Makale
Bilişim sistemlerinin yaygınlaşmasıyla hayatımızın merkezine yerleşen kişisel veri kavramı, hukuki bir değer olarak koruma altına alınmıştır. Bu makalede, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel verinin hukuki niteliği, temel unsurları ve mevzuattaki yeri kapsamlıca incelenmektedir.
Bilişim Hukukunda Kişisel Veri Kavramı ve Kapsamı
Günümüzde teknolojinin hızla gelişmesi ve kitle iletişim araçlarının kullanımının artması, bilişim sistemlerini ticari ve kamusal alanın vazgeçilmez bir parçası haline getirmiştir. Dijitalleşme süreciyle birlikte hayatımızın her alanına temas eden kişisel veri kavramının hukuki bir zeminde tanımlanması ve korunması zaruri bir ihtiyaç olarak karşımıza çıkmaktadır. Bilişim hukuku pratiğinde en sık karşılaşılan konulardan biri olan kişisel veriler, temel hak ve özgürlüklerin korunması bakımından da kritik bir öneme sahiptir. Hukukumuzda, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ulusal ve uluslararası birçok mevzuatta düzenlenen bu kavram, en genel tanımıyla kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda, bir bilginin kişisel veri niteliği taşıyıp taşımadığının tespiti, hukuki uyuşmazlıkların çözümünde ve işletmelerin uyum süreçlerinde temel referans noktasını oluşturmaktadır.
Kişisel Verinin Temel Unsurları
Bir bilginin kişisel veri olarak kabul edilebilmesi için mevzuatımızda ve yargı içtihatlarında belirlenen belirli unsurları bünyesinde barındırması gerekmektedir. Uzman bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, kişisel verinin üç temel unsurdan oluştuğu görülmektedir: bilgi, gerçek kişi ve belirlenebilirlik. Bu unsurların varlığı, bilginin korunma kapsamına girip girmeyeceğini tayin eder. Öncelikle, kanun koyucu "her türlü bilgi" ifadesini kullanarak koruma alanını olabildiğince geniş tutmuştur. Bilginin gizli, herkesçe bilinen, objektif veya sübjektif, hatta doğru ya da yanlış olmasının onun kişisel veri niteliğine bir etkisi bulunmamaktadır. Verinin elektronik bir bilişim sisteminde veya fiziksel bir dosyada yer alması da durumu değiştirmez. Kişinin adı, soyadı, T. C. kimlik numarası gibi doğrudan kimliğini ortaya koyan bilgiler kişisel veri olduğu gibi, tek başına kimliği belirlemese de diğer verilerle birleştirildiğinde kişiyi tespit edilebilir kılan IP adresi, konum verisi, araç plakası ve hatta ses kayıtları da bu kapsamda sıkı bir hukuki korumadan faydalanır.
Gerçek Kişi ve Belirlenebilirlik Kriteri
Hukuk sistemimizde kişisel veri kavramı, münhasıran gerçek kişileri koruma altına alan bir yapıya sahiptir. Tüzel kişilere, yani şirketlere veya vakıflara ait ticari sırlar veya kurum verileri, mevzuatımız kapsamında kişisel veri olarak değerlendirilmemektedir; zira tüzel kişilerin korunması ticaret hukuku gibi farklı hukuk disiplinlerinin konusudur. Korumanın başlayabilmesi için verinin ait olduğu kişinin sağ ve tam doğmuş bir gerçek kişi olması şarttır. Bununla birlikte, kişinin belirlenebilir olması kavramı son derece dinamiktir. Teknolojinin sağladığı imkanlar dikkate alınarak, makul bir çaba ve yöntem ile gerçek kişiyle doğrudan veya dolaylı bir bağlantı kurulabiliyorsa o veri kişisel veri sayılır. Anonim hale getirme işlemi uygulanan, yani başka verilerle eşleştirilse dahi hiçbir şekilde belirli bir kişiyle ilişkilendirilemeyecek hale gelen bilgiler kişisel veri olma özelliğini kaybeder. Ancak takma ad (psödönimleştirme) veya şifreleme yöntemleriyle gizlenen veriler, ek bilgilerle kişinin kimliğinin tespit edilebilme ihtimali bulunduğundan halen kişisel veri statüsünde değerlendirilmektedir.
Özel Nitelikli Kişisel Veriler ve Önemi
Bilişim hukukunda kişisel veriler, nitelikleri ve ihlal edilmeleri halinde doğuracakları zararın ağırlığı dikkate alınarak iki ana kategoriye ayrılmaktadır. Bunlardan ilki olan özel nitelikli kişisel veriler, kişinin temel hak ve özgürlüklerine, mahremiyetine doğrudan temas eden ve öğrenilmesi halinde ayrımcılığa veya mağduriyete yol açma riski yüksek olan hassas bilgilerdir. Kanun koyucu bu verilerin işlenmesine karşı kural olarak kesin bir yasaklayıcı tutum sergilemiş ve istisnai haller dışında katı bir koruma rejimi öngörmüştür. Kişinin açık rızası bulunmaksızın bu tür verilerin işlenmesi yasaklanmıştır ve kurallara uyulmaması halinde hem idari para cezaları hem de ağır ceza hukuku yaptırımları devreye girmektedir.
Kanunumuzda sınırlı sayım esasına göre belirlenen ve genişletilmesi hukuken mümkün olmayan özel nitelikli kişisel veriler şunlardır:
- Kişilerin ırkı, etnik kökeni ve siyasi düşüncesi.
- Felsefi inancı, dini, mezhebi veya diğer inançları.
- Kılık ve kıyafeti ile dernek, vakıf ya da sendika üyeliği.
- Sağlık durumu, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler.
- Gerçek kişilerin kimliğinin tespiti amacıyla işlenen biyometrik ve genetik veriler.
Kişisel Verilerin Hukuki Niteliği
Kişisel verilerin korunması hakkının hukuki temeli, bireyin insan onuru ve kişiliğini serbestçe geliştirebilme ideali ile yakından ilişkilidir. Her ne kadar Amerikan hukukunda verilerin ekonomik ve ticari değeri ön plana çıkarılarak mülkiyet hakkı veya fikri mülkiyet hakkı görüşleri savunulsa da, Avrupa ve Türk hukuk sisteminde insan hakkı görüşü hakimdir. Kişilerin sürekli olarak takip edilip gözetlendiği veyahut böyle bir baskı altında hissettiği bir ortamda, özgür kararlar alabilmesi ve toplumsal hayata sağlıklı bir şekilde katılabilmesi mümkün değildir. Bu sebeple kişisel verilerin korunması, Anayasamızda doğrudan özel hayatın gizliliği başlığı altında güvence altına alınmış ve bağımsız bir temel hak olarak hukuk sistemimize yerleşmiştir. Özellikle ifade özgürlüğü, haberleşme hürriyeti ve bilgi edinme hakkı gibi diğer temel insan haklarıyla sürekli bir etkileşim ve kimi zaman çatışma halinde olan kişisel veri hakkı, hukuki menfaat dengelerinin hassasiyetle gözetilmesini zorunlu kılan oldukça dinamik bir koruma kalkanı işlevi görmektedir.