KVKK ve bilişim hukuku, dijital ortamda yürütülen tüm faaliyetlerin hukuka uygun şekilde gerçekleştirilmesini sağlayan, birbirini tamamlayan iki temel hukuk alanıdır. KVKK, kişisel verilerin işlenmesi, saklanması, aktarılması ve silinmesine ilişkin kuralları belirlerken; bilişim hukuku, bilişim sistemleri üzerinden işlenen suçlar, elektronik sözleşmeler, e-ticaret faaliyetleri, internet içerikleri ve siber güvenlik gibi konuları düzenler. Böylece hem bireylerin özel hayatının gizliliği korunmakta hem de dijital ekonominin hukuki çerçevesi çizilmektedir.

İstanbul Küçükçekmece KVKK ve bilişim hukuku avukatı - kişisel verilerin korunması ve bilişim suçları

İstanbul genelinde ve özellikle Küçükçekmece bölgesinde faaliyet gösteren işletmeler ve bireyler bakımından kişisel verilerin korunması, veri ihlalleri ve bilişim suçları, dijitalleşen ekonomide giderek artan hukuki konulardır. Bu süreçlerde destek arayan kişiler çoğunlukla bir İstanbul avukat ile çalışmayı tercih etmektedir. KVKK ve bilişim hukuku birlikte değerlendirildiğinde, kişisel verilerin hukuka aykırı biçimde ele geçirilmesi, işlenmesi veya ifşası gibi durumlar hem veri koruma hukuku hem de bilişim suçları kapsamında sonuç doğurabilir. Bu nedenle, dijital ortamda veri işleyen gerçek ve tüzel kişilerin, hem KVKK hükümlerine hem de bilişim suçlarına ilişkin ceza normlarına uygun hareket etmesi zorunludur.

KVKK'nın Kapsamı ve Amacı

6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye'de kişisel verilerin korunmasına ilişkin temel mevzuattır. Kanunun temel amacı, kişisel verilerin hukuka uygun işlenmesini sağlamak, bireylerin özel hayatının gizliliğini korumak ve veri işleme faaliyetlerinde hukuki güvenlik ve öngörülebilirlik tesis etmektir. KVKK, hem kamu kurumlarını hem de özel sektörde faaliyet gösteren gerçek ve tüzel kişileri kapsar; kişisel veri işleyen tüm aktörlere belirli yükümlülükler yükler.

Kanun, kişisel verilerin hangi şartlarda işlenebileceğini, hangi hukuki sebeplere dayanılması gerektiğini, hangi hallerde açık rıza aranacağını ve hangi durumlarda rıza aranmaksızın işleme yapılabileceğini ayrıntılı şekilde düzenler. Ayrıca, özel nitelikli kişisel veriler (sağlık verileri, biyometrik veriler vb.) için daha sıkı koruma mekanizmaları öngörülmüştür. KVKK'nın yapısı gereği, veri işleme faaliyetleri yalnızca teknik süreçler değil, aynı zamanda ciddi bir hukuki risk yönetimi konusu haline gelmiştir.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Ad-soyad, T.C. kimlik numarası, adres, telefon, e-posta, IP adresi, konum bilgisi gibi klasik tanımlayıcıların yanı sıra; işlem kayıtları, alışveriş geçmişi, sosyal medya aktiviteleri, görüntü ve ses kayıtları da kişisel veri niteliği taşıyabilir. Verinin tek başına yeterli olmaması önem taşımaz; başka verilerle eşleştirildiğinde ilgili kişiyi belirlenebilir hale getiriyorsa, yine kişisel veri kabul edilir.

Bunun yanında, sağlık verileri, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler, ırk, din, siyasi düşünce gibi hassas bilgiler, "özel nitelikli kişisel veri" olarak daha güçlü korumaya tabidir. Bu verilerin işlenmesi için daha sıkı teknik ve idari tedbirler alınmalı, kanunda öngörülen istisnalar dışında açık rıza temin edilmelidir. Kişisel veri kavramının kapsamı geniş olduğu için, dijital ortamda tutulan pek çok kayıt, KVKK çerçevesinde bir veri işleme faaliyeti anlamına gelir.

KVKK'da Temel İlkeler

Kişisel verilerin işlenmesi, yalnızca kanunda öngörülen temel ilkelere uygun olduğu sürece hukuka uygun kabul edilir. Bu ilkeler, veri işleme faaliyetlerinin omurgasını oluşturur ve her işlemde gözetilmesi gerekir. Başlıca ilkeler şu şekilde özetlenebilir:

Veriler, hukuka ve dürüstlük kurallarına uygun şekilde işlenmelidir; ilgili kişinin makul beklentileri ve şeffaflık ilkesi gözetilmelidir. İşleme faaliyetleri belirli, açık ve meşru amaçlar için yapılmalı, toplanan veriler bu amaçlarla bağlantılı, sınırlı ve ölçülü olmalıdır. İhtiyaç fazlası veri toplamak veya "ileride lazım olabilir" düşüncesiyle geniş kapsamlı veri işlemek, ilkelere aykırılık riski taşır.

Veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli; amacın ortadan kalkması veya sürenin dolması hâlinde silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bu ilkeler, veri sorumlusunun hesap verebilirlik yükümlülüğü ile birlikte ele alınmalı ve her bir işleme faaliyeti için dokümante edilebilir şekilde uygulanmalıdır.

Veri Sorumlusu ve Yükümlülükleri

Veri sorumlusu, kişisel verilerin hangi amaçla ve hangi araçlarla işleneceğine karar veren, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Şirketler, dernekler, vakıflar, kamu kurumları, hastaneler, e-ticaret siteleri çoğu durumda veri sorumlusu sıfatına sahiptir. Bu sıfat, bir dizi hukuki ve teknik yükümlülük doğurur.

Veri sorumlusunun en temel yükümlülüklerinden biri aydınlatma yükümlülüğüdür. Veri işleme faaliyetine başlamadan önce ilgili kişiye; hangi verilerin hangi amaçlarla işlendiği, hangi hukuki sebebe dayandığı, ne kadar süreyle saklanacağı, kimlere aktarılabileceği ve haklarını nasıl kullanabileceği açık ve anlaşılır şekilde bildirilmelidir.

Bunun yanında veri sorumlusu, veri güvenliği yükümlülüğü kapsamında; yetkisiz erişim, ifşa, kayıp veya hukuka aykırı işleme risklerine karşı gerekli teknik ve idari tedbirleri almak zorundadır. Güvenlik ihlali yaşanması halinde, belirli şartlarda hem ilgili kişiye hem de Kişisel Verileri Koruma Kurumu'na bildirim yapılması gerekebilir. Veri sorumlularının, süreçlerini KVKK'ya uyumlu hale getiren politika ve prosedürler geliştirmesi, kayıt envanteri tutması ve gerektiğinde VERBİS kaydı yapması da yükümlülük alanı içerisindedir.

İlgili Kişinin Hakları

KVKK, kişisel verisi işlenen herkese "ilgili kişi" sıfatıyla bir dizi hak tanımaktadır. Bu haklar, veri işleme faaliyetlerini denetleyebilme ve gerektiğinde müdahale edebilme imkânı verir. İlgili kişi, öncelikle kişisel verilerinin işlenip işlenmediğini, işlenmişse buna ilişkin bilgi talep etme hakkına sahiptir. Hangi verilerin, hangi amaçla, hangi süreyle işlendiğini ve kimlere aktarıldığını öğrenebilir.

İlgili kişi, verilerinin eksik veya hatalı işlenmesi hâlinde bunların düzeltilmesini talep edebilir; işleme amacı ortadan kalkmışsa veya hukuki sebep sona ermişse, verilerinin silinmesini veya yok edilmesini isteyebilir. Ayrıca, verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhine bir sonucun doğması hâlinde buna itiraz etme hakkı da bulunmaktadır.

Bu hakların kullanılması için genellikle önce veri sorumlusuna başvuru yapılmalı; talebin reddi, eksik karşılanması veya süresinde cevap verilmemesi hâlinde Kişisel Verileri Koruma Kurumu'na şikâyet yoluna gidilmelidir. Böylece KVKK, bireylere yalnızca teorik değil, fiilen kullanılabilir bir koruma mekanizması sağlamaktadır.

Bilişim Hukuku ve Kapsamı

Bilişim hukuku, bilgi ve iletişim teknolojilerine ilişkin tüm faaliyetlerin hukuki boyutunu düzenleyen geniş bir alandır. Bilişim sistemlerine yetkisiz erişim, bilişim sisteminin engellenmesi, bozulması, verilerin yok edilmesi veya değiştirilmesi, sahte web siteleri aracılığıyla yapılan kimlik avı (phishing) faaliyetleri, kişisel verilerin hukuka aykırı olarak ele geçirilmesi gibi eylemler, bilişim suçları kapsamında değerlendirilir ve genellikle ceza hukuku yaptırımlarına tabidir.

Bilişim hukuku aynı zamanda elektronik ticaret, elektronik sözleşmeler, mesafeli satışlar, dijital içerik hizmetleri, platform sorumluluğu, internet içeriklerinin kaldırılması ve erişimin engellenmesi, fikri mülkiyet haklarının dijital ortamda korunması gibi alanları da kapsar. Bu çerçevede, e-ticaret yapan işletmelerin hem tüketicinin korunması, hem kişisel verilerin korunması, hem de ticari elektronik iletilere ilişkin düzenlemelere uyum sağlaması zorunludur.

Günümüzde bilişim hukuku ile siber güvenlik ve KVKK arasındaki bağ son derece sıkıdır. Kişisel veri içeren sistemlere yönelik her saldırı, aynı anda hem veri koruma ihlali hem de bilişim suçu niteliği taşıyabilir. Bu nedenle, kurumların gerekli siber güvenlik tedbirlerini almaları, log ve erişim kayıtlarını mevzuata uygun biçimde tutmaları, ihlal durumunda hızlı hareket edecek bir olay müdahale ve bildirim mekanizması kurmaları, hem hukuki sorumluluklarının hem de itibarlarının korunması açısından kritik önemdedir.

Sıkça Sorulan Sorular

Kişisel verilerim izinsiz işlenirse ne yapabilirim?
Öncelikle veri sorumlusuna yazılı olarak başvurup verilerinizin işlenmesine ilişkin bilgi, düzeltme veya silme talep edebilirsiniz. Başvurunuzun reddedilmesi, eksik karşılanması veya süresinde yanıtlanmaması hâlinde Kişisel Verileri Koruma Kurumu'na şikâyette bulunabilirsiniz. Şartlar oluştuğunda maddi ve manevi tazminat talebi de gündeme gelebilir.
VERBİS kaydı yapmak zorunlu mu?
Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yükümlülüğü, veri sorumlusunun niteliğine, çalışan sayısına ve yıllık mali bilançosuna göre belirlenir. Kanun ve Kurul kararlarıyla bazı veri sorumluları kapsam dışında tutulmuştur. Yükümlülüğün bulunup bulunmadığı somut duruma göre değerlendirilmelidir.
Veri ihlali (data breach) yaşandığında ne yapılmalı?
Kişisel verilerin hukuka aykırı şekilde ele geçirilmesi hâlinde veri sorumlusu, ihlali en kısa sürede Kişisel Verileri Koruma Kurumu'na ve etkilenen ilgili kişilere bildirmekle yükümlüdür. Ayrıca olayın etkilerini sınırlamak için teknik ve idari tedbirlerin alınması, kayıtların korunması gerekir.
Bilişim suçunun mağduru oldum, nasıl bir yol izlemeliyim?
Bilişim sistemine yetkisiz erişim, dolandırıcılık, kimlik avı veya verilerin hukuka aykırı ele geçirilmesi gibi durumlarda Cumhuriyet Başsavcılığına suç duyurusunda bulunulabilir. Delil niteliği taşıyan ekran görüntüsü, kayıt ve yazışmaların korunması, soruşturmanın etkinliği açısından önem taşır.
İnternette hakkımda yer alan içeriğin kaldırılmasını isteyebilir miyim?
Özel hayatın gizliliğini ihlal eden veya kişilik haklarına saldırı niteliğindeki içerikler için, ilgili mevzuat çerçevesinde içeriğin çıkarılması veya erişimin engellenmesi talep edilebilir. Başvuru, içerik sağlayıcıya veya sulh ceza hâkimliğine yapılabilir; somut duruma göre tazminat yolu da açıktır.

İstanbul Küçükçekmece'de bir kişisel veri ihlali, KVKK uyum süreci veya bilişim suçuyla mı karşı karşıyasınız? KVKK uyumu, veri ihlali yönetimi, içeriğin kaldırılması ve bilişim suçları süreçlerinizi değerlendirmek için Küçükçekmece avukat kadromuzla iletişime geçebilirsiniz.

İletişime Geçin