2016'da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, herkesin kendi verisi üzerinde belirli haklara sahip olduğunu güvence altına alır. Şirketler ve resmi kurumlar bu verileri rastgele kullanamaz.
Hangi veriler "kişisel veri"dir?
- Kimliği belirli veya belirlenebilir kişiye ait her bilgi,
- Ad, soyad, TC kimlik, adres, telefon,
- IP adresi, çerez bilgileri,
- Sağlık bilgileri (özel nitelikli),
- Cinsel hayata, dini-etnik kimliğe dair bilgiler (özel nitelikli),
- Banka hesabı, kredi notu,
- Fotoğraf, ses kaydı.
Veri sahibinin hakları (KVKK m. 11)
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Verilerin kimlere aktarıldığını öğrenme,
- Eksik/yanlış verilerin düzeltilmesini isteme,
- Silinmesini veya yok edilmesini isteme,
- Otomatik karar verme süreçlerine itiraz,
- Hukuka aykırı işleme nedeniyle uğradığı zararın giderilmesini talep etme.
Şikâyet süreci
- Önce veri sorumlusuna (şirket, kurum) yazılı başvuru — 30 gün içinde cevap verilmeli,
- Cevap yetersiz veya yoksa Kişisel Verileri Koruma Kurulu'na şikâyet,
- Kurum incelemeye başlar, yaptırım uygulayabilir.
Yaptırımlar
- İdari para cezası (1 milyon TL'ye kadar),
- Faaliyet durdurma,
- Cezai sorumluluk (TCK m. 135-140 arasında düzenlenen kişisel verileri kaydetme suçları).
Tazminat hakkı
Kişisel veri ihlalinden zarar gören kişi, hukuk davası açarak maddi-manevi tazminat isteyebilir. Yargı uygulamasında bu davalar artmaktadır; ihlal ne kadar büyük etki yarattıysa tazminat o kadar yüksek olur.
Yaygın ihlaller
- Pazarlama mesajları (SMS, e-posta) onay alınmadan,
- Fotoğrafın izinsiz kullanımı,
- İşten ayrılan çalışanın verisinin silinmemesi,
- Üçüncü kişiye veri aktarımı,
- Site tasarımında çerez onayı alınmaması.
KVKK, sayısal çağda bireyin "kendi adına" sahip olma hakkını güvence altına alır. Hakların farkında olmak, dijital ortamda korunmanın ilk adımıdır.