Makale
Bu makalede, veri koruma hukuku kapsamında kişisel veri, ilgili kişi, veri sorumlusu ve veri işleyen gibi hukuki temel kavramlar ile özel nitelikli kişisel veri kavramı hukuki bir perspektifle incelenmekte, hukukun temelini oluşturan bu süjeler ile nesneler arasındaki hukuki statüler detaylıca ele alınmaktadır.
Kişisel Veri Hukukunda Temel Kavramlar ve Süjeler
Veri koruma hukuku, bilginin adeta metalaşmasıyla birlikte günümüz hukuk pratiğinin en önemli ve dinamik çalışma alanlarından biri hâline gelmiştir. Hukuki süreçleri doğru tatbik edebilmek ve cezai veya idari yaptırım risklerini bertaraf edebilmek için, kanunun temelini oluşturan süjelerin ve nesnelerin hukuki niteliklerinin eksiksiz bir biçimde tespit edilmesi şarttır. Yüksek katlı bir binanın temeli hatalı atıldığında üzerine sağlam bir yapı inşa edilemeyeceği gibi, veri koruma süreçlerinde de veri sorumlusu, veri işleyen, ilgili kişi ve kişisel veri kavramlarının sınırlarının yanlış yorumlanması, tüm süreçlerin sakatlanmasına neden olmaktadır. Bu bağlamda, bir hukuk bürosu pratiğinde sıklıkla karşılaştığımız hukuki niteleme hatalarının önüne geçebilmek maksadıyla, kanunun lafzı ve ilgili mevzuat rehberleri ışığında, kişisel veri nesnesinin unsurları ile hukuki sorumluluğu üstlenen tarafların sahip oldukları hukuki statüler detaylıca ele alınmalıdır.
Kişisel Veri ve Özel Nitelikli Kişisel Veri
Hukukumuzda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanımlamada kanun koyucu kapsamı son derece geniş tutmuş ve verinin sadece ad, soyad gibi kimlik teşhisini sağlayan nesnel bilgilerden ibaret olmadığını açıkça ortaya koymuştur. Kişinin fiziksel, ailevi, ekonomik, sosyal veya psikolojik kimliğini yansıtan ve kişiyi diğerlerinden ayıran sübjektif bilgiler de bu koruma alanındadır. Üstelik bir bilginin yanlış veya eksik olması yahut tutulduğu formatın kâğıt üzerinde ya da tamamen elektronik bir ortamda, örneğin optik bir bellekte bulunması kişisel veri olma niteliğini kesinlikle değiştirmemektedir.
Kişisel Veri Kavramının Temel Unsurları
Bir bilginin hukuk bağlamında kişisel veri nesnesi olarak nitelendirilebilmesi için dört ana unsurun varlığı aranmaktadır. Herhangi bir ayrım yapılmaksızın elde edilen bilginin kişisel veri sayılabilmesi için şu unsurlar incelenmelidir:
- Bilgi veya Veri Olma Unsuru: İnsan aklının erebileceği olgular ile işlemci sahibi cihazlarla kaydedilebilen her türlü komut ve gösterim bu kapsamdadır.
- Gerçek Kişiye İlişkin Olma: Verinin mutlaka yaşayan bir gerçek kişiye ait olması gerekir, tüzel kişi verileri ancak gerçek bir kişiyi dolaylı olarak işaret ediyorsa kapsama dâhil olur.
- Belirli veya Belirlenebilir Olma: Verinin doğrudan kimlik tespiti sağlaması şart olmayıp, ek faktörlerle kişinin tanımlanabilir hâle getirilmesi yeterlidir.
- Kişi ile İlgili Olma: İçerik, amaç veya sonuç kriterleri bakımından bilginin, gerçek kişinin yaşam alanına, davranışlarına veya niteliklerine dair doğrudan bir bağ kurması gerekmektedir.
Sıkı Koruma Rejimine Tabi Özel Nitelikli Kişisel Veriler
Kişisel veriler arasında bazı spesifik veri türleri, hukuka aykırı şekilde işlenmeleri hâlinde ilgili kişinin toplum içinde ayrımcılığa maruz kalmasına veya telafisi oldukça güç maddi ve manevi zararlara uğramasına sebebiyet verecek tehlikeli bir niteliktedir. Bu yüksek risk nedeniyle kanun koyucu, özel nitelikli kişisel veriler olarak adlandırdığı bu hassas kategoriyi sınırlı sayma yoluyla kesinkes belirlemiş ve bu verilere çok daha ağır, istisnai bir koruma rejimi tayin etmiştir. Kanunda açıkça yer alan; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri nesneleridir. Kanun koyucunun saydığı bu veriler, yorum yoluyla veya kıyas yapılarak asla başka verileri kapsayacak şekilde genişletilemez.
Veri Koruma Hukukunun Temel Süjeleri
Veri koruma mevzuatının koruma şemsiyesi altına aldığı birincil süje, kişisel verisi işlenen gerçek kişi konumundaki ilgili kişi statüsündeki bireydir. Kanun metninde kavram açıklanırken doğrudan doğruya gerçek kişiye vurgu yapıldığından, kurumların, tüzel kişilerin veya hayatını kaybetmiş kimselerin bu hukuki sıfata ve korumaya sahip olması yasalar nezdinde mümkün değildir. İlgili kişinin yasal haklarını yönelteceği ve hukuki bağlamda temel muhatap alacağı figür ise veri sorumlusu sıfatını haiz olan gerçek veya tüzel kişidir. Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını özgürce belirleyen, veri kayıt sisteminin hukuken kurulmasından sorumlu olan organizasyonun bizzat kendisidir. Tüzel kişinin içindeki belirli departmanlar veya çalışanlar bağımsız olarak veri sorumlusu sayılamaz; zira sorumluluk doğrudan doğruya o tüzel kişiliğin tüzel şahsiyetinde doğmaktadır.
Veri Sorumlusu ile Veri İşleyen Arasındaki Hukuki Sınır
Hukuki süreçlerin ve yükümlülüklerin yönetiminde, veri sorumlusu ile veri işleyen rollerinin birbirinden kesin ve net sınırlarla ayrılması icap etmektedir. Veri işleyen, veri sorumlusunun organizasyonu dışında konumlanan ve veri sorumlusu tarafından verilen yetkiye dayanarak sadece onun nam ve hesabına kişisel verileri işleyen bağımsız gerçek veya tüzel kişileri ifade eder. Veri işleyen süjesi, hiçbir şekilde veri işleme faaliyetinin asıl amacını kendi başına tayin edemez; yalnızca kendisine verilen direktifler ile sınırları çizilmiş sözleşmesel bir çerçevede teknik yahut idari gereklilikleri yerine getirir. Bir şirket, insan kaynakları süreçlerinde kendi personeli için veri sorumlusu konumunda iken, dışarıdan bilişim ve donanım desteği verdiği başka bir firmanın verilerini depolarken sadece teknik muhafaza sağladığından veri işleyen statüsüne bürünmektedir. Zira süjelerin ticari unvanları değil, somut faaliyette icra ettikleri rolleri dikkate alınır.