Anasayfa/ Makale/ Kişisel Veri Kavramı ve Temel İlkeler: KVKK Rehberi

Kişisel Veri Kavramı ve Temel İlkeler: KVKK Rehberi

Bu makale, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri kavramının hukuki niteliğini, unsurlarını ve veri işleme süreçlerine hâkim olan temel ilkeleri incelemektedir. Veri sorumlularının hukuka uygun veri işleme faaliyetleri yürütebilmesi için uyması gereken yasal sınırlar ve kavramsal çerçeve ele alınmıştır.
search
6 dk okuma Yayınlanma: Güncelleme:
HUKUKA AYKIRILIK KVKK

Gelişen teknoloji ve dijitalleşen dünyada, kişisel verilerin korunması sadece bir güvenlik meselesi değil, aynı zamanda en temel insan haklarından biridir. Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu ile yasal bir çerçeveye kavuşan bu alan, bireylerin temel hak ve özgürlüklerini güvence altına almayı hedefler. Bir hukuk bürosu perspektifiyle yaklaşıldığında, hukuka uygun bir veri işleme faaliyetinden söz edebilmek için öncelikle kişisel veri kavramı ve bu kavramın yasal unsurlarının doğru bir şekilde tespit edilmesi zorunludur. Zira sınırları tam olarak çizilmemiş bir veri ekosisteminde, veri sorumlularının yasal yükümlülüklerini eksiksiz yerine getirmesi beklenemez. Bu makalemizde, KVKK kapsamında veri koruma hukukunun temelini oluşturan ilgili kişi, veri sorumlusu, veri işleyen gibi kavramsal temeller ile veri işleme faaliyetlerine yön veren temel ilkeler hukuki bir mercekle ve uzman avukat bakış açısıyla incelenecektir.

Kişisel Verinin Tanımı ve Unsurları

Ulusal mevzuatımızda kişisel veri, kanunun üçüncü maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu geniş tanımlamanın temelinde, yasa koyucunun korumanın kapsamını olabildiğince geniş tutma iradesi yatmaktadır. İlgili kanun metninden hareketle kişisel verinin üç kurucu unsuru bulunduğunu söyleyebiliriz. Bunlar; bilginin her türlü niteliği taşıyabilmesi, bu bilginin belirli bir kişiyle ilişkilendirilebilir olması ve aidiyet kurulan kişinin belirlenebilir bir gerçek kişi olmasıdır. Burada bahsedilen her türlü bilgi ibaresi, yalnızca ad, soyad veya kimlik numarası gibi doğrudan belirleyici ve nesnel bilgileri kapsamaz. Aynı zamanda motorlu taşıt plakası, fiziksel özellikler, e-posta adresi, görüntü, ses kayıtları ve özgeçmiş gibi kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan öznel tüm değerlendirmeler de hukuki korumadan faydalanır.

Veri İşleme Sürecindeki Temel Kavramlar

Kişisel verilerin hukuka uygun şekilde işlenmesi sürecinde sorumluluk rejiminin doğru kurgulanabilmesi için bazı anahtar kavramların ayrımının net bir biçimde yapılması şarttır. Öncelikle, verisi işlenen kişi mevzuatta ilgili kişi olarak adlandırılır ve hukukumuzda bu koruma yalnızca gerçek kişilere özgülenmiştir. Veri işleme süreçlerinin beyni konumunda olan veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden yasal olarak sorumlu olan gerçek veya tüzel kişidir. İdari, hukuki ve cezai yaptırımların birincil muhatabı olan veri sorumlusunun, ihlalleri önlemek amacıyla idari ve teknik tedbirleri alması emredici bir kuraldır. Diğer taraftan veri işleyen ise, veri sorumlusunun kendisine verdiği yetkiye dayanarak ve sadece onun adına veri işleme faaliyetini gerçekleştiren, veri sorumlusuna dışarıdan teknik ve operasyonel destek sağlayan gerçek veya tüzel kişileri ifade eder.

Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler

Kanunun dördüncü maddesi, her türlü kişisel veri işleme faaliyetinin süzgecinden geçmesi gereken temel ilkeleri emredici bir dille düzenlemiştir. Veri işleme şartlarından hangisine dayanılırsa dayanılsın, aşağıda sıralanan ve Türk Medeni Kanunu dürüstlük kuralı gibi evrensel hukuk normlarıyla da bütünleşen temel ilkelere uyulması yasal bir zorunluluktur:

  • Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme faaliyetinin yürürlükteki yasalara ve şeffaflık gibi evrensel hukuk ilkelerine riayet edilerek, ilgili kişinin menfaatleri de gözetilerek gerçekleştirilmesidir.
  • Doğru ve gerektiğinde güncel olma: İşlenen verilerin maddi gerçeği yansıtması ve ilgili kişinin maddi veya manevi haklarının zedelenmemesi adına verilerin güncelliğinin sağlanması yükümlülüğüdür.
  • Belirli, açık ve meşru amaçlar için işlenme: Veri sorumlusunun veriyi hangi maksatla topladığını denetime elverişli, net ve hukuken meşru temellere dayandırması şartıdır.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Sadece belirlenen amaca hizmet edecek verinin işlenmesini ve amaca ulaşmak için makul çerçevenin kesinlikle aşılmamasını ifade eder.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Verinin işlenmesini gerektiren amacın ortadan kalkmasıyla birlikte söz konusu verilerin silinmesi, yok edilmesi veya anonimleştirilmesi zorunluluğudur.

Veri Minimizasyonu ve Amaca Bağlılık İlkesinin Önemi

Yukarıda sayılan temel ilkeler arasında özellikle uygulamada en çok ihlal edilen ve denetim mekanizmalarında sıkça öne çıkan prensip, amaca bağlılık, sınırlı ve ölçülü işleme kuralıdır. Hukuk terminolojisinde veri minimizasyonu olarak da bilinen bu ilke uyarınca, veri sorumlusu sadece meşru amacını gerçekleştirmeye yetecek kadar asgari seviyede kişisel veriyi talep etmeli ve bu veriyi asıl maksadından saptırarak farklı alanlarda kullanmamalıdır. Örneğin, sadece bir hizmet ifası veya sözleşme gereği elde edilen iletişim bilgilerinin, sonradan ilgili kişinin şeffaf bir şekilde onayı alınmadan reklam ve pazarlama faaliyetleri amacıyla kullanılması amaca aykırılık teşkil eder. Veri sorumlularının yürüttüğü süreçte mutlak surette zorunlu olmayan hiçbir veriyi toplamaması, hem kanuni bir yükümlülük hem de özel hayatın gizliliğine duyulan hukuki saygının mecburi bir sonucudur.

Arabamın plakası veya mail adresim de kişisel veri sayılır mı? expand_more
Evet, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veri kavramı hukuken oldukça geniş tutulmuştur. Yalnızca ad, soyad veya T. C. kimlik numarası gibi doğrudan kimliğinizi belli eden bilgiler değil; motorlu taşıt plakanız, e-posta adresiniz, ses ve görüntü kayıtlarınız ile özgeçmişiniz de kişisel veri kapsamındadır. Sizi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi, bu kanun kapsamında yasal korumadan tam anlamıyla faydalanır.
Kargo için verdiğim numaramla bana sürekli reklam mesajı atıyorlar, bu yasal mı? expand_more
Hayır, bu durum Kanun'un en temel prensiplerinden biri olan "amaca bağlılık ve veri minimizasyonu" ilkesinin açık bir ihlalidir. Veri sorumluları, kişisel verilerinizi yalnızca belirttikleri meşru amaçlarla sınırlı olarak kullanmak ve asgari seviyede tutmak zorundadır. Sadece bir sözleşme veya hizmet ifası gereği alınan iletişim bilgilerinizin, sonradan sizden şeffaf bir şekilde onay alınmaksızın pazarlama ve reklam faaliyetlerinde kullanılması hukuka aykırılık teşkil eder.
Şirketler benden aldıkları bilgileri sonsuza kadar ellerinde tutabilir mi? expand_more
Kesinlikle hayır, şirketlerin kişisel verilerinizi hukuken sınırsız bir süreyle saklama veya depolama hakkı bulunmamaktadır. Kanun uyarınca, verilerin yalnızca ilgili mevzuatta açıkça öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi emredici bir kuraldır. Verinizin toplanmasını ve işlenmesini gerektiren temel amacın ortadan kalkmasıyla birlikte, söz konusu verilerin silinmesi, yok edilmesi veya anonimleştirilmesi yasal bir zorunluluktur.
Bilgilerim bir internet sitesinden çalınırsa hukuken kimi sorumlu tutacağım? expand_more
Mevzuatımıza göre idari, hukuki ve cezai yaptırımların birincil muhatabı, verilerinizin tutulduğu sistemi kuran ve yöneten "veri sorumlusu"dur. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen yasal merci konumundadır. Veri ihlallerini önlemek amacıyla gerekli her türlü idari ve teknik tedbiri almak bizzat veri sorumlusunun emredici yükümlülüğü olduğundan, olası bir çalınma veya ihlal durumunda hukuki sorumluluk doğrudan bu tarafa aittir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir