Anasayfa/ Makale/ KVKK ve GDPR Işığında Temel Kavramlar ve...

Makale

Kişisel verilerin korunması hukuku, teknolojinin gelişimiyle günlük hayatın ayrılmaz bir parçası olmuştur. Bu makalede, mevzuat ışığında kişisel veri, özel nitelikli veri, veri sorumlusu ve işleyen kavramları hukuki perspektifle incelenmekte; verilerin işlenmesine hâkim olan temel ilkeler uygulama odaklı bir yaklaşımla ele alınmaktadır.

KVKK ve GDPR Işığında Temel Kavramlar ve İşleme İlkeleri

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü, kişisel verilerin işlenmesini disiplin altına alarak temel hak ve özgürlükleri korumayı amaçlar. Kişisel verilerin korunması hukukunu doğru uygulayabilmek için öncelikle mevzuattaki temel kavramların ve veri işlenmesine yön veren evrensel ilkelerin iyi kavranması şarttır. Gerek yasal uyum süreçlerinin yürütülmesinde gerekse hukuki ihtilafların çözümünde, kişisel veri, veri sorumlusu ve veri işleyen gibi yapı taşlarının sınırlarının doğru çizilmesi hayati önem taşır. Hukuk uygulamaları bağlamında bu kavramların ve uyulması zorunlu olan veri işleme ilkelerinin dar veya geniş yorumlanması, hukuki süreçleri doğrudan etkilemektedir. Bu sebeple verilerin elde edilmesinden imha edilmesine kadarki süreçte rehber niteliği taşıyan temel unsurların yasal çerçevede incelenmesi gerekmektedir.

Kişisel Veri ve Özel Nitelikli Veri Kavramları

Kanun kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu geniş tanım uyarınca, sadece adı, soyadı gibi doğrudan kimliği gösteren bilgiler değil; aynı zamanda motorlu taşıt plakası, özgeçmiş, IP adresi gibi dolaylı yoldan kişiyi belirlenebilir kılan veriler de bu kapsama dâhildir. Mevzuatımızda yalnızca gerçek kişilere ait veriler koruma altına alınmış olup, tüzel kişilere ait bilgiler istisnalar dışında doğrudan kişisel veri kabul edilmez. Öte yandan, öğrenilmesi halinde ilgili kişi aleyhine mağduriyete yol açabilecek ırk, siyasi düşünce, felsefi inanç, sağlık, cinsel hayat ve biyometrik veriler gibi hassas bilgiler özel nitelikli kişisel veri olarak sınıflandırılır. Bu verilerin işlenmesi, hukuk pratiğinde çok daha katı koruma tedbirlerine ve istisnai hukuka uygunluk hallerine bağlanmıştır.

Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki İlişki

Kişisel verilerin korunması hukukunun en merkezi figürü, verilerin işleme amaçlarını ve vasıtalarını belirleyen, sistemin kurulmasından ve yönetiminden sorumlu olan veri sorumlusu sıfatını haiz gerçek veya tüzel kişilerdir. Kamu kurumları, anonim şirketler veya dernekler veri sorumlusu kabul edilebilirken; tüzel kişiliğin içindeki departmanlar, şubeler ve çalışanlar bağımsız olarak bu sıfata sahip olamazlar. Diğer taraftan, veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına organizasyonu dışında veri işleme faaliyetini yürüten kişi veya kurumlara ise veri işleyen denir. İki aktör arasındaki ilişki, uygulamada çoğunlukla yazılı sözleşmeler ile düzenlenir. Ayrıca, Avrupa Birliği mevzuatı kapsamında açıkça düzenlenen ve işleme amaç ile yöntemlerinin birden fazla kuruluş tarafından birlikte belirlendiği senaryolarda ortaya çıkan ortak veri sorumlusu kavramı, Türk hukuku ve denetim mekanizmaları çerçevesinde de müteselsil sorumluluk temelinde uygulama alanı bulmaktadır.

Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler

Kişisel verilerin herhangi bir sistem aracılığıyla elde edilmesinden tamamen silinmesine kadar geçen tüm sürece veri işleme faaliyeti denir. Bu işlemlerin meşru bir yasal zemine oturması için Kanun’da öngörülen genel ilkelere mutlak surette uyulması zorunludur. Veri işleme süreçlerinde riayet edilmesi gereken emredici kriterler, hukuka uygunluk sebepleri mevcut olsa dahi uygulanması gereken kurallardır ve uygulamada şu şekilde sıralanır:

  • Hukuka ve dürüstlük kurallarına uygunluk
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlarla işlenme
  • Amaca bağlantılı, sınırlı ve ölçülü olma
  • Gerekli olan süre kadar muhafaza edilme

Bu emredici kurallar bütününün herhangi bir şekilde ihlal edilmesi, veri işleme faaliyetini baştan itibaren yasa dışı kılmaktadır. Avrupa Birliği genel veri koruma standartları bağlamında bu prensiplere ek olarak ispat edilebilirliği temel alan ve uyum sürecini şekillendiren hesap verilebilirlik ilkesi de yasal çerçevede büyük bir önem taşımaktadır.

Veri Ekonomisi ve Sınırlı Muhafaza Prensibi

Sıralanan emredici ilkelere paralel olarak, veri işleme faaliyetlerinin tamamında şeffaf bir orantılılık yaklaşımı sergilenmeli; toplanan kişisel veriler işlendikleri amaçla bağlantılı ve ölçülü olmalıdır. Hukuk doktrininde ve uygulamada veri ekonomisi olarak da adlandırılan bu kritik prensip uyarınca, sadece belirlenen amaca ulaşmak için gerekli olan asgari miktarda veri işlenmeli, gelecekte kullanılabileceği ihtimaliyle gereksiz bilgi toplamaktan kesinlikle kaçınılmalıdır. İkinci bir boyut olarak, kişisel verilerin tamamen sınırsız ve sonsuza dek şirket sistemlerinde saklanması hukuken mümkün değildir. Mevzuat, verilerin yalnızca ilgili yasalarda öngörülen veya meşru amaç için gerekli süre kadar muhafaza edilmesini katı bir şart olarak koşar. Amacın ortadan kalkması ve yasal sürelerin dolması halinde, söz konusu kişisel bilgiler veri sorumluları tarafından periyodik imha politikalarına uygun şekilde derhal silinmeli, yok edilmeli veya diğer verilerle ilişkilendirilemeyecek şekilde tamamen anonim hale getirilmelidir.

4 dk okuma Yayınlanma: Güncelleme: