Anasayfa/ Makale/ Kişisel Veri Hukuku: Kavramlar, İlkeler ve Mevzuat

Kişisel Veri Hukuku: Kavramlar, İlkeler ve Mevzuat

Kişisel veri hukuku, bireylerin mahremiyetini ve kişilik haklarını korumak amacıyla ulusal ve uluslararası mevzuatla şekillendirilmiş dinamik bir hukuk dalıdır. Bu makale, kişisel veri hukukunun temel kavramlarını, verilerin işlenmesine hâkim olan evrensel ilkeleri ve mevzuatın getirdiği hukuki yükümlülükleri uzman bir perspektifle incelemektedir.
search
8 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK

Hızla gelişen teknoloji ve artan veri akışı, bireylerin özel hayatının gizliliği ile kişilik haklarının korunmasını her zamankinden daha önemli bir hukuki mesele hâline getirmiştir. Bu noktada devreye giren kişisel verilerin korunması hukuku, bireylerin insanlık onurunu ve mahremiyetini güvence altına alan pozitif statü hakları arasında yer almaktadır. Hukuk sistemimizde, kişilerin kendileriyle ilişkili tüm veriler üzerinde sahip olduğu kontrol mekanizması, 1982 Anayasası kapsamında temel bir anayasal hak olarak güvence altına alınmıştır. Özellikle dijital ve fiziksel ortamlarda gerçekleşen veri işleme faaliyetlerinin disipline edilmesi, devletin bireylere karşı koruma yükümlülüğünün bir gereğidir. Hem kamu kurumlarının hem de özel sektör aktörlerinin gerçekleştirdiği her türlü veri toplama, saklama ve aktarma işlemi, yasal mevzuatın belirlediği katı kurallara tabidir. Uzman bir hukuki yaklaşımla değerlendirildiğinde, bu alanın sadece ihlalleri cezalandıran değil, aynı zamanda ihlalleri önleyici nitelikteki yapısal mekanizmalardan oluştuğu görülmektedir. Temel hak ve özgürlüklerin güvencesi olan bu mekanizmanın doğru anlaşılması için kavramsal çerçevenin, işleme ilkelerinin ve yasal dayanakların bütüncül bir şekilde analiz edilmesi şarttır.

Kişisel Veri Hukukunun Temel Kavramları

Kişisel verilerin korunması hukukunun doğru bir şekilde yorumlanabilmesi için öncelikle bu alanın üzerine inşa edildiği temel kavramların hukuki niteliğinin saptanması gerekmektedir. En temel düzeyde veri kavramı, işlenmemiş ve soyut nitelikteki ham bilgileri ifade etmektedir. Hukuki korumanın merkezinde yer alan kişisel veri ise, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bir verinin kişisel veri vasfı kazanabilmesi için gerçek bir kişiyle doğrudan veya dolaylı olarak ilişkilendirilebilmesi şarttır. Mevzuatımızda, kişinin temel hak ve özgürlüklerine yönelik potansiyel ihlal riskinin daha yüksek olduğu durumlarda ekstra koruma kalkanı sağlanan özel nitelikli kişisel veriler de bulunmaktadır. Sınırlı sayıda sayılan bu verilerin hukuka aykırı olarak işlenmesi, bireyin toplum içinde ayrımcılığa uğramasına ve ağır mağduriyetler yaşamasına neden olabileceğinden, işlenme şartları çok daha sıkı kurallara ve istisnai hallere bağlanmıştır:

  • Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar.
  • Kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği.
  • Sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler.
  • Kişinin kimliğini benzersiz şekilde tespit eden biyometrik ve genetik veriler.

Veri işleme süreçlerinin idaresi ve hukuki sorumluluğun tespiti aşamasında karşımıza çıkan en önemli iki süje, veri sorumlusu ve veri işleyen kavramlarıdır. Hukuki tanımıyla veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu, kişisel verilerin toplanmasından imhasına kadar geçen tüm süreçte hukuki ve cezai sorumluluğu bizzat üstlenen ana aktördür. Veri sorumlusunun, hukuka uygunluk bağlamında aydınlatma yükümlülüğü ve veri güvenliğini sağlama zorunluluğu bulunmaktadır. Öte yandan veri işleyen, veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak, onun adına bizzat organizasyon dışında veri işleme faaliyetlerini yürüten kişidir. Veri sorumlusu ve veri işleyen arasındaki bu görev ve yetki dağılımı, aralarında akdedilecek sözleşmelerle belirlenir. İlgili kişilerin hukuki haklarının korunması noktasında, veri sorumlusu ile birlikte veri işleyen de idari ve teknik her türlü güvenlik tedbirini almak hususunda müştereken ve müteselsilen hukuki sorumluluk altındadır.

Kişisel Verilerin İşlenmesine Hâkim Olan İlkeler

Herhangi bir yasal zeminde kişisel verilerin işlenmesinin hukuka uygun kabul edilebilmesi için, mevzuatın emredici nitelikteki genel ilkelerine harfiyen uyulması gerekmektedir. Bu kapsamda, veri işleme faaliyetinin temelini hukuka ve dürüstlük kurallarına uygun olma ilkesi oluşturur. Bu ilke, veri sorumlusunun veri sahibinin menfaatlerini gözetmesini, bilgisizliğinden yararlanmamasını ve veri toplama sürecinde tam bir şeffaflık sergilemesini zorunlu kılar. İkinci olarak, işlenen verilerin doğru ve gerektiğinde güncel olma zorunluluğu vardır; zira hatalı veya güncelliğini yitirmiş bir veri, ilgili kişinin şeref, itibar ve ticari hayatı üzerinde telafisi imkânsız zararlar doğurabilmektedir. Ayrıca, verilerin belirli, açık ve meşru amaçlar için işlenmesi yasal bir zorunluluktur. Veri sorumlusu, veri işleme sürecine başlamadan önce amacını kesin sınırlarla belirlemeli ve bu amacı hukuk düzeninin meşru kabul ettiği çerçevede gerçekleştirmelidir. İlgili amacın dışında gerçekleştirilen her türlü sonradan veri işleme, hukuka aykırı fiil teşkil edecektir.

Veri işleme süreçlerinde bireyin hakları ile veri işleyenin menfaatleri arasındaki dengeyi sağlayan en önemli standartlardan biri, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma zorunluluğudur. Hukuk terminolojisinde veri minimizasyonu ilkesi olarak da adlandırılan bu kural, yalnızca belirlenen amacın gerçekleştirilmesi için mutlak surette ihtiyaç duyulan verilerin toplanmasını gerektirir. İleride lazım olabileceği düşüncesiyle, varsayımlar üzerinden gereğinden fazla kişisel verinin işlenmesi ve saklanması hukuka açıkça aykırıdır. Bir diğer kural ise, kişisel verilerin yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan makul süre kadar muhafaza edilmesi ilkesidir. İşleme amacının ortadan kalkması veya kanuni saklama sürelerinin dolması hâlinde, veri sorumlusu ilgili kişisel verileri re'sen veya veri sahibinin talebi üzerine derhal silmek, yok etmek ya da anonim hâle getirmekle yükümlüdür. Bu ilkeler, veri mahremiyetini sağlamanın vazgeçilmez temel yapı taşlarıdır.

Kişisel Verilerin Korunmasına İlişkin Yasal Mevzuat

Kişisel verilerin hukuki bir zeminde korunması ihtiyacı, ilk olarak Avrupa'da ortaya çıkmış ve uluslararası metinlerle evrensel bir boyut kazanmıştır. Tarihsel gelişim sürecinde Ekonomik İş Birliği ve Kalkınma Teşkilatı tarafından yayımlanan rehber ilkeler ve Avrupa Konseyi bünyesinde kabul edilen 108 sayılı Sözleşme, uluslararası alanda bağlayıcılığı olan ilk düzenlemelerdendir. Bu metinler, devletlere asgari koruma standartları getirerek iç hukuklarında gerekli düzenlemeleri yapma ödevini yüklemiştir. Sürecin en önemli kilometre taşlarından biri ise, Avrupa Birliği tarafından hayata geçirilen Genel Veri Koruma Tüzüğü (GDPR) olmuştur. Söz konusu regülasyon, sadece birlik üyesi devletleri değil, aynı zamanda birlik dışındaki ülkelerdeki gerçek ve tüzel kişileri de kapsayacak şekilde sınır ötesi veri trafiğini düzenleyerek küresel bir standart oluşturmuştur. Sözleşme hükümlerinin ve uluslararası direktiflerin ortak amacı; bireyin verilerinin izinsiz toplanmasını engellemek, ihlalleri idari yaptırımlara bağlamak ve uluslararası faaliyetlerde veri güvenliğini garanti altına alacak güçlü, caydırıcı bir yasal çerçeve tesis etmektir.

Türk hukuk sisteminde kişisel verilerin korunması, en üst norm olan anayasal güvence ile koruma altına alınmıştır. Bu bağlamda güncel anayasa metni, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu açıkça düzenleyerek, durumu bir temel insan hakkı olarak tescil etmiştir. Anayasal hükümlerin somutlaştırıldığı ana düzenleme ise 6698 sayılı Kişisel Verilerin Korunması Kanunu olmuştur. Bu özel kanun, kişisel verilerin işlenme şartlarını, aktarım kurallarını, veri sorumlusunun hukuki yükümlülüklerini ve veri sahiplerinin haklarını detaylıca regüle etmektedir. Ayrıca kanunla kurulan Kişisel Verileri Koruma Kurumu, idari ve mali açıdan bağımsız bir denetleyici otorite olarak sistemin yürütülmesinden sorumludur. Sadece özel yasalarla değil; kişisel verilere yönelik haksız fiiller ve suçlar, Türk Medeni Kanunu bağlamında kişilik haklarının korunması mekanizmaları ve Türk Ceza Kanunu kapsamında öngörülen hapis ve adli para cezaları aracılığıyla da etkin bir şekilde yaptırıma bağlanarak geniş çaplı bir yargısal koruma şemsiyesi oluşturulmuştur.

Hastane kayıtlarım veya parmak izim de kişisel veri sayılır mı? expand_more
Evet, hastane kayıtlarınız ve parmak iziniz gibi bilgiler sizi doğrudan tanımladığı için kişisel veridir ve mevzuatımızda "özel nitelikli kişisel veriler" kategorisinde yer alırlar. Kanunlarımız; sağlık, cinsel hayat, ceza mahkûmiyeti, genetik ve biyometrik verileri, sızdırılması durumunda bireylerin ayrımcılığa uğramasına veya ağır mağduriyetler yaşamasına neden olabileceği için çok daha katı kurallarla korumaktadır. Bu sebeple, söz konusu hassas verilerin hukuka uygun şekilde işlenebilmesi sıradan verilere göre çok daha sıkı şartlara ve istisnai hallere bağlanmıştır.
Bilgilerimi verdiğim şirket hacklenirse sorumluluk kime ait? expand_more
Kişisel verilerinizi toplama amacını ve vasıtalarını belirleyen, kayıt sistemini yöneten şirket hukuken "veri sorumlusu" sıfatını taşır. Veri sorumlusu, verilerinizin toplanmasından imha edilmesine kadar geçen tüm süreçteki hukuki ve cezai sorumluluğu bizzat üstlenen ana aktördür. Eğer şirket, verilerinizi kendi talimatlarıyla işlemesi için organizasyon dışından bir "veri işleyen" görevlendirdiyse, idari ve teknik her türlü güvenlik tedbirinin alınmamasından doğan zararlarda her ikisi de müştereken ve müteselsilen sorumlu tutulacaktır.
Eski iş yerim ya da üye olduğum siteler bilgilerimi sonsuza kadar saklayabilir mi? expand_more
Hayır, hukuken hiçbir kurum veya kuruluş kişisel verilerinizi sınırsız bir süre boyunca saklama hakkına sahip değildir. Kanuni mevzuatımıza göre, verilerin yasal saklama sürelerinin dolması veya işlenme amacının tamamen ortadan kalkması durumunda bu verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi zorunludur. Veri sorumlusu konumundaki şirketler veya kurumlar, bu imha yükümlülüğünü ya kendiliğinden (re'sen) harekete geçerek ya da sizin hukuki talebiniz üzerine derhal yerine getirmekle yükümlüdür.
Bir mağaza alışveriş için benden gereksiz yere bir sürü bilgi istiyor, bu yasal mı? expand_more
Hukuken bir işlemin yapılabilmesi için veri sorumlularının yalnızca belirli, açık ve meşru amaçlar çerçevesinde hareket etmesi şarttır. Hukukumuzdaki veri minimizasyonu ilkesi gereğince, sadece hedeflenen amacın gerçekleştirilmesi için mutlak surette ihtiyaç duyulan verileriniz toplanabilir. İleride belki lazım olur düşüncesiyle ya da varsayımlar üzerinden sizden gereğinden fazla kişisel veri istenmesi ve bunların saklanması hukuka açıkça aykırı bir eylemdir.
Verilerimi izinsiz paylaştıklarını öğrenirsem hapis veya para cezası verilir mi? expand_more
Evet, hukuka aykırı veri işleme faaliyetlerinin hukuki düzenlemelerimiz kapsamında ciddi yaptırımları bulunmaktadır. Kişisel verilerin korunması Anayasa ile güvence altına alınmış temel bir insan hakkıdır ve ihlaller Türk Ceza Kanunu kapsamında hapis ve adli para cezaları ile doğrudan yaptırıma bağlanmıştır. Ayrıca idari denetim mekanizması olarak Kişisel Verileri Koruma Kurumu devreye girebilirken, Türk Medeni Kanunu bağlamında zedelenen kişilik haklarınızın telafisi için dava yollarına başvurmanız da mümkündür.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir