Kişisel veri: Bu kanun kapsamında kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak; işleme ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmaktadır.
Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri gibi bilgilerdir.
Kişisel verilerin işlenmesi: “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” şeklinde ifade edilmektedir.
Açık Rıza: Kişisel veriler ile ilgili “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Veri Sorumlusu olarak kanun kapsamında yükümlülüklerimizi yerine getirmek amacıyla sizleri bilgilendirmek ve açık rızanızı almak istiyoruz.
KVKK: Kişisel Verilerin Korunması Kanunu
İlgili Kişi: Kanunda kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi GDPR’da yer alan “dosyalama sistemi” ile örtüşmekte olup; veri kayıt sistemleri elektronik ve fiziksel ortamlarda oluşturulabilmektedir.
Veri sorumlusu: Kişisel verilerin işlenme amaç ve yöntemlerini belirleyip, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler olarak ifade edilip, GDPR’da veri kontrolörüne karşılık gelmektedir.
Veri işleyen: Veri sorumlusundan aldığı yetki ile kişisel verileri işleyen gerçek veya tüzel kişiler olup tanım GDPR’a uygundur.
GDPR, kişisel veri ihlallerine ilişkin durumlarda hem veri kontrolörü hem de veri işleyicisini sorumlu tutmaktadır. KVKK’da veri sorumlusu ve veri işleyen açısından farklı sorumluluk düzeyleri belirlenmiş, idari cezaların uygulaması bakımından da yalnızca veri sorumlularına yaptırım uygulanacağı belirtilmiş, veri sorumluları sicil kaydında da sadece veri sorumlularına ait bilgilerin yeterli olacağı belirtilmiştir.
Açık Rıza: KVKK’da kişisel verilerin toplanması, işlenmesi ve saklanması bakımından kişinin rızasının alınması gerekli olup; bu verilerin işlenmesine özgür irade ile, yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilmiş olması aranmaktadır. GDPR’a göre rıza; veri sahibinin beyanı, durumu veya onay ifade eden bir davranışı yoluyla kişisel verilerinin işlenmesini özgür iradesiyle, belirli bir konuda, aydınlatılmış ve rızanın açıkça, kesin bir biçimde verilmiş bulunması ifadesi kullanılmaktadır.
Anonim Hale Getirme: KVKK’da kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi “anonimleştirme” kavramıyla açıklanmış olup; GDPR’da ise “pseudonymisation/bulanıklaştırma” tanımı kullanılmakta, şifreleme ve bulanıklaştırmayı da içerebilecek uygun önlemlerin varlığını aranmaktadır. Bulanıklaştırma ile kişisel verilerin ek bilgi kullanılmaksızın belirli bir veriyle ilişkilendirilemeyecek biçimde işlenmesi anlatılmaktadır.
KVKK’da düzenlemelerin uygulanması bakımından kamu ve özel sektör ayrımı yapılmamış olup her iki sektör bakımından da bağlayıcıdır. Veri sorumlularının, kamu/özel sektör ayırımı yapılmaksızın kişisel verilerin güvenliğine ilişkin yükümlülükleri belirlenmiştir. GDPR ile getirilen düzenlemeler kapsamında verileri işleyen herhangi bir şirket, bulut hizmet sağlayıcı ya da birey de verinin hukuka uygun işlenmesinden sorumlu kabul edilmektedir. Bu çerçevede, GDPR kapsamında veri işleme sayılan ve kişisel veriye ilişkin gerçekleştirilen her türlü faaliyetin tüm failleri söz konusu işlemeden kaynaklı bütün uygunsuzluklardan sorumludur. Dolayısı ile AB sınırları dışında bulunup ta AB üyesi ülke vatandaşlarına hizmet veren servis sağlayıcıları açısından da getirilen para cezaları bağlayıcıdır.
KVKK’da yer almayan bir diğer madde ise Unutulma Hakkı : GDPR bazı istisnalar dışında veri sahibine, kendisine ait kişisel verilerinin mümkün olan en kısa sürede silinmesini veri kontrolöründen talep etme hakkı vermiş olup; veri kontrolörü söz konusu kişisel verileri gecikmeksizin silmekle yükümlüdür.
KVKK’da karşılığı bulunmayıp veri sahibine tanınan bir diğer yetki ise, kişisel verisini tutmaya yetkili veri kontrolöründen bir başkasına taşıyabilmesidir. Hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi”nin belirlenmesi ve riskli veri işleme faaliyetleri açısından “zorunlu veri koruma etki değerlendirmesi”nin yapılması öngörülmektedir.
GDPR, veri işleyen tarafların artırılmış sorumluluğu, unutulma hakkının tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması, veri taşınabilirliği ve etki değerlendirmesi ile başlangıçtan ve tasarımdan itibaren güvenlik yaklaşımlarına karşılık gelen maddeler KVKK’da bulunmamaktadır.