KVKK (Kişisel Verileri Koruma Kanunu) ve Uyum Süreçleri: Detaylı Rehber

Kişisel Verileri Koruma Kanunu (KVKK), bireylerin kişisel verilerinin korunmasını ve bu verilerin işlenmesine ilişkin kuralları düzenleyen bir yasadır. KVKK, hem bireylerin haklarını korumak hem de veri işleyen kurumların yükümlülüklerini belirlemek amacıyla 2016 yılında yürürlüğe girmiştir. Bu makalede, KVKK’nın temel ilkeleri, kişisel verilerin işlenmesi, saklanması ve aktarılmasına ilişkin kurallar ile şirketlerin KVKK’ya uyum süreçleri detaylı bir şekilde ele alınacaktır.

KVKK Nedir?

KVKK, kişisel verilerin işlenmesi sırasında bireylerin temel hak ve özgürlüklerini korumayı amaçlayan bir yasadır. Bu kanun, kişisel verilerin otomatik veya otomatik olmayan yollarla işlenmesi, saklanması, aktarılması ve silinmesi gibi süreçleri düzenler. KVKK, hem özel sektör hem de kamu kurumları için bağlayıcıdır.

KVKK’nın Temel İlkeleri

KVKK, kişisel verilerin işlenmesi sırasında aşağıdaki temel ilkelere uyulmasını şart koşar:

1. Hukuka ve Dürüstlük Kurallarına Uygunluk: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun şekilde işlenmelidir.
2. Doğru ve Güncel Olma: İşlenen kişisel veriler, doğru ve güncel olmalıdır.
3. Belirli, Açık ve Meşru Amaçlar için İşleme: Kişisel veriler, belirli, açık ve meşru amaçlar için işlenmelidir.
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Saklanma: Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.

Kişisel Verilerin İşlenmesi, Saklanması ve Aktarılması

Kişisel verilerin işlenmesi, saklanması ve aktarılması süreçleri, KVKK’ya uygun şekilde gerçekleştirilmelidir. Bu süreçlerde dikkat edilmesi gereken bazı önemli noktalar şunlardır:

Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, verilerin toplanması, kaydedilmesi, depolanması, değiştirilmesi, aktarılması ve silinmesi gibi işlemleri kapsar. Kişisel verilerin işlenmesi için aşağıdaki şartlardan en az birinin sağlanması gerekir:

• Açık Rıza: Kişisel veriler, ilgili kişinin açık rızası alınarak işlenebilir.
• Kanuni Yükümlülük: Kişisel veriler, kanuni bir yükümlülüğün yerine getirilmesi için işlenebilir.
• Hayati Menfaat: Kişisel veriler, ilgili kişinin hayati menfaati için işlenebilir.
• Hukuki İşlem: Kişisel veriler, bir hukuki işlemin kurulması veya ifası için işlenebilir.

Kişisel Verilerin Saklanması

Kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak saklanmalıdır. Veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır. Bu süre sona erdiğinde, veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kişisel Verilerin Aktarılması

Kişisel veriler, yurt içinde veya yurt dışında aktarılabilir. Ancak, verilerin aktarılması için aşağıdaki şartlardan en az birinin sağlanması gerekir:

• Açık Rıza: Kişisel veriler, ilgili kişinin açık rızası alınarak aktarılabilir.
• Kanuni Yükümlülük: Kişisel veriler, kanuni bir yükümlülüğün yerine getirilmesi için aktarılabilir.
• Hayati Menfaat: Kişisel veriler, ilgili kişinin hayati menfaati için aktarılabilir.
• Hukuki İşlem: Kişisel veriler, bir hukuki işlemin kurulması veya ifası için aktarılabilir.

Şirketlerin KVKK’ya Uyum Süreçleri

Şirketler, KVKK’ya uyum sağlamak için aşağıdaki adımları izlemelidir:

1. Veri Envanteri Oluşturma: Şirketler, işledikleri kişisel verilerin envanterini çıkarmalıdır.
2. Açık Rıza ve Bilgilendirme Metinleri Hazırlama: Şirketler, kişisel verilerin işlenmesi için açık rıza ve bilgilendirme metinleri hazırlamalıdır.
3. Veri Güvenliği Önlemleri Alma: Şirketler, kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari önlemleri almalıdır.
4. Veri İhlali Bildirim Süreçleri Oluşturma: Şirketler, veri ihlali durumunda izlenecek süreçleri belirlemelidir.
5. KVKK Eğitimleri Düzenleme: Şirketler, çalışanlarına KVKK eğitimleri düzenlemelidir.

KVKK Uyum Sürecinde Dikkat Edilmesi Gerekenler

• Veri İşleme Envanteri: Şirketler, işledikleri kişisel verilerin envanterini düzenli olarak güncellemelidir.
• Açık Rıza ve Bilgilendirme: Şirketler, kişisel verilerin işlenmesi için açık rıza ve bilgilendirme metinlerini hazırlamalıdır.
• Veri Güvenliği: Şirketler, kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari önlemleri almalıdır.
• Veri İhlali Bildirimi: Şirketler, veri ihlali durumunda ilgili kişilere ve Kişisel Verileri Koruma Kurumu’na (KVKK) bildirimde bulunmalıdır.

Sık Sorulan Sorular

1. KVKK kapsamında kişisel veri nedir?
   Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Örneğin, ad, soyad, TC kimlik numarası, e-posta adresi, telefon numarası gibi bilgiler kişisel veri kapsamındadır.
2. Açık rıza nedir ve nasıl alınır?
   Açık rıza, kişisel verilerin işlenmesi için ilgili kişinin özgür iradesiyle verdiği onaydır. Açık rıza, yazılı veya elektronik ortamda alınabilir.
3. Veri ihlali durumunda ne yapılmalıdır?
   Veri ihlali durumunda, şirketler ilgili kişilere ve Kişisel Verileri Koruma Kurumu’na (KVKK) bildirimde bulunmalıdır. Bildirim, ihlalin öğrenildiği tarihten itibaren en geç 72 saat içinde yapılmalıdır.
4. KVKK’ya uyum sürecinde hangi önlemler alınmalıdır?
   KVKK’ya uyum sürecinde, şirketler veri envanteri oluşturmalı, açık rıza ve bilgilendirme metinleri hazırlamalı, veri güvenliği önlemleri almalı ve veri ihlali bildirim süreçleri oluşturmalıdır.
5. KVKK’ya uyum sağlamayan şirketlere ne gibi yaptırımlar uygulanır?
   KVKK’ya uyum sağlamayan şirketlere, idari para cezası, veri ihlali nedeniyle tazminat davaları ve kurumun faaliyetlerinin durdurulması gibi yaptırımlar uygulanabilir.