Anasayfa/ Makale/ KVKK Kapsamında Kişisel Veri, Temel Aktörler ve İşleme Şartları

KVKK Kapsamında Kişisel Veri, Temel Aktörler ve İşleme Şartları

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu makalede uzman avukat perspektifiyle, kişisel verilerin yasal tanımı, unsurları, veri sorumlusu ve veri işleyen gibi temel aktörlerin rolleri ile veri işleme şartları KVKK hükümleri çerçevesinde kapsamlı bir şekilde incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK AÇIK RIZA ÖZEL NİTELİKLİ KİŞİSEL VERİ

Günümüzde dijitalleşmenin hız kazanmasıyla birlikte kişisel veriler, hem ekonomik bir değer hem de temel bir insan hakkı unsuru olarak hukukun en dinamik alanlarından birini oluşturmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin toplanmasından saklanmasına, işlenmesinden aktarılmasına kadar tüm süreçleri disiplin altına almayı amaçlar. Bu kapsamda, yasal mevzuata uyum sağlamak isteyen gerçek ve tüzel kişilerin öncelikle kişisel veri kavramını ve bu verilerin hangi hukuki unsurları taşıması gerektiğini doğru bir şekilde analiz etmesi zorunludur. Kanun, veri işleme faaliyetlerini belirli katı şartlara bağlarken, sürecin merkezine veri sorumlusu, veri işleyen ve ilgili kişi gibi temel aktörleri yerleştirmektedir. Bu aktörlerin hukuki statüleri, aralarındaki ilişki ağları ve veri işleme şartlarının yasal sınırları, uygulamada yaşanabilecek muhtemel hak ihlallerinin önüne geçilmesi adına büyük önem taşımaktadır. Bir hukuk bürosu perspektifiyle, veri süreçlerinin hukuka uygun yürütülebilmesi için öncelikle bu temel kavramların ve şartların çok sağlam bir hukuki zemine oturtulması gerekmektedir.

Kişisel Veri Kavramı ve Unsurları

Yasal tanımlamalara göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu son derece geniş tanım, yalnızca ad, soyad, kimlik numarası veya doğum tarihi gibi kişiyi doğrudan teşhis eden bilgileri kapsamaz. Aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve psikolojik özelliklerini yansıtan, eldeki diğer verilerle birleştirildiğinde onu dolaylı yoldan da olsa belirlenebilir kılan tüm verileri koruma kapsamına almaktadır. Bir bilginin hukuken kişisel veri sayılabilmesi için birtakım temel unsurları eksiksiz barındırması gerekir. Bu unsurlar hukuk doktrininde; bir verinin bulunması, bu verinin kişiyi belirli veya belirlenebilir kılması, verinin özü itibarıyla kişiye ilişkin olması ve mutlaka yasal olarak bir gerçek kişiye ait olması şeklinde sıralanmaktadır. Yasa kapsamında yalnızca gerçek kişilere ait veriler koruma altındadır; tüzel kişilere ait ticaret sırları veya mali bilgiler bu mevzuatın koruma alanına dâhil değildir.

Özel Nitelikli (Hassas) Kişisel Veriler

Kanun koyucu, bireylerin temel hak ve özgürlükleriyle daha doğrudan ilişkili olan ve ifşa edilmesi halinde kişilerin haksız bir ayrımcılığa veya telafisi güç mağduriyetlere uğramasına neden olabilecek bazı verileri özel nitelikli kişisel veriler olarak çok daha sıkı bir statüde düzenlemiştir. İlgili yasal mevzuatta sınırlı sayıyla altı çizilen bu veriler arasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti bilgileri ile biyometrik ve genetik verileri yer almaktadır. Bu özel türdeki verilerin işlenmesi, standart verilere kıyasla yasa koyucu tarafından çok daha ağır hukuki koruma mekanizmalarına ve katı şekil şartlarına tabi tutulmuştur. Dolayısıyla ticari ve hukuki uyum süreçlerinde, kurumsal olarak işlenen verinin hassas bir nitelik taşıyıp taşımadığı büyük bir titizlikle tespit edilmelidir.

Veri İşleme Sürecindeki Temel Aktörler

Veri koruma hukukunun işletmelerde doğru ve güvenli bir şekilde uygulanabilmesi, yasal süreçte yer alan temel aktörlerin hukuki sorumluluklarının net, şeffaf ve kesin bir şekilde saptanmasına bağlıdır. Bu koruma sisteminin merkezinde, bizzat kişisel verisi işlenen ve yasal güvence kapsamında mutlak surette bir gerçek kişi olması şart koşulan ilgili kişi bulunmaktadır. İlgili kişinin verileri üzerinde en temel idari ve teknik kararları alma yetkisini elinde bulunduran asıl yasal aktör ise veri sorumlusu statüsündeki kişi veya kurumlardır. İlgili yasal düzenlemelere göre veri sorumlusu; kişisel verilerin yasal işlenme amaçlarını ve kullanılacak teknik vasıtaları bizzat belirleyen, veri kayıt sisteminin kurulmasından ve hukuka uygun şekilde yönetilmesinden birinci derecede sorumlu olan gerçek veya tüzel kişidir. İdari otoritelerle dış ilişkilerde asıl muhatap olan veri sorumlusunun aksine, veri işleyen, sadece veri sorumlusunun kendisine verdiği yetkiye dayanarak onun adına veri işleme faaliyetinin daha çok teknik detaylarını yürüten bağımsız aktördür.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin gelişigüzel işlenmesi kural olarak kesin bir şekilde yasaklanmış olup, ilgili korunan veriler ancak yasal düzenlemelerde öngörülen hukuka uygunluk nedenlerinden birine sağlam bir şekilde dayanılarak işlenebilir. Bu işleme şartlarının kuşkusuz en temel olanı, veri sahibi konumundaki ilgili kişinin sunduğu açık rızası şartıdır. Yasal mevzuat bağlamında açık rıza; mutlaka belirli bir somut konuya ilişkin olarak verilen, aydınlatma yükümlülüğü çerçevesinde yeterli bilgilendirmeye dayanan ve kişinin herhangi bir baskı altında kalmadan tamamen özgür iradesiyle açıklanan hukuki onayı ifade eder. Kanun koyucu, işletmelerin ve kurumların açık rıza alamadığı ancak ticari, fiili veya idari süreçlerin sekteye uğramaması gerektiği istisnai haller için rızanın aranmayacağı çeşitli hukuka uygunluk sebeplerini de yasa maddelerinde açıkça tahdidi olarak düzenlemiştir.

  • Kanunlarda açıkça öngörülmesi: Belirli kişisel verilerin işlenmesinin diğer ulusal yasal mevzuat ve düzenlemeler gereğince mecburi olarak zorunlu tutulması durumudur.
  • Fiili imkânsızlık hali: Hukuken veya fiilen rızasını açıklayamayacak durumda olan ilgili kişinin bizzat kendi hayatı veya temel beden bütünlüğünün hukuken korunması maksadıyla veri işlemenin mutlak zaruri olmasıdır.
  • Sözleşmenin ifası: Bir ticari veya bireysel sözleşmenin geçerli biçimde kurulması veya doğrudan doğruya ifasıyla sıkı sıkıya bağlantılı olarak yalnızca sözleşme taraflarının verilerinin işlenmesinin mecburi olması halidir.
  • Hukuki yükümlülük: İlgili veri sorumlusunun mahkemeler veya idari merciler nezdinde yasal olarak bizzat tabi olduğu hukuki bir yükümlülüğünü eksiksiz yerine getirebilmesi için işlemenin zorunlu olmasıdır.
  • İlgili kişinin alenileştirmesi: İlgili kişisel verinin, korunan gerçek kişinin bizzat kendi iradesiyle kamuoyunun bilgisine bilerek ve isteyerek sunulmuş olmasıdır.
  • Hakkın tesisi, kullanılması veya korunması: Anayasal veya yasal olarak hukuken tanınmış, meşru bir hakkın yargısal korunması veya ispatı adına kişisel veri işlemenin büyük bir zorunluluk teşkil etmesidir.
  • Meşru menfaat: Veri sahibi ilgili kişinin temel anayasal haklarına ve meşru özgürlüklerine katiyen zarar vermemek ağır şartıyla, ilgili veri sorumlusunun meşru kurumsal menfaatleri için veri işlemesinin mecburiyet oluşturduğu istisnai hallerdir.
Şirketimin ticari sırları da KVKK kapsamında korunuyor mu? expand_more
Hayır, 6698 sayılı Kişisel Verilerin Korunması Kanunu yalnızca gerçek kişilere ait verileri koruma altına almaktadır. Tüzel kişilere, yani şirketlere ait ticari sırlar veya mali bilgiler bu mevzuatın koruma alanına dâhil değildir. Bir bilginin hukuken kişisel veri sayılabilmesi için mutlak surette kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin olması yasal bir zorunluluktur.
Hastane kayıtlarım veya parmak izim normal verilerle aynı şekilde mi korunur? expand_more
Hukuki mevzuatımıza göre bu tür bilgiler standart verilerden çok daha sıkı bir statüde korunmaktadır. Kişilerin sağlığına ilişkin bilgiler veya parmak izi gibi biyometrik ve genetik veriler, ifşa edilmeleri halinde haksız bir ayrımcılığa veya telafisi güç mağduriyetlere yol açabilecekleri için "özel nitelikli kişisel veriler" olarak sınıflandırılır. Kanun koyucu, bu hassas verilerin işlenmesini standart kişisel verilere kıyasla çok daha ağır hukuki koruma mekanizmalarına ve katı şekil şartlarına tabi tutmuştur.
Verilerimi işleyen taşeron firma mı yoksa asıl şirket mi bana karşı sorumlu? expand_more
Yasal düzenlemelerimiz kapsamında asıl muhatabınız ve birinci derecede sorumlu olan taraf "veri sorumlusu" sıfatını taşıyan, yani verilerinizin yasal işlenme amaçlarını ve kullanılacak teknik vasıtaları bizzat belirleyen kurumdur. Taşeron firma gibi hareket eden ve "veri işleyen" konumunda olan aktörler ise yalnızca veri sorumlusunun kendisine verdiği yetkiye dayanarak teknik detayları yürüten bağımsız kurumlardır. İdari otoritelerle olan dış ilişkilerde ve tarafınıza karşı hukuki sorumlulukta asıl muhatap her zaman veri kayıt sistemini kuran ve yöneten veri sorumlusudur.
Benden rızamı veya onayımı almadan kişisel verilerimi istedikleri gibi kullanabilirler mi? expand_more
Kişisel verilerin gelişigüzel işlenmesi kural olarak kanunla kesin bir şekilde yasaklanmıştır. Hukuka uygun bir veri işleme faaliyeti için temelde özgür iradenizle ve yeterli bilgilendirmeye dayanarak "açık rıza" vermeniz şarttır. Ancak yasa koyucu; sözleşmenin ifası, mahkemeler nezdindeki hukuki yükümlülüklerin yerine getirilmesi veya ilgili kişinin hakkının tesisi gibi rızanızın aranmayacağı bazı istisnai hukuka uygunluk sebeplerini de açıkça düzenlemiştir. Dolayısıyla, yasal düzenlemelerde öngörülen bu zorunlu hallerin ve istisnai şartların varlığı durumunda açık rızanız olmaksızın da verileriniz hukuka uygun şekilde işlenebilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir