KVKK Nedir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu

7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleyen bir kanundur.

KVKK Kimleri İlgilendiriyor?

Hukuk

İnsan Kaynakları

Bilgi Güvenliği

Bilgi Teknolojileri

İç Denetim

Pazarlama

Üst Yönetim

Satın Alma

Kalite

Finans

KVKK’yla İlgili Sık Sorulan Sorular

Kişisel veri nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Örneğin; kişinin adı, soyadı, taşıt plakası, SGK veya pasaport numarası, özgeçmişi, fotoğrafı, adresi, telefon numarası.

Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

Kişisel verilerin işlenmesi ne demektir?

Kişisel verilerin işlenmesi; tamamen veya kısmen, otomatik olan ya da herhangi bir veri sisteminin parçası olmak kaydıyla otomatik olmayan yollarla veriler üzerinde gerçekleştirilen is it a good idea to get personal statement done by professional her türlü işlemi (elde etme, kaydetme, depolama, muhafaza, değiştirme, yeniden düzenleme, açıklama, aktarma, elde edilebilir hale getirme, sınıflandırma, kullanımının engellenmesi gibi) ifade etmektedir.

Veri sorumlusu kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen kimdir?

Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Kişisel verileri işlemenin tabi olduğu genel kurallar nelerdir?

Kişisel veriler; hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar için, toplandıkları veya yeniden işlendikleri amaçla bağlantılı olarak, sınırlı ve ölçülü, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek kaydıyla işlenebilir.

Kişisel veriler, doğru ve gerektiğinde güncel olmalıdır.

Kişisel veriler, işleme amacının ortadan kalkması üzerine re’sen ya da ait olduğu kişinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir.

Kişisel verilerin işlenme şartları nelerdir?

Kişisel verinin işlenmesi öncesinde ait olduğu gerçek kişinin konu hakkında bilgilendirilmesi ve açık rızasının alınması gerekir.

Aşağıdaki haller KVK. kapsamında açık rızanın alınması zorunluluğunun istisnaları olarak belirtilmektedir;

  1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatının veya beden bütünlüğünün korunması için zorunluluk olması
  2. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  3. Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  4. Verinin ait olduğu gerçek kişinin kendisi tarafından alenileştirilmiş olması, (v) Verinin ait olduğu gerçek kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenmesi ayrıca yeterli önlem alınması şartına tabidir. Yeterli önlemler kurulacak olan Veri Koruma Kurulu (“Kurul”) tarafından belirlenecektir. KVK’nın kişisel verilere ilişkin genel hükümleri içermesi sebebiyle özel kanun ve düzenlemelere tabi olunduğu hallerde (örneğin regüle sektörler) söz konusu olabilecek ilave yükümlülükler mutlaka ayrıca dikkate alınmalıdır.

Kişisel verilerin yurt dışına aktarılmasında ayrıca dikkat edilmesi gereken kurallar var mı?

Kişisel verilerin yurt içinde veya yurt dışına aktarılmasında kişisel verilerin işlenmesine ilişkin getirilen kurallar aynı şekilde geçerlidir. Ancak verilerin yurtdışına aktarılacağı hallerde aktarılan yabancı ülkede yeterli korumanın sağlanıyor olması gerekmektedir. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir. Verinin aktarılacağı ülkenin yeterli koruma bulunan ülkeler listesinde olmaması halinde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması halinde o ülkeye veri aktarımında bulunulabilecektir.

Kişisel verinin ait olduğu gerçek kişinin KVK dahilinde sahip olduğu haklar nelerdir?

Kişilerin,

  1. Kişisel verilerinin işlenip işlenmediğini, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını ve yurtiçinde veya yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri öğrenmek,
  2. Eksik veya yanlış bilgilerin düzeltilmesini istemek ya da gerektiğinde bilgilerinin silinmesini talep etmek,
  3. Kişisel verilerinin hukuk dışı işlenmesinden doğan zararlarının giderilmesini istemek,
  4. Eksik veya yanlış bilgilerin düzeltilmesi veya kişisel verilerin silinmesi veya yok edilmesi talepleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
  5. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
  6. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek hakları bulunmaktadır.

Veri sorumlusunun işlediği verinin güvenliğine ilişkin yükümlülükleri nelerdir?

Veri sorumlusu;

  1. Verilerin hukuka aykırı işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek,
  2. Verilerin güvenliğinin sağlanması için gerekli tüm tedbirleri almak,
  3. Veri sorumlusu adına veri işleyenlerin de söz konusu önlemleri almasını sağlamak ile yükümlüdür.