Makale
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu makalede uzman avukat perspektifiyle, kişisel verilerin yasal tanımı, unsurları, veri sorumlusu ve veri işleyen gibi temel aktörlerin rolleri ile veri işleme şartları KVKK hükümleri çerçevesinde kapsamlı bir şekilde incelenmektedir.
KVKK Kapsamında Kişisel Veri, Temel Aktörler ve İşleme Şartları
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte kişisel veriler, hem ekonomik bir değer hem de temel bir insan hakkı unsuru olarak hukukun en dinamik alanlarından birini oluşturmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin toplanmasından saklanmasına, işlenmesinden aktarılmasına kadar tüm süreçleri disiplin altına almayı amaçlar. Bu kapsamda, yasal mevzuata uyum sağlamak isteyen gerçek ve tüzel kişilerin öncelikle kişisel veri kavramını ve bu verilerin hangi hukuki unsurları taşıması gerektiğini doğru bir şekilde analiz etmesi zorunludur. Kanun, veri işleme faaliyetlerini belirli katı şartlara bağlarken, sürecin merkezine veri sorumlusu, veri işleyen ve ilgili kişi gibi temel aktörleri yerleştirmektedir. Bu aktörlerin hukuki statüleri, aralarındaki ilişki ağları ve veri işleme şartlarının yasal sınırları, uygulamada yaşanabilecek muhtemel hak ihlallerinin önüne geçilmesi adına büyük önem taşımaktadır. Bir hukuk bürosu perspektifiyle, veri süreçlerinin hukuka uygun yürütülebilmesi için öncelikle bu temel kavramların ve şartların çok sağlam bir hukuki zemine oturtulması gerekmektedir.
Kişisel Veri Kavramı ve Unsurları
Yasal tanımlamalara göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu son derece geniş tanım, yalnızca ad, soyad, kimlik numarası veya doğum tarihi gibi kişiyi doğrudan teşhis eden bilgileri kapsamaz. Aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve psikolojik özelliklerini yansıtan, eldeki diğer verilerle birleştirildiğinde onu dolaylı yoldan da olsa belirlenebilir kılan tüm verileri koruma kapsamına almaktadır. Bir bilginin hukuken kişisel veri sayılabilmesi için birtakım temel unsurları eksiksiz barındırması gerekir. Bu unsurlar hukuk doktrininde; bir verinin bulunması, bu verinin kişiyi belirli veya belirlenebilir kılması, verinin özü itibarıyla kişiye ilişkin olması ve mutlaka yasal olarak bir gerçek kişiye ait olması şeklinde sıralanmaktadır. Yasa kapsamında yalnızca gerçek kişilere ait veriler koruma altındadır; tüzel kişilere ait ticaret sırları veya mali bilgiler bu mevzuatın koruma alanına dâhil değildir.
Özel Nitelikli (Hassas) Kişisel Veriler
Kanun koyucu, bireylerin temel hak ve özgürlükleriyle daha doğrudan ilişkili olan ve ifşa edilmesi halinde kişilerin haksız bir ayrımcılığa veya telafisi güç mağduriyetlere uğramasına neden olabilecek bazı verileri özel nitelikli kişisel veriler olarak çok daha sıkı bir statüde düzenlemiştir. İlgili yasal mevzuatta sınırlı sayıyla altı çizilen bu veriler arasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti bilgileri ile biyometrik ve genetik verileri yer almaktadır. Bu özel türdeki verilerin işlenmesi, standart verilere kıyasla yasa koyucu tarafından çok daha ağır hukuki koruma mekanizmalarına ve katı şekil şartlarına tabi tutulmuştur. Dolayısıyla ticari ve hukuki uyum süreçlerinde, kurumsal olarak işlenen verinin hassas bir nitelik taşıyıp taşımadığı büyük bir titizlikle tespit edilmelidir.
Veri İşleme Sürecindeki Temel Aktörler
Veri koruma hukukunun işletmelerde doğru ve güvenli bir şekilde uygulanabilmesi, yasal süreçte yer alan temel aktörlerin hukuki sorumluluklarının net, şeffaf ve kesin bir şekilde saptanmasına bağlıdır. Bu koruma sisteminin merkezinde, bizzat kişisel verisi işlenen ve yasal güvence kapsamında mutlak surette bir gerçek kişi olması şart koşulan ilgili kişi bulunmaktadır. İlgili kişinin verileri üzerinde en temel idari ve teknik kararları alma yetkisini elinde bulunduran asıl yasal aktör ise veri sorumlusu statüsündeki kişi veya kurumlardır. İlgili yasal düzenlemelere göre veri sorumlusu; kişisel verilerin yasal işlenme amaçlarını ve kullanılacak teknik vasıtaları bizzat belirleyen, veri kayıt sisteminin kurulmasından ve hukuka uygun şekilde yönetilmesinden birinci derecede sorumlu olan gerçek veya tüzel kişidir. İdari otoritelerle dış ilişkilerde asıl muhatap olan veri sorumlusunun aksine, veri işleyen, sadece veri sorumlusunun kendisine verdiği yetkiye dayanarak onun adına veri işleme faaliyetinin daha çok teknik detaylarını yürüten bağımsız aktördür.
Kişisel Verilerin İşlenme Şartları
Kişisel verilerin gelişigüzel işlenmesi kural olarak kesin bir şekilde yasaklanmış olup, ilgili korunan veriler ancak yasal düzenlemelerde öngörülen hukuka uygunluk nedenlerinden birine sağlam bir şekilde dayanılarak işlenebilir. Bu işleme şartlarının kuşkusuz en temel olanı, veri sahibi konumundaki ilgili kişinin sunduğu açık rızası şartıdır. Yasal mevzuat bağlamında açık rıza; mutlaka belirli bir somut konuya ilişkin olarak verilen, aydınlatma yükümlülüğü çerçevesinde yeterli bilgilendirmeye dayanan ve kişinin herhangi bir baskı altında kalmadan tamamen özgür iradesiyle açıklanan hukuki onayı ifade eder. Kanun koyucu, işletmelerin ve kurumların açık rıza alamadığı ancak ticari, fiili veya idari süreçlerin sekteye uğramaması gerektiği istisnai haller için rızanın aranmayacağı çeşitli hukuka uygunluk sebeplerini de yasa maddelerinde açıkça tahdidi olarak düzenlemiştir.
- Kanunlarda açıkça öngörülmesi: Belirli kişisel verilerin işlenmesinin diğer ulusal yasal mevzuat ve düzenlemeler gereğince mecburi olarak zorunlu tutulması durumudur.
- Fiili imkânsızlık hali: Hukuken veya fiilen rızasını açıklayamayacak durumda olan ilgili kişinin bizzat kendi hayatı veya temel beden bütünlüğünün hukuken korunması maksadıyla veri işlemenin mutlak zaruri olmasıdır.
- Sözleşmenin ifası: Bir ticari veya bireysel sözleşmenin geçerli biçimde kurulması veya doğrudan doğruya ifasıyla sıkı sıkıya bağlantılı olarak yalnızca sözleşme taraflarının verilerinin işlenmesinin mecburi olması halidir.
- Hukuki yükümlülük: İlgili veri sorumlusunun mahkemeler veya idari merciler nezdinde yasal olarak bizzat tabi olduğu hukuki bir yükümlülüğünü eksiksiz yerine getirebilmesi için işlemenin zorunlu olmasıdır.
- İlgili kişinin alenileştirmesi: İlgili kişisel verinin, korunan gerçek kişinin bizzat kendi iradesiyle kamuoyunun bilgisine bilerek ve isteyerek sunulmuş olmasıdır.
- Hakkın tesisi, kullanılması veya korunması: Anayasal veya yasal olarak hukuken tanınmış, meşru bir hakkın yargısal korunması veya ispatı adına kişisel veri işlemenin büyük bir zorunluluk teşkil etmesidir.
- Meşru menfaat: Veri sahibi ilgili kişinin temel anayasal haklarına ve meşru özgürlüklerine katiyen zarar vermemek ağır şartıyla, ilgili veri sorumlusunun meşru kurumsal menfaatleri için veri işlemesinin mecburiyet oluşturduğu istisnai hallerdir.