Anasayfa/ Makale/ Kişisel Veri İşleme ve Temel Hukuki Kavramlar

Kişisel Veri İşleme ve Temel Hukuki Kavramlar

Bu makale, 6698 sayılı Kişisel Verilerin Korunması Kanunu ekseninde kişisel veri, özel nitelikli kişisel veri, veri sorumlusu ve veri işleyen gibi temel hukuki kavramları detaylı bir biçimde analiz etmektedir. Açık rıza ve veri işleme şartları gibi uygulamada en çok karşılaşılan kavramlar, yasal düzenlemeler ışığında ele alınmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Gelişen teknolojiler ve dijitalleşme ile birlikte, küresel düzeyde kişisel veri işleme faaliyetleri hiç olmadığı kadar yaygınlaşmış ve bu durumun hukuki bir zemine oturtulması zorunlu hale gelmiştir. Ülkemizde bu alandaki en temel yasal düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme süreçlerini belirli bir disiplin altına almayı ve bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. Bir hukuk bürosu perspektifinden bakıldığında, KVKK uyum süreçlerinin eksiksiz yürütülebilmesi için öncelikle mevzuatta yer alan temel kavramların doğru anlaşılması büyük önem taşımaktadır. Zira, ağır idari yaptırımlarla veya itibar kayıplarıyla karşılaşmamak adına, şirketlerin ve kurumların veri stratejilerini tamamen yasal sınırlar içerisinde gerçekleştirmesi gerekmektedir. Bu kapsamda, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu ve veri işleyen gibi kavramların yasal çerçevesi ile açık rıza ve veri işleme şartları teknik ve hukuki açılardan detaylıca incelenmelidir.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları

6698 sayılı Kanun uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Bu tanım bağlamında, yalnızca bireyin ad, soyad veya doğum tarihi gibi doğrudan kimliğini ortaya koyan bilgileri değil; telefon numarası, motorlu taşıt plakası, IP adresi, özgeçmiş ve genetik bilgiler gibi kişiyi dolaylı olarak belirlenebilir kılan tüm veriler bu kapsama girmektedir. Hukuki uygulamalarımızda, koruma kapsamının kural olarak yalnızca gerçek kişilerle sınırlandırıldığı, tüzel kişilere ait verilerin ancak bir gerçek kişiyle ilişkilendirilebilmesi durumunda KVKK koruması göreceği unutulmamalıdır. Öte yandan, başkalarının öğrenmesi halinde kişinin hukuka aykırı ayrımcılığa maruz kalmasına veya mağduriyet yaşamasına yol açabilecek ırk, etnik köken, siyasi düşünce, felsefi inanç, sağlık, cinsel hayat, ceza mahkumiyeti ve biyometrik veriler kanun koyucu tarafından özel nitelikli kişisel veri olarak tanımlanmış ve yasal mevzuatta çok daha katı bir koruma rejimine tabi tutulmuştur.

Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki Farklar

Kişisel verilerin işlenmesi sürecinde sorumlulukların doğru tayin edilebilmesi için aktörlerin niteliklerinin yasal mevzuat uyarınca kesin olarak ayrıştırılması elzemdir. Bu minvalde veri sorumlusu, kişisel veri işleme faaliyetlerinin amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Gerek şirketler gibi özel hukuk tüzel kişileri gerekse idari kurumlar bu sıfatı haiz olabilirler. Dış ilişkilerde ve Kurul karşısında asıl muhatap ve hukuki sorumlu daima veri sorumlusudur. Diğer yandan veri işleyen, veri sorumlusunun vermiş olduğu yetki ve talimatlar çerçevesinde, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Pratik hayatta veri işleyen, bizzat veri sorumlusundan bağımsız hareket edemez; alınacak güvenlik önlemleri ve veri işleme metotları hususunda veri sorumlusunun direktiflerine tabidir. Ancak Kanun, veri güvenliğinin sağlanması ve hukuka aykırı erişimlerin önlenmesi amacıyla ilgili yükümlülüklerde her iki aktörün de müteselsilen sorumlu olduğunu hüküm altına almıştır.

Açık Rıza ve Kişisel Verilerin İşlenme Şartları

Hukuka uygun bir veri işleme faaliyetinden bahsedilebilmesi için kural olarak ilgili kişinin açık rızasının alınması gerekmektedir. Kanun'a göre açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirilmeye dayanan ve bireyin özgür iradesiyle açıklanan rıza olarak formüle edilmiştir. Bireyin iradesini sakatlayan, sözleşme kurulmasını veya hizmet verilmesini rıza şartına bağlayan genel nitelikteki belirsiz "torba rızalar" hukuken geçersiz sayılmaktadır. Ancak ticari ve sosyal hayatın işleyişi gereği kanun koyucu birtakım önemli istisnalar öngörmüştür. Kişisel verilerin açık rıza aranmaksızın hukuka uygun bir şekilde işlenebileceği durumlar Kanun'da şu şekilde listelenmiştir:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkansızlık sebebiyle rızasını açıklayamayacak durumda bulunan kişinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için verilerin işlenmesinin zorunlu olması
  • İlgili kişinin kendisi tarafından bilinçli bir iradeyle alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.
Arabamın plakası veya internetteki IP adresim de kişisel veri sayılır mı? expand_more
Evet, sayılır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, sadece adınız veya soyadınız gibi doğrudan kimliğinizi gösteren bilgiler kişisel veri değildir. Telefon numaranız, motorlu taşıt plakanız, IP adresiniz veya özgeçmişiniz gibi sizi dolaylı yoldan belirlenebilir kılan her türlü bilgi de kişisel veri kapsamına girmektedir. Bu nedenle, bu tür verilerinizin de kanunun sağladığı yasal koruma şemsiyesi altında olduğunu bilmelisiniz. İdari ve hukuki süreçlerde ihlal durumunda bu verileriniz için de tam koruma talep edebilirsiniz.
Kurduğum şirkete ait ticari bilgiler de KVKK kapsamında korunuyor mu? expand_more
Hayır, kural olarak tüzel kişilere (şirketlere) ait veriler doğrudan KVKK koruması altında değildir. Hukuki uygulamalarımızda KVKK'nın koruma kapsamı temel olarak yalnızca gerçek kişilerle sınırlandırılmıştır. Ancak şirketinizle ilgili olan bu veriler, şirket yetkilisi veya çalışanı olarak sizin gibi bir gerçek kişiyle doğrudan ilişkilendirilebiliyorsa durum değişir. Sadece böyle bir bağlantının kurulabildiği istisnai durumlarda şirket verileri KVKK korumasından yararlanabilir.
Hastane kayıtlarım veya parmak izim standart kişisel veri mi sayılıyor? expand_more
Hayır, sağlık verileriniz ve parmak iziniz gibi biyometrik verileriniz sıradan değil, "özel nitelikli kişisel veri" statüsündedir. Kanun koyucu; başkaları tarafından öğrenildiğinde ayrımcılığa uğramanıza veya ciddi bir mağduriyet yaşamanıza yol açabilecek türden bilgileri tamamen ayrı bir yasal kategoride değerlendirmiştir. Sağlık, cinsel hayat, siyasi düşünce, ceza mahkumiyeti, ırk, etnik köken ve biyometrik verileriniz bu hassas gruba girmektedir. Hukuki açıdan bu veriler, diğer sıradan verilere kıyasla mevzuatımızda çok daha katı ve sıkı bir koruma rejimine tabi tutulmaktadır.
Hizmet almak için "tüm şartları kabul ediyorum" kutucuğunu zorunlu tutmaları yasal mı? expand_more
Hayır, bir hukukçu gözüyle incelediğimizde bu tarz genel nitelikli rıza beyanları kesinlikle geçersiz kabul edilmektedir. Kanun'a göre geçerli bir "açık rıza"nın belirli bir konuya ilişkin olması, detaylı bir şekilde bilgilendirilmeye dayanması ve tamamen özgür iradenizle açıklanması şarttır. Bir sözleşme kurulmasını veya size hizmet verilmesini doğrudan rıza şartına bağlayan dayatmalar bireyin özgür iradesini zedeler. Uygulamada sıklıkla karşılaşılan ve içeriği belirsiz olan bu tür "torba rızalar" iradenizi sakatladığı için hukuka uygun bir veri işleme şartı sayılamaz.
Şirketler benden izin almadan hiçbir şartta kişisel verilerimi işleyemez mi? expand_more
Hukuka uygun bir veri işleme faaliyeti için kural olarak sizin açık rızanızın alınması gerekse de, yasal olarak rızanızın aranmadığı bazı istisnai durumlar mevcuttur. Örneğin; bir sözleşmenin kurulması ve ifası için verilerinizin işlenmesinin doğrudan gerekli olması veya bu durumun bizzat kanunlarda açıkça öngörülmesi hallerinde izninize ihtiyaç duyulmaz. Aynı şekilde, veri sorumlusunun hukuki bir yükümlülüğünü yerine getirmesi gereken durumlarda da rıza mekanizması devre dışı kalır. Ayrıca kişisel verinizi daha öncesinde kendi bilinçli iradenizle alenileştirmişseniz, şirketler açık rızanız olmadan meşru menfaatleri çerçevesinde bu verileri hukuka uygun şekilde işleyebilirler.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir