Kişisel Veri Hukukunun Süjeleri ve Sınırları

5 dk okuma Yayınlanma: 13.03.2025 Güncelleme: 02.06.2026

ÖZEL NİTELİKLİ KİŞİSEL VERİ KVKK

Modern hukuk sistemlerinde, bireylerin mahremiyetini güvence altına alan ve bilgi üzerindeki denetim haklarını koruyan kişisel verilerin korunması mevzuatı, sınırları çok net çizilmiş kavramlar ve süjeler üzerine inşa edilmiştir. Kanun koyucu, bu koruma rejimini oluştururken her türlü bilgiyi değil, yalnızca belirli kriterleri karşılayan verileri hukuki sisteme dâhil etmiş; aynı zamanda bu verilerin işlenmesi aşamasında rol alan aktörlerin görev ve yükümlülüklerini hassas bir biçimde ayırmıştır. Veri sorumlusu ve veri işleyen gibi kavramların birbirinden ayrılması, hukuki sorumluluğun ve denetim mekanizmalarının doğru çalışabilmesi için kurucu bir öneme sahiptir. Bu bağlamda, işlenen verinin sıradan bir kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğunun doğru tespit edilmesi de mevzuata uyumun ve hukuki sınırların belirlenmesinin başlangıç noktasını teşkil eder. Kanun kapsamındaki bu temel yapı taşları, verinin toplanmasından imhasına kadar geçen tüm yaşam döngüsü boyunca kimin, hangi hukuki sınırlar dâhilinde hareket edeceğini kesin kurallara bağlamaktadır.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı

Kişisel verilerin korunması hukukunda koruma sınırlarının çizilebilmesi için öncelikle işlenen nesnenin niteliğinin doğru saptanması gerekmektedir. Kanun sistematiğinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmektedir. Bu tanım, bireyi doğrudan tanımlayan isim veya kimlik numarası gibi bilgilerin yanı sıra; dolaylı yoldan kişinin belirlenebilir olmasını sağlayan telefon numarası, motorlu taşıt plakası veya sosyal güvenlik numarası gibi çok çeşitli bilgileri de güvence altına almaktadır. Diğer yandan, bireylerin özel yaşamına yönelik daha ciddi müdahale riski barındıran ve ayrımcılığa yol açabilecek veriler özel nitelikli kişisel veri olarak daha sıkı korunan ayrı bir statüde konumlandırılmıştır. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlık bilgileri, cinsel hayatı, ceza mahkûmiyeti ile biyometrik ve genetik verileri bu hassas kategori içinde sınırlı sayıda sayılmıştır. Bu ayrım, verinin niteliğine göre alınması gereken idari ve teknik tedbirlerin sınırlarını tayin etmektedir.

Veri Koruma Hukukunun Temel Süjeleri

Kişisel verilerin hukuka uygun bir biçimde işlenmesi sürecinde, süjelerin doğru tespit edilmesi, yükümlülüklerin ve hukuki sorumluluk rejiminin çerçevesini oluşturur. Kanun uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere veri sorumlusu unvanı verilmektedir. Veri sorumlusu, işleme sürecinin ne, nasıl, kim tarafından ve ne kadar süreyle yapılacağı gibi kurucu unsurlarını bağımsız bir karar alma gücüyle belirleyen; bu bağlamda aydınlatma yükümlülüğünü yerine getirmekten ve veri güvenliği tedbirlerini almaktan asli olarak sorumlu olan taraftır. Diğer yandan, veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen gerçek veya tüzel kişiler ise veri işleyen statüsündedir. Veri işleyenin faaliyetleri daha çok belirlenen amaca yönelik teknik uygulamalar üzerine odaklanmakta olup, bu süjeler doğrudan veri sorumlusunun talimatlarına uygun hareket etmekle yükümlü kılınmıştır.

Süjeler Arasındaki Sorumluluk Sınırları ve Güvenlik

Uygulamada, temel hukuki süjeler arasındaki statünün belirlenmesi çoğu zaman karmaşık bir yapı arz edebilir; çünkü aynı kişi veya kuruluş, bir işlemde veri sorumlusu iken farklı bir hukuki ilişkide yalnızca veri işleyen konumunda bulunabilmektedir. Kanun, bu aktörler arasındaki ilişkinin sınırlarını çizerken özellikle veri güvenliğinin sağlanması konusunda çok önemli bir kural ihdas etmiştir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, hukuka aykırı erişimi ve işlemeyi önlemek amacıyla gerekli idari ve teknik tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumlu tutulmuştur. Bu bağlamda, tarafların kanun kapsamındaki rol ayrımları ve sorumluluk sınırları şu şekilde özetlenebilir:

Veri işleme amacını ve araçlarını tek başına veya birlikte belirleyen taraf veri sorumlusu olarak kabul edilir.
Sadece teknik altyapı sunan ve çerçevesi çizilmiş talimatın dışına çıkmayan taraf veri işleyen sayılır.
Veri işleyen, kendisine aktarılan kişisel verileri veri sorumlusunun izni ve amacı dışında kendi menfaatleri için kullanamaz.
Sistem güvenliğine dair alınması gereken zorunlu teknik tedbirlerin ihlalinde her iki aktör de kanun nezdinde sorumluluk taşır.

Adım, numaram veya sağlık raporum aynı şey mi, kanun bunları nasıl koruyor? expand_more

Hayır, kanunumuz bu bilgileri aynı kategoride değerlendirmemekte ve farklı koruma kalkanları sunmaktadır. İsim, telefon numarası veya araç plakası gibi sizi belirlenebilir kılan bilgiler standart kişisel veri olarak kabul edilir. Ancak sağlık bilgileriniz, sendika üyeliğiniz veya biyometrik verileriniz özel nitelikli kişisel veri statüsündedir ve ayrımcılık riski taşıdığı için çok daha sıkı koruma tedbirlerine tabidir. Bu ayrıma dikkat edilmesi, verilerin işlenmesi sırasında alınması gereken idari ve teknik tedbirlerin sınırlarını doğrudan belirlemektedir.

Bilgilerimi alan şirket mi yoksa altyapıyı kuran yazılımcı mı sorumlu? expand_more

Bu hukuki durum, tarafların kişisel veri işleme sürecindeki bağımsız karar alma gücüne ve rolüne göre değişmektedir. Verilerin hangi amaçla ve nasıl işleneceğine karar veren, aydınlatma yükümlülüğünü yerine getiren taraf veri sorumlusu sıfatıyla asli yükümlüdür. Eğer altyapıyı kuran yazılımcı veya şirket sadece çerçevesi çizilmiş talimatlara uyarak teknik bir hizmet sunuyorsa, veri işleyen statüsündedir. Ancak sistem güvenliğine dair alınması gereken zorunlu teknik ve idari tedbirlerin ihlal edilmesi halinde kanun her iki tarafı da sorumlu tutmaktadır.

Verilerimi işleyen taşeron firma hacklenirse asıl şirkete dava açabilir miyim? expand_more

Kesinlikle evet, verilerinizi işleme amacını belirleyen asıl şirkete (veri sorumlusuna) karşı yasal haklarınızı arayabilirsiniz. Kanunumuz, veri sorumlusunun kişisel verileri kendi adına başka bir gerçek veya tüzel kişiye işlettirmesi durumunda dahi hukuki sorumluluğunun ortadan kalkmadığını belirtmektedir. Hukuka aykırı erişimi ve veri işlenmesini önlemek için gerekli tedbirlerin alınması hususunda, asıl şirket ile yetki verdiği veri işleyen taşeron firma müştereken sorumludur. Dolayısıyla veri sorumlusu şirket, ihlalin taşeron sistemlerinden kaynaklandığını ileri sürerek hukuki sorumluluktan kaçınamaz.

Taşeron şirket benim verilerimi kendi reklamı ve menfaati için kullanabilir mi? expand_more

Hayır, altyapı hizmeti sunan veya veri işleyen konumundaki şirketlerin böyle bir eylemde bulunması hukuka aykırıdır. Veri işleyen statüsündeki bu aktörler, faaliyetlerini yalnızca veri sorumlusunun belirlediği amaçlar ve doğrudan verdiği talimatlar doğrultusunda yürütmekle mükelleftir. Kendisine işlenmek üzere aktarılan kişisel verileri, veri sorumlusunun izni ve işleme amacı dışında kendi ticari menfaatleri için kullanamazlar. Böyle bir durumun varlığı, hukuki sınırların aşılması ve mevzuatın açık bir ihlali anlamına gelmektedir.

Av. Hanifi Bayrı | İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama

star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir