Anasayfa Makale KVKK Kapsamında Veri Süjeleri ve İlgili Kişiler

Makale

Kişisel Verilerin Korunması Kanunu çerçevesinde veri süjesi veya ilgili kişi, kişisel verileri işlenen gerçek kişileri ifade eder. Özellikle çocukların veri süjesi olduğu durumlarda rıza ve velayet ilişkisi, üstün yarar ilkesiyle dengelenerek korunmalıdır. İlgili kişilerin verileri üzerinde anayasal hakları güvence altındadır.

KVKK Kapsamında Veri Süjeleri ve İlgili Kişiler

KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) UNUTULMA HAKKI (KİŞİLİK HAKLARI/AYM PERSPEKTİFİYLE) VELAYET ÖZEL HAYATIN GİZLİLİĞİ

Hukuk sistemimizde ve özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında en temel kavramlardan biri ilgili kişi veya evrensel adlandırmasıyla veri süjesi kavramıdır. Kanun koyucu, kişisel verileri işlenen gerçek kişileri "ilgili kişi" olarak tanımlayarak koruma altına almıştır. Anayasa'nın 20. maddesi ile güvence altına alınan kişisel verilerin korunmasını isteme hakkı, doğrudan doğruya veri süjesinin şahsına sıkı sıkıya bağlı bir haktır. Veri süjesi olmak için herhangi bir yaş, cinsiyet veya ehliyet şartı aranmaz; hak ehliyetine sahip olan her birey, doğumla birlikte hatta sağ doğmak koşuluyla ana rahmine düştüğü andan itibaren kişisel değerleri üzerinde hak sahibidir. Bireylerin teknoloji ve dijital platformlarla giderek daha fazla etkileşim kurduğu günümüzde, ilgili kişilerin kim olduğu ve yasal haklarını nasıl kullanabilecekleri sorunu hukuki uyuşmazlıkların merkezine yerleşmiştir. Özellikle irade beyanında bulunma yetkinliği tam olmayan bireylerin veri süjesi sıfatıyla sahip olduğu hakların sınırlarının belirlenmesi, KVKK uygulamalarında büyük bir önem taşımaktadır.

İlgili Kişi Kavramı ve Hak Ehliyeti

Bireylerin kişisel verileri üzerinde söz sahibi olması, Medeni Hukukumuzda yer alan hak ehliyeti kavramı ile doğrudan ilişkilidir. Türk Medeni Kanunu'nun 8. maddesi uyarınca, ayırt etme gücüne sahip olup olmadığına bakılmaksızın bütün insanlar hukuk düzeni sınırları içinde haklara ehil olmada eşittir. Dolayısıyla, ilgili kişi statüsüne sahip olmak için tam ehliyetli bir yetişkin olmak gerekmez. Yeni doğmuş bir bebek veya ayırt etme gücünden yoksun kısıtlı bir birey de veri süjesi olarak Kişisel Verilerin Korunması Kanunu korumasından bütünüyle yararlanır. Veri süjesinin temel hak ve özgürlükleri, verilerin tamamen veya kısmen otomatik yollarla işlenmesi süreçlerinde ihlal edilemez. İlgili kişi, özel hayatın gizliliği başta olmak üzere şeref, haysiyet ve itibar gibi tüm sosyal ve manevi kişilik haklarının yegâne sahibidir ve verilerinin kaderini belirleme hakkı kendisine aittir.

Çocukların Veri Süjesi Olarak Konumu ve Rıza

KVKK kapsamında veri süjesinin kimliği belirlenirken en çok tartışılan grupların başında çocuklar gelmektedir. Çocuklar, hak ehliyetine sahip olmalarına rağmen fiil ehliyetleri yaş ve olgunluklarına göre sınırlıdır. Bu sebeple çocukların kişisel verilerinin işlenmesi söz konusu olduğunda, kanunda açıkça istisna sayılan haller dışında alınması gereken açık rıza, kural olarak çocuğun yasal temsilcileri (veli veya vasi) tarafından verilir. Ancak yasal temsilcinin rızası mutlak ve sınırsız değildir. Çocuğun üstün yararı ilkesi, velayet hakkının sınırını çizer. Bir ebeveyn, velayet yetkisini kullanarak çocuğunun kişisel verilerinin işlenmesine rıza gösterirken dahi çocuğun gelecekteki yaşamını, dijital ayak izini ve mahremiyet hakkını korumak zorundadır. Yasal temsilcinin rızasının çocuğun üstün yararına aykırı olduğu veya metalaştırma yoluyla çocuğun ticari bir obje haline getirildiği durumlarda, veri süjesi olan çocuğun kişilik hakları doğrudan ihlal edilmiş sayılır ve hukuk düzeni bu rızayı meşru kabul etmez.

Avrupa Birliği Genel Veri Koruma Tüzüğü'nde (GDPR) Veri Süjesi Çocuklar

Uluslararası boyutta kişisel verilerin korunmasını düzenleyen Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), veri süjesi olan çocuklara özel bir koruma alanı tanımlamıştır. GDPR'ın 38. gerekçesinde, çocukların kişisel verilerin işlenmesine ilişkin riskler konusunda daha az farkındalığa sahip oldukları vurgulanarak özel bir korumaya layık oldukları belirtilmiştir. Tüzüğün 8. maddesinde ise veri süjesi olan çocukların bilgi toplumu hizmetlerine yönelik rızası özel şartlara bağlanmıştır. Tüzüğe göre, açık rıza aranan durumlarda çocuğun 16 yaşından büyük olması şartıyla kendi rızasına geçerlilik tanınır; ancak üye devletler bu sınırı yasal düzenlemelerle 13 yaşına kadar indirebilir. Bu yaş sınırlarının altında kalan çocukların kişisel verilerinin işlenmesinde ise velayet hakkına sahip olan kişinin, yani ebeveynin izni veya onayı zorunludur. GDPR, veri sorumlularına yönelik olarak, çocuklara sunulan aydınlatma metinlerinin sade, açık ve onların kolayca anlayabileceği bir dilde hazırlanması mecburiyetini de getirmiştir.

İlgili Kişilerin Sahip Olduğu Yasal Haklar

KVKK ve Anayasa uyarınca, veri süjesi olan her birey kendi kişisel verileri üzerinde geniş yetkilere sahiptir. Bu yetkiler, kişinin dijital ortamdaki varlığını ve mahremiyet hakkını korumasının en önemli hukuki kalkanıdır. İlgili kişi, veri sorumlusuna başvurarak verilerinin akıbetini tayin etme hakkına sahiptir. Veri süjesinin sahip olduğu bu yasal haklar şunlardır:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Verileri işlenmişse buna ilişkin detaylı bilgi talep etme,
  • İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını bilme,
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
  • Eksik veya yanlış işlenen verilerin düzeltilmesini ve AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı çerçevesinde verilerin silinmesini veya yok edilmesini isteme,
  • Kanuna aykırı işleme sebebiyle uğranılan maddi ve manevi zararın giderilmesini talep etme.

Bu haklar, başkasına devredilemeyen ve şahsa sıkı sıkıya bağlı haklar arasında yer alarak, veri süjesinin hukuki güvenliğini garanti altına alır.

4 dk okuma Yayınlanma: Güncelleme: