Anasayfa/ Makale/ Kişisel Veri Kavramı ve Hukuki Temel İlkeler

Kişisel Veri Kavramı ve Hukuki Temel İlkeler

Bu makale, veri koruma hukukunun temelini oluşturan kişisel veri kavramını, verilerin unsurlarını ve niteliğini incelemekte; kişisel verilerin işlenmesine hakim olan hukuka uygunluk, belirlilik, ölçülülük, güncellik ve sınırlı süreli muhafaza gibi temel veri işleme ilkelerini uzman bir avukat perspektifiyle ele almaktadır.
search
5 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ UNUTULMA HAKKI

Günümüzde bilişim teknolojilerindeki hızlı gelişim ve akıllı cihaz kullanımının artmasıyla birlikte, kişisel verilerin korunması hukuku en dinamik ve önemli hukuki disiplinlerden biri haline gelmiştir. Türk hukukunda en yeni disiplinlerden biri olan bu alan, bireylerin özel hayatının gizliliğini ve temel haklarını güvence altına almayı hedefler. Bir hukuk öznesi olarak insanın mahremiyetini ve kişiliğinin korunmasını odağına alan veri koruma mevzuatı, idari ve ticari faaliyetlerin merkezinde yer alan verilerin hukuka uygun bir zeminde işlenmesini zorunlu kılmaktadır. Gerek Anayasa Mahkemesi kararlarında gerekse de yürürlükteki mevzuatta tanımlandığı üzere, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi koruma zırhı altındadır. Bu hususta veri sorumlularının öncelikle idrak etmesi gereken konu, hangi bilgilerin bu koruma çemberine girdiğini belirlemek ve işlemlerini kanunun emrettiği temel veri işleme ilkeleri doğrultusunda inşa etmektir. Aksi tutumlar, hem ciddi idari para cezalarına hem de hukuki ve cezai ihtilaflara zemin hazırlayacaktır.

Kişisel Veri Kavramı ve Temel Unsurları

İlgili kanun uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanım incelendiğinde, bir bilginin kişisel veri vasfı taşıyabilmesi için üç temel unsurun bir arada bulunması gerektiği görülür. İlk olarak ortada bilgi veya verinin varlığı aranmaktadır; veri henüz işlenmemiş olguları veya kişinin özelliklerini tarif eden her türlü biçimi kapsar. İkinci unsur, verinin gerçek kişiye ilişkin olmasıdır. Mevzuatımız ve Avrupa Birliği normları tüzel kişilere ait bilgileri bu kapsamda korumaz; veri sadece Medeni Kanun anlamında gerçek kişilere ait olmalıdır. Üçüncü ve en kritik unsur ise, verinin kişiyi belirli veya belirlenebilir kılmasıdır. Bir kimsenin kimlik numarası gibi doğrudan kimliğini gösteren bilgiler ile çerezler veya araç takip sistemi verileri gibi başka bilgilerle birleştiğinde kişiyi tespit edilebilir kılan tüm vasıtalar kişisel veri şemsiyesi altında hukuki korumadan faydalanır.

Kişisel Verilerin Türleri ve Hukuki Niteliği

Kanun koyucu, kişisel verilerin türleri arasında bir ayrıma giderek, bireyin temel hak ve özgürlükleriyle doğrudan temas eden verileri özel olarak sınıflandırmıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, felsefi inancı, kılık kıyafeti, sağlık bilgileri, cinsel hayatı, ceza mahkûmiyeti ve biyometrik ile genetik verileri özel nitelikli kişisel veriler olarak kabul edilir. Bu bilgilerin ifşası, bireyin ayrımcılığa uğraması veya dışlanması riskini taşıdığından genel nitelikli kişisel verilere kıyasla çok daha yüksek standartlarda korunması emredilmiştir. Öğretide ve yargı içtihatlarında kişisel verinin hukuki niteliği tartışılırken mülkiyet veya fikri hak yaklaşımlarından ziyade, ağırlıklı olarak kişilik hakkı görüşü öne çıkmaktadır. Kişisel veriler bireyin kişiliğinin, onurunun ve geleceğini tayin hakkının ayrılmaz bir parçası olduğundan insan hakları bağlamında değerlendirilmeli ve korunmalıdır.

Kişisel Verilerin İşlenmesine Hakim Olan Temel İlkeler

Veri sorumlularının her türlü işlemde uyması gereken yasal sınırlar, kanunda kişisel verilerin korunmasına yönelik temel ilkeler başlığıyla emredici kurallara bağlanmıştır. Veri ihlallerini önleyen bu temel kurallar şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma: Veriler, yasal normlara sadık kalınarak, şeffaflıkla ve gizli yöntemlere başvurulmadan elde edilmeli ve işlenmelidir.
  • Belirli, açık ve meşru amaçlar için işlenme: Toplama amacı baştan belirli olmalı, ileride gerekli olabileceği varsayımıyla kişisel veri toplanmamalıdır.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Toplanan veriler yalnızca hedeflenen amaca yetecek asgari düzeyde, Anayasa Mahkemesi'nin sıklıkla vurguladığı ölçülülük ilkesi gözetilerek işlenmelidir.
  • Doğru ve gerektiğinde güncel olma: Yanlış kayıtlar bireyin maddi ve manevi bütünlüğünü zedeleyeceğinden, işlenen veriler gerçek durumu yansıtmalıdır.
  • Gerekli olan süre kadar muhafaza edilme: İşleme amacı ortadan kalktığında verilerin saklanmasına son verilmeli, kişinin unutulma hakkı çerçevesinde bu bilgiler kanuni sürenin sonunda derhal silinmeli veya imha edilmelidir.
İnternetteki çerezler veya araç takip cihazı kayıtları kişisel veri sayılır mı? expand_more
Evet, bu tür kayıtlar da mevzuatımız kapsamında kişisel veri olarak değerlendirilmektedir. Hukuken bir bilginin kişisel veri vasfı taşıması için doğrudan adınız ve soyadınız gibi kimliğinizi doğrudan gösteren bir bilgi olması şart değildir; kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi bu kapsama girer. Çerezler veya araç takip sistemi verileri gibi bilgiler, başka verilerle birleştiğinde sizi tespit edilebilir kıldığı için kanunun sağladığı hukuki koruma şemsiyesi altındadır. Bu nedenle veri sorumluları, söz konusu verileri işlerken de emredici veri işleme ilkelerine uymak zorundadır.
Hastaneye verdiğim sağlık bilgilerim diğer bilgilerime göre daha mı özel? expand_more
Kesinlikle, sağlık bilgileriniz hukukumuzda "özel nitelikli kişisel veri" olarak sınıflandırılmaktadır ve çok daha yüksek standartlarda bir korumaya tabidir. Kanun koyucu; bireylerin sağlık bilgileri, genetik ve biyometrik verileri, dini inancı, etnik kökeni ve siyasi düşüncesi gibi unsurları sıradan kişisel verilerden ayrı tutmuştur. Bu tür hassas bilgilerin ifşa edilmesi, bireylerin toplum içinde ayrımcılığa uğraması veya dışlanması riskini barındırdığından, işlenmeleri çok daha katı yasal sınırlara bağlanmıştır.
Şirketler ileride lazım olur diyerek benden her türlü bilgiyi isteyebilir mi? expand_more
Hayır, veri sorumlularının ileride gerekli olabileceği varsayımıyla sizden rastgele ve sınırsız kişisel veri toplaması hukuka açıkça aykırıdır. Veri koruma mevzuatımızın temel ilkeleri gereği, veri toplama amacının baştan belirli, açık ve meşru olması zorunludur. Ayrıca Anayasa Mahkemesi kararlarında da sıklıkla vurgulanan "ölçülülük ilkesi" çerçevesinde, şirketler yalnızca hedeflenen idari veya ticari amaca yetecek asgari düzeyde veriyi talep edebilir. Sınırı aşan ve amaçla bağlantılı olmayan veri toplama faaliyetleri, idari para cezaları ve hukuki yaptırımlarla sonuçlanacaktır.
Bir yere verdiğim bilgilerim sonsuza kadar onların elinde mi kalacak? expand_more
Hayır, hukuken hiçbir kurum veya kuruluş kişisel verilerinizi süresiz olarak saklama hakkına sahip değildir. Veri işlemenin temel ilkelerinden biri olan "gerekli olan süre kadar muhafaza edilme" kuralı gereğince, verilerinizin işlenme amacı ortadan kalktığında saklama faaliyetine son verilmelidir. Bireylerin "unutulma hakkı" çerçevesinde, yasal muhafaza süreleri dolan verilerinizin veri sorumlusu tarafından derhal silinmesi veya imha edilmesi emredici bir yasal yükümlülüktür.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir