Anasayfa/ Makale/ Kişisel Veri Hukukunda Temel Kavramlar ve Süjeler

Kişisel Veri Hukukunda Temel Kavramlar ve Süjeler

Bu makalede, veri koruma hukuku kapsamında kişisel veri, ilgili kişi, veri sorumlusu ve veri işleyen gibi hukuki temel kavramlar ile özel nitelikli kişisel veri kavramı hukuki bir perspektifle incelenmekte, hukukun temelini oluşturan bu süjeler ile nesneler arasındaki hukuki statüler detaylıca ele alınmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Veri koruma hukuku, bilginin adeta metalaşmasıyla birlikte günümüz hukuk pratiğinin en önemli ve dinamik çalışma alanlarından biri hâline gelmiştir. Hukuki süreçleri doğru tatbik edebilmek ve cezai veya idari yaptırım risklerini bertaraf edebilmek için, kanunun temelini oluşturan süjelerin ve nesnelerin hukuki niteliklerinin eksiksiz bir biçimde tespit edilmesi şarttır. Yüksek katlı bir binanın temeli hatalı atıldığında üzerine sağlam bir yapı inşa edilemeyeceği gibi, veri koruma süreçlerinde de veri sorumlusu, veri işleyen, ilgili kişi ve kişisel veri kavramlarının sınırlarının yanlış yorumlanması, tüm süreçlerin sakatlanmasına neden olmaktadır. Bu bağlamda, bir hukuk bürosu pratiğinde sıklıkla karşılaştığımız hukuki niteleme hatalarının önüne geçebilmek maksadıyla, kanunun lafzı ve ilgili mevzuat rehberleri ışığında, kişisel veri nesnesinin unsurları ile hukuki sorumluluğu üstlenen tarafların sahip oldukları hukuki statüler detaylıca ele alınmalıdır.

Kişisel Veri ve Özel Nitelikli Kişisel Veri

Hukukumuzda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanımlamada kanun koyucu kapsamı son derece geniş tutmuş ve verinin sadece ad, soyad gibi kimlik teşhisini sağlayan nesnel bilgilerden ibaret olmadığını açıkça ortaya koymuştur. Kişinin fiziksel, ailevi, ekonomik, sosyal veya psikolojik kimliğini yansıtan ve kişiyi diğerlerinden ayıran sübjektif bilgiler de bu koruma alanındadır. Üstelik bir bilginin yanlış veya eksik olması yahut tutulduğu formatın kâğıt üzerinde ya da tamamen elektronik bir ortamda, örneğin optik bir bellekte bulunması kişisel veri olma niteliğini kesinlikle değiştirmemektedir.

Kişisel Veri Kavramının Temel Unsurları

Bir bilginin hukuk bağlamında kişisel veri nesnesi olarak nitelendirilebilmesi için dört ana unsurun varlığı aranmaktadır. Herhangi bir ayrım yapılmaksızın elde edilen bilginin kişisel veri sayılabilmesi için şu unsurlar incelenmelidir:

  • Bilgi veya Veri Olma Unsuru: İnsan aklının erebileceği olgular ile işlemci sahibi cihazlarla kaydedilebilen her türlü komut ve gösterim bu kapsamdadır.
  • Gerçek Kişiye İlişkin Olma: Verinin mutlaka yaşayan bir gerçek kişiye ait olması gerekir, tüzel kişi verileri ancak gerçek bir kişiyi dolaylı olarak işaret ediyorsa kapsama dâhil olur.
  • Belirli veya Belirlenebilir Olma: Verinin doğrudan kimlik tespiti sağlaması şart olmayıp, ek faktörlerle kişinin tanımlanabilir hâle getirilmesi yeterlidir.
  • Kişi ile İlgili Olma: İçerik, amaç veya sonuç kriterleri bakımından bilginin, gerçek kişinin yaşam alanına, davranışlarına veya niteliklerine dair doğrudan bir bağ kurması gerekmektedir.

Sıkı Koruma Rejimine Tabi Özel Nitelikli Kişisel Veriler

Kişisel veriler arasında bazı spesifik veri türleri, hukuka aykırı şekilde işlenmeleri hâlinde ilgili kişinin toplum içinde ayrımcılığa maruz kalmasına veya telafisi oldukça güç maddi ve manevi zararlara uğramasına sebebiyet verecek tehlikeli bir niteliktedir. Bu yüksek risk nedeniyle kanun koyucu, özel nitelikli kişisel veriler olarak adlandırdığı bu hassas kategoriyi sınırlı sayma yoluyla kesinkes belirlemiş ve bu verilere çok daha ağır, istisnai bir koruma rejimi tayin etmiştir. Kanunda açıkça yer alan; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri nesneleridir. Kanun koyucunun saydığı bu veriler, yorum yoluyla veya kıyas yapılarak asla başka verileri kapsayacak şekilde genişletilemez.

Veri Koruma Hukukunun Temel Süjeleri

Veri koruma mevzuatının koruma şemsiyesi altına aldığı birincil süje, kişisel verisi işlenen gerçek kişi konumundaki ilgili kişi statüsündeki bireydir. Kanun metninde kavram açıklanırken doğrudan doğruya gerçek kişiye vurgu yapıldığından, kurumların, tüzel kişilerin veya hayatını kaybetmiş kimselerin bu hukuki sıfata ve korumaya sahip olması yasalar nezdinde mümkün değildir. İlgili kişinin yasal haklarını yönelteceği ve hukuki bağlamda temel muhatap alacağı figür ise veri sorumlusu sıfatını haiz olan gerçek veya tüzel kişidir. Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını özgürce belirleyen, veri kayıt sisteminin hukuken kurulmasından sorumlu olan organizasyonun bizzat kendisidir. Tüzel kişinin içindeki belirli departmanlar veya çalışanlar bağımsız olarak veri sorumlusu sayılamaz; zira sorumluluk doğrudan doğruya o tüzel kişiliğin tüzel şahsiyetinde doğmaktadır.

Veri Sorumlusu ile Veri İşleyen Arasındaki Hukuki Sınır

Hukuki süreçlerin ve yükümlülüklerin yönetiminde, veri sorumlusu ile veri işleyen rollerinin birbirinden kesin ve net sınırlarla ayrılması icap etmektedir. Veri işleyen, veri sorumlusunun organizasyonu dışında konumlanan ve veri sorumlusu tarafından verilen yetkiye dayanarak sadece onun nam ve hesabına kişisel verileri işleyen bağımsız gerçek veya tüzel kişileri ifade eder. Veri işleyen süjesi, hiçbir şekilde veri işleme faaliyetinin asıl amacını kendi başına tayin edemez; yalnızca kendisine verilen direktifler ile sınırları çizilmiş sözleşmesel bir çerçevede teknik yahut idari gereklilikleri yerine getirir. Bir şirket, insan kaynakları süreçlerinde kendi personeli için veri sorumlusu konumunda iken, dışarıdan bilişim ve donanım desteği verdiği başka bir firmanın verilerini depolarken sadece teknik muhafaza sağladığından veri işleyen statüsüne bürünmektedir. Zira süjelerin ticari unvanları değil, somut faaliyette icra ettikleri rolleri dikkate alınır.

Yanlış yazılan veya sadece kâğıtta duran bilgilerim de kişisel veri sayılır mı? expand_more
Hukukumuza göre, kimliğinizi belirli veya belirlenebilir kılan her türlü bilgi kişisel veri olarak kabul edilmektedir. Bu bağlamda, hakkınızda tutulan bir bilginin eksik yahut yanlış olması onun kişisel veri olma niteliğini kesinlikle değiştirmemektedir. Aynı şekilde, verinin yalnızca kâğıt üzerinde tutulması veya tamamen elektronik ortamlarda bulunması da hukuki koruma kapsamını etkilemez. Dolayısıyla, fiziksel, ekonomik, sosyal veya psikolojik kimliğinizi yansıtan tüm bilgiler bu koruma şemsiyesi altındadır.
Hastalık geçmişim veya sendika üyeliğim diğer bilgilerimle aynı mıdır? expand_more
Hayır, bahsettiğiniz bu tür bilgiler kanun koyucu tarafından çok daha sıkı bir koruma rejimine tabi tutulan "özel nitelikli kişisel veri" statüsündedir. Sağlık durumunuz, dernek, vakıf veya sendika üyelikleriniz, siyasi düşünceniz ve biyometrik verileriniz kanunda açıkça ve sınırlı sayıda sayılan hassas veriler arasındadır. Bu verilerin hukuka aykırı işlenmesi, toplum içinde ayrımcılığa maruz kalmanıza veya telafisi güç maddi ve manevi zararlara uğramanıza yol açabilecek tehlikeli bir niteliğe sahiptir. Bu nedenle, bahsi geçen veriler sıradan kişisel verilere kıyasla çok daha ağır ve istisnai bir hukuki korumadan faydalanır.
Verilerim sızarsa şirketteki IT çalışanını veya İK müdürünü mü dava edeceğim? expand_more
Hukuki süreçlerde temel muhatap alacağınız tüzel kişilik veya gerçek kişi, kanunda "veri sorumlusu" olarak adlandırılan organizasyonun bizzat kendisidir. Bir şirketin içindeki belirli departmanlar veya çalışanlar hukuki anlamda bağımsız olarak veri sorumlusu sayılamazlar. Çünkü sorumluluk, doğrudan doğruya kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen o tüzel kişiliğin kendi şahsiyetinde doğmaktadır. Dolayısıyla, yasal haklarınızı ve taleplerinizi organizasyondaki bireylere değil, veri kayıt sistemini hukuken kuran veri sorumlusu kuruma yöneltmeniz gerekmektedir.
Ölen babamın veya sahibi olduğum şirketimin verileri KVKK ile korunur mu? expand_more
Veri koruma mevzuatı, sadece kişisel verisi işlenen ve "ilgili kişi" statüsünde olan yaşayan gerçek kişileri koruma şemsiyesi altına almaktadır. Bu sebeple, hayatını kaybetmiş kimselerin veya tüzel kişilerin bu hukuki sıfata ve yasal korumaya sahip olması yasalar nezdinde mümkün değildir. Şirketler gibi tüzel kişilere ait veriler, ancak gerçek bir kişiyi dolaylı olarak işaret ettiği istisnai durumlarda kapsama dâhil olabilir. Bir verinin hukuken korunabilmesi için mutlaka yaşayan bir gerçek kişinin yaşam alanına, davranışlarına veya niteliklerine doğrudan bağlanması şarttır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir