Anasayfa/ Makale/ KVKK Kapsamında Kişisel Veri İşleme ve Bilgi Güvenliği İlkeleri

KVKK Kapsamında Kişisel Veri İşleme ve Bilgi Güvenliği İlkeleri

Kişisel Verilerin Korunması Kanunu çerçevesinde veri işleme süreçleri ve bilgi güvenliği standartları, yasal sorumlulukların temelini oluşturur. Bu makalede, kişisel verilerin hukuka uygun işlenmesi, açık rıza şartları ile bilgi sistemlerinde gizlilik, bütünlük ve erişilebilirlik ilkelerinin hukuki boyutu detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
ÖZEL HAYATIN GİZLİLİĞİ AÇIK RIZA KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ İNSAN HAKLARI

Bilgi toplumu kavramının gelişmesiyle birlikte dijital ortamlarda saklanan verilerin hacmi artmış, bu durum kişisel verilerin korunması ve bilgi güvenliği kavramlarını hukuki bir zemine oturtma ihtiyacını doğurmuştur. Temel hak ve özgürlükler kapsamında yer alan özel hayatın gizliliği, mevzuatımızda güvence altına alınmıştır. Bir kurumun malvarlığını ve rekabet gücünü koruması, elinde bulundurduğu verilerin güvenliğini sağlamasıyla doğrudan ilişkilidir. Bu bağlamda hukuki çerçeve, kurumları yalnızca hukuki süreçleri yürütmekle değil, aynı zamanda verilerin saklandığı sistemleri fiziksel tehditlere ve siber saldırılara karşı teknik olarak korumakla yükümlü kılmaktadır. Hukuk uygulamaları açısından veri sorumluları, verilerin otomatik veya otomatik olmayan yollarla işlenmesi aşamalarında yasal ilke ve şartlara harfiyen uymak zorundadır. Yasal ve teknik önlemlerin entegre bir şekilde yürütülmesi, güvenilir bir altyapının tesis edilmesinin temel şartıdır.

Bilgi Güvenliğinin Temel Bileşenleri ve Hukuki Önemi

Hukuk uygulamalarında verilerin salt sözleşmelerle korunması yeterli görülmemekte, teknik güvenliğin de eşzamanlı tesis edilmesi beklenmektedir. Hukuki perspektiften bilgi güvenliği, temelde gizlilik, bütünlük ve erişilebilirlik olmak üzere üç ana bileşenden oluşmaktadır. Gizlilik, kişisel verilere yalnızca yetkili kişilerin erişebilmesini ifade ederken; bütünlük, verilerin yetkisiz kişilerce değiştirilmesini veya tahrip edilmesini engellemeyi, yani verinin doğruluğunu korumayı amaçlar. Erişilebilirlik ise bilgi sistemlerinin sekteye uğramadan istikrarlı çalışmasını ve yetkili kişinin veriye dilediği an ulaşabilmesini temin eder. Bu üç bileşenin zarar görmesi hukuki anlamda doğrudan veri güvenliğinin risk altına girmesini doğurur. Dolayısıyla veri sorumlularının, sadece kağıt üzerinde değil, kullandıkları donanımsal ve yazılımsal altyapılarda da bu üç unsuru garanti altına alan kriptoloji temelli şifreleme yöntemleri ve siber güvenlik stratejileri geliştirmesi, yasal yükümlülüklerinin ayrılmaz bir parçasıdır.

KVKK Kapsamında Kişisel Veri İşleme Şartları ve Açık Rıza

Kanun koyucu, kişisel verilerin işlenmesi eylemini verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve aktarılması gibi her türlü faaliyet olarak geniş bir çerçevede tanımlamıştır. Hukuka uygun bir veri işleme sürecinin temel şartı, ilgili kişinin açık rızasının usulüne uygun şekilde alınmasıdır. Açık rıza; belirli bir konuya ilişkin, önceden aydınlatma yükümlülüğü yerine getirilerek bilgilendirilmeye dayanan ve kişinin özgür iradesiyle verdiği onayı ifade eder. Genel, sınırları çizilmemiş ve muğlak ifadelerle alınan rızalar, hukuk önünde geçerli kabul edilmemektedir. Veri sorumlusu, aydınlatma yükümlülüğü kapsamında hangi verilerin ne amaçla işleneceğini veri sahibine açıkça belirtmek zorundadır. Ancak yasalarımız, hayatın olağan akışını ve ticari gereksinimleri gözeterek rızanın aranmadığı bazı istisnai durumlar da kurgulamıştır.

Açık Rıza Aranmaksızın Veri İşlenebilecek Haller

Hukuk uygulamalarında, veri sorumlularının iş süreçlerini aksatmadan yürütebilmeleri için Kanun'da açık rıza aranmaksızın kişisel veri işlenebilecek hukuka uygunluk nedenleri sınırlandırılmıştır. Her olayda rıza aranması hukuki işlemlerin doğasına aykırı olabileceğinden, kanun koyucu belirli şartların varlığı halinde veri işlemeye cevaz vermiştir. Veri sorumluları bu istisnalara dayanırken amaca bağlılık ve ölçülülük ilkelerinden sapmamalıdır. Hangi verinin sözleşme ifası, hangi verinin meşru menfaat kapsamında olduğu mutlaka belirlenmelidir. Aşağıdaki tabloda bu istisnai hukuki durumlar ve uygulamadaki yansımaları özetlenmektedir:

Kanuni İstisna Durumu Hukuki Uygulama Örneği
Kanunlarda açıkça öngörülmesi Mevzuatın kurumlara açıkça yetki verdiği haller.
Fiili imkânsızlık hali Rıza verilemeyen durumlarda hayatın korunması.
Sözleşmenin ifası Ticari sözleşmelerde zorunlu kimlik bilgilerinin işlenmesi.
Hukuki yükümlülük İşverenin personel maaşını ödemek için SGK kaydı yapması.
Verinin alenileştirilmesi Veri sahibinin bilgilerini kamuya açıkça sunması.
Bir hakkın tesisi Hukuki süreçlerde ispat yükümlülüğünün gerektirdiği veriler.
Meşru menfaat Temel haklara zarar vermeden yürütülen kurum faaliyetleri.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

Hukuka uygun olarak işlenmiş kişisel veriler, işlenmesini gerektiren yasal ve fiili sebeplerin ortadan kalkması halinde, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmek, yok edilmek veya anonim hale getirilmek zorundadır. Hukuki açıdan verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok etme ise, verilerin hiç kimse tarafından geri getirilemez şekilde fiziksel veya teknolojik olarak kalıcı biçimde imha edilmesidir. Diğer yandan anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesini ifade eder. Bilimsel ve istatistiksel araştırmalarda sıklıkla başvurulan bu yöntem, maskeleme veya veri türetme gibi tekniklerle hayata geçirilir. Veri sorumlularının bu prosedürleri, önceden hazırlayacakları kişisel veri saklama ve imha politikası çerçevesinde yürütmesi yasal bir yükümlülüktür.

İnternette her şeye 'okudum onayladım' diyoruz, bu rızalar hep geçerli mi? expand_more
Kişisel Verilerin Korunması Kanunu'na göre genel, sınırları çizilmemiş ve muğlak ifadelerle alınan rızalar hukuk önünde geçerli kabul edilmemektedir. Hukuka uygun bir veri işleme sürecinin gerçekleştirilebilmesi için açık rızanın belirli bir konuya ilişkin, önceden aydınlatma yapılarak ve kişinin tamamen özgür iradesine dayanarak alınması şarttır. Ayrıca veri sorumlusu, aydınlatma yükümlülüğü kapsamında hangi kişisel verilerin ne amaçla işleneceğini veri sahibine baştan açıkça belirtmek zorundadır.
Şirketler benden izin almadan kişisel bilgilerimi kullanabilir mi? expand_more
Kural olarak kişisel verilerin işlenebilmesi için ilgili kişinin usulüne uygun şekilde açık rızasının alınması gerekmektedir. Ancak kanun koyucu, ticari gereksinimler ve hayatın olağan akışını gözeterek bazı istisnai durumlar öngörmüştür. Örneğin; kanunlarda açıkça yetki verilmesi, bir sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi veya meşru menfaati gibi hallerde açık rıza aranmaksızın veri işlenmesi hukuken mümkündür. Bu istisnai durumlara dayanılırken dahi kurumlar amaca bağlılık ve ölçülülük ilkelerinden kesinlikle sapmamalıdır.
Eski iş yerimde kalan kimlik bilgilerimi tamamen sildirmem mümkün mü? expand_more
Evet, hukuka uygun olarak işlenmiş olsa dahi verilerin işlenmesini gerektiren yasal ve fiili sebepler ortadan kalktığında verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Bu imha işlemi, veri sorumlusu tarafından kendiliğinden (resen) yapılabileceği gibi ilgili kişinin yani sizin talebiniz üzerine de derhal gerçekleştirilmek zorundadır. Veri sorumlularının tüm bu silme, yok etme ve anonimleştirme prosedürlerini, önceden hazırlamak zorunda oldukları kişisel veri saklama ve imha politikası çerçevesinde yürütmesi asli yasal yükümlülüklerinden biridir.
Bilgilerimi verdiğim şirket hacklenirse şirketin hukuki sorumluluğu var mı? expand_more
Kurumların böyle bir durumda doğrudan hukuki sorumluluğu doğmaktadır. Veri sorumluları sadece hukuki sözleşmeler yapmakla kalmamalı, verilerin tutulduğu sistemleri siber saldırılara karşı koruyacak teknik güvenliği eşzamanlı olarak sağlamakla yükümlüdür. Kullandıkları altyapılarda kriptoloji temelli şifreleme yöntemleri kullanarak bilgi güvenliğinin temel taşları olan gizlilik, bütünlük ve erişilebilirlik ilkelerini garanti altına almak zorundadırlar. Bu unsurların zarar görmesi doğrudan veri güvenliğinin risk altına girmesi anlamına geldiğinden idari ve hukuki yaptırımlar kaçınılmaz olacaktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir