Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin korunması amacıyla, 6698 sayılı kanun numarasıyla 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Dijitalleşme ile birlikte kişisel verilerin daha fazla işlenmesi, saklanması ve paylaşılması, bireylerin mahremiyetini tehdit eder hale gelmiştir. KVKK’nın amacı, bireylerin haklarını güvence altına almak ve kişisel verilerin kötüye kullanılmasını önlemektir.
Kanunun kapsamı ve amacı, birinci maddesinde şu şekilde açıklanmıştır: “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”
Kişisel Veriler Nedir?
Kişisel veriler, bir bireyi tanımlayabilen her türlü bilgiyi ifade eder. Örneğin: Cep telefonu numarası, E-posta adresi, Ev adresi, TC kimlik numarası gibi bilgiler kişisel veri olarak kabul edilir.
KVKK, kişisel verilerin hangi amaçlarla işlenebileceğini, kimlere ve nasıl aktarılabileceğini, hangi güvenlik önlemlerinin alınması gerektiğini düzenleyen bir kanundur. Aynı zamanda, veri sahiplerine verilerinin işlenmesi ve saklanması süreçlerinde: Bilgilendirilme (aydınlatma), erişim, düzeltme veya silme talebi gibi haklar tanır.
KVKK ya göre kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusundan aydınlatma yükümlülüğünu yerine getirmesini beklemektedir. Aydınlatma yükümlülüğü böylelikle bir tarafın, diğer tarafa belirli bir işlem ya da olay hakkında doğru, eksiksiz ve anlaşılır bilgi verme zorunluluğunu ifade eder. Bu yükümlülük, taraflar arasında güven ilişkisini sağlamak, bilgi asimetrisinin doğurduğu dezavantajları ortadan kaldırmak ve tarafların bilinçli karar vermesini temin etmek amacıyla uygulanır.
KVKK’nın 10. maddesine göre, veri sorumlusu, aşağıdaki bilgileri ilgili kişiye sunmalıdır:
1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. İlgili kişinin KVKK’nın 11. maddesi kapsamında sahip olduğu haklar
(ör. verilerini düzeltme, silme, itiraz etme hakkı).
Aydınlatma metni, veri toplama esnasında ya da öncesinde, genellikle web sitesinde yazılı metin halinde, mobil uygulamada ses kayıdı veya fiziksel ortamlar üzerinden sağlanır.
Veri sorumlusu aydınlatma yükümlülüğünü yerine getirmeden kişisel veriyi işlediğinde; 2025 yılında 68.083 – 1.363.021 TL tutarında cezayi mueyyide ile karşılaşabilecektir.
KVKK’nun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;
1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3. Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.
4. Veri sorumlusu bu yukumluluğünü yerine getirmediği takdirde 2025 yılında 204.285 -13.620.402 TL arasında para cezası ile cezalandırılabilecektir.
KVK Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.
Veri sorumlusu bu kararı yerine getirmediğinde 2025 yılında 340.380 – 13.620.402 TL tutarında ceza ile cezalandırılacaktır.
VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. ”Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir” hükmü gereği gerekli güncellemelerin belirtilen sürede yapılması gerekmektedir.
Bu yukumluluklerin yerine getirilmemesi halinde 2025 yılında, 272.380 – 13.620.402 TL para cezası ile cezalandırılabilecektir.
Unutulmamalıdır ki,KVKK’ya uyum, sadece yasal bir zorunluluk değil, aynı zamanda şirket ve kurumlarının itibarı ve müşterilerinin güveni için kritik bir konudur.
