Anasayfa/ Makale/ KVKK ve GDPR Işığında Kişisel Veri Koruma Rejimi

Makale

Kişisel verilerin korunması, dijital dünyada bireylerin temel haklarını güvence altına alan hayati bir hukuki rejimdir. Bu makalede, KVKK ve GDPR çerçevesinde kişisel veri kavramı, hukuki niteliği, veri işleme ilkeleri, veri süjeleri ve veri öznelerinin sahip olduğu haklar uygulamalı bir perspektifle kapsamlıca incelenmektedir.

KVKK ve GDPR Işığında Kişisel Veri Koruma Rejimi

ÖZEL HAYATIN GİZLİLİĞİ AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) UNUTULMA HAKKI

Teknolojik gelişmelerin hız kazanması ve bilgi toplumuna geçiş süreci, kişisel verilerin korunması alanında ulusal ve uluslararası hukuki düzenlemelerin yapılmasını zorunlu kılmıştır. İnsanoğlunun teknolojiyle entegre olan yaşamı, kişisel verilerin şirketler ve idari kurumlar tarafından yoğun bir şekilde toplanarak işlenmesine zemin hazırlamıştır. Bu durum, bireyi adeta şeffaflaştırarak temel hak ve özgürlüklerini ihlal edilme riskiyle karşı karşıya bırakmıştır. Avrupa Birliği nezdinde uzun yıllara dayanan veri koruma tecrübesinin bir ürünü olan Genel Veri Koruma Tüzüğü (GDPR) ve Türk hukukundaki temel dayanağımız 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu ihlal risklerini bertaraf etmek amacıyla ihdas edilmiştir. Bahsi geçen düzenlemeler, bireylerin kendi verileri üzerindeki geleceğini belirleme hakkını (self-determinasyon) ve özel hayatın gizliliğini güvence altına almayı hedeflerken, aynı zamanda veri akışının hukuki bir zeminde güvenle sürdürülmesini amaçlamaktadır. Modern hukuk sistemlerinde bağımsız bir anayasal hak olarak kabul edilen kişisel verilerin korunması, sadece verinin değil, verisi işlenen gerçek kişinin maddi ve manevi bütünlüğünün korunmasıdır.

Kişisel Veri Kavramı ve Hukuki Niteliği

Hukuk sistemimizde ve Avrupa Birliği mevzuatında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanım oldukça geniş tutulmuş olup, kişinin adı, soyadı, kimlik numarası gibi doğrudan belirleyici bilgilerin yanı sıra; IP adresi, konum verisi, hobileri ve alışveriş alışkanlıkları gibi kişiyi dolaylı yoldan belirlenebilir kılan tüm bilgileri kapsamaktadır. Özellikle tüzel kişilere ait veriler kural olarak bu korumanın dışında bırakılmış, yalnızca gerçek kişilerin (insanların) verileri güvence altına alınmıştır. Kişisel verilerin hukuki niteliği konusunda ise günümüzde Kıta Avrupası hukuk sisteminin bir getirisi olarak "bağımsız hak" yaklaşımı benimsenmektedir. Federal Alman Anayasa Mahkemesi'nin 1983 tarihli Nüfus Sayımı Kararı ile ortaya koyduğu bilginin geleceğini belirleme hakkı, kişisel veri korumasının temelini oluşturur. Bu yaklaşımla kişisel veriler, Anglo-Amerikan sistemindeki gibi salt bir mülkiyet ya da ticari meta olarak değil; insan onuru, özel hayatın gizliliği ve kişinin varlığını serbestçe geliştirmesi hakkının ayrılmaz bir parçası olan temel bir insan hakkı olarak değerlendirilmektedir.

Kişisel Veri Hukukunun Temel Süjeleri

Veri koruma hukukunun işleyişini anlayabilmek için süreçte yer alan aktörlerin hukuki statülerinin doğru tespit edilmesi gerekmektedir. Birinci süje, kişisel verileri işlenen gerçek kişiyi ifade eden ilgili kişi (veri öznesi) adlı aktördür. İkinci ve en önemli süje ise veri sorumlusu sıfatını haiz olanlardır. GDPR ve KVKK kapsamında veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişilerin kendileri veri sorumlusu sıfatını haiz olup, şirket içindeki yönetim organları veya çalışanlar veri sorumlusu olarak nitelendirilemezler. Üçüncü süje olan veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi tanımlar. Veri işleyen, işleme faaliyetinin neden ve nasıl yapılacağına karar vermez; sadece veri sorumlusunun talimatları doğrultusunda teknik süreçleri yürütür. Bilişim ve bulut hizmeti sunan teknoloji şirketleri uygulamada sıklıkla veri işleyen statüsünde hukuki muhatap olarak karşımıza çıkmaktadır.

Özel Nitelikli (Hassas) Kişisel Veriler

Kanun koyucu, işlenmesi halinde bireylerin ayrımcılığa maruz kalma veya ciddi zararlar görme riski yüksek olan bazı verileri özel nitelikli kişisel veri (hassas veri) olarak sınıflandırmış ve daha sıkı koruma rejimine tabi tutmuştur. KVKK ve GDPR kapsamında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve biyometrik ile genetik verileri hassas veri olarak kabul edilir. Bu verilerin işlenmesi kural olarak yasaklanmış olup, istisnai olarak ancak ilgili kişinin açık rızası veya kanunlarda öngörülen çok sınırlı hallerin varlığı durumunda işlenebilmesine olanak tanınmıştır. Özellikle genetik ve biyometrik verilerin modern teknolojiler eliyle işlenmesi, insan hakları bağlamında büyük bir ihlal potansiyeli barındırdığından, veri sorumlularının bu veriler için yüksek güvenlik standartları çerçevesinde ekstra teknik ve idari tedbirler alması kesin bir yasal zorunluluktur.

Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler

Kişisel verilerin işlenmesi faaliyetleri, kanunda aranan rıza veya diğer hukuki şartları taşısa dahi, evrensel nitelikteki temel veri koruma ilkelerine uygun olmak zorundadır. Aksi takdirde, yapılan veri işleme işlemi tamamen hukuka aykırı hale gelecektir. Hem KVKK hem de GDPR mevzuatında ortak olarak kabul edilen ve veri sorumlularının uymakla mükellef olduğu bu temel ilkeler şunlardır:

  • Hukuka, dürüstlük kurallarına uygunluk ve şeffaflık: Veri işleme faaliyetlerinin kanuni şartlara dayanması ve veri öznesinin makul beklentilerini zedelemeyecek şekilde şeffaf yürütülmesini gerektirir.
  • Belirli, açık ve meşru amaçlar için işlenme (Amaçla sınırlılık): Toplanan veriler yalnızca baştan belirlenen sınırlar içinde kullanılabilir; sonradan farklı, öngörülemeyen amaçlar için işlenemez.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (Veri minimizasyonu): Amaca ulaşmak için gerekli olan minimum miktarda kişisel verinin işlenmesi zorunludur. İleride lazım olur mantığıyla veri depolanması yasaktır.
  • Doğru ve gerektiğinde güncel olma: İşlenen verilerin hak ihlallerine yol açmaması adına hatalardan arındırılması ve güncellenmesi veri sorumlusunun ödevidir.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Amacı ortadan kalkan kişisel veriler, veri sorumlusu tarafından gecikmeksizin silinmeli, yok edilmeli veya anonim hale getirilmelidir.

İlgili Kişinin Hakları ve Veri Sorumlusunun Yükümlülükleri

Avrupa Birliği'nin güncel direktifi olan GDPR ve Türk hukukundaki KVKK, veri sahiplerine kişisel verileri üzerinde geniş bir denetim ve müdahale hakkı tanımaktadır. Veri sorumlusunun temel borcu olan aydınlatma yükümlülüğü ile paralel çalışan bilgi edinme (erişim) hakkı, kişinin kendisi hakkında hangi verilerin, hangi amaçla ve kimler tarafından işlendiğini öğrenmesini sağlar. Bunun yanı sıra, eksik veya hatalı işlenen veriler için düzeltme talep etme hakkı mevcuttur. Avrupa Birliği Adalet Divanı'nın (ABAD) meşhur Google/İspanya kararıyla hukuk dünyasına giren ve GDPR ile kanunlaşan unutulma hakkı (silinme hakkı), bireylerin dijital dünyadaki geçmişlerinin peşlerini bırakmaması tehlikesine karşı çok güçlü bir kalkandır. GDPR ayrıca, verilerin bir hizmet sağlayıcıdan diğerine aktarılmasını sağlayan veri taşınabilirliği hakkı, otomatik yollarla alınan kararlara itiraz hakkı ve işlemeyi kısıtlama hakkı gibi yenilikçi mekanizmalar ihdas etmiştir. Kişisel verileri hukuka aykırı işlenen ilgili kişi, veri sorumlusu ve veri işleyenden maddi ve manevi zararının tazminini talep etme hakkına da her zaman sahiptir.

5 dk okuma Yayınlanma: Güncelleme: