Kişisel Verilerin Korunması Kanunu (KVKK)

Avrupa Birliği’ne uyum kapsamında hazırlanan KVKK, uzun süredir yasalaşmayı bekliyordu. Bu kanun 24 Mart 2016 tarihinde T.B.M.M tarafından kabul edildi ve 6 Nisan 2016 tarihinde yürürlüğe girdi.

KVK Kanununa göre, belirli bir kişi ile ilişkilendirilebilen her türlü veri kişisel veridir ve veri ile yapılabilecek her işlem “kişisel verilerin işlenmesi” olarak tanımlanmıştır.

Şirketler kendi faaliyet alanlarına göre çeşitli sebeplerle kişisel verileri veya özel nitelikli kişisel verileri işlemektedir.

Kanun kapsamında kişisel verileri işleyen şirketler veri sorumlusu olarak şirket içinde veri kayıt sistemi oluşturmalıdır. Veri sorumlusu olacak şirketler bir gerçek veya tüzel kişiyi veri işleyen sıfatıyla tayin etmelidir.

KVK kanuna göre veri sorumlusu olarak şirketler kişisel bilgileri işlemek veya aktarmak için (istisnalar hariç) açık izin almak zorundadır.

KVK kanunu veri sorumlusuna belli görevler ve sorumluluklar yüklemektedir. Bu görevlerde, veriler kanuna uygun işlenmiş olsa bile, verinin işlenme sebebi ortadan kalkarsa ilgili kişinin talebi ile veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. İlgili kişiler verilerin silinmesi, yok edilmesi ve anonim olmasına dair taleplerini veriyi işleyen şirketten talep edebilecektir.

Aynı zamanda ilgili kişi kendisiyle ilgili veri işleyen şirkete, kendisiyle ilgili veri işlenip işlenmediğini, işlendiyse işlenen verinin ne olduğunu, işlenme amacını ve bu amaca uygun kullanıp kullanılmadığını öğrenmek için bilgi talebinde bulunabilir. Bununla birlikte, kendisine ait verilerin üçüncü kişilere aktarılıp aktarılmadığını veya yurtdışına transfer edilip edilmediğini öğrenmek içinde bilgi talep edebilir.

Veri sorumlusunun en önemli sorumluluklarından biri kendi kurum veya kuruluşunda KVK Kanunu’nun hükümlerinin uygulanmasını sağlamak ve denetlemektir.

KVK Kanunu yürürlüğe girdikten sonra Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu kurulacak ve bu kurumlar bir şikayet veya ihlal durumunda şirketin kayıtlarına dair inceleme yapabilecektir.

KVK Kanunu’ndaki hükümler yerine getirilmediği takdirde Kişisel Verileri Koruma Kurumu 1.000.000 TL’ye kadar idari para cezası kesebilecektir. Ayrıca, Türk Ceza Kanunu’nda da suç teşkil ediyorsa 1 yıldan 4,5 yıla kadar hapis cezasına hükmedilebilecekler. Bunlara ek olarak, ilgili kişi veya kişiler genel hükümlere göre tazminat talep edebilecektir.

KVK Kanunu’nun 8inci (Kişisel verilerin aktarılması), 9uncu (Kişisel verilerin yurt dışına aktarılması), 11inci (İlgili kişinin hakları), 13üncü (Veri sorumlusuna başvuru), 14üncü (Kurula şikâyet), 15inci (Şikâyet üzerine veya resen incelemenin usul ve esasları), 16ncı (Veri Sorumluları Sicili), 17nci (Suçlar) ve 18inci (Kabahatler) maddeleri Resmi Gazete’de yayımı tarihinden 6 ay sonra yürürlüğe girecektir. Yayım tarihinden önceden işlemiş olan kişisel veriler için ise iki yıllık uyum süresi öngörülmektedir.

Yazı yazılırken hukuk ile ilgili kaynaklardan yardım alınmıştır.