Anasayfa/ Makale/ AB ve Türk Hukukunda Kişisel Veri Kavramı ve Temel İlkeler

AB ve Türk Hukukunda Kişisel Veri Kavramı ve Temel İlkeler

Avrupa Birliği (GDPR) ve Türk Hukuku (KVKK) kapsamında kişisel veri kavramının hukuki niteliği, özel nitelikli veri ayrımı ve veri işleme faaliyetlerine yön veren evrensel temel ilkeler ele alınmaktadır. Teknolojik gelişmelerin tetiklediği bu hukuki dönüşüm, bireylerin özel hayatının gizliliğini korumayı amaçlayan en temel yapı taşıdır.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) ÖZEL NİTELİKLİ KİŞİSEL VERİ

Yaşadığımız dijital çağ, hukukun en temel yapı taşlarından biri olan özel hayatın gizliliğini yeniden tanımlamamızı zorunlu kılmıştır. Bilişim teknolojilerinin hızla ilerlemesi ve verinin sınır ötesi serbest dolaşımı, kişisel veri kavramı ile bu verilerin korunmasına ilişkin yepyeni bir hukuk dalının doğmasına zemin hazırlamıştır. İnsanların günlük yaşamlarında farkında olmadan dahi sürekli veri üretmesi, hem Avrupa Birliği hukuku hem de Türk hukuku nezdinde bireylerin temel hak ve özgürlüklerinin korunması için güçlü bir yasal zemin oluşturulmasını gerektirmiştir. Bu ihtiyacın bir yansıması olarak ortaya çıkan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme faaliyetlerinin sınırlarını çizen temel hukuki metinler haline gelmiştir. Gerçek kişilere ait bilgilerin sınırsız ve keyfi şekilde işlenmesini engellemek adına, her iki düzenleme de uluslararası standartlarda kabul görmüş temel ilkeler ekseninde şekillenmiştir. Bu bağlamda, verilerin sadece hukuka uygun şekilde değil, aynı zamanda şeffaflık, ölçülülük ve amaçla sınırlılık prensipleri doğrultusunda işlenmesi, modern hukuk devletinin bir gereği olarak karşımıza çıkmaktadır.

Kişisel Veri Kavramı ve Hukuki Unsurları

Hukuki düzenlemelerimiz ve uluslararası mevzuat çerçevesinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanım incelendiğinde, tüzel kişilere ait bilgilerin değil, yalnızca gerçek kişilere ait verilerin koruma şemsiyesi altında olduğu görülmektedir. Bir bilginin kişisel veri sayılabilmesi için temel unsur, o verinin kişiyi doğrudan ya da dolaylı yollardan belirlenebilir kılması şartıdır. Sadece ad, soyad veya T. C. kimlik numarası gibi doğrudan kimlik tespitine yarayan bilgiler değil; kişinin motorlu taşıt plakası, sosyal güvenlik numarası, özgeçmişi, IP adresi, fiziksel veya kültürel özelliklerini yansıtan görüntü ve ses kayıtları da kişisel veri niteliği taşır. Hatta bilginin doğru ya da yanlış olması önem taşımaz; yanlış bir bilgi dahi kişiyi belirlenebilir kılıyorsa veri koruma hukuku kapsamında değerlendirilmektedir. Tüzel kişilerin sicil numaraları veya unvanları bu kapsama girmese de, şirket içerisindeki çalışanlara tahsis edilen ve onları belirlenebilir kılan dahili numaralar veya e-posta adresleri kişisel veri olarak kabul edilmektedir.

Özel Nitelikli Kişisel Verilerin Sınırları

Kişisel veriler arasında bazı bilgiler, doğaları gereği bireylerin daha fazla ayrımcılığa maruz kalmasına veya zarar görmesine yol açabilecek niteliktedir. Bu tür veriler, hukukumuzda ve uluslararası metinlerde özel nitelikli kişisel veri veya hassas veri olarak ayrı bir kategoride değerlendirilerek daha sıkı koruma altına alınmıştır. Hem GDPR hem de KVKK kapsamında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini inançları, kılık ve kıyafeti, dernek veya sendika üyeliği, sağlık durumu ve cinsel hayatına ilişkin verileri özel nitelikli kişisel veri olarak sayılmaktadır. GDPR ayrıca, genetik veriler ile kişinin benzersiz şekilde teşhis edilmesini sağlayan biyometrik verileri de açıkça bu hassas kategoriye dahil etmiştir. Kanun koyucu, bu verilerin işlenmesini kural olarak yasaklamış; ancak kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi mutlak gereklilikler veya veri sahibinin açık rızası gibi sınırlı hukuka uygunluk sebepleri ile işlenmesine izin vermiştir. Bu verilerin işlenmesi sırasında Kurul tarafından belirlenen yeterli önlemlerin alınması da yasal bir zorunluluktur.

Kişisel Verilerin İşlenmesine Yön Veren Temel İlkeler

Kişisel verilerin işlenmesi, verinin ilk elde edildiği andan imha edildiği ana kadar geçen tüm süreçleri kapsar. Hukuk sistemimiz ve Birlik mevzuatı, bu süreçte uyulması gereken temel ilkeler belirlemiştir. Bu ilkeler, veri işleme faaliyetinin anayasası niteliğindedir. GDPR ve KVKK’da paralel olarak düzenlenen bu kurallar, sınırları net bir şekilde çizer. Bilişim hukuku uygulamalarında veri sorumlularının uyması gereken temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygunluk: Verilerin, bireylerin menfaatlerine ve karşılıklı güvene dayalı, şeffaf biçimde işlenmesi.
  • Amaçla sınırlılık ve ölçülülük: Verilerin belirli, açık, meşru amaçlar için toplanması ve sadece amacın gerektirdiği asgari düzeyde işlenmesi.
  • Doğruluk ve güncellik: Yanlış verilerin bireylere zarar vermesini engellemek adına, bilgilerin güncel tutulması yönünde aktif özen yükümlülüğü.
  • Sınırlı süre saklama: Verilerin işlenme amacının gerektirdiği makul süre boyunca muhafaza edilmesi ve süre bitiminde imha edilmesi.
  • Güvenlik ve hesap verilebilirlik: Hukuka aykırı erişimleri önlemek adına idari ve teknik tedbirlerin alınması, sorumlulukların yerine getirildiğinin ispatlanabilmesi.

Hukuka Uygunluk, Amaçla Sınırlandırma ve Ölçülülük

Belirtilen genel ilkeler arasında özellikle hukuka ve dürüstlük kurallarına uygunluk, veri işlemenin temel dayanağıdır. Bireyin rızası alınmış olsa bile, örneğin bir iş başvurusu sırasında adayın dini inancının veya cinsel yöneliminin sorulması dürüstlük kurallarına ve işleme amacına açıkça aykırıdır. Veri sorumlusu her zaman bireyin tahmin edemeyeceği, özel hayatın gizliliğini zedeleyen sürpriz işlemlerden kaçınmak zorundadır. Bununla doğrudan bağlantılı olan amaçla sınırlılık ve ölçülülük ilkesi ise, verilerin toplanma amacıyla işlenme amacının tutarlı olmasını emreder. Spor salonuna giriş çıkışlarda parmak izi gibi biyometrik verilerin alınmasının ölçülülük ilkesine aykırı bulunması, bu durumun en somut hukuki örneklerinden biridir. Ulaşılmak istenen amaç ile işlenen veri arasında ölçülü bir denge kurulmalı, sırf gelecekte lazım olabilir düşüncesiyle aşırı miktarda veri toplanmamalıdır.

Veri Güvenliği, Doğruluk ve Muhafaza Süreleri

Veri işlemede doğruluk ve güncellik ilkesi, hatalı veriler yüzünden veri sahibinin hak kaybına uğramasını engeller. Örneğin bir tebligat adresinin güncel tutulmaması kişinin hukuki zarar görmesine sebep olabilir; bu nedenle veri sorumluları verileri güncellemek için aktif özen yükümlülüğü altındadır. Öte yandan, verilerin ebediyen saklanması hukuken mümkün değildir. Sınırlı süre saklama ilkesi uyarınca, veriler sadece işlendikleri amaç için gerekli olan süre boyunca veya kanunlarda emredilen müddetçe tutulabilir. Amaç ortadan kalktığında verilerin anonim hale getirilmesi, silinmesi veya yok edilmesi yasal bir zorunluluktur. Son olarak GDPR ile altı çok daha kalın çizilen hesap verilebilirlik ilkesi, veri sorumlularına yalnızca bu ilkelere uymayı değil, aynı zamanda uyduklarını ispat etmeyi ve gerekli tüm idari ile teknik tedbirleri alarak veri güvenliğini sağlamayı emretmektedir.

Benim adım ve TC kimlik numaram dışında neler kişisel veri sayılır? expand_more
Hukuki düzenlemelere göre, sizi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi kişisel veridir. Ad, soyad ve T. C. kimlik numarası gibi bilgilerin yanı sıra; motorlu taşıt plakanız, IP adresiniz, özgeçmişiniz, sosyal güvenlik numaranız ile fiziksel özelliklerinizi yansıtan görüntü ve ses kayıtlarınız da kişisel veri niteliği taşımaktadır. Ayrıca, bir şirkette çalışıyorsanız size tahsis edilen dahili numaralar veya e-posta adresleri de bu kapsamda koruma altındadır. Hatta hakkınızda tutulan yanlış bir bilgi bile sizi belirlenebilir kılıyorsa veri koruma hukuku çerçevesinde değerlendirilmektedir.
Spor salonuna girişte parmak izimi istiyorlar, bunu yapmaya hakları var mı? expand_more
Parmak izi gibi veriler, kişilerin benzersiz şekilde teşhis edilmesini sağlayan biyometrik verilerdir ve hukukumuzda "özel nitelikli kişisel veri" olarak çok daha sıkı koruma altına alınmışlardır. Veri işleme süreçlerinde uyulması zorunlu olan amaçla sınırlılık ve ölçülülük ilkesi gereğince, ulaşılmak istenen amaç ile işlenen veri arasında ölçülü bir denge kurulmalıdır. Spor salonuna giriş çıkışların kontrolü gibi basit bir amaç için parmak izi gibi hassas ve aşırı miktarda veri toplanması ölçülülük ilkesine açıkça aykırıdır. Dolayısıyla, sadece gelecekte lazım olabilir düşüncesiyle veya orantısız bir şekilde bu verinizin işlenmesi hukuka uygun kabul edilmemektedir.
İş görüşmesinde dini inancımı ve siyasi görüşümü sordular, bu yasal mı? expand_more
Kişilerin dini inançları, siyasi düşünceleri, ırkı, etnik kökeni ve cinsel hayatına ilişkin veriler özel nitelikli kişisel veri olarak kabul edilmektedir. Kanun koyucu, bireylerin daha fazla ayrımcılığa maruz kalmasını engellemek amacıyla bu hassas verilerin işlenmesini kural olarak yasaklamıştır. Bir iş başvurusu sırasında adayın dini inancının veya cinsel yöneliminin sorulması, açık rızanız alınmış olsa bile hukuka ve dürüstlük kurallarına kesinlikle aykırıdır. Veri sorumluları, işlemin amacıyla tutarlı olmayan ve özel hayatın gizliliğini zedeleyen bu tür sürpriz veri toplama işlemlerinden daima kaçınmak zorundadır.
Bir şirkete verdiğim bilgilerimi sonsuza kadar ellerinde tutabilirler mi? expand_more
Hayır, kişisel verilerinizin herhangi bir kurum veya şirket tarafından ebediyen saklanması hukuken mümkün değildir. Bilişim hukuku ve veri koruma mevzuatı kapsamında uygulanan sınırlı süre saklama ilkesi uyarınca, verileriniz sadece işlendikleri amaca hizmet ettikleri makul süre boyunca veya kanunlarda emredilen müddetçe tutulabilir. İşlenme amacı ortadan kalktığında, söz konusu verilerin veri sorumlusu tarafından anonim hale getirilmesi, silinmesi veya yok edilmesi yasal bir zorunluluktur. Ayrıca kurumlar, bu yasal zorunlulukları yerine getirdiklerini ispat etmek ve hesap verilebilirlik ilkesine uymakla yükümlüdür.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir