KİŞİSEL VERİLERİN KORUNMASI HUKUKUNDA TEMEL KAVRAMLAR

 

7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenme şartlarını düzenlemektedir. Yazımızda öncelikle temel kavramlara yer verilecektir.

 

Kişisel Veri:

Kişisel veri, Kanun’da; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanımdan anlaşılacağı üzere bir bilginin kişisel veri niteliğinde olabilmesi için;

-Gerçek kişiye ilişkin olma,

-Gerçek kişinin kimliği belirli ve belirlenebilir olması ve

-Kanun'un aradığı anlamda bilgi ve kişi arasında ilişkin olma unsurunun gerçekleşmesi gerekmektedir.

Kişisel veri kavramının ne olduğunun kavranabilmesi açısından söz konusu kriterlerin üzerinde ayrıntılı olarak durmakta fayda vardır:

 

-Bilginin Gerçek Kişiye İlişkin Olması

Kanun’un koruduğu kişisel veriler, yalnızca gerçek kişilere ilişkin verilerdir. Dolayısıyla tüzel kişilere ilişkin veriler kural olarak kişisel veri sayılmazlar.

 

-Kimliğin Belirli veya Belirlenebilir Olması

Gerçek kişiye ilişkin bir bilginin kişisel veri sayılabilmesi için, söz konusu gerçek kişinin kimliği belirli veya belirlenebilir olmalıdır. Bir kişinin belirli olması, yer aldığı gruptaki diğer kişilerden ayırt edilebilmesi anlamına gelir. Belirlenebilir olma ise, kişinin diğer kişilerden mevcut veriler kullanılarak ayırt edilememesine rağmen birtakım ek verilerle ayırt edilebilir olması durumunu ifade eder.

Bahsedilen ek bilgiye ulaşmak hukuken yasaklanmamışsa ve veri sorumlusu açısından ulaşılması önemli ölçüde güçlük yaratmıyorsa o zaman o verinin kişisel veri olduğu kabul edilir.

 

-İlişkin Olma

Genel olarak, gerçek kişiye ilişkin olma şartı, bilginin doğrudan söz konusu gerçek kişi hakkında olması ile sağlanır. Ancak bilginin doğrudan kişi hakkında olmadığı bazı durumlarda da ilişkin olma şartının gerçekleşebileceği kabul edilmektedir.

Yukarıda ifade edilen üç şartı taşıyan her türlü bilgi, kişisel veri sayılır. Örnek vermek gerekirse; ad ve soyad, adres, TCKN, telefon numarası, vergi numarası, medeni hal, meslek, doğum tarihi, cinsiyet, özgeçmiş, adli sicil kaydı, dernek üyeliği, maaş, özlük bilgileri, IP adresi, IMEI numarası, konum bilgisi, fotoğraf, video, ses kaydı, sağlık raporu, kan grubu, parmak izi, göz rengi, DNA bilgisi, engel durumu, seyahat ve alışveriş bilgileri gibi bilgiler kişisel veridir.

 

Özel nitelikli veri:

-Kişilerin ırkı, kökeni, siyasi düşüncesi, felsefi inancı

- Dini, mezhebi veya diğer inançları

-Kılık-kıyafeti

-Dernek, vakıf ya da sendika üyeliği,

-Sağlığı, cinsel hayatı

-Ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri

-Biyometrik ve genetik verileri

olmak üzere Kanun'da tahdidi olarak sayılmıştır. Başka bir deyişle, sınırlı olarak belirlenmiştir.

 

Veri Sorumlusu (Controller):

Kişisel verilerin işleme amacını ve vasıtasını belirleyen, sistemi kurup yöneten gerçek veya tüzel kişidir.

 

Veri İşleyen (Processor):

Veri sorumlusunun belirlediği amaçlar ve yöntem çerçevesinde kişisel veriyi işleyen kişidir.

 

Veri Sahibi: 

Veri sahibi kısaca “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir.

 

Kişisel Verilerin İşlenmesi:

Kanun'da kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak tanımlanmıştır.

 

Kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinin tespit edilebilmesi için öncelikle bir verinin kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğu hususunun saptanması gerekmektedir. Çünkü kanunda genel hukuka uygunluk sebepleri ile özel nitelikli verilerin işlenmesinde hukuka uygunluk sebepleri ayrı ayrı belirlenmiştir.