1. Kişisel Veri Nedir?

6698 sayılı Kanun’da ‘’Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’’olarak tanımlanmıştır. Veri gerçek bir kişiyle ilgili olmalı ve bu kişi de belirli veya belirlenebilir olmalıdır. Kanun geniş bir kişisel veri tanımı yaparak teknolojik gelişmelerle türetilebilecek kategorilere de yer açmıştır.

Kişinin adı, soyadı, T.C. kimlik numarası, cinsiyeti, iletişim numaraları, e-posta ve ikametgah adresi, doğum tarihi ve yeri, sosyal güvenlik numarası, pasaport numarası, öğrenim durumu, özgeçmişi, görüntü ve ses kayıtları, medeni hali, parmak izleri, genetik bilgileri kişisel verilerindendir.

2. Kişisel Verilerin İşlenmesi Nedir?

Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, aktarılması gibi her türlü işlem anlamına gelir. Şirketler için bu, müşterilerinizin sipariş bilgilerinden, çalışanlarınızın özlük dosyalarına kadar geniş bir yelpazede kişisel verilerin işlenmesi anlamına gelir.

2.1. Kişisel Veriler Nasıl İşlenebilir?

Kişisel veriler, otomatik yollarla ya da fiziksel kayıtlarla işlenebilir. Şirketler için bu, bilgisayar sistemlerinde tutulan müşteri verilerinden, çalışanların özlük dosyalarının fiziki olarak saklanmasına kadar her türlü veri işleme faaliyetini kapsar. Otomatik işleme OECD tarafından “İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen veri işleme faaliyeti” şeklinde tanımlanmıştır. Kısaca bilişim sistemleri üzerinde gerçekleştirilir, işlemci sahibi cihazların (bilgisayar, telefon, saat vb.) insan müdahalesi olmaksızın işlemesidir.

Otomatik olmayan yollarla işleme ise fiziksel olarak kayıt altına alınmasıdır. Bir veri kayıt sisteminin parçası olması şartına bağlanmıştır. Örneğin, kişilerin ad ve soyadlarının bir kritere bağlı olmaksızın rastgele bir kağıda yazılması bir veri sisteminin parçası olmadığından Kanun kapsamında ‘’verilerin işlenmesi’’ sayılmaz. Fakat bu veriler kişisel veri niteliğini koruduğundan bu verilere ilişkin hukuka aykırı eylemler suç teşkil edecektir.

2.2. Kişisel Verilerin İşlenmesinde Hangi İlkelere Uyulması Zorunludur?

Şirketler, kişisel verileri işlerken aşağıdaki ilkelere uymak zorundadır:

  • Hukuka ve dürüstlük kurallarına uygunluk
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen süre kadar muhafaza edilme

Bu ilkeler, şirketlerin veri işleme süreçlerinde rehberlik etmesi gereken temel prensiplerdir.

2.3. Kişisel Verilerin İşlenmesinin Şartları Nelerdir?

Avrupa Birliği’nde sadece özel nitelikli kişisel verilerin işlenmesi için açık rıza aranırken ülkemizde her türlü kişisel verinin işlenmesi için açık rıza aranmaktadır. Ancak:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel veriler açık rıza aranmaksızın da işlenebilir.

Bu istisnalar, şirketlerin belirli koşullar altında veri işlemesi için imkan tanır, ancak yine de dikkatle değerlendirilmelidir.

2.4. Kişisel Verilerin İşlenmesine Açık Rıza Nasıl Olmalıdır?

Açık rıza belirli bir konuya ilişkin olmalı, genel nitelikte olmamalıdır. Açık rıza verilmeden önce kişi aydınlatma yükümlülüğü kapsamında hem konu hem sonuçlar hakkında bilgilendirilmiş olmalı, kişi bu bilgiler ışığında rıza vermelidir. Rıza özgür iradeyle açıklanmalı, baskı altında verilmemelidir. Verilerin hukuka uygun olarak işlenebilmesi için kişinin olumlu irade beyanını içermelidir. Diğer düzenlemeler saklı kalmak üzere yazılı şekilde alınması şart değildir, elektronik ortamda da alınabilir.

3. Özel Nitelikli Kişisel Veri Nedir?

Özel nitelikli kişisel veriler, öğrenilmesi halinde ayrımcılığa ve mağduriyete neden olabilecek nitelikte verilerdir. Sınırlı sayıdadır (numerus clausus), kıyas yoluyla genişletilemez. Kişilerin;

  • ırkı,
  • etnik kökeni,
  • siyasi düşüncesi,
  • felsefi inancı,
  • dini, mezhebi veya diğer inançları,
  • kılık ve kıyafeti,
  • dernek, vakıf ya da sendika üyeliği,
  • sağlığı,
  • cinsel hayatı,
  • ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri 
  • biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Özel nitelikli kişisel veriler işlenmesi yasaktır, ancak birtakım istisnalar bulunabilir:

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.

4. Veri Sorumlusu ve Veri İşleyen Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.

Bir gerçek veya tüzel kişi hem veri sorumlusu hem veri işleyen aynı anda olabilir. Örneğin, bir şirket personeliyle ilgili tuttuğu veriler bakımından veri sorumlusu iken, müşterileri ile ilgili tuttuğu veriler bakımından veri işleyen olabilir.

Veri sorumlusu kararların alınması yetkisine sahiptir, verilerin işlenme amacını ve yöntemini belirler. Veri sorumlusu veri işlemekle sorumlu/görevli kişiyi ifade etmez, tüzel kişiliğin ya da gerçek kişinin kendisidir. Örneğin; şirkette veri işlemekle görevli çalışan veri işleten, şirket (tüzel kişi) veri sorumlusudur.

4.1. Veri Sorumlusu Hangi Bilgileri Vermekle Yükümlüdür

Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10.madde gereğince kendisi veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11. maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

4.2. İlgili Kişilerin Hakları Nelerdir?

Kanun’un 11.maddesi gereğince ilgili kişiye tanınan haklar ise şunlardır:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

4.3. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?

Kanun’un 12. Maddesi uyarınca veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri aşağıdaki gibidir:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
  • Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte müştereken sorumludur.
  • Veri sorumlusu, kendi kurum veya kuruluşunda gerekli denetimleri yapmak veya yaptırmak zorundadır.
  • Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

5. 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun Amacı Nedir?

Bu Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Anayasal bir hak olan kişisel verilerin korunmasını isteme hakkını hayata geçirir. Şirketler için bu, hem yasal uyum hem de müşteri güvenini sağlama açısından kritik bir öneme sahiptir.

6. Kişisel Veriler Neden Korunmalıdır?

Kişisel verilerin korunması, günümüzün dijital çağında büyük bir öneme sahiptir ve bu konuda birkaç temel neden öne çıkmaktadır:

  1. Kişisel Veri Temel Bir İnsan Hakkıdır: Kişisel verilerin korunması, bireyin mahremiyetine saygı gösterilmesi anlamına gelir ve bu, uluslararası hukukta da tanınmış bir insan hakkıdır. Avrupa Birliği Temel Haklar Bildirgesi’nin 8. maddesi, Avrupa Birliği’nin İşleyişine İlişkin Antlaşma’nın 16. maddesi ve GDPR (Genel Veri Koruma Tüzüğü) bu hakkı açıkça koruma altına almıştır. Türkiye Anayasası’nın 20. maddesi de bu hakkı güvence altına alır.
  2. Veri İhlallerinin Artışı: Günümüz teknolojik şartları, kişisel verilerin neredeyse her yerden ve herkes tarafından erişilebilir hale gelmesine yol açmıştır. Bu durum, veri ihlallerinin artmasına sebep olmuştur. Veri ihlalleri, bireylerin kişisel bilgilerinin izinsiz olarak elde edilmesi, kullanılması veya paylaşılması durumlarında ortaya çıkmaktadır ve bu ihlaller bireylerin güvenliğini ve mahremiyetini tehdit eder.
  3. Kişisel Verilerin Maddi Değeri: Kişisel veriler, dijital ekonominin temel yapı taşlarından birini oluşturur ve bu veriler günümüzde maddi değeri en yüksek varlıklar arasında sayılmaktadır. Bu nedenle, kişisel verilerin korunması, yalnızca bireysel hakların korunması değil, aynı zamanda ekonomik değerlerin korunması anlamına da gelmektedir.

Şirketlerin kişisel verileri koruması ise , yasal yükümlülüklerin ötesinde birçok sebepten dolayı önemlidir:

  1. Yasal Yükümlülük: KVKK’ya uyum, şirketlerin idari para cezaları ve hukuki yaptırımlardan kaçınmalarını sağlar.
  2. Güven ve İtibar: Verilerin korunması, şirketin güvenilirliğini artırır ve müşteri sadakatini güçlendirir.
  3. Ekonomik Değer: Kişisel veriler, dijital ekonominin önemli bir parçasıdır. Bu verilerin korunması, şirketin rekabet avantajını korumasına yardımcı olur.

7. KVKK Kapsamında Suçlar ve Yaptırımlar

İlgili suçlar 5237 sayılı Türk Ceza Kanunu’nun 135-140. maddelerinde düzenlenmiştir.

  • Kişisel Verilerin Kaydedilmesi Suçu (m.135)

Hukuka aykırı olarak kişisel verileri kaydetmek suçun fiil unsurunu oluşturur.  Kişisel verinin; kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması (yani özel nitelikli kişisel veri olması) halinde ceza yarı oranında arttırılır.

  • Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (m.136-137)

Suçun fiil unsuru kişisel verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmektir. Suçun konusunun, Ceza Muhakemesi Kanununun 236. maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır. Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır.

  • Verileri Yok Etmeme Suçu (m.138)

Kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri suçun fiil unsurunu oluşturur. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

KVKK’ya uyum sağlamayan şirketler, Türk Ceza Kanunu’nda belirtilen çeşitli suçlarla karşı karşıya kalabilir. Yukarıda detaylıca izah edildiği üzere; bu suçlar arasında kişisel verilerin hukuka aykırı olarak kaydedilmesi, üçüncü kişilere verilmesi veya yok edilmemesi yer alır. Şirketler, bu tür durumlarla karşılaşmamak için gerekli tüm teknik ve idari tedbirleri almak zorundadır.

Şirketler için KVKK uyum süreci, yalnızca yasal bir zorunluluk olarak görülmemeli, aynı zamanda iş süreçlerinin güvenliği, itibarı ve uzun vadeli başarısı açısından kritik bir unsur olarak değerlendirilmelidir. Bu süreçte bir hukuk profesyoneli ile çalışmanın önemini de vurgulayarak, bu konuyu detaylı şekilde ele alalım:

8. Yasal Uyum ve Yaptırımlardan Kaçınma

KVKK, Türkiye’de faaliyet gösteren tüm şirketler için bağlayıcı bir düzenlemedir. KVKK’ya uyum sağlamayan şirketler, ciddi idari para cezaları, faaliyet durdurma kararları ve hatta itibar kaybı gibi ağır yaptırımlarla karşılaşabilir. Özellikle veri ihlalleri sonucunda ortaya çıkabilecek hukuki süreçler, şirketin hem mali hem de operasyonel olarak büyük zarar görmesine yol açabilir. Bu nedenle, yasal uyum süreci, şirketlerin bu tür risklerden korunmasını sağlar.

  • İtibar ve Güven Yönetimi:

Kişisel verilerin korunması, müşteriler ve iş ortakları nezdinde şirketin güvenilirliğini artırır. Veri ihlali durumunda, şirketin itibarında büyük bir düşüş yaşanabilir, bu da müşteri kaybına ve iş ortaklarının güveninin zedelenmesine yol açabilir. KVKK’ya uyumlu bir şirket, bu tür olumsuzlukların önüne geçerek, sektörde güvenilir bir konumda kalır. İtibar kaybı, sadece kısa vadeli zararlara değil, aynı zamanda uzun vadeli müşteri ilişkilerinin bozulmasına da neden olabilir.

  • Veri Güvenliği ve İş Sürekliliği:

KVKK uyum süreci, şirketlerin veri güvenliği altyapısını güçlendirmesini sağlar. Bu süreçte alınan teknik ve idari tedbirler, veri ihlallerini minimize eder ve iş sürekliliğini güvence altına alır. Veri güvenliğine yönelik yapılan yatırımlar, sadece yasal zorunlulukların yerine getirilmesi için değil, aynı zamanda iş operasyonlarının kesintisiz ve güvenli bir şekilde yürütülmesi için de kritik öneme sahiptir.

  • Müşteri Sadakati ve Rekabet Avantajı:

Müşteriler, kişisel verilerini koruyan ve yasal düzenlemelere uygun hareket eden şirketlerle iş yapmayı tercih eder. KVKK’ya uyumlu bir şirket, müşterilerin gözünde güvenilir bir iş ortağı olarak algılanır ve bu da müşteri sadakatini artırır. Ayrıca, veri güvenliği konusunda duyarlı olan bir şirket, rekabet avantajı elde eder ve pazarda farklılaşma sağlar.

  • Ekonomik Değer ve Veri Yönetimi:

Kişisel veriler, dijital çağın en değerli varlıklarından biridir. Şirketler, bu verileri doğru bir şekilde yöneterek, hem yasal gereklilikleri yerine getirir hem de verinin ekonomik değerini en üst düzeye çıkarır. KVKK uyum süreci, verilerin etkin bir şekilde yönetilmesini sağlar, bu da şirketin veri temelli stratejiler geliştirmesine olanak tanır.

  • Hukuki Yükümlülüklerin ve Risklerin Yönetimi:

KVKK uyum süreci, şirketlerin hukuki yükümlülüklerini etkin bir şekilde yerine getirmesini sağlar. Bu süreçte yaşanabilecek hukuki ihlaller, ciddi maliyetlerle sonuçlanabilir. Hukuki bir profesyonel ile çalışmak, bu risklerin en aza indirilmesi ve uyum sürecinin doğru bir şekilde yönetilmesi açısından büyük önem taşır. Hukukçular, şirketlerin KVKK ile ilgili tüm süreçlerini denetler, gerekli düzenlemeleri yapar ve olası hukuki sorunları önceden tespit ederek çözüme kavuşturur.

  • Bir Hukuk Profesyoneli ile Çalışmanın Önemi:

KVKK uyum süreci, karmaşık ve detaylı bir süreçtir. Şirketlerin, bu süreci doğru ve eksiksiz bir şekilde yönetebilmesi için bir hukuk profesyoneli ile çalışması kritik öneme sahiptir. Hukukçular, KVKK kapsamındaki tüm yasal yükümlülükleri bilir, şirketlerin bu yükümlülüklere uygun hareket etmesini sağlar ve olası veri ihlallerine karşı şirketi korur. Ayrıca, bir hukuk profesyoneli, şirketlerin KVKK ile ilgili stratejilerini belirlemelerine, eğitimler düzenlemelerine ve sürekli uyum denetimleri yapmalarına yardımcı olur. Böylece, şirketler hem yasal uyumluluğu sağlar hem de veri güvenliği konusunda güçlü bir yapı inşa eder.

Sonuç

KVKK uyum süreci, şirketler için sadece bir yasal zorunluluk değil, aynı zamanda iş sürekliliği, itibar yönetimi ve müşteri güvenini sağlama açısından da vazgeçilmez bir süreçtir. Bu süreçte, bir hukuk profesyoneli ile çalışmak, şirketin tüm yasal yükümlülüklerini yerine getirmesini ve veri güvenliği konusunda en üst düzeyde bir yapı kurmasını sağlar. KVKK’ya uyumlu hareket eden bir şirket, uzun vadede hem rekabet avantajı elde eder hem de sektördeki güvenilirliğini artırır.