Anasayfa/ Makale/ Kişisel Veri Kavramı ve Hukuki İşleme İlkeleri

Makale

Kişisel verilerin korunması, dijitalleşen dünyada bireylerin temel hak ve özgürlüklerinin güvence altına alınması adına kritik bir hukuki zorunluluktur. Bu makalede, kişisel veri kavramının hukuki unsurları ve 6698 sayılı Kanun kapsamında veri işlemede uyulması gereken temel ilkeler, uzman bir hukuki perspektifle detaylıca incelenmektedir.

Kişisel Veri Kavramı ve Hukuki İşleme İlkeleri

AÇIK RIZA ÖZEL HAYATIN GİZLİLİĞİ HUKUKA AYKIRILIK KVKK

Dijitalleşmenin hayatın her alanına yayılması ve bilgi teknolojilerindeki hızlı gelişim, kişisel verilerin korunması ve güvenliğinin sağlanmasını hem bireyler hem de veri sorumlusu kurumlar için hayati bir hukuki mesele haline getirmiştir. Ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin hukuka uygun bir şekilde toplanması, işlenmesi ve muhafaza edilmesine ilişkin temel sınırları ve veri sorumlularının yükümlülüklerini net bir şekilde çizmektedir. İnsanların doğa olaylarından korunma içgüdüsünün zamanla diğer insanlardan ve ihlallerden korunma ihtiyacına dönüşmesi, özel hayatın gizliliği kavramını hukuk sisteminin merkezine yerleştirmiştir. Gelişen teknoloji karşısında klasik hukuki koruma yöntemlerinin yetersiz kalması, veri güvenliğini sağlamak amacıyla kanun gibi özel yasal düzenlemelerin hayata geçirilmesini zorunlu kılmıştır. Bu hukuki rehberde, bir veriyi yasal anlamda kişisel veri yapan temel unsurlar ile veri işleme faaliyetlerinin hukuka uygunluğunu temin eden katı ve emredici temel ilkeler, hukuk uygulamaları ve mevzuat bağlamında ele alınmaktadır.

Hukuki Boyutuyla Kişisel Veri Kavramı ve Unsurları

Kanun uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak oldukça geniş ve çerçeve niteliğinde tanımlanmıştır. Bu geniş kapsamlı normatif tanımın temel gerekçesi, sürekli gelişen teknolojiyle birlikte ortaya çıkabilecek yeni kavramların yasal koruma şemsiyesi altında kalmasını sağlamaktır. Hukuki bağlamda bir bilginin kişisel veri niteliği taşıyabilmesi için üç temel unsurun bir araya gelmesi aranır: gerçek kişi unsuru, bilgi unsuru ve bilginin kişiye dair olma unsuru. Yasa koyucu, veri koruma hakkını tüzel kişilere veya ölen kişilere değil, yalnızca hayatta olan gerçek kişilere tanımıştır. Bununla birlikte, bir bilginin yasal anlamda korunabilmesi için o bilgiye bir anlam yüklenmesi ve kişinin kimliğini doğrudan veya dolaylı yollardan, adeta bir yapboz parçası gibi birleştirildiğinde belirlenebilir kılması şarttır. Bilginin içeriği, toplanma amacı veya doğurduğu hukuki sonuç itibarıyla kişiyle bağlantılı olması, o veriyi hukuken kişisel veri statüsüne sokar.

Kişisel Verilerin Hukuki Çeşitleri: Genel ve Özel Veriler

Hukuk sistemimizde kişisel veriler, içerdikleri hassasiyet ve hukuki koruma kalkanının derecesine göre genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler olmak üzere iki temel kategoriye ayrılmaktadır. Bireyin kimliğini, fiziksel, ekonomik veya sosyal durumunu doğrudan veya dolaylı olarak belirlemeye yarayan ad, soyad, telefon numarası, IP adresi veya e-posta gibi bilgiler genel nitelikli verilerdir. Buna karşın, kanunda tahdidi olarak sayılan ve bireylerin temel haklarına doğrudan etki edebilecek mahiyetteki özel nitelikli kişisel veriler, çift katlı bir hukuki korumaya tabi tutulmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, sağlığı, cinsel hayatı, biyometrik ve genetik verileri gibi mahremiyetin özünü oluşturan bilgiler, ifşa edilmeleri halinde ayrımcılığa veya hak ihlallerine yol açma potansiyeli taşıdıkları için, işlenmeleri çok daha katı hukuki şartlara ve açık rıza istisnalarına bağlanmıştır.

KVKK Kapsamında Kişisel Verilerin İşlenmesine İlişkin İlkeler

Hayatın olağan akışı ve ticari yaşamın gereklilikleri, kişisel verilerin işlenmesini kaçınılmaz kılsa da bu işlemlerin keyfi olarak gerçekleştirilmesi hukuken mümkün değildir. İlgili kanun, kişisel veri işleme sürecinde uyulması gereken emredici ilkeleri net bir şekilde ortaya koyarak şeffaf ve adil bir veri işleme faaliyeti hedefler. Bu ilkeler, veri sorumlularının uymakla mükellef olduğu anayasal ve yasal bir sınır çizer. Bir veri işleme faaliyetinin hukuka uygun sayılabilmesi için sadece kanuni dayanağının olması yetmez; aynı zamanda hukuka ve dürüstlük kuralına uygunluk ilkesi gereğince, ilgili kişinin makul beklentilerinin gözetilmesi ve şeffaflık ilkesinin ihlal edilmemesi zorunludur. İşlenen verilerin doğru ve gerektiğinde güncel olması, kişilerin eksik veya hatalı veriler nedeniyle maddi ya da manevi zarara uğramasını engellemek adına veri sorumlusuna aktif bir kontrol yükümlülüğü yükler.

Belirli, Meşru Amaçlar ve Sınırlılık

Veri sorumlusu, veri işleme sürecine başlamadan önce işleme amacını açık, belirli ve meşru bir zemine oturtmak zorundadır. Hedeflenen amaçların ilgili kişiye terminolojik olmayan, anlaşılır bir dille açıklanması, yasal aydınlatma yükümlülüğünün bir gereğidir. Toplanan veriler, yalnızca başlangıçta belirlenen bu amaçlarla bağlantılı, sınırlı ve ölçülü olmak zorundadır. Yargı kararlarında ve hukuki doktrinde veri minimizasyonu olarak adlandırılan bu ilke, amaca ulaşmak için gerekenden fazla verinin toplanmasını yasaklar. İhtiyaç dışı verilerin işlenmesi hukuka aykırılık teşkil eder. KVKK sistematiğinde kişisel veri işlemenin temel ilkelerini şu şekilde sıralamak mümkündür:

  • Hukuka ve dürüstlük kurallarına uygun işlem yapılması.
  • İşlenen verilerin sürekli olarak doğru ve güncel tutulması.
  • İşleme amaçlarının belirli, açık ve meşru sınırlara dayanması.
  • İşlenen verilerin, amaçla bağlantılı, sınırlı ve ölçülü şekilde toplanması.
  • Verilerin yalnızca yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.
4 dk okuma Yayınlanma: Güncelleme: