KVKK Hakkında Sık Sorulan Sorular
Kişisel Verilerin Korunması Ne Demektir?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel
hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu
kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması;
kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da
otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına
yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik
ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere
ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme
süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden
kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin
korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade
eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.
Ülkemizde Kişisel Verilerin Korunmasına İlişkin Hukuki Düzenlemeler Nelerdir?
Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır.
Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde
yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda
kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu
düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. maddesine eklenen
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…”
hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur.
Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin
usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24
Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7
Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Anayasal Bir Hak Olarak Kişisel Verilerin Korunmasını İsteme Hakkının Kapsamı Nedir?
2010 yılında 5982 sayılı Kanunla yapılan değişiklik ile Anayasanın özel hayatın
gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin
korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler
hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini
talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.
Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü
eklenerek, kişilerin kişisel verilerinin korunması hakkının kapsamı belirlenmiştir.
Kişisel Verilerin Korunması Konusunda Kanuni Bir Düzenlemeye Neden İhtiyaç Duyulmuştur?
Gerek kamu kurumları gerek özel kuruluşlar, bir görevin yerine getirilmesi veya
bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri uzun
süredir işlemektedirler. Bu durum kanunlardan kaynaklanabildiği gibi, bazen
kişilerin rızasına veya bir sözleşmeye dayanmakta, bazen de yapılan işlemin
niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak
ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.
Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin
etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde
geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin işlenmesi kaçınılmaz
olmakla birlikte, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının,
yetkisiz kişilerin erişimine açılmasının, ifşa edilmesinin veya amaç dışı ya da kötüye
kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.
Kişisel Verilerin Korunması Hakkının Dayanağı Nedir? Bu Hak, Sınırsız Bir Hak mıdır?
Kişisel verilerin korunması hakkının dayanağı, Anayasanın 20. maddesinin son
fıkrasıdır. Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme
hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır.
Bununla birlikte, tüm hak ve özgürlüklerde olduğu gibi, kişisel verilerin korunmasına
ilişkin hak da Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler
lehine sınırlandırılabilir. Buna göre, Anayasanın 20. maddesinde tanınan kişisel
verilerin korunmasına ilişkin her bir hakkın uygulanması ve diğer haklar lehine
sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir.
Anayasa Mahkemesi, 9 Nisan 2014 tarihli ve E:2013/122, K:2014/74 sayılı kararında
da, Anayasanın 20. maddesinin 3. fıkrasının son cümlesinde, “Kişisel verilerin
korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer vererek ve
“yasama yetkisinin devredilmezliği” ilkesi gereğince, Anayasanın açıkça kanunla
düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden
düzenleyici işlem yapma yetkisi verilemeyeceğine hükmederek, Anayasada öngörülen
kanuni düzenlemenin mutlaka gerçekleştirilmesi gerektiğinin altını çizmiştir. Dolayısıyla
Anayasanın 20. maddesinin son fıkrasında tanınan kişisel verilerin korunması
hakkına ilişkin düzenlemeler kanun ile yapıldığı sürece uygulama alanı bulacaktır.
Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?
Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması
Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart
2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7
Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Açık Rıza Geri Alınabilir mi? Geri Alınmasının Hukuki Sonuçları Nelerdir?
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir.
Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan,
kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Bununla
birlikte geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı
olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı
andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma
beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur. Ancak saklanmasını
gerektiren başka bir hukuki sebep varsa söz konusu kişisel veriler veri sorumlusu
tarafından sadece bu amaçla sınırlı olmak üzere saklanabilir.
Veri Kayıt Sistemi Nedir?
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi
elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel
veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin
kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda
değerlendirilmektedir.
Yukarıda da belirtildiği gibi, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde
sadece kişilerin ad ve soyadlarının bir kâğıtta yer alması hali, Kanun kapsamına
girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre olarak bir kâğıda
kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.
Kişisel Verilerin Korunması Kanununun Kapsamı Nedir?
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla
otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu
doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları
bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve
kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek
kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.
Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.
Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.
Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?
Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı
kolaylaştıran işleme faaliyetini ifade eder. Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar da, bir “veri kayıt
sistemi” aracılığıyla işlendiklerinde de Kanun hükümlerine tabi olmaktadır. Diğer bir ifade ile Kanun, otomatik olmayan yollarla veri işlenmesini tamamen Kanun kapsamı dışında tutmamakta, otomatik olmayan yolla veri işleme eğer bir veri kayıt sisteminin parçası ise, veri işleme faaliyeti kanun kapsamında kabul edilmektedir.
Açık Rıza Nedir?
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.
Açık rızanın üç unsuru bulunmaktadır:
1. Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için
rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade
açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belir-
siz bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile
battaniye rızalar hukuken geçersizdir.
2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kişinin özgür bir
şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye
yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile
ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.
Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler Nelerdir?
Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun
davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde
bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Hukuka ve Dürüstlük Kurallarına Uygun Olma Ne Demektir?
Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe
sahiptir.
Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal
düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması
ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma
amacının aşılmamasını ifade eder. Veri işleme faaliyetinde bulunanların, ilgili kişilerin
çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı
bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, otonomisini, onurunu ihlal
edecek şekilde veri işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir. Bu kapsamda,
dürüstlük ilkesi uyarınca, kişilerin kendilerine veri işleme konusunda izin ya da emir veren
hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre
işlenebilecek en az miktarda veri işlemeleri, veri sahiplerinin öngöremeyeceği biçimde
hareket etmemeleri, veri sahiplerinin çıkarlarını ve makul beklentilerini göz önüne almaları
gibi davranışları gerektirir.
Bu ilkelere riayet edilmeksizin veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun
veri işlenmesine aykırı olacaktır.