KVKK’nın Doğuşu ve Dijital Dünyadaki Rolü
2016 yılında hukuk sistemimize giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, dijitalleşen dünyada bireylerin en kıymetli varlığı olan “veriyi” koruma altına almıştır. Günümüzde teknolojinin sağladığı kolaylıklar, kişisel verilere erişimi hızlandırırken aynı zamanda bu verilerin kötüye kullanım riskini de artırmıştır.
İnternet ve dijital platformlar aracılığıyla kişisel verilerin izinsiz ele geçirilmesi ve paylaşılmasının önüne geçmek, kanunun temel önceliğidir. Bu noktada bilinmesi gereken en kritik detay; veri ihlalinin sadece cezai bir yaptırımı (hapis veya adli para cezası) değil, aynı zamanda ciddi bir maddi sorumluluğu da beraberinde getirdiğidir.
Kişisel Veri Nedir?
Pek çok kişi kişisel veriyi sadece T.C. kimlik numarası veya telefon numarasından ibaret sanıyor. Oysa kişisel veri, sizi dünyadaki milyarlarca insandan ayıran ve “sizi siz yapan” her türlü dijital veya fiziksel kırıntıdır.
Bunu bir bulmaca gibi düşünebilirsiniz. Tek bir parça (örneğin sadece bir ayakkabı numarası) sizi doğrudan tanımlamaya yetmeyebilir. Ancak bu parça; konum bilgileriniz, alışveriş alışkanlıklarınız veya en sevdiğiniz kahve türüyle birleştiğinde, o bulmacanın parçaları birleşir ve ortaya sizin “kimliğiniz” çıkar.
Neler Kişisel Veri Sayılır?
Hukuki tanımıyla, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veridir. Bunu üç ana kategoride gruplandırabiliriz:
- Adınız, soyadınız, fotoğrafınız, parmak iziniz veya imzanız.
- IP adresiniz, araç plakanız, SGK numaranız veya sadece size ait olan bir e-posta adresi. (Bu bilgiler tek başına isminizi vermese de, bir sorgulama ile size ulaşılmasını sağlar.)
- Özel Nitelikli Veriler: Öğrenildiğinde hakkınızda ayrımcılık yapılmasına yol açabilecek riskli verilerdir. Kan grubunuz, felsefi inancınız, sağlık verileriniz veya dernek üyelikleriniz bu gruptadır.
Bir bilgi parçası, bir şekilde “Bu veri falanca kişiye aittir” dedirtebiliyorsa, o bilgi KVKK zırhı altındadır.
| Veri Kategorisi | Örnekler | Koruma Seviyesi |
|---|---|---|
| Kimlik Bilgileri | Ad-Soyad, T.C. Kimlik No, Fotoğraf | Yüksek |
| İletişim & Dijital | Telefon, E-posta, IP Adresi, Konum | Yüksek |
| Özel Nitelikli Veri | Sağlık, Din, Mezhep, Biyometrik Veri | En Yüksek (Kritik) |
| Kurumsal Veri | Vergi Levhası, Mersis No | KVKK Kapsamı Dışında |
KVKK İhlali Sayılan Durumlar Nelerdir?
Bir verinin sadece çalınması veya hackerlar tarafından ele geçirilmesi ihlal değildir; verinin yolculuğu sırasında hukuka aykırı her türlü duraklama veya yön değiştirme bir ihlaldir. KVKK kapsamında ihlal, verinin güvenliğinin, gizliliğinin veya bütünlüğünün bozulmasıdır.
İşte günlük hayattan ve dijital dünyadan en yaygın ihlal senaryoları:
Rızasız Paylaşım ve Aktarım
En sık rastlanan ihlal türüdür. Bir kurumun veya kişinin, elindeki veriyi size sormadan bir başkasına vermesidir.
- Örneğin; Bir alışveriş merkezine verdiğiniz telefon numarasının, izniniz olmadan bir kampanya ajansıyla paylaşılması ve ertesi gün tanımadığınız yerlerden SMS almanız.
Veri Sızıntıları (Siber Saldırılar ve İhmal)
Veri sorumlusunun gerekli teknik önlemleri almaması sonucu verilerin dışarı sızmasıdır.
- Örnek: Üye olduğunuz bir e-ticaret sitesinin veritabanının hacklenmesi ve kullanıcı bilgilerinizin internete düşmesi. Burada firmanın “yeterli korumayı sağlayamaması” bir ihlal kusurudur.
Amacı Dışında Kullanım
Verinin toplanma amacından sapılmasıdır.
- Örnek: Bir kargo kuryesinin, paketinizi teslim etmek için kullandığı telefon numaranızı akşam size kişisel mesaj atmak için kullanması. Veri burada “teslimat” için verilmişti, “sosyalleşmek” için değil.
Aydınlatma Yükümlülüğünün Yerine Getirilmemesi
Verinizi alan kişinin size; bu veriyi neden aldığını, ne kadar süre saklayacağını ve kimlerle paylaşacağını açıkça söylememesi (veya karmaşık, okunamaz metinlerin arkasına gizlemesi) başlı başına bir ihlaldir.
Verilerin Silinmemesi veya Anonim Hale Getirilmemesi
Kanun der ki: “İşleme nedeni ortadan kalkan veriyi yok et.”
- Örnek: Üyeliğinizi sildiğiniz bir platformun, yıllar sonra hala size bilgilendirme mesajı atması, verilerinizi sistemden temizlemediğinin kanıtıdır ve bu bir KVKK ihlalidir.
Yetkisiz Erişim
Kurum içinde dahi olsa, işle ilgisi olmayan bir personelin sizin özel verilerinizi görüntülemesi ihlaldir.
- Örnek: Bir hastanede çalışan bir personelin, merak ettiği bir ünlünün veya komşusunun sağlık kayıtlarına sistemden bakması.
Veriniz; bilginiz dışında geziyorsa, izniniz dışında saklanıyorsa veya amacınız dışında kullanılıyorsa orada bir KVKK ihlali vardır.
Kişisel Verilerinizin İhlal Durumunda Haklarınız Nelerdir?
Kişisel verilerinizin ihlal edildiğini fark ettiğinizde, bu durumu sadece kabullenmek zorunda değilsiniz. Kanun, size bu ihlali durdurma ve sorumlulardan hesap sorma gücü verir. Bu süreçte en önemli aktör, Ankara merkezli bir otorite olan Kişisel Verileri Koruma Kurulu (Kurul)’dur.
Veri İhlalinde Hak Arama Rehberi
Bir ihlalle karşılaştığınızda izleyeceğiniz süreç, aslında iki aşamalı bir “önce uzlaş, sonra şikayet et” mekanizmasıdır.
Veri Sorumlusuna Başvuru (Zorunlu İlk Durak)
Hukuken doğrudan Kurul’a gitmeden önce, verinizi işleyen veri sorumlusuna “Burada bir sorun var” demeniz gerekir.
Ne İstemeli?
- Verinizin neden işlendiğini, kimlerle paylaşıldığını öğrenebilir; yanlış verilerin düzeltilmesini veya verinizin tamamen silinmesini talep edebilirsiniz.
- Veri sorumlusunun size en geç 30 gün içinde cevap vermesi şarttır.
Kişisel Verileri Koruma Kurulu’na Şikayet
Eğer veri sorumlusu başvurunuzu reddederse, verdiği cevabı yetersiz bulursanız veya 30 gün boyunca size hiç cevap vermezse; işte o zaman Kurul devreye girer.
Veri sorumlusunun cevabını öğrendiğiniz tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde şikayet hakkınızı kullanmalısınız.
Nasıl Yapılır?
Şikayetinizi e-Devlet üzerinden (Şikayet Takip Sistemi) veya yazılı dilekçe ile Kurul’a iletebilirsiniz.
Kurul Ne Yapar?
Kurul, bir mahkeme değildir; tazminat ödenmesine karar veremez. Ancak Kurul’un çok keskin “dişleri” vardır:
- İdari Para Cezası: İhlali yapan kuruma milyonlarca lirayı bulabilen idari para cezaları kesebilir.
- İhlali Durdurma: Hukuka aykırı veri işleme faaliyetinin derhal durdurulmasına veya verilerin silinmesine karar verebilir.
- Şirketin tüm veri işleme politikasını değiştirmesini emredebilir.
- Kurul size para (tazminat) vermez, devlete ceza ödetir. Sizin cebinize girecek tazminat için ise Kurul kararını da yanınıza alarak Adli Yargı yoluna gitmeniz gerekir.
Kişisel Veri İhlallerinde Hangi Davalar Açılabilir?
Kişisel verileri ihlal edilen bir kişi, veri sorumlusunun hukuki statüsüne göre (özel sektör veya kamu) adli ya da idari yargıda şu taleplerle dava açabilir:
Saldırının Önlenmesi ve Durdurulması:
İhlalin devam etmesini engellemek için.
Saldırının Tespiti:
Hukuka aykırılığın mahkemece tescil edilmesi.
Maddi Tazminat:
İhlal nedeniyle oluşan ekonomik kayıpların giderilmesi.
Manevi Tazminat:
İhlalin yarattığı psikolojik yıpranma ve acının telafisi.
| Yetkili Merci | Karar Yetkisi | Hedef |
|---|---|---|
| Veri Sorumlusu | Talebi Kabul/Red | İlk Başvuru (Zorunlu) |
| KVKK Kurulu | İdari Para Cezası & Durdurma | İhlalin Cezalandırılması |
| Hukuk Mahkemeleri | Maddi ve Manevi Tazminat | Zararın Giderilmesi |
| Ceza Mahkemeleri | Hapis veya Adli Para Cezası | Suçun Cezalandırılması |
Kişisel Verilerin İhlalinde Tazminat Hakkı
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin özel hayatının gizliliğini ve temel haklarını güvence altına almaktadır. Kanun, sadece verilerin nasıl işleneceğini değil, bu verilerin hukuka aykırı şekilde kullanılması durumunda mağdur olan kişilerin haklarını da net bir şekilde düzenler.
Kişilik Hakları ve Veri Sorumlusunun Yükümlülüğü
Veri sorumluları (şirketler, kurumlar veya veri işleyen gerçek kişiler), veriyi işlerken aydınlatma yükümlülüğü ve veri güvenliğini sağlama gibi temel görevlerini yerine getirmek zorundadır. Bu yükümlülüklere aykırı davranılması, doğrudan “kişilik haklarının ihlali” sonucunu doğurabilir.
KVKK m.14/3 uyarınca, kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat talep etme hakkı saklıdır.
Hangi Kanunlara Göre Tazminat İstenebilir?
Kişisel verileriniz ihlal edildiğinde sadece KVKK’ya değil, hukuk sistemimizdeki diğer temel düzenlemelere de dayanabilirsiniz:
- Türk Medeni Kanunu (TMK): Madde 23–25 (Kişiliğin korunması)
- Türk Borçlar Kanunu (TBK): Madde 58 (Manevi tazminat)
- Anayasa: Madde 20/3 (Özel hayatın gizliliği ve verilerin korunması)
Özel Nitelikli (Hassas) Veriler !
Bazı veriler, ifşa edildiğinde kişilerin daha büyük mağduriyetler yaşamasına neden olabilir. Kanun bunları “Özel Nitelikli Kişisel Veriler” olarak tanımlar ve daha sıkı korur:
- Irk, etnik köken ve siyasi düşünce,
- Dini inanç, mezhep veya kılık-kıyafet bilgileri,
- Sağlık bilgileri ve cinsel hayat,
- Ceza mahkûmiyeti ve biyometrik veriler.
Sosyal Medya ve İnternet Ortamında İhlaller
Günümüzde en sık karşılaşılan ihlaller sosyal medya mecralarında yaşanmaktadır. Bir başkasının fotoğrafını, sesini veya görüntüsünü izinsiz paylaşmak, kişiyi rızası dışında etiketleyerek kamuoyuna açık hale getirmek kişilik hakkı ihlalidir.
Özellikle üçüncü bir kişinin hukuka aykırı şekilde verilerinizi ele geçirmesi, saklaması veya bir başkasına aktarması durumunda hukuki süreç başlatılabilir.
KVKK Hakkında Sıkça Sorulan Sorular (SSS)
1. KVKK ihlali durumunda manevi tazminat davası açılabilir mi?
Evet. Kişisel verilerinizin hukuka aykırı şekilde paylaşılması veya ifşa edilmesi nedeniyle psikolojik olarak yıprandıysanız, huzurunuz kaçtıysa veya onurunuz zedelendiyse manevi tazminat davası açabilirsiniz. Bu dava, Kişisel Verileri Koruma Kurulu’na şikayetten bağımsız olarak genel mahkemelerde açılır.
2. Verilerim izinsiz paylaşıldığında ne kadar tazminat alabilirim?
Tazminat miktarı sabit değildir. Mahkeme; ihlalin büyüklüğünü, verinin hassaslık derecesini (örneğin sağlık verisi mi yoksa sadece e-posta mı?), sizin bu süreçte uğradığınız zararın boyutunu ve veri sorumlusunun kusurunu inceleyerek bir tutar belirler.
3. Kişisel Verileri Koruma Kurulu (KVKK) tazminat ödenmesine karar verebilir mi?
Hayır. Kurul, sadece idari para cezası verme ve ihlali durdurma yetkisine sahiptir. Tazminat (para alacağı) talepleri için mutlaka Asliye Hukuk Mahkemelerinde (veya duruma göre İdare Mahkemelerinde) dava açılması gerekir.
4. Kargo şirketinin veya kuryenin numaramı kullanması suç mudur?
Evet. Kişisel veriniz (telefon numaranız) sadece kargonun teslimi amacıyla verilmiştir. Bu numaranın kurye tarafından kişisel mesaj atmak veya başka bir amaçla kullanılması “veriyi amacı dışında kullanma” ihlalidir ve hem hukuki hem de cezai yaptırımı vardır.
5. KVKK şikayeti için avukat tutmak zorunlu mu?
Hukuken bir KVKK avukatı tutma zorunluluğu yoktur; bireyler kendi şikayetlerini e-Devlet üzerinden yapabilirler. Ancak tazminat davası süreci ve hukuki delillerin sunulması teknik bir konu olduğu için bir avukat desteği almak hak kaybına uğramamanız açısından tavsiye edilir.
6. Fotoğrafımın sosyal medyada izinsiz paylaşılması KVKK ihlali sayılır mı?
Evet. Bir kişinin yüzünün net olarak seçildiği bir fotoğraf “kişisel veri” kapsamındadır. Kişinin rızası olmadan bu fotoğrafın yayınlanması, etiketlenmesi veya profil oluşturulması hem KVKK ihlalidir hem de Türk Ceza Kanunu kapsamında suç teşkil edebilir.