Makale

Günümüzün hızla dijitalleşen dünyasında, ekonomik ve sosyal faaliyetlerin merkezinde yer alan veri kavramı, hukuki bir koruma nesnesi olarak büyük önem taşımaktadır. İşletmelerin ve bireylerin dijital platformlarda bıraktığı izler, verinin dijitalleşerek büyük veri konsepti altında toplanmasını ve stratejik bir değere dönüşmesini sağlamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu yeni dijital ekosistemde bireylerin temel hak ve özgürlüklerini korumak amacıyla hayati bir hukuki zemin oluşturmuştur. Hukuk uygulamaları bağlamında, mevzuata uyum süreçlerinin doğru yapılandırılabilmesi için öncelikle temel hukuki kavramların ve aktörlerin net bir şekilde sınırlarının çizilmesi gerekmektedir. Bir uyuşmazlık anında, kişisel veri, özel nitelikli kişisel veri veya anonim veri ayrımlarının doğru yapılması; bununla birlikte sürece dahil olan veri sorumlusu, veri işleyen ve ilgili kişi gibi hukuki sujelerin statülerinin saptanması şarttır. Bu makale, söz konusu kavramsal temelleri uzman bir hukuki perspektifle ele almaktadır.

Hukuki Bir Değer Olarak Veri ve Kişisel Veri Kavramları

Hukuk düzeni tarafından korunan bir menfaat olarak veri kavramı, tek başına anlam ifade etmeyen ancak enformasyon ve bilgiye temel oluşturan değerler bütünüdür. Dijitalleşme ile birlikte bu veriler elektronik ortamlarda devasa boyutlarda kaydedilir hale gelmiştir. Kanun bağlamında asıl korunması gereken hukuki değer ise kişisel verilerdir. Mevzuat, kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak oldukça geniş bir çerçevede tanımlamaktadır. Bireyin sadece adı, soyadı veya doğum tarihi gibi doğrudan kimliğini gösteren bilgiler değil; IP adresi, motorlu taşıt plakası, e-posta adresi, fiziksel veya ekonomik özelliklerini yansıtan dolaylı veriler de kişisel veri havuzuna girmektedir. Bu noktada hukuki uyuşmazlıkların tespiti için belirleyici olan unsur, verinin belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilir olma kabiliyetidir. Tüzel kişilere ait veriler ise kanunun koruma şemsiyesi dışında bırakılmıştır.

Özel Nitelikli Kişisel Veriler ve Anonim Veri Arasındaki Hukuki Farklar

Kişisel veriler, içerdikleri hassasiyet ve hukuki koruma ihtiyacı bakımından farklı rejimlere tabi tutulmuştur. Kanun koyucu, öğrenilmesi halinde ilgili kişinin ayrımcılığa uğramasına veya mağdur olmasına yol açabilecek nitelikteki bilgileri özel nitelikli kişisel veri olarak sınırlı sayıda saymıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, kılık ve kıyafeti, dernek veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ile biyometrik ve genetik verileri bu kapsamda değerlendirilmektedir. Bu verilerin dışında kalan tüm belirlenebilir bilgiler ise genel nitelikli kişisel veri statüsündedir. Öte yandan, verinin bir gerçek kişiyle olan bağının geri döndürülemeyecek şekilde koparılması işlemine anonimleştirme denir. Anonim veri, başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli bir gerçek kişiyle ilişkilendirilemez. Dolayısıyla anonim hale getirilmiş veriler artık kişisel veri vasfını yitirdiğinden, hukuki koruma kapsamı dışına çıkmaktadır.

Kişisel Verilerin Korunması Hukukunda Temel Aktörler

Veri koruma hukukunun uygulanabilmesi ve hukuki sorumlulukların tayin edilebilmesi, ancak sürece dahil olan temel aktörlerin yasal statülerinin doğru tespit edilmesiyle mümkündür. Bu ekosistemin merkezinde ilgili kişi, yani kişisel verisi işlenen gerçek kişi yer almaktadır. İlgili kişinin haklarının korunması, mevzuatın varlık sebebidir ve kanun kapsamındaki koruma mekanizmaları yalnızca gerçek kişilere özgülenmiştir. İlgili kişinin karşısında ise, verileri işleyen ve bu süreçte hukuki yükümlülükler altına giren diğer sujeler bulunmaktadır. Bu noktada veri işleme amaç ve vasıtalarını belirleyen kişilerin ve onların emir veya talimatları doğrultusunda hareket eden yardımcı unsurların yasal sınırlarının kesin hatlarla çizilmesi gerekmektedir.

• İlgili Kişi: Kişisel verisi işlenen ve hukuken koruma altına alınan gerçek kişidir.
• Veri Sorumlusu: Veri işleme faaliyetinin neden ve nasıl yapılacağına karar veren en üst düzey karar alıcıdır.
• Veri İşleyen: Veri sorumlusunun yetkilendirmesiyle, onun belirlediği sınırlar dahilinde fiili işleme faaliyetini yürüten dış aktördür.

Veri Sorumlusu ve Hukuki Statüsü

Veri sorumlusu, kişisel verilerin hangi amaçla ve ne şekilde işleneceğine tek başına veya başkalarıyla birlikte karar veren, aynı zamanda veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Hukuk uygulamalarında veri sorumlusu kavramı belirlenirken, verilerin toplanma yöntemine, saklama süresine ve kimlerle paylaşılacağına kimin karar verdiğine bakılır. Özellikle ticari şirketler, dernekler veya kamu kurumları gibi tüzel kişiler adına veri işlendiğinde, veri sorumlusu sıfatı o tüzel kişiliğin içindeki bir çalışan veya departmana değil, doğrudan doğruya tüzel kişiliğin kendisine aittir. Kanunun emrettiği tüm idari ve hukuki yükümlülükler bizzat bu tüzel kişilik üzerinde doğmaktadır. Ancak tüzel kişiliği bulunmayan adi ortaklık gibi yapılaşmalarda, ortaklığı oluşturan gerçek veya tüzel kişilerin bizzat kendileri veri sorumlusu kabul edilmektedir.

Veri İşleyen Kavramı ve Veri Sorumlusu ile İlişkisi

Mevzuat kapsamında tanımlanan bir diğer önemli aktör olan veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve onun talimatları doğrultusunda kişisel verileri işleyen ayrı bir gerçek veya tüzel kişidir. Bir kimsenin veri işleyen sayılabilmesi için, veri sorumlusunun organizasyon yapısı dışında, bağımsız bir dış hizmet sağlayıcı statüsünde olması gerekir; örneğin bir şirketin kendi bünyesindeki insan kaynakları personeli veri işleyen olamaz. Dışarıdan anlaşılan bir kargo şirketi veya bağımsız bir bulut hizmet sağlayıcısı, kendisine verilen sınırlar dahilinde veri işleyen sıfatı kazanabilir. Veri sorumlusu ile veri işleyen arasındaki bu ilişkinin sınırları genellikle bir kişisel veri işleme sözleşmesi ile tayin edilir. Bu sözleşme kapsamında veri işleyenin, veri sorumlusunun hukuki menfaatlerine ve iradesine harfiyen uyarak işlemleri gerçekleştirmesi beklenmektedir.