EROĞLUHUKUK
Randevu Al

KVKK ve kişisel veriler

Türkiye genelinde KVKK uyumu, aydınlatma yükümlülükleri, veri ihlali ve kişisel veri uyuşmazlıklarına ilişkin rehber.

Aşağıdaki metin genel bilgilendirme amaçlıdır; somut olayınız, delilleriniz ve hedefleriniz için avukatlık hizmeti almanız ve randevu oluşturmanız önerilir. Sunulan içerik hukuki görüş niteliği taşımaz.

KVKK ve Kişisel Veriler Nedir?

KVKK ve kişisel veriler hukuku; kişisel verilerin işlenmesi, saklanması, aktarılması ve korunmasına ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesindeki yükümlülükleri ve ihlal sonuçlarını düzenler. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak veri işleyen taraftır. Her iki rol için farklı yükümlülükler öngörülmüştür. Bilişim hukuku ile veri güvenliği ve siber olaylar açısından örtüşür.

Türkiye'de KVKK Uyumunun Kapsamı

Türkiye genelinde KVKK uyumu; işletme büyüklüğü, sektör ve veri işleme faaliyetine göre farklı öncelikler içerebilir. Sık ele alınan başlıklar şunlardır:

  • Aydınlatma metni ve açık rıza düzenlemeleri
  • VERBİS kaydı ve veri envanteri
  • Veri ihlali bildirimi (Kurul ve ilgili kişi)
  • Veri sorumlusu–veri işleyen sözleşmeleri
  • İlgili kişi başvurusu ve yanıt süreçleri
  • İdari para cezaları ve idari yaptırımlar

Her kurumun veri işleme envanteri farklıdır; genel şablonlar somut ihtiyaçların yerine geçmeyebilir.

Aydınlatma, Açık Rıza ve Hukuki Sebep

Kişisel verilerin işlenmesi için hukuki sebep bulunmalıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Aydınlatma yükümlülüğü; veri sorumlusunun ilgili kişiyi veri işleme hakkında bilgilendirmesini gerektirir.

Aydınlatma metni unsurları

Aydınlatma metninde veri sorumlusunun kimliği, işleme amaçları, aktarım alıcıları, toplama yöntemi ve ilgili kişi hakları yer almalıdır. Eksik veya güncel olmayan metinler uyum riski doğurabilir. Önleyici hukuk kapsamında politika ve prosedür düzenlemeleri birlikte planlanabilir.

Açık rıza gerektirmeyen işleme faaliyetleri kanunda sayılmıştır; somut işleme için hukuki sebep ayrıca değerlendirilmelidir.

VERBİS, Veri Envanteri ve Sözleşmeler

Veri Sorumluları Sicili (VERBİS); belirli koşulları sağlayan veri sorumlularının kayıt yükümlülüğünü ifade eder. Veri envanteri; hangi verilerin, hangi amaçla, ne kadar süreyle işlendiğini kayıt altına alır.

Veri sorumlusu ile veri işleyen arasında yazılı sözleşme yapılması gerekir. Sözleşmede işleme kapsamı, güvenlik tedbirleri ve alt işleyen düzenlemeleri yer almalıdır. Sözleşmeler hukuku kapsamında sözleşme tasarımı desteklenebilir.

Veri İhlali ve Kurul Süreçleri

Veri ihlali; kişisel verilerin hukuka aykırı olarak ele geçirilmesi, ifşa edilmesi veya erişilemez hâle gelmesidir. İhlal tespitinde Kurula ve ilgili kişilere bildirim yükümlülüğü öngörülmüştür; süre ve kapsam mevzuata göre değerlendirilir.

Kurul kararlarına karşı idari para cezaları ve yaptırımlar uygulanabilir. Kararlara karşı idare hukuku kapsamında idari yargı yolu değerlendirilebilir. İlgili kişi başvurularına veri sorumlusunun süresinde yanıt vermesi gerekir.

İlgili kişi hakları

İlgili kişi; bilgi talep etme, düzeltme, silme, işlemeyi kısıtlama ve itiraz etme haklarına sahip olabilir. Başvurunun reddi veya süresinde yanıt verilmemesi hâlinde Kurula şikâyet yolu açıktır. E-ticaret hukuku ve medya hukuku sayfalarından sektörel veri işleme konularına genel bakış edinilebilir.

Özel Nitelikli Veri ve Yurt Dışı Aktarım

Özel nitelikli kişisel veriler (sağlık, biyometrik, ceza mahkûmiyeti vb.) için ayrı işleme şartları öngörülmüştür. Yurt dışına veri aktarımında yeterlilik kararı, standart sözleşme veya açık rıza gibi mekanizmalar değerlendirilir. Çok uluslu şirketlerde grup içi aktarım politikaları ayrıca incelenmelidir.

Teknik ve idari tedbirler

Veri güvenliği için erişim kontrolü, şifreleme, log kayıtları ve personel eğitimi gibi tedbirler alınmalıdır. Periyodik risk değerlendirmesi ve denetim raporları uyum sürecinin parçası olabilir. Hukuk danışmanlığı kapsamında sürekli uyum takibi planlanabilir.

Çalışan Verileri ve İnsan Kaynakları Uyumu

İşe alım, bordro, performans değerlendirme ve disiplin süreçlerinde işlenen çalışan verileri KVKK kapsamındadır. Özlük dosyası, sağlık raporları ve izleme kayıtları ayrı değerlendirme gerektirir. İş hukuku danışmanlığı ile KVKK uyumu birlikte planlanabilir.

Dijital Hukuki Danışmanlık ve Platform

Eroğlu Hukuk; Türkiye genelindeki kullanıcıların KVKK uyum süreçlerini dijital ortamda planlamasına yardımcı olmayı hedefler. Avukat profilleri üzerinden çalışma alanına göre filtreleme yapılabilir; online randevu ile uzaktan veya yüz yüze görüşme talep edilebilir.

KVKK aydınlatma sayfası ve hesaplama araçları bölümü ek kaynaklar sunar. Sunulan hizmetler bilgilendirme ve süreç planlaması içindir; kesin hukuki sonuç taahhüdü içermez.

Sonuç ve Başvuru

Bu sayfa Türkiye genelinde genel bilgilendirme amaçlıdır; somut dosyanız için kişiselleştirilmiş değerlendirme yerine geçmez. Randevu al veya dilekçe talebi oluşturarak destek talep edebilirsiniz.

İlgili okuma: Bilişim Hukuku, Medya Hukuku, E-Ticaret Hukuku, Önleyici Hukuk ve Hukuk Danışmanlığı bağlantılarından ulaşabilirsiniz.

İlgili çalışma alanları

Sık sorulan sorular

Aşağıdaki sorular genel bilgilendirme amaçlıdır; somut dosya için randevu alınız.

VERBİS kaydı kimler için zorunludur?

VERBİS kayıt yükümlülüğü; veri sorumlusunun niteliği, işlenen veri türü ve sayısı gibi kriterlere göre belirlenir. Güncel Kurul rehberleri ve tebliğler dikkate alınmalıdır. Somut faaliyet için envanter çıkarılması önerilir.

Veri ihlali bildirimi ne zaman yapılmalıdır?

İhlalin öğrenilmesinden itibaren mevzuatta öngörülen sürede Kurula ve etkilenen ilgili kişilere bildirim yapılması gerekir. Süre ve kapsam ihlalin niteliğine göre değişir. Gecikme idari yaptırım riskini artırabilir.

Açık rıza her veri işleme için gerekli midir?

Hayır. Kanunda sayılan hukuki sebeplerden biri mevcutsa açık rıza aranmayabilir. İşleme faaliyetinin amacı ve kapsamı somut olayda değerlendirilmelidir. Rıza ile diğer hukuki sebepler karıştırılmamalıdır.

İlgili kişi başvurusuna ne kadar sürede yanıt verilmelidir?

Veri sorumlusu başvuruyu en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Süre uzatılabilir; gerekçe ilgili kişiye bildirilir. Süresinde yanıt verilmemesi Kurula şikâyet yolunu açabilir.

KVKK idari para cezasına itiraz edilebilir mi?

Kurul tarafından verilen idari para cezalarına karşı idari yargı yolunda dava açılabilir. Süre ve merci kararın tebliğine göre belirlenir. Sürenin kaçırılması hak kaybına yol açabilir.

Veri işleyen ile veri sorumlusu arasındaki fark nedir?

Veri sorumlusu işleme amaçlarını belirler; veri işleyen veri sorumlusunun talimatıyla veri işler. Her iki taraf için farklı yükümlülükler öngörülmüştür. Sözleşme ve güvenlik tedbirleri birlikte düzenlenmelidir.

Bu sayfadaki bilgiler hukuki görüş müdür?

Hayır. Bu sayfa genel bilgilendirme amaçlıdır; somut dosyanız, delilleriniz ve hedefleriniz için baroya kayıtlı bir avukattan randevu almanız gerekir. Platform üzerinden randevu veya dilekçe talebi oluşturabilirsiniz.

Randevu alDilekçe talebi