Makale

Günümüz dijital çağında, teknolojinin hızla ilerlemesiyle birlikte kişisel verilerin toplanması, işlenmesi ve saklanması süreçleri hem bireyler hem de veriyi uhdesinde bulunduran organizasyonlar için kritik bir hukuki mesele haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin mahremiyetini ve temel haklarını güvence altına alırken, verileri işleyen gerçek ve tüzel kişilerin uyması gereken yasal sınırları belirlemektedir. Uygulamada, hukuki ve cezai yaptırımlarla karşılaşmamak adına kanunun sistematiğinin eksiksiz kavranması şarttır. Bu bağlamda, kişisel veri, özel nitelikli kişisel veri ve ilgili kişi gibi kanunun asli yapı taşlarını oluşturan temel kavramların sınırlarının çizilmesi yasal uyum sürecinin zeminini oluşturur. Bununla birlikte, mevzuatın kalbini oluşturan ve emredici nitelikteki veri işleme ilkeleri, gerçekleştirilecek her türlü hukuki işlemin ana pusulası niteliğindedir. Bir KVKK uzmanı avukat perspektifiyle değerlendirildiğinde, sadece mevzuatın lafzının değil, ruhunun da tam anlamıyla kavranması, şeffaf ve hesap verebilir bir veri koruma politikasının inşası için mutlak bir hukuki zorunluluktur.

KVKK Çerçevesinde Kişisel Veri ve Türleri

Kanunun layıkıyla uygulanabilmesi için öncelikle koruma altına alınan yegane değerin, yani kişisel veri kavramının hukuki sınırlarının doğru tespit edilmesi gerekmektedir. Kanun koyucu, kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak oldukça esnek ve geniş bir yelpazede tanımlamıştır. İsim, soyisim ve T. C. kimlik numarası gibi doğrudan kimliği belirleyen bilgilerin yanı sıra, kişinin fizyolojik, ekonomik veya sosyal kimliğini yansıtarak dolaylı yoldan tespitine imkan tanıyan somut bilgiler de yasa kapsamında korunmaktadır. Bu genel tanımın dışında, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete zemin hazırlayabilecek nitelikteki verilere ise özel nitelikli kişisel veriler (hassas veriler) denilmektedir. Kişilerin ırkı, etnik kökeni, siyasi ve felsefi düşüncesi, sağlığı, cinsel hayatı, ceza mahkûmiyeti ile biyometrik ve genetik verileri bu dar kategoriye girer ve daha spesifik, ağırlaştırılmış bir hukuki korumaya tabidir. Hukuk uygulamaları bağlamında, her iki veri türünün işlenmesinde de ilgili kişi olarak adlandırılan gerçek veri sahiplerinin menfaatlerinin merkeze alınması temel hukuki gerekliliktir.

Veri Sorumlusu ve Veri İşleyen Statüleri

Kişisel verilerin korunması hukuku, verilerin hukuka aykırı işlenmesi neticesinde doğacak idari ve cezai mesuliyetin tespiti açısından veri sorumlusu ve veri işleyen statülerinin net bir ayrımına dayanır. Kanunda veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Hukuki süreçte hangi verinin, ne amaçla, hangi süreyle ve kiminle paylaşılacağına karar veren yegane irade veri sorumlusuna aittir ve işleme sürecinin sınırları bu irade ile çizilir. Öte taraftan, veri işleyen ise veri sorumlusunun verdiği yasal yetkiye dayanarak, münhasıran onun adına ve talimatlarıyla bu işlemleri yürüten gerçek veya tüzel kişidir. Veri işleyenin bu faaliyetlerde kendi adına bağımsız bir karar alma veya ticari menfaat sağlama hakkı kesinlikle bulunmaz. Uygulamada bu hukuki statü ayrımının doğru yapılması, veri güvenliği süreçlerinde yükümlülüklerin tespiti ve müteselsil sorumluluğun adil tayininde son derece kritik bir rol oynamaktadır.

Kişisel Verilerin İşlenmesine Yönelik Temel İlkeler

Kişisel verilerin işlenmesi, verilerin elde edilmesinden başlanarak kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya imhasına kadar geçen tüm hukuki ve teknik süreçleri kapsar. Bu süreçlerin tamamında, KVKK'nın 4. maddesinde özel olarak düzenlenen emredici nitelikteki veri işleme ilkelerine harfiyen uyulması hukuki bir zorunluluktur. Bu ilkeler, veri işleme şartları eksiksiz mevcut olsa bile, aksi bir eylemin doğrudan hukuka aykırı veri işleme olarak nitelendirilmesine yol açacak temel kaidelerdir. Veri sorumlularının kendi organizasyonlarında kurumsal bir uyum rehberi olarak kabul etmeleri gereken bu temel ilkeler şunlardır:

• Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme süreçlerinin veri sahibinin makul beklentilerini karşılaması ve ilgili kişinin yanılgısından haksız fayda sağlanmaması esasına dayanır.
• Doğru ve gerektiğinde güncel olma: Aktif özen yükümlülüğü gereğince, hukuki veya fiili kararlara dayanak teşkil eden verilerin hatalı olmamasını ve periyodik olarak güncel tutulmasını ifade eder.
• Belirli, açık ve meşru amaçlar için işlenme: Veri toplama amaçlarının yasal, şeffaf ve anlaşılır bir şekilde faaliyet öncesinde ortaya konmasıdır.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Sadece belirlenen yasal amaca ulaşmak için zorunlu olan verilerin işlenmesi, yani veri minimizasyonunun hukuken sağlanmasıdır.
• İlgili mevzuatta öngörülen veya amaç için gerekli süre kadar muhafaza edilme: Verilerin ileride kullanılabileceği gibi muğlak varsayımlarla yasadışı ve sınırsız süre saklanmasının önüne geçilmesidir.

Bir veri işleme faaliyetinin hukuka uygunluğu analiz edilirken, sadece yasal işleme şartlarının varlığı değil, sayılan bu genel ilkelere uygunluğun kesintisiz bir denetime tabi tutulması şarttır. İşlenen verinin niteliği ve bireylerin temel haklarına yapılabilecek olası müdahaleler göz önüne alındığında, bilhassa ölçülülük ve amaca bağlılık prensipleri adeta bir hukuki güvenlik sübabı işlevi görür. Veri sorumlularının, kendi bünyelerindeki bilgi akışını bu ilkeler merceğinden geçirerek yapılandırmaları, ağır idari para cezalarından ve silsile halinde gelebilecek tazminat davalarından korunmak için yegane yoldur. Hukuk uygulamasında sıkça karşılaştığımız veri ihlallerinin temelinde çoğunlukla amacı aşan veri kullanımı veya doğru ve güncel olmayan veriler üzerinden aleyhe karar tesis edilmesi yatmaktadır. Bu sebeple, söz konusu ilkeler sadece birer kanun metni olarak görülmemeli, hukuki uyumun dinamik ve yaşayan birer parçası olarak tüm şirket prosedürlerine tam anlamıyla entegre edilmelidir.