Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Düzenlemesi (GDPR)
Kişisel veri, internet üzerinde işlem yapan kullanıcılara ait verileri ifade eden bir terimdir. Kişisel veriler, doğrudan veya dolaylı olarak tanımlanabilen bir kişi ile ilgili herhangi bir bilgidir. Örneğin; isimler ve e-posta adresleri kişisel verilerdir. Konum bilgisi, etnik köken, cinsiyet, biyometrik veriler, dini inançlar, web çerezleri ve politik görüşler de kişisel veri olarak değerlendirilir. Üçüncü taraf kişilerin topladığı ve işlediği verilerin korunması büyük önem arz etmektedir. Bu çerçevede Türkiye’de ve Avrupa’da kişisel verilerin korunması için bazı kanunlar ve düzenlemeler yürürlüğe girmiştir.
KVKK
Kişisel Verilerin Korunması Kanunu (KVKK), AB Uyum yasaları çerçevesinde temel hak ve özgürlüklerin korunması amacıyla yürürlüğe giren bir kanundur. 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Temel olarak herhangi bir gerçek veya tüzel kişiye verilen kişisel verilerin korunması ile ilgili esas ve usulleri içerir. Kişisel her türlü veri, KVKK kapsamında değerlendirilir.
Kişisel Verileri Koruma Kurumu’nun tanımına göre kişisel verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”dir.
Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet KVKK kapsamında “kişisel verilerin işlenmesi” olarak değerlendirilmektedir.
Veri Sorumlusu
KVKK uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye “veri sorumlusu” denir.
KVKK kapsamında veri sorumlularının yerine getirmesi gereken yükümlülükler şunlardır;
• İlkelere uyum sağlama,
• İşleme şartlarına uyum sağlama,
• Aydınlatma yükümlülüğünü yerine getirme,
• Kişisel verileri silme, yok etme, anonimleştirme,
• Veri sorumluları siciline kayıt olma,
• Yurt içinde ve yurt dışında bulunan 3. kişilere aktarıma ilişkin kurallara uyma,
• İlgilinin başvurusuna yanıt verme,
• Teknik ve idari tedbirleri alma,
• Denetim yapma,
• Kurul kararlarına uyma,
• Veri ihlali durumunda Kişisel Verileri Koruma Kurulu’na bildirimde bulunma.
Veri Sorumluları Sicili
KVKK kapsamındaki Veri Sorumluları Sicili (VERBİS), veri sorumlularının kaydolduğu ve veri işleme faaliyetleriyle ilgili bilgileri beyan ettikleri bir kayıt sistemidir. VERBİS’in hedefi; veri sorumlularının kamuya açıklanması ve kişisel verilerin korunması hakkının etkin bir şekilde kullanılmasıdır. Sicil, kurulun gözetiminde başkanlık tarafından tutulmaktadır. Her veri sorumlusu VERBİS’e kaydolmak zorundadır. Kayıt işlemi, veri işleme faaliyetlerine başlamadan önce tamamlanmalıdır.
KVKK’nın 28. maddesinin 2. fıkrasında yer alan bazı durumlarda VERBİS’e kayıt yükümlülüğünü düzenleyen 16. madde hükümleri uygulanmaz. Ayrıca, kurula, sicile kayıt zorunluluğuna ilişkin istisna getirme yetkisi verilmiştir. Söz konusu istisna; kişisel verinin sayısı, niteliği, veri işlemenin Kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi belirlenecek objektif kriterler göz önüne alınır.
Veri Sorumluları Siciline Kayıt Bildirimi
Veri Sorumluları Siciline kayıt olmak aşağıdaki bilgiler beyan edilmelidir:
• Kimlik ve adres bilgileri,
• Verilerin hangi amaçla işleneceği,
• Kişilere ait veri kategorileri hakkındaki açıklamalar,
• Verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
GDPR
Genel Veri Koruma Düzenlemesi (General Data Protection Regulation – GDPR), Avrupa Birliği (AB) hukukunda bireylerin verilerinin korunmasına ve gizliliğine ilişkin bir düzenlemedir. AB ve Avrupa ekonomik alanındaki kişileri kapsar.
GDPR, Avrupa’nın kişisel verilerin bulut hizmetlerine emanet edildiği bir ortamda veri gizliliği ve güvenliği konusundaki duruşunu temsil eder. 25 Mayıs 2018 tarihinde yürürlüğe giren GDPR, gizlilik ve güvenlik standartlarını ihlal eden kişilere karşı sert cezalar uygulanması ve para cezaları verilmesi gibi yaptırımlar içerir.
AB çapındaki veri gizliliği gereksinimlerinin birleştirilmesi amacıyla hazırlanan GDPR, AB vatandaşlarına pazarlama yapan ve bu kişilerin bilgilerini işleyen özel veya tüzel kişilerin uyması gereken kuralları içerir. AB sınırları içinde pazarlama yapabilmek isteyen herkes ve her firma GDPR’ye uymak zorundadır. Düzenleme, son kullanıcıları, müşterileri ve çalışanları da ilgilendirmektedir.
“Avrupa’nın veri gizliliği ve güvenliği yasası” olarak bilinen GDPR, dünyanın en güçlü gizlilik ve güvenlik yasasıdır. Avrupa Birliği (AB) tarafından hazırlanıp kabul edilen düzenleme, AB’deki insanlarla ilgili verileri toplayan ve işleyen herhangi bir ülkedeki kuruluşlara yükümlülükler getirmektedir.
Kaynak: https://www.kvkk.gov.tr, https://gdpr.eu