.png){kind=small}
Bireyler İçin KVKK Rehberi
- Yiğitcan Aydoğdu
- 13 dakika önce
- 5 dakikada okunur
KVKK Nedir? Bizi Neden İlgilendirir?
KVKK (Kişisel Verilerin Korunması Kanunu), en basit anlatımıyla kişisel bilgilerimizin kimlerin elinde olduğunu, nasıl kullanıldığını ve ne kadar süre saklandığını kontrol edebilmemizi sağlayan bir güvence sistemidir.
Bugün neredeyse her yerde veri bırakıyoruz:
Bir siteye üye olurken
Hastaneye giderken
Kargo söylerken
Banka işlemi yaparken
Hatta bir kafede Wi-Fi’a bağlanırken bile
Adımız, telefonumuz, adresimiz, TC kimlik numaramız, sağlık bilgilerimiz, konumumuz… Bunların tamamı kişisel veri sayılır.
KVKK’ya göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir.
Yani ad–soyad gibi açık bilgilerle sınırlı değil — seni doğrudan ya da dolaylı tanımlayabilen her şey bu kapsama girer.
Basit örneklerle düşünelim:
✅ Açık kimlik bilgileri
Ad – soyad
T.C. kimlik numarası
Doğum tarihi / yeri
✅ İletişim bilgileri
Telefon numarası
E-posta adresi
Ev / iş adresi
✅ Dijital veriler
IP adresi
Konum bilgisi
Cihaz ID
Çerez kayıtları
✅ Sosyal ve ekonomik bilgiler
Meslek
Maaş bilgisi
Banka hesap bilgileri
Alışveriş geçmişi
Bazı kişisel veriler vardır ki, ele geçirildiğinde veya kötüye kullanıldığında kişinin hayatını doğrudan etkileyebilir. KVKK bu nedenle bu grubu ayrı ve daha sıkı koruma altına alır.
Bunlara “özel nitelikli kişisel veriler” denir.
Kanuna göre özel nitelikli veriler şunlardır:
Sağlık bilgileri
Biyometrik veriler
Genetik veriler
Ceza mahkûmiyeti ve güvenlik tedbirleri
Irk / etnik köken
Siyasi düşünce
Sendika üyeliği
Cinsel hayat / cinsel yönelim
Bu verilerin ortak özelliği şudur: Yanlış kişilerin eline geçerse ayrımcılığa, dışlanmaya veya ciddi mağduriyetlere yol açabilir.
Bu yüzden:
Açık rıza olmadan işlenmeleri kural olarak yasaktır
Saklanmaları için ekstra teknik güvenlik gerekir
Her çalışan erişemez
Her sistemde tutulamaz
Açık Rıza Nedir?
(Ne zaman gerekir, ne zaman gerekmez?)
KVKK konuşulurken en çok duyduğumuz kavramlardan biri: açık rızadır. Uygulamada en sık hata yapılan konuların başında gelmektedir. Açık rıza, kişinin kendi kişisel verilerinin işlenmesine bilgilendirilerek, özgür iradesiyle belirli bir amaç için onay vermesidir.
Yani “okudum kabul ediyorum” kutucuğuna otomatik tıklamak her zaman açık rıza değildir.
Açık rızanın geçerli sayılabilmesi için 3 şart birlikte bulunmalı:
✅ 1. Bilgilendirme yapılmış olmalı
Kişiye şunlar açıkça anlatılmalı:
Hangi verisi alınacak?
Ne amaçla kullanılacak?
Kimlerle paylaşılacak?
Ne kadar süre saklanacak?
✅ 2. Özgür iradeyle verilmiş olmalı
Zorla, mecbur bırakılarak veya hizmet şartına bağlanarak alınan onay geçerli değildir.
Örneğin: “Formu imzalamazsan hizmet alamazsın” → açık rıza sayılmaz.
✅ 3. Belirli bir konuya yönelik olmalı
Genel, ucu açık ifadeler geçerli değildir.
“Her türlü işlem için izin veriyorum” gibi cümleler hukuken çöptür.
Peki her durumda açık rıza gerekir mi?
Hayır.
KVKK bazı hallerde açık rıza aranmadan da veri işlenmesine izin verir. Örneğin:
Kanunda açıkça öngörülmüşse
Sözleşmenin kurulması veya ifası için zorunluysa
Hukuki yükümlülük varsa
Bir hakkın tesisi veya korunması gerekiyorsa
Mesela kargo firmasının adresini alması için ayrıca açık rıza gerekmez — çünkü hizmetin kendisi buna bağlıdır.
Ama aynı firma bu bilgileri reklam için kullanacaksa?👉 İşte orada açık rıza gerekir.
Uygulamada en sık görülen ihlaller şunlar:
Tek sayfalık “toplu onay” formları
Önceden işaretlenmiş kutucuklar
Aydınlatma yapılmadan alınan imzalar
Hizmete bağlanan rıza şartları
KVKK Kapsamında Veri Sahibinin Hakları
6698 sayılı Kişisel Verilerin Korunması Kanunu, yalnızca veri sorumlularına yükümlülük getirmekle kalmamış; aynı zamanda veri sahiplerine doğrudan kullanılabilir birtakım subjektif haklar tanımıştır.
Kanunun 11. maddesi uyarınca, herkes kendisiyle ilgili kişisel veriler hakkında aşağıdaki haklara sahiptir:
1. Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı
Veri sahibi, herhangi bir kişi veya kurumun kendisine ait kişisel verileri işleyip işlemediğini sorma ve buna ilişkin açık bilgi talep etme hakkına sahiptir.
2. Kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkı
Verilerin işlenmesi hâlinde;
Hangi verilerin işlendiği,
İşleme amacı,
Aktarıldığı kişi veya kurumlar,
Saklama süresi
gibi hususlarda ayrıntılı bilgi istenebilir.
3. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme hakkı
Veri sahibi, kendisine ait kişisel verilerin gerçeğe aykırı veya eksik olması durumunda bunların düzeltilmesini talep edebilir.
4. İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde silinmesini veya yok edilmesini isteme hakkı
Kişisel verilerin işlenmesini gerektiren hukuki sebep ortadan kalkmışsa, veri sahibi söz konusu verilerin silinmesini, yok edilmesini veya anonim hâle getirilmesini talep edebilir.
5. Yapılan işlemlerin üçüncü kişilere bildirilmesini isteme hakkı
Kişisel verilerin aktarıldığı üçüncü kişiler bulunması hâlinde, silme veya düzeltme işlemlerinin bu kişilere de bildirilmesi talep edilebilir.
6. Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı
Otomatik karar mekanizmaları sonucunda veri sahibinin aleyhine bir durum oluşması hâlinde, buna karşı itiraz etme hakkı bulunmaktadır.
7. Kanuna aykırı veri işlenmesi sebebiyle zarara uğranılması hâlinde tazminat talep etme hakkı
Kişisel verilerin hukuka aykırı şekilde işlenmesi nedeniyle maddi veya manevi zarar doğmuşsa, veri sahibi genel hükümlere göre tazminat talebinde bulunabilir.
Bu hakların kullanılabilmesi için öncelikle veri sorumlusuna başvuru yapılması gerekmekte olup, başvurunun reddedilmesi veya süresinde cevap verilmemesi hâlinde şikâyet yolu açıktır.
KVKK İhlali Örnekleri (Uygulamadan Tipik Durumlar)
Kişisel Verilerin Korunması Kanunu ihlalleri çoğu zaman bilinçli kötü niyetten değil, “alışkanlıkla yapılan işlemlerden” kaynaklanmaktadır. Ancak hukuken sonuç değişmez: kişisel verinin hukuka aykırı işlenmesi başlı başına ihlaldir.
Uygulamada en sık karşılaşılan KVKK ihlalleri aşağıdaki şekilde özetlenebilir:
1. Açık rıza olmaksızın reklam ve pazarlama mesajları gönderilmesi
Kişinin telefon numarasının veya e-posta adresinin hizmet amacıyla alınmış olması, reklam gönderimi için yeterli değildir.
Randevu için alınan telefon numarasına kampanya SMS’i gönderilmesi, açık rıza yoksa KVKK ihlali oluşturur.
2. Eski müşteri verilerinin süresiz şekilde saklanması
Hizmet ilişkisi sona erdiği hâlde kişisel verilerin sistemde tutulmaya devam edilmesi, veri minimizasyonu ve saklama süresi ilkelerine aykırıdır.
Veri sorumlusu, işleme amacının ortadan kalkması hâlinde silme veya yok etme işlemini kendiliğinden yapmakla yükümlüdür.
3. Sağlık verilerinin güvenli olmayan ortamlarda paylaşılması
Hasta bilgileri, reçeteler veya tahlil sonuçlarının WhatsApp gibi güvenliği garanti edilmeyen platformlarda paylaşılması özel nitelikli veri ihlali teşkil eder.
Bu tür ihlaller, idari para cezalarının en yüksek uygulandığı alanlardandır.
4. Kimlik fotokopilerinin açıkta bırakılması
Otel, apartman yönetimi, spor salonu veya işyeri gibi alanlarda kimlik fotokopilerinin kilitsiz dolaplarda tutulması veya herkesin erişimine açık şekilde muhafaza edilmesi ciddi güvenlik zafiyetidir.
5. Çalışan verilerinin gereksiz kişilerle paylaşılması
Personelin maaş bilgisi, sağlık raporu veya disiplin kayıtlarının yetkisiz çalışanlar tarafından görüntülenebilmesi hem KVKK hem de iş hukuku bakımından sorumluluk doğurur.
6. İnternet sitelerinde aydınlatma metni olmadan veri toplanması
Üyelik formları, iletişim sayfaları veya çerez sistemleri üzerinden kişisel veri toplayan internet sitelerinde aydınlatma yükümlülüğünün yerine getirilmemesi açık ihlal niteliğindedir.
7. Kamera kayıtlarının amaç dışı kullanılması
Güvenlik amacıyla alınan kamera kayıtlarının personel takibi veya farklı değerlendirmeler için kullanılması, “amaçla sınırlılık” ilkesine aykırıdır.
KVKK İhlalinde Veri Sahibinin Elde Edebileceği Hukuki Kazanımlar
6698 sayılı Kanun kapsamında kişisel verilerin hukuka aykırı şekilde işlenmesi hâlinde, veri sahibi açısından yalnızca “ihlalin tespiti” söz konusu olmaz; aynı zamanda birtakım somut hukuki kazanımlar da gündeme gelir.
Bu kazanımlar idari ve adli olmak üzere iki ana başlık altında toplanabilir.
I. İdari Süreç Sonucunda Sağlanabilecek Kazanımlar
Veri sorumlusu hakkında yapılan şikâyet üzerine👉 Kişisel Verileri Koruma Kurumutarafından yürütülen inceleme sonucunda aşağıdaki kararlar verilebilmektedir:
▪ Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
İhlalin tespiti hâlinde Kurum, hukuka aykırı şekilde işlenen verilerin tamamen ortadan kaldırılmasına karar verebilir. Bu karar, yalnızca ana veri sorumlusunu değil, verilerin aktarıldığı üçüncü kişileri de bağlar.
▪ Veri işleme faaliyetinin durdurulması
Bazı durumlarda Kurum, belirli bir veri işleme faaliyetinin geçici veya sürekli olarak durdurulmasına hükmedebilir.
Bu özellikle;
özel nitelikli kişisel veriler,
sağlık verileri,
biyometrik kayıtlar
bakımından sıkça karşılaşılan bir yaptırımdır.
▪ İdari para cezaları
KVKK ihlalleri bakımından veri sorumluları hakkında ciddi tutarlarda idari para cezası uygulanabilmektedir.
Bu cezalar;
aydınlatma yükümlülüğünün ihlali,
veri güvenliğinin sağlanmaması,
hukuka aykırı veri işlenmesi,
Kurul kararlarına aykırılık
gibi farklı fiillere göre ayrı ayrı değerlendirilmektedir.
II. Adli Süreçte Talep Edilebilecek Haklar
İdari yaptırımlar, veri sahibinin ayrıca yargı yoluna başvurmasına engel değildir.
KVKK’nın 11/7 maddesi uyarınca, kişisel verilerin hukuka aykırı işlenmesi sebebiyle zarar doğması hâlinde, veri sahibi genel hükümlere göre tazminat talep edebilir.
Bu kapsamda:
▪ Maddi tazminat
(veri ihlali nedeniyle doğrudan ekonomik zarar oluşmuşsa)
▪ Manevi tazminat
(kişilik haklarının zedelenmesi, huzurun bozulması, itibara zarar verilmesi gibi hâllerde)
talep edilebilir.
Uygulamada özellikle;
izinsiz paylaşılan sağlık verileri,
ifşa edilen kimlik bilgileri,
sürekli reklam mesajları,
özel hayatın gizliliğini ihlal eden veri kullanımları
manevi tazminat taleplerine konu olmaktadır.
Yorumlar