10 Soruda KVKK (Kişisel Verilerin Korunması Kanunu)

Başlıktan da anlayacağınız üzere KVKK, açılımıyla Kişisel Verilerin Korunması Kanunu, verileri işlenen tüm gerçek bireylerin toplanan verilerinin korunmasını, bu veriyi toplayan şirket veya kurum dışında herhangi bir üçüncü kişiyle paylaşılmamasını, paylaşıldığı takdirde ise kişinin haklarının kanunlar yoluyla korunmasını sağlayan yasama düzenidir.

Bugünkü yazımızda on soruda KVKK’yı ele alıyoruz.

  1. Kişisel verilerin korunması ne anlama gelir?

Kişisel verilerin koruması, gerçek kişilerin belli kurum ve kuruluşlar tarafından toplanan verilerinin hem toplanma hem işlenme sürecinde belli Kanunlar çerçevesinde disipline edilmesidir. Bu sayede, kişinin hak ve özgürlüklerinin korunması hedeflenmektedir.

Temel anlamda, Kişisel Verilerin Korunması Kanunu, verileri işlenen kişinin verilerinin değil, kendisinin korunmasını hedefler. Kişisel Verilerin Korunması Kanunundaki teknik ve hukuki önlemler, kişilerin verileri işlendiği takdirde ve sonrasında kişilerin hak ve özgürlüklerine doğrultulabilecek saldırılardan onları korumayı amaçlar.

  1. Kişisel Verilerin Korunması Kanunu kapsamına dahil olmayan kişiler var mıdır?

Kişisel Verilerin Korunması Kanunu’nda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanılmıştır. Dolayısıyla, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.

Bu verilerin işlenen kısmı ile ilgilidir. Bu bağlamda veri işleme eylemini gerçekleştirenler, bir başka deyişle veriyi işleyenler ise Kanun kapsamında herhangi bir gerçek veya tüzel kişi ayrımına uğramamıştır. Fakat burada şu farkı unutmamak gerekir: veriyi işleyenler ve veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

  1. Kişisel Veri nedir?

Kişisel Veri, her ne kadar aklımıza daha belirli bilgileri getirse de bu noktada da veri kelimesine aldanmamak gerekir. Kişisel veri genel hatlarıyla kimliği hâlihazırda belirli veya belirlenebilir gerçek kişiye ilişkin her türlü kişisel bilgiyi bünyesinde barındırır.

Kişisel Veri tanımına uyabilmesi için, bilginin aşağıdaki üç faktörü içinde bulundurması son derece önemlidir. Bu kriterler şu şekilde sıralanabilir.

  • Gerçek kişiye ilişkin olma: İkinci soruda da ayrımını yaptığımız üzere, tüzel kişiler Kişisel Verilerin Korunması Kanunu’ndan muaf olup, veri adını verdiğimiz bu bilgilerin gerçek kişi veya kişilere ait olması gerekmektedir.
  • Kişiyi belirli veya belirlenebilir kılması: Kişisel veri bu bağlamda, verisi işlenen kişinin kimliğinin doğrudan gösterilebilmesi anlamına gelir. Yani, kişi adına toplanan bilgiler bize onun kimlik bilgilerini de verir. Bu bağlamda kişinin kimliğinin belirlenebilir olması elzemdir.
  • Her türlü bilgi: Bu kriter oldukça geniş kapsamlı olup gerçek kişiye dair toplanan ve/veya işlenen her türlü bilginin kişisel veri kapsamında değerlendirileceğini gösterir.
  1. Veri Kayıt Sistemi nedir?

“Kişisel verilerim nereye işleniyor ve bu işlem nasıl gerçekleşiyor?” diye soruyor olabilirsiniz. Gerçek kişilerin verileri genel hatlar itibariyle veri kayıt sistemlerine işlenir. Bu veriler veri kayıt sistemlerine işlenirken ise gerek elektronik gerekse fiziki depolama seçeneklerinden faydalanılabilir. Bilgilerin sınıflandırılması ad, soyad ve diğer kimlik bilgileri aracılığıyla yapılabileceği gibi, veririnin türüne göre de sınıflandırılabilir.

  1. Verimi kim işliyor?

Daha önce veriyi işleyen taraf için gerçek ve/veya tüzel kişilik bağlamında herhangi bir ayrım olmadığını belirtmiştik. Bu bağlamda, veriyi işleyenler, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.

Veri işleyenlerin verinin işlenmesi konusunda daha çok teknik kısımlarla alakadar olduklarını söylemek mümkündür.

  1. Veri Sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

  1. Kişisel Verilerin işlenme amaçlarına dair herhangi bir kriter mevcut mudur?

Evet, mevcuttur. Kişisel verilerinizin işlenmesinin belli başlı amaçları vardır. Bu amaçların ise belirli, meşru ve açık olması ilkesi güdülür. Bu ilkeler;

  • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
  • Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
  • Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.
  1. Küresel bağlamda veriler nasıl korunuyor?

Avrupa’da da kullanımı 1995’li yıllara dayanan ‘1995 Data Protection Directive (Veri Koruma Direktifi)’ mevcut. KVKK da bu yaklaşımı baz alıyor. Bu nedenle KVKK’nın (Kişisel Verilerin Korunması Kanunu) bugün Avrupa Birliği ülkelerinde mevcut olan General Data Protection Regulation (GDPR) ile büyük oranda paralellik gösterdiğini söylemek mümkün.

Günümüzde Türkiye de çağın ihtiyaçlarına uygun hale gelebilmek adına rotasını Avrupa Birliği’nde 2018 yılında hayata geçen Genel Veri Koruma Yönetmeliği’ne (GDPR) doğru yaklaştırıyor.

Diğer ülkelerdeki bazı veri koruma kanunlarını ise aşağıdaki şekilde görmemiz mümkün.

  • ABD: Tüketici Gizlilik Yasası
  • İngiltere: Veri Koruma Yasa Tasarısı
  • Avustralya: Gizlilik Yasası
  • Meksika: Federal Veri Koruma Kanunları
  • Kanada: Kişisel Verileri Koruma ve Elektronik Belgeler Yasası
  • Türkiye: Kişisel Verilerin Korunması Kanunu (KVKK)
  1. KVKK’nın günlük hayatımıza etkisi nedir?

Hepimiz her gün onlarca e-mail gönderiyoruz. Gerek işimiz gerek okulumuz gerek de bambaşka amaçlar için birçok kişiye, kuruma, kuruluşa veya oluşuma e-mailler atıyoruz. Peki, Türkiye’de bilinçsizce onlarca e-mail atan birçok firma olduğunu biliyor musunuz?

Türkiye’ye, yani Türkiye’de yaşayan kişilere e-mail atıyorsak örneğin bu e-mail uygulamasının tüm server (sunucu) temeli Türkiye’de olmalı zira KVKK bunu ön koşul olarak sunuyor. Yani, eğer Türkiye’ye e-mail gönderimi yapacaksak serverların Türkiye’de olduğundan emin olmamız gerekiyor. Bugün bunu sağlayan firma yok denecek kadar az. Bir başka deyişle, birçok e-mail firması bilinçsizce müşterilerine e-mail atıyor ve dolayısıyla o kişilerin verilerini de tehlikeye sokuyor.

INBOX ise bu konuda bir ilke imza atıyor! Firma bünyesinde tüm serverları Türkiye’de olan ve bunu müşterilerine sağlayan INBOX, kullanıcılarının verilerini de böylelikle tamamen garanti altına almış oluyor.

  1. Peki sadece KVKK mı?

Daha önce KVKK ile Avrupa Birliği tarafından uygulanan GDPR’ın oldukça paralel düzlemde ilerlediğini söylemiştik. Bu bağlamda, INBOX e-mail sistemi GDPR tabanlı bir toplu e-mail gönderim sistemidir. Yani, bu da her iki Veri Koruma Kanunu ile uyumlu olduğunu gösterir. Bu sayede kullanıcılarının veri güvenliğini maksimuma çıkarmayı hedefleyen INBOX, tek bir panel altında içe aktarılan tüm hedef kitleye tek bir anti-spam kanununa göre e-mail atmayı mümkün kılar. Bu da INBOX sayesinde hem KVKK hem GDPR uyumlu olduğu için gerek Avrupa Birliği gerek Türkiye’deki kitleye verilerin hiçbir tehlikeye sokulmadan e-mail atılabilmesi anlamına geliyor.

Comments are closed.