Anasayfa/ Makale/ KVKK ve Uluslararası Hukukta Kişisel Veri Kavramı

KVKK ve Uluslararası Hukukta Kişisel Veri Kavramı

Gelişen teknolojiyle birlikte kişisel verilerin korunması, temel bir insan hakkı olarak hem ulusal mevzuatımızda hem de uluslararası hukukta büyük önem kazanmıştır. Bu makalede, kişisel veri kavramının hukuki niteliği, KVKK ve Avrupa Birliği düzenlemelerindeki yeri incelenerek, veri koruma hukukunun temel esasları değerlendirilmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ AİHS (AVRUPA İNSAN HAKLARI SÖZLEŞMESİ) HUKUKA AYKIRILIK KVKK MÜLKİYET HAKKI GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Günümüz bilgi toplumunda, teknolojik gelişmelerin ve internetin hayatımızın ayrılmaz bir parçası haline gelmesiyle birlikte, kişisel verilerin korunması hukuku her geçen gün daha da önem kazanmaktadır. Bireylerin özel hayatının gizliliğini ve temel haklarını güvence altına almayı amaçlayan bu hukuk dalı, bilginin serbest dolaşımı ile mahremiyet arasında hassas bir denge kurmayı hedeflemektedir. Ulusal hukukumuzda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile çerçevesi çizilen bu alan, küresel çapta sınır aşan veri akışları nedeniyle uluslararası hukuk kurallarıyla da doğrudan bağlantılıdır. Kişisel verilerin korunmasındaki temel amaç, yalnızca bireylerin verilerini hukuka aykırı müdahalelere karşı korumak değil, aynı zamanda bu verilerin toplumsal ve ekonomik işleyişteki ihtiyacı karşılayacak biçimde, hukuka ve dürüstlük kurallarına uygun olarak işlenmesini sağlamaktır. Bu bağlamda, kişisel veri kavramının sınırlarının doğru tespit edilmesi ve uluslararası metinlerdeki yansımalarının anlaşılması, hem veri sorumluları hem de ilgili kişiler açısından hukuki güvenliğin sağlanması için kritik bir öneme sahiptir.

Kişisel Veri Kavramı ve Unsurları

Türk hukukunda kişisel veri, KVKK’nın 3. maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu tanım, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 108 sayılı Sözleşme gibi uluslararası düzenlemelerle tam bir uyum içermektedir. Bir bilginin hukuken kişisel veri niteliği taşıyabilmesi için üç temel unsurun bir arada bulunması gerekmektedir: Ortada bir bilginin bulunması, bu bilginin belirli veya belirlenebilir bir kişiye ait olması ve bilginin kişiyle ilişkilendirilebilir nitelik taşımasıdır. Kişiyi doğrudan belirleyen ad ve soyad gibi bilgilerin yanı sıra, e-posta adresi, araç plakası, ses kayıtları ve sosyal güvenlik numarası gibi kişiyi dolaylı olarak belirlenebilir kılan her türlü kayıt bu kapsamda koruma altındadır. Bilginin nesnel veya öznel olması, doğru ya da hatalı olması, aleni yahut gizli olması bu korumanın niteliğini değiştirmemektedir.

Özel Nitelikli Kişisel Veriler

Birtakım kişisel veriler, işlenmeleri halinde bireylerin temel hak ve özgürlüklerine yönelik daha yüksek risk barındırdıkları ve ayrımcılığa sebep olabilecekleri için mevzuatta özel bir korumaya tabi tutulmuştur. KVKK madde 6 uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Bu kategoriler kanunda sınırlı olarak sayılmıştır ve kıyas yoluyla genişletilmeleri mümkün değildir. Uluslararası hukukta da GDPR düzenlemeleri kapsamında benzer veriler hassas veri olarak nitelendirilerek özel koruma altına alınmış olup, bu tür verilerin kural olarak ilgili kişinin açık rızası bulunmaksızın işlenmesi hukuka aykırılık teşkil etmektedir.

Uluslararası Hukukta Kişisel Verilerin Korunması

Kişisel verilerin uluslararası boyutta korunmasına yönelik atılan ilk önemli adımlardan biri, Avrupa Konseyi tarafından 1981 yılında kabul edilen 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi olmuştur. Bu sözleşme, uluslararası alanda bağlayıcılığı bulunan ilk belge olması yönüyle tarihi bir öneme sahiptir ve Türkiye de bu sözleşmenin tarafları arasındadır. Bunun yanı sıra, Avrupa Birliği bünyesinde kişisel verilerin korunması ve serbest dolaşımını yeknesaklaştırmak amacıyla önce 95/46/EC sayılı Direktif kabul edilmiş, teknolojinin gelişmesiyle yetersiz kalan bu direktifin yerini ise günümüzde küresel bir standart haline gelen Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) almıştır. Tüzük, yalnızca Birlik içindeki veri sorumlularını değil, Avrupa Birliği vatandaşlarına mal veya hizmet sunan ya da onların davranışlarını izleyen birlik dışındaki kuruluşları da kapsayacak şekilde oldukça geniş bir bölgesel uygulama alanı öngörmüştür.

  • Uluslararası hukukta kişisel verilerin korunmasına yön veren başlıca düzenlemeler şu şekildedir:
  • OECD Rehber İlkeleri: Veri koruma alanındaki ilk uluslararası metinlerden olup, sınır ötesi veri akışında asgari standartları belirleyen tavsiye niteliğinde kararlardır.
  • 108 Sayılı Sözleşme: Avrupa Konseyi tarafından hazırlanan ve taraf devletler açısından bağlayıcı nitelik taşıyan ilk uluslararası veri koruma sözleşmesidir.
  • GDPR: Avrupa Birliği genelinde yeknesaklık sağlayan, idari para cezaları ile caydırıcılığı olan ve sınır aşan geniş uygulama alanına sahip tüzüktür.

Kişisel Verilerin Hukuki Niteliğine Yönelik Yaklaşımlar

Kişisel verilerin korunması hakkının hukuki niteliği konusunda doktrinde ve uluslararası uygulamalarda farklı ekoller bulunmaktadır. Ekonomik hak yaklaşımı, kişisel verileri ticari bir meta ve mülkiyet hakkının konusu olarak görme eğilimindedir. Bu yaklaşım, verinin ekonomik değerini ön planda tutarak korumayı şirketlerin inisiyatifine bırakmayı savunur ve daha çok Anglo-Amerikan hukuk sisteminde tartışılmaktadır. Ancak Türk hukukunun da dahil olduğu Kıta Avrupası sisteminde hakim olan ve bizim de benimsediğimiz insan hakkı yaklaşımı, kişisel verilerin korunmasını doğrudan bireyin kişiliğiyle, özel hayatının gizliliğiyle ve insan onuruyla ayrılmaz bir bütün olarak değerlendirir. Nitekim Anayasamızın 20. maddesi ve Avrupa İnsan Hakları Sözleşmesi (AİHS) uygulamaları ışığında, kişisel verilerin hukuka aykırı şekilde işlenmesi, mülkiyet ihlalinden ziyade doğrudan temel bir insan hakkı ihlali olarak kabul edilmektedir.

Arabamın plakası veya e-posta adresim de kişisel veri sayılır mı? expand_more
Türk hukukunda, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilmektedir. Dolayısıyla sadece adınız ve soyadınız değil; e-posta adresiniz, araç plakanız, ses kayıtlarınız ve sosyal güvenlik numaranız gibi sizi dolaylı olarak belirlenebilir kılan her türlü bilgi bu kapsamda koruma altındadır. Bir bilginin doğru, yanlış, gizli veya herkes tarafından biliniyor olması onun kişisel veri olma niteliğini ve hukuki korumasını ortadan kaldırmaz.
Hastane kayıtlarım veya siyasi görüşüm benden izinsiz kullanılabilir mi? expand_more
Hukukumuzda sağlık bilgileri, siyasi düşünce, din, ırk, dernek veya sendika üyeliği gibi bilgiler "özel nitelikli kişisel veri" olarak sınıflandırılmıştır. Bu tür veriler, temel hak ve özgürlüklerinize yönelik yüksek risk barındırdığı ve ayrımcılığa yol açabileceği için kanunda çok daha sıkı bir korumaya tabi tutulmuştur. Kural olarak, bu son derece hassas bilgilerin sizin açık rızanız bulunmaksızın işlenmesi kesinlikle hukuka aykırılık teşkil etmektedir. Kanunda sınırlı olarak sayılan bu özel nitelikli veri türleri, kıyas yoluyla başka verileri kapsayacak şekilde genişletilemez.
Avrupa'daki bir şirket bilgilerimi toplarsa onlara karşı bir hakkım var mı? expand_more
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), kişisel verilerin korunması konusunda küresel bir standart oluşturmuştur ve oldukça geniş bir bölgesel uygulama alanına sahiptir. Bu düzenleme sadece Avrupa Birliği içindeki şirketleri değil, Birlik vatandaşlarına mal veya hizmet sunan yahut onların davranışlarını izleyen Birlik dışındaki kuruluşları da kapsamaktadır. Ayrıca Türkiye, kişisel verilerin uluslararası boyutta korunmasına yönelik bağlayıcılığı bulunan ilk belge olan 108 sayılı Sözleşme'ye taraf bir devlettir. Dolayısıyla, sınır aşan veri akışlarında da verileriniz uluslararası düzenlemeler ve yeknesak kurallar çerçevesinde hukuki güvence altındadır.
Şirketler benim kişisel bilgilerimi ticari bir mal gibi alıp satabilir mi? expand_more
Ekonomik hak yaklaşımını benimseyen Anglo-Amerikan sisteminin aksine, Türk hukukunun da dâhil olduğu Kıta Avrupası sisteminde kişisel veriler ticari bir meta veya mülkiyet hakkı olarak görülmez. Bizim sistemimizde kişisel verilerin korunması; doğrudan bireyin kişiliğiyle, özel hayatının gizliliğiyle ve insan onuruyla ayrılmaz bir bütün olan temel bir insan hakkıdır. Anayasamızın 20. maddesi ve Avrupa İnsan Hakları Sözleşmesi (AİHS) uygulamaları ışığında, verilerinizin hukuka aykırı şekilde işlenmesi doğrudan bir temel hak ihlali kabul edilir. Bu nedenle, şirketlerin kişisel verilerinizi ekonomik bir değer olarak görüp salt ticari tasarruflara konu etmesi hukuken himaye edilmemektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir