KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)
KVKK Nedir? Şirketlerin Yükümlülükleri Nelerdir?
Günümüzde her yaptığımız işlem sırasında kişisel bilgilerimizi vermek zorunda kalabiliyoruz. Ancak verdiğimiz kişisel bilgilerin hangi dayanak ile bizden istendiğini ve nasıl korunduğunu bilmiyoruz. Dolayısıyla hayatımızda yaptığımız her elektronik işlemlere yerleştirilen bilgi isteme sisteminden bahsetmek gerekmektedir.
KİŞİSEL VERİLERİN KORUNMASI NE DEMEKTİR?
Belirlenen kurallar çerçevesinde veri işletimci tarafından kullanıcıların, kişisel bilgilerinin istemesi ve bu bilgilerin kişilerin temel hak ve özgürlüklerine zarar gelmemesi amacıyla saklanmasına kişisel verilerin korunması denir.
Aslında günlük hayatımızda yaptığımız işlemler sırasında istenilen kişisel bilgilerin bizim için de hayatı kolaylaştırdığını söylemek gerekir. Dolayısıyla kişisel bilgilerimizin istenme amacının ne olduğunu da bilmekte fayda vardır.
Kişisel Bilgilerimizin İstenmesindeki Amaç Nedir?
Kişisel bilgilerimizin sistem içerisine işlenmesi hayatımızdaki günlük işlemlerimize pek çok faydası vardır. Günümüzde resmi kurumlarında dahil olduğu pek çok kurumların bilgi işlemlerini internet ortamından halledebildiğimiz bu günler de kişisel bilgilerimizin veri tabanlarına işlenmesi bizlere kolaylık sağlamaktadır. Şöyle ki;
İşlemlerimizi yaptığımız bir internet sitesinde kişisel bilgilerimizi sisteme verdikten sonra tekrardan aynı siteyi ziyaret ettiğimiz de bizi tanımasına ve girişlerimizi hızlandırmasına sebep olur. Aynı zaman da ziyaret ettiğimiz sitenin güncel haberlerini örneğin indirimlerini veya kampanyalarını bizlere ulaştırılmasını sağlar. Örnek olarak bunlar gibi daha pek çok durum sayılabilir.
Fayda sağladığını belirttiğimiz gibi kişisel bilgilerimizin aleyhimize kullanılmaması için ve kötü niyet ile bilgilerimizin başka kişilere veya sistemlere irademiz dışında paylaşılmamasını da önlemek için hukuki dayanağının olması gerekir. İşte bu hukuki dayanağı da 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) oluşturmaktadır.
KVKK’NIN AMACI NEDİR?
Kişisel verilerini veren gerçek kişiler ile kişisel verileri otomatik veya otomatik olmayan yollar ile sisteme işleyen gerçek veya tüzel kişileri kapsar. Aynı zamanda bu kanunda özel kurum ile kamu kurumlar arasında ayrım yapılmaksızın tüm kurum ve kuruluşları kapsam içine almaktadır. Bu doğrultuda tüm gerek özel kurum ve kuruluşlar gerekse kamu kurum ve kuruluşlar bu kanun kapsamında öngörülen usul ve esaslara uymakla yükümlüdürler.
Ayrıca kanun kapsamına dahil ettiğimiz kişiler, kişisel verilerini veren gerçek kişiler olduğu için bu kanun kapsamına kişisel verileri işlenen tüzel kişiler dahil edilmemiştir.
Kişisel bilgilerin korunması, amacı, hukuki dayanağı ve kanun kapsamına kimlerin girdiği gibi konuları belirttikten sonra kişisel verilerin işlenmesinin ne olduğu konusunu da belirtmek gerekir. Öncelikle kişisel verinin ne olduğunu bilmek gerekir.
KİŞİSEL VERİ NEDİR?
Gerçek kişilere ait her türlü bilgilere kişisel veri denir. Bu her türlü bilginin kişisel veri niteliğini taşıyabilmesi için kimliği belirlenebilen gerçek kişilere ait olması gerekmektedir.
Kişisel Verinin İşlenmesi Nasıl Olur?
Kişisel verilerin sisteme işlenmesi 6698 Sayılı Kişisel Verilerin Korunması Kanun kapsamında öngörülen usul ve esaslara uygun işlenmek zorundadır. Öncelikle dürüstlük kuralına uyarak hukuka uygun şekilde işlenmelidir. Ardından şeffaf ve güncel olarak veriler işlenmelidir. Özellikle verileri işleme amacından hiçbir zaman sapmadan amacına uygun şekilde sınırlı ve ölçülü olarak işlenmelidir. Son olarak da bu kişisel veriler ihtiyaç duyulan süreye kadar sistemde tutulmalıdır.
Kişisel verilerin usul ve esaslarıyla birlikte bir de şartlarını da bilmek gerekir.
Kişisel Verilerin İşlenmesindeki Şartlar Nelerdir?
En önemli şart kişisel verilerini veren kişinin açık irade göstermesidir. Yani açık rıza göstermeyen kişilerin verileri sisteme işlenemez. Ancak bazı durumların varlığında kişinin açık rızası aranmadan kişisel verileri sisteme işlenebilir. Bu durumlar tek tek KVKK m.5’te sayılmıştır;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu gibi durumlarda kişinin açık rızası aranmaksızın kişisel verileri sisteme işlenebilmektedir.
Kişisel Verilerin Sistem Üzerinde Tutulma Süresi Var Mıdır?
Kişisel verilerin ihtiyaç duyulduğu süre kadar sistemde tutulması gerektiğini belirttik. Ancak ihtiyaç süresinin bitmesiyle bu verilerin nasıl yok edilecek bundan da bahsedilmesi gerekir. Şöyle ki;
Kişisel veriler ilgili kanunda öngörülen süreler dahilinde veya işlenmesindeki amaç için gerekli olan süre kadar sistem üzerinde tutulması zorunludur. Kişisel verilerin artık sistem üzerinde tutulması için herhangi bir geçerli sebep kalmaması durumunda o verilerin silinmesi ve yok edilmesi gerekmektedir. Burada önemli nokta şu ki; verilerin saklanmasında geçerli sebebi kalmayan veri sistem sorumlusu bir ihtimal ile ileride tekrar kullanılabileceğini düşünerek kişisel verileri muhafaza altına alma yoluna gidemez.