Kişisel Verilerin Korunmasına İlişkin Temel Kavramlar

Kişisel verilerin korunması, veri sahibi (“ilgili kişi”) bakımından çok önemli bir hak iken veriyi edinen ve bu veriyi herhangi bir sebeple kullanan veri sorumluları ve veri işleyenler bakımından da yasal bir yükümlülüktür. Verisi işlenen herkes, bu verinin hangi amaçla işlendiğini, kimlere aktarıldığını öğrenme hakkına sahiptir ve eğer yanlış bir veri işleniyorsa bunun düzeltilmesini ya da bu verinin işlenmesi dolayısıyla zarara uğruyorsa bu zararın tazminini talep edebilir. 

Kişisel Verileri Koruma Kanunu (“KVKK”) ve ilgili mevzuat, kişisel verilerin korunmasına ilişkin dayanağını Anayasa’dan alan ancak özel anlamda pek çok alana etki eden düzenlemeler getirmiştir. Bu düzenlemeler, veri güvenliği açısından önemli adımlar olarak kabul edilirken düzenlemelere uymamak veri işleme faaliyetinde bulunan gerçek ve tüzel kişiler için önemli bir sorumluluk da doğurmaktadır. 

KVKK, düzenli olarak yayınlanan Kişisel Verileri Koruma Kurulu (“Kurul”) kararları ve ilgili diğer mevzuat gereği kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce uyması gereken birtakım zorunlu kurallar vardır. Bunlardan en temel olanları kişisel verisi işlenecek ilgili kişileri aydınlatmak, gerekiyorsa açık rızalarını almak, veri kaybını önlemek için gerekli idari ve teknik tedbirleri almak ve Veri Sorumluları Siciline kaydolmak olarak sıralanabilir.

İlgili Kişinin Aydınlatılması ve Rızasının Alınması

Kişisel verisi işlenecek her ilgili kişi, mümkünse veri işleme faaliyeti başlamadan önce aydınlatılmalı, kimi durumlarda ise açık rızası alınmalıdır. Bu aydınlatmanın nasıl yapılacağı, olmazsa olmaz unsurları ve açık rıza sürecinin doğru işletilmesi, veri sorumlusu açısından büyük önem taşımaktadır.

İlgili kişi aydınlatılırken verisini işleyenin kim olduğu, verilerinin hangi amaçla işleneceği ve hangi amaçla kimlere aktarılabileceği, verilerinin toplanması yöntemi ve hangi hukuki sebeple toplandığı ya da kişisel verilerinin işlenmesine dair nasıl ve kimden bilgi alıp neyi talep edebileceği gibi ulaşılabilir, açık ve anlaşılır bir aydınlatmaya tabi tutulmalıdır. 

Kural olarak kişisel verilerin işlenebilmesi için ilgili kişinin buna açıkça rıza göstermiş olması gerekse de rıza aranmadan veri işleme faaliyetiyle de uygulamada sıklıkla karşılaşılmaktadır. Açık rıza aranmadan ver işleme faaliyetlerinin sebepleri kanunda sınırlı olarak belirtilmiştir: kanunda açıkça yer alması, kendisinin ya da bir başkasının hayatı veya beden bütünlüğü tehlikede olduğu durumlarda ilgili kişinin rızasının alınmasının fiilen imkansız olması, bir sözleşmenin kurulması ya da yerine getirilmesiyle doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendi verisini alenileştirmiş olması, bir hakkın tesis edilmesi, korunması ya da kullanılması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerinin korunması kaydıyla veri sorumlusunun kendi meşru menfaatleri için ilgili kişinin verisinin işlenmesinin zorunlu olması, yurt dışı veri aktarımında veri sorumlusunun kanunda yer alan prosedürlere uygun olarak yükümlülüklerini yerine getirmiş olması.

Kurul, aydınlatma yükümlülüğünü adeta veri sorumlusu ile ilgili kişi arasındaki ilişkinin temeli olarak öngörmektedir. Bu yükümlülüğün yerine getirilmemesi, veri sorumlusunun idari para cezası almasına neden olabilir. 

Veri Sorumluları Sicili

Kural olarak, tüm veri sorumlularının bir veri envanteri oluşturması ve akabinde Veri Sorumluları Sicili’ne (VERBİS) kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir. VERBİS kayıt yükümlülüğünün kapsamı ve istisnaları Kurul tarafından düzenlenmiştir.

31.12.2021 itibariyle VERBİS’e kayıt yükümlülüğü olan gerçek ve tüzel kişilerin bu kaydı tamamlamış olması gerekirdi. VERBİS’e kayıt yükümlüsü olan veri sorumluları, kurul tarafından şu şekilde belirlenmiştir: 

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları,
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları
  • Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları

VERBİS’e kayıt yükümlüsü olmasına rağmen bu kaydı süresinde gerçekleştirmeyen veri sorumluları için KVKK’da idari para cezası öngörülmektedir. 

Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumluları, edindikleri kişisel verileri güvenli bir şekilde muhafaza etmeli, bu verilerin hukuka aykırı olarak işlenmesini önlemelidir. Kişisel Verileri Koruma Kurumu, veri güvenliğini sağlaması amacıyla veri sorumlusundan idari ve teknik tedbirler almasını beklemektedir. 

Mevcut teknolojik duruma ve veri işleme faaliyetinin içeriğine göre bu tedbirler artırılabilir ya da yeniden düzenlenebilir. Önemli olan veri sorumlusunun veri güvenliğini sağlamak üzere kendisinden beklenen yasal yükümlülüğünü makul ve gerekli orandaki veri güvenliği tedbirleriyle sağlamasıdır. 

Veri sorumlusunun alması gereken idari tedbirlere örnek olarak envanter hazırlamak, kurumsal politikalar belirlemek, veri aktaran ya da aktarılan olarak girdiği ilişkilerde veri güvenliğine ilişkin güçlü sözleşmeler hazırlamak, kurum içi eğitim ve denetimler gerçekleştirmek gösterilebilir. Veri sorumlusunun alması gereken teknik tedbirlere güncel virüs koruma programları edinmek, sızma testleri yapmak, erişim yetkilerini kısıtlamak, ağ güvenliklerini sağlamak, yedekleme yapmak gösterilebilir. 

Herhangi bir veri ihlalinde yapılan incelemede veri sorumlusunun veri güvenliğine ilişkin tedbirleri ne kadar yerine getirdiği önemli bir belirleyici faktördür. 

Özel Nitelikteki Kişisel Veriler

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabileceği için KVKK, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Diğer yandan bu verilerin neler olduğunu ise sınırlı olarak saymaktadır. Özel nitelikteki kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler” olarak belirlenmiştir. 

Özel nitelikteki kişisel verilerin işlenme şartları, diğer kişisel verilerden daha istisnaidir ve diğer yandan Kurul, bu verilerin işlenmesine dair yöntemleri belirleyerek bu verilerin muhafazasında, aktarılmasında, işleme prosedürlerinin belirlenmesinde daha katı idari ve teknik tedbirler belirlemiştir. 

Kişisel Verileri Koruma Kurulu Kararları

Veri sorumluları, işledikleri kişisel verilerin güvenliğini sağlama noktasında Kurul’un güncel tutumunu ve yayınladığı kimi ilke kararlarını takip etmek zorundadır. Hatta veri işleme faaliyetlerini içeren kimi ticari sözleşmelerde Kurul kararlarının takibi, taraflara birer yükümlülük olarak da getirilmektedir. 

Diğer yandan Kurul denetimine giren veri sorumlularının Kurul’un aldığı kararlara uymaması, bir idari para cezası olarak Kanun’da düzenlenmiştir. 

Yurtdışına Veri Aktarımı

Veri sorumluları, yurt dışında yerleşik bir veri sorumlusuna ya da veri işleyene veri aktarımında bulunabilir. Özellikle önemli bilişim hizmetlerinin servis sağlayıcılarının yurt dışında olması, yurt dışına veri aktaran veri sorumlularının oranını ciddi şekilde artırmaktadır. 

2024 yılında yapılan önemli değişiklikle kişisel verilerin yurtdışına aktarılmasında KVKK’nın getirdiği yükümlilükler çeşitlenmiş, bir bakıma kolaylaştırılmıştır. Yeni düzenlemeyle kişisel verilerin yurt dışına aktarılabilmesi şu yöntemlerle olabilir;

  • Kişisel verilerin aktarılacağı ülke, ülke içindeki sektörler ya da uluslararası kuruluşlar hakkında Kurul’ın verdiği yeterlilik kararı, 
  • Yurt içindeki veri aktaran ile yurtdışındaki veri alan arasında KVKK’da aranan şartlara uygun bir standart sözleşmenin Kurul’a bildirilmesi, 
  • Yurt içindeki veri aktaran ile yurtdışındaki veri alan arasında bir taahhütname hazırlanarak bu taahhütname ile alınan Kurul izni,
  • Aynı teşebbüs grubu içinde bulunan şirketler arasında hazırlanan bağlayıcı şirket kurallarının Kurul tarafından onaylanması,
  • Yurtiçindeki kamu kurum ve kuruluşları ile yurtdışındaki kamu kurum ve kuruluşları arasında imzalanan ve fakat uluslararası sözleşme niteliğinde olmayan sözleşmeler ile alınan Kurul izni.

KVKK’daki bu düzenlemeyle birlikte veri sorumlusu, yukarıdaki şartları sağlamadığı takdirde ancak aktarım arızi olursa ilgili kişinin verisini yurtdışına aktarabilecektir. 

YAPTIRIMLAR

Kabahatler

Veri ihlalleri karşısında veri sorumlularına ya da veri işleyenlere vereceği idari para cezaları her yıl Kurul kararıyla güncellenmektedir. 2025 yılı için düzenlenen idari para cezalarının alt ve üst limitleri 2024 yılına göre %43,93 artış ile aşağıdaki gibidir. 

İhlaller/Tutarlar En Az Tutar En Çok Tutar
Aydınlatma yükümlülüğünü yerine getirmeme 68.083 TL 1.362.021 TL
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi 204.285 TL 13.620.402 TL
Kurul kararlarının yerine getirilmemesi 340.476 TL 13.620.402 TL
Veri sorumluları siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesi 272.380 TL 13.620.402 TL
Yurt dışı aktarımına dair bildirim yükümlülüğünün yerine getirilmemesi 71.965 TL 1.439.300 TL

 

Suçlar

Kişisel verilerin hukuka aykırı olarak işlenmesine dair öngörülen cezalar, KVKK’da değil, Türk Ceza Kanunu’nda yer almaktadır. 

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması, ele geçirilmesi, yok edilmesi gerekirken hala yok edilmemesi fiilini işleyen kişiler Türk Ceza Kanunu’nda tanımlanan suçların tanımına uyduğu hallerde hapis cezası ile cezalandırılır. 

Kişisel verilerin korunmasına ilişkin yükümlülüklerin veriyi elinde bulunduran taraflar arasında ya da veri işleyen ile veri sorumlusu arasında net olarak belirlenmesi, veri sorumlusunun veri işleme faaliyetine ilişkin gerekli prosedürleri hazırlaması ve uygulamaya geçirmesi, ilgili kişinin hakkının korunması açısından önemli olduğu gibi veri sorumlusu ve veri işleyenler için de idari para cezaları ve hapis cezaları ile karşılaşmamak açısından son derece önemlidir. Bu sebeple veri işleme faaliyetinde bulunan gerçek ve tüzel kişilerin uyum süreçlerini tamamlaması ve güncel tutması önerilmektedir.