tr02122363690
·
[email protected]
·
Pzt - Cuma 09:00-17:00
Avukata Sor

Kişisel Verilerin Korunması Kanunu Kapsamı

no comments

Kişisel verilerin korunması, 24.03.2016 tarihli ve 6698 sayılı “Kişisel Verileri Korunması Kanunu” ile güvence altına alınmıştır. 6698 sayılı KVKK ile; özel hayatın gizliliğine konu olabilecek temel hak ve özgürlükler korunma altına alınırken ayrıca bu verileri işlemekle görevli gerçek ve tüzel kişiliklerin yükümlülükleri ve uyacakları usul ve esaslar düzenlenmiştir. 

Kişisel verilerin korunması kanununun dayanağı esasen; Anayasamızın 20. Maddesine eklenen 07.05.2010 tarihli son fıkrası ile atılmıştır. Anayasamızın 20/son fıkrasına göre; 

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Kişisel Veri Nedir?

Kişisel veri tanımı 6698 sayılı KVKK’da yapılmıştır. Yasanın 3/1-d maddesine göre, kişisel veri; kimliği belirli ya da belirlenmesi mümkün gerçek kişiye ilişkin her türlü bilgi” kişisel veri kapsamındadır. Tanımdan da anlaşılacağı üzere oldukça geniş bir alanı kapsamaktadır. Kişisel veri kavramını örnek yoluyla açıklamak gerekirse; özel hayata konu olabilecek her türlü veri bu kapsamdadır. Bu nedenle kişinin TC numarası, öz geçmişi, parmak izi veya kan grubu olabileceği gibi telefon numarası, araç plakası, ses ve görüntü kayıtları, adres veya e-posta bilgileri gibi birçok bilgi kişisel veri olarak değerlendirilmektedir. 

Kişisel Verilerin Korunması Nasıl Yapılır?

Kişisel verilerin korunması, saklanması veya silinmesi gibi prosedürler 6698 sayılı yasa ile düzenlenmiştir. Genel olarak bu verilerin korunmasına yönelik uygulamalar ise genel hatları ile aşağıdaki gibidir. 

Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi; kısmen ya da tamamen otomatik bir kayıt sistemi ile mümkündür. Kişisel verilerin işlenmesi kişisel verilerin korunması kanunu (KVKK) kapsamındaki verilerin; depolanması, kayıt altına alınması, başka bir yere aktarılması, sınıflandırılması veya değiştirilmesi ya da gerektiğinde imha edilmesi / silinmesi şeklinde yapılmaktadır. 6698 sayılı kişisel verilerin korunması kanunu kapsamında yapılan tüm bu işlemler kişisel verilerin işlenmesi olarak tabir edilmektedir. 

Kişisel verilerin işlenmesi bir takım usul ve esaslara göre yapılmaktadır. Bu tür verilerin işlenmesikonusunda uyulması gereken usul ve esaslar 6698 sayılı yasanın 4/2 maddesi ve alt bendlerinde belirtilmiştir. Buna göre özetle; 

  • Kişisel veriler hukuka ve dürüstlük kurallarına uygun olmalıdır.
  • Doğru şekilde işlenip gerektiğinde güncellemeler yapılmadır.
  • Açık ve meşru amaçlar için işlenmelidir.
  • İşlendikleri amaca uygun olmalıdır.
  • İşlendikleri amaca uygun bir süre muhafaza edilmelidir. 

Özel Nitelikli Kişisel Veri

Özel nitelikli kişisel veri tanımı 6698 sayılı kişisel verilerin korunması kanunun 6/1 maddesinde yapılmıştır. Tanıma göre; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”

Tanımdan da anlaşılacağı üzere özel nitelikli kişisel veriler öğrenilmesi durumunda bir takım ayrımcılık yapılmasına yol açılabileceği düşünüldüğünden; özel nitelikli kişisel verilerin işlenmesive düzenlenmesi için ayrı bir düzenleme yapılması yoluna gidilmiştir.

Aydınlatma Yükümlülüğü

6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun ile kişisel verilerin işlenmesi, değiştirilmesi veya nakledilmesi gibi işlemlerin yapılması sürecideki görevli kişilere yüklenen sorumlulukların başında aydınlatma yükümlülüğü bulunmaktadır. Bu nedenle aydınlatma yükümlülüğü 6698 sayılı yasanın 10. Maddesinde düzenlenmiştir. Şöyle ki aydınlatma yükümlülüğünün ihlali sonucu sorumluların kabahatler kanununu uyarınca eylemin niteliğine göre haklarında idari para cezası uygulanacağı hüküm altına alınmıştır. Ayrıca aydınlatma yükümlüğünün yerine getirilmesi bir takım usul esaslarına dayandırılmıştır. 6698 sayılı kişisel verilerin korunması hakkında kanunun 10/1 maddesine göre; 

  • Veri sorumlusunun veya temsilcisinin kimliği
  • Kişisel verilerin işlenmesindeki amaç
  • Kişisel verilerin paylaşılabileceği kişi ve kurumlar
  • Kişisel verinin toplanma yöntemi ve hukuki dayanağı
  • Veri sahibinin 6698 sayılı yasanın 11. Maddesinde belirtilen hakları konusunda bilgi verilmesi gerekmektedir. 

KVKK Aydınlatma Metni

KVKK aydınlatma metni genel olarak dijital ortamlardaki işlemlerde karşımıza çıkmaktadır. KVVK sözleşmesi olarak da anılan KVKK aydınlatma metni bir bakıma aydınlatma yükümlülüğünün yerine getirilmesi amacı ile hazırlamaktadır. KVKK aydınlatma metni 6698 sayılı kişisel verileri koruma kanunun 10 ve 11. Maddelerine dayanılarak hazırlanması ve ilgilisinin onaylaması gereken belgelerdendir. 

Açık Rıza

KVKK kapsamında açık rıza aynı kanunun 3. Maddesinde tanımlanmıştır. Tanıma göre, 

Açık rıza; “belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı”ifade etmektedir. 

Açık rıza bir bakıma kişisel verileri konuma kanunu kapsamındaki verilerin kullanım biçimlerine veya sınırlamalarına izin verilmesidir. Kişisel verilere konu açık rızanın ilgilisine bildirilmesi ise uygulamada açık rıza beyanı olarak anılmaktadır. Tanımdan da anlaşılacağı üzere açık rızanın bilgilendirilmeye dayanması, belirli bir konuya ilişkin olması ve kişinin özgür iradesi ile açıklanması gerekmektedir. 

Kişisel Veri Örnekleri

Yukarıda yapmış olduğumuz açıklamalardan da anlaşılacağı üzere kişisel veri oldukça geniş bir kapsama sahiptir. Kişinin adı soy adı, TC kimlik numarası veya adres bilgileri birer kişisel veri olabileceği gibi; Banka hesap bilgileri, sağlık durumuna ilişkin bilgiler, eğitim veya meslek bilgileri, dini hatta cinsel yönelimi dahi kişisel veri olarak kabul edilir. 

Kişisel Verileri Koruma Kanununa Aykırılık

Kişisel verilerin korunması kanununa aykırılık eylemin niteliğine göre; Türk Ceza Kanunun 135, 136, 137, 138 ve 140. Maddeleri uyarınca suç teşkil edebileceği gibi; kabahatler kanunu uyarınca idari para cezasına da tabi olabilmektedir. 

Kişisel verilerin korunması kanununa aykırılık Türk Ceza Kanunun 135. Maddesinde belirtilen “kişisel verilerin kaydedilmesi” suçunu oluşturması halinde fail; “bir yıldan üç yıla kadar hapis cezası” ile cezalandırılacağı belirtilmiştir. Ayrıca failin eyleminin “kişisel verileri hukuka aykırı olarak verme ve ele geçirme” suçunu oluşturması halinde failin; “iki yıldan dört yıla kadar hapis” cezası ile cezalandırılacağı hüküm altına alınmıştır. Ayrıca suçun kamu görevlisi tarafından işlenmesi nitelikli hal olarak kabul edilerek daha ağır cezayı gerektirmektedir. Bu konuda “Kişisel Verilerin Kaydedilmesi ve Kişiler Verilerin Verilmesi” başlıklı makalemizi inceleyebilirsiniz.

Kişisel verilerin korunması kanununa aykırılık ayrıca idari para cezasını gerektiren durumlara da sebebiyet vermektedir. Bu durumlar 6698 sayılı Kişisel verilerin korunması kanununun 18/1 maddesi ve alt bendlerinde sıralanmıştır. Buna göre; 

  1. İdari para cezasına konu eylemin 6698 sayılı kanunun 10. Maddesinde belirtilen aydınlatma yükümlülüğünü ihlal şeklinde gerçekleşesi durumunda ilgili hakkında 5.000 TL ile 100.000 TL arasında idari para cezası uygulanacağı, 
  2. Eylemin aynı kanunun 12 maddesinde belirtilen “veri güvenliğinin ihlali” şeklinde gerçekleşmesi halinde; 15.000 TL ile 1.000.000 TL arasında idari para cezası uygulanacağı, 
  3. 15. Maddede belirtilen kurul tarafında verilen kararların yerine getirilmemesi halinde; 25.000 TL ile 1.000.000 TL arasında idari para cezası ile cezalandırılacağı,
  4. Ayrıca kayıt ve bildirim yükümlülüğüne aykırı hareket edenlerin ise; 20.000 TL ile 1.000.000 TL arasında idari para cezası ile cezalandırılacağı hüküm altına alınmıştır. 

Kişisel Verilerin Korunması Kuruluna Başvuru

İlgililer kendileri ile ilgili kişisel nitelikte olan verilerin bu kanun kapsamında işlenip işlenmediği konusunda 6698 sayılı kişisel verilerin korunması hakkında kanunun 13 maddesi gereğince kişisel verilerin korunması kuruluna başvuru hakkına sahiptirler. Bu başvuru ile ayrıca herhangi bir hukuka aykırılık bulunması halinde zararın tazmini de talep edilebilmektedir. 

Kişisel verilerin korunması kuruluna başvurunun dayanağı kişisel verilerin korunması kanununa muhalefet, aydınlatma yükümlülüğü, açık rıza veya kişisel verilerin işlenmesi hakkında olabilmektedir. Başvurunun öncelikle veri sorumlusuna yapılması gerekmektedir. Başvurunun reddedilmesi veya yasal süre içerisinde cevap verilmemesi halinde ise; ilgili kurula şikayet hakkını kullanabilmektedir. 

Kişisel Verilerin Korunması Kanunu Başvurusu Nasıl Yapılır?

Yukarıda belirttiğimiz şekilde yazılı olarak ıslak imzalı veya KEP adresleri kullanılarak yapılan başvuruya olumsuz cevap verilmesi veya 30 gün içinde herhangi bir cevap verilmemesi halinde kurula başvuru hakkımız doğar. Başvuru süresi olumsuz cevap verildikten sonra veya 30 günlük sürenin dolmasından itibaren 60 gündür. Kuruma yazılı veya bizzat başvuru yapılabileceği gibi online olarak da KVKK’na ait web sitesinden başvuru yapılabilmektedir. 

Kişisel verilerin korunması kuruluna başvuru sonrasında herhangi bir şekilde hukuka aykırılık tespit edilmesi halinde kurum resen soruşturma yapabileceği gibi eylemin ayrıca suç teşkil etmesi hallerinde ilgili makamlara suç duyurusunda bulunabilecektir. 

Sık Sorulan Sorular

Cep Telefonu Kişisel Veri Midir?

Evet cep telefonu da bir çeşit kişisel veri olarak kabul edilir. İlgilinin açık rızası olmadıkça 3. Kişilere iletilmesi veya başka yol ile yayılması kişisel verilerin korunması kanununa aykırılık teşkil eder. Ayrıca Türk Ceza Kanununda da suç olarak tanımlanmış bir fiildir. 

Kişisel Veriler Kaç Yıl Saklanır?

Kişisel verilerin kaç yıl saklanacağı konusunda 6698 sayılı yasada herhangi bir düzenleme yapılmıştır. Daha çok her kurum ve işletmelerin işleyişine ait yönetmeliklerde farklı süreler belirlenmiştir. Bu süreler genellikle 5 ila 10 yıl arasında değişmekte ise de; Genel geçerli bir düzenleme yoktur. 

Kişisel Verilerin Korunmasında Kim Sorumludur?

6698 sayılı kişilerin verilerin korunması kanununun 3/1 maddesine göre bu verilerin korunmasında kayıt sistemini oluşturan gerçek ve tüzel kişilikler sorumludur. Örneğin E-Ticaret sitesinde bulunan verilerimizin korunmasında bu tüzel kişilik sorumlu iken; E-Devlet gibi birçok kişisel verimizin bulunduğu sistemlerdeki verilerin korunmasında kamu idareleri sorumludur. 

Kişisel Verilerin İhlali Nereye Şikayet Edilir?

Bunun için yukarıda detaylarını belirtmiş olduğumuz adımları takip etmek gerekir. Öncelikle veri sorumlusuna başvuruda bulunarak ihlalin ortadan kaldırılması talep edilir. Olumsuz cevap alınması veya 30 günlük süre içerisinde herhangi bir cevap verilmemesi halinde “Kişisel Verileri KorumaKurumuna” başvuru yapabiliriz. Dijital ortamda zaman zaman bu başvuruların CİMER’e yapılacağı yönünde gerçeği yansıtmayan bilgiler bulunmaktadır. 

Previous Post

Related Posts

banka ve kredi kartlarının kötüye kullanılması suçu

Banka ve Kredi Kartlarının Kötüye Kullanılması Suçu ve Cezası

17 Ekim 2025
bilişim sistemine girme suçu

Bilişim Sistemine Girme Suçu ve Cezası (TCK 243)

15 Ekim 2025
depozito

Depozito Nedir? Ne Anlama Gelir?

10 Ekim 2025

Yanıt Bırak