Anasayfa Makale KVKK ve Temel Hukukta Kişisel Veri Kavramı

Makale

Kişisel verilerin korunması hukuku, bilişim çağında bireylerin verileri üzerindeki hakimiyetini teminat altına almaktadır. Bu makalede, KVKK ve temel hukuk disiplinleri ışığında kişisel veri, veri sorumlusu ve özel nitelikli veri gibi temel kavramlar, tüzel kişi ve gerçek kişi ayrımı gözetilerek hukuki bir perspektifle incelenmektedir.

KVKK ve Temel Hukukta Kişisel Veri Kavramı

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK

Bilişim teknolojilerinin hızla geliştiği günümüzde, verinin yeni bir güç kaynağı haline gelmesiyle birlikte kişisel verilerin korunması hukuku da büyük bir önem kazanmıştır. İnsanın nesneleştirilmesinin önüne geçmek ve bireylere kendi kişiliklerini özgürce geliştirebilecekleri bir alan yaratmak, bu hukuk dalının temel felsefesini oluşturur. Hukuk sistemimizde 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte, verilerin hukuki niteliği ve korunmasına ilişkin yeni bir dönem başlamıştır. Bir bilişim hukuku avukatı perspektifiyle yaklaşıldığında, hukuki uyuşmazlıkların çözümünde öncelikle temel kavramların doğru bir şekilde analiz edilmesi gerekliliği ortaya çıkmaktadır. Özellikle uygulamada sıkça karşılaşılan hataların önüne geçebilmek adına, mevzuatımızda yer alan veri, ilgili kişi ve veri sorumlusu gibi terimlerin hukuk uygulamaları bağlamında kapsamlı bir şekilde değerlendirilmesi şarttır.

Hukuki Açıdan Veri ve Kişisel Veri Kavramları

Temel hukuk terminolojisinde "veri", iletişim ve işlem için elverişli biçimsel bir gösterim iken; bu veriye kişi tarafından yöneltilen anlam "bilgi" olarak tanımlanmaktadır. Bilişim hukuku uygulamalarında ve KVKK kapsamında veri ile bilgi kavramları sıklıkla birbirinin yerine kullanılmaktadır. Kanunumuzda kişisel veri, "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde son derece geniş bir çerçevede tanımlanmıştır. Bu tanımın hukuki pratiğe yansıması, bir bilginin doğru veya yanlış, öznel veya nesnel olmasından bağımsız olarak koruma altına alınmasıdır. Bir kişiyi doğrudan tanımlayan kimlik numarası gibi bilgiler belirli kişiyi işaret ederken; farklı bilgilerle bir araya getirildiğinde kişinin kimliğini açığa çıkaran veriler ise belirlenebilir kişi statüsü yaratmaktadır. Objektif bir değerlendirmeyle, veri sorumlusu kimliği bizzat tespit edemese bile başka kaynaklar aracılığıyla tespit imkanı varsa kişisel verinin varlığı kabul edilmelidir.

Veri Süjeleri: Gerçek ve Tüzel Kişi Ayrımı

Veri koruma hukukunun temelinde insan onuru ve bireyin özerkliği yer aldığından, koruma kapsamındaki hak süjesi kural olarak sadece gerçek kişilerdir. Gerek Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gerekse iç hukukumuzdaki KVKK uyarınca tüzel kişilere ait bilgiler doğrudan kişisel verilerin korunması hukuku kapsamına girmemektedir. Hukuk uygulamalarında sıklıkla karşılaşılan bir yanılgı, tüzel kişilerin doğrudan mağdur sıfatıyla hak arayışına girmesidir. Ancak tüzel kişiliğe ait bir bilgi, aynı zamanda bir gerçek kişiyi belirlenebilir kılıyorsa, korumanın dayanağı tüzel kişi değil, o bilginin ait olduğu gerçek kişi olacaktır. Türk hukukunda kişi statüsü, tam ve sağ doğmak şartıyla ana rahmine düşme anından başlar ve ölümle sona erer. Genel kural olarak ölülerin kişisel verisi olmazken, hukuki bir istisna olarak yasal mirasçıların ölmüş bir kimsenin sağlık verilerini talep edebileceği özel mevzuatta düzenlenmiştir.

Kişisel Verilerin Türleri ve Hukuki Rejimi

Hukuk sistemimiz, verilerin niteliğine ve ihlal durumunda yaratacağı zararın ağırlığına göre verileri iki temel kategoriye ayırarak farklı hukuki rejimlere tabi tutmuştur. Bu ayrım, uygulamada veri işleme süreçlerinin sınırlarını çizen en kritik noktalardan biridir.

  • Genel Nitelikli Kişisel Veriler: Ad, soyad, yaş, doğum tarihi veya Türkiye Cumhuriyeti kimlik numarası gibi kişinin gündelik yaşamda kullandığı temel bilgileri ifade eder.
  • Özel Nitelikli Kişisel Veriler: Kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsar.
  • Özel nitelikli verilerin işlenmesi, kişilerin ayrımcılığa uğrama riskini barındırdığı için KVKK tarafından çok daha sıkı bir koruma rejimine bağlanmıştır. Bu veriler, sınırlı sayıda sayılmış olup, kıyas yoluyla genişletilemezler.

Veri Sorumlusu ve İlgili Kişi Kavramları

Kişisel veri hukuku bağlamında sorumluluk rejiminin doğru tespit edilebilmesi için veri işleme sürecindeki tarafların netleştirilmesi elzemdir. KVKK'ya göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Hukuki uyuşmazlıklarda tazminat veya idari para cezası muhatabı, kural olarak sürecin yönetimini elinde tutan veri sorumlusudur. Diğer tarafta ise ilgili kişi, yani kişisel verisi işlenen ve hakkı hukuken korunan gerçek kişi yer almaktadır. İlgili kişinin, verilerinin silinmesini veya düzeltilmesini talep etme hakkı gibi anayasal ve yasal hakları bulunmakta olup, bu taleplerini doğrudan veri işleyene değil, sistemin efendisi konumundaki veri sorumlusuna yöneltmesi gerekmektedir.

4 dk okuma Yayınlanma: Güncelleme: