6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirleyen ve 24.03.2016 tarihinde kabul edilerek 7.04.2016 tarihinde yürürlüğe giren kanundur.

İlgili Kişi

Kişisel verisi işlenen gerçek kişiyi ifade etmektedir. KVKK kapsamında sadece gerçek kişilerin verileri kanun kapsamında değerlendirilmektedir. Tüzel kişilerin verileri, içeriğinde gerçek kişiye ilişkin bilgi içermedikçe bu kanun kapsamında değildir.

Kişisel Veri

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.

Özel Nitelikli Kişisel Veri

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortamda vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte açık rızanın yazılı olduğu durumlarda açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın olumlu bir irade beyanı içermesi gerekmektedir.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu kişiler, gerçek kişiler olabileceği gibi kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilmektedir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.

Aydınlatma Yükümlülüğü

Veri sorumlusu veya yetkilendirdiği kişi; aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanun’un 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir.

Kişisel Verilerin İşlenmesi (Saklama ve İmha) Politikası

Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hâle getirme işlemi için dayanak yaptıkları politikayı ifade etmektedir.

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Başvuru Formu

İlgili kişilerin kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, düzeltme, silme ve yok etme gibi işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etmesini sağlayacağı belgedir.

Güvenli Ülkeler Listesi

Hangi ülkelerin güvenli olduğuna Kişisel Verileri Koruma Kurulu tarafından karar verilmektedir. Kurul; yabancı ülkede yeterli koruma bulunup bulunmadığına ve izin verilip verilmeyeceğine; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin durumunu, her somut kişisel veri aktarımına ilişkin olarak kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

Zorunlu KVKK Eğitimi

KVKK kapsamında veri sorumlusu ve veri işleyenlerin kendi personellerine KVKK kapsamında yapmaları gerekenler hakkında eğitim aldırmaları zorunludur. Bu eğitimin, personellerin çalıştıkları departmana göre hem idari hem teknik tedbirlere ilişkin olması gerekmektedir.

VERBİS

Veri Sorumluları Sicili’ni ifade etmektedir. Veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulu’nun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.

Veri güvenliğine ilişkin idari ve teknik tedbirler:

İdari Tedbirler;

  • - Aydınlatma Yükümlülüğü - Metni
  • - Kişisel Verilerin İşlenmesi Politikası
  • - Kişisel Veri Envanteri
  • - Başvuru Formu – Bilgi Edinme Hakkı
  • - Her türlü Sözleşmelere İlgili Maddelerin Eklenmesi
  • - Şirket çalışanlarına eğitimler verilmesi
  • - VERBİS’ e kayıt

Teknik Tedbirler;

  • - Yetki Matrisi
  • - Kişisel Verilerin İşlenmesi Politikası
  • - Yetki Kontrol
  • - Erişim Logları
  • - Kullanıcı Hesap Yönetimi
  • - Ağ Güvenliği
  • - Uygulama Güvenliği
  • - Şifreleme
  • - Sızma Testi
  • - Saldırı Tespit ve Önleme Sistemleri
  • - Log Kayıtları
  • - Veri Maskeleme
  • - Veri Kaybı Önleme Yazılımları
  • - Yedekleme
  • - Güvenlik Duvarları
  • - Güncel Anti-Virüs Sistemleri
  • - Silme, Yok Etme veya Anonim Hale Getirme
  • - Anahtar Yönetimi