KVKK Nedir?
Teknoloji ve dijitalleşmenin yaygınlaşmasıyla birlikte "kişisel verileri koruma" kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. "Verilerin korunması" kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.
TBMM'de yasalaştırılan Kişisel Verilerin Korunması Kanunu "kişisel verilere" ilişkin düzenlemeler getirmiştir. Kanun, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun verilerin kim tarafından, hangi amaçlara yönelik toplanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.
KVKK Açılımı Nedir?
AB Genel Veri Koruma Regülasyonu (GDPR - General Data Protection Regulation) düzenlemesine paralel kısaltması KVKK olan Kişisel Verilerin Korunması Kanunu yayınlanarak Türkiye'de de kişisel verilerin toplanması, işlenmesi ve silinmesine ilişkin regülasyonlar getirilmiştir.
KVKK Ne Zaman Yürürlüğe Girdi?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM'de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmî Gazete'de yayınlanarak yürürlüğe girmiştir.
KVKK Cezaları ve Yaptırımları Neler?
6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun yürürlüğe girmesiyle birlikte, kanun, kurumlara ve işletme sahiplerine ciddi idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur.
Kanun, resmi kurumlar dahil, kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini kapsamaktadır. Gerçek kişi müşteriler, çalışanlar, ziyaretçilerin bilgileri kaydediliyor ve işleniyorsa KVKK kapsamındadır. Kanun kapsamındaki tüm kurum ve kuruluşlar, Kişisel Verileri Koruma Kurumu'nun belirlediği tarihler içerisinde kısa adı VERBİS olan "Veri Sorumluları Sicil Bilgi Sistemi"ne kayıt yaptırma zorunluluğu vardır.
VERBİS kaydı ile kurum ve işletmeler, hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmekle yükümlüdürler. Bu yükümlülüğün yerine getirilmemesi halinde kanun, idari ve hapis cezası getirmiştir. Bu arada, kanunda belirtilen "özel nitelikli veriler" işlendiğinde cezaların 1,5 kat, işlenen veriler Ceza Muhakemeleri Kanunu (CMK) kapsamında ise 2 kat artırılması ön görülmüştür. Cezalar her yıl enflasyona göre güncellenmektedir.
KVKK Açık Rıza Metni
Kişisel Verilerin Korunması Kanunu'nun yürürlüğe girmesiyle gündeme gelen önemli kavramlardan birisi de "açık rıza" oldu. Kanun'un 3. Maddesi "Açık Rıza"yı şöyle tanımlamıştır: "Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza."
Kanun’un açık rıza tanımından anlaşılacağı üzere “açık rıza”nın belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması zorunludur.
Açık rıza ile kişi, sahip olduğu verinin işlenmesine kendi isteği ile onay vermiş sayılır. Yine açık rıza ile ilgili kişi, işlenmesine izin verdiği verinin hangi sınırlarda, hangi kapsamda, hangi sürede ve biçimde kullanılacağının sınırlarını da belirlemiş olur.
KVKK'ya göre açık rıza beyanının yazılı alınması zorunluluğu olmadığı gibi, elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür. Kanun ispat yükümlülüğünü "Veri Sorumlusu"na getirmiştir. Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğu için, kişi verdiği açık rızayı geri alabilir. Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
KVKK Aydınlatma Yükümlülüğü ve Aydınlatma Metni
Kişisel Verilerin Korunması Kanunu, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki gerekçelerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği konusunda bilgi edinme hakkı tanımıştır. Kanun "Aydınlatma Yükümlülüğü"nü veri sorumlusuna getirmiştir.
Veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat ya da yetkilendirdiği kişi aracılığıyla, "Veri sorumlusunun ve varsa temsilcisinin kimliği; kişisel verilerin hangi amaçla işleneceği; kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan diğer hakları" ilgili kişiye sağlamakla yükümlüdür.