• EN

7 Nisan 2016 tarihinde yürürlüğe giren ve harmonizasyon süreci geçtiğimiz aylarda tamamlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“ KVKK ”), birçok kişi ve kurumu bağlayan düzenlemeler içermektedir. Hem bu kişi ve kuruluşların, hem de hukuk uygulayıcılarının KVKK ‘nın kapsamı hakkında herhangi bir şüpheye düşmemesi için, KVKK yazımında kullanılan terimlerin ne ifade ettiğinin herkesçe objektif bir biçimde bilinmesi elzemdir.

 

Kişisel Veri: Kanun’un tanımları düzenleyen 3. Maddesinin 1. fıkrasında, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanımda dikkat edilecek öncelikli husus, sadece gerçek kişilerin kişisel verilerinin KVKK korumasında olmasıdır. Önemli bir diğer husus da ‘belirlenebilirlik’tir. Tam olarak hangi nitelikteki verilerin kimliği belirleyebilir olduğunun tespiti tartışmalıdır. Örneğin, IP adresi, dışarıdan bakıldığında ilgili kişiyi işaret edecek nitelikte görünmese de, internet servis sağlayıcısından alınacak bilgiler sonucu, ilgili bilgisayarı ve kullanıcılarını tespit emek mümkündür. Bu da IP adresinin ‘kimliği belirleyebilir’ olabileceği anlamına gelir.

İsim-soyisim, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, TC kimlik numarası ve benzeri veriler, kişisel verilere örnek gösterilebilir. Kişinin fiziksel, sosyal, ekonomik veya psikolojik özelliklerinin anlaşılmasını sağlayan bir bilgi veya onu bir hususla ilişkilendirmemizi sağlayacak herhangi bir kayıt (Ör: pasaport numarası), kişisel veridir. Kişisel veriler, ilgili kişinin açık rızası olmadan işlenemezler.

Özel Nitelikli Kişisel Veri: Kanun, kişisel verilerden bazılarını daha önemli kılmış, onlarla ilgili ‘özel nitelikli kişisel veriler’ adı altında birtakım düzenlemeler yapmıştır. Peki bu veriler hangileridir? Kanun uyarınca: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Bu veriler, numerus clausus’tur; yani, özel nitelikli kişisel verilerin kapsamı, kıyas yoluyla genişletilememektedir. Kanun, ilgili maddenin bir sonraki fıkrasında, bu veriler içinden sağlık ve cinsel hayat verileri hakkında ayriyeten bir düzenleme yapmıştır.

İlgili Kişi: İlgili kişi, işlenecek verilerin sahibidir. Kişisel veriler, tanımları uyarınca bir kişiye atfedilebilir nitelik taşıdıklarından, ilgili kişilerin bu verilerin işleniş sürecinde büyük menfaatleri bulunmaktadır. İlgili kişilerle ilgili bilinmesi gereken en önemli kanuni düzenleme, sadece gerçek kişilerin ilgili kişi olabileceğidir. Kanun’un 3. Maddesinin 1. Fıkrasının ç bendi, ilgili kişiyi, “Kişisel verisi işlenen gerçek kişi olarak tanımlamıştır. “GDPR”da da böyle bir düzenleme bulunmaktadır.

Kişisel Verilerin İşlenmesi: Kanun’un 3. Maddesinin 1. Fıkrasının e bendi uyarınca, kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”dir. Bu tanımdan, kişisel verilerin işlenmesinin ne kadar geniş bir kapsamı olduğu ve veri sorumlusunun ne kadar ciddi bir sorumluluğu olduğu anlaşılmaktadır.

Veri Sorumlusu: Kanun’un 3. maddesinin 1. Fıkrasının b bendi uyarınca, veri sorumlusu, “kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir”. Veri sorumlusu olabilmek için belirleyici kriter, veriler üzerinde hakimiyet kurabilmektir. Bu sebeple, veri üzerinde hakimiyet kurabildiği müddetçe, gerçek veya tüzel kişiler, kamu kurum ve kuruluşları veya çalışanlar, veri sorumlusu olabilirler. Tüzel kişilerin veri sorumlusu olduğu durumlarda, Kanun’a aykırı davranışların sorumluluğu, o tüzel kişinin şahsında doğar.

Veri İşleyen: Veri işleyen, Kişisel verileri, veri sorumlusu adına, onun verdiği yetkiye dayanarak ve onun verdiği talimatlar kapsamında işleyen gerçek veya tüzel kişidir. Veri sorumlusu, hizmet satın almak suretiyle veri işleyeni belirleyebilir. Bir gerçek veya tüzel kişinin aynı anda hem veri sorumlusu, hem de veri işleyen olması mümkündür.

Anonimleştirme: Önceden birisiyle ilişkilendirilmiş bir verinin, yapılan bir işlem sonucunda, başka verilerle eşleştirildiğinde bile hiçbir şekilde belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi sürecidir. Yapılan işlem sonucunda kalan verinin başka verilerle eşleştirilmesi ve/veya desteklemesi sonucunda verinin sahibine ulaşılabiliyorsa, bu veri anonim hale getirilememiştir.

Anonim hale getirilmiş veri ile anonim veri farklıdır; anonimleştirilmiş verinin başlangıçta kime ait olduğu bilinmektedir ve bu veriyle ilgili kişi ile arasındaki bağ sonradan ortadan kaldırılmıştır, anonim veriyi bir kişiye ilişkilendirmek ise başından beri mümkün değildir, çünkü veri o şeklide temin edilmemiştir.

Alenileştirme: Alenileştirme, kişisel verilerin işlenmesinde ilgili kişinin açık rızasının gerekliliği kuralının istisnalarından bir tanesidir. İlgili kişinin bizzat alenileştirdiği, başka bir deyişle kamuoyuna açıkladığı kişisel veriler, artık kişinin açık rızasına gerek duyulmadan işlenebilecektir.

Açık Rıza: Kanun’un tanım maddesine göre açık rıza: “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Aslen, açık rıza, özel nitelikli olsun olmasın kişisel verilerin işlenmesi bakımından bir hukuka uygunluk sebebidir.

GDPR’dan önce AB’nin temel veri koruma düzenlemesi olan 95/46 EC sayılı direktifine göre açık rıza; ‘ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı’dır. Rıza açıklaması, onay işlevinin yanı sıra, veri işleyene yol göstermesi açısından da önemlidir. Açık rıza, bir ‘olumlu irade beyanı’ içermelidir. Yazılı şekle tabi değildir. Elektronik ortam üzerinden de alınabilir. Açık rızanın, belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma olmak üzere üç tane unsuru bulunmaktadır.

Aydınlatma: İlgili kişilerin, verilerinin kim tarafından, hangi hukuki gerekçeler ve amaçlarla işleneceği, kimlere hangi koşullar altında aktarılacağı konusunda bilgilendirilmesi, veri sorumlusunun yükümlülüğüdür.

Yukarıda açıklanan kavramların hem halk hem de uygulayıcılar tarafından net bir biçimde anlaşılması, kavram karmaşasından kaynaklanacak sorunların önlenmesi açısından büyük önem taşımaktadır. Bu sebeple kavramların sağlıklı bir şekilde tanımlanması ve doğru kullanılması büyük önem arz etmektedir.

Av. Dr. Mert VAN - Stj. Av. Benay ÇAYLAK