Makale
Avrupa Birliği (GDPR) ve Türk Hukuku (KVKK) kapsamında kişisel veri kavramının hukuki niteliği, özel nitelikli veri ayrımı ve veri işleme faaliyetlerine yön veren evrensel temel ilkeler ele alınmaktadır. Teknolojik gelişmelerin tetiklediği bu hukuki dönüşüm, bireylerin özel hayatının gizliliğini korumayı amaçlayan en temel yapı taşıdır.
AB ve Türk Hukukunda Kişisel Veri Kavramı ve Temel İlkeler
Yaşadığımız dijital çağ, hukukun en temel yapı taşlarından biri olan özel hayatın gizliliğini yeniden tanımlamamızı zorunlu kılmıştır. Bilişim teknolojilerinin hızla ilerlemesi ve verinin sınır ötesi serbest dolaşımı, kişisel veri kavramı ile bu verilerin korunmasına ilişkin yepyeni bir hukuk dalının doğmasına zemin hazırlamıştır. İnsanların günlük yaşamlarında farkında olmadan dahi sürekli veri üretmesi, hem Avrupa Birliği hukuku hem de Türk hukuku nezdinde bireylerin temel hak ve özgürlüklerinin korunması için güçlü bir yasal zemin oluşturulmasını gerektirmiştir. Bu ihtiyacın bir yansıması olarak ortaya çıkan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme faaliyetlerinin sınırlarını çizen temel hukuki metinler haline gelmiştir. Gerçek kişilere ait bilgilerin sınırsız ve keyfi şekilde işlenmesini engellemek adına, her iki düzenleme de uluslararası standartlarda kabul görmüş temel ilkeler ekseninde şekillenmiştir. Bu bağlamda, verilerin sadece hukuka uygun şekilde değil, aynı zamanda şeffaflık, ölçülülük ve amaçla sınırlılık prensipleri doğrultusunda işlenmesi, modern hukuk devletinin bir gereği olarak karşımıza çıkmaktadır.
Kişisel Veri Kavramı ve Hukuki Unsurları
Hukuki düzenlemelerimiz ve uluslararası mevzuat çerçevesinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanım incelendiğinde, tüzel kişilere ait bilgilerin değil, yalnızca gerçek kişilere ait verilerin koruma şemsiyesi altında olduğu görülmektedir. Bir bilginin kişisel veri sayılabilmesi için temel unsur, o verinin kişiyi doğrudan ya da dolaylı yollardan belirlenebilir kılması şartıdır. Sadece ad, soyad veya T. C. kimlik numarası gibi doğrudan kimlik tespitine yarayan bilgiler değil; kişinin motorlu taşıt plakası, sosyal güvenlik numarası, özgeçmişi, IP adresi, fiziksel veya kültürel özelliklerini yansıtan görüntü ve ses kayıtları da kişisel veri niteliği taşır. Hatta bilginin doğru ya da yanlış olması önem taşımaz; yanlış bir bilgi dahi kişiyi belirlenebilir kılıyorsa veri koruma hukuku kapsamında değerlendirilmektedir. Tüzel kişilerin sicil numaraları veya unvanları bu kapsama girmese de, şirket içerisindeki çalışanlara tahsis edilen ve onları belirlenebilir kılan dahili numaralar veya e-posta adresleri kişisel veri olarak kabul edilmektedir.
Özel Nitelikli Kişisel Verilerin Sınırları
Kişisel veriler arasında bazı bilgiler, doğaları gereği bireylerin daha fazla ayrımcılığa maruz kalmasına veya zarar görmesine yol açabilecek niteliktedir. Bu tür veriler, hukukumuzda ve uluslararası metinlerde özel nitelikli kişisel veri veya hassas veri olarak ayrı bir kategoride değerlendirilerek daha sıkı koruma altına alınmıştır. Hem GDPR hem de KVKK kapsamında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini inançları, kılık ve kıyafeti, dernek veya sendika üyeliği, sağlık durumu ve cinsel hayatına ilişkin verileri özel nitelikli kişisel veri olarak sayılmaktadır. GDPR ayrıca, genetik veriler ile kişinin benzersiz şekilde teşhis edilmesini sağlayan biyometrik verileri de açıkça bu hassas kategoriye dahil etmiştir. Kanun koyucu, bu verilerin işlenmesini kural olarak yasaklamış; ancak kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi mutlak gereklilikler veya veri sahibinin açık rızası gibi sınırlı hukuka uygunluk sebepleri ile işlenmesine izin vermiştir. Bu verilerin işlenmesi sırasında Kurul tarafından belirlenen yeterli önlemlerin alınması da yasal bir zorunluluktur.
Kişisel Verilerin İşlenmesine Yön Veren Temel İlkeler
Kişisel verilerin işlenmesi, verinin ilk elde edildiği andan imha edildiği ana kadar geçen tüm süreçleri kapsar. Hukuk sistemimiz ve Birlik mevzuatı, bu süreçte uyulması gereken temel ilkeler belirlemiştir. Bu ilkeler, veri işleme faaliyetinin anayasası niteliğindedir. GDPR ve KVKK’da paralel olarak düzenlenen bu kurallar, sınırları net bir şekilde çizer. Bilişim hukuku uygulamalarında veri sorumlularının uyması gereken temel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygunluk: Verilerin, bireylerin menfaatlerine ve karşılıklı güvene dayalı, şeffaf biçimde işlenmesi.
- Amaçla sınırlılık ve ölçülülük: Verilerin belirli, açık, meşru amaçlar için toplanması ve sadece amacın gerektirdiği asgari düzeyde işlenmesi.
- Doğruluk ve güncellik: Yanlış verilerin bireylere zarar vermesini engellemek adına, bilgilerin güncel tutulması yönünde aktif özen yükümlülüğü.
- Sınırlı süre saklama: Verilerin işlenme amacının gerektirdiği makul süre boyunca muhafaza edilmesi ve süre bitiminde imha edilmesi.
- Güvenlik ve hesap verilebilirlik: Hukuka aykırı erişimleri önlemek adına idari ve teknik tedbirlerin alınması, sorumlulukların yerine getirildiğinin ispatlanabilmesi.
Hukuka Uygunluk, Amaçla Sınırlandırma ve Ölçülülük
Belirtilen genel ilkeler arasında özellikle hukuka ve dürüstlük kurallarına uygunluk, veri işlemenin temel dayanağıdır. Bireyin rızası alınmış olsa bile, örneğin bir iş başvurusu sırasında adayın dini inancının veya cinsel yöneliminin sorulması dürüstlük kurallarına ve işleme amacına açıkça aykırıdır. Veri sorumlusu her zaman bireyin tahmin edemeyeceği, özel hayatın gizliliğini zedeleyen sürpriz işlemlerden kaçınmak zorundadır. Bununla doğrudan bağlantılı olan amaçla sınırlılık ve ölçülülük ilkesi ise, verilerin toplanma amacıyla işlenme amacının tutarlı olmasını emreder. Spor salonuna giriş çıkışlarda parmak izi gibi biyometrik verilerin alınmasının ölçülülük ilkesine aykırı bulunması, bu durumun en somut hukuki örneklerinden biridir. Ulaşılmak istenen amaç ile işlenen veri arasında ölçülü bir denge kurulmalı, sırf gelecekte lazım olabilir düşüncesiyle aşırı miktarda veri toplanmamalıdır.
Veri Güvenliği, Doğruluk ve Muhafaza Süreleri
Veri işlemede doğruluk ve güncellik ilkesi, hatalı veriler yüzünden veri sahibinin hak kaybına uğramasını engeller. Örneğin bir tebligat adresinin güncel tutulmaması kişinin hukuki zarar görmesine sebep olabilir; bu nedenle veri sorumluları verileri güncellemek için aktif özen yükümlülüğü altındadır. Öte yandan, verilerin ebediyen saklanması hukuken mümkün değildir. Sınırlı süre saklama ilkesi uyarınca, veriler sadece işlendikleri amaç için gerekli olan süre boyunca veya kanunlarda emredilen müddetçe tutulabilir. Amaç ortadan kalktığında verilerin anonim hale getirilmesi, silinmesi veya yok edilmesi yasal bir zorunluluktur. Son olarak GDPR ile altı çok daha kalın çizilen hesap verilebilirlik ilkesi, veri sorumlularına yalnızca bu ilkelere uymayı değil, aynı zamanda uyduklarını ispat etmeyi ve gerekli tüm idari ile teknik tedbirleri alarak veri güvenliğini sağlamayı emretmektedir.