KVKK HAKKINDA SIK SORULAN SORULAR
1. 6698 sayılı Kanun nedir?
2. KVKK nedir?
KVKK, “Kişisel Verileri Koruma Kanunu” anlamına gelmektedir. Temel olarak kişisel veri işleme süreçlerini, bu süreçlerin paydaşları olan veri sorumlusu, veri işleyen, ilgili kişi ve benzeri paydaşaların hak ve yükümlülükleri düzenleyen Kişisel Verileri Koruma Kanunu 7 Nisan 2016 yılında yürürlüğe girmiş ve bu tarihten itibaren uygulanmaktadır.
KVKK mevzuatına buradan ulaşabilirsiniz.
3. KVKK ne zaman yürürlüğe girdi?
Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
KVKK mevzuatına buradan ulaşabilirsiniz.
4. KVKK mevzuatı kimleri kapsıyor?
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Bu sebeple Kanun'un 28. maddesinde sayılan bir takım istisnalar dışında tüm veri işleme faaliyetleri KVKK kapsamına girmektedir.
KVKK mevzuatına buradan, konuyla ilgili daha detaylı bilgiye ise blog yazımız üzerinden ulaşabilirsiniz.
5. Kişisel veri nedir?
Kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Kişisel Verinin kanuni tanımına buradan ulaşabilirsiniz.
6. Kişisel verilerin işlenmesinde genel ilkeler nelerdir?
Kişisel verilerin işlenmesinde 6698 sayılı Kanunun 4’üncü maddesinde sayılan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesine ilişkin olan bu ilkelerin, tüm kişisel veri işleme faaliyetlerinin özünde bulunması gerektiği ve işleme faaliyetinin bu ilkelere uygun olarak gerçekleştirilmesi gerektiği belirtilmiştir. Bahsedilen genel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Temel ilkelere ilişkin Kanun maddesini buradan inceleyebilirsiniz.
7. Özel nitelikli kişisel veri nedir?
Özel nitelikli kişisel veriler, hukuka aykırı işlenmeleri veya hukuka aykırı şekilde üçüncü kişilerce elde edilmeleri halinde ilgili kişiler açısından yüksek mağduriyet yaratma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir. Bu veriler Kanunda sınırlı sayıda belirlenmiş olduğundan bunların genişletilmesi mümkün değildir.
Özel Nitelikli Kişisel Veriler ile ilgili verilmiş Kurul kararlarına buradan ulaşabilirsiniz.
8. Özel nitelikli kişisel verilerin işlenmesinde alınması gereken yeterli önlemler nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Kurul, 2018/18 sayılı kararı ile Kanun'da belirtilen yeterli önlemlerin neler olacağını belirlemiştir. İlgili karara buradan ulaşabilirsiniz.
9. Veri sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendisi veri sorumlusu olup, ilgili düzenlemelerde belirtilen hukuki sorumluluğu üstlenecektir.
Veri sorumlusunun kanuni tanımına buradan ulaşabilirsiniz.
10. Veri İşleyen kimdir?
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Bu kişiler veri sorumlusunun kişisel veri işlemek üzere yetkilendirdiği ayrı bir gerçek veya tüzel kişi de olabilir.
Veri işleyen kavramının kanuni tanımına buradan ulaşabilirsiniz.
11. VERBİS nedir?
12. VERBİS’e kayıt olmalı mıyım?
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, Kanunun 16. maddesi 2. fıkrasının verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulunca bazı veri sorumluları için VERBİS’e kayıt yükümlülüğüne istisna getirilmiştir.
Veri sorumluları Sicili Hakkında Yönetmeliğe buradan ulaşabilirsiniz.
13. KVKK yaptırımları nedir?
KVKK’nın 17. maddesinde; kişisel veri ihlallerinde, kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. maddelerinin uygulanacağı, 18. maddesinde ise kişisel veri ihlali halinde uygulanacak idari para cezaları yani kabahat niteliği taşıyan fiiller düzenlenmiştir. Buna göre, 2022 yılı için, Aydınlatma Yükümlülüğünün yerine getirilmemesi halinde 13.391-TL ile 267.883-TL arasında, Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi Halinde 40.179-TL ile 2.678.863-TL arasında, Kurul Kararlarının Yerine Getirilmemesi Halinde 66.965-TL ile 2.678.863-TL arasında, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde 53.572-TL ile 2.678.863-TL arasında para cezası kesilir. Yani kişisel verilerin işlenmesine ilişkin hukuka aykırılıklarda uygulanan yaptırımları TCK kapsamındaki cezalar ve KVKK kapsamındaki idari para cezaları olmak üzere iki gruba ayırmak mümkündür.
KVKK yaptırımlarına dair kanun maddesini buradan inceleyebilirsiniz.
14. KVKK aydınlatma metni nedir?
Kişisel verileri işlenen ilgili kişilere; bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceğinden, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi veren hukuki metinlerdir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e buradan ulaşabilirsiniz.
15. Aydınlatma yükümlülüğümü yerine getirirken nelere dikkat etmeliyim?
Aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlülüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir.
Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları
Kurulca hazırlanan ve 10.03.2018 tarihli Resmî Gazete ’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe göre sayılan, veri sorumlusunca aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usul ve esaslara buradan ulaşabilirsiniz.
16. Açık rıza onayı nedir?
Açık rıza, belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır. Başka bir ifade ile ilgili kişinin verilerinin işlenmesine özgürce, konu hakkında yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı kalmak kaydıyla verdiği onay beyanıdır. Bu unsurları taşımayan onaylar KVKK kapsamında geçerli bir açık rıza beyanı sayılmamaktadır.
Açık Rıza ile ilgili Kurul kararlarına buradan ulaşabilirsiniz
17. Reklam/ pazarlama amacıyla kişilere gönderdiğim sms/e-postalar için kişilerden izin almalı mıyım?
Evet. Bu tür ticari elektronik iletiler için kişilerden, hem KVKK'ya hem de Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğe uygun olacak şekilde kişilerden açık rıza alınması gerekmektedir.
Konu ile ilgili Kişisel Verileri Koruma Kurulu kararlarına buradan ulaşabilirsiniz.
18. Kişisel veri ihlali nedir?
Kanunda kişisel veri ihlali, işlenen kişisel verilerin yasal olmayan yöntemlerle başkaları tarafından elde edilmesi şeklinde tanımlanmıştır. Bu tanımdan yalnızca verinin hukuka aykırı şekilde gizliliğinin bozulması anlaşılsa da uygulamada, verinin erişilebilirliğinin veya bütünlüğünün bozulması halleri de kişisel veri ihlali kapsamına girebilir.
Kişisel Veri ihlaline dair Kurul kararlarına buradan ulaşabilirsiniz.
19. Kişisel veri ihlali durumunda ne yapmalıyım?
İşlenen kişisel verilerin kanuni olmayan yollarla, başkaları tarafından elde edilmesi hâlinde, veri sorumlusu, bu durumu 72 saat içerisinde ihlalden etkilenen ilgili kişilere ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür.
Kişisel Veri ihlaline dair Kurul kararlarına buradan ulaşabilirsiniz.
20. KVKK kapsamında haklarım neler?
Anayasanın 20. maddesi gereğince herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Bu doğrultuda herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Anayasaya uygun olarak Kanunun 11. maddesinde ilgili kişilerin haklarının neler olduğu detaylı olarak düzenlenmektedir.
Kanunda sayılan ilgili kişi haklarına buradan ulaşabilirsiniz.
21. İlgili kişi başvurusunda yer alması gereken unsurlar nelerdir?
Kişisel Verileri Koruma Kanunu’n 13’üncü maddesinde veri sorumlusuna yapılacak başvuruda uyulması gereken usul ve esaslar sayılmıştır. Bunun yanında Kurul tarafından hazırlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile başvurulara ilişkin yöntemler ayrıca belirtilmiştir. Buna göre başvuruda:
- Ad, soyad ve başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu
hususlarının bulunması zorunludur.
Ayrıca konuya ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir.
Veri sorumlusuna başvuru usul ve esaslara ilişkin Kurul tarafından yayımlanan Tebliğ’e buradan Kanunda sayılan ilgili kişi haklarına ise buradan ulaşabilirsiniz..
22. Kişisel veri imhası nedir?
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin tamamı için kullanılan genel tanım veri imhasıdır.
Kanunun 7. maddesi uyarınca, kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından imha edilir.
İmhaya ilişkin usul ve esasların belirlendiği Tebliğ'e buradan ulaşabilirsiniz.
23. Kişisel verileri nasıl ve ne sıklıkla imha etmeliyim?
Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Veri sorumlusu, en geç, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe buradan ulaşabilirsiniz.
24. Ne sıklıkla periyodik imha işlemi gerçekleştirmeliyim?
Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olan veri sorumlusu, periyodik imhanın gerçekleştirileceği zaman aralığını kişisel veri saklama ve imha politikasında belirler ve belirlediği zamanda imha işlemini gerçekleştirir. Bu süre her halde altı ayı geçemez.
Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumluları ise imha yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verilerin imhasını gerçekleştirmekle yükümlüdür.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe buradan ulaşabilirsiniz.