Kişisel Verilerin Korunması Kanunu (KVKK) Danışmanlığı

• Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.
• Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanunu’nda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasa’nın 20. maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasa’nın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

• 2010 yılında 5982 sayılı Kanun’la yapılan değişiklik ile Anayasa’nın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
• Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenerek, kişilerin kişisel verilerinin korunması hakkının kapsamı belirlenmiştir.

• Gerek kamu kurumları gerek özel kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri uzun süredir işlemektedirler. Bu durum kanunlardan kaynaklanabildiği gibi, bazen kişilerin rızasına veya bir sözleşmeye dayanmakta, bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.
• Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin işlenmesi kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşa edilmesinin veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.
• Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. 108 Sayılı Sözleşme’nin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. Nitekim, Anayasa Mahkemesi’nin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararında da; “Kişisel verilerin korunması hakkı kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı [..…]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” nedeniyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.

• Kişisel verilerin korunması hakkının dayanağı, Anayasa’nın 20. maddesinin son fıkrasıdır. Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasa’nın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasa’da çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, Anayasa’nın 20. maddesinde tanınan kişisel verilerin korunmasına ilişkin her bir hakkın uygulanması ve diğer haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir. Anayasa Mahkemesi, 9 Nisan 2014 tarihli ve E:2013/122, K:2014/74 sayılı kararında da, Anayasa’nın 20. maddesinin 3. fıkrasının son cümlesinde, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer vererek ve “yasama yetkisinin devredilmezliği” ilkesi gereğince, Anayasa’nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemeyeceğine hükmederek, Anayasa’da öngörülen kanuni düzenlemenin mutlaka gerçekleştirilmesi gerektiğinin altını çizmiştir. Dolayısıyla Anayasa’nın 20. maddesinin son fıkrasında tanınan kişisel verilerin korunması hakkına ilişkin düzenlemeler kanun ile yapıldığı sürece uygulama alanı bulacaktır.

• Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

• Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda Kanun’un amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun’un gerekçesinde, kişinin mahremiyet hakkının korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanun’un amaçları arasında yer almaktadır.

• Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanun’da verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

• Kanun, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır.
• Kanun’da “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler de bu Kanun’un kapsamı dışında tutulmuştur.
• Kanun’un 28. maddesinde tamamen veya kısmen kapsam dışı olan haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna hallerinde Kanun hiçbir şekilde uygulanamayacak, kısmi istisna hallerinde ise, Kanun’un sadece bazı maddeleri uygulanamayacaktır.

KVK’nın “Suçlar” başlıklı 17. maddesi uyarınca TCK’nın 135 ila 140’ıncı maddelerine atıfta bulunulmuştur. Bu maddelere göre suç teşkil eden ve cezaları aşağıdaki şekilde öngörülmüştür:

• Kişisel verilerin kaydedilmesi – 1 yıldan 3 yıla
• Özel nitelikli kişisel verilerin kaydedilmesi – 1.5 yıldan 4.5 yıla
• Verileri hukuka aykırı olarak verme veya ele geçirme – 2 yıldan 4 yıla
• Verileri yok etmeme – 1 yıldan 2 yıla

kadar hapis cezası verilir.

KVK’nın “Kabahatler” başlıklı 18. maddesi uyarınca aşağıdaki yaptırımlar öngörülmüştür:

• Aydınlatma yükümlülüğüne aykırılık halinde 5.000 ila 100.000 TL,
• Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde 15.000 ila 1.000.000 TL,
• Kurul tarafından verilen kararları yerine getirmeme halinde 25.000 ila 1.000.000 TL,
• Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde 20.000 ila 1.000.000 TL idari para cezası.

KVK’nın 18. madde gerekçesinde, yukarıda belirtilmiş olan idari yaptırımların veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişilerine uygulanacağı belirtilmiştir.