Anasayfa/ Makale/ Bilişim Hukukunda Kişisel Veri Kavramı ve Kapsamı

Bilişim Hukukunda Kişisel Veri Kavramı ve Kapsamı

Bilişim sistemlerinin yaygınlaşmasıyla hayatımızın merkezine yerleşen kişisel veri kavramı, hukuki bir değer olarak koruma altına alınmıştır. Bu makalede, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel verinin hukuki niteliği, temel unsurları ve mevzuattaki yeri kapsamlıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK CEZA HUKUKU HAKSIZ REKABET ÖZEL NİTELİKLİ KİŞİSEL VERİ MÜLKİYET HAKKI ÖZEL HAYATIN GİZLİLİĞİ

Günümüzde teknolojinin hızla gelişmesi ve kitle iletişim araçlarının kullanımının artması, bilişim sistemlerini ticari ve kamusal alanın vazgeçilmez bir parçası haline getirmiştir. Dijitalleşme süreciyle birlikte hayatımızın her alanına temas eden kişisel veri kavramının hukuki bir zeminde tanımlanması ve korunması zaruri bir ihtiyaç olarak karşımıza çıkmaktadır. Bilişim hukuku pratiğinde en sık karşılaşılan konulardan biri olan kişisel veriler, temel hak ve özgürlüklerin korunması bakımından da kritik bir öneme sahiptir. Hukukumuzda, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ulusal ve uluslararası birçok mevzuatta düzenlenen bu kavram, en genel tanımıyla kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda, bir bilginin kişisel veri niteliği taşıyıp taşımadığının tespiti, hukuki uyuşmazlıkların çözümünde ve işletmelerin uyum süreçlerinde temel referans noktasını oluşturmaktadır.

Kişisel Verinin Temel Unsurları

Bir bilginin kişisel veri olarak kabul edilebilmesi için mevzuatımızda ve yargı içtihatlarında belirlenen belirli unsurları bünyesinde barındırması gerekmektedir. Uzman bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, kişisel verinin üç temel unsurdan oluştuğu görülmektedir: bilgi, gerçek kişi ve belirlenebilirlik. Bu unsurların varlığı, bilginin korunma kapsamına girip girmeyeceğini tayin eder. Öncelikle, kanun koyucu "her türlü bilgi" ifadesini kullanarak koruma alanını olabildiğince geniş tutmuştur. Bilginin gizli, herkesçe bilinen, objektif veya sübjektif, hatta doğru ya da yanlış olmasının onun kişisel veri niteliğine bir etkisi bulunmamaktadır. Verinin elektronik bir bilişim sisteminde veya fiziksel bir dosyada yer alması da durumu değiştirmez. Kişinin adı, soyadı, T. C. kimlik numarası gibi doğrudan kimliğini ortaya koyan bilgiler kişisel veri olduğu gibi, tek başına kimliği belirlemese de diğer verilerle birleştirildiğinde kişiyi tespit edilebilir kılan IP adresi, konum verisi, araç plakası ve hatta ses kayıtları da bu kapsamda sıkı bir hukuki korumadan faydalanır.

Gerçek Kişi ve Belirlenebilirlik Kriteri

Hukuk sistemimizde kişisel veri kavramı, münhasıran gerçek kişileri koruma altına alan bir yapıya sahiptir. Tüzel kişilere, yani şirketlere veya vakıflara ait ticari sırlar veya kurum verileri, mevzuatımız kapsamında kişisel veri olarak değerlendirilmemektedir; zira tüzel kişilerin korunması ticaret hukuku gibi farklı hukuk disiplinlerinin konusudur. Korumanın başlayabilmesi için verinin ait olduğu kişinin sağ ve tam doğmuş bir gerçek kişi olması şarttır. Bununla birlikte, kişinin belirlenebilir olması kavramı son derece dinamiktir. Teknolojinin sağladığı imkanlar dikkate alınarak, makul bir çaba ve yöntem ile gerçek kişiyle doğrudan veya dolaylı bir bağlantı kurulabiliyorsa o veri kişisel veri sayılır. Anonim hale getirme işlemi uygulanan, yani başka verilerle eşleştirilse dahi hiçbir şekilde belirli bir kişiyle ilişkilendirilemeyecek hale gelen bilgiler kişisel veri olma özelliğini kaybeder. Ancak takma ad (psödönimleştirme) veya şifreleme yöntemleriyle gizlenen veriler, ek bilgilerle kişinin kimliğinin tespit edilebilme ihtimali bulunduğundan halen kişisel veri statüsünde değerlendirilmektedir.

Özel Nitelikli Kişisel Veriler ve Önemi

Bilişim hukukunda kişisel veriler, nitelikleri ve ihlal edilmeleri halinde doğuracakları zararın ağırlığı dikkate alınarak iki ana kategoriye ayrılmaktadır. Bunlardan ilki olan özel nitelikli kişisel veriler, kişinin temel hak ve özgürlüklerine, mahremiyetine doğrudan temas eden ve öğrenilmesi halinde ayrımcılığa veya mağduriyete yol açma riski yüksek olan hassas bilgilerdir. Kanun koyucu bu verilerin işlenmesine karşı kural olarak kesin bir yasaklayıcı tutum sergilemiş ve istisnai haller dışında katı bir koruma rejimi öngörmüştür. Kişinin açık rızası bulunmaksızın bu tür verilerin işlenmesi yasaklanmıştır ve kurallara uyulmaması halinde hem idari para cezaları hem de ağır ceza hukuku yaptırımları devreye girmektedir.

Kanunumuzda sınırlı sayım esasına göre belirlenen ve genişletilmesi hukuken mümkün olmayan özel nitelikli kişisel veriler şunlardır:

  • Kişilerin ırkı, etnik kökeni ve siyasi düşüncesi.
  • Felsefi inancı, dini, mezhebi veya diğer inançları.
  • Kılık ve kıyafeti ile dernek, vakıf ya da sendika üyeliği.
  • Sağlık durumu, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler.
  • Gerçek kişilerin kimliğinin tespiti amacıyla işlenen biyometrik ve genetik veriler.

Kişisel Verilerin Hukuki Niteliği

Kişisel verilerin korunması hakkının hukuki temeli, bireyin insan onuru ve kişiliğini serbestçe geliştirebilme ideali ile yakından ilişkilidir. Her ne kadar Amerikan hukukunda verilerin ekonomik ve ticari değeri ön plana çıkarılarak mülkiyet hakkı veya fikri mülkiyet hakkı görüşleri savunulsa da, Avrupa ve Türk hukuk sisteminde insan hakkı görüşü hakimdir. Kişilerin sürekli olarak takip edilip gözetlendiği veyahut böyle bir baskı altında hissettiği bir ortamda, özgür kararlar alabilmesi ve toplumsal hayata sağlıklı bir şekilde katılabilmesi mümkün değildir. Bu sebeple kişisel verilerin korunması, Anayasamızda doğrudan özel hayatın gizliliği başlığı altında güvence altına alınmış ve bağımsız bir temel hak olarak hukuk sistemimize yerleşmiştir. Özellikle ifade özgürlüğü, haberleşme hürriyeti ve bilgi edinme hakkı gibi diğer temel insan haklarıyla sürekli bir etkileşim ve kimi zaman çatışma halinde olan kişisel veri hakkı, hukuki menfaat dengelerinin hassasiyetle gözetilmesini zorunlu kılan oldukça dinamik bir koruma kalkanı işlevi görmektedir.

Şirketimin ticari sırları çalındı, kişisel verilerin korunması davası açabilir miyim? expand_more
Hukuk sistemimizde kişisel veri kavramı, yalnızca gerçek kişileri, yani insanları koruma altına alan bir yapıya sahiptir. Şirketlere veya vakıflara ait ticari sırlar yahut kurum verileri, mevzuatımız kapsamında kişisel veri olarak değerlendirilmemektedir. Bu tür kurumsal ve ticari verilerin korunması bilişim hukuku kapsamındaki kişisel verilerin korunması rejiminin değil, ticaret hukuku gibi farklı hukuk disiplinlerinin konusudur. Dolayısıyla, şirket bilgilerinize yönelik bir ihlalde Kişisel Verilerin Korunması Kanunu'na değil, ticaret hukuku kapsamında haksız rekabet gibi farklı hukuki yollara başvurmamız gerekmektedir.
Sadece IP adresimi ve konumumu bulmuşlar, bunlardan adım çıkmaz ki, dava edebilir miyim? expand_more
Bir bilginin kişisel veri sayılması için doğrudan adınızı ve soyadınızı içermesi veya doğrudan kimliğinizi ortaya koyması zorunlu değildir. Tek başına kimliğinizi belli etmese bile, diğer bilgilerle birleştirildiğinde kimliğinizin tespit edilmesini sağlayan IP adresi, konum verisi veya araç plakası gibi bilgiler de kişisel veri kabul edilir. Makul bir çaba ve yöntem ile sizinle dolaylı da olsa bir bağlantı kurulabiliyorsa, bu tür veriler mevzuatımız kapsamında sıkı bir hukuki korumadan faydalanır. Bu nedenle, IP adresiniz veya konum verilerinizin rızanız dışında işlenmesi veya ele geçirilmesi açık bir ihlaldir ve yasal yollara başvurma hakkınız kesinlikle bulunmaktadır.
Hastaneden tahlil sonuçlarımı izinsiz paylaşmışlar, bu daha büyük bir suç mu? expand_more
Hastane tahlil sonuçları veya sağlık durumunuza ilişkin tüm bilgiler hukukumuzda "özel nitelikli kişisel veri" olarak kabul edilmektedir ve çok daha katı bir koruma rejimine tabidir. Bu hassas bilgilerin yetkisiz şekilde öğrenilmesi, kişilerin ayrımcılığa uğramasına veya büyük mağduriyetler yaşamasına yol açabileceği için, kanun koyucu bu verilerin işlenmesini kural olarak kesin bir şekilde yasaklamıştır. Sizin açık rızanız bulunmaksızın bu tür verilerinizin paylaşılması durumunda, ihlali gerçekleştirenler hakkında hem ciddi idari para cezaları hem de ağır ceza hukuku yaptırımları devreye girecektir. Sağlık verilerinizin izinsiz ifşası çok ciddi bir hak ihlalidir ve anayasal güvence altındaki özel hayatın gizliliği hakkınıza doğrudan saldırı niteliği taşımaktadır.
İsmimi gizleyip takma ad kullansalar da verilerimi satmaları yasal mı? expand_more
Sadece isminizin gizlenmesi veya verilerin şifrelenerek takma ad (psödönimleştirme) kullanılması, söz konusu bilgileri kişisel veri koruması kapsamından çıkarmaz. Bu tür yöntemlerle gizlenen veriler, çeşitli ek bilgilerle birleştirildiğinde kimliğinizin tespit edilebilme ihtimali devam ettiği için hukuken halen "kişisel veri" statüsünde değerlendirilmektedir. Bir bilginin kişisel veri sayılmaması için hiçbir şekilde başka verilerle eşleştirilse dahi sizinle ilişkilendirilemeyecek düzeyde "anonim hale getirilmesi" şarttır. Dolayısıyla, gerçek kimliğinize ulaşılma ihtimali barındıran bu şifreli verilerin açık rızanız dışında ticari amaçlarla kullanılması yasalara aykırıdır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir