Makale
Kişisel Verilerin Korunması Kanunu çerçevesinde veri işleme süreçleri ve bilgi güvenliği standartları, yasal sorumlulukların temelini oluşturur. Bu makalede, kişisel verilerin hukuka uygun işlenmesi, açık rıza şartları ile bilgi sistemlerinde gizlilik, bütünlük ve erişilebilirlik ilkelerinin hukuki boyutu detaylıca incelenmektedir.
KVKK Kapsamında Kişisel Veri İşleme ve Bilgi Güvenliği İlkeleri
Bilgi toplumu kavramının gelişmesiyle birlikte dijital ortamlarda saklanan verilerin hacmi artmış, bu durum kişisel verilerin korunması ve bilgi güvenliği kavramlarını hukuki bir zemine oturtma ihtiyacını doğurmuştur. Temel hak ve özgürlükler kapsamında yer alan özel hayatın gizliliği, mevzuatımızda güvence altına alınmıştır. Bir kurumun malvarlığını ve rekabet gücünü koruması, elinde bulundurduğu verilerin güvenliğini sağlamasıyla doğrudan ilişkilidir. Bu bağlamda hukuki çerçeve, kurumları yalnızca hukuki süreçleri yürütmekle değil, aynı zamanda verilerin saklandığı sistemleri fiziksel tehditlere ve siber saldırılara karşı teknik olarak korumakla yükümlü kılmaktadır. Hukuk uygulamaları açısından veri sorumluları, verilerin otomatik veya otomatik olmayan yollarla işlenmesi aşamalarında yasal ilke ve şartlara harfiyen uymak zorundadır. Yasal ve teknik önlemlerin entegre bir şekilde yürütülmesi, güvenilir bir altyapının tesis edilmesinin temel şartıdır.
Bilgi Güvenliğinin Temel Bileşenleri ve Hukuki Önemi
Hukuk uygulamalarında verilerin salt sözleşmelerle korunması yeterli görülmemekte, teknik güvenliğin de eşzamanlı tesis edilmesi beklenmektedir. Hukuki perspektiften bilgi güvenliği, temelde gizlilik, bütünlük ve erişilebilirlik olmak üzere üç ana bileşenden oluşmaktadır. Gizlilik, kişisel verilere yalnızca yetkili kişilerin erişebilmesini ifade ederken; bütünlük, verilerin yetkisiz kişilerce değiştirilmesini veya tahrip edilmesini engellemeyi, yani verinin doğruluğunu korumayı amaçlar. Erişilebilirlik ise bilgi sistemlerinin sekteye uğramadan istikrarlı çalışmasını ve yetkili kişinin veriye dilediği an ulaşabilmesini temin eder. Bu üç bileşenin zarar görmesi hukuki anlamda doğrudan veri güvenliğinin risk altına girmesini doğurur. Dolayısıyla veri sorumlularının, sadece kağıt üzerinde değil, kullandıkları donanımsal ve yazılımsal altyapılarda da bu üç unsuru garanti altına alan kriptoloji temelli şifreleme yöntemleri ve siber güvenlik stratejileri geliştirmesi, yasal yükümlülüklerinin ayrılmaz bir parçasıdır.
KVKK Kapsamında Kişisel Veri İşleme Şartları ve Açık Rıza
Kanun koyucu, kişisel verilerin işlenmesi eylemini verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve aktarılması gibi her türlü faaliyet olarak geniş bir çerçevede tanımlamıştır. Hukuka uygun bir veri işleme sürecinin temel şartı, ilgili kişinin açık rızasının usulüne uygun şekilde alınmasıdır. Açık rıza; belirli bir konuya ilişkin, önceden aydınlatma yükümlülüğü yerine getirilerek bilgilendirilmeye dayanan ve kişinin özgür iradesiyle verdiği onayı ifade eder. Genel, sınırları çizilmemiş ve muğlak ifadelerle alınan rızalar, hukuk önünde geçerli kabul edilmemektedir. Veri sorumlusu, aydınlatma yükümlülüğü kapsamında hangi verilerin ne amaçla işleneceğini veri sahibine açıkça belirtmek zorundadır. Ancak yasalarımız, hayatın olağan akışını ve ticari gereksinimleri gözeterek rızanın aranmadığı bazı istisnai durumlar da kurgulamıştır.
Açık Rıza Aranmaksızın Veri İşlenebilecek Haller
Hukuk uygulamalarında, veri sorumlularının iş süreçlerini aksatmadan yürütebilmeleri için Kanun'da açık rıza aranmaksızın kişisel veri işlenebilecek hukuka uygunluk nedenleri sınırlandırılmıştır. Her olayda rıza aranması hukuki işlemlerin doğasına aykırı olabileceğinden, kanun koyucu belirli şartların varlığı halinde veri işlemeye cevaz vermiştir. Veri sorumluları bu istisnalara dayanırken amaca bağlılık ve ölçülülük ilkelerinden sapmamalıdır. Hangi verinin sözleşme ifası, hangi verinin meşru menfaat kapsamında olduğu mutlaka belirlenmelidir. Aşağıdaki tabloda bu istisnai hukuki durumlar ve uygulamadaki yansımaları özetlenmektedir:
| Kanuni İstisna Durumu | Hukuki Uygulama Örneği |
|---|---|
| Kanunlarda açıkça öngörülmesi | Mevzuatın kurumlara açıkça yetki verdiği haller. |
| Fiili imkânsızlık hali | Rıza verilemeyen durumlarda hayatın korunması. |
| Sözleşmenin ifası | Ticari sözleşmelerde zorunlu kimlik bilgilerinin işlenmesi. |
| Hukuki yükümlülük | İşverenin personel maaşını ödemek için SGK kaydı yapması. |
| Verinin alenileştirilmesi | Veri sahibinin bilgilerini kamuya açıkça sunması. |
| Bir hakkın tesisi | Hukuki süreçlerde ispat yükümlülüğünün gerektirdiği veriler. |
| Meşru menfaat | Temel haklara zarar vermeden yürütülen kurum faaliyetleri. |
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Hukuka uygun olarak işlenmiş kişisel veriler, işlenmesini gerektiren yasal ve fiili sebeplerin ortadan kalkması halinde, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmek, yok edilmek veya anonim hale getirilmek zorundadır. Hukuki açıdan verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok etme ise, verilerin hiç kimse tarafından geri getirilemez şekilde fiziksel veya teknolojik olarak kalıcı biçimde imha edilmesidir. Diğer yandan anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesini ifade eder. Bilimsel ve istatistiksel araştırmalarda sıklıkla başvurulan bu yöntem, maskeleme veya veri türetme gibi tekniklerle hayata geçirilir. Veri sorumlularının bu prosedürleri, önceden hazırlayacakları kişisel veri saklama ve imha politikası çerçevesinde yürütmesi yasal bir yükümlülüktür.