Kişisel Veri kullanımı sorunu ile konuşulmaya başlanan ve en çok merak edilen konu Kişisel Verilerin Korunması Kanunu (KVKK) ‘nun neleri kapsadığıdır. Son zamanlarda en çok duyduğumuz kişisel veri kavramı Avrupa Birliği’ne uyum çerçevesinde hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. KVKK’nın amacı, bu kanunun birinci maddesinde düzenlenmiştir. Buna göre KVKK’nın temel işlevi;
- Özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerinin korunması
- Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi
Kişisel Veri Nedir?
Kişisel Verilerin Korunması Kanunu’nda kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder.” şeklinde tanımlanmıştır.
Bir gerçek kişinin; kişisel değerlerine (adı-soyadı, yaşı, sağlık durumu, fotoğrafı vb), malvarlıksal değerlerine (banka hesapları, taşınır/taşınmaz malvarlığı vb), içinde bulunduğu fiziki ve sosyal çevreye ilişkin bilgilerin tamamı kişisel veri olarak kabul edilmektedir.
Bir bilginin kişisel veri olarak nitelendirilebilmesi için kimliği belirli bir kişiye ait olması şart değildir. Kanun, kimliğin belirlenebilir olmasını da yeterli görmüştür. Eldeki veriler bir araya getirilerek kime ait olduğu anlaşılıyorsa burada KVKK kapsamında kişisel verinin varlığından söz edilir. Örneğin Anayasa Mahkemesi; bir gerçek kişinin kimlik bilgileri olmaksızın internet trafiğine ilişkin verileri, internet trafiğinden hareketle kişinin belirlenebileceği gerekçesiyle kişisel veri saymıştır.
Bir bilginin elde ediliş şekli kişisel veri olarak nitelendirilmesinde önem taşımaz. Bu bilgi kişinin kendisinden öğrenilmiş olabileceği gibi yaşantısı gözlemlenerek de edinilmiş olabilir. Gerçek kişiye ait bilgilerin KVKK kapsamında korunabilmesi için o bilginin sır niteliğinde olmasına gerek yoktur.
Burada dikkat edilmesi gereken bir diğer husus, kişisel veri kavramı tanımlanırken gerçek kişilerin esas alınmış olmasıdır. Yani tüzel kişilere ilişkin veriler, KVKK kapsamında korunmaz.
KVKK’da kişisel verileri işlenen gerçek kişiler, ilgili kişi olarak anılmaktadır.
Kişisel Verilerin İşlenmesi Kavramından Anlaşılması Gerekenler Nelerdir?
Kişisel Verilerin Korunması Kanunu’nun amaçları ifade edilirken, kişisel verilerin korunması kapsamında bu verileri işleyen gerçek ya da tüzel kişilere birtakım yükümlülükler getirildiğinden söz edilmişti.
Kişisel verinin işlenmesi kavramı, KVKK’ da; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmıştır.
Madde metninde belirtilen işlemler, sınırlı sayıda değildir. Kanun; verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesine kadar yapılan her türlü işlemi kişisel verilerin işlenmesi olarak kabul etmektedir. Kısacası başkasına ait kişisel veriler üzerinde yapılacak her türlü işlem; kişisel verilerin işlenmesi olarak nitelendirilir. Örneğin kredi kartı numaranızın online alışveriş sitelerinin veri tabanlarında tutulması, başkaca hiçbir şey yapılmasa bile kişisel verilerin işlenmesidir.
Üzerinde işlem yapılan kişisel verilerin nasıl edinildiği ve işlenildiği de önemlidir. Söz konusu verilerin KVKK’da belirtilen yollarla elde edilmiş ve işlenmiş olması gerekmektedir. Bunlar;
- Tamamen veya kısmen otomatik olan yollarla işlenmesi
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesidir.
Kişisel verilerin bu yöntemlerin dışında kalan bir şekilde edinilmesi ve işlenmesi KVKK kapsamında değerlendirilmez.
Kişisel Verilerin Korunmasında Hukuki Yükümlülük Altında Bulunanlar Kimlerdir?
Kişisel verilerin korunması yükümlülüğü, öncelikle devlete aittir. Ancak kişisel verileri verileri işleyerek yasalara aykırı davrananların tespit edilmesi gerekir. KVKK kapsamında kişisel verilerin işlenmesinde hukuki yükümlülüğü bulunanlar; veri sorumluları ve veri işleyenler olmaktadır.
- Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade eder (KVKK m.3/ğ)
- Veri işleyen “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder (KVKK m. 3/ı).
Veri sorumlusu ve veri işleyen kavramları birbirinden keskin çizgiler ile ayrılmış değildir. Veri sorumlusu aynı zamanda veri işleyen de olabilir. Örneğin, danışmanlık hizmeti veren bir finansal yatırım şirketi düşünelim. Bu şirket, kendi çalışanları bakımından veri sorumlusuyken, danışanları bakımından veri işleyendir.
Veri işleyen, veri sorumlusunun çalışanı olabileceği gibi dışarıdan hizmet aldığı bir gerçek veya tüzel kişi de olabilir.
Kişisel verilerin işlenmesinde yükümlülük bakımından karşımıza iki ayrı kavram çıksa da asıl yükümlülük, Veri Sorumlusu ‘nundur. Veri sorumlusu, verilerin işlenmesine dair kanuni ilkelerin uygulayıcısıdır. Ayrıca verilerin işlenmesi esnasında ortaya çıkan zararların ve dolayısıyla hukuki taleplerin de muhattabıdır.
Ancak bu durum Veri İşleyen ‘i tamamen sorumsuz hale getirmez. KVKK madde 12/2’ye göre; “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”
Burada KVKK, veri sorumlusu ve veri işleyen için müşterek sorumluluk esasını getirmiştir. Söz konusu açıklamalardan hareketle yükümlülük altında bulunanların hem gerçek hem de tüzel kişiler olduğu görülür. Bu bağlamda KVKK’nın, gerçek kişilere ait kişisel verileri hem gerçek hem de tüzel kişilere karşı koruduğu söylenebilir.
Kişisel Veri Kullanılmasında Uyulması Gereken Genel İlkeler Nelerdir?
Kişisel Verilerin Korunması Kanunu’nu kişisel verilerin kullanılmasını birtakım ilkelerle sınırlandırmıştır. KVKK’ya göre kişisel veriler, ancak KVKK ve diğer kanunların izin verdiği usul ve esaslar çerçevesinde kullanılabilir.
KVKK’da düzenlenen genel ilkelere ilişkin açıklamalardan önce kullanılacak kişisel verilerin hukuka uygun şekilde elde edilmiş olması gerektiğini hatırlatalım. Hukuka uygunluk iki durumda sağlanmış olur.
- Kişisel verileri kullanılacak olan gerçek kişinin açık rızası; buradaki rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle gösterilmiş olması gerekmektedir.
- Kanuna uygunluk hallerinin varlığı; bu haller KVKK’nın beşinci maddesinde ayrıntılı bir şekilde düzenlenmiştir. Ancak özel nitelikli kişisel veriler olarak isimlendirilen (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler) sahibinin açık rızası olmaksızın kullanılamaz. Bir başka ifadeyle, bu verilerin kullanımı için kanuna uygunluk halleri mevcut olsa bile veri sahibinin açık rızası aranır.
Belirtilen şekillerde elde edilen kişisel veriler, yine KVKK’nın dördüncü maddesinde öngörülen genel ilkelere uygun olarak işlenmelidir.
KVKK çerçevesinde kişisel verilerin işlenmesi ancak şu şartlar mevcutsa mümkündür:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu şartları yerine getirme veri sorumlusunun ve KVKK madde 12/2’de belirtilen durumların varlığı halinde onunla birlikte veri işleyenin yükümlülüğündedir.
Kişisel Verileri İşlenen Kişilerin Hakları Nelerdir?
Kişisel Verilerin Korunması Hakkında Kanun, ilgili kişiye veri sorumlusuna başvurma hakkı tanımıştır. İlgili kişinin veri sorumlusundan talepleri, KVKK madde 11’de ayrıntılı olarak düzenlenmiştir. Ayrıca madde 13 ve devamında ise ilgili kişiye şikayet hakkı tanınmıştır.
Son olarak kişisel verilerinin hukuka aykırı kullanımı sonucunda kişilik hakları zarar görenlerin Medeni Kanun çerçevesindeki hakları saklıdır.
Kişisel Verilerin Korunması Kanunu, Avrupa Birliği’ne uyum kapsamında hazırlanmıştır. Kanun 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunun amacı, kişisel verilerin işlenmesinde;
- Anayasada öngörülen başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak
- Kişisel veri güvenliğini sağlamak
- Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak)
- Kişilerin mahremiyetini korumaktır.
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Tüzel kişilerle ilgili veriler kanun kapsamında değildir.
Kanun istisnaları bulunmakla birlikte, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapmamıştır. Kanunda öngörülen usul ve esasların bütün kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Hak ehliyetine sahip bütün bireylerde kişisel veri bilgileri işlenen gerçek kişiler olmaları nedeniyle Kanun kapsamındadır.