Şimdi Arayın:
KVKK uyum süreci ve veri mahremiyeti bugün en temel kavramların başında gelmektedir. Günümüz teknolojisi, verilerin ışık hızında kaydedilmesine ve dijital bulutlarda sonsuza dek saklanmasına imkan tanırken; bireylerin geçmişteki hatalarının, değişen fikirlerinin veya mahrem bilgilerinin silinmemesi riskini de beraberinde getirmektedir. 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), dijital hafızanın bu sınırsız gücünü disiplin altına alarak bireylerin temel hak ve özgürlüklerini korumayı hedefler. Artık veri, “yeni dünyanın petrolü” olarak kabul edilmekte; bu petrolün sızması ise şirketler için telafisi güç tazminatlar ve ağır idari para cezaları anlamına gelmektedir.
1. Temel Kavramlar: Veri Sorumlusu ve Veri İşleyen Ayrımı
Veri işleme ekosisteminde sorumlulukların sınırlarını çizmek, uyum sürecinin ilk adımıdır. Bu rollerin karışması, veri ihlali durumunda hukuki muhatabın yanlış belirlenmesine neden olabilir:
- Veri Sorumlusu: Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan gerçek veya tüzel kişidir. İşleme faaliyetinin “neden” ve “nasıl” yapılacağı kararı veri sorumlusuna aittir. Bir şirket, müşterilerinin verilerini toplarken “Veri Sorumlusu” sıfatını taşır.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun adına verileri teknik olarak işleyen kişidir. Örneğin, bir şirketin verilerini sakladığı bulut depolama hizmeti sağlayıcısı “Veri İşleyen” konumundadır. Kanun önünde veri sorumlusu asli sorumlu olsa da, veri işleyen de teknik tedbirlerin alınması hususunda müştereken sorumludur.
2. Kişisel Veri İşlemenin Beş Altın İlkesi
Kanun’un 4. maddesinde yer alan ilkeler, bir veri işleme faaliyetinin “ruhunu” oluşturur. Bu ilkelere aykırı bir işlem, teknik olarak kusursuz görünse bile hukuken geçersizdir:
- Hukuka ve Dürüstlük Kurallarına Uygun Olma: Veri sorumlusu şeffaf olmalı, gizli ajandalarla veri toplamamalıdır.
- Doğru ve Gerektiğinde Güncel Olma: Yanlış verinin işlenmesi, ilgili kişinin hayatında (örneğin kredi notunun yanlış hesaplanması) geri dönülemez zararlar açabilir.
- Belirli, Açık ve Meşru Amaçlar İçin İşlenme: “Belki ileride lazım olur” mantığıyla veri toplanamaz. Amaç net ve sunduğunuz hizmetle bağlantılı olmalıdır.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Bir bülten aboneliği için kişinin anne kızlık soyadını istemek “ölçülülük” ilkesinin ihlalidir.
- Gereken Süre Kadar Muhafaza Edilme: İşleme amacı sona eren veya yasal saklama süresi dolan veri; silinmeli, yok edilmeli veya anonim hale getirilmelidir.
İspat yükü nedir sorusu KVKK süreçlerinde doğrudan “Veri Sorumlusu”nun üzerindedir. Veri sorumlusu, veriyi hukuka uygun işlediğini, aydınlatma yükümlülüğünü yerine getirdiğini ve gerekli teknik tedbirleri aldığını ispat etmekle yükümlüdür.
3. Şeffaflığın Temeli: Aydınlatma Yükümlülüğü
Aydınlatma, ilgili kişinin verisi üzerinde kurduğu kontrolün ilk aşamasıdır. Bu yükümlülük, kişinin talebine bağlı değildir; veri toplandığı anda kendiliğinden yerine getirilmelidir. Etkili bir aydınlatma metni şu unsurları içermelidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Verilerin hangi amaçla işleneceği (muğlaklıktan uzak bir dil),
- Verilerin kimlere ve hangi amaçla aktarılabileceği,
- Veri toplamanın yöntemi ve “Hukuki Sebebi” (Kanun’un 5. ve 6. maddelerine atıf),
- Kişinin hakları (Bilgi alma, düzeltme, silme vb.).
4. Dijital Hafızayı Yönetmek: Unutulma Hakkı
Bireyin geçmişte hukuka uygun olarak yayımlanmış bilgilerinin, güncelliğini yitirmesi nedeniyle arama motoru sonuçlarından çıkarılmasını talep etme hakkına “Unutulma Hakkı” denir. Bu hak, bilişim ve hukuk disiplinlerinin en yoğun çatıştığı alanlardan biridir.
- Kriterler: Bir içeriğin indeksten çıkarılmasında kişinin kamusal rolü, bilginin güncelliği, doğruluğu ve kamunun bilgiye erişim hakkı arasındaki dengeye bakılır.
- Arama Motorlarının Sorumluluğu: KVKK Kurulu kararlarına göre arama motorları “Veri Sorumlusu”dur ve unutulma hakkı taleplerini değerlendirmekle yükümlüdür.
5. Web Siteleri İçin Çerez (Cookie) Yönetimi
Web sitelerinde kullanıcı davranışlarını takip eden çerezler, kişisel veri toplama araçlarıdır.
- Teknik Çerezler: Sitenin çalışması için zorunludur, “Meşru Menfaat” kapsamında rızasız işlenebilir.
- Analiz ve Pazarlama Çerezleri: Kullanıcıyı takip eden çerezler için mutlaka “Açık Rıza” alınmalıdır. Rıza panellerinde “Reddet” butonu, “Kabul Et” butonu kadar görünür ve ulaşılabilir olmalıdır.
6. Veri Güvenliği: Teknik ve İdari Tedbirler
Bir siber saldırı veya veri sızıntısı durumunda KVKK Kurulu’nun bakacağı ilk yer, veri sorumlusunun aldığı önlemlerdir.
- Teknik Tedbirler: Yetki matrisi oluşturma, sızma testleri, uçtan uca şifreleme, güvenlik duvarları ve en önemlisi log kayıtlarının (günlük kayıt) güvenliğinin sağlanması.
- İdari Tedbirler: Veri İşleme Envanteri hazırlanması, çalışanlara farkındalık eğitimi verilmesi, veri işleyenlerle yapılan sözleşmelerin KVKK uyumlu hale getirilmesi.
7. Geleceğin Teknolojisi: Etken Yapay Zeka (Agentic AI) ve KVKK
Yapay zeka modelleri, veriyi sadece işlemekle kalmaz, veriden yeni kararlar üretir. Agentic AI sistemlerinde “açıklanabilirlik” ilkesi esastır. Bir yapay zekanın hangi veriye dayanarak bir birey hakkında olumsuz bir karar (Örn: İş başvurusu reddi) verdiği denetlenebilir olmalıdır. Teknik olarak “kara kutu” olan algoritmalar, KVKK’nın şeffaflık ilkesiyle çelişebilir.
Sonuç: KVKK Bir Süreçtir, Sonuç Değildir
Sonuç: KVKK uyumu, bir kez yapılıp bitirilen bir dokümantasyon çalışması değil, kurumun dijital reflekslerini değiştiren yaşayan bir süreçtir. Veri İşleme Envanteri, bu sürecin temel haritasıdır. Veriyi korumak, sadece yasal bir zorunluluk değil; dijital ekonomide güvenilir bir marka olmanın ve insan onuruna saygı göstermenin en temel şartıdır. Unutulmamalıdır ki, dijital dünyada “silinemeyen” her hatalı veri, bir gün hukuki bir ihtilaf olarak karşınıza çıkabilir.
Bu yazımız sadece genel bilgilendirme amaçtır.Her hangi bir hukuki tavsiye niteliğinde değildir.
Ayan Hukuk Bürosu -Avukat Anıl AYAN -KONYA