ISO & Uyumluluk21 Mayıs 20268 dakika okuma

KVKK Nedir? Kişisel Verilerin Korunması Kanunu Kapsamlı Rehberi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde temel hakları düzenler. Veri sorumlusu yükümlülükleri, açık rıza, VERBİS kaydı ve idari para cezaları bu rehberde.

KVKKKişisel VeriVERBİSVeri SorumlusuAçık RızaGDPR

KVKK Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe giren ve Türkiye'de kişisel verilerin işlenmesine ilişkin esas ve usulleri düzenleyen temel yasal düzenlemedir. Avrupa Birliği'nin GDPR (Genel Veri Koruma Tüzüğü) ile büyük ölçüde uyumlu olan KVKK, bireylerin kişisel verileri üzerindeki haklarını koruma altına alır.

Temel Kavramlar

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Ad-soyad, T.C. kimlik numarası, e-posta, telefon, konum verisi, IP adresi, fotoğraf bu kapsamdadır.
  • Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, din, sağlık, cinsel hayat, biyometrik ve genetik veriler. Bu veriler için işleme koşulları daha kısıtlıdır.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi (örn. bulut hizmet sağlayıcısı).
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Kişisel Veri İşleme Şartları

Kişisel veriler yalnızca aşağıdaki koşullardan en az birinin varlığı halinde işlenebilir:

  • İlgili kişinin açık rızasının bulunması
  • Kanunlarda açıkça öngörülmesi
  • Sözleşmenin kurulması veya ifası için zorunlu olması
  • Hukuki yükümlülüğün yerine getirilmesi için zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatlerinin bulunması

VERBİS — Veri Sorumluları Sicil Bilgi Sistemi

VERBİS, veri sorumlularının Kişisel Verileri Koruma Kurumu'na (KVKK Kurumu) kayıt yaptırdığı çevrimiçi sistemdir:

  • Yıllık çalışan sayısı 50'nin üzerinde veya yıllık mali bilanço toplamı 25 milyon TL'nin üzerinde olan veri sorumluları VERBİS'e kayıt olmak zorundadır.
  • Kayıt kapsamında: İşlenen kişisel veri kategorileri, işleme amaçları, alıcı grupları ve yurt dışı aktarım bilgileri beyan edilir.
  • VERBİS kaydı yapılmaması 20.000 TL ile 1.000.000 TL arasında idari para cezasına yol açar.

İlgili Kişinin Hakları

  • Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı
  • İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme hakkı
  • Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme hakkı
  • Eksik veya yanlış işlenmiş verilerin düzeltilmesini talep etme hakkı
  • Kişisel verilerin silinmesini veya yok edilmesini talep etme hakkı (unutulma hakkı)
  • İşlemeye itiraz etme hakkı
  • Otomatik sistemler vasıtasıyla analiz edilmesine itiraz etme hakkı

Veri sorumlusu bu taleplere en geç 30 gün içinde yanıt vermek zorundadır.

Teknik ve İdari Tedbirler

KVKK, kişisel verilerin güvenliğini sağlamak için teknik ve idari tedbirlerin alınmasını zorunlu kılar:

Teknik Tedbirler:

  • Ağ güvenliği ve uygulama güvenliği sağlanması
  • Kişisel veri güvenliğinin takibi (log yönetimi, SIEM)
  • Kişisel veri içeren ortamların güvenliğinin sağlanması (şifreleme, erişim kontrolü)
  • Güvenlik açıklarının tespiti ve giderilmesi (sızma testi, zafiyet taraması)
  • Yedekleme sistemlerinin kurulması

İdari Tedbirler:

  • Çalışanların KVKK konusunda eğitilmesi ve farkındalık oluşturulması
  • Kişisel veri işleme envanterinin hazırlanması
  • Gizlilik taahhütnameleri ve veri işleme sözleşmelerinin imzalanması
  • Veri imha politikasının oluşturulması ve uygulanması
  • İç denetim mekanizmalarının kurulması

Veri İhlali Bildirimi

Kişisel verilerin yetkisiz kişilerce ele geçirilmesi durumunda veri sorumlusu:

  • İhlali fark ettiği tarihten itibaren 72 saat içinde KVKK Kurumu'na bildirmek zorundadır.
  • İhlalden etkilenen kişilere de en kısa sürede bildirim yapılmalıdır.

İdari Para Cezaları

  • Aydınlatma yükümlülüğüne aykırılık: 13.129 TL – 262.618 TL
  • Veri güvenliğini sağlama yükümlülüğüne aykırılık: 26.258 TL – 1.965.088 TL
  • Kurul kararlarına aykırılık: 52.516 TL – 1.965.088 TL
  • VERBİS'e kayıt yükümlülüğüne aykırılık: 39.387 TL – 1.965.088 TL

KVKK ve GDPR Farkları

  • GDPR, tüzel kişilerin yanı sıra AB'li bireylerin verilerini işleyen AB dışındaki kuruluşlara da uygulanır; KVKK yalnızca Türkiye'de yerleşik veri sorumlularını kapsar.
  • GDPR cezaları küresel ciro üzerinden hesaplanır (en fazla %4); KVKK'da sabit bant aralıkları söz konusudur.
  • Her iki düzenleme de veri minimizasyonu, amaç sınırlılığı ve şeffaflık ilkelerini paylaşır.

Sonuç

KVKK uyumu yalnızca ceza riskini azaltmakla kalmaz; kurumsal güveni artırır ve veri yönetişim olgunluğunu geliştirir. Lider Network, KVKK gap analizi, teknik tedbirlerin uygulanması ve VERBİS kaydı süreçlerinde danışmanlık hizmeti sunmaktadır.

İlgili Makaleler

ISO & Uyumluluk

ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemi Rehberi

Oku ISO & Uyumluluk

ISO 22301 İş Sürekliliği Yönetim Sistemi: Felaket Senaryolarına Hazırlık

Oku ISO & Uyumluluk

ISO 20000: IT Servis Yönetimi Standardı ve ITIL ile İlişkisi

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi