Anasayfa/ Makale/ KVKK Temel Kavramları ve Veri İşleme İlkeleri

KVKK Temel Kavramları ve Veri İşleme İlkeleri

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel veri, veri sorumlusu ve veri işleyen gibi temel kavramlar hukuki altyapının merkezini oluşturur. Veri işleme faaliyetleri; hukuka ve dürüstlük kuralına uygunluk, amaçla sınırlılık, ölçülülük ve meşruiyet gibi emredici yasal ilkelere sıkı sıkıya bağlı olarak yürütülmelidir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Kişisel Verilerin Korunması Kanunu (KVKK), modern hukuk sistemimizde bireylerin mahremiyetini ve temel haklarını güvence altına alan en önemli yasal düzenlemelerden biridir. Gelişen dijital ekonomi ve bilgi toplumu, kişisel verilerin işlenmesi faaliyetlerini günlük hayatın ayrılmaz bir parçası haline getirmiştir. Ancak bu faaliyetlerin, kanun koyucu tarafından belirlenen katı sınırlar ve ilkeler çerçevesinde yürütülmesi zorunludur. Hukuki bir perspektifle yaklaştığımızda, mevzuatın lafzını ve ruhunu doğru anlamanın yolu, öncelikle temel kavramların yerli yerine oturtulmasından geçmektedir. Kavramların netleşmesi, veri işleme süreçlerinin sınırlarını çizen veri işleme ilkelerinin doğru yorumlanmasına olanak tanır. Bir hukuk bürosu pratiğinde sıkça karşılaştığımız üzere, bu temel hukuki yapıtaşlarının göz ardı edilmesi, telafisi güç hukuki ihtilaflara zemin hazırlamaktadır. Bu nedenle, verilerin elde edilmesinden imhasına kadar geçen tüm yaşam döngüsünde, hukuka uygunluğun sağlanması için kanunun ruhuna içkin olan bu ilkelerin titizlikle incelenmesi ve uygulanması elzemdir.

KVKK Kapsamında Temel Kavramlar

Veri işleme süreçlerinin hukuki analizinde öncelikli adım, kanunun uygulama alanını belirleyen kavramların tanımlanmasıdır. Bu bağlamda en kritik kavram şüphesiz kişisel veri kavramıdır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımda yer alan her türlü bilgi ibaresi, kanun koyucunun koruma alanını olabildiğince geniş tutma iradesinin bir yansımasıdır. Öyle ki, kişinin yalnızca kimlik veya finansal bilgileri değil, kendisini belirlenebilir kılan hobileri, dış görünüşü veya mesleki konumuna dair detaylar da bu kapsamda değerlendirilir. Verilerin üzerinde işlem yapılan nesne olduğu düşünüldüğünde, bu nesnenin sahibi olan gerçek kişi ise kanunda ilgili kişi olarak adlandırılmaktadır. Tüzel kişilere ait veriler, doğaları gereği bu spesifik veri koruma rejimi kapsamında değerlendirilmez. İlgili kişinin temel haklarının korunması, bu verilerin doğru tanımlanmasına sıkı sıkıya bağlıdır.

Veri Sorumlusu ve Veri İşleyen Statüleri

Kişisel verilerin işlenmesi sürecinde aktif rol alan temel aktörler, veri sorumlusu ve veri işleyen olarak karşımıza çıkmaktadır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını bağımsız olarak belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuki aktördür. Bir hukuki uyuşmazlıkta veya uyum sürecinde, veri sorumlusunun tespiti hayati bir önem taşır, zira kanunun öngördüğü yasal sınırların asıl muhatabı kural olarak bu statüdeki kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak, onun adına ve talimatları doğrultusunda kişisel verileri işleyen ayrı bir gerçek veya tüzel kişidir. Veri işleyen, veri sorumlusunun organizasyon şeması dışında yer alır. İşleme faaliyeti ise; verilerin otomatik yollarla ya da otomatik olmayan yöntemlerle elde edilmesinden başlayarak, depolanması, değiştirilmesi, aktarılması veya anonim hale getirilmesine kadar geçen tüm operasyonları kapsayan oldukça geniş bir hukuki terimdir.

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

Kişisel verilerin korunması hukuku, şekli kuralların ötesinde, veri işleme faaliyetlerinin meşruiyetini sağlayan emredici ilkelere dayanır. Veri sorumlularının tüm işleme süreçlerinde uyması gereken temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kuralına uygun işleme: Şeffaflık ve hesap verebilirliği içerir, hakların kötüye kullanımını yasaklar.
  • Doğru ve gerektiğinde güncel olma: Hatalı verilerin birey aleyhine doğurabileceği haksız sonuçları engellemeyi amaçlar.
  • Belirli, açık ve meşru amaçlar: İşleme nedenlerinin başlangıçta net ve yasalara uygun olarak saptanmasını gerektirir.
  • Amaçla bağlantılı, sınırlı ve ölçülü olma: Hukukta veri minimizasyonu olarak bilinir, amaca yetecek asgari verinin işlenmesini emreder.
  • Gerekli olan süre kadar muhafaza edilme: Amacı tamamlanan veya yasal süresi dolan verilerin yok edilmesini zorunlu kılar.

Bu emredici prensipler, veri koruma rejiminin temel dayanaklarını oluşturur ve herhangi birinin ihlali, veri işleme operasyonunu doğrudan hukuka aykırı hale getirir.

Amaçla Sınırlılık, Ölçülülük ve Muhafaza Süresi

Yukarıda sıralanan prensiplerden özellikle amaçla bağlantılı, sınırlı ve ölçülü işleme kuralı, hukuki ihtilafların en sık yaşandığı alanların başında gelir. Ölçülülük ilkesi, işlenen veri ile hedeflenen amaç arasında adil ve makul bir dengenin kurulmasını emreder. Bir hukuki aktör, elde etmek istediği meşru amaca daha az veri işleyerek ulaşabiliyorsa, fazladan veri talep etmesi ölçülülük ilkesine açıkça aykırıdır. Ayrıca, zaman boyutundaki yasal sınırlamayı ifade eden muhafaza süresine riayet ilkesi de son derece kritiktir. İşleme amacı tamamen ortadan kalktığında veya mevzuattaki zorunlu saklama süresi dolduğunda, verilerin derhal imha edilmesi; yani silinmesi, yok edilmesi veya anonim hale getirilmesi zaruridir. Yasal süresi dolmasına rağmen elden çıkarılmayan her veri, gün geçtikçe hukuka aykırı bir veri havuzuna dönüşür ve ciddi riskler yaratır. Uzman bir hukuki değerlendirme, tüm bu aşamaların dinamik bir biçimde denetlenmesini şart koşar.

Şirketler sadece kimliğimi mi saklayabilir, hobilerim de kişisel veri sayılır mı? expand_more
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri kavramı, kimliğinizi belirli veya belirlenebilir kılan her türlü bilgiyi ifade etmektedir. Bu nedenle yalnızca Türkiye Cumhuriyeti kimlik numaranız veya finansal bilgileriniz değil; dış görünüşünüz, hobileriniz ve mesleki konumunuza dair tüm detaylar da kişisel veri statüsündedir. Kanun koyucu bu tanımın kapsamını geniş tutarak bireylerin temel haklarını ve mahremiyetini en üst düzeyde güvence altına almayı irade etmiştir. Dolayısıyla, hakkınızda toplanan bu tarz spesifik bilgiler de kanunun öngördüğü emredici ilkelere ve katı yasal sınırlara tabi olarak işlenmek zorundadır.
Bir işlem yaparken benden alakasız ve gereğinden fazla bilgi istenmesi yasal mı? expand_more
Hukuki açıdan kişisel verilerin işlenmesinde uyulması gereken en temel emredici prensiplerden biri, işlenen verinin "amaçla bağlantılı, sınırlı ve ölçülü" olmasıdır. Hukuk doktrininde "veri minimizasyonu" olarak bilinen bu kural uyarınca, veri sorumlusu ulaşmak istediği meşru amaca daha az veri işleyerek ulaşabiliyorsa, sizden fazladan veri talep etmesi ölçülülük ilkesine açıkça aykırıdır. Kurumlar, sadece hedeflenen işlemi gerçekleştirmeye yetecek asgari düzeydeki verilerinizi işlemekle mükelleftir. Bu emredici prensiplerin ihlal edilmesi, veri işleme operasyonunu doğrudan hukuka aykırı hale getirmekte ve yasal sorumluluk doğurmaktadır.
İlişiğimi kestiğim kurumlar veya siteler bilgilerimi sonsuza kadar saklayabilir mi? expand_more
Hayır, kişisel verileriniz yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan makul süre kadar muhafaza edilebilir. Verinizin işlenme amacı tamamen ortadan kalktığında veya yasal olarak zorunlu tutulan saklama süresi dolduğunda; bu verilerin derhal imha edilmesi, yani silinmesi, yok edilmesi veya anonim hale getirilmesi kanuni bir zarurettir. Yasal süresi dolmasına rağmen elden çıkarılmayan ve saklanmaya devam edilen her veri, gün geçtikçe hukuka aykırı bir veri havuzuna dönüşerek kurumlar için telafisi güç hukuki ihtilaflar yaratır. Hukuki uyuşmazlıklarda bu duruma karşı yasal haklarınızı arama ve imha talep etme hakkınız mevcuttur.
Kişisel verilerimle ilgili bir sorun yaşarsam kanunen muhatabım tam olarak kimdir? expand_more
Kişisel verilerinizin işlenmesi operasyonlarında hukuki olarak asıl muhatabınız, kanunda "veri sorumlusu" statüsünü taşıyan kişi veya kurumdur. Veri sorumlusu, kişisel verilerinizin hangi amaçlarla ve hangi vasıtalarla işleneceğini bağımsız olarak belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden hukuken sorumlu olan temel aktördür. İşlemleriniz veri sorumlusunun talimatları doğrultusunda hareket eden ve organizasyon şeması dışında yer alan "veri işleyen" konumundaki ayrı bir taşeron firma tarafından yürütülüyor olsa dahi durum değişmez. Kanunun öngördüğü yasal sınırların ve yükümlülüklerin asıl muhatabı kural olarak her zaman veri sorumlusudur ve yasal taleplerinizi doğrudan bu aktöre yöneltmeniz gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir