Kişisel Veri Nedir? Kişisel Verilerin İşlenmesine Dair Temel İlkeler Nelerdir?

BİRİNCİ BÖLÜM: KİŞİSEL VERİ KAVRAMI, UNSURLARI, İLKELERİ VE HUKUKA UYGUNLUĞU

A. KİŞİSEL VERİ TANIMI

Kişisel veri, 6698 sayılı KVKK’da tanımlanmış olup kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, ortada bir bilginin olması, bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

B. KİŞİSEL VERİNİN UNSURLARI

1. Her Türlü Bilgi

Kanunda hangi bilginin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Bir kişinin doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin kimlik numarası, fiziksel, psikolojik, duygusal ve ekonomik ve kültürel kimliği veya sosyal kimliği kişisel veri olarak değerlendirilebilir[1]. Yine isim, telefon numarası, elektronik posta adresi, doğum tarihi, parmak izi, DNA, adres, sosyal güvenlik numarası, hesap numarası bu kapsamdadır.

2. Gerçek Kişiye İlişkin

Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

3. Kişinin Belirli ya da Belirlenebilirliği

Tanımlamadaki son unsur kişinin belirli ya da belirlenebilir nitelikte olmasıdır. Kişinin belirli olması, söz konusu kişinin içinde bulunduğu grup üyelerinden ayırt edilebilmesi, belirlenebilir olması ise kişinin henüz belirlenmemiş olmasıyla birlikte verilerin doğrudan ya da dolaylı olarak o kişiyle ilişkilendirilmesi ile belirlenmesinin mümkün hale gelmesidir.[2]

[1] KILINÇ, Doğan, ‘’Anayasal Bir Hak Olarak Kişisel Verilerin Korunması’’, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 61. Cilt, 3. Sayı [2] KÖSE, AYSUN, Melike: Kişisel Verilerin Kaydedilmesi Suçu, 1.Baskı, Ankara, 2018

C. KİŞİSEL VERİLERLE İLGİLİ KANUNUMUZDA YER ALAN BAZI KAVRAMLAR

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder[3]. Kısacası otomatik araçlarla yapılıp yapılmamasına bakılmaksızın kişisel verileri içeren işlemler silsilesidir.

İlgili kişi, kişisel verisi işlenen gerçek kişidir.[4]

Veri sorumlusu, kişisel verilerin işlenmesindeki amaç ve vasıtaları belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder[5]. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri işleyen, kişisel verileri, veri sorumlularınca verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Faaliyetleri daha çok teknik kısımlarla sınırlıdır.

Son olarak özel nitelikli kişisel veri ise başkalarınca öğrenildiği takdirde kişinin mağduriyetine sebebiyet verecek verilerdir. KVKK m.6’da sınırlı olarak sayılmıştır. Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Bu verilerin işlenebilmesi için veri sahibi kişinin açık rızası alınmalıdır.

(3. Madde hükmü istisnalar barındırır.)

D. KİŞİSEL VERİLERİN İŞLENMESİNE DAİR TEMEL İLKELER

Kişisel verilerin daha sıkı korunması ve veri sahiplerinin hukuka aykırı işlemlere maruz kalmasını en aza indirmek için kanunumuz belli ilkeler belirlemiştir. Bu ilkelere uyulmaması durumunda veri sorumlusunun veya işleyenin hukuka aykırı bir biçimde veriyi işlediği kabul edilir. Bahsi geçen ilkeler Kişisel Verileri Koruma Kanunu’nun 4. maddesinde açıkça belirtilmiştir.

1. Hukuka ve Dürüstlük Kuralına Uygun Olma

Diğer ilkeleri kapsayıcı özellik gösterir. Bu ilke, veri işlemenin başta Anayasa olmak üzere kanun ve diğer hukuki düzenlemelere uygun olması gerektiğini belirtir. Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasını ifade eder. Bu konuda veri sorumlularının ve ilgili kişilerin verileri işlerken şeffaflık ilkesine riayet etmeleri beklenmektedir. Örneğin, bir tüzel kişilik nezdinde kişisel verilerin silinmesi halinde verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişiler tarafından verilere erişim sağlanması mümkün bulunmakla birlikte, bahse konu tüzel kişilik içerisinde verilerin depolanması, korunması ve yedeklenmesinden sorumlu kişi sayısının gerektiğinden fazla belirlenmesi durumunda bu kişilerce silinen kişisel verilere erişim sağlanması dürüstlük kuralına aykırılık teşkil edecektir.[6]

[3] https://www.kisiselverilerinkorunmasi.org/kanunu-6698-sayili/ [4] KVKK m.3 [5] KVKK m.3

[6] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/d0fbca08-30af-41fe-a7c9-65663b9c5231.pdf

2. Doğru ve Gerekli ise Güncel Olma

Kişisel verilerin doğru ve güncel olması veri sahibinin bittabi hakkıdır. Kişisel verilerin yanlış tutulması veri sahibinin temel hak ve özgürlüklerini maddi manevi zedeleyebilir. Bununla birlikte verileri, veri sorumlusu da kullandığından mütevellit yapılan yanlışlıklar aleyhine olabilir. Veri sorumlusu eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç yaratıyor ise kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında veri sorumlusunun aktif özen yükümlülüğü bulunmaktadır[7]. Sonuç olarak söz konusu zararlara fırsat vermemek için veriler doğru olmalıdır. Kişisel verilerin doğru tutulması mutlak bir gereklilik iken güncel olması yalnızca gereken zamanlarda dikkat edilmesi gereken bir şarttır.[8] Somut olayın gerekliliklerine göre değişebilmektedir.

3. Belirli, Açık ve Meşru Amaçlara Yönelik İşleme

Bu ilkenin amacı veri sorumlusunun söz konusu verileri hangi amaçla kullanacağını belirleyip veri sahibine açıkça bildirmesidir. Veri sorumlusu amacı kesin olarak belirlediği gibi bunu meşruluğa uygun yapmalıdır. İlgiye kişiye belirttikleri amaç çerçevesinin dışına çıkmaları bu fiillerinden dolayı sorumluluk doğmasına neden olur.

Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Kişisel verilerin hangi amaçla işleneceğinin tahmin edilebilir olması ilkeyi zedeler. Bu itibarla, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, veri sahibinin başvurularını yanıtlama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmeli, teknik-hukuki terminoloji kullanımından kaçınılmalıdır.[9]

4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, veri toplama faaliyetinin, veri amacına uygun bir ölçüde olması, veri işleme amacına ulaşmak için mutlaka gerekli olması demektir[10]. Veri sorumlusu kişisel verileri toplamadan önce belirlenen amaca ulaşmak için verilerin mutlaka kullanılıp kullanılmaması gerektiğini saptamalı, kişisel verilerden amaca ulaşmak için yeterli miktarı toplayıp işlemeli gereğinden fazla veri toplayıp işlememelidir. İşlenen veri yalnızca o amaç için kullanılır. Amaç dışı verilerin ise kullanılmaması gerekir. Bununla birlikte sonradan elde edilen her veri için bu madde tekrar uygulanmalıdır.[11]

5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Kişisel veriler yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmelidir. Süre sonunda kişisel veriler anonim hale getirilmeli, ilerleyen zamanlarda gerekebilir düşüncesiyle hareket edilmemelidir.

[7] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf [8] BOĞA, Betül, Gamze, ‘’Ceza Muhakemesinde Kişisel Verilerin Korunması’’, Yüksek Lisans Tezi, Konya, 2021 [9]https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf [10] ANI, Nevzat Ali, ‘’Kişisel Verilerin İşlenmesi Ve Açık Rıza’’ Yüksek Lisans Tezi, İstanbul, 2018 [11] KORKMAZ, İbrahim, ‘’Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme’’, Türkiye Barolar Birliği Dergisi, Cilt 29, Sayı 124