Makale
Kişisel verilerin korunması hukuku, gelişen teknolojiyle birlikte bireylerin mahremiyetini ve kişilik haklarını güvence altına almayı hedefler. Bu makalede, KVKK kapsamındaki temel kavramlar olan kişisel veri, veri sorumlusu ve ilgili kişi ile kişisel verilerin hukuki niteliğine dair mülkiyet ve kişilik hakkı yaklaşımları incelenmektedir.
KVKK Temel Kavramları ve Kişisel Verilerin Hukuki Niteliği
Gelişen bilişim teknolojileri ve dijitalleşme ile birlikte, bireylerin kişisel verilerinin korunması ihtiyacı hukuki bir zorunluluk haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesini disiplin altına alarak, başta özel hayatın gizliliği olmak üzere bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. Hukuk büromuzun uzmanlık alanlarından biri olan veri koruma hukuku bağlamında, KVKK uygulamasının doğru anlaşılabilmesi için temel kavramların ve bu verilerin hukuki niteliğinin net bir şekilde ortaya konulması gerekmektedir. İnsan haklarının modern bir yansıması olan kişisel verilerin korunması hakkı, bireyin verileri üzerindeki hâkimiyetini ifade eder. Bu kapsamda, kişiyi belirli veya belirlenebilir kılan her türlü bilgi ile bu bilgileri işleyen gerçek veya tüzel kişilerin kanun karşısındaki statüleri büyük önem taşımaktadır. Aşağıda, uygulamada sıkça karşılaşılan temel KVKK kavramları ve kişisel verilerin hukuki niteliğine ilişkin öğretideki güncel yaklaşımlar hukuki bir perspektifle detaylandırılmıştır.
Kişisel Veri Kavramı ve Unsurları
KVKK'nın 3. maddesi uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu tanım incelendiğinde, bir bilginin kişisel veri sayılabilmesi için üç temel unsurun bir araya gelmesi gerektiği görülmektedir. Bunlar; bilginin her türlü bilgiyi kapsaması, belirli veya belirlenebilir bir kişiye işaret etmesi ve bilginin kişiyle ilgili olmasıdır. Sadece kişinin adı, soyadı veya T. C. kimlik numarası gibi doğrudan kimliği teşhis eden bilgiler değil, aynı zamanda kişinin fiziksel, ekonomik, kültürel veya sosyal özelliklerini yansıtan dolaylı bilgiler de kişisel veri kabul edilmektedir. Yargıtay kararlarında da vurgulandığı üzere, kişiyi toplumdaki diğer bireylerden ayıran IP adresi, ses kaydı, banka hesap bilgileri ve parmak izi gibi verilerin tamamı bu kapsamda değerlendirilmektedir. Ayrıca, bilginin kişinin kendisi tarafından alenileştirilmiş olması veya gizli kalmış bir bilgi olması kişisel veri niteliğini değiştirmemektedir.
Özel Nitelikli Kişisel Veriler
Kişisel veriler, nitelikleri gereği genel ve özel nitelikli olmak üzere ikili bir ayrıma tabi tutulmuştur. Kanun'un 6. maddesinde özel nitelikli kişisel veriler, başkaları tarafından öğrenilmesi halinde kişinin ayrımcılığa maruz kalmasına veya mağduriyetine neden olabilecek hassas veriler olarak tanımlanmış ve sınırlı sayıda sayılmıştır. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık kıyafeti, dernek veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri bu kapsamdadır. Bu veriler dışında kalan ve gerçek kişiyi belirleyen tüm bilgiler ise genel nitelikli kişisel veri olarak kabul edilmektedir. Hukuk uygulamalarında, somut olayın özelliğine göre bir verinin hassas veri olup olmadığı titizlikle incelenmeli ve veri koruma stratejileri bu katı ayrım gözetilerek hukuki bir güvenceye oturtulmalıdır.
İlgili Kişi, Veri Sorumlusu ve Veri İşleyen
Kişisel verilerin korunması hukukunun temel süjeleri; ilgili kişi, veri sorumlusu ve veri işleyen olarak sınıflandırılmaktadır. Kanun metninde açıkça belirtildiği üzere, kişisel verisi işlenen ve kanuni korumadan faydalanacak olan ilgili kişi yalnızca gerçek kişiler olabilir; tüzel kişilerin verileri prensip olarak KVKK koruması dışındadır. Öte yandan, veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden hukuken sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Şirketlerin veri işleme faaliyetlerinde sorumluluğun kime ait olduğunun tespiti, hukuki yaptırımların muhatabını belirlemek açısından kritik öneme sahiptir. Veri sorumlusunun tespiti yapılırken verinin işlenme amacına ve aktarım kararlarına kimin hükmettiği dikkate alınmaktadır.
Açık Rıza Kavramı
Kişisel verilerin hukuka uygun olarak işlenebilmesi için temel dayanaklardan biri olan açık rıza, Kanun'da belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Bu tanım ışığında açık rızanın üç temel yapı taşı bulunmaktadır. Aşağıda açık rızanın geçerlilik unsurları sıralanmıştır:
- Belirli bir konuya ilişkin olma: Rızanın, genel bir irade açıklaması şeklinde değil, sınırları ve konusu net bir şekilde çizilmiş spesifik bir veri işleme faaliyetine yönelik olması şarttır.
- Aydınlatılmış rıza: İlgili kişinin, verilerinin hangi amaçla, kim tarafından ve ne kadar süreyle işleneceği konusunda veri işleme faaliyeti öncesinde tam ve eksiksiz olarak bilgilendirilmiş olması gerekmektedir.
- Özgür iradeyle verilmiş olma: İradeyi sakatlayan hata, hile, cebir veya korkutma gibi dış etkenlerden uzak, tamamen kişinin hür iradesine dayalı bir tercih olmalıdır. Özellikle işçi-işveren ilişkisi gibi tarafların eşit konumda olmadığı durumlarda iradenin özgürlüğü titizlikle değerlendirilmektedir.
Kişisel Verilerin Hukuki Niteliğine İlişkin Yaklaşımlar
Kişisel verilerin korunması hakkının hukuki niteliği, öğretide çeşitli yaklaşımlarla tartışılmaktadır. Bu yaklaşımlar temel olarak ekonomik hak yaklaşımı ve kişilik hakkı yaklaşımı etrafında şekillenmektedir. Amerikan hukukunda yaygın olan ekonomik hak yaklaşımı, kişisel verileri ticari bir meta ve mülkiyetin konusu olarak ele alır; bireylerin verileri üzerinde diledikleri gibi tasarrufta bulunabileceğini savunur. Ancak Türk hukuk sistemi ve Avrupa kıtası hukuku, bu verilerin kişinin onurundan ve varlığından ayrılamayacağını belirterek ekonomik yaklaşımı reddeder. Zira mülkiyet devredilebilirken, kişiye sıkı sıkıya bağlı olan verilerin süresiz ve mutlak devri hukuken ve ahlaken mümkün görülmemektedir. Bu sebeple kişisel verilerin salt bir ekonomik değer olarak nitelendirilmesi, bireyin temel haklarını zedeleyici sonuçlar doğurmaktadır.
Kişilik Hakkı ve Bağımsız Hak Teorisi
Türk hukukunda baskın olarak kabul gören kişilik hakkı yaklaşımı, kişisel verileri insanın maddi ve manevi varlığının, özellikle de özel hayatın gizliliğinin ayrılmaz bir parçası olarak değerlendirir. Nitekim Anayasa Mahkemesi kararlarında da kişisel verilerin korunması, bireyin mahremiyetinin ve onurunun güvencesi olarak kabul edilmektedir. Ancak yalnızca mahremiyet alanı ile sınırlı kalmanın, kamuya açık ve alenileştirilmiş verilerin korunmasında yetersiz kalacağı eleştirileri neticesinde bağımsız hak yaklaşımı ortaya çıkmıştır. Bu yenilikçi teoriye göre, kişisel verilerin korunması hakkı, salt özel hayatın gizliliğinden ibaret değildir; teknolojinin gelişimiyle birlikte kişiliğin korunmasını aşan, aktif ve bağımsız bir temel insan hakkı niteliğindedir. Bir hukukçu olarak belirtmek gerekir ki, hukuki nitelik ne olursa olsun, kişisel verilere yönelen her türlü haksız müdahale doğrudan bireyin hukuki statüsüne yapılmış ağır bir ihlaldir.