KVK kanunu, Kişisel Verilerin Korunması Kanunu için kullanılan bir kısaltmadır. 6698 Sayılı KVKK (Kişisel Verilerin Korunması Kanunu) uzun yıllardır tasarı hâlinde beklemiş ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe girmiştir. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği vardır. Kişilerin temel hak ve özgürlüklerini korumak için vardır. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır. "KVKK Nedir?" sorusunu soran bir kişi aslında "Kişisel Verilerin Korunması Kanunu Nedir?" demek istemektedir.

Kişisel verilerin korunma kanunu (KVKK), kişisel verilerin işlenmesinin kontrol altına alınması ile temel hak ve özgürlüklerin korunmasını sağlayan düzenleyici ve denetleyici kurum (kvkk kurumu) olarak ifade edilmektedir. Kişisel verilerin korunması kanunun geçmişine bakmak gerekmektedir. Avrupa Konseyi tarafından, tüm üye ülkelerde  kişisel verilerin aynı standartta korunması ve sınır ötesi veri akışının sağlanması için  bazı ilkeler belirlenmiştir. Bu ilkelerin belirlendiği aşama da “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde hazırlanmıştır. Türkiye bu sözleşmeye imza atan ilk ülkelerden biridir. Kanun maddesi 07 Nisan 2016 tarihinde resmi gazetede yayımlanarak, kanunlaştırılmıştır. Türkiye‘de bu konuda kanun kapsamında yükümlülük arasında yer almaktadır.  

KVKK Onayı Nedir?

KVKK onayı, kişinin sahip olduğu verilerin işlenmesine rıza vermesi demektir. Açık rıza, kişinin kendi isteği veya karşı tarafın isteği üzerine verilerinin işlenmesine onay vermesi anlamına gelir.

Kişisel veri, kimliği belirli veya belirlenebilir bir bireye ilişkin her türlü bilgidir. Bir araya getirilen ve belirli bir kişinin kimliğinin belirlenmesine yol açabilen farklı bilgi parçaları da kişisel veri oluşturmaktadır.

Kişisel verilerin korunmasının amacı sadece kişinin verilerini korumak değil, aynı zamanda kişilerin bu verilerle ilgili temel hak ve özgürlüklerini korumaktır. Kişisel veriler korunurken kişilerin hak ve özgürlükleri de ihlal edilmemelidir.

Kişisel veri koruma düzenlemelerine uymamak zor durumlara yol açabilir. Güvenliğin sağlanması için veri koruma düzenlemeleri gereklidir. KVKK kapsamındaki düzenlemeler, kişisel veriye dönüştürülemez bir duruma neden olmaz; bu, herkesin kontrol edebileceği ve ne tür teklifler üzerinde daha fazla şey olduğu anlamına gelir.

Avrupa birliğinin uyum kapsamında hazırlanan ” 6698 sayılı Kişisel Verilerin Korunması Kanunu “ 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiştir. Söz konusu olan bu metin 24 Mart 2016 Tarihinde TBMM genel kurulu tarafından tasarı olarak kabul edilip, kanunlaştırılmıştır. 07 Nisan 2016 tarihinde resmi gazete'de yayımlanarak yürürlüğe girmiştir.

Kişisel veri koruma kanununda kişisel veriler, özel nitelikli kişisel veriler ve kişisel veri olarak iki tanımı mevcuttur;

6698 kişisel veri tanımı: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için verinin gerçek kişiye ilişkin olması bu kişininde belirli veya belirlenebilir olması gerekmektedir. Şirkette çalışan, çalışanlarımız, müşterilerimiz ile olan ilişkilerimiz, tedarikçilerimizde olan kişiler bunlar aslında bizim kişisel verilerini aldığımız irtibatta olduğumuz kişilerdir. Buna göre de kanun kapsamında yükümlülüklerimiz mevcuttur.

Kişisel verinin üç temel unsuru bulunmaktadır.

• Gerçek kişiye ilişkin olma

• Kişiyi belirli veya belirlenebilir kılması
• Her türlü bilgi

Gerçek kişiye ilişkin olma: Gerçek kişi ile ilişkili olması gerekmektedir. Kişisel veri gerçek kişiye ilişkin olup, tüzel kişilerle ilişkin veriler kişisel verinin tanımının dışındadır. Bir şirketin ticaret ünvanı, adresi gibi tüzel kişilere ait bilgiler KVKK kapsamının dışındadır. Çalışanımızın aile bilgileri, sağlık bilgileri, bununla ilgili olarak cep telefonu numarası gibi bilgiler gerçek kişiye ait olduğu için kanun kapsamında yer almaktadır.

Kişiyi belirli veya belirlenebilir kılması: Kişisel veri; ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle beraber, herhangi bir kayıt ile ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgiler kişisel veri olarak kabul edilmektedir. 

Her türlü bilgi: Bu ifade oldukça geniştir. bir gerçek kişinin; adı, soyadı, doğum tarihi, doğum yeri bireyin sadece kimliğini ortaya koyan bilgiler değil telefon numarası, motorlu taşıt bilgisi, sosyal güvenlik bilgileri, pasaport numaraları, özgeçmişleri , resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresleri, hobileri, tercihleri, etkileşimde bulunduğu kişiler dolaylı veya doğrudan belirlenebilir kılan tüm veriler kişisel veri olarak adlandırılabilir.

Kişisel Veri Örnekleri

Kişisel bilgiler nelerdir;

• ad ve soyad
• ev adresi
• [email protected] gibi bir e-posta adresi
• kimlik kartı numarası
• cinsiyet
• doğum tarihi
• ırk
• politik görüş
• hastane veya doktorda sahip olduğunuz bilgi
• fotoğraf
• konum verileri
• İnternet Protokolü (IP) adresi;
• çerez kimliği*;
• telefonunuzun reklam tanımlayıcısı;

Özel nitelikli kişisel veri; başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine, ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilmez. Bu bakımdan, özel nitelikli kişisel veriler sınırlı olarak sayıldığı söylenilmektedir. 

Özel kişisel veriler nelerdir?

Özel nitelikli kişisel veriler; kişinin etnik kökeni siyasi düşüncesi, ırkı, felsefi inancı, dini, mezhebi, diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, sendika üyeliği, sağlık bilgileri, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili, biyometrik ve genetik veriler kanun kapsamında özel nitelikli kişisel veri olarak bahsedilmektedir.

Kişisel Verilerin İşlenmesi Ne Demektir?

Kanun kapsamında kişisel verileri işlerken her topladığımız kişisel veri bu kanun kapsamda yer alıp almadığı incelenmektedir. Veri işleme, kanun kapsamında kişisel verilerin işlenmesi, elde edilmesi, kaydedilmesi, bunların depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, yurt içi, yurt dışı aktarımının yapılması, elde edilebilir hale gelmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler her türlü işlemi ifade etmektedir. 

Veri işleme nedir?

Verileri alınması, kaydedilmesi, depolanması bunlarla ilgili bir sınıflandırma yapılması, üst yönetime kişilerin çalışmalarıyla ile ilgili oturdukları yer, konum, yaş ortalaması bu doğrultuda yönetime raporların sunulması gibi kişisel verileri saklanılmakta, muhafaza edilmekte ve kullanılmaktadır. 

KVKK Neleri Kapsar?

6698 KVKK yürürlüğe girmesi ile birçok özel şirket KVKK mevzuatı uyum çalışmalarına başlamaktadır. Uyum sürecinde bir kağıt parçasını üzerine yazılan ad, soyad, telefon bilgilerinin KVKK kapsamında yer almamaktadır. KVKK kapsamında sayılabilmesi için işlenen kişisel verilerin bir kayıt sisteminin parçası olması, yani belirli kriterlere göre sınıflandırılarak işlenmesi gerekmektedir. Bir kağıt parçası üzerine ad-soyad, telefon bilgilerini yazıyorsak bu kişisel veri değildir, müşterimizin bilgilerini CRM sisteminde tutar ve sınıflandırırsak sistemde de izi varsa eğer, bu kişisel veri koruma kanunu kapsamına girmektedir. 

Manuel yolla gelişigüzel kağıt parçasına yazılan kişisel bilgiler, kanun kapsamında sayılmayacaktır. Bu verileri keyfi bir biçimde kullanabileceğimiz anlamına da gelmemektedir. Zira 5237 sayılı Türk ceza kanunu kapsamında çeşitli yaptırımları söz konusudur. Kişisel verilerin sınırsız ve gelişigüzel toplanmasının, aslında yetkisiz kişilerin kullanması açısından amacı dışında kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi şüphesiz ki önemli bir unsurdur.

KVKK Kapsamı Nedir?

Kanun kapsamında kişisel verileri işlerken temel ilkeleri işlememiz gerekmektedir. Kişisel verileri koruma kurulu, bu temel ilkelere herhangi bir cezai durum söz konusu olduğunda bu temel ilkelere göre işlenip işlenmediğini sorgulamaktadır. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan temel ilkeler şunlardır:

• Hukuka ve dürüstlük kuralına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Beliri, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
• İlgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

1) Hukuka ve Dürüstlük Kuralına Uygun Olma İlkesi: 

Hukuka ve dürüstlük kuralına uygun olması gerekmektedir. Kişisel verileri işlerken hukuka uygun olarak işlemek gerekmektedir. Örneğin; şirketler çalışanlarını işe alırken çeşitli mülakatlar yapmakta, mülakat sonuçları değerlendirilip ve iş hayatı başlamaktadır, bu iş hayatında özlük dosyasının oluşturulması iş kanunu kapsamında zorunludur. Özlük dosyasını oluştururken istenilen belgeler hukuka dayanmaktadır. Bu şekilde zaten bir işleme tabi olması söz konusudur.  

2) Doğru ve Gerektiğinde Güncel Olma İlkesi: 

Doğru ve gerektiğinde güncel olması gerekmektedir. Örnek vermek gerekirse bir kişinin veri sorumlusunda telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından o telefon numarasının kullanılmaması o kişiye ilişkin gerçek bir veriyi yansıtmadığı ve bunun hatalı sonuçlar ortaya çıkarmasına neden olmaktadır. Örneğin, banka hesaplarında bulunan telefon numaraları, adres bilgileri güncel olmayabilir, bankaya adres bilgisinin değiştiğini ifade etmemiz gerekmektedir. Veri sorumlusu da bu kanun kapsamında dogru ve gerektiğinde güncel olma ilkesini temin edecek kanalları açık tutmalıdır

3) Beliri, Açık ve Meşru Amaçlar İçin İşlenme İlkesi: 

Beliri, açık ve meşru amaçlar için işlenme, örnek ile açıklamak gerekirse hazır giyim mağazasının müşterilerinin kimlik ve iletişim bilgilerinin işlenmesi meşru amaç kapsamındayken, annesinin kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilmeyecektir.Bu ilkeye dayanarak firmaların bunu işlememesi gerekmektedir. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

4) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi: 

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, örneğin tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim bilgileri tutulmakta, bunlar satış işlemlerinin takibi amacı ile bağdaştırılırken, müşterinin finansal geçmiş bilgisi, finansal geçmiş bilgisine yönelik tutulan verilerin toplanması amaçla bağdaştırılamaz ve ölçülü değildir.

5) İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi İlkesi: 

İlgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi, kişisel verilerin korunması kanunu bugün itibari ile toplanan veriler değil, geçmiş yıllarda toplanan verileri de kapsamaktadır. Çalışanlarımızla ilgili on yılı geçen eski çalışanımızın dosyalarını muhafaza etmemiz gerekmektedir. Bunu idari ve teknik tedbirlere dayalı olarak verileri imha ve saklama politikası kapsamında muhafaza edilmesi gerekmektedir.

Veri Sorumlusu Kimdir? / Veri İşleyen Kimdir?

Kişisel verilerin işlenmesinden sorumlu kişi, prensip olarak dosyanın amaçlarını ve araçlarını belirleyen, oluşturulmasına karar veren kişi, kamu otoritesi, şirket veya kuruluştur. Uygulamada, bu genellikle yasal temsilcisi (başkan, belediye başkanı vb.) tarafından somutlaştırılan tüzel kişidir.

Veri sorumlusu, işleme amaçlarını ve araçlarını yani amacını ve bunu gerçekleştirme yolunu belirleyen tüzel (şirket, belediye vb.) veya gerçek kişidir. Uygulamada ve genel olarak bu, yasal temsilcisi tarafından somutlaştırılan tüzel kişidir.

Açık rıza ve aydınlatma yükümlülüğü günümüzde kanunun kapsamına girdiğinden beri karşımıza çıkan kavramlardır. Açık rıza ve aydınlatma yükümlülüğü birbirine karıştırılmaktadır.

Açık Rıza: Kişisel verileri işlerken, belirli bir konuya ilişkin bilgilendirmeye dayanan özgür iradeyle açıklanan rıza şeklinde tanımlanmaktadır. Buna göre açık rızanın üç unsuru vardır: 

1. Belirli bir konuya ilişkin olması
2. Rızanın bilgilendirmeye dayanması
3. Özgür iradeyle açıklanması

Örneğin bir alışveriş sırasında kişisel verilerimin işlenmesi ve paylaşılmasını kabul ediyorum, şeklinde rıza alınarak kişisel verilerin işlenmesi kanun kapsamında değildir, açık rıza bir metin çerçevesinde hangi kişisel veriyi firmadan veya kişiden alacağımızla alakalı olarak o kişiyi aydınlatma yükümlülüğü ve burdan açık rıza alma olayıdır. Belirli bir çerçevesi vardır, bununla ilgili olarak sözlü, yazılı, elektronik ortamda açık rıza alınabilmektedir. Herhangi bir ceza geldiği takdirde sözlü olarak alınan açık rıza kanıtlanamayacağı için elektronik ortamda ve yazılı bir şekilde alınması önerilmektedir.

KVKK Kapsamında Yapılması Gerekenler

Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere, bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği aynı zamanda kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımaktadır. Bu hususlar çerçevesince, veri sorumlusunun kvkk aydınlatma metni ile yükümlülük kapsamında ele alınmaktadır. Tüketicilerin verileri işlenmeden önce aydınlatma yükümlülüğü maddesine bağlı olarak bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması kanun kapsamında zorunlu hâle getirilmiştir.

XYZ ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ

İşbu Aydınlatma Metni, ……………………………….. Şirketi (“”Şirket”) tarafından Şirket’in müşterilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında kişisel verilerinin Şirket tarafından işlenmesine ilişkin olarak aydınlatılması amacıyla hazırlanmıştır.

Kişisel verilerinizin işbu Aydınlatma Metni kapsamında işlenmesine ilişkin detaylı bilgilere [www…………………….com] adresinde yer alan ……………………………..Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.

1. a) Kişisel Verilerin Elde Edilme Yöntemleri ve Hukuki Sebepleri

Kişisel verileriniz, elektronik veya fiziki ortamda toplanmaktadır. İşbu Aydınlatma Metni’nde belirtilen hukuki sebeplerle toplanan kişisel verileriniz Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde işlenebilmekte ve paylaşılabilmektedir.

1. b) Kişisel Verilerin İşleme Amaçları

Kişisel verileriniz, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası, Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket‘in ticari ve/veya iş stratejilerinin planlanması ve icrası ve Şirket‘in ve Şirket‘le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçlarıyla işlenmektedir.

1. c) Kişisel Verilerin Paylaşılabileceği Taraflar ve Paylaşım Amaçları

Kişisel verileriniz, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası, Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket‘in ticari ve/veya iş stratejilerinin planlanması ve icrası ve Şirket‘in ve Şirket‘le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçları dahilinde Şirket’in iş ortakları ve tedarikçileri ile hukuken yetkili kurum ve kuruluşlar ile hukuken yetkili özel hukuk tüzel kişileriyle paylaşılabilecektir.

1. d) Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması

Kişisel veri sahipleri olarak aşağıda belirtilen haklarınıza ilişkin taleplerinizi Veri Sahipleri Tarafından Hakların Kullanılması başlığı altında belirtilen yöntemlerle Şirket’e iletmeniz durumunda talepleriniz Şirketimiz tarafından mümkün olan en kısa sürede ve her halde 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.

Kanun’un 11. maddesi uyarınca kişisel veri sahibi olarak aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
• Kanun’un 28. maddesinin 2. fıkrası veri sahiplerinin talep hakkı bulunmayan halleri sıralamış olup bu kapsamda;
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
• hallerinde verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır.
• Kanun’un 28. maddesinin 1. fıkrasına göre ise aşağıdaki durumlarda veriler Kanun kapsamı dışında olacağından, veri sahiplerinin talepleri bu veriler bakımından da işleme alınmayacaktır:
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Veri Sahipleri Tarafından Hakların Kullanılması

• Veri sahipleri, yukarıda bahsi geçen hakları kullanmak için [ww……………..………..com] linkinde yer alan “ Kişisel Veri Sahibi Tarafından Veri Sorumlusuna Yapılacak Başvurulara ilişkin Form ”u kullanabileceklerdir.
• Başvurular, ilgili veri sahibinin kimliğini tespit edecek belgelerle birlikte, aşağıdaki yöntemlerden biri ile gerçekleştirilecektir:
• Formun doldurularak ıslak imzalı kopyasının elden, noter aracılığı ile veya iadeli taahhütlü mektupla [………………………………………………………..-Türkiye] adresine iletilmesi,
• Formun 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak [……………………..@hs02].kep.tr adresine kayıtlı elektronik posta ile gönderilmesi,
• Kişisel Verileri Koruma Kurulu tarafından öngörülen bir yöntemin izlenmesi.
• Şirket, Kanun’da öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz (30) gün içerisinde cevap vermektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
• Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından öngörülen ücret tarifesi[1] üzerinden ücretlendirme yapılabilecektir.
• Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

KVKK ve GDPR arasında birçok fark vardır. En büyük farklardan biri, yapılan ihlallerden dolayı doğan sorumlulukla alakalıdır. GDPR’da veri kontrolörü denilen, yeni Türk veri koruma kanunu (KVKK) kapsamındaki karşılığı veri sorumlusu olan, veri sorumlusuna, veri kontrolörüne ve veri işleyen kişiye bir sorumluluk yüklemektedir.

Herhangi bir ihlâl sonucunda, maddi-manevi zarar gören kişi, bu zarara ilişkin olarak veri sorumlusu da, veri işlerinde tazminat alma hakkına sahip bir şekilde sorumlu tutulur. Veri sorumlusuna veya veri işlerine başvurulabilir. Veri işleyen, veri sorumlusunun faaliyetlerini yürütmek için gerekli olduğu durumlarda kişisel veriyi paylaştığı şirkettir.

Avrupa Parlamentosu, GDPR'i Nisan 2016'da kabul etti ve 1995'ten kalma eski bir veri koruma direktifinin yerini aldı. Bu, işletmelerin AB üye ülkeleri içinde gerçekleşen işlemler için AB vatandaşlarının kişisel verilerini ve mahremiyetini korumasını gerektiren hükümler taşıyor. GDPR, kişisel verilerin AB dışına ihraç edilmesini de düzenler.

GDPR Nedir?

GDPR (Genel Veri Koruma Yönetmeliği), 5 Mayıs 2018'de Avrupa Veri Koruma Yönetmeliği haline gelmiştir. GDPR ile Avrupa, kişiselleştirilmiş verilerin korunması için tüm üye devletler için geçerli olan tek ve uyumlu bir çerçeve uygular. Bu nedenle, Avrupa'da mal ve hizmet sunan veya Avrupa'da ikamet edenlerin profilini çıkaran Avrupalı ​​olmayan şirketler için geçerli olacaktır.

GDPR ile alakalı daha fazla bilgi için: http://www.albertsolino.com/blog/gdpr-nedir/

Verbis Kayıt Sistemi, veri sorumlularının kayıt olmak zorunda oldukları bir sistemdir. Bu sistemde, veri işleme faaliyetleri ile ilgili bilgileri de beyan ederler. Verbis kayıt sistemi, veri sorumlusu dediğimiz şirket tarafından yapılmak zorundadır. Veri sorumlusu olarak adlandırdığımız ilgili kurum, kuruluş, firmalar veri sorumlusudur. 

Verbis’e Hangi Firmalar Kayıt Yaptırmak Zorunda ?

• Yıllık çalışan sayısı 50’den fazla olan gerçek ve tüzel kişi veri sorumluları
• Yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
• Yurt dışında yerleşik tüm veri sorumluları gerçek ve tüzel kişi veri sorumluları
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az gerçek ve tüzel kişi veri sorumluları
• Ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler veri sorumluları 
• Kamu kurum ve kuruluşu veri sorumluları

Şirketler kvkk için ne yapmalı? Firmaları sıkıntıya sokan konu yükümlülük altında bahsettiğimiz işletmeler sorumlu olarak geçmektedir. Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte firma ve işletme sahiplerine idari para cezaları uygulanır. Hatta bazı durumlarda hapis cezaları da söz konusudur.

KVKK Cezalar 

KVKK cezaları aşağıdaki gibidir;

İdari para cezaları;

• Kişisel veri ihlâli,
• Aydınlatma yükümlülüğünün ihlâli, 
• Veri güvenliği yükümlülüğünün ihlâli, 
• Sicile kayıt yaptırmamak, 
• Kurul kararlarına muhalefet

Hapis cezaları;

• Kişisel veri ihlâli,
• Kişisel verileri hukuka aykırı olarak kaydetmek,
• Kişisel verileri hukuka aykırı olarak yaymak, başkalarına verme veya ele geçirme,
• Kişisel verileri süresi geçmesine veya ilgili kişi istemesine rağmen yok etmeme

Hem idari hem cezai yaptırımlar söz konusu kanun kapsamındadır. Firmalara önerimiz bir an önce bu işlemleri gerçekleştirip bu yaptırımlardan kaçınmalarıdır.

KVKK Kimleri Kapsar?

KVKK kimler için zorunlu? Kimler kvkk kapsamında?

Kanuna göre, kamu kurumları dahil, kişisel verileri işleyen tüm kurum, işletme ve işverenler kanun kapsamındadır. Kanun kapsamında olan tüm kurum ve kuruluşların veri sicil sistemine kayıt olması gerekir. Kişisel Verileri Koruma Kurumu'na hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmeleri gerekmektedir. Aksi halde, hapis cezası dâhil ağır cezaları bulunmaktadır.