Anasayfa Makale Kişisel Veri Hukuku ve Temel İşleme İlkeleri

Makale

Dijitalleşen dünyada ekonomik ve hukuki bir değer kazanan kişisel verilerin korunması, temel hak ve özgürlüklerin teminatıdır. Bu makalede, kişisel veri kavramının hukuki niteliği ve veri işleme süreçlerine hâkim olan evrensel ilkeler, güncel mevzuat ve uygulamalar ışığında uzman bir hukuki perspektifle değerlendirilmektedir.

Kişisel Veri Hukuku ve Temel İşleme İlkeleri

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK KİŞİSEL VERİLERİN İŞLENMESİ

Günümüzde hızla gelişen teknoloji ve dijitalleşme süreçleri, kişisel verilerin korunması kavramını hukuk sistemlerinin en temel tartışma konularından biri haline getirmiştir. Bireylerin günlük yaşamlarında sürekli olarak veri üretmesi, bu verilerin ekonomik bir değere dönüşmesine ve çeşitli amaçlarla işlenmesine zemin hazırlamıştır. Bu durum, veri işleme faaliyetlerinin belirli hukuki sınırlar ve ilkeler çerçevesinde yürütülmesini zorunlu kılmaktadır. Bir hukuk bürosu perspektifiyle ele alındığında, veri sorumlularının yasal yükümlülüklerini yerine getirmesi ve ihlallerden kaçınması, ancak kişisel veri kavramının ve bu verilerin işlenmesine hâkim olan temel ilkelerin doğru bir şekilde anlaşılmasıyla mümkündür. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) başta olmak üzere, ulusal ve uluslararası mevzuat, kişisel verilerin işlenmesi süreçlerinde bireylerin temel hak ve özgürlüklerini korumayı amaçlayan katı kurallar öngörmektedir. Bu makalede, veri sorumlularına rehberlik etmesi amacıyla kişisel veri kavramının unsurları ve veri işlemeye hâkim olan evrensel ilkeler detaylı bir biçimde incelenmektedir.

Kişisel Veri Kavramı ve Hukuki Niteliği

Hukuki bağlamda kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği düzenlemeleri ve Türk hukuku, kişisel veri tanımını son derece geniş bir çerçevede ele alarak bireylerin mahremiyetini güvence altına almayı hedeflemiştir. Yalnızca isim, soy isim veya kimlik numarası gibi doğrudan tanımlayıcı bilgiler değil; IP adresi, konum verileri, fiziksel özellikler veya genetik bilgiler gibi dolaylı olarak kişiyi tanımlamaya elverişli bilgiler de kişisel veri statüsündedir. Bunun yanı sıra, tüzel kişilere ait veriler kural olarak bu korumanın dışında kalsa da, tüzel kişiyle ilişkili verilerin dolaylı olarak bir gerçek kişiyi tanımlaması halinde veri koruma hukuku devreye girmektedir. Bu noktada, bilginin kaynağı veya doğruluğu önem taşımaksızın, bir gerçek kişiyle ilişkilendirilebilen her türlü kayıt hukuki koruma altındadır. Anonim hale getirilmiş, yani bireyle ilişkilendirilemeyecek duruma getirilmiş veriler ise kişisel veri niteliğini kaybederek kanun kapsamı dışında kalmaktadır.

Kişisel Verilerin İşlenmesi Kavramı

Kişisel verilerin işlenmesi, verilerin tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla elde edilmesinden başlayarak, silinmesine kadar geçen süreçteki her türlü işlemi kapsayan geniş bir hukuki kavramdır. Verilerin toplanması, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi bu kapsamda değerlendirilmektedir. Veri işleme süreçleri, dijital ortamlarda olduğu gibi fiziksel dosyalama sistemlerinde de kanunun öngördüğü sıkı kurallara tabidir. Hukuk uygulamaları açısından, bir şirketin çalışanlarına ait özlük dosyalarını belirli bir kritere göre düzenli şekilde tutması dahi veri kayıt sistemi olarak kabul edilmekte ve veri işleme faaliyeti sayılmaktadır. Uluslararası içtihatlar ve düzenleyici kurul kararları ışığında, veri sorumlularının gerçekleştirdiği her bir işleme faaliyetinin şeffaf, denetlenebilir ve yasalara uygun bir zemine oturtulması zorunludur. İşleme kavramının bu denli geniş yorumlanması, bireylerin verileri üzerindeki kontrollerini güçlendirme amacına hizmet etmektedir.

Veri İşleme Sürecine Hâkim Olan Temel İlkeler

Hem ulusal mevzuatımızda hem de uluslararası metinlerde, kişisel verilerin işlenmesine yön veren temel ilkeler düzenlenmiştir. Bu ilkeler, veri sorumlularının operasyonel süreçlerinde uyması gereken asgari hukuki standartları oluşturur ve mevzuatta açık hüküm bulunmayan durumlarda uyuşmazlıkların çözümünde rehber işlevi görür. Veri işleme ilkelerine aykırılık, doğrudan hukuka aykırılık teşkil edeceğinden, veri sorumluları açısından ciddi idari para cezaları ve hukuki yaptırımlarla sonuçlanabilmektedir. Bu nedenle, veri işleme faaliyetlerinin tasarlanması aşamasında bu ilkelerin içselleştirilmesi ve bir şirket içi uyum politikası haline getirilmesi hukuki bir zorunluluktur. Aşağıda, kişisel veri koruma hukukunun temelini oluşturan ve her bir veri işleme faaliyetinde titizlikle gözetilmesi gereken evrensel ilkelere yer verilmiştir.

Hukuka ve Dürüstlük Kuralına Uygunluk

Veri işlemede ilk ve en temel kural, hukuka ve dürüstlük kuralına uygunluk ilkesidir. Bu ilke, kişisel verilerin yalnızca kanunlarda öngörülen hukuki sebeplere dayanılarak işlenmesini gerektirdiği gibi, aynı zamanda veri sorumlularının iyi niyetli, şeffaf ve ilgili kişiyi yanıltmayan bir tutum sergilemesini zorunlu kılar. Bireylerden habersiz veya gizli yöntemlerle veri toplanması, bu ilkenin açık bir ihlalidir. Medeni hukukumuzun temelini oluşturan dürüstlük kuralı, veri koruma alanında da kendini göstermekte ve veri sorumlularının şeffaf bir iletişim kurmasını şart koşmaktadır. Yargı kararları incelendiğinde, salt ekonomik fayda elde etmek amacıyla bireylerin haklarını zedeleyen veya onları yanıltan işleme faaliyetlerinin hem hukuka hem de dürüstlük kuralına aykırı bulunarak ağır yaptırımlara bağlandığı görülmektedir.

Belirli, Açık ve Meşru Amaçlar

Veri sorumluları, kişisel verileri yalnızca belirli, açık ve meşru amaçlar için toplayabilir ve işleyebilirler. Bu ilke, veri toplama amacının henüz sürecin en başında, ilgili kişiye net bir şekilde açıklanmasını ve şüpheden uzak olmasını gerektirir. Örneğin, bir kurumun müşteri iletişim bilgilerini fatura düzenlemek amacıyla alıp, bu bilgileri daha sonra ilgili kişinin haberi olmadan farklı bir pazarlama faaliyeti için kullanması hukuka aykırıdır. Amacın meşruiyeti, veri sorumlusunun ticari veya hukuki faaliyetleriyle doğrudan bağlantılı ve makul olmasını ifade eder. Hukuki uyuşmazlıklarda, veri işlemenin başlangıçtaki amacından sapması, yasal sınırların aşıldığı anlamına gelmektedir. Bu nedenle, kurumsal veri işleme politikalarında her bir verinin hangi amaçla toplandığının hukuki bir netlikle belirlenmesi elzemdir.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Avrupa veri koruma hukukunda veri minimizasyonu olarak da adlandırılan bu yaklaşım, kişisel verilerin işlenmesinde ölçülülük kriterini esas alır. Veri sorumluları, sadece belirledikleri amaca ulaşmak için mutlak surette gerekli olan verileri toplamalı, amacın gerçekleştirilmesiyle ilgisi bulunmayan kişisel verileri işlemekten kaçınmalıdır. Bir işletmenin hizmet sunumu sırasında müşterinin kimlik ve iletişim bilgilerini talep etmesi ölçülü kabul edilirken, hizmetle ilgisi olmayan inanç veya sağlık geçmişine ilişkin bilgi istemesi sınırlılık ve ölçülülük ilkesine açık bir aykırılık oluşturur. Bu kural, veri sorumlularını ileride lazım olabilir mantığıyla gereksiz veri yığınları oluşturmaktan men eder. Olası bir idari veya yargısal denetimde, toplanan verinin o anki işlem için mecburi olup olmadığı, ölçülülük ilkesi bağlamında titizlikle değerlendirilmektedir.

Doğruluk, Güncellik ve Süre Sınırı İlkeleri

Kişisel verilerin işlenmesine ilişkin tamamlayıcı mahiyetteki diğer önemli ilkeler; verilerin doğru ve güncel tutulması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesidir. Hatalı veya güncelliğini yitirmiş verilerin işlenmesi, bireylerin hukuki veya ekonomik açıdan telafisi güç zararlara uğramasına neden olabilir. Veri sorumluları, işledikleri verilerin doğruluğunu sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Öte yandan, kişisel verilerin süresiz olarak saklanması hukuken mümkün değildir. İşleme amacının ortadan kalkması veya yasal saklama sürelerinin dolması halinde, söz konusu verilerin derhal silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. İş ilişkisi sona eren bir çalışana ait yalnızca hukuki zorunluluk gerektiren kayıtların muhafaza edilmesi, geri kalan verilerin ise imha edilmesi veri saklama sürelerine uygunluk ilkesinin hukuki bir gereğidir.

Veri İşleme İlkelerine Uyumun Hukuki Önemi

Veri sorumlularının hukuki sorumluluğunu belirleyen en kritik husus, kişisel veri işleme ilkelerinin bir organizasyon kültürü haline getirilmesidir. Yüksek mahkeme içtihatları, veri ihlallerinde temel ilkelere uyulup uyulmadığının ne denli belirleyici olduğunu açıkça ortaya koymaktadır. Hukuk uygulamalarında sıkça karşılaştığımız üzere, yasalara uyum sürecinin salt bir belge hazırlığı olarak görülmemesi; tüm süreçlerin şeffaflık, hesap verebilirlik ve güvenlik prensiplerine göre fiilen yapılandırılması gerekmektedir. Bireylerin mahremiyet haklarının teminatı olan veri koruma mevzuatının ihlali, telafisi imkânsız itibar kayıplarına ve ağır idari para cezalarına yol açmaktadır. Özetle, veri işleme faaliyetlerinde göz önünde bulundurulması zorunlu olan temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kuralına uygunluk,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya amaç için gerekli olan süre kadar muhafaza edilme.
6 dk okuma Yayınlanma: Güncelleme: