KVKK Kimleri Kapsıyor?

Açılımı Kişisel Verilerin Korunması Kanunu olan KVKK, kişisel verilerin toplanması ve işlenmesi konusunda hukuki bir çerçeve çizer. Verilerin ötesinde, bu verilerin ilişkili olduğu kişilerin temel hak ve özgürlüklerinin korunmasını hedefleyen kanun; somut idari, teknik ve hukuki önlemler sunar. KVKK kapsamı, yasal metinde son derece net bir şekilde çizilmiştir. İşte, kanunun kapsamına, istisna hallerine ve KVKK iznine dair bilmeniz gerekenler...

Kişisel Verilerin Korunması Kanunu Kimleri Kapsıyor?

Kişisel verileri işlenen gerçek kişilerin haklarını korumak üzere düzenlenen KVKK, bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Kişisel verileri işlenen tüzel kişiler ise KVKK kapsamı dışında yer alır. Gerçek ve tüzel kişiler, bu verileri tamamen ya da kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyebilir.

KVKK, kanunun işleyişi açısından kamu kurum ve kuruluşları ile özel sektörde faaliyet gösteren kurum ve kuruluşlar arasında herhangi bir ayrım yapmaz. KVKK yönetmeliği dahilinde belirtilen tüm usul ve esasların ilgili tüm kuruluşlar tarafından uygulanması beklenir.

KVKK Kapsamındaki İstisna Halleri Nelerdir?

KVKK oldukça geniş kapsamlı bir kanun olsa da her türlü veri işleme faaliyetini kapsamaz. KVKK 6698 sayılı kanunun 28. maddesi kanun hükümlerinin uygulanmayacağı, istisna hallerini belirler. Kanun kapsamı içine girmeyen haller, bu maddede tamamen veya kısmen kapsam dışı olan haller olmak üzere ikiye ayrılmıştır.

Kanun kapsamındaki tam istisna halleri şu şekilde sıralanabilir:

• Kişisel veriler, gerçek kişiler tarafından kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenebilir.
• Resmi istatistikle anonim hale getirilen veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.
• Kişisel veriler, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenebilir.
• Kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları; milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak önleyici, koruyucu ve istihbari faaliyetler kapsamında işleyebilir.
• Yargı makamları ve infaz mercileri; soruşturma, kovuşturma, yargılama ya da infaz işlemleriyle ilgili verileri işleyebilir.

Kanun kapsamındaki kısmı istisna halleri ise şunlardır:

• Suçun önlenmesi veya suç soruşturması için gerekli durumlarda kişisel veriler işlenebilir.
• İlgili kişinin kendisi tarafından alenileştirilmiş veriler işlenebilir.
• Kanunen görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliği taşıyan meslek kuruluşları, disiplin soruşturma veya kovuşturmaları kapsamında kişisel verileri işleyebilir.
• Devletin ekonomik ve mali çıkarlarının korunması için kişisel veriler işlenebilir.

KVKK İzni Nedir?

Kişisel veriler, ancak sayılan istisnai durumlar dışında sadece kişinin açık rızasıyla işlenebilir. KVKK izni olarak da bilinen açık rıza ile kişinin verilerinin işlenmesine ilişkin izninin alınması söz konusudur. Açık rızanın üç unsuru şu şekilde sıralanabilir:

• Açık rızanın geçerli olması için rızanın hangi konuya ilişkin olduğunun belli ve sınırlı olması gerekir. Yani “Kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu bir beyan, açık rıza sayılamaz.
• Kişinin özgür iadesiyle rıza gösterebilmesi için neye rıza gösterdiğini açıkça bilmesi gerekir. Kişilere yapılan bilgilendirme, verinin işlenmesinden önce yapılmalıdır ve verinin nasıl işleneceği açık ve anlaşılır bir biçimde açıklanmalıdır.
• Açık rıza gösteren kişi, yaptığı davranışın bilincinde olmalıdır. Ayrıca bu rızayı herhangi bir baskı altında kalmadan göstermelidir. Yani açık rızanın alınması, bir ürün veya hizmetten faydalanmanın ön şartı olarak ileri sürülmemelidir.

KVKK İzni Nasıl Alınır?

Açık rıza beyanı almak için herhangi bir şekil şartı mevcut değildir. Açık rıza; sözlü, yazılı olarak alınabileceği gibi elektronik ortamda düzenlenen KVKK formu ile de alınabilir. Açık rıza konusunda şunlara dikkat etmek gerekir:

• Açık rızanın istendiği KVKK formları, yalın ve anlaşılır bir dille kaleme alınmalıdır.
• Açık rıza, olumlu bir irade beyanı içermelidir. Yani rızaya dair tüm işlemler rızayı veren kişinin olumlu beyanını açık bir şekilde ortaya koymalıdır.
• Veri sorumlusu gerekli durumlarda açık rızanın alındığını ispatlamakla yükümlüdür.
• Açık rıza veren kişi, istediği zaman rızasını geri alma hakkına sahiptir.

KVKK, kişisel verilerin toplanmasının yanı sıra saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerini de kapsar. Kanun kapsamında işletmelerin mevzuata uygun hareket etmekle birlikte verilerin güvenliğini de sağlamaları önem taşır.

Verileri güvenli hale getirmenin temel yollarından biri ise erişim güvenliğini sağlamaktır. Ayrıcalıklı Erişim Yönetimi (Privileged Access Management) araçları ile alınabilecek önlemler sayesinde yetkili kullanıcılar (sistem yöneticileri, uygulama yöneticileri veya 3. parti kişiler ve/veya uygulamalar) denetlenebilir ve kontrol altında tutulabilir. Ayrıca veritabanı maskeleme, parola yönetimi, iki faktörlü kimlik doğrulama gibi çözümlerle, yetkisiz iç ve dış tehditlere karşı hassas verilerin güvenliği üst düzeyde sağlanabilir.

“Gartner Magic Quadrant for Privileged Access Management” raporunda yer alan ve dünyanın sayılı Ayrıcalıklı Erişim Yönetimi platformlarından biri olan Kron imzalı Single Connect ile kritik verilerinizi güvenli hale getirebilir, daha fazla bilgi almak için iletişime geçebilirsiniz.