Kişisel Verileri Koruma Kurulu web sitesinde detaylı şekilde anlatılan "Kişisel Verileri Koruma Kanunu" genel hatları ile şu şekilde özetlenebilir:
Kişisel verilerin korunması nedir?
Kişisel verilerin korunması, veri işleme faaliyetlerinin önceden belirlenen kurallar gözetilerek yapılması ve kişinin temel hak ve özgürlüklerinin zarar görmemesi için bir disiplin sağlanmasıdır. Bu noktada vurgulanması gereken şudur: Veriyi korumak, verinin kullanılmasının yasaklanması değil; verinin kim tarafından hangi amaca yönelik olarak ve nasıl kullanacağının kararını, verinin sahibinin vermesini sağlamak ve veri sahibinin bu konuda bilgi talep etme hakkını daimi kılmaktır.
KVKK’nın dayanağı nedir?
Kişisel verilerin korunması, anayasa ile güvence altına alınmıştır. Kişisel verilerin korunması; anayasanın, özel hayatın gizliliğini düzenleyen 20. maddesinde yapılan değişikliğin gereğidir. Elbette bu sınırsız bir hak değildir. Türkiye Cumhuriyeti Anayasası’nda meşru amaçlara yönelik olarak sınırlandırılan bu hak, Avrupa Birliği’nde 1995 yılı itibariyle 95/46/EC sayılı direktif ile sağlanmıştır.
KVKK’da amaç nedir?
Bilgi teknolojilerinin büyük bir hızla geliştiği ve resmi işlemlerin de çoğunlukla elektronik ortamda yapıldığı çağımızda, kişisel verilerin işlenmesinin pek çok avantajı vardır. Örneğin bilgilerinizi verdiğiniz bir kurumdan kampanya ve indirim günlerinde haber alabilirsiniz. Ancak bilgilerinizin kötüye kullanılması olasılığı da vardır. Kanunun amacı bu olasılığı ortadan kaldırmaktır. KVKK’nda amaç, verilerin belli bir rejimde işlenmesini sağlamak ve veri işleme faaliyetlerinin şeffaflık ilkesi benimsenerek yapılmasıdır. Bu sayede veri sahibinin verileri üzerinde söz sahibi olmasını sağlanır.
KVKK kimleri kapsar?
KVKK, hak ehliyeti bulunan tüm gerçek ve tüzel kişileri kapsar. Kamu kurumları dahil olmak üzere her vatandaş, kanunun usul ve esaslarına uymakla yükümlüdür. Kanunun, milli güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ön koşuluna bağlı olarak istisna şeklinde belirttiği haller şöyledir:
- Verilerin, aynı konutta yaşayan diğer kişilerle ilgili faaliyetlere yönelik olarak işlenmesi
- Kişisel verilerin resmi araştırmaya yönelik olarak, kanunla yetki verilmiş kamu kurum ve kuruluşlarınca istatistiksel veri olarak kullanılıp anonim hale getirilmesi
- İfade özgürlüğü kapsamında; bilim, sanat, tarih ve edebiyat için işlenmesi
- Kişisel verilerin yargı makamları veya infaz mercileri tarafından işlenmesi
Kanunun amacına, temel ilkelerine uygun olma şartıyla kısmi istisna sayılan haller ise; suç işlenmesinin önlenmesi, disiplin kovuşturması ve soruşturması, devletin mali çıkarlarının korunması amaçlarına yönelik verilerin işlenmesidir.
Kişisel veri nedir?
Gerçek kişilere ait olan her türlü özel bilgi, kişisel veridir. Telefon numarasından araç plakasına, hobilerinden sağlık bilgilerine kadar, kişiyi direkt olarak ya da dolaylı yoldan belirlenebilir kılan her tür bilgi, kişisel veri kapsamındadır.
Bir örnek verelim: Kalabalığın içinde “Burada bulunan Ahmet, Galatasaray takımını tutuyor” şeklinde açıklama yapıldığında, Ahmet ile ilgili kişisel veri paylaşılmış olur ki bu noktada Ahmet’in kişisel verisini açıklayan kişinin, veriye nasıl ve nereden ulaştığı, bu bilgi ile neler yapabileceği ve ihlal durumu söz konusu olduysa nasıl cezalandırılacağı gibi süreçler kanun ile belirlenmiştir.
Özel nitelikli (hassas) veri nedir?
Özel nitelikli veri, hassas verilerdir. Çünkü dini inanç, siyasi görüş, dernek ya da sendika üyeliği, ceza mahkumiyeti, cinsel hayat gibi konulara ait veriler; başkaları tarafından öğrenildiğinde ilgili kişinin mağduriyetine ya da ilgili kişiye ayrıcalık verilerek diğer insanların mağduriyetine sebebiyet verebilir.
İlgili kişi kimdir?
İlgili kişi, kişisel verisi ile ilgili faaliyette bulunulan, veri işleme faaliyeti sonucunda ulaşılan kişidir. Tüzel kişilere ait verilerin sonucunda ulaşılan gerçek kişi ise bu veriler de kanun kapsamında değerlendirilir.
Veri Sorumlusu ve Veri İşleyen nedir?
Veri sorumlusu, kişisel verilerin hangi amaca yönelik olarak işleneceğinin, hangi kanallar aracılığıyla veri işleme faaliyeti yapılacağının kararını vererek verinin yönetilmesinde sorumlu olan kişidir. Dolayısıyla veriler ile ilgili ne yapacağını belirleyen veri sorumlusu olduğundan kanun kapsamında, sorumluluğu en üst düzeyde olan kişidir. Veri sorumlusunun, veri işleyen alt düzeydeki sorumluların eylemlerine karşı da tazminata varan sorumluluğu vardır.
Veri sorumlusunun verdiği yetkiye dayanarak veriyi işleme faaliyetini gerçekleştiren kişi veri işleyen kişidir. Bazı durumlarda veri işleyen bağımsız bir veri sorumlusu olabilmektedir. Bu durumu bir örnekle açıklayalım:
Bir içecek firması, pazarlama yöntemi olarak anket yapmayı tercih etmiş ve uzman bir tedarikçi ile anlaşmıştır. Tedarikçinin yalnızca sokakta anketlerin doldurulması için işgücü temini yaparak, iletilen formları doldurulduğu şekliyle içecek şirketine göndermesi, anket şirketinin veri işleyen olduğunu gösterir. Anketin ne şekilde yapılacağına, verileri nasıl yönetebileceğine ilişkin kararı veren anket şirketi olsaydı, veri sorumlusu anket şirketi diyebilirdik.
Kişisel verilerin işlenmesi nedir?
Bir kişisel verinin; tamamının ya da bir kısmının, manuel olarak elde edilmesi, saklanması, değiştirilmesi, aktarılması, kullanılmasının engellenmesi gibi her türlü işlem, kişisel verilerin işlenmesi anlamına gelir. Bir başkasına ait bilgiyi, üzerinde başka herhangi bir işlem yapılmaksızın bir hard diskte, CD’de saklamak da veri işleme faaliyetidir.
Kanuna ilişkin kuralları takip eden bir kurum var mı?
KVKK kapsamında oluşturulan Kişisel Verileri Koruma Kurumu’nun yönetim organı olan Kurul, kişisel verilerin korunması ile ilgili kararları vermekle yükümlüdür. 9 kişiden oluşan kurum; Kanun’da belirtilen hallerin gerçekleşmesi durumunda şikayetleri dinlemek, gerektiğinde maddi yaptırım uygulamak, veri sorumluları sicilini saklamak ile yükümlüdür. Kurul’un 4 üyesi Cumhurbaşkanı tarafından, 5 üyesi ise TBMM’deki siyasi parti gruplarının üye sayısı oranında, parti grupların aday gösterdiği kişiler arasında seçilir.