Adli BilişimBilişim ve Teknoloji Hukuku

Hukukta “Kişisel Veri”

Kişisel Verilerin Hukukta Yeri ve Korunması

“Kişisel Veri” Nedir?

Kişisel Veri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu‘nun “tanımlar” bölümünde ifade edildiği gibi, “kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi” ifade eder. Kişinin ilgili veri ile “belirlenebilir” olması, veri ile kişi arasında “ilişiklendirme” gerektirir ve objektif bir ilişik kurma halidir. Kişiden kişiye göre değişiklik göstermemektedir.

Kişinin adı soyadı, doğum tarihi, yerleşim yeri gibi kimliğini ortaya çıkarmaya yarar bilgilerinin yanı sıra, kişinin fiziki özellikleri, sosyal konumu, toplumsal ve bireysel ilişkilerine dair bilgiler, ekonomik bilgileri, eğitim bilgileri, ailevi bilgileri gibi pek çok ayırt etmeye yarar bilgi de kişisel veri kapsamına alınır.

ÖZEL NİTELİKLİ KİŞİSEL VERİ : Kullanılması halinde sahibine zarar verebilecek hassasiyete sahip kişisel verilerdir. Bu kişisel verilerin işleme muhafaza etme esas ve usullerinin ihlali durumunda ilgili kişilerin ayrımcılığa maruz kalabilecek olmaları sebebiyle işlenmeleri özel bazı şartlar veya açık rıza ile mümkündür. Özel nitelikli kişisel veriler Kanunda sınırlı olarak sayılmıştır. Genişletilmesi ve daraltılması mümkün değildir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

“Kişisel Veri” Ne Değildir?

Yukarıdaki kısa tanımda görüldüğü üzere, sadece “gerçek kişilere” ait veriler kişisel veri olabilmekte ve bu doğrultuda, tüzel kişilere ilişkin veriler, Kişisel Veri Hukukunun kapsamına alınmamakta, diğer özel yönetmelikler ve ticaret mevzuatı ile koruma altına alınmaktadır.

Tabi burada yasalarımızdaki kişisel veri tanımını hatırlayacak olursak, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, tüzel kişiliğe ait bu sözü edilen veriler de 6698 Sayılı Kanun kapsamında diğer kişisel veriler ile aynı şekilde koruma altına alınmaktadır.

Uluslararası Üst Normlarda “Kişisel Veri”

Avrupa İnsan Hakları Sözleşmesi (ECHR – European Convention of Human Rights) – 1950

“Madde 8 – “Özel ve Aile Hayatına Saygı Hakkı”
1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.

2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.” 

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR – General Data Protection Regulation) – 2016

99 maddeli Tüzük, Avrupa Birliği çerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine ilişkin temel ve ayrıntı esasları belirlemektedir. Tüzük, verisini koruduğu gerçek kişiyi “özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen kişi” olarak belirlemektedir.

Tüzüğün Belirlediği Kişisel Veri Koruma Temel İlkeleri:

  • Hukuka Uygunluk: “Kişisel veriler, veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenir.”
  • Sınırlı Amaç: “Kişisel veriler, belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçlarıyla veya istatistiki amaçlarla işleme faaliyeti, 89(1) maddesi uyarınca, baştaki amaçlara aykırı şekilde değerlendirilmez.”
  • Minimize Etme: “işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır.”
  • Doğruluk: “doğrudur ve, gereken şekilde, güncel tutulur; işlendikleri amaçlar göz önünde tutularak, doğru
    olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla
    ilgili makul tüm adımlar atılmalıdır.”
  • Bütünlük ve Gizlilik: “yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin
    güvenliğini sağlayan bir şekilde işlenir.”
  • Sınırlı Süre: “veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesinisağlayan bir şekilde tutulur; 89(1) maddesi uyarınca yalnızca kamu yararına arşivleme amaçlarıyla, bilimsel veya tarihi araştırma amaçlarıyla ya da istatistiki amaçlarla işlendikleri sürece ve veri sahibinin hakları ve özgürlüklerinin güvence altına alınması için bu Tüzük uyarınca gereken uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanmasına tabi olarak, kişisel veriler daha uzun süreler boyunca saklanabilir.”

Diğer Önemli Düzenlemeler

Türk Hukukunda Kişisel Veri

6698 Sayılı Kişisel Verileri Koruma Kanunu – 2016

İlgili Kanun, kişisel verilerin işleme ve saklama yetki ve yükümlülüğü bulunan tarafların hangi koşul ve ilkeleri gözeteceğini, yetki ve sorumluluk kapsamını, verilerin yurt dışına aktarılma esaslarını, denetim organlarının (KVKK) çalışma usul ve esaslarını hükme bağlayan, ülkenin ilk üst kişisel veri normu olma özelliği taşıyan Kanundur.

YAZARIN NOTU: İlgili Kanun giriş kısımlarında temel veri işleme ve saklama ilkeleri bağlamında üst normlara uygunluğu gözetmiş olmakla birlikte, 5. maddesinin 2. fıkrasında, Kanunlarda açıkça öngörülmesi halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği serbestisini tanıyarak, çok temel normlardan olan veri işleme esaslarını, yerel normlarda Kanun düzeyinde sınırsız ve izne tabi olmayan hale getirerek kişisel veri sahiplerini muhtemel büyük suistimallerle karşı karşıya bırakmaktadır. Zira yasama organınca onaylanarak yürürlüğe konan herhangi bir Kanun vasıtası ile serbestlik tanınarak, sadece ilgili Kanunun soyut norm denetimi vasıtası ile hukuka uygunluğunun incelenebileceğini, veri sahibinin, işleyen ve saklayan merciin ilgili maddeyi dayanak göstererek hukuka aykırı bir işleme yapması halinde 6698 Nolu Kanunun korumasından mahrum kalmasının yolu dolaylı olarak açılmaktadır.

6698 Sayılı Kanunla kurulan, “kişisel veri üst denetmeni” statüsündeki Kişisel Verileri Koruma Kurumu, aynı isme sahip Kurul vasıtası ile, veri işleme saklama gibi Kanun kapsamındaki faaliyetlerin denetimini re’sen veya şikayet üzerine yapan ve karara bağlayan Kuruldur.

Kurum, web sitesinde Şikayet Modülü oluşturarak, veri sahibi kişilerin, herhangi bir kişi kurum ve yapı tarafından kabul olunan Uluslararası Sözleşme ve protokollere, 6698 Sayılı Kanuna, Kanun dayanak gösterilerek çıkarılan yönetmeliklere ve Kurumun iç yönergelerine uygun olmayan şekilde veri saklama, işleme yapıldığı şeklindeki şikayetlerini online olarak oluşturmalarını sağlamıştır. Şikayet modülüne erişim için tıklayınız.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)

6698 sayılı Kanun 16ncı maddesi ile, kişisel veri işleyen gerçek ve tüzel kişi “veri sorumluları”nın kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması VE sicilde “veri envanteri oluşturması” zorunluluğu getirilmiştir. Bu sisteme, kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapmaktadır ve bu yükümlülüğe uyulmaması sıkı idari yaptırımlara bağlanmıştır.

VERBİS’E KAYIT: Kişisel Verileri Koruma Kurumunun resmi internet sitesi olan www.kvkk.gov.tr ‘ye giriş yapıldıktan sonra Ana sayfada yer alan VERBİS butonuna tıklanır ve gerekli alanlar doldurularak VERBİS’e kaydolunur. Sicile kayıt zorunluluğu bulunan “veri sorumluları” için üç ayrı başlık oluşturulmuş olup, veri sorumlusu;

  • Yurtiçinde Yerleşik Gerçek / Tüzel Kişi
  • Yurtdışında Yerleşik Gerçek / Tüzel Kişi 
  • Kamu Kurum ve Kuruluşları seçeneklerinden hangisi yapısına uygun ise o yapıya giriş yapar.

VERBİS sicili, veri sorumluları için;

  • Veri sorumlusu yönetici girişi, veri sorumlusu temsilcisi bildirimi, kamu kurumlarınca belirlenen koordinasyon görevlisinin bildirimi konularında sistem üzerinden bilgi girişi yapılarak başvuru formu oluşturulması,
  • Başvuru formunun Başkanlığımıza ulaşması üzerine sistem üzerinden kullanıcı adı ve parola oluşturularak veri sorumlusuna iletilmesi,
  • Kullanıcı adı ve parola kullanılarak sisteme giriş yapılması, irtibat kişisi atamasının yapılması, veri sorumlusunun işlemekte olduğu kişisel verilerle ilgili irtibat kişisi tarafından veri kategorileri, işleme amaçları, saklama süreleri, alınan teknik ve idari tedbirler, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri konusu kişi gruplarına ait kategorik bazda bilgi girişi yapılarak kayıt yükümlülüğünün yerine getirilmesi, girilen bilgilerde değişiklik yapılabilmesi,

Ayrıca sicilde ilgili kişilerce VERBİS’te yer alan kategorik bazdaki bilgilerin görülebilmesi (kamuya açıklık), fonksiyonlarına sahiptir.

Kişisel Verilerle İlgili Sıkça Sorulan Sorular:

⇒ Tüzel Kişilerde Veri Sorumlusu Kimdir?

Tüzel kişiliğin bizzat kendisi “veri sorumlusu”dur. Aksine yönelik olarak şirket Yönetim Kurulu Başkanına, Yasal Temsilcisine (avukat), şirket icra kurullarına yahut diğer gerçek ve tüzel kişilere yapılan sorumluluk devirleri hükümsüzdür. Aynı şekilde, veri işleme saklama ve diğer faaliyetler için görevlendirilen kişiler de veri sorumlusu yapılamaz.

⇒ “Açık Rıza” Nedir?​

6698 Sayılı Kanun çerçevesinde “açık rıza”, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, kapsamını bilerek ve açıkça özgür iradesi ile onay vermesi anlamını taşımaktadır. Verilecek açık rıza herhangi bir şekil şartına (yazılı, sözlü, online) bağlı olmamakla birlikte, uyuşmazlığın varlığı halinde söz konusu rızanın alındığına dair ispat yükü Veri Sorumlusu’na aittir.

⇒ VERBİS’in Kamuya Açık Tutulması İle Veriler De Kamuya Açık Hale Gelir Mi?

VERBİS’te kamuya açık halde tutulan bilgiler kişilere ait bilgiler (kişisel veriler) değil kategorik bazda üst başlıklar halinde bilgilerdir. Herkes sadece sicile kayıtlı veri sorumlusunun işleme ve saklama yaptığı verilerin “kategorisini” ve yaptığı işlemlerin “niteliğini” sicile kaydetmektedir.

⇒ “Aydınlatma Metni”nin Kapsamı Ne Olmalıdır?

Kişisel verilerin “elde edilmesi” sırasında veri sorumlusu (veya yetkilendirdiği kişi), veri erişimi sağlayan kişilere;

  • Veri sorumlusunun (ve varsa temsilcisinin) kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. “Aydınlatma Metni” olarak da tanımlanan bu bilgilendirmeyi “veri sorumlusu” sözlü ve yazılı olarak yapabilmekte olup, sözlü bilgilendirme tek sefer ulaşılabilir şekilde olmamalı, kişisel veri sahibi ilgili bilgilendirmeye istediğinde ulaşabilmelidir.

⇒ Kişisel Veri Nasıl “Anonim Hale Gelir”?

Kişisel verilerin belli alanları, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde ve verinin niteliğine göre (yazı, rakam, resim, filigran vb.) silinmesi, üstlerinin çizilerek, boyanarak, yıldızlanarak (****) “Anonim” hale getirilebilmektedir.

⇒ Kişisel Verileri Koruma Kanunu Kapsamında 2024 Yılı İtibariyle Uygulanan İdari Para Cezaları Ne Kadardır?

Kanun kapsamında, Süresi içerisinde sicile kayıt olmama, aydınlatma yükümlülüğünü yerine getirmeme, Kurul kararlarına uymama, Kanuna aykırı veri işleme gibi aykırılıkların tespit edilmesi durumunda uygulanan idari para cezası tutarlarına, Kişisel Verilerin Korunması Kurulu’nun güncel olarak yayımladığı Karşılaştırmalı Cezalar Tablosundan ulaşabilirsiniz.

AVUKAT DESTEĞİ

Randevu almak için çalışma saatleri içerisinde aşağıdaki telefon aracılığı ile ulaşabilir veya aşağıdaki adrese mail atabilirsiniz.

Hafta içi: 09:00 – 21:00
Cumartesi: 10:00 – 18:00

Gizlilik

Avukatlık mesleğinin en önemli etik ilkelerinden biri gizlilik olup, hukuk büromuz; 1136 sayılı Avukatlık Kanunu ile belirlenen gizlilik ve sır saklama ilkesini büyük bir özen ve hassasiyet göstererek uygulamaktadır. Bununla beraber ofisimiz, müvekkillere ait bilgi, belge ve verileri sır tutma yükümlülüğü ve veri sorumluluğu kapsamında gizli tutmakta, üçüncü kişilerle ve kurumlarla hiçbir durumda ve hiçbir şekilde paylaşmamaktadır. Bu bağlamda ofisimiz, dava dosyaları ile ilgili sır saklama yükümlülüğüne uyulacağını yazılı olarak da ilke edinmiştir.

 

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu