Makale
Bu makalede, hukuki boyutuyla kişisel veri kavramının unsurları ve hassas veriler incelenmektedir. Aynı zamanda veri işleme sürecinde gözetilmesi zorunlu olan hukuka uygunluk, ölçülülük, amaca bağlılık ve doğruluk gibi temel işleme ilkeleri, bilişim hukuku perspektifinden detaylı bir şekilde ele alınarak değerlendirilmektedir.
Bilişim Hukukunda Kişisel Veri Kavramı ve İşleme İlkeleri
Günümüzde bilişim sistemlerindeki hızlı gelişmeler ve internetin hayatımızın her alanına entegre olmasıyla birlikte, kişisel verilerin işlenmesi kaçınılmaz bir hukuki süreç halini almıştır. Sağlık, eğitim, bankacılık ve e-ticaret gibi pek çok sektörde bireylere hizmet sunulurken çok büyük boyutlarda veri toplanmakta ve bu veriler akıllı algoritmalar aracılığıyla sürekli analiz edilmektedir. Toplanan bilgilerin yasal sınırlar çerçevesinde muhafaza edilmemesi veya yetkisiz kişilerin eline geçmesi, bireylerin özel hayatın gizliliği ve anayasal güvence altındaki hakları üzerinde ciddi ihlal riskleri yaratmaktadır. Bu hukuki riskleri bertaraf edebilmek amacıyla kişisel verilerin yasal sınırlarının çizilmesi ve uyulacak evrensel prensiplerin netleştirilmesi büyük önem taşır. Bilişim hukuku uygulamaları kapsamında veri sorumlularının gerçekleştirdiği tüm faaliyetler, ancak kanunların öngördüğü temel işleme ilkeleri gözetildiğinde hukuka uygun kabul edilmektedir. Kurumların hukuki yükümlülüklerini kavraması adına bu kavramsal çerçevenin iyi analiz edilmesi şarttır.
Kişisel Veri Kavramı ve Temel Unsurları
Bilişim ve veri koruma hukuku bağlamında kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Hukuk uygulamalarında bu tanımın daraltılmadan oldukça geniş yorumlanması esastır. Bir bilginin yasal anlamda kişisel veri sayılabilmesi için üç ana unsurun bir araya gelmesi aranır. Bunlar; bilginin mevcudiyeti, bu bilginin belirli veya belirlenebilir bir kişiye ait olması ve bilgi ile kişi arasında somut bir illiyet bağının bulunmasıdır. Kişinin adı ve kimlik numarası gibi doğrudan kimliğini gösteren bilgilerin yanı sıra; yaşı, motorlu taşıt plakası, ses kayıtları ve internet ortamındaki tıklama akışlı veriler dahi kişiyi dolaylı yoldan belirlenebilir kıldığı müddetçe hukuki koruma altındadır. Bilginin nesnel veya öznel olması ya da doğruluğunun kanıtlanmamış olması, o verinin hukuki statüsünü değiştirmez.
Hassas (Özel Nitelikli) Kişisel Veriler
Genel nitelikli bilgilerin yanı sıra, hukuki düzlemde çok daha sıkı bir koruma rejimine tabi tutulan özel nitelikli kişisel veriler bulunmaktadır. Bireyin ırkı, etnik kökeni, siyasi düşüncesi, dini ve felsefi inançları, sendika üyeliği, sağlık durumu, cinsel hayatı, ceza mahkumiyeti ve biyometrik verileri bu hassas veri kategorisini oluşturur. Bu tür verilerin yetkisiz işlenmesi ve kötüye kullanılması, ilgili kişinin toplum içinde ayrımcılığa maruz kalmasına veya telafisi imkansız manevi zararlara uğramasına neden olabilmektedir. Uzman bir bilişim avukatı perspektifiyle değerlendirildiğinde, kural olarak bu verilerin otomatik sistemlerle işlenmesi kesinlikle yasaklanmış olup, ancak hukuki metinlerde öngörülen katı istisnai şartların sağlanması veya ilgili kişinin özgür iradesiyle verdiği açık rızanın mevcudiyeti durumunda işlenebilmesine imkan tanınmıştır.
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
Kişisel verilerin işlenmesi; verilerin otomatik ya da manuel yollarla ilk defa elde edilmesinden başlayarak kaydedilmesi, depolanması, değiştirilmesi ve aktarılması gibi süreçlerin tümünü kapsar. Bu faaliyetlerin tamamında veri sorumluları, hukuki güvenceyi tesis etmek amacıyla emredici olarak düzenlenen temel işleme ilkeleri doğrultusunda hareket etmek zorundadır. Söz konusu ilkelerin tümü birbirine bağlı olup, herhangi birinin ihlal edilmesi bütün veri işleme zincirini hukuka aykırı hale getirir. Veri sorumlularının veri tabanı tasarımlarını ve iş süreçlerini bu prensipler temelinde inşa etmeleri, muhtemel idari yaptırımların ve tazminat davalarının önüne geçebilmek adına kritik bir öneme sahiptir. Bu prensipler sadece verinin toplandığı an değil, sistemde muhafaza edildiği ve nihayetinde imha edildiği aşamaya kadar sürekli uygulanmalıdır.
Veri koruma hukukunun temelini oluşturan ve uygulanmaması halinde doğrudan hukuka aykırılık teşkil eden genel işleme prensipleri aşağıda sıralanmıştır:
- Hukuka ve Dürüstlük Kurallarına Uygunluk: İşlemlerin mevcut yasalara, evrensel hukuk normlarına ve objektif özen yükümlülüğüne uygun, şeffaf bir şekilde yürütülmesidir.
- Doğru ve Gerektiğinde Güncel Olma: Hatalı verilerin bireyin aleyhine sonuç doğurmasını yasal olarak engellemek amacıyla bilgilerin sürekli güncel ve eksiksiz tutulması zorunluluğudur.
- Belirli, Açık ve Meşru Amaçlar: Verilerin hangi somut yasal dayanakla ve spesifik olarak hangi amaçla toplandığının en başından itibaren belirli olması şartıdır.
- Amaca Bağlantılı, Sınırlı ve Ölçülü Olma: İşleme faaliyetinin minimum veri prensibiyle yapılması, makul olmayan gereksiz verilerin sistemlere kaydedilmemesidir.
- Gerekli Süre Kadar Muhafaza Edilme: Toplanan verilerin, hukuki işlenme amacının tamamen ortadan kalkmasıyla birlikte gecikmeksizin silinmesi, yok edilmesi veya geri döndürülemez biçimde anonim hale getirilmesidir.