Kişisel Verilerin Korunması Kanunu Hakkında Bilmeniz Gerekenler
Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girmiş ve kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır.
Kişisel verilerin korunması, günümüzde hem bireyler hem de kurumlar için önemli bir konudur. Kişisel veriler, kişinin kimliği, özellikleri, tercihleri, alışkanlıkları ve iletişim bilgileri gibi kendisiyle ilgili her türlü bilgiyi ifade eder. Bu verilerin izinsiz olarak toplanması, işlenmesi, paylaşılması veya saklanması, kişinin özel hayatına ve temel hak ve özgürlüklerine zarar verebilir.
Bu nedenle, Türkiye’de 2016 yılında Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesinde temel ilkeleri, kişisel veri sahiplerinin haklarını, veri sorumlularının yükümlülüklerini ve denetim mekanizmalarını belirlemektedir. KVKK’nın amacı, kişisel verilerin hukuka uygun olarak işlenmesini sağlamak ve kişisel veri sahiplerinin haklarını korumaktır.
KVKK’ya göre, kişisel verilerin işlenmesi için kişisel veri sahibinin açık rızası gerekmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Kişisel veri sahibi, açık rızasını her zaman geri alabilir. Ayrıca, KVKK’nın öngördüğü bazı istisnai durumlarda açık rıza aranmamaktadır. Örneğin, kanunlarda açıkça öngörülmesi, sözleşmenin kurulması veya ifası için zorunlu olması veya temel hak ve özgürlükler için gerekli olması gibi hallerde açık rıza şart değildir.
Kişisel Veri Sahiplerinin Hakları
KVKK’ya göre, kişisel veri sahiplerinin bazı hakları bulunmaktadır. Bunlar:
– Kişisel verilerinin işlenip işlenmediğini öğrenme,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
– Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
– KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
– Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
KVKK, kişisel verileri işleyen gerçek ve tüzel kişilere (veri sorumluları) ve kişisel verileri ilgili kişilerin (veri sahipleri) haklarını ve yükümlülüklerini düzenlemektedir.
Kişisel Verilerin İşlenmesine Dair İlkeler
KVKK, kişisel verilerin işlenmesinde aşağıdaki genel ilkeleri belirlemiştir: hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
KVKK, kişisel verilerin işlenmesinin temel şartı olarak ilgili kişinin açık rızasını esas almıştır. Ancak, kanunda belirtilen bazı istisnai hallerde açık rıza aranmamaktadır. Bu haller şunlardır: kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
KVKK, ilgili kişiye kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, düzeltme/silme/yok etme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme şeklinde sayılabilir.