Makale
Kişisel verilerin korunması hukuku, gelişen teknolojiyle bireylerin temel hak ve özgürlüklerini güvence altına almayı hedefler. Bu makalede, 6698 sayılı Kanun kapsamında kişisel veri kavramı, veri işleme faaliyetinin hukuki süjeleri ve işleme süreçlerine mutlak surette hâkim olan temel hukuki ilkeler uzman perspektifiyle incelenmektedir.
KVKK Kapsamında Kişisel Veri, İşleme Süjeleri ve Temel İlkeler
Ülkemizde kişisel verilerin korunması kavramı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun yürürlüğe girmesiyle birlikte hukuk sistemimizin ayrılmaz bir parçası haline gelmiştir. Teknolojinin hızlı gelişimi ve dijitalleşmenin hayatımızın her alanına nüfuz etmesi, kişisel verilerin kontrolsüz boyutlarda işlenmesi riskini doğurmuş ve bu durum temel hak ve özgürlükleri doğrudan tehdit eden bir yapıya bürünmüştür. Bu noktada kanun koyucu, bireylerin mahremiyetini ve kişisel verilerin geleceğini tayin etme hakkını güvence altına almak amacıyla detaylı ve kapsamlı bir çerçeve oluşturmuştur. Kanun, sadece salt bir düzenleme metni olmaktan öte, kişisel verilerin hukuka uygun şekilde işlenmesinin sınırlarını ve kurallarını çizen temel bir rehberdir. Uygulamada veri sorumluları ve veri işleyenler tarafından gerçekleştirilen tüm veri işleme faaliyetleri, kanunun özünü oluşturan temel ilkelere sıkı sıkıya bağlı olmak zorundadır. Aksi halde gerçekleştirilen hiçbir işlemenin hukuka uygunluğundan söz edilemeyecektir. Bu hukuki analizde, kanunun temel taşı olan kişisel veri kavramının sınırları, bu veriler üzerinde tasarrufta bulunan işleme süjelerinin hukuki statüleri ve tüm işleme faaliyetlerine rehberlik etmesi gereken genel hukuki ilkeler mercek altına alınmaktadır.
Kişisel Veri Kavramı ve Hukuki Nitelendirmesi
Kanun kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu tanımın ucu açık bırakılması, yasa koyucunun gelişen teknoloji karşısında ortaya çıkabilecek yeni veri türlerini de koruma şemsiyesi altına alma iradesinin bir yansımasıdır. Bir bilginin kişisel veri vasfı taşıyabilmesi için üç temel unsurun bir arada bulunması zorunludur: Bilgi unsuru, bilginin gerçek bir kişiye ilişkin olması ve söz konusu kişinin belirli veya belirlenebilir nitelikte bulunması. Sadece kişinin ad, soyad veya kimlik numarası gibi doğrudan kimliğini yansıtan bilgiler değil; aynı zamanda ekonomik, kültürel, fiziksel özellikleri ve hatta bir teknolojik aletten elde edilen veriler dahi ilgili gerçek kişiyle bağlantısı kurulabildiği ölçüde kişisel veri kabul edilmektedir. Önemli bir husus olarak, tüzel kişilere ait veriler kural olarak bu korumanın dışındadır; ancak tüzel kişiye ait bir veri, gerçek bir kişinin kimliğinin tespitine imkân tanıyorsa, bu özel durumda Kanun koruması devreye girmektedir.
Kişisel Verilerin İşlenmesi ve İşleme Süjeleri
Kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü hukuki ve fiili işlemi kapsamaktadır. İşlemenin tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak şartıyla manuel yollarla gerçekleştirilmesi, eylemin niteliğini değiştirmemektedir. Bu geniş kapsamlı faaliyet alanında temel olarak üç hukuki süje bulunmaktadır: Veri sorumlusu, veri işleyen ve ilgili kişi. Veri sorumlusu, veri işlemenin amaç ve vasıtalarını tayin eden, sistemin yönetiminden en üst düzeyde sorumlu olan karar mercii iken; veri işleyen, yalnızca veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak hareket eden ikincil taraftır. İlgili kişi ise verisi işlenen ve Kanun'un bizzat koruma altına aldığı mutlak hak sahibi gerçek kişiyi ifade eder. Süjeler arasındaki bu net görev ve yetki ayrımı, doğacak hukuki sorumluluğun tespiti bakımından hayati bir öneme sahiptir.
| Süje Unvanı | Hukuki Tanımı ve Kapsamı | Karar ve Kontrol Yetkisi |
|---|---|---|
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sistemini kuran ve yöneten gerçek veya tüzel kişi. | Sürecin mutlak hakimi ve tek karar vericisidir. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye ve kurduğu kurallara dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. | Karar yetkisi yoktur, yalnızca verilen talimatları hukuka uygun şekilde uygular. |
| İlgili Kişi | Veri işleme faaliyetine konu olan ve doğrudan kişisel verisi işlenen gerçek kişi. | Verinin sahibidir ve kanunla korunması hedeflenen asıl süjedir. |
Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler
Veri işleme faaliyetlerinin hukuka uygun kabul edilebilmesi için, Kanun’un 4. maddesinde emredici olarak düzenlenen genel ilkelere mutlak surette uyulması gerekmektedir. İşleme şartlarının varlığı dahi veri sorumlusunu bu ilkelere uyum zorunluluğundan kurtaramaz. Söz konusu ilkelerin herhangi birinin ihlali, gerçekleştirilen veri işleme faaliyetini anında hukuka aykırı hale getirmektedir. Bu ilkelerin başında gelen hukuka ve dürüstlük kurallarına uygun olma şartı, diğer tüm ilkelerin temelini ve koruyucu şemsiyesini oluşturur. Veri sorumlusunun, veri işlemede şeffaf davranması, ilgili kişinin haklı beklentilerini zedelememesi ve veriyi sadece gösterdiği hukuki meşruiyet zemininde işlemesi dürüstlük kuralının vazgeçilmez bir gereğidir. Ayrıca, işlenen verilerin doğru ve gerektiğinde güncel olma zorunluluğu, hem veri sahibinin haklarının ihlal edilmesini önlemekte hem de veri sorumlusunun işleme menfaatini doğrudan korumaktadır; zira yanlış veya güncelliğini tamamen yitirmiş verilerle hukuken geçerli bir sonuç üretilmesi mümkün değildir.
Amaçla Bağlantılılık ve Ölçülülük Prensibi
Kanun, kişisel verilerin sadece belirli, açık ve meşru amaçlar için işlenmesini öngörerek, keyfi ve belirsiz veri toplama faaliyetlerinin önüne katı bir hukuki set çekmektedir. Veri sorumlusu, daha veriyi toplamadan önce işleme amacını şüpheye yer bırakmayacak kesinlikte belirlemeli ve bunu veri sahibine şeffaf bir şekilde iletmelidir. İşletmeler tarafından ileride lazım olabileceği düşüncesiyle geniş kapsamlı ve ucu açık veri toplanması, kanunun hukuki ruhuna ve lafzına açıkça aykırılık teşkil eder. Buna bağlı olarak yasa koyucu tarafından geliştirilen işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi ise, veri işlemenin katı bir zorunluluk analizi süzgecinden geçirilmesini emreder. Veri sorumlusu, ulaşmak istediği hizmet veya ticari amaca, ancak o amaç için kesinlikle zorunlu olan en az miktarda veri ile ulaşmayı hedeflemelidir. Amacı fiilen aşan, gereksiz ve ölçüsüz her veri işleme adımı, hukuki ihlal boyutunu derinleştirir. Son olarak, işleme amacının tamamen ortadan kalkması halinde, verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi devreye girer. Bu sürelerin bitiminde verilerin derhal hukuka uygun yöntemlerle silinmesi, yok edilmesi veya anonim hale getirilmesi mutlak hukuki bir zorunluluktur.