İZMİR KVKK AVUKATI: SIK SORULAN SORULAR VE CEVAPLARI

Bu rapor, Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında sıkça karşılaşılan sorulara, İzmir’de faaliyet gösteren bir KVKK avukatının perspektifinden hukuki ve pratik yanıtlar sunmaktadır. Raporun temel amacı, hem bireylerin kişisel veri hakları konusunda bilinçlenmesini sağlamak hem de veri sorumlusu konumundaki kurum ve kuruluşlara uyum süreçlerinde yol göstermektir. Kişisel verilerin korunması, dijitalleşen dünyada bireylerin mahremiyetini ve temel hak ve özgürlüklerini güvence altına alan kritik bir hukuk alanıdır. Bu alandaki yasal düzenlemeler, veri işleme faaliyetlerinin şeffaf, adil ve hukuka uygun bir şekilde yürütülmesini temin etmeyi hedefler.

KVKK Temel Kavramları ve İlkeleri

Bu bölümde, Kişisel Verilerin Korunması Kanunu’nun temelini oluşturan ana kavramlar ve kişisel veri işleme süreçlerinde uyulması gereken genel ilkeler detaylı bir şekilde incelenmektedir. Bu temel bilgilerin anlaşılması, KVKK uyum süreçlerinin doğru bir şekilde yönetilmesi ve olası hukuki risklerin minimize edilmesi açısından büyük önem taşımaktadır.

KVKK nedir ve temel ilkeleri nelerdir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere bireylerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemek amacıyla çıkarılmıştır. Kanun, kişisel verilerin hukuka uygun olarak işlenmesini güvence altına almayı hedefler. Bu yasal düzenleme, veri işleme faaliyetlerinin belirli kurallar çerçevesinde yürütülmesini sağlayarak, bireylerin verileri üzerindeki kontrolünü artırmayı amaçlamaktadır.

Kişisel verilerin işlenmesinde uyulması zorunlu olan genel ilkeler, Kanun’un temelini oluşturur ve tüm veri işleme faaliyetlerinin özünde bulunmalıdır. Bu ilkeler şunlardır: hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Bu ilkeler, veri işleme süreçlerinin sadece yasalara uygunluğunu değil, aynı zamanda etik ve şeffaf bir yaklaşımla yürütülmesini de gerektirir.

KVKK’nın temel ilkeleri, sadece yasal maddelerden ibaret değildir; bunlar Kanun’un kişisel veriyi bir “hak” olarak ele aldığının ve veri işleme faaliyetlerinin keyfi değil, şeffaf ve hesap verebilir bir zeminde yürütülmesi gerektiğinin temel felsefesini oluşturur. Bu felsefi yaklaşım, veri sorumlularının sadece “ne yapması gerektiğini” değil, “nasıl bir zihniyetle hareket etmesi gerektiğini” de belirler. Dolayısıyla, uyum süreçleri yalnızca bir “checklist” doldurmaktan ibaret olmamalı, aynı zamanda kurumsal bir kültür dönüşümünü ve veri işleme pratiklerinin etik değerlerle bütünleşmesini gerektirmelidir. Bu durum, bir hukuk bürosu olarak müvekkillerimizin bu kültürel değişimin hukuki altyapısını kurmada ve bu felsefeyi benimsemesinde kilit bir rol oynamayı gerektirmektedir.

Kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi tanımları nelerdir?

KVKK kapsamında yer alan temel tanımlar, Kanun’un uygulanabilirliğini ve hukuki sorumlulukların dağılımını netleştirmektedir. Bu tanımların doğru anlaşılması, uyum süreçlerinin etkin bir şekilde yürütülmesi için zorunludur.

• Kişisel Veri: Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder. Bu tanım oldukça geniştir ve bir kişinin doğrudan veya dolaylı olarak tanımlanmasını sağlayan her türlü veriyi kapsar. Örneğin, ad, soyad, T.C. kimlik numarası gibi doğrudan tanımlayıcı bilgilerin yanı sıra, bir IP adresi veya konum verisi gibi dolaylı olarak kişiyi belirlenebilir kılan bilgiler de kişisel veri kapsamındadır. Hatta bir tüzel kişiye ait veri, eğer gerçek bir kişiyi belirlemesi veya belirlenebilir kılması halinde KVKK kapsamında korunur. Bu durum, bir şirket e-posta adresinin, eğer bir gerçek kişiyi tanımlıyorsa, kişisel veri olarak kabul edilebileceği anlamına gelir.
• Özel Nitelikli Kişisel Veri: Özel nitelikli kişisel veriler, Kanun tarafından daha sıkı koruma altına alınan ve işlenmeleri için özel koşullar aranan hassas verilerdir. Bu kategoriye ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler dahildir. Bu veriler, kişilerin mahremiyetini sağlamak için daha sıkı koruma altındadır ve işlenmeleri için özel koşullar aranır.
• Veri Sorumlusu: Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu tanım, veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını veren, yani işleme üzerindeki nihai karar yetkisine sahip olan kişiyi işaret eder. Tüzel kişiler bizatihi veri sorumlusudur; bir şirket bünyesindeki birimler veri sorumlusu olamazken, şirketler topluluğundaki her şirket ayrı veri sorumlusu olabilir. Örneğin, bir muhasebe şirketi kendi personel verileri için veri sorumlusu iken, müşterilerinin verilerini işlerken veri işleyen konumunda olabilir. Veri sorumlusu olmak, Kanun’un hukuki yükümlülüklerini tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüde yer alacaktır.
• Veri İşleyen: Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bu kişiler genellikle veri sorumlusunun organizasyonu dışındadır ve veri işleme sözleşmesi ile yetkilendirilirler. Veri işleyenin faaliyetleri daha çok teknik kısımlarla sınırlıdır; kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi veri sorumlusuna aittir. Veri işleyen, veri sorumlusunun talimatları doğrultusunda hareket eder ve veri sorumlusuyla yaptığı sözleşme çerçevesinde yetkilendirilir.
• İlgili Kişi: İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanun kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu, veri koruma haklarının doğrudan bireylerin mahremiyetini hedef aldığı anlamına gelir.

KVKK’daki bu net tanımlar (kişisel veri, özel nitelikli kişisel veri, veri sorumlusu, veri işleyen, ilgili kişi) hukuki sorumlulukların ve uyulması gereken prosedürlerin neden farklılaştığını doğrudan açıklamaktadır. Veri sorumlusu, kişisel verilerin işlenmesinin “neden” ve “nasıl” yapılacağına karar verdiği için birincil sorumludur. Özel nitelikli verilerin tanımı ise bu verilerin işlenmesi için neden daha sıkı şartlar ve önlemler gerektiğini belirler. Bu tanımlar, Kanun’un uygulanmasındaki karmaşıklığı azaltır ve her aktörün rolünü netleştirir, böylece uyum süreçleri daha hedefe yönelik hale gelir. Bu tanımların doğru yapılması, bir şirketin veya bireyin KVKK uyum stratejisini belirlemesinde ilk ve en kritik adımı oluşturur. Yanlış bir tanımlama, hatalı bir uyum sürecine ve dolayısıyla ciddi idari para cezalarına yol açabilir. Bu nedenle, bir İzmir KVKK avukatı olarak, müvekkillerimizin bu tanımlar çerçevesindeki konumlarını doğru belirlemelerine yardımcı olmak, potansiyel riskleri minimize etmede temel bir hizmettir.

Kişisel veriler hangi şartlarda işlenebilir?

Kişisel verilerin işlenmesi, Kanun’da belirtilen belirli şartlara tabidir. Temel kural, ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenemeyeceğidir. Ancak, Kanun, belirli istisnai durumlarda açık rıza aranmaksızın veri işlemenin mümkün olduğunu belirtir. Bu istisnalar, veri işleme faaliyetlerinin hukuki bir zemine oturmasını sağlar ve veri sorumlularına belirli durumlar için rıza dışı işleme yetkisi tanır. Bu şartlar şunlardır:

• Kanunlarda açıkça öngörülmesi: Bir veri işleme faaliyetinin ilgili bir kanunda açıkça belirtilmiş olması durumunda, ilgili kişinin rızası aranmaz. Örneğin, yasal bir zorunluluk nedeniyle veri işleme faaliyetlerinin gerçekleştirilmesi bu kapsamdadır.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunma: Kişinin hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması ve kişinin rızasını açıklayamayacak durumda olması hallerinde veri işlenebilir. Bu durum genellikle acil sağlık durumlarında ortaya çıkar.
• Sözleşmenin kurulması veya ifası için zorunluluk: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise açık rıza aranmaz. Bu, bir hizmetin sunulması veya bir ürünün satılması için gerekli olan verilerin işlenmesini kapsar.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi: Veri sorumlusunun yasal bir yükümlülüğü yerine getirebilmesi için veri işlemenin zorunlu olması durumunda rıza aranmaz. Vergi mevzuatı veya iş hukuku kapsamındaki yükümlülükler bu duruma örnek teşkil eder.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması: Kişisel verilerin ilgili kişinin kendisi tarafından kamuya açık hale getirilmiş olması durumunda, bu veriler rıza aranmaksızın işlenebilir.
• Bir hakkın tesisi, kullanılması veya korunması için zorunluluk: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, ilgili kişinin rızası aranmaz. Bu, dava açma, savunma hakkını kullanma veya yasal süreçlerde delil sunma gibi durumları içerir.
• Meşru menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda veri işlenebilir. Bu, şirketlerin meşru operasyonel ihtiyaçları, güvenlik kamera kayıtları veya iç denetim faaliyetleri gibi durumları kapsayabilir. Ancak bu istisna, bireyin temel hak ve özgürlüklerinin korunması ilkesiyle dengelenmelidir.

Özel nitelikli kişisel veriler hangi şartlarda işlenebilir?

Özel nitelikli kişisel veriler, doğası gereği daha hassas kabul edildiğinden, işlenmeleri için genel kişisel verilere göre daha sıkı şartlar öngörülmüştür. Kural olarak, özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, Kişisel Verileri Koruma Kurulu tarafından belirlenecek yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda açık rıza aranmaksızın işlenebilir:

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler gibi sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda açıkça öngörülen hallerde işlenebilir. Bu, ilgili kanunda açık bir hüküm bulunmadıkça bu tür verilerin işlenmesinin mümkün olmadığı anlamına gelir. Bu hüküm, Kanun koyucunun bu tür verilere atfettiği yüksek koruma düzeyini gösterir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler: Bu kategoriye giren veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Bu istisna, özellikle sağlık sektöründeki veri işleme faaliyetlerinin hukuki zeminini oluşturur ve bireylerin sağlık verilerinin hassasiyeti göz önünde bulundurularak belirli profesyonel ve kurumsal güvencelerle işlenmesine izin verir.

Bu iki kategori arasındaki ayrım, Kanun’un özel nitelikli kişisel verileri farklı hassasiyet seviyelerine göre değerlendirdiğini ve her bir kategori için farklı işleme şartları belirlediğini ortaya koyar. Veri sorumlularının, özellikle özel nitelikli kişisel veri işleme faaliyetlerinde, Kanun’un bu ayrımlarına ve Kurul tarafından belirlenen ek önlemlere titizlikle uyması, hukuki riskleri önlemek açısından hayati öneme sahiptir.

Sonuç

Kişisel Verilerin Korunması Kanunu, bireylerin mahremiyet haklarını güvence altına alırken, veri işleme faaliyetlerinin şeffaf ve hesap verebilir bir zeminde yürütülmesini sağlamaktadır. Kanun’un temel ilkeleri ve kavramları, veri sorumlularının ve veri işleyenlerin yükümlülüklerini net bir şekilde ortaya koyarak, uyum süreçlerinin doğru bir şekilde yönetilmesi için bir yol haritası sunmaktadır. Kişisel verilerin ve özellikle özel nitelikli kişisel verilerin işlenmesi için belirlenen sıkı şartlar, bu alandaki hassasiyetin bir göstergesidir ve veri güvenliğinin sağlanmasının ne kadar kritik olduğunu vurgular.

İzmir’deki ticari yaşamın dinamizmi ve çeşitli sektörlerdeki yoğun veri işleme faaliyetleri göz önüne alındığında, KVKK uyumu hem bireyler hem de kurumlar için vazgeçilmez bir gereklilik haline gelmiştir. Aydınlatma yükümlülüğü, açık rıza süreçleri, veri güvenliği tedbirleri, VERBİS kaydı ve veri ihlali bildirimleri gibi konular, veri sorumlularının sürekli dikkat etmesi gereken alanlardır. Bu yükümlülüklere uyulmaması, ciddi idari para cezaları ve hatta cezai yaptırımlarla sonuçlanabilir.

KVKK süreçlerinde uzman bir avukat desteği almak, hukuki sorunların önlenmesi, uyum süreçlerinin doğru yürütülmesi ve olası cezai yaptırımların önüne geçilmesi açısından büyük önem taşımaktadır. Bir İzmir KVKK avukatı, müvekkillerine özel kişisel veri envanteri oluşturulması, hukuki analizler yapılması, aydınlatma ve açık rıza metinlerinin hazırlanması, saklama ve imha politikalarının oluşturulması, veri güvenliği tedbirlerinin alınması ve VERBİS kaydı gibi konularda kapsamlı hukuki danışmanlık hizmetleri sunar. Ayrıca, veri ihlali durumlarında hukuki süreçlerin yönetilmesi ve ilgili kişi başvurularının cevaplanması gibi konularda da rehberlik sağlar. Bu profesyonel destek, şirketlerin ve bireylerin KVKK mevzuatına tam uyum sağlamasına ve kişisel verilerin korunması hukukundan kaynaklanan haklarını etkin bir şekilde kullanmasına olanak tanır.

Sık Sorulan Sorular (SSS)

KVKK nedir? Kişisel Verilerin Korunması Kanunu’nun açılımı ve amacı nedir?

KVKK, Kişisel Verilerin Korunması Kanunu’nun kısaltmasıdır. 6698 sayılı bu kanun, bireylerin kişisel verilerinin işlenmesini düzenler ve bu verilerin gizliliğini güvence altına alır.

KVKK’nın amacı; kişisel verilerin işlenmesinde bireylerin özel hayatlarının gizliliğini korumak, veri güvenliğini sağlamak ve veri işleyen kişi ya da kurumlara yükümlülükler getirmektir. Kanun, aynı zamanda kişisel veri sahiplerine; verilerinin neden, ne amaçla, kim tarafından işlendiği konusunda bilgi alma ve gerektiğinde silinmesini veya düzeltilmesini isteme gibi haklar tanır.

Kişisel veri nedir? Hangi bilgiler kişisel veri kapsamına girer?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir. Ad, soyad, T.C. kimlik no, telefon numarası, e-posta, adres, IP, ses kaydı, fotoğraf, sağlık bilgisi gibi kişiyi doğrudan veya dolaylı tanımlayan tüm bilgiler kişisel veridir.

Özel nitelikli kişisel veri nedir? Bu tür verilere örnekler nelerdir ve işlenmesi için özel şartlar var mıdır?

Özel nitelikli kişisel veri, kişilerin ayrımcılığa uğramasına neden olabilecek, hassas ve korunması gereken verilerdir.

Örnekler: Irk, etnik köken, siyasi düşünce, din, mezhep, sağlık bilgisi, cinsel hayat, ceza mahkûmiyeti, biyometrik ve genetik veriler.

İşlenme şartı: Kişinin açık rızası gerekir. Kanunda belirtilen istisnai hallerde rıza olmadan da işlenebilir. Ayrıca özel güvenlik önlemleri alınması zorunludur.

Veri sorumlusu kimdir? KVKK kapsamında veri sorumlusunun tanımı ve yükümlülükleri nelerdir?

Veri sorumlusu, kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri kayıt sisteminden sorumlu olan gerçek veya tüzel kişidir.

KVKK kapsamındaki yükümlülükleri:

• Aydınlatma yükümlülüğü: Veri sahibine verilerin hangi amaçla işlendiğini, kimlerle paylaşıldığını ve haklarını bildirmek zorundadır.
• Açık rıza alma: Gerekli hallerde veri sahibinden açık rıza almakla yükümlüdür.
• Veri güvenliğini sağlamak: Kişisel verilerin gizliliğini ve bütünlüğünü korumak için teknik ve idari tedbirleri almak zorundadır.
• Veri sahibi başvurularını yanıtlama: Kişisel veri sahiplerinden gelen başvurulara 30 gün içinde cevap vermek zorundadır.
• Verbis kaydı: Kanunda belirtilen ölçütlere göre VERBİS sistemine kayıt yaptırmakla yükümlüdür.
• İhlal bildirimi: Veri güvenliği ihlali durumunda, Kurul ve ilgili kişiye derhal bildirim yapmak zorundadır.

Veri işleyen kimdir? Veri işleyenin tanımı ve veri sorumlusu ile ilişkisi nasıldır?

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Tanımı:
Kendi adına değil, veri sorumlusunun talimatları doğrultusunda veri işleme faaliyetini gerçekleştiren kişidir.

Veri sorumlusu ile ilişkisi:
Veri işleyen, veri sorumlusunun belirlediği sınırlar içinde hareket eder. Kişisel verilerin işlenmesinden nihai sorumluluk veri sorumlusuna aittir. Veri işleyen, veri güvenliğine ilişkin yükümlülükleri yerine getirmekle yükümlüdür ancak bağımsız karar alma yetkisi yoktur.

İlgili kişi kimdir? KVKK’da “ilgili kişi” ifadesi ne anlama gelir?

İlgili kişi, KVKK kapsamında kişisel verisi işlenen gerçek kişiyi ifade eder.

KVKK’da anlamı:
İlgili kişi, kendisine ait kişisel verilerin işlenip işlenmediğini öğrenme, verilerine erişme, düzeltme, silme, işlenme amacını ve aktarım bilgilerini öğrenme gibi haklara sahip olan kişidir. KVKK’daki tüm koruma ve bilgilendirme hakları, bu kişi lehine düzenlenmiştir.

Veri işleme nedir? Kişisel verilerin işlenmesi kavramı neleri kapsar?

Veri işleme, kişisel veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kapsadığı faaliyetler:
Toplama, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, sınıflandırma veya verilerin kullanılmasını engelleme gibi her türlü işlem veri işleme kapsamına girer. Bu işlemler otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla manuel olarak yapılabilir.

KVKK’nın amacı nedir? Kanunun temel hedefleri nelerdir?

KVKK’nın amacı, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumaktır.

Kanunun temel hedefleri:

• Kişisel verilerin gizliliğini güvence altına almak
• Verilerin hukuka uygun şekilde işlenmesini sağlamak
• İlgili kişilere verileri üzerinde kontrol hakkı tanımak
• Veri sorumlularına yükümlülükler getirmek
• Veri güvenliği için idari ve teknik önlemleri zorunlu kılmak

KVKK, bireyleri bilinçlendirerek hem veri ihlallerini önlemeyi hem de şeffaf ve denetlenebilir veri işleme süreçleri oluşturmayı amaçlar.

KVKK’dan muafiyet durumları var mıdır? Kimler KVKK’ya tabi değildir veya istisna halleri nelerdir?

Evet, KVKK kapsamında bazı muafiyet ve istisna halleri vardır.

KVKK’ya tabi olmayan veya istisna kapsamına giren durumlar:

• Kişisel verilerin tamamen kişisel amaçlarla işlenmesi (örneğin sadece aile bireyleri arasında kullanım)
• Resmi istatistik veya anonim hale getirilmek suretiyle bilimsel, tarihî, sanatsal veya edebî amaçlarla veri işlenmesi
• Milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik ile ilgili işlenen veriler
• Yargı makamlarının yargı yetkisi kapsamında işlediği veriler
• Ceza soruşturmalarıyla ilgili işlemler

Bu istisnalar, yalnızca amacına uygun şekilde ve kanunda belirtilen şartlarla sınırlı olarak uygulanabilir. Aksi hâlde veri işleme faaliyetleri KVKK’ya tabi olur.

KVKK Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile benzerlikleri ve farklılıkları nelerdir?

KVKK ile GDPR arasındaki benzerlikler:

• Amaç benzerliği: Her iki düzenleme de kişisel verilerin korunmasını ve veri sahiplerinin haklarını güvence altına alır.
• Açık rıza prensibi: KVKK ve GDPR, kişisel verilerin işlenmesinde açık rızayı temel alır.
• Veri sorumlusu ve veri işleyen ayrımı: Her iki sistemde de veri sorumlusu ve veri işleyen rolleri tanımlanmıştır.
• Veri sahibinin hakları: Erişim, düzeltme, silme, işleme itiraz etme gibi haklar her iki düzenlemede de yer alır.
• Veri güvenliği: Teknik ve idari önlemler alınması zorunludur.

KVKK ile GDPR arasındaki farklar:

• Yaptırımlar: GDPR’da idari para cezaları çok daha yüksektir (20 milyon euroya kadar). KVKK’da cezalar daha düşüktür.
• Veri işleme şartları: GDPR, meşru menfaat gibi daha geniş veri işleme gerekçeleri sunarken, KVKK’da bu alan daha sınırlıdır.
• Veri koruma görevlisi (DPO): GDPR kapsamında zorunludur; KVKK’da böyle bir zorunluluk yoktur.
• Veri aktarımı: GDPR, veri aktarımında üçüncü ülkeler için özel güvenlik ve denetim mekanizmaları isterken, KVKK bu konuda daha genel düzenlemelere sahiptir.
• Veri sahibi hak kullanım süresi: GDPR’da 1 ay iken, KVKK’da bu süre 30 gündür ancak işlem prosedürleri farklıdır.

KVKK, GDPR’dan esinlenerek hazırlanmış olsa da, uygulama düzeyi ve detayları açısından GDPR daha kapsamlı ve katıdır.

Kişisel veriler hangi şartlarda işlenebilir? İşleme şartları nelerdir?

Kişisel veriler, KVKK’ya göre aşağıdaki şartlardan en az birinin varlığı halinde işlenebilir:

1. Açık rıza: Veri sahibinin özgür iradeyle, bilgilendirilerek verdiği onay.
2. Kanunda açıkça öngörülmesi: Veri işlemenin açıkça kanunda belirtilmiş olması.
3. Fiili imkânsızlık durumu: Hayati bir durum nedeniyle veri sahibinin rızasının alınamaması.
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması.
5. Hukuki yükümlülüğün yerine getirilmesi.
6. Veri sahibinin alenileştirmesi: Kişinin verisini kendisinin kamuya açıklamış olması.
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması.
8. Veri sorumlusunun meşru menfaati: Temel haklara zarar vermemek şartıyla, veri sorumlusunun meşru menfaati bulunması.

Bu şartlardan biri yoksa, kişisel veriler işlenemez. Açık rıza dışındaki şartlar varsa, rıza almaya gerek kalmaz.

Açık rıza nedir? Açık rızanın geçerlilik şartları nelerdir (belirli bir konuya ilişkin, bilgilendirmeye dayanan, özgür iradeyle verilmiş)?

Açık rıza, ilgili kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verdiği onaydır.

Geçerlilik şartları:

1. Belirli bir konuya ilişkin olmalı: Rıza, genel değil, işlenecek veri ve amaç için özel olmalıdır.
2. Bilgilendirmeye dayanmalı: Kişi, verilerinin kim tarafından, hangi amaçla, ne kadar süreyle işleneceğini açıkça bilmelidir.
3. Özgür iradeyle verilmiş olmalı: Kişi, baskı altında kalmadan, açık ve net bir şekilde onay vermelidir.
4. Açık ve anlaşılır olmalı: Kapalı, örtülü ya da varsayılan onaylar geçerli sayılmaz.
5. İstenildiğinde geri alınabilir: Kişi, verdiği açık rızayı dilediği zaman geri çekebilir.

Açık rıza, kişisel verilerin hukuka uygun işlenmesi için temel dayanaklardan biridir ve mutlaka yukarıdaki şartları taşımalıdır.

Açık rıza olmadan kişisel veri işlenebilir mi? Hangi durumlarda açık rıza aranmaz?

Evet, bazı durumlarda açık rıza olmadan da kişisel veri işlenebilir.

Açık rıza gerekmeyen durumlar şunlardır:

1. Kanunlarda açıkça öngörülmesi: İşlenecek verilerle ilgili açık bir yasal düzenleme varsa.
2. Fiili imkânsızlık hâli: Kişinin açık rıza veremeyecek durumda olması (örneğin baygınlık, bilinç kaybı) ve verilerin hayati bir durum için işlenmesi.
3. Bir sözleşmenin kurulması veya ifası için zorunlu olması: Taraf olunan bir sözleşmenin gereğinin yerine getirilmesi.
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi: Örneğin vergi beyanı için veri işleme.
5. İlgili kişinin verisini alenileştirmesi: Kişinin verisini kamuya kendisinin açıklamış olması.
6. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: Örneğin dava açarken delil olarak veri sunulması.
7. Veri sorumlusunun meşru menfaati: Kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla, veri sorumlusunun meşru menfaati bulunması.

Bu durumlarda, kişisel veriler açık rıza olmadan hukuka uygun şekilde işlenebilir. Ancak veri sorumlusu, her zaman gerekçesini ve hukuki dayanağını ispatlamakla yükümlüdür.

Veri sorumlusunun meşru menfaati nedir? Bu kapsamda veri işleme ne anlama gelir?

Veri sorumlusunun meşru menfaati, veri sorumlusunun kişisel verileri işlemesinde haklı, yasal ve makul bir çıkarının bulunması durumudur.

Bu kapsamda veri işleme ne anlama gelir?
Kişisel veriler, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla, veri sorumlusunun meşru bir amacı doğrultusunda açık rıza olmadan işlenebilir.

Örnekler:

• Müşteri memnuniyeti analizleri
• Dolandırıcılık tespit sistemleri
• İşyerinde kamera kaydı (güvenlik amacıyla)
• Şirket içi denetim ve raporlama faaliyetleri

Bu durumda veri sorumlusu, menfaat ile ilgili kişinin hakları arasında denge kurmak ve gerekli teknik/idari tedbirleri almak zorundadır. Aksi halde işleme hukuka aykırı sayılır.

Kanunlarda açıkça öngörülmesi şartı ne demektir?

Kanunlarda açıkça öngörülmesi şartı, kişisel verilerin işlenmesinin doğrudan bir kanun hükmüne dayanması durumudur.

Yani, eğer bir kanun kişisel verilerin hangi amaçla ve kimler tarafından işleneceğini açıkça belirtiyorsa, açık rıza alınmasına gerek kalmadan veri işlenebilir.

Örnekler:

• Vergi Usul Kanunu gereği mükellef bilgileri kaydedilmesi
• Sosyal Güvenlik Kurumu’nun sağlık verilerini işlemesi
• İş Kanunu kapsamında bordro ve özlük dosyası tutulması

Bu durumda, veri işleme faaliyetinin kanunda açıkça yer alması yeterlidir. Ancak bu işlem yine de amaçla sınırlı, ölçülü ve güvenli olmalıdır.

Aydınlatma yükümlülüğü nedir? Veri sorumlusu ne zaman ve nasıl yerine getirmelidir?

Aydınlatma yükümlülüğü, veri sorumlusunun kişisel veri işleme sürecinde ilgili kişiyi bilgilendirme zorunluluğudur.

Ne zaman yerine getirilmelidir?
Veri işleme faaliyetine başlamadan önce veya en geç işleme anında yerine getirilmelidir.

Nasıl yerine getirilmelidir?
Veri sorumlusu, ilgili kişiye aşağıdaki bilgileri açık ve sade bir dille sunmalıdır:

• Veri sorumlusunun kimliği
• Kişisel verilerin hangi amaçla işleneceği
• Verilerin kimlere ve hangi amaçla aktarılabileceği
• Veri toplama yöntemi ve hukuki sebebi
• İlgili kişinin KVKK kapsamındaki hakları

Aydınlatma, yazılı, sözlü, dijital ortamda veya sesli kayıt yoluyla yapılabilir. Aydınlatma yapılmadan veri işlenmesi, hukuka aykırı sayılır.

Aydınlatma metninde hangi bilgiler bulunmalıdır?

Aydınlatma metninde bulunması gereken bilgiler şunlardır:

1. Veri sorumlusunun kimliği
   (Ad, unvan, adres, iletişim bilgileri)
2. Kişisel verilerin işlenme amaçları
   (Veriler hangi amaçla ve ne için kullanılacak)
3. İşlenen kişisel veri kategorileri
   (Kimlik, iletişim, sağlık, finansal vb. hangi tür veriler işleniyor)
4. Kişisel verilerin kimlere ve hangi amaçla aktarılacağı
   (Yurt içi/yurt dışı alıcı grupları)
5. Kişisel verilerin toplanma yöntemi ve hukuki sebebi
   (Otomatik, sözlü, yazılı, elektronik yollarla; hangi yasal dayanakla)
6. İlgili kişinin KVKK kapsamındaki hakları
   (Erişim, düzeltme, silme, itiraz etme vb. haklar)

Aydınlatma metni, açık, sade ve anlaşılır bir dil ile hazırlanmalı; ilgili kişi tarafından kolayca erişilebilir olmalıdır.

Aydınlatma yükümlülüğü yerine getirilirken açık rıza alınması gerekir mi?

Hayır, aydınlatma yükümlülüğü yerine getirilirken açık rıza alınması gerekmez.

Aydınlatma yükümlülüğü ile açık rıza birbirinden farklı kavramlardır:

• Aydınlatma, ilgili kişiye veri işleme hakkında bilgi verilmesidir.
• Açık rıza, verilerin işlenmesine yönelik alınan özgür iradeye dayalı onaydır.

Veri işleme, açık rıza dışında başka bir hukuki sebebe dayanıyorsa (örneğin kanuni zorunluluk, sözleşme), yalnızca aydınlatma yapılması yeterlidir. Ancak veri işleme yalnızca açık rıza şartına dayanıyorsa, aydınlatma yapıldıktan sonra açık rıza ayrıca alınmalıdır.

Aydınlatma yükümlülüğü tek taraflı bir beyan mıdır?

Evet, aydınlatma yükümlülüğü tek taraflı bir beyandır.

Veri sorumlusu, kişisel verileri işlemeden önce ilgili kişiyi bilgilendirmekle yükümlüdür. Bu bilgilendirme süreci, herhangi bir onay veya imza alınmasını gerektirmez.

Yani, aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişinin bir cevap vermesi veya onaylaması gerekmez. Bilginin açık, anlaşılır ve erişilebilir şekilde sunulması yeterlidir.

Ancak veri işleme açık rızaya dayanıyorsa, ayrıca rıza alınması gerekir. Aydınlatma ve açık rıza süreçleri bu nedenle ayrı değerlendirilmelidir.

Aydınlatma yükümlülüğünün yerine getirildiğini ispat yükümlülüğü kime aittir?

Aydınlatma yükümlülüğünün yerine getirildiğini ispat etme yükümlülüğü veri sorumlusuna aittir.

KVKK’ya göre, veri sorumlusu, ilgili kişiyi usulüne uygun şekilde aydınlattığını gerekli durumlarda belgeleyebilmelidir. Bu nedenle;

• Yazılı metin,
• Elektronik kayıt,
• Sesli onay,
• Dijital log kayıtları gibi

her türlü delil niteliğindeki veri, ispat için kullanılabilir.
Aydınlatmanın ispat edilememesi, veri işleme faaliyetinin hukuka aykırı sayılmasına yol açabilir.

KVKK kapsamında ilgili kişilerin hakları nelerdir?

KVKK kapsamında ilgili kişilerin sahip olduğu haklar şunlardır:

1. Kişisel verilerinin işlenip işlenmediğini öğrenme
2. İşlenmişse buna ilişkin bilgi talep etme
3. Verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme
5. Verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
6. KVKK madde 7 uyarınca silinmesini veya yok edilmesini isteme
7. Düzeltme, silme veya yok edilme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. İşlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
9. Verilerin hukuka aykırı işlenmesi nedeniyle zarara uğranması hâlinde zararın giderilmesini talep etme

Bu haklar, ilgili kişinin veri sorumlusuna başvuruda bulunması yoluyla kullanılabilir ve veri sorumlusu 30 gün içinde yanıt vermekle yükümlüdür.

Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı ne anlama gelir?

Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı, ilgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin işlenip işlenmediğini sorma ve bu konuda bilgi alma hakkıdır.

Bu hak sayesinde kişi:

• Hakkında herhangi bir veri toplanıp toplanmadığını,
• Hangi verilerin işlendiğini,
• Verilerin ne amaçla ve nasıl kullanıldığını öğrenebilir.

Veri sorumlusu, yapılan başvuruya 30 gün içinde ücretsiz olarak cevap vermekle yükümlüdür. Bu hak, ilgili kişinin veri üzerinde denetim kurabilmesini sağlar ve KVKK’nın temel güvencelerinden biridir.

Kişisel verileri işlenmişse bilgi talep etme hakkı nedir?

Kişisel verileri işlenmişse bilgi talep etme hakkı, ilgili kişinin, kendisine ait kişisel verilerin işlenip işlenmediğini öğrenmesinden sonra, bu işleme ilişkin detayları isteme hakkıdır.

Bu kapsamda kişi veri sorumlusundan:

• Hangi kişisel verilerinin işlendiğini,
• Ne amaçla ve hangi hukuki gerekçeyle işlendiğini,
• Ne kadar süreyle saklandığını,
• Hangi yöntemlerle toplandığını,
• Verilerin kimlere aktarıldığını veya aktarılacağını
  açık ve anlaşılır şekilde talep edebilir.

Veri sorumlusu, bu talebi 30 gün içinde yanıtlamak zorundadır. Bu hak, şeffaflık ilkesinin gereğidir ve kişisel veri üzerindeki denetimi güçlendirir.

Kişisel verilerin düzeltilmesini isteme hakkı nasıl kullanılır?

Kişisel verilerin düzeltilmesini isteme hakkı, ilgili kişinin KVKK kapsamında, eksik veya yanlış işlenen kişisel verilerinin veri sorumlusundan düzeltilmesini talep etmesidir.

Nasıl kullanılır?

1. Yazılı veya elektronik başvuru yapılır:
   İlgili kişi, veri sorumlusuna yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirlediği yöntemlerle başvuru yapabilir (e-posta, e-Devlet, KEP, başvuru formu vb.).
2. Yanlış veriler açıkça belirtilmelidir:
   Hangi verilerin eksik veya hatalı olduğu net şekilde ifade edilir ve doğru hali sunulur (örneğin yanlış adres, telefon, unvan vb.).
3. Gerekli belgeler eklenir:
   Düzeltmeye esas olacak belge ya da bilgiler başvuruya eklenmelidir (örneğin kimlik fotokopisi, ikametgâh belgesi).
4. Veri sorumlusu 30 gün içinde cevap vermelidir:
   Başvuru incelenir ve talep uygun bulunursa, veri sorumlusu ilgili düzeltmeyi yapar ve verilerin aktarıldığı üçüncü kişilere de bu düzeltmeyi bildirmekle yükümlüdür.

Bu hak sayesinde kişi, veri doğruluğu ve güncelliği ilkesini koruyarak, veri işleme faaliyetlerinin güvenilirliğini sağlamış olur.

Kişisel verilerin silinmesini veya yok edilmesini isteme hakkı nedir?

Kişisel verilerin silinmesini veya yok edilmesini isteme hakkı, ilgili kişinin, kişisel verilerinin işlenme sebeplerinin ortadan kalkması hâlinde, bu verilerin veri sorumlusundan kalıcı olarak silinmesini veya yok edilmesini talep etme hakkıdır.

Ne zaman kullanılabilir?

• Veri işleme amacı sona ermişse
• Veri işleme artık gerekli değilse
• Açık rıza geri çekilmişse ve başka bir hukuki dayanak yoksa
• Veriler hukuka aykırı şekilde işlenmişse
• Kanunen öngörülen süreler dolmuşsa

Nasıl işler?

1. İlgili kişi, veri sorumlusuna yazılı veya elektronik ortamda başvuru yapar.
2. Veri sorumlusu talebi değerlendirir ve haklı bulunursa verileri silme, yok etme veya anonim hale getirme işlemlerinden birini uygular.
3. İşlem tamamlandığında, verilerin aktarıldığı üçüncü kişilere de bu durum bildirilir.

Bu hak, veri minimizasyonu ve güncellik ilkesi çerçevesinde kişisel verilerin yaşam döngüsünü sınırlayan temel güvencelerden biridir.

Kişisel verilerin anonimleştirilmesi ne demektir?

Kişisel verilerin anonimleştirilmesi, verilerin hiçbir şekilde kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Ne anlama gelir?

Anonimleştirilen veri:

• Geri döndürülemez şekilde kişiden ayrıştırılır,
• Diğer verilerle eşleştirilse bile ilgili kişiyi tanımlamak mümkün olmaz,
• Bu aşamadan sonra kişisel veri olmaktan çıkar, KVKK kapsamı dışına çıkar.

Örnek:

Ad, T.C. kimlik no ve telefon gibi veriler silinip yalnızca yaş, şehir, eğitim durumu gibi genel bilgiler gruplandırıldığında; bu bilgiler artık bireyle ilişkilendirilemezse anonimleşmiş sayılır.

Anonimleştirme, özellikle istatistik, araştırma ve raporlama faaliyetlerinde tercih edilir.

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı nedir?

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı, KVKK kapsamında ilgili kişiye tanınmış bir denetim hakkıdır.

Ne anlama gelir?

Eğer kişisel veriler, tamamen otomatik sistemler (yapay zeka, algoritmalar, otomatik değerlendirme araçları) kullanılarak analiz ediliyor ve bu analiz sonucunda:

• Kişinin aleyhine bir karar alınıyor (örneğin kredi reddi, işe alınmama, hizmet dışı bırakılma),
• Bu karar insan müdahalesi olmadan alınıyorsa,

İlgili kişi bu karara itiraz edebilir ve veri sorumlusundan değerlendirmenin insan eliyle yeniden gözden geçirilmesini talep edebilir.

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkı nedir?

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme hakkı, ilgili kişinin KVKK’ya aykırı veri işleme sonucu uğradığı maddi veya manevi zararın tazminini isteme hakkıdır.

Ne anlama gelir?

Eğer:

• Kişisel veriler hukuka aykırı şekilde işlendi,
• İlgili kişi bu işlem sonucu maddi kayba veya manevi zarara uğradıysa,
• Bu durum veri sorumlusunun ihmalinden ya da kusurundan kaynaklanıyorsa,

İlgili kişi mahkemeye başvurarak tazminat talep edebilir.

Uygulama:

• Başvuru doğrudan veri sorumlusuna yapılabilir.
• Sonuç alınamazsa Kişisel Verileri Koruma Kurulu’na şikâyet, ardından da yargı yoluna başvuru mümkündür.
• Dava açılması hâlinde, zararın kapsamı yargı mercileri tarafından belirlenir.

Bu hak, veri sorumlularının sorumluluğunu artırır ve kişisel veri güvenliğini ihlal eden uygulamalara karşı etkin bir koruma sağlar.

İlgili kişi başvurusu nasıl yapılır? Başvuru yöntemleri ve süreleri nelerdir?

İlgili kişi başvurusu, kişisel verisi işlenen bireyin veri sorumlusuna başvurarak KVKK kapsamındaki haklarını kullanmasıdır.

Başvuru nasıl yapılır?

İlgili kişi, veri sorumlusuna aşağıdaki yöntemlerden biriyle başvuru yapabilir:

1. Yazılı olarak:
   Islak imzalı dilekçe ile doğrudan elden, iadeli taahhütlü posta veya noter kanalıyla.
2. Kayıtlı Elektronik Posta (KEP) adresiyle:
   Güvenli elektronik imza veya mobil imza ile gönderilmelidir.
3. Veri sorumlusunun sisteminde kayıtlı e-posta adresi üzerinden:
   Kişiye ait, daha önce bildirilen ve sistemde kayıtlı olan e-posta adresi kullanılabilir.
4. KVKK Kurulu tarafından belirlenen diğer yöntemlerle:
   (Örneğin, e-Devlet kapısı veya veri sorumlusunun sunduğu başvuru formu)

Başvuru süresi ve işleyişi:

• Veri sorumlusu, başvuruyu en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorundadır.
• Cevap, yazılı ya da elektronik ortamda verilir.
• Cevabın karmaşık veya maliyetli olması durumunda, 10 sayfaya kadar ücretsiz, sonraki her sayfa için 1 TL ücret talep edilebilir.
• Başvuru reddedilirse ya da cevap yetersiz bulunursa, ilgili kişi Kurul’a şikâyette bulunabilir (30 gün içinde veri sorumlusundan cevap alınamaması veya 60 gün geçmesine rağmen sonuç alınamaması hâlinde).

Başvurunun reddedilmesi halinde nereye şikayette bulunulabilir?

İlgili kişi başvurusu reddedilirse, veri sorumlusunun verdiği cevaptan tatmin olunmazsa ya da hiç cevap verilmezse, kişi Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu) şikâyette bulunabilir.

Şikâyet süreci nasıl işler?

• Veri sorumlusundan alınan cevabın öğrenildiği tarihten itibaren 30 gün içinde,
• Her hâlükârda başvuru tarihinden itibaren en geç 60 gün içinde Kurul’a şikâyet hakkı vardır.

Kurul’un şikâyet merci olmadan doğrudan devreye girebilmesi mümkün değildir; önce veri sorumlusuna başvuru şarttır.

Şikâyet nereye ve nasıl yapılır?

• Kişisel Verileri Koruma Kurumu’na (Ankara) yazılı dilekçeyle,
• e-Devlet üzerinden veya
• Kurul’un internet sitesindeki online şikâyet formuyla başvuru yapılabilir.

Kurul, şikâyeti inceler ve gerekli görürse idari yaptırımlar (idari para cezası vb.) uygulayabilir. Ayrıca ilgilinin yargı yoluna başvurma hakkı da saklıdır.

Veri güvenliği nedir? Veri sorumlusunun veri güvenliğini sağlamak için alması gereken teknik ve idari tedbirler nelerdir?

Veri güvenliği, kişisel verilerin yetkisiz erişim, kayıp, değişiklik veya ifşaya karşı korunmasıdır.

Veri sorumlusunun alması gereken teknik tedbirler:

• Erişim kontrolü
• Şifreleme
• Güvenlik duvarı
• Antivirüs yazılımı
• Yedekleme
• Log takibi

İdari tedbirler:

• Çalışan eğitimi
• Gizlilik taahhütnamesi
• Veri işleme sözleşmeleri
• Veri envanteri ve politika oluşturma
• Risk analizi yapma

Veri ihlali nedir? Bir veri ihlali durumunda neler yapılmalıdır?

Veri ihlali, kişisel verilerin yetkisiz erişim, ifşa, silinme, değiştirilme veya kaybolma gibi durumlara maruz kalmasıdır.

Veri ihlali durumunda yapılması gerekenler:

1. Derhal önlem alınmalı ve ihlal durdurulmalıdır.
2. İhlal tespit edildiği andan itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirilmelidir.
3. İlgili kişi (veri sahibi) ihlalden etkilenmişse, durum kendisine en kısa sürede bildirilmelidir.
4. İhlalin kapsamı, nedeni ve etkisi analiz edilmeli ve tekrarını önleyici teknik/idari tedbirler alınmalıdır.

Veri ihlali bildirimi nasıl yapılır ve kimlere yapılır?

Veri ihlali bildirimi, veri sorumlusu tarafından yapılır ve şu şekilde gerçekleştirilir:

Kimlere yapılır?

1. Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu)
2. İlgili kişilere (veri sahiplerine)

Nasıl yapılır?

• Kurula bildirim: İhlal tespitinden itibaren 72 saat içinde Kurul’un internet sitesindeki “Veri İhlali Bildirim Formu” doldurularak çevrim içi veya yazılı olarak yapılır.
• İlgili kişiye bildirim: E-posta, SMS, telefon veya ilan yoluyla en kısa sürede yapılmalıdır.

Bildirimde şu bilgiler yer almalıdır:

• İhlalin ne zaman ve nasıl gerçekleştiği
• Etkilenen kişi sayısı ve veri türleri
• Alınan önlemler
• İhlalin olası etkileri

Veri sorumlusu, bildirim yükümlülüğünü yerine getirmezse idari para cezası ile karşılaşabilir.

Log kayıtları tutmak neden önemlidir ve KVKK kapsamında nasıl yönetilmelidir?

Log kayıtları, sistemlerde gerçekleşen işlemlerin kaydını tutan dijital izlerdir.

Neden önemlidir?

• Veri güvenliğini sağlamak
• Yetkisiz erişim veya ihlalleri tespit etmek
• Denetim ve inceleme süreçlerinde kanıt sunmak
• İlgili kişi başvurularını değerlendirmede şeffaflık sağlamak

KVKK kapsamında nasıl yönetilmelidir?

• Gizlilik ve bütünlük korunarak saklanmalı
• Erişim yetkileri sınırlandırılmalı
• Belirli sürelerle saklanmalı ve gerektiğinde imha edilmeli
• Log kayıtlarında kişisel veri varsa, gerekli teknik ve idari tedbirler alınmalı

Log kayıtları, veri sorumlusunun hesap verebilirlik ve güvenlik yükümlülüğünü yerine getirmesi açısından kritik öneme sahiptir.

Kişisel verilerin saklama süreleri nasıl belirlenir ve ne kadar süreyle saklanmalıdır?

Kişisel verilerin saklama süresi, verinin işlenme amacı ve ilgili mevzuat dikkate alınarak belirlenir.

Nasıl belirlenir?

1. İlgili mevzuat varsa, o mevzuatta belirtilen süreye uyulur.
2. Mevzuatta süre belirtilmemişse, veri işleme amacının gerektirdiği süre kadar saklanır.
3. Saklama süresi sona erdiğinde, veri silinir, yok edilir veya anonimleştirilir.

Ne kadar süreyle saklanmalıdır?

Süre; işin niteliğine, sektör düzenlemelerine ve iç politika/rehberlere göre değişir.
Örneğin:

• İş başvuru verileri: 1–2 yıl
• Ticari kayıtlar: 10 yıl
• Kamera kayıtları: Genellikle 15–30 gün
• Müşteri bilgileri: Sözleşme süresi + yasal zamanaşımı süresi

Veri sorumluları ayrıca saklama ve imha politikası hazırlayarak, bu süreleri sistematik biçimde yönetmelidir.

Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi arasındaki farklar nelerdir?

Silme: Veri, kullanıcıların erişimine ve kullanımına kapatılır ancak sistemde kalabilir.

Yok etme: Veri, hiçbir şekilde geri getirilemeyecek şekilde tamamen ortadan kaldırılır.

Anonimleştirme: Veri sistemde kalır ama artık kişiyi tanımlamaz, kimseyle ilişkilendirilemez.

Kişisel Veri Envanteri nedir ve neden hazırlanır?

Kişisel Veri Envanteri, bir kurumun iş süreçlerinde işlediği kişisel verilerin hangi türden olduğunu, hangi amaçla işlendiğini, hangi hukuki dayanağa göre işlendiğini, ne kadar süreyle saklandığını ve kimlerle paylaşıldığını gösteren sistematik kayıttır.

Neden hazırlanır?

• KVKK’ya uyumluluk sağlamak
• VERBİS kaydı için ön hazırlık yapmak
• Veri güvenliği ve risk yönetimini sağlamak
• İlgili kişi başvurularına doğru yanıt verebilmek
• Denetim ve iç kontrol süreçlerini yönetmek

Kısaca, kişisel veri envanteri, bir kurumun veri haritasıdır ve KVKK uyum sürecinin temel taşıdır.

Kişisel verilerin yurt içine aktarılması için şartlar nelerdir?

Kişisel verilerin yurt içinde aktarılabilmesi için aşağıdaki şartlardan en az biri bulunmalıdır:

1. İlgili kişinin açık rızası olması
2. Açık rıza olmadan aktarım yapılabilecek durumlar:
   • Kanunlarda açıkça öngörülmesi
   • Fiili imkânsızlık nedeniyle rıza alınamaması
   • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
   • Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi
   • İlgili kişinin veriyi alenileştirmesi
   • Bir hakkın tesisi, kullanılması veya korunması için gerekli olması
   • Veri sorumlusunun meşru menfaati bulunması ve temel haklara zarar vermemesi

Kişisel verilerin yurt dışına aktarılması için şartlar nelerdir?

Kişisel veriler yurt dışına şu şartlarla aktarılabilir:

1. İlgili kişinin açık rızası varsa aktarım serbesttir.
2. Açık rıza yoksa:
   • KVKK’daki işleme şartlarından biri bulunmalı
   • Aktarım yapılacak ülkede yeterli koruma olmalı veya
   • Veri sorumlusu taahhütname verip Kurul’dan izin almalıdır.

Kurul onayı olmadan yeterli koruma olmayan ülkelere veri aktarılamaz.

Yeterli korumanın bulunduğu ülkeler hangileridir?

KVKK Kurulu henüz yeterli korumaya sahip ülkeler listesini yayınlamamıştır. Bu nedenle yurt dışı aktarımda genellikle açık rıza veya Kurul onayı gereklidir.

Taahhütname ile yurt dışına veri aktarımı nasıl yapılır?

Taahhütname ile yurt dışına veri aktarımı için:

1. Veri sorumlusu ve alıcı taraf arasında yazılı taahhütname hazırlanır.
2. Taahhütname, KVKK’nın belirlediği asgari şartları taşımalıdır.
3. Kişisel Verileri Koruma Kurulu’na başvuru yapılarak onay alınır.
4. Kurul onay verdikten sonra aktarım yapılabilir.

Kurul onayı olmadan taahhütname ile aktarım yapılamaz.

KVKK uyum süreci nasıl işler? Bir şirketin KVKK’ya uyumlu olması için neler yapması gerekir?

KVKK uyum süreci, bir şirketin kişisel veri işleme faaliyetlerini 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun hâle getirmesi sürecidir. Bu süreç, hem idari hem de teknik yönden sistematik bir yaklaşımla yürütülmelidir.

KVKK’ya Uyum Süreci Adım Adım:

1. Mevcut Durum Analizi (Gap Analizi):
   Şirketin kişisel veri işleme faaliyetleri tespit edilir ve kanuna ne ölçüde uyumlu olduğu analiz edilir.
2. Kişisel Veri Envanteri Hazırlanması:
   Veri kategorileri, veri konusu kişi grupları, işleme amaçları, saklama süreleri, aktarım yerleri belirlenir.
3. Hukuki Belgelerin Hazırlanması:

• Aydınlatma metinleri
• Açık rıza formları
• Çalışan ve tedarikçi sözleşmelerine eklemeler
• Gizlilik taahhütnameleri
• İlgili kişi başvuru ve cevap prosedürleri

4. VERBİS Kaydı:
   Yükümlülük kapsamındaysa, Kişisel Verileri Koruma Kurumu’nun VERBİS sistemine kayıt yapılır.
5. Teknik ve İdari Tedbirlerin Alınması:

• Şifreleme, erişim kontrolü, antivirüs, loglama gibi teknik önlemler
• Personel eğitimi, politika ve prosedür hazırlığı gibi idari önlemler

6. Saklama ve İmha Politikası Oluşturulması:
   Kişisel verilerin saklanma süreleri belirlenir, silme, yok etme, anonimleştirme yöntemleri tanımlanır.
7. Sürekli Denetim ve Güncelleme:
   Politikalar, sistemler ve süreçler düzenli olarak gözden geçirilir ve gerektiğinde güncellenir.

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) nedir ve kimler kayıt olmak zorundadır?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), kişisel veri işleyen veri sorumlularının, veri işleme faaliyetlerini kayıt altına aldıkları çevrim içi bir sicil sistemidir. KVK Kurumu tarafından yönetilir.

Kimler VERBİS’e kayıt olmak zorundadır?

1. Yıllık çalışan sayısı 50’den fazla olanlar veya yıllık mali bilanço toplamı 25 milyon TL’yi aşan gerçek/tüzel kişiler
2. Yurtdışında yerleşik veri sorumluları
3. Özel nitelikli kişisel veri işleyen sağlık kuruluşları, eczaneler, optikler gibi meslek grupları (bilanço/çalışan sınırına bakılmaksızın)

İstisna kapsamında olmayan veri sorumluları, VERBİS’e kayıt yaptırmak ve kişisel veri envanterlerini bildirmekle yükümlüdür. Aksi takdirde KVKK madde 18 uyarınca idari para cezası uygulanabilir.

KVKK denetimleri nasıl yapılır? Kimler denetim yapmaya yetkilidir?

KVKK denetimleri, Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından yürütülür ve kişisel veri işleyen gerçek ve tüzel kişilerin kanuna uyum durumlarını tespit etmeye yönelik resmî incelemelerdir.

Kimler denetim yapabilir?

• Kişisel Verileri Koruma Kurumu denetim birimi
• Kurul tarafından görevlendirilen denetçiler veya uzman personel
• Şikâyet üzerine veya resen Kurul kararıyla yetkilendirilen inceleme ekipleri

KVKK denetimleri nasıl yapılır?

1. Şikâyet üzerine veya resen denetim kararı alınır.
2. Denetime ilişkin yazı ve bilgi talepleri veri sorumlusuna iletilir.
3. Yerinde inceleme yapılabilir (örneğin ofis, sunucu, sistem ortamı).
4. Belgeler, kayıtlar, sistemler ve süreçler incelenir.
5. Denetim raporu hazırlanır ve Kurul’a sunulur.
6. Kurul, gerekli görürse idari yaptırım (para cezası, veri durdurma vs.) uygular.

KVKK ihlallerinde uygulanan idari para cezaları nelerdir?

KVKK ihlallerinde 2025 yılı için uygulanan idari para cezaları (güncel tutarlar):

• Aydınlatma yükümlülüğüne aykırılık: 53.572 TL – 3.441.155 TL
• Veri güvenliğine aykırılık: 107.143 TL – 3.441.155 TL
• Kurul kararlarına aykırılık: 133.928 TL – 5.176.753 TL
• VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık: 214.286 TL – 10.271.118 TL

KVKK eğitimleri neden önemlidir ve kimler bu eğitimleri almalıdır?

KVKK eğitimleri, kişisel veri güvenliğini sağlamak ve yasal yükümlülükleri doğru şekilde uygulamak için kritik öneme sahiptir.

Neden önemlidir?

• Yasal uyum sağlanır
• Veri ihlalleri ve cezaların önüne geçilir
• Çalışanlar veri güvenliği konusunda bilinçlenir
• Kurumsal itibar korunur
• Denetimlerde eksiksiz belge ve süreç yönetimi yapılabilir

Kimler almalıdır?

• Veri sorumluları ve irtibat kişileri
• Şirket yöneticileri ve üst düzey karar vericiler
• İnsan kaynakları, IT, hukuk, pazarlama ve müşteri hizmetleri çalışanları
• Veri işleyen tüm personel

KVKK eğitimleri, hem bireysel sorumlulukları artırır hem de kurumsal riskleri azaltır.

Çerezler (cookies) KVKK kapsamında nasıl değerlendirilir? Web sitelerinde çerez kullanımı ve çerez politikası nasıl olmalıdır?

Çerezler (cookies), KVKK kapsamında kişisel veri içerebilecek dijital izlerdir. Kullanıcının cihaz bilgisi, IP adresi, konum veya gezinme alışkanlıkları gibi verileri topladıkları için kişisel veri sayılabilirler.

KVKK kapsamında nasıl değerlendirilir?

• Kişisel veri içeriyorsa, KVKK hükümleri geçerlidir.
• Bu verilerin toplanması, işlenmesi ve saklanması için aydınlatma yapılmalı, gerekirse açık rıza alınmalıdır.

Web sitelerinde çerez kullanımı nasıl olmalı?

1. Çerez politikası yayınlanmalı (ayrı bir sayfa veya metin olarak)
2. Aydınlatma yükümlülüğü yerine getirilmeli
3. Zorunlu olmayan çerezler için açık rıza alınmalı
4. Kullanıcıya çerez tercihlerini yönetme imkânı sunulmalı
5. Rızaya dayalı çerezler, açık rıza verilene kadar aktif edilmemelidir

E-ticaret siteleri KVKK’ya uyum için nelere dikkat etmelidir?

E-ticaret siteleri, KVKK’ya uyumlu olmak için aşağıdaki temel noktalara dikkat etmelidir:

1. Aydınlatma yükümlülüğü

• Kullanıcılara kişisel verilerin neden, nasıl ve ne kadar süreyle işlendiği açıklanmalı.
• Aydınlatma metni ana sayfada ve kayıt/alışveriş süreçlerinde sunulmalı.

2. Açık rıza alma

• Pazarlama, reklam, kampanya gibi amaçlarla veri işleniyorsa açık rıza alınmalı.
• Rıza kutusu önceden işaretli olmamalı, kullanıcı özgürce seçim yapabilmeli.

3. Çerez politikası

• Hangi çerezlerin kullanıldığı net biçimde açıklanmalı.
• Zorunlu olmayan çerezler için kullanıcının onayı alınmalı.

4. VERBİS kaydı

• Şirket çalışan sayısı 50’den fazla veya yıllık bilanço 25 milyon TL’yi aşıyorsa, VERBİS kaydı zorunludur.

5. Veri güvenliği önlemleri

• Şifreleme, erişim kontrolü, güvenlik yazılımları kullanılmalı.
• Kullanıcı bilgilerinin sızmasına karşı teknik ve idari önlemler alınmalı.

6. Üçüncü taraflarla veri paylaşımı

• Kargo, ödeme altyapısı vb. hizmet sağlayıcılarla yapılan veri paylaşımları sözleşme ile güvence altına alınmalı.

7. Kullanıcı hakları

• Kullanıcıların veri silme, düzeltme, bilgi alma gibi talepleri 30 gün içinde yanıtlanmalı.

Kamera kayıtları KVKK kapsamında nasıl işlenmelidir? Kamera kaydı yapılan yerlerde aydınlatma yükümlülüğü nasıl yerine getirilir?

Kamera kayıtları, KVKK kapsamında kişisel veri sayılır ve hukuka uygun işlenmelidir.

Nasıl işlenmeli?

• Kayıt amacı açık ve meşru olmalı (güvenlik, denetim vb.)
• Sınırlı süreyle saklanmalı
• Yetkisiz kişilerce erişim engellenmeli
• Gereksiz alanlar (lavabo, soyunma odası) kayda alınmamalı

Aydınlatma yükümlülüğü nasıl yerine getirilir?

• Kamera bulunan alanlara görünebilir şekilde bilgilendirme tabelası asılmalı
• Ayrıca detaylı aydınlatma metnine dijital ya da yazılı erişim sağlanmalı (örneğin QR kod, web linki)

İnsan kaynakları süreçlerinde (işe alım, özlük dosyaları vb.) KVKK uyumu nasıl sağlanır?

İnsan kaynakları süreçlerinde KVKK uyumu sağlamak için dikkat edilmesi gerekenler:

1. Aydınlatma yapılmalı:
   İşe alım, özlük dosyası oluşturma gibi her aşamada aydınlatma metni sunulmalı.
2. Gerekli hallerde açık rıza alınmalı:
   Özgeçmişteki referans bilgileri, sağlık verileri, eski işyeri bilgileri gibi özel nitelikli veriler için açık rıza şarttır.
3. Veriler yalnızca amaca uygun işlenmeli:
   Toplanan veriler yalnızca işe alım, bordro, SGK bildirimi, performans değerlendirmesi gibi amaçlarla kullanılmalı.
4. Saklama süreleri belirlenmeli:
   Veriler, iş sözleşmesi süresi boyunca ve mevzuatta öngörülen süre kadar saklanmalı, sonrasında silinmeli veya anonimleştirilmeli.
5. Erişim sınırlandırılmalı:
   Personel bilgilerine yalnızca yetkili kişiler erişebilmeli. Log kayıtları tutulmalı.
6. Politika ve prosedürler oluşturulmalı:
   KVKK’ya uygun İK veri işleme politikası, saklama ve imha politikası hazırlanmalı.