Dijitalleşen dünyada veri, modern ekonominin ve toplumsal düzenin en değerli varlığı haline gelmiştir. İnternet kullanımının yaygınlaşması, bulut bilişim teknolojileri ve yapay zeka sistemlerinin günlük hayatın bir parçası olması, bireylere ait verilerin işlenmesini kaçınılmaz kılmıştır. Bu durum, bireylerin mahremiyetini koruma ihtiyacını doğurmuş ve Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile yasal bir zemine oturtulmuştur. Bilişim hukuku ile iç içe geçen bu alan, teknolojik gelişmelerle birlikte sürekli güncellenmekte ve hem gerçek kişiler hem de tüzel kişiler için kritik sorumluluklar doğurmaktadır.
Kişisel verilerin korunması, sadece bir teknik uyum süreci değil, aynı zamanda temel bir insan hakkı olan özel hayatın gizliliğinin korunmasıdır. Bilişim hukuku ise bu verilerin dijital mecralarda nasıl işlendiği, aktarıldığı ve hangi güvenlik önlemleriyle korunduğu ile ilgilenen daha geniş bir disiplini temsil eder. Günümüzde bir şirketin web sitesindeki çerez (cookie) politikasından, bir mobil uygulamanın istediği izinlere kadar her detay hem KVKK hem de bilişim hukukunun uygulama alanına girmektedir. Bu makalede, KVKK’daki son yasal değişiklikler, bilişim hukukuyla olan etkileşimi ve uygulama alanındaki güncel gelişmeler detaylandırılacaktır.
Dijital Çağda Kişisel Veri Kavramı ve Hukuki Nitelendirmesi
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanım oldukça geniştir; kişinin adı, soyadı, telefon numarası gibi doğrudan bilgilerin yanı sıra IP adresi, araç plakası, alışveriş alışkanlıkları ve biyometrik verileri de bu kapsamda değerlendirilir. Hukuki açıdan kişisel verilerin korunması, verinin kendisinden ziyade, o verinin sahibi olan bireyin korunmasını amaçlar. Kanun koyucu, verilerin sınırsız ve denetimsiz bir şekilde toplanmasının bireyler üzerinde oluşturabileceği tehditleri önlemeyi hedeflemiştir.
Verilerin işlenmesi sürecinde “açık rıza” kuralı temel prensip olsa da KVKK m. 5 ve m. 6’da belirtilen istisnai hallerde rıza aranmaksızın veri işlenmesi mümkündür. Örneğin, bir sözleşmenin kurulması veya ifası için zorunlu olması ya da veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi gibi durumlarda rıza şartı aranmaz. Ancak bilişim sistemleri üzerinde yapılan işlemlerde verinin ne amaçla toplandığı ve ne kadar süreyle saklanacağı hususları “şeffaflık” ilkesi gereği kullanıcıya bildirilmelidir. Başkent Hukuk ve Danışmanlık olarak, müvekkillerimizin dijital varlıklarını yönetirken bu şeffaflık ve veri minimizasyonu ilkelerine uyum sağlamaları noktasında stratejik rehberlik sunmaktayız.
2024 Yılı KVKK Değişiklikleri: Yurtdışına Veri Aktarımı ve Yeni Kurallar
2024 yılı itibarıyla Türk kişisel veri koruma mevzuatında devrim niteliğinde değişiklikler yapılmıştır. Özellikle 7518 sayılı Kanun ile KVKK’nın 6. ve 9. maddelerinde yapılan düzenlemeler, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumu artırmayı amaçlamaktadır. Eski düzenlemede yurtdışına veri aktarımı oldukça zorlu bir süreçken, yeni düzenleme ile birlikte “yeterlilik kararı” ve “uygun güvenceler” mekanizmaları getirilmiştir. Bu değişiklik, özellikle global çapta hizmet veren bilişim şirketleri ve bulut depolama hizmeti kullanan yerel firmalar için hayati önem taşımaktadır.
Yeni düzenlemeye göre, Kişisel Verileri Koruma Kurulu (Kurul) tarafından hakkında yeterlilik kararı verilen ülkelere veri aktarımı serbestçe yapılabilecektir. Yeterlilik kararı bulunmayan durumlarda ise standart sözleşme hükümlerinin imzalanması veya bağlayıcı şirket kurallarının tesis edilmesi gibi güvencelerle aktarım mümkün hale gelmiştir. Standart sözleşmelerin imzalanmasından itibaren 5 iş günü içinde Kurul’a bildirilmesi zorunluluğu, bilişim hukukunda idari süreçlerin sıkı takibini gerektirmektedir. Bu süreçlerin hatalı yönetilmesi, kurumlar için ciddi idari para cezaları ve itibar kaybı riski taşımaktadır.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Güncel Şartlar
Kişisel veriler arasında daha sıkı korunması gereken; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik veriler “özel nitelikli kişisel veri” olarak tanımlanır. 2024 değişikliği öncesinde sağlık ve cinsel hayata ilişkin verilerin işlenmesi rıza dışında çok sınırlı hallerde mümkünken, yeni düzenleme ile bu alan esnetilmiştir. Artık bu veriler; sosyal güvenlik, genel sağlık sigortası ve koruyucu hekimlik gibi amaçlarla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından açık rıza aranmaksızın işlenebilecektir.
Bilişim hukuku açısından bakıldığında, hastanelerin kullandığı bilgi yönetim sistemleri (HBYS), giyilebilir sağlık teknolojileri ve mobil sağlık uygulamaları bu yeni düzenlemeden doğrudan etkilenmektedir. Veri sorumlularının, işledikleri verilerin özel nitelikli olup olmadığını tespit etmesi ve buna uygun teknik güvenlik önlemlerini (şifreleme, erişim logları vb.) en üst seviyede alması gerekmektedir. Özel nitelikli verilerin hukuka aykırı işlenmesi durumunda Türk Ceza Kanunu kapsamında öngörülen hapis cezalarının alt ve üst sınırlarının ağırlığı, konunun sadece idari değil, cezai boyutunun da ne kadar kritik olduğunu göstermektedir.
Veri Sorumlularının Aydınlatma Yükümlülüğü ve VERBİS Kayıt Süreçleri
KVKK uyarınca her veri sorumlusu, verisini işlediği kişilere karşı aydınlatma yükümlülüğü altındadır. Aydınlatma metni; verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplama yöntemi ve kişinin kanuni haklarını içermelidir. Bilişim sistemlerinde bu yükümlülük genellikle “Gizlilik Politikası” veya “Kullanıcı Sözleşmesi” içinde yer alsa da kanunen bu metinlerin “anlaşılır, sade ve kolay erişilebilir” olması şarttır. Karmaşık ve hukuki jargonla boğulmuş metinler, Kurul nezdinde geçerli bir aydınlatma olarak kabul edilmeyebilir.
Ayrıca, belirli kriterleri (yıllık çalışan sayısı veya mali bilanço toplamı) karşılayan veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olması zorunludur. VERBİS, kurumun hangi kategoride veri işlediğini kamuya beyan ettiği bir şeffaflık aracıdır. Kayıt yükümlülüğüne aykırılık veya yanlış beyanda bulunulması, 2024 yılı itibarıyla milyonlarca lirayı bulan idari para cezalarına yol açabilmektedir. Şirketlerin periyodik olarak veri envanterlerini güncellemeleri ve bilişim altyapılarındaki değişiklikleri VERBİS sistemine yansıtmaları hukuki bir zorunluluktur.
Bilişim Suçları ile KVKK İhlalleri Arasındaki İnce Çizgi
Bilişim hukuku ve KVKK sıklıkla birbirini tamamlayan alanlardır. Kişisel verilerin hukuka aykırı olarak ele geçirilmesi, yayılması veya yok edilmemesi Türk Ceza Kanunu’nun 135-140. maddeleri arasında suç olarak tanımlanmıştır. Bir bilişim sistemine yetkisiz erişim sağlanarak (hackleme) verilerin çalınması durumunda hem TCK m. 243 (Bilişim sistemine girme) hem de TCK m. 136 (Verileri hukuka aykırı olarak verme veya ele geçirme) suçları gündeme gelir.
Bu noktada veri sorumlusunun “veri güvenliğine ilişkin yükümlülükleri” devreye girer. Eğer bir şirket, gerekli siber güvenlik önlemlerini almadığı için verilerin çalınmasına sebebiyet vermişse, cezai sorumluluğun yanı sıra KVKK kapsamında ağır idari para cezalarıyla karşı karşıya kalır. Ayrıca veri ihlali meydana geldiğinde, veri sorumlusunun bu durumu en geç 72 saat içinde Kurul’a ve ilgili kişilere bildirmesi gerekmektedir. Bildirimin gecikmesi, ceza miktarının katlanmasına neden olan bir ağırlaştırıcı sebep olarak görülmektedir.
E-Ticaret ve Sosyal Medya Uygulamalarında Veri Güvenliği
Günümüzde e-ticaret platformları, kullanıcıların alışveriş alışkanlıklarından finansal verilerine kadar devasa miktarda veri toplamaktadır. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve KVKK, bu verilerin pazarlama faaliyetlerinde (ticari elektronik ileti gönderimi) nasıl kullanılacağını sıkı kurallara bağlamıştır. İYS (İleti Yönetim Sistemi) üzerinden onay alınmadan gönderilen kampanya SMS’leri veya e-postaları hem KVKK ihlali hem de e-ticaret mevzuatına aykırılık teşkil eder.
Sosyal medya mecralarında ise verilerin anonimleştirilmeden üçüncü taraflara (reklam verenlere) aktarılması en sık karşılaşılan ihlal türlerinden biridir. Bilişim hukuku uzmanlığı gerektiren bu süreçlerde, kullanıcıların “unutulma hakkı” da büyük önem kazanmıştır. Kişi, geçmişte dijital mecralarda yer alan ve artık güncelliğini yitirmiş veya kendisini rahatsız eden verilerin silinmesini talep edebilir. Yargıtay ve Anayasa Mahkemesi kararlarıyla şekillenen unutulma hakkı, KVKK’nın m. 7 hükmünde yer alan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü ile doğrudan bağlantılıdır.
İdari Para Cezaları ve Kurul’un Denetim Yetkisi
Kişisel Verileri Koruma Kurulu, resen veya şikayet üzerine inceleme yapma yetkisine sahiptir. Yapılan incelemeler sonucunda veri güvenliğini sağlamayan, aydınlatma yükümlülüğünü yerine getirmeyen veya Kurul kararlarına aykırı hareket eden veri sorumlularına ciddi yaptırımlar uygulanmaktadır. İdari para cezaları her yıl yeniden değerleme oranında artırılmaktadır. 2024 yılı için öngörülen cezalar, özellikle büyük ölçekli şirketler için caydırıcı seviyelere ulaşmıştır.
- Aydınlatma Yükümlülüğüne Aykırılık: Kurumsal imajın sarsılmasının yanı sıra yüksek tutarlı para cezaları.
- Veri Güvenliğine İlişkin Yükümlülüklerin İhlali: Teknik önlemlerin yetersizliği nedeniyle verilen cezalar.
- Kurul Kararlarının Yerine Getirilmemesi: Denetim sonucunda verilen talimatlara uyulmaması durumunda uygulanan yaptırımlar.
- VERBİS Kayıt ve Bildirim Yükümlülüğüne Aykırılık: Sicil işlemlerindeki eksiklikler nedeniyle uygulanan cezalar.
Cezaların yanı sıra Kurul, hukuka aykırı veri işleme faaliyetinin durdurulmasına veya verilerin imhasına da karar verebilir. Bu durum, veri odaklı çalışan bir işletme için ticari faaliyetlerin durma noktasına gelmesi riskini taşır. Bu nedenle, KVKK uyum süreci “bir kerelik bir işlem” değil, sürekli bir denetim ve güncelleme döngüsü olarak ele alınmalıdır.
KVKK Süreçlerinde İspat Yükü ve Adli Başvuru Yolları
Verisi ihlal edilen ilgili kişiler, Kurul’a şikayette bulunabileceği gibi genel hükümler çerçevesinde tazminat davası da açabilirler. KVKK kapsamında açılacak tazminat davalarında görevli mahkemeler genel mahkemelerdir (Asliye Hukuk Mahkemeleri). Bu davalarda zarar gören kişi, verisinin hukuka aykırı işlendiğini ve bu nedenle maddi veya manevi bir zarara uğradığını ispat etmekle yükümlüdür. Ancak veri sorumlusunun, verileri hukuka uygun işlediğini ve gerekli tüm teknik önlemleri aldığını ispat etmesi beklenir.
Bilişim sistemleri üzerindeki ihlallerde ispat vasıtası olarak dijital deliller kullanılır. Log kayıtları, zaman damgaları, e-posta trafikleri ve IP adresleri bu davaların en önemli delilleridir. Dijital delillerin “delil bütünlüğünün” korunması, yani değiştirilmediğinin teknik olarak kanıtlanması (hash değerleri vb.) davanın seyrini belirler. Başkent Hukuk ve Danışmanlık olarak merkezimiz Bursa Nilüfer’de olsa da tüm Türkiye genelinde müvekkillerimize dijital delillerin toplanması ve hukuki süreçlerde kullanılması aşamasında profesyonel hukuki destek sağlamaktayız.
Uygulamada Sık Yapılan Hatalar ve Risk Yönetimi
Pek çok kurum, internetten kopyalanan standart aydınlatma metinlerini kullanarak KVKK uyumu sağladığını düşünmektedir. Bu, en büyük ve en yaygın hatalardan biridir. Her kurumun veri işleme faaliyetleri, departmanları, kullandığı yazılımlar ve veri aktardığı üçüncü taraflar farklıdır. Dolayısıyla “terzi usulü” hazırlanmamış bir envanter ve aydınlatma metni, bir denetim anında geçersiz sayılacaktır. Diğer bir hata ise teknik önlemlerin (firewall, antivirus vb.) yeterli görülüp hukuki boyutun (sözleşmeler, politikalar) ihmal edilmesidir.
Risk yönetimi kapsamında; çalışanlara yönelik farkındalık eğitimleri verilmeli, veri işleyenlerle (alt yüklenicilerle) yapılan sözleşmelere KVKK maddeleri eklenmeli ve olası bir veri ihlali durumunda devreye girecek “İhlal Müdahale Planı” önceden hazırlanmalıdır. Şirket içindeki disiplin yönetmelikleri KVKK ile uyumlu hale getirilmeli, işçinin kişisel verilerinin (örneğin araç takip sistemi veya kamera kayıtları) işlenmesinde ölçülülük ilkesine dikkat edilmelidir. Ölçüsüz veri toplama, işe iade davalarında veya tazminat taleplerinde işveren aleyhine ciddi sonuçlar doğurmaktadır.
Hak Kaybı Yaşamamak İçin Profesyonel Hukuki Destek Alınmalıdır
Kişisel Verilerin Korunması Kanunu ve Bilişim Hukuku, teknolojinin hızıyla eş zamanlı olarak değişen, dinamik ve teknik bir alandır. Sadece kanun metnini okumak, uygulamadaki riskleri bertaraf etmek için yeterli değildir. Kurul’un güncel ilke kararları, Yargıtay’ın siber suçlara yaklaşımı ve Avrupa’daki GDPR uygulamaları bütüncül bir bakış açısıyla değerlendirilmelidir. Yanlış bir veri işleme politikası veya eksik bir bildirim, telafisi güç maddi ve manevi zararlara yol açabilir.
Bu makalede sunulan bilgiler genel bilgilendirme niteliğinde olup, her somut olayın kendine özgü teknik ve hukuki detayları bulunmaktadır. Veri sorumlusu olarak yükümlülüklerinizi tam olarak yerine getirmek veya veri sahibi olarak haklarınızı etkin bir şekilde savunmak için uzman bir avukatın desteğini almanız hayati önem taşır. Hak kaybına uğramamak, idari yaptırımlarla karşılaşmamak ve dijital dünyada güvenli bir şekilde varlık göstermek için profesyonel danışmanlık hizmetinden yararlanılmalıdır.
