Makale
Bu makale, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri kavramının hukuki niteliğini, unsurlarını ve veri işleme süreçlerine hâkim olan temel ilkeleri incelemektedir. Veri sorumlularının hukuka uygun veri işleme faaliyetleri yürütebilmesi için uyması gereken yasal sınırlar ve kavramsal çerçeve ele alınmıştır.
Kişisel Veri Kavramı ve Temel İlkeler: KVKK Rehberi
Gelişen teknoloji ve dijitalleşen dünyada, kişisel verilerin korunması sadece bir güvenlik meselesi değil, aynı zamanda en temel insan haklarından biridir. Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu ile yasal bir çerçeveye kavuşan bu alan, bireylerin temel hak ve özgürlüklerini güvence altına almayı hedefler. Bir hukuk bürosu perspektifiyle yaklaşıldığında, hukuka uygun bir veri işleme faaliyetinden söz edebilmek için öncelikle kişisel veri kavramı ve bu kavramın yasal unsurlarının doğru bir şekilde tespit edilmesi zorunludur. Zira sınırları tam olarak çizilmemiş bir veri ekosisteminde, veri sorumlularının yasal yükümlülüklerini eksiksiz yerine getirmesi beklenemez. Bu makalemizde, KVKK kapsamında veri koruma hukukunun temelini oluşturan ilgili kişi, veri sorumlusu, veri işleyen gibi kavramsal temeller ile veri işleme faaliyetlerine yön veren temel ilkeler hukuki bir mercekle ve uzman avukat bakış açısıyla incelenecektir.
Kişisel Verinin Tanımı ve Unsurları
Ulusal mevzuatımızda kişisel veri, kanunun üçüncü maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu geniş tanımlamanın temelinde, yasa koyucunun korumanın kapsamını olabildiğince geniş tutma iradesi yatmaktadır. İlgili kanun metninden hareketle kişisel verinin üç kurucu unsuru bulunduğunu söyleyebiliriz. Bunlar; bilginin her türlü niteliği taşıyabilmesi, bu bilginin belirli bir kişiyle ilişkilendirilebilir olması ve aidiyet kurulan kişinin belirlenebilir bir gerçek kişi olmasıdır. Burada bahsedilen her türlü bilgi ibaresi, yalnızca ad, soyad veya kimlik numarası gibi doğrudan belirleyici ve nesnel bilgileri kapsamaz. Aynı zamanda motorlu taşıt plakası, fiziksel özellikler, e-posta adresi, görüntü, ses kayıtları ve özgeçmiş gibi kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan öznel tüm değerlendirmeler de hukuki korumadan faydalanır.
Veri İşleme Sürecindeki Temel Kavramlar
Kişisel verilerin hukuka uygun şekilde işlenmesi sürecinde sorumluluk rejiminin doğru kurgulanabilmesi için bazı anahtar kavramların ayrımının net bir biçimde yapılması şarttır. Öncelikle, verisi işlenen kişi mevzuatta ilgili kişi olarak adlandırılır ve hukukumuzda bu koruma yalnızca gerçek kişilere özgülenmiştir. Veri işleme süreçlerinin beyni konumunda olan veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden yasal olarak sorumlu olan gerçek veya tüzel kişidir. İdari, hukuki ve cezai yaptırımların birincil muhatabı olan veri sorumlusunun, ihlalleri önlemek amacıyla idari ve teknik tedbirleri alması emredici bir kuraldır. Diğer taraftan veri işleyen ise, veri sorumlusunun kendisine verdiği yetkiye dayanarak ve sadece onun adına veri işleme faaliyetini gerçekleştiren, veri sorumlusuna dışarıdan teknik ve operasyonel destek sağlayan gerçek veya tüzel kişileri ifade eder.
Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler
Kanunun dördüncü maddesi, her türlü kişisel veri işleme faaliyetinin süzgecinden geçmesi gereken temel ilkeleri emredici bir dille düzenlemiştir. Veri işleme şartlarından hangisine dayanılırsa dayanılsın, aşağıda sıralanan ve Türk Medeni Kanunu dürüstlük kuralı gibi evrensel hukuk normlarıyla da bütünleşen temel ilkelere uyulması yasal bir zorunluluktur:
- Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme faaliyetinin yürürlükteki yasalara ve şeffaflık gibi evrensel hukuk ilkelerine riayet edilerek, ilgili kişinin menfaatleri de gözetilerek gerçekleştirilmesidir.
- Doğru ve gerektiğinde güncel olma: İşlenen verilerin maddi gerçeği yansıtması ve ilgili kişinin maddi veya manevi haklarının zedelenmemesi adına verilerin güncelliğinin sağlanması yükümlülüğüdür.
- Belirli, açık ve meşru amaçlar için işlenme: Veri sorumlusunun veriyi hangi maksatla topladığını denetime elverişli, net ve hukuken meşru temellere dayandırması şartıdır.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Sadece belirlenen amaca hizmet edecek verinin işlenmesini ve amaca ulaşmak için makul çerçevenin kesinlikle aşılmamasını ifade eder.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Verinin işlenmesini gerektiren amacın ortadan kalkmasıyla birlikte söz konusu verilerin silinmesi, yok edilmesi veya anonimleştirilmesi zorunluluğudur.
Veri Minimizasyonu ve Amaca Bağlılık İlkesinin Önemi
Yukarıda sayılan temel ilkeler arasında özellikle uygulamada en çok ihlal edilen ve denetim mekanizmalarında sıkça öne çıkan prensip, amaca bağlılık, sınırlı ve ölçülü işleme kuralıdır. Hukuk terminolojisinde veri minimizasyonu olarak da bilinen bu ilke uyarınca, veri sorumlusu sadece meşru amacını gerçekleştirmeye yetecek kadar asgari seviyede kişisel veriyi talep etmeli ve bu veriyi asıl maksadından saptırarak farklı alanlarda kullanmamalıdır. Örneğin, sadece bir hizmet ifası veya sözleşme gereği elde edilen iletişim bilgilerinin, sonradan ilgili kişinin şeffaf bir şekilde onayı alınmadan reklam ve pazarlama faaliyetleri amacıyla kullanılması amaca aykırılık teşkil eder. Veri sorumlularının yürüttüğü süreçte mutlak surette zorunlu olmayan hiçbir veriyi toplamaması, hem kanuni bir yükümlülük hem de özel hayatın gizliliğine duyulan hukuki saygının mecburi bir sonucudur.