
KVKK Nedir Sorusunun Cevabı
KVKK
Nedir?
Teknoloji ve dijitalleşmenin
yaygınlaşmasıyla birlikte “kişisel verileri koruma”
kavramı konusu kişiler, kurumlar ve şirketler için kritik
bir hal almaya başladı. “Verilerin korunması” kişilerin hak
ve özgürlüklerin korunması açısından önemli olduğu kadar
kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının
korunması açısından da önemli hale geldi.
TBMM’de yasalaştırılan Kişisel Verilerin Korunması Kanunu “kişisel verilere” ilişkin düzenlemeler getirmiştir.
Kanun, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda kanunun yükümlülükleri de belirlemiştir. Böylece kanun verilerin kim tarafından, hangi amaçlara yönelik toplanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.
KVKK Açılımı Nedir?
AB Genel Veri Koruma Regülasyonu
(GDPR – General Data Protection Regulation) düzenlemesine
paralel kısaltması KVKK olan Kişisel Verilerin Korunması Kanunu
yayınlanarak Türkiye’de de kişisel verilerin toplanması,
işlenmesi ve silinmesine ilişkin regülasyonlar getirilmiştir.
KVKK Ne Zaman Yürürlüğe
Girdi?
6698 Sayısı
Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016
tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde
Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Resmi Gazete yayınına buradan ulaşabilirsiniz.
Veri Sorumlusu ve Veri İşleyenin Görevleri (Madde 10-12-15- 16)
- Aydınlatma Yükümlülüğünü yerine getirmeliyiz.
- Kişisel Verilerin Korunmasına ilişkin tedbirler almalıyız;
- KVKK denetimlerini yapmalıyız ya da yaptırmalı,
- Kişisel verilerin üçüncü şahıslara aktarıldığını öğrendiğimiz andan itibaren 72 saat içinde Kurula bilgi vermeliyiz,
- Kişisel Veri Envanterini hazırlamalıyız,
- İş sözleşmelerini ve Disiplin yönergelerini KVKK mevzuatına göre entegre etmeliyiz,
- Periyodik olarak KVKK konusunda farkındalık eğitimlerine yer vermeliyiz.
- İlgili kişinin taleplerini değerlendirme ve sonuca bağlama yükümlülüğünü yerine getirmeliyiz.
- Saklama ve İmha Politikası hazırlamalıyız.
- Kurul Kararlarını yerine getirmeliyiz.
- VERBİS (Veri Sicil Kaydı) ‘ e kayıt olmalıyız.

KVKK Nedir Sorusunun Cevabı
KVKK Açık Rıza Metni
Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle gündeme gelen önemli kavramlardan birisi de “açık rıza” oldu. Kanun’un 3. Maddesi “Açık Rıza”yı şöyle tanımlamıştır: “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”
Açık rıza ile kişi, sahip olduğu verinin işlenmesine kendi isteği ile onay vermiş sayılır. Yine açık rıza ilgili kişi, işlenmesine izin verdiği verinin hangi sınırlarda, hangi kapsamda, hangi sürede ve biçimde kullanılacağının sınırlarını da belirlemiş olur.
KVKK’ya göre açık rıza beyanının yazılı alınması zorunluluğu olmadığı gibi, elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür. Kanun ispat yükümlülüğünü “Veri Sorumlusu”na getirmiştir.
Kanun’un açık rıza tanımından anlaşılacağı üzere “açık rıza”nın belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması zorunludur.
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğu için, kişi verdiği açık rızayı geri alabilir. Kişisel verinin geleceğini belirleme hakkı ilgili kişiye ait olduğu için, kişi istediği an veri sorumlusuna verdiği açık rızasını geri çekebilir. Burada önemli olan konu, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
KVKK resmi web sitesindeki Açık Rıza ile ilgili ayrıntılı bilgiye buradan ulaşabilirsiniz.

Açık Rıza Nedir ?
KVKK Aydınlatma Yükümlülüğü ve
Aydınlatma Metni
Kişisel Verilerin Korunması Kanunu,
kişisel verileri işlenen ilgili kişilere bu verilerinin kim
tarafından, hangi amaçlarla ve hukuki gerekçelerle
işlenebileceği, kimlere hangi amaçlarla aktarılabileceği
konusunda bilgi edinme hakkı tanımıştır. Kanun “Aydınlatma
Yükümlülüğü”nü veri sorumlusuna getirmiştir.
Veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat ya da yetkilendirdiği kişi aracılığıyla, “Veri sorumlusunun ve varsa temsilcisinin kimliği; kişisel verilerin hangi amaçla işleneceği; kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan diğer hakları” ilgili kişiye sağlamakla yükümlüdür.
Kanun, ilgili kişinin, kişisel verisinin işlendiği her durumda aydınlatılmasını zorunlu kılmıştır. Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esasları buradan inceleyebilirsiniz.
Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin KVKK rehberini ise buradan inceleyebilirsiniz.
Kişisel Veri İşleme Envanteri Hazırlama Rehberi
Kişisel Verilerin Korunması Kanunu
kapsamında yayınlanan “Veri Sorumluları Sicili Hakkında
Yönetmelik” ile “Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereği
veri sorumlularınca kişisel veri işleme envanteri
hazırlanması zorunluluğu getirilmiştir.
Bu zorunluluk kapsamında Kişisel Verileri Koruma Kurumu, işletme ve kurumlara yol göstermek amacıyla, veri sorumlularına iyi uygulama örneklerini sunmak amacıyla “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” oluşturmuştur. Kurum, ilgili rehberi resmi web sitesi üzerinde yayınlamıştır.
İlgili rehbere buradan ulaşabilirsiniz.
Kişisel Veri İşleme Envanteri Örneği
Kişisel Verileri Koruma Kurulu, veri
sorumlularını yükümlü kıldığı kişisel veri işleme envanteri
hazırlanmasına ilişkin usulleri düzenlerken, “Kişisel Veri
İşleme Envanter Örneği” de hazırlayarak veri sorumlularına
yol göstermiştir.
KVKK resmi web sitesinde yayınlanan envanter örneğini aşağıdaki dosyadan edinebilirsiniz.
İrtibat Kişisi Nedir?
Kişisel Verilerin Korunması Kanunu’na göre
veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi
ise, bir “irtibat kişisi” atamak ve Veri Sorumluları
Siciline kayıt sırasında atadığı bu irtibat kişisine ait
bilgileri VERBİS’e işlemek zorundadır.
Söz konusu irtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. Kanuna göre, İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Veri sorumlusu eğer bir kamu kurumu ise, Kanunun uygulanmasıyla ilgili kamu kurumunda koordinasyonu sağlamak üzere belirlenerek Kurul’a bildirilen üst düzey yönetici tarafından, VERBİS’in hizmete açılması ve kayıt yükümlülüğünün başlaması akabinde ilgili yönetmeliğe göre VERBİS sistemine irtibat kişisi bilgi girişi yapılması gerekmektedir.

KVKK üzerinden hüküm
Veri Sorumlusu Temsilcisi Kimdir, Nasıl Atanır, Görevleri Nelerdir?
Veri Sorumluları Sicili Hakkında
Yönetmelik’in 11 inci maddesine göre, veri sorumlusu eğer
yurtdışında yerleşik olan bir tüzel kişi ise, bir veri
sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri
sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel
kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.
Yurtdışında yerleşik tüzel kişi veri sorumluları, veri sorumlusu temsilcisi atadığına dair bir karar almalı ve kararın tasdikli örneğini bu veri sorumlusu temsilcisi aracılığıyla Kuruma sunmalıdır. Veri sorumlusu temsilcisi olduğuna dair yapılan görevlendirme, Kanun hükümleri uyarınca yurtdışında yerleşik veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Kişisel Verilerin Saklanma Süreleri
KVKK’ya göre, veri Sorumluları tarafından
işlenen kişisel verilerin süresiz saklanması mümkün
değildir. Kurumun ya da işletmenin belirlediği veri işlenme
amacına uygun bir süre tutulmalı ve daha sonra imha
edilmelidir. Bu süreler, işletmelerin faaliyet gösterdiği
sektörler ve bağlı bulundukları kanunlara göre değişiklik
göstermektedir.
Kanunlara göre kişisel verilerin işlenme süreleri bittikten sonra, ilk periyodik imha döneminde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir. Öte yandan, ilgili kişinin kişisel verilerinin işlenmesini istememesi ya da daha önce verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklenmeksizin imha edilmelidir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen ya da ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Kişisel Verileri Koruma Kurumu’nun hazırladığı ve resmi web sitesinde yayınladığı “KVKK Kişisel Veri Saklama ve İmha Politikası” usul ve esaslarını buradan inceleyebilirsiniz.
KVKK Periyodik İmha Dönemi
KVKK’ya göre, saklama süresi dolan kişisel
veriler, saklama süresinin bitimini takip eden ilk periyodik
imha zamanında imha edilir. Süresi sona eren ve kişisel
verinin saklanmasını gerektirecek başka herhangi bir veri
işleme amacı mevcut olmayan kişisel verileri, saklama
sürelerinin sona ermesini takiben 180 gün içerisinde anonim
hale getirilir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.
KVKK Teknik ve İdari Tedbirler
6698 sayılı Kişisel Verilerin Korunması
Kanunu, 12. Maddede getirilen düzenleme ile kişisel
verilerin hukuka aykırı olarak işlenmesini ve kişisel
verilere hukuka aykırı olarak erişilmesini önlemek ile
kişisel verilerin muhafazasını sağlamak amacıyla veri
sorumlularına bir takım teknik ve idari tedbirler alma
zorunluluğu getirmiştir.
Kişisel Verileri Koruma Kurulu, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Veri Güvenliği Rehberi hazırlanmış ve resmi web sitesinde yayınlamıştır.
İlgili rehbere buradan ulaşabilirsiniz.
KVKK Kişisel Veri İhlal Bildirimi
Kişisel Verileri Koruma Kurulu, kişisel
veri ihlali bildirim usul ve esaslarını belirleyerek 24 Ocak
2019 tarihinde resmi web sitesinde duyurmuştur. Bu duyuruyu
buradan inceleyebilirsiniz.
Kurul, Kanun’un 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar vermiş ve duyurmuştur.
Kurul duyurusuna göre, Veri İhlali Bildirim formu yalnızca Veri Sorumlusu tarafından doldurulması gerekmektedir.
Şikayet ve İhbar içerikli başvuruların Kuruma yazılı olarak ya da kurumun şu internet adresinden iletilmesi gerekmektedir.
Ayrıca bildirimler için şu adresler de kullanılabilir:
Veri
İhlali Bildirim Formu (İnternet)
Veri
İhlali Bildirim Formu Kılavuzu
Veri
İhlali Bildirim Formu (PDF)
GDPR – KVKK Karşılaştırması
AB Genel Veri Koruma Regülasyonu (GDPR –
General Data Protection Regulation) ile Kişisel Verilerin
Korunması Kanunu (KVKK) arasında bazı önemli farklar
bulunmaktadır. GDPR’a, KVKK ile karşılaştırıldığında daha
geniş bir yetki alanı sağlandığı için, Avrupa Birliği
sınırlarında yaşayan herhangi birinin kişisel verilerini
işleyen tüm şirketler için kendi konumları (lokasyonları)
fark etmeksizin GDPR uyumluluğu ile yükümlülerdir.
Ayrıca, KVKK’da “veri sorumlusu” kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kurumu’na karşı sorumlu tutulurken, GDPR’da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda “veri kontrolörü” kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır.
KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmakla yükümlü iken, GDPR da böyle bir kayıt bilgi sisteminden söz edilmemektedir.
Bir diğer önemli fark ise cezai sorumluluk yönündendir. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL olarak belirlenmiştir. Oysa, GDPR kapsamında cezai yaptırım yıllık küresel cironun yüzde 4’üne ya da 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır.