Anasayfa Makale KVKK Temel Kavramları ve Veri İşleme İlkeleri

Makale

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel veri, veri sorumlusu ve veri işleyen gibi temel kavramlar hukuki altyapının merkezini oluşturur. Veri işleme faaliyetleri; hukuka ve dürüstlük kuralına uygunluk, amaçla sınırlılık, ölçülülük ve meşruiyet gibi emredici yasal ilkelere sıkı sıkıya bağlı olarak yürütülmelidir.

KVKK Temel Kavramları ve Veri İşleme İlkeleri

KVKK

Kişisel Verilerin Korunması Kanunu (KVKK), modern hukuk sistemimizde bireylerin mahremiyetini ve temel haklarını güvence altına alan en önemli yasal düzenlemelerden biridir. Gelişen dijital ekonomi ve bilgi toplumu, kişisel verilerin işlenmesi faaliyetlerini günlük hayatın ayrılmaz bir parçası haline getirmiştir. Ancak bu faaliyetlerin, kanun koyucu tarafından belirlenen katı sınırlar ve ilkeler çerçevesinde yürütülmesi zorunludur. Hukuki bir perspektifle yaklaştığımızda, mevzuatın lafzını ve ruhunu doğru anlamanın yolu, öncelikle temel kavramların yerli yerine oturtulmasından geçmektedir. Kavramların netleşmesi, veri işleme süreçlerinin sınırlarını çizen veri işleme ilkelerinin doğru yorumlanmasına olanak tanır. Bir hukuk bürosu pratiğinde sıkça karşılaştığımız üzere, bu temel hukuki yapıtaşlarının göz ardı edilmesi, telafisi güç hukuki ihtilaflara zemin hazırlamaktadır. Bu nedenle, verilerin elde edilmesinden imhasına kadar geçen tüm yaşam döngüsünde, hukuka uygunluğun sağlanması için kanunun ruhuna içkin olan bu ilkelerin titizlikle incelenmesi ve uygulanması elzemdir.

KVKK Kapsamında Temel Kavramlar

Veri işleme süreçlerinin hukuki analizinde öncelikli adım, kanunun uygulama alanını belirleyen kavramların tanımlanmasıdır. Bu bağlamda en kritik kavram şüphesiz kişisel veri kavramıdır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımda yer alan her türlü bilgi ibaresi, kanun koyucunun koruma alanını olabildiğince geniş tutma iradesinin bir yansımasıdır. Öyle ki, kişinin yalnızca kimlik veya finansal bilgileri değil, kendisini belirlenebilir kılan hobileri, dış görünüşü veya mesleki konumuna dair detaylar da bu kapsamda değerlendirilir. Verilerin üzerinde işlem yapılan nesne olduğu düşünüldüğünde, bu nesnenin sahibi olan gerçek kişi ise kanunda ilgili kişi olarak adlandırılmaktadır. Tüzel kişilere ait veriler, doğaları gereği bu spesifik veri koruma rejimi kapsamında değerlendirilmez. İlgili kişinin temel haklarının korunması, bu verilerin doğru tanımlanmasına sıkı sıkıya bağlıdır.

Veri Sorumlusu ve Veri İşleyen Statüleri

Kişisel verilerin işlenmesi sürecinde aktif rol alan temel aktörler, veri sorumlusu ve veri işleyen olarak karşımıza çıkmaktadır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını bağımsız olarak belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuki aktördür. Bir hukuki uyuşmazlıkta veya uyum sürecinde, veri sorumlusunun tespiti hayati bir önem taşır, zira kanunun öngördüğü yasal sınırların asıl muhatabı kural olarak bu statüdeki kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak, onun adına ve talimatları doğrultusunda kişisel verileri işleyen ayrı bir gerçek veya tüzel kişidir. Veri işleyen, veri sorumlusunun organizasyon şeması dışında yer alır. İşleme faaliyeti ise; verilerin otomatik yollarla ya da otomatik olmayan yöntemlerle elde edilmesinden başlayarak, depolanması, değiştirilmesi, aktarılması veya anonim hale getirilmesine kadar geçen tüm operasyonları kapsayan oldukça geniş bir hukuki terimdir.

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

Kişisel verilerin korunması hukuku, şekli kuralların ötesinde, veri işleme faaliyetlerinin meşruiyetini sağlayan emredici ilkelere dayanır. Veri sorumlularının tüm işleme süreçlerinde uyması gereken temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kuralına uygun işleme: Şeffaflık ve hesap verebilirliği içerir, hakların kötüye kullanımını yasaklar.
  • Doğru ve gerektiğinde güncel olma: Hatalı verilerin birey aleyhine doğurabileceği haksız sonuçları engellemeyi amaçlar.
  • Belirli, açık ve meşru amaçlar: İşleme nedenlerinin başlangıçta net ve yasalara uygun olarak saptanmasını gerektirir.
  • Amaçla bağlantılı, sınırlı ve ölçülü olma: Hukukta veri minimizasyonu olarak bilinir, amaca yetecek asgari verinin işlenmesini emreder.
  • Gerekli olan süre kadar muhafaza edilme: Amacı tamamlanan veya yasal süresi dolan verilerin yok edilmesini zorunlu kılar.

Bu emredici prensipler, veri koruma rejiminin temel dayanaklarını oluşturur ve herhangi birinin ihlali, veri işleme operasyonunu doğrudan hukuka aykırı hale getirir.

Amaçla Sınırlılık, Ölçülülük ve Muhafaza Süresi

Yukarıda sıralanan prensiplerden özellikle amaçla bağlantılı, sınırlı ve ölçülü işleme kuralı, hukuki ihtilafların en sık yaşandığı alanların başında gelir. Ölçülülük ilkesi, işlenen veri ile hedeflenen amaç arasında adil ve makul bir dengenin kurulmasını emreder. Bir hukuki aktör, elde etmek istediği meşru amaca daha az veri işleyerek ulaşabiliyorsa, fazladan veri talep etmesi ölçülülük ilkesine açıkça aykırıdır. Ayrıca, zaman boyutundaki yasal sınırlamayı ifade eden muhafaza süresine riayet ilkesi de son derece kritiktir. İşleme amacı tamamen ortadan kalktığında veya mevzuattaki zorunlu saklama süresi dolduğunda, verilerin derhal imha edilmesi; yani silinmesi, yok edilmesi veya anonim hale getirilmesi zaruridir. Yasal süresi dolmasına rağmen elden çıkarılmayan her veri, gün geçtikçe hukuka aykırı bir veri havuzuna dönüşür ve ciddi riskler yaratır. Uzman bir hukuki değerlendirme, tüm bu aşamaların dinamik bir biçimde denetlenmesini şart koşar.

4 dk okuma Yayınlanma: Güncelleme: