Skip to main content
 

KVKK ve Veri Koruma Hukuku | Yıldırım & Bulur Hukuk Bürosu

Günümüz iş ve sosyal yaşamı, bilginin en değerli varlık haline geldiği, her etkileşimin büyük hacimli kişisel veri ürettiği bir dijital dönüşüm sürecindedir. Bu hızla değişen ortamda, bireylerin özel hayatın gizliliği başta olmak üzere temel hak ve özgürlüklerinin korunması, hukuki bir zorunluluk haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu ihtiyaca cevap vermek üzere yürürlüğe girmiş ve kişisel verilerin işlenmesine dair usul ve esasları belirleyerek hem bireyleri güvence altına almış hem de veri sorumlusu olan gerçek ve tüzel kişilere önemli yükümlülükler getirmiştir. KVKK ve buna paralel gelişen Veri Koruma Hukuku, salt bir teknik düzenleme olmaktan öte, hukuka ve dürüstlük kurallarına uygun, meşru amaçlara dayalı, sınırlı ve ölçülü veri işleme faaliyetlerini esas alan, hak temelli bir yaklaşımdır.

KVKK’nın kapsamı oldukça geniştir; kişisel verileri tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen kamu ve özel sektördeki tüm kuruluşları muhatap alır. Kanun, sadece genel nitelikli veriler için değil, aynı zamanda sağlık, biyometrik, cinsel hayat gibi daha hassas kabul edilen özel nitelikli kişisel veriler için de daha sıkı şartlar ve ek güvenlik tedbirleri (teknik ve idari) öngörmektedir. Bu kapsamda, veri işleme faaliyetlerinin hukuki dayanağının (açık rıza, kanunda öngörülme, meşru menfaat vb.) doğru tespiti, veri envanterinin oluşturulması ve ilgili kişilerin şeffaf bir şekilde aydınlatılması, veri sorumlularının temel yükümlülüklerini teşkil eder.

Veri Koruma Hukukuna duyulan bu derin ihtiyaç, yalnızca anayasal hakları koruma amacından kaynaklanmaz; aynı zamanda küresel ölçekte (örneğin GDPR) yükselen uyum beklentilerini ve artan siber saldırı risklerini de içerir. Hukuka aykırı veri işlenmesi, veri ihlali veya güvenlik tedbirlerinin yetersiz kalması durumunda, veri sorumluları, Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından yüksek miktarlarda idari para cezaları ile karşı karşıya kalabilmektedirler. Ayrıca, hukuka aykırı veri paylaşımı veya ifşası, Türk Ceza Kanunu kapsamında cezai yaptırımlara yol açabilir. Bu karmaşık ve riskli ortam, kurumların proaktif ve sürekli bir KVKK uyum süreci yürütmesini zorunlu kılmaktadır.

Yıldırım & Bulur’un bu alandaki çalışma alanları, KVKK uyum süreçlerinin başlangıcından olası uyuşmazlıkların çözümüne kadar geniş bir yelpazeyi kapsar. Büromuzun başlıca hizmetleri arasında;

  • VERBİS kaydı için hukuki destek,
  • Aydınlatma metinleri ve açık rıza beyanlarının hazırlanması,
  • Veri işleme politikaları ve imha süreçlerinin mevzuata uygun hale getirilmesi,
  • Veri aktarımı ve yurt dışına veri aktarımı sözleşmelerinin hazırlanması,
  • İlgili kişilerin Kanun’un 11. maddesindeki erişim, silme ve düzeltme haklarına ilişkin taleplerinin yönetilmesi ve hukuki cevapların oluşturulması yer almaktadır.

KVKK uyuşmazlıklarında avukat ile temsil, Kanun’un geniş ve sürekli değişen ikincil mevzuat yapısı nedeniyle büyük önem taşır. Kurul nezdindeki şikayet süreçleri, idari para cezalarına karşı idari yargı yollarına başvurulması, veri ihlali durumunda hukuki analiz ve bildirim yönetimi gibi kritik süreçler, uzmanlık ve detaylı hukuki strateji gerektirir. Bir avukatın rehberliği, hem mali yaptırımları en aza indirmeye hem de veri güvenliği ve dürüstlük kuralı ihlallerinden doğabilecek itibar kayıplarını önlemeye yardımcı olur.

KVKK Nedir ve Kapsamı Nelerdir?

Kişisel Verilerin Korunması Kanunu (KVKK), dijital çağın getirdiği zorunluluklarla şekillenen, sadece teknik bir düzenleme olmanın ötesinde, hak temelli bir yaklaşımı benimseyen anayasal bir güvencedir. 6698 sayılı Kanun ile hukuk sistemimize giren KVKK, veriyi koruma amacından ziyade, verinin ait olduğu gerçek kişiyi (ilgili kişiyi) merkeze alır ve bu kişinin temel hak ve özgürlüklerini savunmayı hedefler. Kanun, bireylerin kendi verileri üzerindeki tasarruf yetkisini güçlendirirken, verileri işleyen veri sorumlularına şeffaflık, hesap verebilirlik ve dürüstlük ilkelerine dayalı yükümlülükler getirir.

Kanun’un temel taşını oluşturan kişisel veri tanımı, oldukça geniş bir yelpazeyi kapsar: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” bu tanımın içindedir. Bu, sadece ad, soyad, TC kimlik numarası gibi doğrudan kimlik bilgilerini değil; aynı zamanda e-posta adresi, IP adresi, konum verileri, araç plakası, ses ve görüntü kayıtları gibi kişiyi belirlenebilir kılan tüm verileri de içerir. Bu verilerin üzerinde gerçekleştirilen her türlü operasyon ise veri işleme olarak kabul edilir. İşleme, verinin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, yeniden düzenlenmesi, aktarılması, açıklanması, elde edilebilir hâle getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi geniş bir yelpazedeki eylemleri kapsar.

KVKK, tüm veri işleme faaliyetlerinin mutlaka uyması gereken temel genel ilkelere tabidir. Bu ilkeler, Kanun’un uygulama felsefesini oluşturur ve herhangi bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için mutlak surette yerine getirilmesi gerekir.

İlk olarak, veri işleme faaliyetlerinin Hukuka ve Dürüstlük Kurallarına Uygunluk ilkesine riayet etmesi zorunludur. Bu, verilerin yasal sınırlar dâhilinde, etik değerlere uygun bir biçimde ve ilgili kişileri yanıltmayacak şeffaflıkta işlenmesini gerektirir. İkinci temel ilke ise Doğru ve Gerektiğinde Güncel Olma zorunluluğudur. Veri sorumlusu, işlediği kişisel verilerin gerçek durumu yansıtmasını sağlamak ve değişiklik olduğunda güncel kalması için makul çabayı göstermekle yükümlüdür. Bir diğer kritik ilke, verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi gerekliliğidir. Veriler, işlenmeye başlanmadan önce amacın net, anlaşılır ve yasal olarak kabul edilebilir bir zemine oturtulmuş olması gerekir; işleme faaliyeti, bu önceden belirlenen amaçların dışına kesinlikle çıkamaz. Bu ilke ile doğrudan bağlantılı olarak, Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma (Data Minimization) ilkesi devreye girer. Bu ilke, işlenen verinin belirlenen amacı gerçekleştirmek için mutlaka gerekli olması ve toplanan veri miktarının bu amaca ulaşmak için gerekenden fazlası olmaması gerektiğini ifade eder; bu, veri koruma hukukunun en önemli prensiplerinden biridir. Son olarak, veriler İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir. İşleme amacı ortadan kalktığında veya ilgili mevzuat tarafından belirlenen yasal saklama süresi sona erdiğinde, kişisel verilerin derhal silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur.

Özel Nitelikli Kişisel Verilerin Hassas Konumu

Kanun, bireylerin temel hak ve özgürlükleri açısından risk düzeyi daha yüksek olan bazı verileri özel nitelikli kişisel veri olarak tanımlar. Bu veriler: ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Bu hassas verilerin işlenmesi, Kanun’da belirtilen çok daha dar ve sıkı şartlara bağlanmıştır. Örneğin, sağlık ve cinsel hayata ilişkin veriler kural olarak yalnızca açık rıza ile ya da sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurumlar tarafından işlenebilir. Bu verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından belirlenen ek idari ve teknik güvenlik önlemlerinin alınması zorunludur.

Uygulama Alanı ve Veri Kayıt Sistemi Kriteri

KVKK hükümleri, kişisel verileri tamamen veya kısmen otomatik yollarla işleyen herkes için geçerlidir (örneğin yazılımlar, sunucular, bulut sistemleri). Bununla birlikte, otomatik olmayan yollarla işleme söz konusu olduğunda, Kanun’un uygulanabilmesi için verilerin bir veri kayıt sisteminin parçası olması şartı aranır. Bir veri kayıt sistemi, verilerin belirli kriterlere göre yapılandırılarak erişimi ve aramayı kolaylaştıran sistemlerdir (örneğin, bir Excel listesi, fiş kartotekleri, dijital arşivler). Bu geniş kapsam, kamu kurumlarından küçük ve orta ölçekli işletmelere kadar (belirli istisnalar hariç) Türkiye’deki hemen hemen her kuruluşu veri sorumlusu sıfatıyla KVKK yükümlülükleriyle karşı karşıya bırakır.

Neden Veri Koruma Hukukuna İhtiyaç Duyulmuştur?

Artan dijitalleşme ve büyük veri (Big Data) kullanımı, bireylerin kişisel bilgilerinin her an, her yerde işlenmesini ve aktarılmasını beraberinde getirmiştir. Bu durum, siber riskler, mahremiyet ihlalleri ve hukuka aykırı veri ifşası riskini artırmaktadır.

KVKK, bu riskler karşısında bireyin Anayasal güvence altındaki temel haklarını korumak, veri güvenliği yükümlülüklerini somutlaştırmak ve uluslararası düzenlemelere (örneğin GDPR) uyum sağlamak amacıyla zorunlu hale gelmiştir. Kanun, veri sorumlularına teknik ve idari tedbirler alma, aydınlatma yükümlülüğünü yerine getirme ve veri ihlali durumunda bildirim yapma zorunluluğu getirerek, hukuki bir denetim mekanizması oluşturmuştur.

Veri Koruma Uyuşmazlıklarında Avukat ile Temsilin Önemi

Veri koruma hukuku, sürekli güncellenen ikincil düzenlemeler (yönetmelikler, tebliğler, Kurul kararları) ve karmaşık teknik süreçler içerir. Bu alandaki uyuşmazlıklarda uzman bir avukat ile temsil, aşağıdaki nedenlerle önem taşır:

1. Uzmanlık Gerektiren Değerlendirme: Kişisel veri ve işleme gibi geniş tanımlar ile açık rıza, meşru menfaat gibi hukuki dayanakların doğru yorumlanması ve kanıtlanması uzmanlık gerektirir.
2. Yaptırımlardan Korunma: Kanun’a aykırılık hallerinde Kurul tarafından uygulanan yüksek idari para cezaları ve TCK kapsamındaki cezai yaptırımlar söz konusu olabilir. Avukat, bu yaptırımların önüne geçilmesi veya en aza indirilmesi için gerekli hukuki stratejiyi geliştirir.
3. Etkili Başvuru Yönetimi: İlgili kişilerin hak arama süreçlerinde, veri sorumlusuna yapılan başvuruların süresinde ve hukuka uygun şekilde cevaplanması, olası hukuki ve idari davalara karşı dürüstlük kuralı ihlallerini önler.