KVKK

Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Bu bilgiler, kişinin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi kişinin tanımlanmasına katkı sağlayan önemli bilgilerdir.
Kişisel Verilerin Nitelikleri
Kişisel veriler, direkt ve dolaylı olarak belirli veya belirlenebilir bir gerçek kişiye ilişkin olabilirler.
  • Direkt kişisel veriler, kişinin kimliğini doğrudan belirleyen bilgilerdir. Örneğin, adı, soyadı, doğum tarihi, doğum yeri, T.C. kimlik numarası, telefon numarası, e-posta adresi, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, sağlık ve genetik bilgiler gibi bilgiler doğrudan kişisel veridir.
  • Dolaysız kişisel veriler ise, kişinin kimliğini doğrudan belirleyemeyen ancak başka verilerle birlikte kişinin kimliğini belirlemeye olanak sağlayan bilgilerdir. Örneğin, adres, meslek, medeni durum, eğitim durumu, gelir durumu, alışveriş alışkanlıkları, internet tarama geçmişi gibi bilgiler dolaylı kişisel veridir.
Kişisel Verilerin Korunmasının Önemi
Kişisel verilerin korunması, kişilerin mahremiyetinin korunması, kişilerin özel hayatlarının gizliliğinin sağlanması ve kişilik haklarının korunması açısından büyük önem taşımaktadır. Kişisel verilerin korunması, kişilerin özgür iradeleriyle karar vermelerini, kendilerini ifade etmelerini ve topluma katılımlarını kolaylaştırır.
Kişisel Verilerin Korunması Kanunu (KVKK)
Türkiye'de kişisel verilerin korunması, 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK) ile düzenlenmiştir. KVKK, kişisel verilerin işlenmesi, aktarılması, korunması ve silinmesi gibi hususları düzenlemektedir.
Temel hak ve özgürlüklerin korunmasını amaçlayan bu kanun temelde kişilerin korunmasını amaçlamakta ve verilerin gelişi güzel toplanmasının ve aktarılmasının yaratabileceği olumsuz durumların önüne geçilmesini hedeflemektedir.
Kişisel Verilerin İşlenmesi
Kişisel veriler, ancak ilgili kişinin açık rızası ile veya kanunda öngörülen hallerde işlenebilecektir. Kişisel veriler, ancak veri sorumlusunun meşru menfaatleri için ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla işlenebilecektir. Kişisel veriler, ancak bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde işlenebilecektir.
Kişisel Verilerin Korunması
Kişisel veriler, ilgili mevzuat hükümlerine uygun olarak güvenli bir şekilde saklanmalıdır. Kişisel veriler, yetkisiz kişilerce erişilmesini, değiştirilmesini veya yok edilmesini engelleyecek şekilde korunmalıdır. Kişisel veriler, hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirler alınmalıdır.

 

KVKK İhlali Durumundaki İdari Yaptırımlar
Kişisel Verileri Koruma Kanunu (KVKK), kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını sağlamak amacıyla 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, KVKK'ya aykırılık hallerinde idari yaptırımlar öngörmektedir.
KVKK'ya göre, idari yaptırımlar şu şekildedir:
  • Aydınlatma yükümlülüğüne aykırılık
Aydınlatma yükümlülüğü, veri sorumlusunun, kişisel verilerini işlediği kişileri, bu verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, ilgili kişilerin haklarını ve sahip oldukları hakları nasıl kullanabilecekleri konusunda bilgilendirmesidir. Aydınlatma yükümlülüğüne aykırılık halinde, veri sorumlusu, idari para cezası ile cezalandırılır.
2023 yılı için aydınlatma yükümlülüğüne aykırılık halinde uygulanacak idari para cezası, 29.852 TL ile 597.191 TL arasındadır.
  • Veri güvenliğine ilişkin yükümlülüklere aykırılık
Veri güvenliği, kişisel verilerin yetkisiz kişilerce erişilmesini, değiştirilmesini, silinmesini veya yok edilmesini engelleyecek şekilde alınması, saklanması ve aktarılmasıdır. Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde, veri sorumlusu, idari para cezası ile cezalandırılır.
2023 yılı için veri güvenliğine ilişkin yükümlülüklere aykırılık halinde uygulanacak idari para cezası, 89.571 TL ile 5.971.989 TL arasındadır.
  • Kurul tarafından verilen kararlara aykırılık
Kişisel Verileri Koruma Kurulu (Kurul), KVKK'ya aykırılık hallerinde çeşitli kararlar verebilir. Kurul tarafından verilen kararlara aykırılık halinde, veri sorumlusu, idari para cezası ile cezalandırılır.
2023 yılı için Kurul tarafından verilen kararlara aykırılık halinde uygulanacak idari para cezası, 149.285 TL ile 5.971.989 TL arasındadır.
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık
Veri sorumluları, kişisel veri işleme faaliyetlerini Veri Sorumluları Siciline kayıt ettirmekle yükümlüdür. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde, veri sorumlusu, idari para cezası ile cezalandırılır.
2023 yılı için Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde uygulanacak idari para cezası, 119.428 TL ile 5.971.989 TL arasındadır.

 

Türk Ceza Kanunu'nun Ön Gördüğü Yaptırımlar
Kişisel verilerin hukuka aykırı olarak işlenmesi, Türk Ceza Kanunu'nun (TCK) 136. maddesinde düzenlenmiştir. Bu maddeye göre, kişisel verilerin hukuka aykırı olarak işlenmesi halinde, faile bir yıldan üç yıla kadar hapis cezası verilir. Özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesi halinde ise, ceza yarı oranda arttırılır.
Özel nitelikli kişisel veriler, kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi ise, TCK'nın 137. maddesinde düzenlenmiştir. Bu maddeye göre, kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi halinde, faile iki yıldan dört yıla kadar hapis cezası verilir.
Kişisel verilerin kanunca belirlenen süre içinde silinmemesi ise, TCK'nın 138. maddesinde düzenlenmiştir. Bu maddeye göre, kişisel verilerin kanunca belirlenen süre içinde silinmemesi halinde, faile bir yıldan iki yıla kadar hapis cezası verilir.

 

Kişisel Verilerin Güvenliğini Sağlamak için Alınması Gereken Teknik ve İdari Tedbirler
Kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını sağlamak için teknik ve idari olmak üzere iki tür tedbir alınmalıdır.
Teknik Tedbirler
Teknik tedbirler, kişisel verilerin yetkisiz kişilerce erişilmesini, değiştirilmesini, silinmesini veya yok edilmesini engelleyecek şekilde alınması, saklanması ve aktarılmasıdır.
Kişisel Verileri Koruma Kurumu'nun rehberlerinde alınmasını önerdiği teknik tedbirler şu şekildedir:
  • Yetki matrisi: Veri sorumlusunun, kişisel verilere erişimi olan kişilerin yetkilerini ve sorumluluklarını belirleyen bir belgedir.
  • Yetki kontrol: Kişisel verilere erişimi olan kişilerin yetkilerini sınırlayan ve bu yetkilerin kötüye kullanılmasını önleyen bir dizi uygulamadır.
  • Erişim logları: Kişisel verilere erişimin kayıt altına alınmasını sağlayan bir sistemdir.
  • Kullanıcı hesap yönetimi: Kişisel verilere erişimi olan kullanıcı hesaplarının etkin bir şekilde yönetilmesini sağlayan bir dizi uygulamadır.
  • Ağ güvenliği: Kişisel verilerin bulunduğu ağların güvenliğini sağlamaya yönelik bir dizi uygulamadır.
  • Uygulama güvenliği: Kişisel verilerin işlendiği uygulamaların güvenliğini sağlamaya yönelik bir dizi uygulamadır.
  • Şifreleme: Kişisel verilerin yetkisiz kişilerce okunmasını engellemek için kullanılan bir yöntemdir.
  • Sızma testi: Kişisel verilerin bulunduğu sistemlerin güvenlik açıklarını tespit etmek için yapılan bir testtir.
  • Saldırı tespit ve önleme sistemleri: Kişisel verilerin bulunduğu sistemlere yönelik saldırıları tespit etmek ve önlemek için kullanılan sistemlerdir.
  • Log kayıtları: Kişisel verilere erişim, değişiklik ve silme gibi işlemlerin kayıt altına alınmasını sağlayan bir sistemdir.
  • Veri maskeleme: Kişisel verilerin belirli kısımlarının veya özelliklerinin değiştirilerek anonimleştirilmesini sağlayan bir yöntemdir.
  • Veri kaybı önleme yazılımları (DLP): Kişisel verilerin kaybolmasını veya bozulmasını önlemek için kullanılan yazılımlardır.
  • Yedekleme: Kişisel verilerin düzenli olarak yedeklenmesi, veri kaybı durumunda verilerin geri kazanılmasını sağlar.
  • Güvenlik duvarları: Kişisel verilerin bulunduğu ağları yetkisiz kişilerden korumaya yönelik bir sistemdir.
  • Güncel anti-virüs sistemleri: Kişisel verilerin bulunduğu sistemleri virüs ve diğer zararlı yazılımlardan korumaya yönelik sistemlerdir.
  • Silme, yok etme veya anonim hale getirme: Kişisel verilerin ilgili kişinin talebi üzerine veya kanunda öngörülen durumlarda silinmesi, yok edilmesi veya anonim hale getirilmesidir.
  • Anahtar yönetimi: Kişisel verilerin şifrelenmesi için kullanılan anahtarların güvenli bir şekilde saklanması ve yönetilmesidir.
İdari Tedbirler
İdari tedbirler, kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını sağlamak için veri sorumlusu tarafından alınması gereken kurumsal ve yönetsel önlemlerdir.
Kişisel Verileri Koruma Kurumu'nun rehberlerinde alınmasını önerdiği idari tedbirler şu şekildedir:
  • Farkındalık Eğitimleri: Veri sorumlusu çalışanlarının kişisel verilerin korunması konusunda bilinçlenmesini sağlamak için verilen eğitimlerdir.
  • Politika ve Prosedürlerin belirlenmesi: Kişisel verilerin korunması konusunda veri sorumlusu tarafından uyulması gereken politika ve prosedürlerin belirlenmesidir.
  • Kişisel Veri İşleme Envanterinin Hazırlanması: Veri sorumlusunun elinde bulunan kişisel verilerin kapsamını ve niteliğini gösteren bir belgenin hazırlanmasıdır.
  • VERBİS kaydının gerçekleştirilmesi: Veri sorumlusunun kişisel veri işleme faaliyetlerini Veri Sorumluları Siciline kaydetmesidir.
  • Kanunun temel ilkelerine uyum: Kişisel Verileri Koruma Kanunu'nun temel ilkelerine uygun olarak kişisel verilerin işlenmesidir.
  • Veri işleyenlerle ilişkilerin yönetimi: Veri sorumlusunun kişisel verileri işleyen üçüncü kişilerle olan ilişkilerini yönetmesidir.
Satış Temsilcilerimize Ulaşın
Şirketinize Özel KVKK Danışmanlığı Hizmetimiz İçin Satış Temsilcilerimize Ulaşın

iloogi-kurumsal-logo

© iloogi 2026