Kişisel Verileri Koruma Kanunu Kapsamındaki Bazı Temel Kavramlar
Kişisel verilerin korunması bir temel insan hakkı olan özel hayatın gizliliği kapsamında değerlendirilmektedir. Avrupa Birliği (AB) kişisel verilerin korunmasına ilişkin olarak hazırladığı direktifin ardından 2018 yılında Genel Veri Koruma Tüzüğü (GDPR)’nü yayınlamıştır. Ardından ülkeler kendilerine özgü yerel veri koruma mevzuatları oluşturmaya başlamıştır. Türkiye’de kişisel verilerin korunmasına ilişkin kanun AB direktifi baz alınarak 2016 yılında yürürlüğe girmiş olan Kişisel Verileri Koruma Kanunu’dur. Bu yazıda KVKK’nın 3’üncü maddesi kapsamında yer alan bazı temel kavramlar hakkında bilgilendirme yapacağız.
Kişisel Veri Nedir?
Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi olarak ifade edilmiştir. Örneğin; kişinin adı-soyadı, yaşı ve cinsiyeti kişisel veri niteliğindedir. Ayrıca bir kişiyi belirlemeye elverişli veriler de kişiyle ilişkilendirilir bildiği ölçüde kişisel veri olarak değerlendirilecektir. Tüzel kişilere ilişkin veriler Kanun’un koruması kapsamında değildir. Kişisel verisi işlenen gerçek kişi ise ilgili kişi olarak ifade edilmektedir. KVKK’nın 6’ncı maddesi kapsamında yer verilen özel nitelikli kişisel veriler işlenme koşulları açısından farklılık arz etmektedir. Neyin özel nitelikli kişisel veri olduğu bu madde kapsamında sayılmıştır. Örneğin; kişinin ırkı, sağlığı ve cinsel hayatına ilişkin bilgiler özel nitelikli kişisel veridir.
Kişisel Verinin İşlenmesi Nedir?
İşlenme koşulları demişken kişisel verilerin işlenmesinin ne demek olduğunu da burada belirtebiliriz. Kişisel verilerin işlenmesi; kişisel verilerin elde edilmesi, kaydedilmesi, sınıflandırılması ya da aktarılması gibi veri ile yapılabilecek her türlü işlemdir. Bu işlemler tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla yapılabilir. Verinin insan aracılığı olmadan kendiliğinden işlenmesi otomatik bir işleme olur. Güvenlik kameralarının topladığı verileri buna örnek olarak verebiliriz. Otomatik olmayan yollarla işlenen verilerin bir veri işleme faaliyeti sayılabilmesi bir veri kayıt sisteminin parçası olması şartına bağlanmıştır.
Veri Kayıt Sistemi Nedir?
Veri kayıt sistemi; Kanun’un 3’üncü maddesinde, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır. Veri işleme faaliyeti bilgiyi kullanmayı kolaylaştıracak şekilde sistematikleştirerek el yordamıyla yapılıyorsa da veri işleme faaliyeti olarak sayılmıştır. Mesela bir işyerine gelen ziyaretçiler için bir defter tutularak giriş-çıkış saatleri ile birlikte ad-soyadları kaydediliyorsa bu bir kişisel veri işleme faaliyeti olur. Ayrıca sözlü veri paylaşımı KVKK kapsamında girmemektedir.
Veri Sorumlusu Nedir?
Verileri işlenen gerçek kişiler haricinde veri işleme faaliyetinin iki önemli süjesi daha vardır. Bunlar veri sorumlusu ve veri işleyen kavramlarıdır. Veri işleyen kavramını anlayabilmek için önce veri sorumlusu kavramını açıklamak uygun olacaktır. Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmiştir. Bu kapsamda veri sorumlusu veri işleme faaliyeti üzerinde söz sahibi olan kişidir.
Veri İşleyen Nedir?
Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen veri sorumlusunun organizasyonu dışında kalan gerçek veya tüzel kişidir. Bu durumda veri işleyenin kişisel verilerin işlenmesi sürecinde yetkisi sınırlandırılmıştır. Veri işleyen veri sorumlusunun talimatları dışında hareket etmesi durumunda veri üzerinde hakimiyet kurmuş olur ve bu hareketleri için veri sorumlusu haline gelir. Ayrıca Kanun’da veri sorumlusunun denetim yükümlülüğü kapsamında veri işleyenle birlikte müştereken sorumlu olacağı öngörülmüştür. Burada belirtmemiz gereken önemli bir husus, veri sorumlusu bir gerçek veya tüzel kişinin aynı zamanda veri işleyen de olabilmesidir. Örneğin; bulut hizmet sağlayıcısı bir şirket kendi çalışanlarına ilişkin tuttuğu özlük dosyaları bakımından veri sorumlusu iken müşterilerine ait kişisel verileri saklaması açısından veri işleyen konumundadır.
Açık Rıza Nedir?
Son olarak uygulamada büyük bir öneme sahip açık rıza kavramını ele alacağız. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak kanunda tanımlanmaktadır. Bu kapsamda bir hizmetin sağlanmasının ön koşulu olarak açık rıza verilmesinin istenmesi durumunda verilen rıza kişinin özgür iradesine dayandığından açık rıza verilmiş olmayacaktır. Ayrıca açık rıza kişisel verinin elde edilmesinden önce veya en geç elde edilmesi sırasında verilmiş olmalıdır. KVKK’nın 5’inci maddesi kapsamında prensip olarak kişisel verilerin işlenmesi için ilgili kişinin açık rızası alınmalıdır. Ancak istisnai olarak kanunda belirlenen durumlardan biri gerçekleşmişse açık rızanın alınmasına gerek yoktur.
Kişisel Verileri Koruma Kurulu Tarafından Yayımlanan Kararlara Ulaşın.
Kişisel Verileri Koruma Kurulu tarafından yayımlanan kararlara buradan ulaşabilir; bu kararları sektöre, etiketlere, tarihlere ve ilgili kanun maddelerine göre filtreleyebilirsiniz.