Kişisel Verilerin Korunması Kanunu İle İlgili Bilmeniz Gerekenler

21.04.2016 tarihinde İstanbul Anadolu Adliyesi’nde düzenlenen Kişisel Verilerin Korunması Hakkında Kanunu’nun Getirdikleri isimli konferans’ta değerli konuşmacılar birbirinden önemli bilgiler aktardılar. Ben de aklımda kalan ve not alabildiğim bazı noktaları sizlere aktarmak istiyorum.

 • Kişisel Verilerin Korunması Kanunu (KVKK)  kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla (KVKK m.1) yürürlüğe konmuş bulunmaktadır.
 • KVKK’da kişisel veriler genel kişisel veriler ve özel kişisel veriler (diğer adıyla hassas veriler) olmak üzere ikiye ayrılmıştır. Genel kişisel veriler ad-soyad, tc kimlik no, doğum yeri, doğum tarihi gibi klasik anlamda kişisel verilerimizden oluşmakta iken hassas veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılmıştır.
 • Düzenleme Avrupa’daki hassas veri düzenlemeleri ile uyumlu olmakla birlikte diğer ülkelerden farklı olarak ülkemize özgü olarak kılık-kıyafet de hassas kişisel veri olarak kabul edilmiş bulunmaktadır.
 • Hassas verilere ilişkin bir diğer düzenleme de Türk Ceza Kanunu’ndaki m.135/2’dir. Burada hassas veriler “kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin” verileri olarak sayılmıştır ve bu verilerin hukuka aykırı olarak kaydedilmesi bakımından diğer kişisel verilere göre iki kat daha fazla ceza öngörülmüştür.
 • Yasa koyucunun kişisel veriler bakımından bu şekilde ikili bir ayrıma gitmesi hassas verilerin diğer kişisel verilere göre fişlemeye, ayrımcılığa sebebiyet verme bakımından daha müsait konumda olmasıdır. Bir diğer sebep de ekonomiktir: örneğin sağlık bilgilerinin ele geçirilip; ekonomik amaçlarla bir sigorta şirketine satılabilme potansiyelinin bulunması hassas verilerin ekonomik boyutuna örnek gösterilebilir.
 • Kişisel verilerin korunması son derece hassas bir konu olduğu gibi olası bir sızdırmanın tespiti de son derece zordur. Burada bilgi güvenliği şirketlerinin ve yeni dönemde daha da yaygınlaşması beklenen bilgi güvenliği yazılımları önemli bir faktör olacaktır. Ancak bilgi güvenliği konusunda %100 geçerli bir çözüm mümkün değildir. Bilgi güvenliği konusunda insan faktörü de dikkate alınmalı ve şirketler çalışanlarının bu konudaki eğitimlerine de önem vermelidirler.
 • Şirketlerin bilgi güvenliği politikalarının oluşturulmasında bilgi güvenliği uzmanları ve bilişim hukuku uzmanlarının ortak çalışması çok daha sağlıklı olacaktır. Zira bilgi güvenliğinin teknik boyutu ve hukuki boyutu söz konusudur.
 • Verilerin oluşturulması, depolanması, aktarılması, sorgulanması ayrı ayrı değerlendirilmeli; verilere kimlerin hangi ölçüde ulaşabileceği tespit edilmeli, verilere hangi tarihlerde kim tarafından ulaşıldığının verisinin de ayrıca tutulması bilgi güvenliği kapsamında değerlendirilmelidir. Verilerin tek bir merkezde depolanması da risk faktörünü arttırmakta ve ilgili merkeze sızılması halinde tüm verilerin ele geçirilmesi gündeme gelebilmektedir. Bu noktada verilerin farklı farklı yerlerde parçalı bir şekilde depolanması yöntemleri üzerinde çalışılabilir. Verilerin şifrelenmesi konusu da bu kapsamda değerlendirilmesi gereken teknik hususlardan bir tanesidir.
 • KVKK sadece gerçek kişileri korumaktadır. Tüzel kişiler bu kanunun koruma kapsamında değildir. Avrupa Birliği üyesi ülkelerden bir kaçı hariç diğer ülkelerde de durum aynıdır ve kişisel verilere ilişkin düzenlemeler sadece gerçek kişilerin kişisel verilerini korumaktadır.
 • KVKK kişisel verilerin kayıt altına alınmasında açık rızayı zorunlu kılmaktadır. Buna göre kişisel verilerin kaydedilmesinde kişisel verileri kaydeden gerçek veya tüzel kişi herhangi bir uyuşmazlık halinde kişisel verilerin kaydedilmesi hususunda gerekli bilgilendirmeyi gerçekleştirdiğini ve bunun karşılığında açık rızayı aldığını ispatlamak durumundadır.
 • Gerekli bilgilendirme kişisel verilerin hangi amaçla kayıt altına alındığı, iş ortaklarıyla veya üçüncü şahıslarla paylaşılıp paylaşılmayacağı, paylaşılacaksa bu paylaşımın hangi kapsamda yapılacağı, kişisel verilerin ne kadar süre sonra silineceği gibi bilgileri içermelidir. Bu bilgilendirme karşılığında kişisel verileri kayıt altına alınan kişinin açık rızası alınması gerekmektedir ve bu açık rızanın alındığını kişisel verileri kaydeden ispatlayacaktır.
 • Kanun açık rızasının alınması hususunda bir dizi istisnalar da öngörmektedir. Bu istisnalar KVKK 5/2’de “a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şeklinde sıralanmıştır.
 • KVKK’nun yürürlüğü bakımından 5 Ekim 2016 önemli bir tarih zira bu tarihe kadar toplanan kişisel veriler bakımından kanun 2 yıllık bir geçiş süreci ön görmekte; ancak bu tarih itibariyle kişisel verilerin kayıt altına alınması tamamıyla yeni kanuna tabi olmak mecburiyetinde aksi halde muhatapları kanunda yer alan idari para cezaları bekliyor.
 • KVKK ayrıca bir kişisel verileri koruma kurulunun kurulmasını öngörüyor. Bu kurulun ne şekilde teşekkül edeceği ve siyasi otoriteden ne derece bağımsız olabileceği hususları hâlâ tartışılmakta. Kişisel verileri kayıt altına alacak kurumların bu konuda söz konusu kurulu bilgilendirmesi ve kurul tarafından tutulacak aleni bir sicile de bu beyanın tescil edilmesi kanun tarafından öngörülmekte.

Yorum yapın