Kişisel Verileri Koruma Kanunu (KVKK) Nedir?
24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşan ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Verileri Koruma Kanunu, “kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır” (100 Soruda Kişisel Verilerin Korunması Kanunu*). Temel hak ve özgürlüklerin korunmasını amaçlayan bu kanun temelde kişilerin korunmasını amaçlamakta ve verilerin gelişi güzel toplanmasının ve aktarılmasının yaratabileceği olumsuz durumların önüne geçilmesini hedeflemektedir.
Bireyler için Kişisel Verilerin Korunması Kanunu Ne Anlama Geliyor?
İnternet başta olmak üzere teknolojik yenilikler yaşamı önemli ölçüde değiştirdi ve değiştirmeyi sürdürüyor. Gelinen noktada siber dünyada yapılan pek çok işlem kişisel verilerin işlenmesini de beraberinde getiriyor. Türkiye’de 2016 yılının başlarında kabul edilen Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kimlik numarasından fotoğrafa pek çok kişisel bilgisini güvence altına almasını sağlıyor.
Kişisel veri ilgili kanunda gerçek kişilere özgü bir kavram olarak tanımlanıyor. Bu kapsamda sadece ad soyad, doğum tarihi, doğum yeri gibi kimlik bilgileri değil, bireye ait telefon numarası, motorlu araç plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, fotoğraf, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan tüm bilgiler kişisel veri olarak kabul ediliyor. Bu verileri işlemek isteyen özel ya da kamu kurumlarının ilgili kişiden onay alması mecbur tutuluyor.
Kişisel Verilerin Korunması Kanunu’nun uygulanmasını sağlayan Kişisel Verileri Koruma Kurumu tarafından hazırlanan “100 Soruda Kişisel Verilerin Korunması Kanunu” başlıklı dokümanda kişisel verilerin türlerine de yer veriliyor:
Özel Nitelikli (Hassas) Kişisel Veri Nedir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenilmesi durumunda verinin ait olduğu kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalabilmesine neden olabilecek veriler olarak tanımlanıyor. KVKK’da bu veriler net olarak tanımlanıyor ve bunların dışındaki veriler özel nitelikli olarak kabul edilmiyor. Açıklanan listeye baktığımızda bu tanımın ırk, etnik köken, siyasi düşünce, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler olduğu görülüyor.
Kişisel Sağlık Veriniz Değerlidir
Özel nitelikli kişisel veri statüsünde en yaygın olanlardan biri kuşkusuz sağlık verileri. Kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmetine dair bilgiler olarak tanımlanan bu veriler tahlil sonuçları, daha önce geçirilmiş hastalıklar ve kullandığı ilaçlar gibi bilgileri kapsıyor. Bu veriler, özel nitelikli olduğu için işlenmesi için kişinin ayrıca izin vermesi gerekiyor.
Veri İhlali Durumunda Ne Yapılmalı?
Kanun, herhangi bir veri ihlalinin tespiti durumunda iki türlü bildirim/şikayet alıyor. Bunlardan ilki, verilerin korunmasından sorumlu şirket ya da kurumun bu ihlali Kişisel Verilerin Koruması Kurumu’na ilgili panel üzerinden bildirmesi. Bu bildirim, verileri ele geçirilmiş olabilecek kişileri uyarmak amacıyla Kurum tarafından kamuoyuna açıklanabiliyor.
İkinci durum ise doğrudan verinin asıl sahibi tarafından bildirim yapılması. Verilerinin izinsiz bir şekilde kullanıldığını fark eden bireyler, sikayet.kvkk.gov.tr adresinden ya da E-Devlet Portalı’ndan konuyla ilgili şikayetlerini aktarabiliyor. Ancak burada dikkat edilmesi gereken iki önemli nokta var. Birincisi, şikayetin doğrudan verinin sahibi tarafından (vekil ya da vasi kabul edilmiyor) yapılması. İkinci olarak ise şikayetin Kişisel Verileri Koruma Kurumu öncesinde, şikayet edilecek olan şirket ya da kuruma yapılması gerekmesi. Kurum, buradan bir yanıt alınmadığında ya da şikayete ilişkin talebin karşılanmadığı düşünülüyorsa ilgili başvuruyu kabul ediyor. Bunu kontrol etmek için de ilgili şirket ya da kurumla yapılmış olan yazışmaların bir örneğini talep ediyor.
Detaylı bilgi için; https://www.kvkk.gov.tr/ adresi ziyaret edilebilİrsiniz.
24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşan ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Verileri Koruma Kanunu, “kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır” (100 Soruda Kişisel Verilerin Korunması Kanunu*). Temel hak ve özgürlüklerin korunmasını amaçlayan bu kanun temelde kişilerin korunmasını amaçlamakta ve verilerin gelişi güzel toplanmasının ve aktarılmasının yaratabileceği olumsuz durumların önüne geçilmesini hedeflemektedir.
Bireyler için Kişisel Verilerin Korunması Kanunu Ne Anlama Geliyor?
İnternet başta olmak üzere teknolojik yenilikler yaşamı önemli ölçüde değiştirdi ve değiştirmeyi sürdürüyor. Gelinen noktada siber dünyada yapılan pek çok işlem kişisel verilerin işlenmesini de beraberinde getiriyor. Türkiye’de 2016 yılının başlarında kabul edilen Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kimlik numarasından fotoğrafa pek çok kişisel bilgisini güvence altına almasını sağlıyor.
Kişisel veri ilgili kanunda gerçek kişilere özgü bir kavram olarak tanımlanıyor. Bu kapsamda sadece ad soyad, doğum tarihi, doğum yeri gibi kimlik bilgileri değil, bireye ait telefon numarası, motorlu araç plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, fotoğraf, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan tüm bilgiler kişisel veri olarak kabul ediliyor. Bu verileri işlemek isteyen özel ya da kamu kurumlarının ilgili kişiden onay alması mecbur tutuluyor.
Kişisel Verilerin Korunması Kanunu’nun uygulanmasını sağlayan Kişisel Verileri Koruma Kurumu tarafından hazırlanan “100 Soruda Kişisel Verilerin Korunması Kanunu” başlıklı dokümanda kişisel verilerin türlerine de yer veriliyor:
Özel Nitelikli (Hassas) Kişisel Veri Nedir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenilmesi durumunda verinin ait olduğu kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalabilmesine neden olabilecek veriler olarak tanımlanıyor. KVKK’da bu veriler net olarak tanımlanıyor ve bunların dışındaki veriler özel nitelikli olarak kabul edilmiyor. Açıklanan listeye baktığımızda bu tanımın ırk, etnik köken, siyasi düşünce, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler olduğu görülüyor.
Kişisel Sağlık Veriniz Değerlidir
Özel nitelikli kişisel veri statüsünde en yaygın olanlardan biri kuşkusuz sağlık verileri. Kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmetine dair bilgiler olarak tanımlanan bu veriler tahlil sonuçları, daha önce geçirilmiş hastalıklar ve kullandığı ilaçlar gibi bilgileri kapsıyor. Bu veriler, özel nitelikli olduğu için işlenmesi için kişinin ayrıca izin vermesi gerekiyor.
Veri İhlali Durumunda Ne Yapılmalı?
Kanun, herhangi bir veri ihlalinin tespiti durumunda iki türlü bildirim/şikayet alıyor. Bunlardan ilki, verilerin korunmasından sorumlu şirket ya da kurumun bu ihlali Kişisel Verilerin Koruması Kurumu’na ilgili panel üzerinden bildirmesi. Bu bildirim, verileri ele geçirilmiş olabilecek kişileri uyarmak amacıyla Kurum tarafından kamuoyuna açıklanabiliyor.
İkinci durum ise doğrudan verinin asıl sahibi tarafından bildirim yapılması. Verilerinin izinsiz bir şekilde kullanıldığını fark eden bireyler, sikayet.kvkk.gov.tr adresinden ya da E-Devlet Portalı’ndan konuyla ilgili şikayetlerini aktarabiliyor. Ancak burada dikkat edilmesi gereken iki önemli nokta var. Birincisi, şikayetin doğrudan verinin sahibi tarafından (vekil ya da vasi kabul edilmiyor) yapılması. İkinci olarak ise şikayetin Kişisel Verileri Koruma Kurumu öncesinde, şikayet edilecek olan şirket ya da kuruma yapılması gerekmesi. Kurum, buradan bir yanıt alınmadığında ya da şikayete ilişkin talebin karşılanmadığı düşünülüyorsa ilgili başvuruyu kabul ediyor. Bunu kontrol etmek için de ilgili şirket ya da kurumla yapılmış olan yazışmaların bir örneğini talep ediyor.
Detaylı bilgi için; https://www.kvkk.gov.tr/ adresi ziyaret edilebilİrsiniz.