İçindekiler
Kişisel Verilerin Korunması 2010 yılında T.C Anayasası’nın 20. Maddesine eklenmiştir. Bu hüküm ile gerçek kişi vatandaşların kişisel verilerinin korunması amaçlanmaktadır.
Kişisel Verilerin Korunması (KVKK) Nedir?
Kişisel verilerin korunması hususuna ilk defa 2010 yılında Türkiye Cumhuriyeti Anayasası’nda değinilmiştir. T.C. Anayasası’nın 20. Maddesi uyarınca herkes kendisiyle ilgili kişisel verilerin korunması hakkına sahip kılınmıştır. Bu hak uyarınca kişiler kişisel verileri hakkında bilgilendirilebilecek, bu verilere erişebilecek, bunların düzeltilmesini veya silinmesini talep edebilecek ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenebilecektir. Kişisel veriler, ancak kanunda öngörülen hallerde veya ilgili kişinin açık rızasıyla işlenebilecektir.
T.C Anayasası’nda yer alan bu hüküm sonrasında kişisel veriler hakkında ulusal mevzuat da şekillenmeye başlamıştır. Kişisel veriler alanında mevzuatın geliştirilmesiyle 07/04/2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Kanun ulusal anlamda kişisel veri sahibi gerçek kişilere yol göstermesinin yanısıra Avrupa Birliği 95/46/AT sayılı direktiften de ilham almıştır. Bu direktifin mülgası sonrası Avrupa Birliği tarafından Avrupa Birliği Genel Veri Koruma Tüzüğü 2018 yılında yürürlüğe girmiştir. 6698 sayılı Kişisel Verileri Koruma Kanunu birçok yönden Avrupa Birliği Genel Veri Koruma Tüzüğü ile benzerlikler göstermektedir.
KVKK Uyumu Nedir?
Kişisel verilerin korunması mevzuatına uyum, içerisine belirli aşamaları dahil etmektedir. Kişisel veri işleyen gerçek ve tüzel kişi veri sorumluları KVKK ve ilgili mevzuat ile Kurul kararları, mahkeme içtihatları, rehberler ve uygulama örneklerinden doğan yükümlülükleri yerine getirdiği takdirde kişisel veriler alanında tam uyumu sağlayacaktır.
KVKK uyum sürecinin ilk basamağı proje ekibinin kurulmasıdır. Proje ekibi KVKK uyum sürecini yönetecek ve veri güvenliğini sağlayacaktır. Bu etapta oluşturulacak proje ekibinin kişisel verilerin korunması alanında bilgili ve deneyimli olması gerekmektedir. Bu kişiler uzman hukukçular ve teknik alanı yönetecek olan veri güvenliği uzmanları olarak gösterilebilir. Veri sorumlusunun da KVKK’ya uyum sürecinde yer alan tüm aşamalarda veri işleyen personel ve ekibine katılım göstermesi gerekmektedir.
İkinci aşamada kurulacak proje ekibi uyum sürecinin stratejisini oluşturacak ve uygulayacaktır. Uyum sürecinin veri sorumlusu ve proje ekibi tarafından baştan sona derinlemesine ve bütüncül bir biçimde ele alınması gerçek ve tüzel kişi veri sorumlularının KVKK’ya uyumu açısından son derece önemlidir.
Üçüncü aşamada başlangıç (kick-off) toplantısı yapılarak uyum sürecinde görev alacak uzmanlara gerçekleştirilmesi gereken süreç ve bu süreçte yapılması gerekenler anlatılmaktadır.
Başlangıç toplantısını takip eden süreç kişisel veri envanterinin çıkarılmasıdır. Kişisel veri envanteri çıkarılarak veri sorumlusunun hangi kişisel verileri, hangi süreçler kapsamında hangi amaçla işlediği, kimlere aktardığı ve bu aktarımların yurt içi veya yurt dışında mı yapıldığı ile söz konusu kişisel verilerin belirlenen amaç ile ne kadar süreyle muhafaza edileceği tespit edilir. Uyumun gerçekleşmesini sağlayan en temel basamaklardan biri de budur.
Kişisel veri envanterinin çıkarılmasından sonra ortaya çıkan mevcut durum açıkça ortaya konulacak ve bir rapor ortaya konarak boşluk analizi yapılacaktır. Bu sayede veri sorumlusu mevcut durumu tespit ederek ve eksikliklerini tamamlayarak Kanun’a uyumlu hale gelmeye bir adım daha yaklaşacaktır.
Boşluk analizi yapılarak tespiti yapılmış eksiklikler ve hataların düzeltilmesi uyum danışmanlığını gerektirmektedir. Uyum danışmanlığı aşamasında politika ve prosedürler hazırlanmakta, aydınlatma ve açık rıza metinleri oluşturulmakta, sözleşmeler KVKK’ya uyum dikkate alınarak gözden geçirilmekte, teknik ve idari tedbirler belirlenmektedir.
Uyum danışmanlığı sonrasında proje devam edecek bir süreci ortaya koyduğundan veri sorumlusu bünyesinde bulunan tüm çalışanlar KVKK’ya uyum açısından bilgilendirilmek adına veri koruma eğitimine tabi tutulacaklardır. Bu eğitim kapsamında kişiler kişisel verilerin korunması için uyması gereken kuralları ve bu kurallara uyulmadığı takdirde yaptırımlarının ne olacağı hakkında bilgilendirilmektedir.
Proje sona ermiş olsa da uyum süreci devam edeceğinden projenin sona ermesinden sonra da kişisel veri işlemeye devam edileceği dikkate alınarak organizasyon belirli aralıklarla denetlenmeli ve kontrol edilmelidir. Burada başkaca kişisel veriler işlendiği takdirde kişisel veri envanterine dahil edilmeli, yeni süreçler oluşması halinde yeni aydınlatma ve açık rıza metinleri oluşturulmalıdır.
Kişisel Verilerin Korunması Mevzuatı
KVKK mevzuatı içerisinde 6698 sayılı KVKK’nın yanısıra yönetmelikler, tebliğler, rehberler ve Kişisel Verileri Koruma Kurulu kararlarını da içermektedir. Sayılanlar haricinde birçok alanda kişisel verilerin korunması alanına atıf yapan mevzuat hükümleri bulunmaktadır. 6698 sayılı KVKK içerisinde kişisel verilere ilişkin temel kavramlar ve temel ilkeler ile gerçek ve tüzel kişi veri sorumlusu ve veri işleyen kişilerin uyması gereken hususları içermektedir.
Kanun kapsamında ilgili kişinin kişisel verilerinin işlenmeye başladığı ilk andan imhasına kadar geçen son ana dek tüm süreç hüküm altına alınmıştır. Kanun ve Kanun’un yanısıra yukarıda da belirtilmiş olan ilgili mevzuatta yer alan yükümlülüklere uyulmaması hukuka aykırı veri ihlalini ve veri sorumlusunun sorumluluğunu ortaya çıkaracaktır.
KVKK ve GDPR Farkları
6698 sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) içerisinde birçok benzerlik bulundurmasının yanısıra farklılıklara da sahiptir. Bu farklılıklar çocuklardan açık rıza alınması, veri koruma görevlisi (DPO-Data Protection Officer) atanması, veri koruma etki değerlendirilmesinin yapılması, ortak veri sorumlularının varlığı ve VERBİS’e kayıt yükümlülüğü olarak sıralanabilir.
GDPR, KVKK’nın aksine çocuklardan da açık rıza alınması gerektiğini açıklamıştır. Tüzük’ün ilgili hükmü uyarınca çocuğun en az 16 yaşında olması halinde bilgi toplumu hizmetleri sağlanması ile ilgili olarak çocuğun kişisel verilerinin işlenmesi hukuka uygun sayılacaktır. Çocuğun 16 yaşından küçük olması halinde veri işleme faaliyeti ancak velisi ya da vasisi tarafından onaylanması halinde geçerli sayılacaktır.
Veri koruma görevlisi atanması KVKK’da yer almayan ve GDPR’da hüküm altına alınmış bir diğer konudur. Gerçek ve tüzel kişi veri sorumluları organizasyonları içerisine veri koruma görevlisi atamakla yükümlü kılınmıştır. Atanacak veri koruma görevlileri organizasyona dışarıdan veya içeriden bir kişinin görevlendirmesi yoluyla atanarak kişisel verilere ilişkin korumayı sağlayacaktır. Bu kişiler veri sorumlularından hiçbir talimat almamakta olup görevlerini yerine getirmesi sebebiyle işten atılamayacak veya cezalandırılamayacaktır.
KVKK ile GDPR arasındaki bir diğer farklılık ise veri koruma etki değerlendirmesinin yapılmasıdır. Gerçek kişilerin hak ve özgürlükleri için yüksek riskle sonuçlanması muhtemel olması halinde veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce veri koruma etki değerlendirmesi yapmakla yükümlü kılınmıştır.
KVKK içerisinde ortak veri sorumluları hakkında bir tanım yer almamaktadır. GDPR’ın ilgili maddesi iki ya da daha fazla sayıda veri sorumlusunun işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde bu kişilerin ortak veri sorumluları olacağını belirtmiştir. Ülkemizin kişisel veri mevzuatlarında henüz böyle bir kabule yer verilmemiştir.
KVKK ile GDPR arasındaki son fark ise KVKK’da yer alan veri sorumluları siciline kayıt yükümlülüğüdür. Türkiye’de veri sorumluları 6698 sayılı KVKK’nın 16. maddesi uyarınca kişisel veri işlemeye başlamadan önce veri sorumluları siciline kaydolmalıdır. GDPR kapsamında veri sorumlularının kaydolmasını gerektiren bir sistem henüz bulunmamaktadır.
KVKK Avukatı
KVKK’ya uyumun tam olarak sağlanması ve olası veri ihlallerinin önüne geçilmesi kişisel veriler konusunda uzman bir avukatla çalışılmasını gerektirmektedir. Gerçek ve tüzel kişi veri sorumlularının kişisel veriler konusunda olası idari ve cezai tedbirlerle karşı karşıya kalması bu sayede engellenebilecektir.
Yukarıda hukuki açıdan önem ihtiva eden kişisel verilerin korunması konusu genel bir çerçeveyle açıklanmıştır. Kişisel verilerin korunması konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla ve KVKK avukatları, bilişim avukatları veya KVKK danışmanları ile iletişime geçebilirsiniz.
