KVKK, gerçek kişilere ait kişisel verilerin diğer gerçek kişiler veya tüzel kişiler tarafından kaydedilmesini, işlenmesini ve korunmasını düzenleyen bir kanundur.

6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’KVK’’, ‘’Kanun’’) 24 Mart 2016 tarihinde kabul edilmiş, 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanmıştır.

Kanun’un amacı 1. maddesinde açıklandığı üzere kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

KVKK, gerçek kişilere ait kişisel verilerin diğer gerçek kişiler veya tüzel kişiler tarafından kaydedilmesini, işlenmesini ve korunmasını düzenleyen bir kanundur.

6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’KVK’’, ‘’Kanun’’) 24 Mart 2016 tarihinde kabul edilmiş, 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanmıştır.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (örneğin CRM, ERP v.b) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes kanun kapsamındadır.

KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.

Bununla birlikte kanunda kişisel verilerin ne olduğu sınırlandırılmamıştır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Dolayısıyla kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.

KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, kişi hakkında alınan güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veridir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Kıyas yoluyla genişletilmesi mümkün değildir.

Kişisel veriler, ancak ilgili kişinin açık rızasının veya Kanun’un 5. maddesinde sayılan istisnaların varlığı durumunda işlenebilecektir. Kanun, açık rıza hususunu “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlamıştır.

Açık rızanın gerektiği durumda, veri sorumlusunun ispat hukuku kurallarını gözeterek ileriye dönük dokümantasyon ve ispat vasıtalarını ortaya koyması gerekmektedir.

Açık rızanın olmaması halinde kişisel veriler ancak kanunun 5. maddesinde belirtilen, aşağıdaki istinalar halinde işlenebililir.

• Kanunlarda açıkça öngörülmesi,
• Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Kanun özel nitelikli kişisel verilerin işlenmesi konusunda ek kurallar getirmiştir. Kural olarak, özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmadan işlenmesi yasaktır. Ancak, Kanun’un 6. maddesinde özel nitelikli kişisel verilerin işlenmesi için de bir takım istisnalar getirilmiştir. Buna göre, özel nitelikli kişisel veriler;

• Kanunlarda öngörülen hallerde,
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

ilgili kişinin açık rızası aranmaksızın kullanılabilir.

Veri sorumlusunun kişisel verileri aktarma durumu kanunda iki başlık halinde ele alınmıştır:

• Yurt içindeki 3. kişilere aktarılma
• Yurt dışına aktarılma

Yurt içinde 3. kişilere aktarma

Kanun, veri sahibi kişilerin kişisel verilerinin başka tüzel ve gerçek kişileri aktarılmasını açık rıza şartına bağlamıştır.

Bununla birlikte açık rıza şartına bazı istisnalar da getirmiştir

Bu istisnai durumlar şöyle açıklanmıştır;

• Kanunlarda açıkça öngörülmesi,
• Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Yukarıdaki hallerin varlığı halinde kişinin açık rızası aranmadan veriler aktarılabilinir.

Ayrıca;

• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

açık rıza aranmaksızın aktarım yapılabilecektir.

Yurt dışına aktarma

Kişisel verilerin yurt dışına aktarılması, yurt içinde aktarılması gibi öncelikli olarak açık rıza şartına bağlanmıştır fakat burada da yurt içinde aktarmada açık rıza alınmasına getirilen  istisnalar aynı şekilde geçerli kılınmıştır.

Fakat yurt içinde aktarımdan farklı olarak yurt dışına aktarma için ek kurallar getirmiştir.

Bu kurallar, kişisel verilerin aktarılacağı ülkede;

• Yeterli korumanın bulunması,
• Yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

şartını koymuştur.

Verilerin aktarıldığı yabancı ülkede yeterli korumanın olup olmadığı kurul tarafından ilan edilecektir