KVKK ve Haklarımız

Dijital çağda, kişisel verilerimiz altın değerinde bir varlık haline geldi. İnternetteki her tıklamamız, sosyal medya paylaşımlarımız, online alışverişlerimiz, hatta akıllı telefonlarımız aracılığıyla sürekli olarak veri üretiyoruz. Bu veriler, şirketler ve kurumlar tarafından toplanıp işlenirken, bireylerin mahremiyetini ve veri güvenliğini koruma ihtiyacı da her zamankinden daha kritik hale geldi. Türkiye'de bu hassas dengeyi sağlamak amacıyla, 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi, saklanması ve aktarılmasına ilişkin esasları belirleyerek bireylerin mahremiyet hakkını güvence altına almayı hedeflemektedir.

KVKK, bireylere kendi kişisel verileri üzerinde kontrol sahibi olma hakkı tanırken, veri sorumlularına (verileri işleyen gerçek veya tüzel kişiler) da önemli yükümlülükler getirmektedir. Bu kanun, Avrupa Birliği'ndeki GDPR (Genel Veri Koruma Tüzüğü) gibi uluslararası düzenlemelerle uyumlu bir çerçeve sunar.

Kişisel Veri Nedir?

KVKK'ya göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım oldukça geniştir ve şunları içerebilir:

  • Kimlik Bilgileri: Ad, soyadı, T.C. kimlik numarası, doğum tarihi, doğum yeri, anne/baba adı.
  • İletişim Bilgileri: Telefon numarası, e-posta adresi, adres.
  • Özel Nitelikli Kişisel Veriler (Hassas Veriler): Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek-vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. Bu tür veriler, işlenmeleri daha katı şartlara tabidir çünkü ayrımcılığa veya mağduriyete yol açma potansiyelleri yüksektir.
  • Diğer Bilgiler: Parmak izi, kan grubu, araç plaka bilgisi, banka hesap bilgileri, eğitim bilgileri, meslek bilgileri, fotoğraf, ses kaydı, IP adresi, konum verileri vb.

Kişisel Verilerin İşlenmesinin Temel İlkeleri

KVKK, kişisel verilerin işlenmesinde (kaydetme, depolama, aktarma, açıklama vb. her türlü işlem) uyulması gereken bir dizi ilke belirlemiştir. Bu ilkeler, veri sorumlularının yasalara uygun hareket etmesini sağlar ve bireylerin haklarını korur:

  1. Hukuka ve Dürüstlük Kurallarına Uygunluk: Veriler, yasalara uygun ve adil bir şekilde toplanmalı ve işlenmelidir.
  2. Doğru ve Gerektiğinde Güncel Olma: İşlenen veriler doğru ve güncel olmalıdır. Eski veya hatalı veriler düzeltilmeli veya silinmelidir.
  3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Veri toplamanın amacı açıkça belirtilmeli ve yalnızca bu amaç için kullanılmalıdır.
  4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Veriler, belirlenen amaçla ilgili ve o amaç için gerekli olan miktarla sınırlı olmalıdır. Gereksiz veya fazla veri toplanmamalıdır.
  5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Veriler, yasal düzenlemelerin belirlediği süreler veya işlendikleri amaç için gerekli olan süre kadar saklanmalı, bu süre dolduktan sonra silinmeli veya anonim hale getirilmelidir.

Kişisel Veri Sahibinin Hakları

KVKK, kişisel veri sahiplerine (veri konusu ilgili kişi) kendi verileri üzerinde kontrol sahibi olmalarını sağlayan bir dizi hak tanımıştır. Bu haklar, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile somutlaştırılmıştır. Veri sahipleri, veri sorumlusuna yazılı veya belirli durumlarda elektronik yolla başvurarak bu haklarını kullanabilirler:

  1. Kişisel veri işlenip işlenmediğini öğrenme: Verilerinizin işlenip işlenmediği hakkında bilgi talep edebilirsiniz.
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme: Hangi verilerinizin işlendiğini, nasıl işlendiğini ve hangi amaçla işlendiğini sorabilirsiniz.
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme: Verilerinizin neden toplandığını ve amacına uygun kullanılıp kullanılmadığını sorgulayabilirsiniz.
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme: Verilerinizin kimlere ve hangi amaçla aktarıldığını bilme hakkınız vardır.
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme: Verilerinizde yanlışlık veya eksiklik olduğunu düşünüyorsanız, düzeltilmesini talep edebilirsiniz.
  6. KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme: Verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda (örneğin amacın ortadan kalkması, yasal saklama süresinin dolması), silinmesini veya yok edilmesini talep edebilirsiniz.
  7. Yukarıda belirtilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme: Verilerinizde yapılan düzeltme, silme veya yok etme işlemlerinin, verilerinizin aktarıldığı diğer kişilere de bildirilmesini talep edebilirsiniz.
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme: Otomatik sistemler tarafından alınan ve sizin için olumsuz sonuçlar doğuran kararlara itiraz etme hakkınız vardır. Örneğin, bir kredi başvurunuzun tamamen otomatik bir sistem tarafından reddedilmesi durumunda bu karara itiraz edebilirsiniz.
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme: Kişisel verilerinizin kanuna aykırı işlenmesi nedeniyle bir zararınız oluşursa, bu zararın tazmin edilmesini talep edebilirsiniz.

Veri Sorumlularının Yükümlülükleri

KVKK, kişisel veri işleyen tüm gerçek ve tüzel kişilere ("veri sorumlusu") önemli yükümlülükler getirmiştir. Bunlardan bazıları:

  • Aydınlatma Yükümlülüğü: Verileri toplarken ilgili kişileri veri işleme faaliyetleri hakkında bilgilendirmek (amaç, toplanma yöntemi, kime aktarılacağı, hakları vb.).
  • Rıza Alma Yükümlülüğü: Kişisel verileri açık rıza olmadan işleyememek (kanunda belirtilen istisnalar hariç). Özellikle özel nitelikli kişisel veriler için daha sıkı rıza şartları aranır.
  • Veri Güvenliğini Sağlama Yükümlülüğü: Kişisel verilerin güvenliğini sağlamak için uygun idari ve teknik tedbirleri almak. Verilerin kaybolması, yetkisiz erişim veya yanlış kullanım gibi risklere karşı korumak.
  • Veri İhlalini Bildirim Yükümlülüğü: Herhangi bir veri ihlali durumunda (örneğin verilerin çalınması), Kişisel Verileri Koruma Kurumu'na (KVKK) ve etkilenen ilgili kişilere bildirimde bulunmak.
  • Veri Sorumluları Siciline Kaydolma Yükümlülüğü (VERBİS): Belirli büyüklükteki veri sorumlularının, işledikleri verilerle ilgili bilgileri VERBİS'e kaydettirmesi gerekir.

Kişisel Verileri Koruma Kurumu (KVKK)

Türkiye'de kişisel verilerin korunması alanındaki denetleyici ve düzenleyici kurum, Kişisel Verileri Koruma Kurumu (KVKK)'dur. KVKK, kanunun uygulanmasını sağlamak, denetimler yapmak, şikayetleri değerlendirmek ve veri güvenliği konusunda farkındalık yaratmakla görevlidir. Eğer bir veri sorumlusunun KVKK hükümlerine aykırı davrandığını düşünüyorsanız, öncelikle ilgili veri sorumlusuna başvurmalı ve yanıt alamazsanız veya tatmin edici bir yanıt alamazsanız, Kişisel Verileri Koruma Kurumu'na şikayette bulunabilirsiniz.

KVKK, dijitalleşen dünyada bireylerin en temel haklarından biri olan mahremiyet hakkını korumayı amaçlayan kritik bir adımdır. Kişisel verilerimizin nasıl işlendiğini anlamak ve haklarımızı bilmek, bu yeni düzende bilinçli birer dijital vatandaş olmanın temelini oluşturmaktadır.