Makale
Bu makalede, kişisel veri koruma hukukunun temelini oluşturan kişisel veri ve özel nitelikli kişisel veri kavramları ile veri sorumlusu ve veri işleyen gibi hukuki süjelerin rolleri incelenmektedir. Hukuki sınırların ve aktörler arası sorumluluk dağılımının doğru tespiti, mevzuata uyum sürecinin en kritik adımlarından birini oluşturur.
Kişisel Veri Hukukunun Süjeleri ve Sınırları
Modern hukuk sistemlerinde, bireylerin mahremiyetini güvence altına alan ve bilgi üzerindeki denetim haklarını koruyan kişisel verilerin korunması mevzuatı, sınırları çok net çizilmiş kavramlar ve süjeler üzerine inşa edilmiştir. Kanun koyucu, bu koruma rejimini oluştururken her türlü bilgiyi değil, yalnızca belirli kriterleri karşılayan verileri hukuki sisteme dâhil etmiş; aynı zamanda bu verilerin işlenmesi aşamasında rol alan aktörlerin görev ve yükümlülüklerini hassas bir biçimde ayırmıştır. Veri sorumlusu ve veri işleyen gibi kavramların birbirinden ayrılması, hukuki sorumluluğun ve denetim mekanizmalarının doğru çalışabilmesi için kurucu bir öneme sahiptir. Bu bağlamda, işlenen verinin sıradan bir kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğunun doğru tespit edilmesi de mevzuata uyumun ve hukuki sınırların belirlenmesinin başlangıç noktasını teşkil eder. Kanun kapsamındaki bu temel yapı taşları, verinin toplanmasından imhasına kadar geçen tüm yaşam döngüsü boyunca kimin, hangi hukuki sınırlar dâhilinde hareket edeceğini kesin kurallara bağlamaktadır.
Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı
Kişisel verilerin korunması hukukunda koruma sınırlarının çizilebilmesi için öncelikle işlenen nesnenin niteliğinin doğru saptanması gerekmektedir. Kanun sistematiğinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmektedir. Bu tanım, bireyi doğrudan tanımlayan isim veya kimlik numarası gibi bilgilerin yanı sıra; dolaylı yoldan kişinin belirlenebilir olmasını sağlayan telefon numarası, motorlu taşıt plakası veya sosyal güvenlik numarası gibi çok çeşitli bilgileri de güvence altına almaktadır. Diğer yandan, bireylerin özel yaşamına yönelik daha ciddi müdahale riski barındıran ve ayrımcılığa yol açabilecek veriler özel nitelikli kişisel veri olarak daha sıkı korunan ayrı bir statüde konumlandırılmıştır. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlık bilgileri, cinsel hayatı, ceza mahkûmiyeti ile biyometrik ve genetik verileri bu hassas kategori içinde sınırlı sayıda sayılmıştır. Bu ayrım, verinin niteliğine göre alınması gereken idari ve teknik tedbirlerin sınırlarını tayin etmektedir.
Veri Koruma Hukukunun Temel Süjeleri
Kişisel verilerin hukuka uygun bir biçimde işlenmesi sürecinde, süjelerin doğru tespit edilmesi, yükümlülüklerin ve hukuki sorumluluk rejiminin çerçevesini oluşturur. Kanun uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere veri sorumlusu unvanı verilmektedir. Veri sorumlusu, işleme sürecinin ne, nasıl, kim tarafından ve ne kadar süreyle yapılacağı gibi kurucu unsurlarını bağımsız bir karar alma gücüyle belirleyen; bu bağlamda aydınlatma yükümlülüğünü yerine getirmekten ve veri güvenliği tedbirlerini almaktan asli olarak sorumlu olan taraftır. Diğer yandan, veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen gerçek veya tüzel kişiler ise veri işleyen statüsündedir. Veri işleyenin faaliyetleri daha çok belirlenen amaca yönelik teknik uygulamalar üzerine odaklanmakta olup, bu süjeler doğrudan veri sorumlusunun talimatlarına uygun hareket etmekle yükümlü kılınmıştır.
Süjeler Arasındaki Sorumluluk Sınırları ve Güvenlik
Uygulamada, temel hukuki süjeler arasındaki statünün belirlenmesi çoğu zaman karmaşık bir yapı arz edebilir; çünkü aynı kişi veya kuruluş, bir işlemde veri sorumlusu iken farklı bir hukuki ilişkide yalnızca veri işleyen konumunda bulunabilmektedir. Kanun, bu aktörler arasındaki ilişkinin sınırlarını çizerken özellikle veri güvenliğinin sağlanması konusunda çok önemli bir kural ihdas etmiştir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, hukuka aykırı erişimi ve işlemeyi önlemek amacıyla gerekli idari ve teknik tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumlu tutulmuştur. Bu bağlamda, tarafların kanun kapsamındaki rol ayrımları ve sorumluluk sınırları şu şekilde özetlenebilir:
- Veri işleme amacını ve araçlarını tek başına veya birlikte belirleyen taraf veri sorumlusu olarak kabul edilir.
- Sadece teknik altyapı sunan ve çerçevesi çizilmiş talimatın dışına çıkmayan taraf veri işleyen sayılır.
- Veri işleyen, kendisine aktarılan kişisel verileri veri sorumlusunun izni ve amacı dışında kendi menfaatleri için kullanamaz.
- Sistem güvenliğine dair alınması gereken zorunlu teknik tedbirlerin ihlalinde her iki aktör de kanun nezdinde sorumluluk taşır.