Makale

Günümüzde bilişim teknolojilerindeki akıl almaz gelişmeler ve dijitalleşmenin hayatımızın her alanına nüfuz etmesi, veri üretimini muazzam boyutlara ulaştırmıştır. Çağımızın en değerli varlıklarından biri haline gelen kişisel veri, bireylerin mahremiyetini ve temel haklarını doğrudan ilgilendiren son derece kritik bir kavramdır. Hukuk sistemimizde, bilhassa hukuki normlar ile kişisel verilerin işlenmesi sıkı kurallara bağlanmış ve bu sayede anayasal değerler güvence altına alınmıştır. Bir bilişim hukuku uzmanı olarak belirtmek gerekir ki, kişisel verilerin hukuka uygun şekilde işlenmesi, sadece bireylerin özel hayatının gizliliğini korumakla kalmaz, aynı zamanda dijital ekonomide hukuki güven ortamını kalıcı biçimde tesis eder. Kişisel veri teşkil eden bilgilerin rastgele kullanılması, telafisi güç hukuki zararlara yol açabileceğinden, bu verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygunluk gibi evrensel temel ilkelere titizlikle riayet edilmesi yasal bir zorunluluktur. Bu makalede, kişisel veri kavramının hukuki niteliği ve bu verilerin işlenmesinde gözetilmesi gereken genel ilkeler ile hukuka uygunluk sebepleri kapsamlı bir şekilde ele alınacaktır.

Kişisel Veri Kavramı ve Hukuki Unsurları

Kişisel veri, en temel tanımıyla kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu kavramın hukuki çerçevede değerlendirilebilmesi için üç kurucu unsurun bir arada bulunması gerekir: bilgi unsuru, kimliği belirli veya belirlenebilir bir kişi unsuru ve bilginin kişiye ilişkin olması unsuru. Kişinin yalnızca adı, soyadı, kimlik numarası gibi doğrudan kimliğini yansıtan bilgileri değil; motorlu taşıt plakası, IP adresi, ses ve görüntü kayıtları, alışveriş alışkanlıkları gibi kişiyi dolaylı olarak belirlenebilir kılan her türlü dijital done de kişisel veri niteliği taşır. Hukuk uygulamasında bir bilginin öznel, nesnel, doğru veya yanlış olması, onun kişisel veri vasfını hiçbir şekilde ortadan kaldırmaz. Kişisel verilerin korunması hukuku, kural olarak yalnızca gerçek kişilerin verilerini güvence altına almakta olup, tüzel kişilere ait kurumsal bilgiler kural olarak bu yasanın koruma alanı dışında tutulmuştur. Bilgilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilerek o kişiyi tanımlanabilir kılması, veri koruma hukuku mekanizmalarının işletilmesi için yeterli kabul edilmektedir.

Özel Nitelikli (Hassas) Kişisel Veriler

Kişisel veriler arasında bazıları, mahiyeti gereği ifşa olmaları durumunda veri sahibi açısından ayrımcılığa veya ağır mağduriyete yol açma riski barındırdığından özel nitelikli kişisel veri olarak tasnif edilmiş ve çok daha sıkı bir hukuki koruma rejimine tabi tutulmuştur. İlgili kanun metninde sınırlı sayım ilkesiyle belirlenen bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri içermektedir. Bilişim hukuku uygulamaları kapsamında, bu verilerin işlenmesi kural olarak ilgili kişinin açık rızasına sıkı sıkıya bağlıdır. Sağlık ve cinsel hayata ilişkin veriler dışındaki hassas veriler, ancak kanunlarda öngörülen hallerde rıza aranmaksızın işlenebilirken; sağlık ve cinsel hayata ilişkin veriler sırf kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi spesifik ve katı amaçlarla işlenebilmektedir. Bu ayrım, yasa koyucunun hassas verilere atfettiği hukuki önemi net bir şekilde yansıtmaktadır.

Kişisel Verilerin İşlenmesi ve Genel İlkeler

Kişisel verilerin işlenmesi, verilerin tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla elde edilmesinden silinmesine kadar geçen süreçteki her türlü işlemi kapsar. Veri işlemenin hukuki bağlamda meşru kabul edilebilmesi için, faaliyetin en başından sonuna kadar kanun kapsamında belirlenen genel ilkelere mutlak surette uyulması zorunludur. Bu ilkeler, veri işleme faaliyetinin anayasası konumunda olup hukuki geçerliliğin temelini oluşturur. Bu ilkelere ilişkin standartlar şu şekildedir:

• Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme süreçleri yasalara ve şeffaflık ile iyiniyet kurallarına uygun yürütülmelidir.
• Doğru ve gerektiğinde güncel olma: İşlenen verilerin gerçek durumu yansıtması, bireyin mağduriyetini önlemek adına kritik olup, veri üzerinden hukuki bir sonuç üretiliyorsa bu kural daima aktiftir.
• Belirli, açık ve meşru amaçlar için işlenme: Veriler sadece önceden net olarak belirlenmiş, yasal zemine dayanan sebeplerle toplanmalıdır.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Bilişim hukukunda veri minimizasyonu olarak bilinen bu ilke, amaca ulaşmak için sadece minimum düzeyde verinin işlenmesini emreder.
• Gerekli olan süre kadar muhafaza edilme: Veriler hukuki süre bitiminde veya meşru amaç ortadan kalktığında mutlaka imha edilmelidir.

Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Nedenleri

Kişisel verilerin işlenmesi kural olarak hukuka aykırı bir fiil olup, bu eylemin hukuka uygun kabul edilebilmesi için ilgili kişinin açık rızası yahut kanunda tahdidi olarak sayılan diğer hukuka uygunluk nedenlerinden birinin bulunması şarttır. Açık rıza; belirli bir konuya ilişkin, detaylı bir bilgilendirmeye dayanan ve hiçbir baskı altında kalmaksızın özgür iradeyle açıklanan geçerli onay beyanıdır. Bilişim hukuku bağlamında "battaniye rıza" veya "torba rıza" olarak anılan genel nitelikli onaylar yargı mercileri önünde kesinlikle geçersiz sayılmaktadır. Kanun, açık rızanın istisnası olarak; verinin işlenmesinin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişinin hayatını veya beden bütünlüğünü korumak için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması durumlarını hukuka uygun kabul etmiştir. Ayrıca hukuki yükümlülüğün yerine getirebilmesi, verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi veya korunması için mecburi olması ve kişinin temel haklarına zarar vermemek şartıyla meşru menfaat için zorunlu olması halleri de hukuka uygunluk sebebi olarak yasal düzenlemelerde yer almıştır.