KİŞİSEL VERİLERİN KORUNMASI
Güncelleme tarihi: 18 Mar 2021
Günümüz teknoloji dünyasındaki gelişmelerle birlikte bireylere ait çeşitli verilere erişim düzeyi oldukça artmış ve bu veriler kolaylıkla işlenebilir hale gelmiştir. Bilgiye erişimin kolaylaşması olumlu gelişmelerin yanında hak ihlalleri açısından da büyük riskleri beraberinde getirmiştir. Her geçen gün yeni bir boyut kazanan siber suçlardaki artışa bağlı olarak dijital dünyada bir düzenin oluşması ve korunması için hukuki bir düzenlemenin varlığı zorunludur. Bireyin temel hak ve özgürlükleri arasında yer alan kişisel verilerin korunması hakkı, aynı zamanda hukuk devleti olmanın da bir gereğidir.
Anayasa Mahkemesi’nin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı Kararında; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı [..…]” amaçladığı belirtilmiştir.
Bu doğrultuda kişisel verilerin korunması ve bilişim teknolojilerinin gelişmesiyle oluşabilecek riskleri önlemek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
KVKK ile kişisel verilerin; amaç dışı işlenmesi, yetkisiz kişilerin erişimine açılması, kötüye kullanılması sonucu kişisel hakların ihlal edilmesi gibi hukuka aykırı durumların ortaya çıkmasının önüne geçilmesi hedeflenmektedir.
Bu Kanun ile kişisel verilerin hangi şartlarda işlenebileceği öngörülmüş ve bu duruma aykırı bir şekilde veri işlenmesine ilişkin denetim mekanizmaları ve yaptırımlar oluşturulmuştur.
KİŞİSEL VERİ KAVRAMI
Kişisel veri, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.
Kişisel veri kavramı; bir kimsenin kimliği, etnik kökeni, doğum tarihi, doğum yeri, parmak izi, fiziksel özellikleri, sağlık durumu, cinsel yaşamı, aile hayatı, telefon numarası, ses kaydı gibi bilgileri kapsamaktadır.
Kanun’daki tanıma göre kişisel verilerin temelinde 2 ana unsur bulunmaktadır. Bunlar:
1-Bilginin gerçek kişiye ilişkin olması
Yalnızca gerçek kişilere ait kişisel veriler 6698 sayılı Kanun’un koruması altındadır. Tüzel kişilere ait kişisel verilerin korunması kural olarak bu Kanun’un kapsamında değildir. Gerçek bir kişiyle ilişkilendirilemeyen bilgiler, ancak doğrudan ya da dolaylı olarak belirli bir gerçek kişiyle ilişkilendirilebilirse kişisel veri olarak kabul edilir. Bu bilgiler gerçek bir kişiyle ilişkilendirilemediği takdirde KVKK kapsamında korunması mümkün değildir.
2- Kimliğin belirli veya belirlenebilir olması
Bir kişinin “kimliği belirli” kabul edilebilmesi için bir topluluk içerisindeyken bu topluluğun diğer üyelerinden ayırt edilebilmesi gerekir. Kişinin kimliğinin belirli hale gelmesinin en yaygın örneklerinden biri olan ad soyad bilgisi her zaman kişisel veri olarak değerlendirebilmek için yeterli değildir.
Örneğin adınız soyadınız Mustafa Yılmaz ise binlerce Mustafa Yılmaz olduğu için ad soyad bu durumda tek başına kişisel veri olarak kabul edilemez. Ancak belirtilen ad soyad ile TC kimlik numarası, telefon numarası ya da fotoğraflarla isim arasında bağlantı kurulabilirse kişisel veri olarak kabul edilebilir.
“Kimliği belirlenebilir” ifadesi ise kişinin kimliği henüz belirlenmiş olmasa da kimliğinin belirlenmesinin mümkün olması anlamına gelmektedir. Kişinin belirlenebilirliği somut durumun özelliklerine göre farklılıklar gösterebilir. Bazı durumlarda kişi, adı ve soyadıyla veya kimlik numarasıyla doğrudan belirlenebilir olduğu gibi, içinde bulunduğu somut olayın özelliklerine göre bu kişiyle ilgili meslek bilgisi, yaş bilgisi, göz rengi, boyu, ağırlığı ve benzer bilgiler ile veya bu bilgilerin kombinasyonu sayesinde bu kişinin belirlenebilir olması mümkün kılınabilir.
KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin işlenmesi, veriler üzerinde yapılan her türlü işlemi kapsamaktadır. Buna göre verilerin kısmen ya da tamamen kaydedilmesi, değiştirilmesi, aktarılması, kopyalanması, depolanması ve yeniden düzenlenmesi gibi hususlar kişisel verilerin işlenmesine örnek teşkil etmektedir.
Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızası ile işlenebilir.
Kanun’un 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bu durumda belirli bir konu ile sınırlandırılmayan genel nitelikteki rızalar hukuken geçersizdir.
İlgili kişinin verdiği rızayı geri alma hakkı da bulunmaktadır. Kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan kişi dilediği zaman açık rızasını geri alabilir. Ancak geri alma işlemi ileriye yönelik sonuç doğurur. Geri alma işlemine kadar işlenen tüm veriler hukuka uygun iken geri alma beyanından sonra verilerin işlenmeye devam etmesi hukuka aykırı bir durum oluşturacaktır.
Kişisel verilerin işlenmesi için gereken tüm şartlar, Kanun’un 5.maddesinde sınırlı sayma yoluyla sayılmıştır. Bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır.
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
-İlgili kişinin kendisi tarafından alenileştirilmiş olması.
-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Veri işleme faaliyeti, açık rıza dışındaki şartlardan birine dayanılarak yürütülebileceği halde ilgili kişiden açık rıza alınması hakkın kötüye kullanımı niteliğindedir. İlgili kişi tarafından verilen açık rızanın geri alınması durumunda belirtilen kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetinin sürdürülmesi hukuka ve dürüstlük kurallarına aykırı bir durum ortaya çıkarmaktadır.
KİŞİSEL VERİLERİN KORUNMASINDA TEMEL İLKELER
Uluslararası alanda kabul gören ve pek çok ülkede uygulanan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel verilerin korunması ile ilgili birçok hukuksal metinde verilerin kaliteli olması açısından genel şartları sağlaması gerektiği belirtilmektedir. Kişisel verileri işleme sırasında dikkate alınması gereken ilkeler Kanun’un 4.maddesinde sayılmıştır. Bunlar:
· Hukuka ve dürüstlük kurallarına uygun olma,
· Doğru ve gerektiğinde güncel olma,
· Belirli, açık ve meşru amaçlar için işlenme,
· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Özel nitelikli kişisel veriler, başkaları tarafından öğrenilmesi halinde ilgili kişinin ayrımcılığa maruz kalma ve mağduriyet yaşama olasılığı bulunan verilerdir. Bu verilerin taşıdığı riskler göz önüne alındığında diğer verilere göre daha sıkı şartlar altında korunması gerekmektedir. Bu Kanun’da sınırlı sayma yoluyla belirtilmiştir.
Kişisel Verilerin Korunması Kanunu’nun 6.maddesine göre “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veridir.
Özel nitelikteki kişisel veriler kural olarak açık rızanın varlığı halinde işlenebilir. Ancak Kanun özel nitelikli kişisel veriler arasında da bir ayrıma giderek bu duruma bir istisna getirmiştir.
İlgili maddenin birinci fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda açıkça öngörülen hâllerde ilgili kişinin açık rızası olmadan da işlenebilecektir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ilgilinin açık rızasına gerek duyulmaksızın ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Ayrıca Kanun ile özel nitelikli kişisel verilerin işlenmesi hususunda Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir.