Anasayfa/ Makale/ Kişisel Veri İşleme ve Temel Hukuki Kavramlar

Makale

Bu makale, 6698 sayılı Kişisel Verilerin Korunması Kanunu ekseninde kişisel veri, özel nitelikli kişisel veri, veri sorumlusu ve veri işleyen gibi temel hukuki kavramları detaylı bir biçimde analiz etmektedir. Açık rıza ve veri işleme şartları gibi uygulamada en çok karşılaşılan kavramlar, yasal düzenlemeler ışığında ele alınmaktadır.

Kişisel Veri İşleme ve Temel Hukuki Kavramlar

ÖZEL NİTELİKLİ KİŞİSEL VERİ AÇIK RIZA KVKK

Gelişen teknolojiler ve dijitalleşme ile birlikte, küresel düzeyde kişisel veri işleme faaliyetleri hiç olmadığı kadar yaygınlaşmış ve bu durumun hukuki bir zemine oturtulması zorunlu hale gelmiştir. Ülkemizde bu alandaki en temel yasal düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme süreçlerini belirli bir disiplin altına almayı ve bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. Bir hukuk bürosu perspektifinden bakıldığında, KVKK uyum süreçlerinin eksiksiz yürütülebilmesi için öncelikle mevzuatta yer alan temel kavramların doğru anlaşılması büyük önem taşımaktadır. Zira, ağır idari yaptırımlarla veya itibar kayıplarıyla karşılaşmamak adına, şirketlerin ve kurumların veri stratejilerini tamamen yasal sınırlar içerisinde gerçekleştirmesi gerekmektedir. Bu kapsamda, kişisel veri, özel nitelikli kişisel veri, veri sorumlusu ve veri işleyen gibi kavramların yasal çerçevesi ile açık rıza ve veri işleme şartları teknik ve hukuki açılardan detaylıca incelenmelidir.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları

6698 sayılı Kanun uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Bu tanım bağlamında, yalnızca bireyin ad, soyad veya doğum tarihi gibi doğrudan kimliğini ortaya koyan bilgileri değil; telefon numarası, motorlu taşıt plakası, IP adresi, özgeçmiş ve genetik bilgiler gibi kişiyi dolaylı olarak belirlenebilir kılan tüm veriler bu kapsama girmektedir. Hukuki uygulamalarımızda, koruma kapsamının kural olarak yalnızca gerçek kişilerle sınırlandırıldığı, tüzel kişilere ait verilerin ancak bir gerçek kişiyle ilişkilendirilebilmesi durumunda KVKK koruması göreceği unutulmamalıdır. Öte yandan, başkalarının öğrenmesi halinde kişinin hukuka aykırı ayrımcılığa maruz kalmasına veya mağduriyet yaşamasına yol açabilecek ırk, etnik köken, siyasi düşünce, felsefi inanç, sağlık, cinsel hayat, ceza mahkumiyeti ve biyometrik veriler kanun koyucu tarafından özel nitelikli kişisel veri olarak tanımlanmış ve yasal mevzuatta çok daha katı bir koruma rejimine tabi tutulmuştur.

Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki Farklar

Kişisel verilerin işlenmesi sürecinde sorumlulukların doğru tayin edilebilmesi için aktörlerin niteliklerinin yasal mevzuat uyarınca kesin olarak ayrıştırılması elzemdir. Bu minvalde veri sorumlusu, kişisel veri işleme faaliyetlerinin amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Gerek şirketler gibi özel hukuk tüzel kişileri gerekse idari kurumlar bu sıfatı haiz olabilirler. Dış ilişkilerde ve Kurul karşısında asıl muhatap ve hukuki sorumlu daima veri sorumlusudur. Diğer yandan veri işleyen, veri sorumlusunun vermiş olduğu yetki ve talimatlar çerçevesinde, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Pratik hayatta veri işleyen, bizzat veri sorumlusundan bağımsız hareket edemez; alınacak güvenlik önlemleri ve veri işleme metotları hususunda veri sorumlusunun direktiflerine tabidir. Ancak Kanun, veri güvenliğinin sağlanması ve hukuka aykırı erişimlerin önlenmesi amacıyla ilgili yükümlülüklerde her iki aktörün de müteselsilen sorumlu olduğunu hüküm altına almıştır.

Açık Rıza ve Kişisel Verilerin İşlenme Şartları

Hukuka uygun bir veri işleme faaliyetinden bahsedilebilmesi için kural olarak ilgili kişinin açık rızasının alınması gerekmektedir. Kanun'a göre açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirilmeye dayanan ve bireyin özgür iradesiyle açıklanan rıza olarak formüle edilmiştir. Bireyin iradesini sakatlayan, sözleşme kurulmasını veya hizmet verilmesini rıza şartına bağlayan genel nitelikteki belirsiz "torba rızalar" hukuken geçersiz sayılmaktadır. Ancak ticari ve sosyal hayatın işleyişi gereği kanun koyucu birtakım önemli istisnalar öngörmüştür. Kişisel verilerin açık rıza aranmaksızın hukuka uygun bir şekilde işlenebileceği durumlar Kanun'da şu şekilde listelenmiştir:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkansızlık sebebiyle rızasını açıklayamayacak durumda bulunan kişinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için verilerin işlenmesinin zorunlu olması
  • İlgili kişinin kendisi tarafından bilinçli bir iradeyle alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.
4 dk okuma Yayınlanma: Güncelleme: