İnternet, iletişim şeklimizi ve günlük görevleri nasıl yerine getirdiğimizi önemli ölçüde değiştirdi.
E-posta’lar gönderiyoruz, belgelerimizi paylaşıyoruz, faturalarımızı ödüyoruz ve kişisel bilgilerimizi tamamen çevrimiçi olarak hiç düşünmeden girerek ürün ve hizmet satın alıyoruz.
Çevrimiçi olarak ne kadar kişisel veri paylaştığınızı hiç merak ettiniz mi?
Ya da bu bilgiye ne oluyor hiç düşündünüz mü?
Bankacılık bilgileri, kişiler, adresler, sosyal medya gönderileri ve hatta IP adresiniz ve ziyaret ettiğiniz sitelerin tümü dijital olarak saklanıyor.
Şirketler bu tür bilgileri size daha iyi hizmet verebilmek için topladıklarını, size daha hedefli ve ilgili iletişimler sunduklarını ve bunların tümünü size daha iyi bir müşteri deneyimi sağlamak için yaptıklarını söylüyor.
Ancak, verileri gerçekten bunun için mi kullanıyorlar?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çıkmadan önce herkesin sorduğu soru buydu. KVKK ile birlikte bir işletme olarak müşteri verilerini toplama, saklama ve kullanma şekli kalıcı olarak değiştirildi.
KVKK Nedir?
7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin korunmasına ilişkin yasal çerçeveyi oluşturur.
KVKK temel olarak kişisel verilerin işlenebileceği, saklanabileceği ve aktarılabileceği koşulları ve veri sorumluları ile veri işleyenlerin yükümlülüklerini ortaya koymaktadır.
6698 sayılı Kanun yürürlüğe girmeden önce Türkiye’de kişisel verilerin korunması ile ilgili özel bir yasa yoktu. Birkaç uzmanlık alanı dışındaki verilerin korunması, Türk Anayasası’nda tek bir hüküm ve Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmişti.
Kişisel Veri Ne Demektir?
“Kişisel veriler” terimi, KVKK’da belirlenen yasal çerçevenin merkezinde yer almaktadır. KVKK‘nın 3. maddesinin (d) bendi uyarınca, kişisel veriler, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamaktadır. KVKK ayrıca, özellikle; ırk, etnik köken, siyasi görüşler, felsefi inançlar, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf veya sendika üyeliği, sağlıkla ilgili bilgiler, cinsel yaşam, önceki ceza mahkumiyetleri ve güvenlik önlemleri gibi hassas kişisel veriler, biyometrik ve genetik veriler gibi kişisel verilerin özel kategorileri için daha katı hükümler içermektedir.
Kişisel Veriler Neden Önemlidir?
İster bir uygulama indirin ister bir şirketin “ücretsiz” e-posta hizmetini kullanın isterseniz de Facebook gibi sosyal bir ağa üye olun… Tüm bu ücretsiz işlemleri yaparken hiçbir ücret ödemediğiniz için kendinizi şanslı hissediyor olabilirsiniz, fakat öncelikle hiçbir şeyin ücretsiz olmadığını bilin.
Bu şirketlerin hepsi ücretsiz hizmetleri karşılığında sizden kişisel verilerinizi alıyor!
Tabii olaya sadece abonelik ve uygulama indirme olarak bakmayın. Çünkü bir web sitesini ziyaret etmek bile, kendinizle ilgili verileri paylaştığınız anlamına geliyor.
Peki kişisel bilgilerinizi paylaştığınızda ne oluyor?
Bir şirket tarafından toplanan bilgiler hiç istemediğiniz kurum ve kuruluşlarla paylaşılabilir.
Kişisel yaşamınızın ayrıntılarını istemediğiniz yabancılarla paylaşmak istemezsiniz değil mi?
Bir şirketten diğerine satılan bilgiler veya rızanız olmadan toplanan veriler, kimlik hırsızlığı kapsamına girer. Bu yüzden çevrimiçi veri gizliliğine gerçek dünyayla aynı şekilde değer vermeniz gerekir.
Kişisel Verilerin İşlenmesinde Temel İlkeler ve Kişisel Verilerin İşlenme Şartları Nelerdir?
Kişisel verileri işlemek için yasal bir dayanak yoksa, bu verileri işlemeniz yasa dışı kabul edilir. Bu yüzden kişisel verilerin işlenmesinde, KVKK’da belirtilen temel ilkelere uygun davranılmalıdır.
KVKK’ya göre kişisel verilerin işlenmesinde temel ilkeler aşağıdaki şekildedir:
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 5. maddesinde ise, kişisel verilerin işlenme şartları düzenlenmiştir.
1. İlgili kişinin açık rızasının varlığı
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel Verilerin Korunması Kanunu’nun Amacı Nedir?
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesine ilişkin olarak kişilerin temel hak ve özgürlüklerini, özellikle de özel hayatın gizliliğini korumak ve kişisel verileri işleyen gerçek veya tüzel kişiler için bağlayıcı olacak yükümlülük, ilke ve usulleri belirlemektir.
KVKK Uyumluluğu Nedir?
Geçmişte veri ihmal ve ihlalleriyle ilgili birçok sorun yaşandı. Bilgiler kayboldu, çalındı veya kötü niyetli kişilere satıldı. Yaşanan tüm bu olaylar sonucu bireylerin kişisel verileri risk altına girdi.
KVKK ile birlikte tüm bu ihmal ve ihlallerde kaynaklı kayıplar, ağır hukuki ve cezai yaptırımlara dönüştürüldü.
KVKK uyumluluğu ile birlikte kuruluşlar, kişisel verileri Kanun’a uygun şekilde kişilerden açıkça onay alarak toplamaya başladı. Aynı zamanda bu verileri toplayan ve yönetenler de verileri kötüye kullanma ve sömürüden korumakla yükümlü kılındı. Kanun’daki bu yaptırımlara uymayan ticari kuruluşlara ağır hukuki ve cezai sorumluluklar yüklendi.
6698 Sayılı Kişisel Verileri Koruma Kanunu’na Göre Şirketlerin Sorumlulukları Nelerdir?
Bir tüketici olarak, verilerinizin birçok şirket tarafından saklandığını ve kullanıldığını bilmeniz ve gerekenden fazlasını paylaşmadığınızdan emin olmanız gerekir. Çünkü mahremiyet, temel bir haktır.
Neyse ki, bu hakkınız artık KVKK ile korunmaktadır.
Şirketlerin; müşterilerinin, tedarikçilerinin ve personelinin kişisel bilgilerini nasıl aldığı sakladığı, koruduğu ve sileceği 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) düzenlenmiştir.
Bu yüzden şirketlerin kişisel verileri nasıl topladığı, sakladığı ve işlediği ile ilgili yasal sorumlulukları yerine getirmesi gerekir. Bu sorumlulukların yerine getirilmemesi ağır hukuki ve cezai yaptırımlara neden olur. Bunun dışında, şirket olarak bir saldırının kurbanı olursanız, gelir kaybı ve müşteri güveni açısından da kötü sonuçlar elde edersiniz.
Tüm bunlar düşünüldüğünde, KVKK, kuruluşların kendilerini ihlallerden korumak için daha çok çalışmaları için güçlü bir teşviktir. Bu yüzden küçük, orta ve büyük ölçekli her şirketin Kişisel Verileri Koruma Kanunu’nu detaylıca incelemesi gerekir.
Kanun kapsamında şirketlerin yapması gerekenler aşağıdaki şekildedir:
- Kişisel veri işlenmesi alanında bir envanter çıkarmak (verilerin ne zaman ve kimlerden toplandığı, verinin ne şekilde kullanıldığı, depolandığı, devredildiği ve imha edildiği)
- Bireylerin (müşteri, çalışan, tedarikçi) verilerinin edinilmesi ve işlenmesi için beyan metinleri ve bilgilendirme formlarıyla açıkça onay almak.
- Uygun güvenlik düzeyini sağlamaya yönelik her türlü teknik ve idari tedbirleri almak.
- Veri sorumlusu sıfatına haiz kişilerin VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırması.
- Çalışanlara gerekli şirket içi eğitimler vermek.
KVKK’ya Uyulmadığı Takdirde Karşılaşılacak Hukuki Yaptırımlar Nelerdir?
KVKK’nın 17. maddesinde, kişisel verilere ilişkin suçlarda 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümlerinin uygulanacağı belirtilmiştir.
a) Kişisel verilerin hukuka aykırı olarak işlenmesi durumunda, 1 yıldan 3 yıla kadar hapis cezası,
b) Yasadışı olarak veri sağlanması veya elde edilmesi yükümlülüğüne uymayanlara 2 ila 4 yıla kadar hapis cezası verilmesi,
c) Yasal olarak belirlenen sürede kişisel verilerin silinmesi yükümlülüğüne uymayanlara 1 ila 2 yıla kadar hapis cezası verilecektir.
KVKK’nın 18. maddesine göre, kişisel verilerini 7. maddeye aykırı olarak silmeyen veya anonim hale getirmeyenler, 5237 sayılı Kanunun 138. maddesine göre cezalandırılır.
a) 10. maddede belirtilen bilgilendirme yükümlülüğüne uymayanların 5.000 ila 100.000 TL lirasına kadar idarî para cezası ödemesi,
b) 12. maddede belirtilen veri güvenliğine ilişkin yükümlülüklere uymayanların 15.000 ila 1.000.000 TL idarî para cezası ödemesi,
c) 15. maddede belirtilen kurul tarafından verilen kararlara uymayanlara 25.000 ila 1.000.000 TL idarî para cezası verilmesi,
ç) 16. maddede belirtilen Veri Sorumluları Siciline kayıt ve bildirimde bulunma yükümlülüğünü yerine getirmeyenlere 20.000 ila 1.000.000 TL idarî para cezası verilir.