Makale

Dijitalleşmenin ve teknolojik gelişmelerin hız kazandığı günümüzde, bireylerin mahremiyetinin ve temel haklarının güvence altına alınması bağlamında kişisel veri kavramı büyük bir önem taşımaktadır. Modern hukuk sistemlerinde ve uygulamada, kişisel verilerin işlenmesi, idari işlemlerin yürütülmesinden ticari faaliyetlere kadar geniş bir yelpazede karşımıza çıkmaktadır. Bir bilginin kişisel veri olarak kabul edilebilmesi için, yalnızca bireyin kimliğini doğrudan açığa çıkarması gerekmez; aynı zamanda kişiyi herhangi bir şekilde dolaylı olarak belirlenebilir kılan fizyolojik, psikolojik, ekonomik veya sosyal her türlü bilgi bu kapsamda değerlendirilmektedir. Kişisel verilerin hukuki bir perspektifle ele alınması, sadece veri sorumlularının yükümlülüklerini belirlemekle kalmaz, aynı zamanda veri işleme faaliyetlerinin sınırlarını ve bireylerin temel hak ve özgürlüklerini de çizer. Uzman bir hukuki bakış açısıyla kişisel veri kavramının temel unsurları, verilerin hukuki niteliğine dair süregelen tartışmalar ve veri işleme süreçlerinde mutlak surette riayet edilmesi gereken temel ilkelerin anlaşılması hukuki uyumluluk açısından elzemdir.

Kişisel Veri Kavramı ve Temel Unsurları

Bir bilginin kişisel veri olarak nitelendirilebilmesi için hukuk düzenimizce aranan dört temel unsurun bir arada bulunması gerekmektedir. Hukuki koruma alanını tayin eden bu kurucu unsurlar şunlardır:

• Her Türlü Bilgi: Sadece ad ve soyad gibi doğrudan kimlik teşhisi sağlayan verileri değil; IP adresi, telefon numarası, özgeçmiş, hobiler ve sosyal kimliği yansıtan tüm objektif veya sübjektif bilgileri kapsar.
• Gerçek Kişi: Korunacak olan kişinin bir birey (gerçek kişi) olması şarttır; hukuken tüzel kişilere ait veriler kişisel veri koruma kapsamının dışında bırakılmıştır.
• Belirli ya da Belirlenebilir Olma: Bireyin dolaylı olarak diğer insanlardan ayırt edilebilmesi, örneğin plaka veya meslek gibi çeşitli verilerin birleştirilmesiyle kişinin tanımlanabilir hale gelmesi halidir.
• Kişiye İlişkin Olma: Veri ile birey arasında içerik, amaç veya sonuç unsurlarından en az biri vasıtasıyla illiyet bağı kurulabilmesidir.

Özel Nitelikli Kişisel Veriler

Kişisel verilerin alt kategorisi olan özel nitelikli kişisel veriler, öğrenilmesi durumunda bireyin toplum içinde ayrımcılığa uğramasına veya mağduriyet yaşamasına yol açabilecek derecede hassas bilgileri içermektedir. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, dini veya felsefi inancı, kılık kıyafeti, sağlık durumu, cinsel hayatı, sendika üyeliği, ceza mahkûmiyeti ve biyometrik ile genetik verileri bu hassas kategoriye dahildir. Bu verilerin işlenmesi, standart kişisel verilere nazaran çok daha katı koruma rejimlerine tabidir. Hukuki kural olarak, yasalarla düzenlenen açık istisnai haller haricinde, özel nitelikli verilerin işlenebilmesi için ilgili kişinin açık rızasının alınması yasal bir mecburiyettir. Söz konusu verilerin hukuka aykırı işlenmesi birey üzerinde çok daha ağır tahribatlar yaratmaktadır.

Kişisel Verilerin Korunması Hakkının Hukuki Niteliği

Kişisel verilerin hukuki doğasına yönelik doktrinde farklı teorik yaklaşımlar bulunmaktadır. Bazı yabancı hukuk sistemlerinde, kişisel verilerin değerli bir ticari varlık olarak görülmesi sebebiyle ekonomik bir hak (mülkiyet veya fikrî mülkiyet hakkı) olduğu savunulmuştur. Bu mülkiyet odaklı görüşe göre, veri yeni bir mülkiyet türüdür ve serbestçe alım-satım ilişkilerine konu edilebilir. Ancak bu yaklaşım, bireyin kendi verisi üzerindeki haklarını devrettiğinde kontrolünü tamamen yitirmesi tehlikesini barındırdığı için şiddetle eleştirilmektedir. Nitekim bizim de dahil olduğumuz Kıta Avrupası hukuk sistemlerinde bu hak, insan onuruyla ve kişiliğin serbestçe geliştirilmesi hakkıyla doğrudan bağlantılı olarak devredilemez bir temel insan hakkı şeklinde kabul edilmektedir. Kişinin, ekonomik veya hiyerarşik güçler karşısında verileri aracılığıyla gözetim altına alınmasının engellenmesi, yalnızca verilerin bir insan hakkı çerçevesinde değerlendirilmesiyle mümkündür.

Kişisel Verilerin İşlenmesine Yönelik Temel İlkeler

Veri işleme faaliyetlerinin yasal meşruiyet kazanabilmesi için veri sorumlularının uyması gereken katı hukuk kuralları bulunmaktadır. İşlemlerin hukuka ve dürüstlük kuralına uygun olması en temel ilkedir; bu bağlamda veri sorumlusu, şeffaflık yükümlülüğünü eksiksiz yerine getirmeli ve ilgili kişinin makul beklentilerini gözeterek hakkın kötüye kullanılması yasağına uygun hareket etmelidir. Ayrıca işlenen verilerin doğru ve gerektiğinde güncel olma zorunluluğu elzemdir; eksik veya yanlış güncel olmayan veriler sebebiyle kişinin zarar görmesini engellemek adına veri sorumlusu gerekli revizyon kanallarını açık tutmakla mükelleftir. Veri işleme faaliyetinin, yasal zemini belli olan, açık ve meşru amaçlar için gerçekleştirilmesi de şarttır. Yalnızca ileride lazım olabileceği düşüncesiyle "muhtemel ihtiyaçlar" doğrultusunda veri işlenmesi, belirlilik ilkesinin açık bir ihlalidir.

Bağlantılılık, Ölçülülük ve Süre Sınırı İlkeleri

Kişisel verilerin toplanma amacı ile işlenme amacının birbiriyle uyumlu olması hukuk düzeninde tek başına yeterli bulunmamaktadır; veri işlemenin aynı zamanda işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gereklidir. Veri sorumlusu, belirlediği yasal amaca ulaşmak için ilgili kişiden yalnızca o işin ifası için elzem olan minimum seviyede kişisel veriyi talep etmelidir. Gerçekleştirilmek istenen amaç ile işlenen veri arasında makul bir dengenin kurulması, ölçülülük ilkesinin temelini oluşturur. Bunun yanı sıra, verilerin amaca ulaşıldıktan sonra belirsiz bir süreyle saklanması hukuka aykırılık teşkil eder. Veriler, yalnızca amacın gerektirdiği süre kadar muhafaza edilmeli, veri işleme amacı tamamen ortadan kalktığında ise kanuni saklama süreleri de gözetilerek güvenli yöntemlerle derhal imha edilmeli, silinmeli veya anonim hale getirilmelidir.