları
yerine getirmemek (md.15)
340.476 ₺ 13.620.402 ₺
Veri Sorumluları Siciline kayıt ve
bildirim yükümlülüğüne aykırı hareket etmek
272.380 ₺ 13.620.402 ₺
Yurtdışı veri aktarımına ilişkin standart
sözleşme bildirim yükümlülüğünü yerine getirmemek
71.965 ₺ 1.439.300 ₺
Kabahat: Aydınlatma Yükümlülüğünü yerine getirmemek (md.10) Alt limit-TL: 68.083 ₺ Üst limit-TL: 1.362.021 ₺
Kabahat: Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek (md.12) Alt limit-TL: 204.285 ₺ Üst limit-TL: 13.620.402 ₺
Kabahat: Kurul tarafından verilen kararları yerine getirmemek (md.15) Alt limit-TL: 340.476 ₺ Üst limit-TL: 13.620.402 ₺
Kabahat: Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etmek Alt limit-TL: 272.380 ₺ Üst limit-TL: 13.620.402 ₺
Kabahat: Yurtdışı veri aktarımına ilişkin standart sözleşme bildirim yükümlülüğünü yerine getirmemek Alt limit-TL: 71.965 ₺ Üst limit-TL: 1.439.300 ₺

KVKK Hakkında
Merak Edilenler!

Devamını Oku
  • 00

    2023 Siber Saldırı Sayısı

  • 00

    2023 Veri İhlali Bildirimleri

  • 00

    2023 Verbis Kayıtları

  • 00

    2023 Kişisel Veri İşleme