Kişisel Veri Nedir? Kişisel verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir. Bu kanun, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı, veri güvenliğini sağlamayı ve veri işleyen kuruluşların yükümlülüklerini belirlemeyi amaçlar.
Kişisel Veri Nedir?
Kişisel veri, belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanır. Bu, bir kişinin kimliğini doğrudan veya dolaylı olarak tanımlamaya veya tanımlanabilir kılmaya yarayan bilgiler anlamına gelir. KVKK’ya göre kişisel veri; ad, soyad, doğum tarihi, T.C. kimlik numarası gibi kimlik bilgilerini, iletişim bilgilerini ve hatta IP adresi gibi dijital bilgileri içerebilir.
Hangi Veriler KVKK Kapsamında Korunur?
KVKK kapsamında korunan kişisel veriler genel kişisel veriler ve özel nitelikli kişisel veriler olmak üzere iki ana kategoriye ayrılır:
Genel Kişisel Veriler:
Bu veriler, bir kişinin kimliğini tanımlamak için kullanılabilecek her türlü bilgiyi içerir. Örnekler:
- Ad, soyad, doğum tarihi, doğum yeri, T.C. kimlik numarası, pasaport numarası, ehliyet bilgileri,
- Adres, telefon numarası, e-posta adresi,
- Aile bireylerine ilişkin bilgiler, medeni durum,
- Eğitim durumu, diploma bilgileri, iş tecrübesi, meslek bilgileri,
- Banka hesap bilgileri, kredi kartı bilgileri, gelir düzeyi, borç bilgileri,
- Fotoğraflar, videolar, ses kayıtları,
- Sosyal medya hesap bilgileri, paylaşımlar, beğeniler.
Özel Nitelikli Kişisel Veriler:
Bu veriler, kişilerin ayrımcılığa uğrama riski nedeniyle daha sıkı korunması gereken verilerdir. Özel nitelikli kişisel veriler, aşağıdaki bilgileri içerir:
- Kişinin ırkı, etnik kökeni,
- Kişinin siyasi görüşleri, üyelikleri,
- Kişinin dini inançları, mezhebi,
- Kişinin kıyafet tarzı ve tercihleri,
- Kişinin üye olduğu dernek, vakıf veya sendikalar,
- Kişinin sağlık durumu, sağlık verileri, cinsel hayatına ilişkin bilgiler,
- Kişinin adli sicil kaydı, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler,
- Parmak izi, retina taraması, genetik bilgiler.
KVKK’nın Kapsamı ve Amacı:
KVKK’nın amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumak, veri güvenliğini sağlamak ve veri işleyen kuruluşların yükümlülüklerini belirlemektir. Kanun, veri sorumlularının kişisel verileri hukuka uygun bir şekilde işlemesi, bu verilerin güvenliğini sağlaması ve veri sahiplerinin haklarını koruması için düzenlemeler getirmiştir.
Kişisel Verilerin İşlenme Şartları:
KVKK’ya göre kişisel verilerin işlenmesi için belirli şartlar vardır. Bu şartlar şunlardır:
- Veri sahibinin açık rızası,
- Kanunlarda açıkça belirtilen durumlar,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olanların verilerinin işlenmesi,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması.
Veri Sorumlusu ve Veri İşleyenlerin Yükümlülükleri:
- Aydınlatma Yükümlülüğü:
Veri sorumluları, kişisel verileri toplarken veri sahiplerine hangi verilerin toplandığını, bu verilerin ne amaçla kullanılacağını, kimlerle paylaşılacağını ve veri sahibinin haklarını bildirmekle yükümlüdür.
- Güvenlik Tedbirleri:
Veri sorumluları, kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu, verilerin yetkisiz erişime karşı korunmasını, veri kaybının önlenmesini ve verilerin gizliliğinin sağlanmasını içerir.
- Veri İşleme Envanteri:
Veri sorumluları, işledikleri kişisel verilerin envanterini tutmalı ve bu envanteri gerektiğinde yetkili makamlara sunmalıdır.
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi:
KVKK, kişisel verilerin işleme amacının ortadan kalkması durumunda, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini zorunlu kılar.
Veri Sahiplerinin Hakları:
KVKK, veri sahiplerine çeşitli haklar tanır. Bu haklar şunlardır:
- Kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması durumunda bunların düzeltilmesini talep etme,
- Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu verilerin silinmesini veya yok edilmesini talep etme,
- İşlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin hukuka aykırı olarak işlenmesi sebebiyle zarara uğranması halinde zararın giderilmesini talep etme.
kişisel verilerin korunmasına ilişkin düzenlemelere uymayanlara yönelik idari ve cezai yaptırımlar oldukça ciddidir. Bu yaptırımlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile belirlenmiştir. Aşağıda idari ve cezai yaptırımların detaylı bir açıklaması bulunmaktadır:
Kişisel Veri İhlali Halinde Cezalar Nelerdir?
İdari Yaptırımlar
KVKK’ya aykırılık durumunda uygulanacak idari yaptırımlar, Kişisel Verileri Koruma Kurumu (KVKK) tarafından belirlenir. Bu yaptırımlar para cezaları şeklinde olup, ihlalin türüne ve niteliğine göre farklılık gösterir.
- Aydınlatma Yükümlülüğüne Aykırılık:
- Kişisel veri sahiplerini bilgilendirme yükümlülüğünü yerine getirmeyen veri sorumlularına 5.000 TL’den 100.000 TL’ye kadar idari para cezası uygulanabilir.
- Veri Güvenliğine İlişkin Yükümlülüklere Aykırılık:
- Kişisel verilerin güvenliğini sağlama, izinsiz erişime karşı koruma, veri kaybını önleme gibi yükümlülüklere uymayan veri sorumlularına 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilebilir.
- Kurul Kararlarına Aykırılık:
- Kişisel Verileri Koruma Kurulu tarafından alınan kararlara uymayan veri sorumlularına 25.000 TL’den 2.000.000 TL’ye kadar idari para cezası uygulanabilir.
- Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık:
- Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumlularına 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilebilir.
Cezai Yaptırımlar
KVKK’ya aykırılık durumunda uygulanan cezai yaptırımlar, Türk Ceza Kanunu’nun (TCK) ilgili maddelerine dayanır ve hapis cezalarını içerir.
- Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi (TCK Madde 135):
- Hukuka aykırı olarak kişisel veri kaydeden kişilere 1 yıldan 3 yıla kadar hapis cezası verilir.
- Kişisel Verilerin Hukuka Aykırı Olarak Verilmesi veya Ele Geçirilmesi (TCK Madde 136):
- Bu fiilleri işleyen kişilere 2 yıldan 4 yıla kadar hapis cezası uygulanır.
- Kişisel Verileri Yok Etmeme (TCK Madde 138):
- Kişisel verilerin kanunlarda öngörülen süreler sonunda yok edilmemesi durumunda 1 yıldan 2 yıla kadar hapis cezası öngörülür.
Veri Sorumlularının Diğer Yükümlülükleri ve Yaptırımlar
- Veri İşleme Envanteri Oluşturma:
- Veri sorumluları, işledikleri kişisel verilerin envanterini oluşturmalı ve bu envanteri gerektiğinde Kişisel Verileri Koruma Kurumu’na sunmalıdır. Bu yükümlülüğe uymayan veri sorumluları da idari yaptırımlarla karşı karşıya kalabilir.
- Veri İhlallerini Bildirme:
- Veri sorumluları, herhangi bir veri ihlali durumunda bu durumu en kısa sürede Kişisel Verileri Koruma Kurumu’na bildirmek zorundadır. Bu yükümlülüğe uymayan veri sorumluları için de idari para cezaları uygulanabilir.
İhlallerin Tespit Edilmesi ve Şikayetler
- Kişisel verilerin korunmasına ilişkin ihlaller, Kişisel Verileri Koruma Kurulu tarafından resen veya şikayet üzerine incelenir. Veri sahipleri, ihlallerle ilgili olarak Kişisel Verileri Koruma Kurumu’na şikayette bulunabilirler.
- Kurul, yapılan incelemeler sonucunda ihlalin niteliğine göre idari yaptırımların uygulanmasına karar verebilir.