• PRİZMA LABORATUAR ÜRÜNLERİ
  • [protected email address]

Kişisel Verilerin Korunması

KİŞİSEL VERİLERİN KORUNMASI KANUNU VE UYGULAMASI

A. GENEL OLARAK

Teknolojinin günlük hayatın içine tamamen nüfuz ettiği günümüzde bireyin kimlik, iletişim, sağlık ve mali bilgileri, özel hayatı, dini inancı, siyasi görüşü gibi kişisel verilerinin mahremiyetini korumak büyük önem arz etmektedir. Kişisel veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da, bilgilerin istismar edilme riskini de beraberinde getirmektedir. Dolayısıyla bu iki menfaat arasındaki meşru ve makul dengenin kurulması gereklidir. Ülkemizde 1981 yılından beri kişisel verilerin korunması konusunda mevzuat oluşturma çalışmaları yapılmaktadır. 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu kanunlaştırma sürecinin en önemli aşaması olarak hukuk düzenimiz içerisinde yerini almıştır. 6698 sayılı Kanun, bu alandaki en iyi uygulama ilkeleri ve esaslarını yansıtacak şekilde hazırlanmıştır.

B. AMAÇ

2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen ek fıkra “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmünü amir bulunmakta olup, anılan hüküm ile,herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir.

Nitekim, Kanunun 1. maddesinde Kanunun amacı açık bir şekilde belirtilmiştir. Bu hükme göre amaç, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Maddenin gerekçesinde de belirtildiği üzere Kanunun amacı, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Kanun ile son yıllarda önem kazanan, kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesinin amaçlandığı belirtilmiştir.

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Kişisel verilerin hangi kurallara tabi olarak, hangi şartlarda işlenebileceği hususunu kontrol altına alma amacını güden Kanun, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları getirerek, bu verilerin hukuka aykırı olarak işlenmesini engellemeyi hedeflemektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.

Bu maddeye göre Kanunun amacı:

• Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,

•  Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak),

•  Mahremiyet hakkının korunması,

•  Kişisel veri güvenliği hakkının korunmasıdır.

C. KAPSAM

1. Kanunun Kapsamı

Kanunun 2. maddesinde, Kanunun kapsamı belirtilmiştir. Bu maddeye göre Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Kanunda kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu Kanun hükümleri uygulanacaktır. Kanun kapsamında koruma altına alınan kişisel veriler sadece gerçek kişilere ait olan kişisel veriler olup, tüzel kişilere ait olanlar hukuken koruma altında bulunmamaktadır. Bununla birlikte tüzel kişilere ait olan verilerden gerçek kişilerin belirlenebilmesi mümkün oluyor ise, bu verilerin de Kanun kapsamında değerlendirilmesi söz konusu olacaktır.  

Kanunda kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla (manuel) işlenmesi bakımından da herhangi bir fark öngörülmemiştir. Bu doğrultuda kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış her türlü sistem Kanun kapsamında değerlendirilecektir.

Günümüzde kişisel veriler, büyük oranda otomatik yollarla işlenmektedir. Daha önce otomatik olmayan yollarla işlenmiş verilerin ise, pek çok yerde hızla elektronik ortama aktarıldığı görülmektedir. Buna bağlı olarak, “tamamen veya kısmen otomatik yollarla işlenen veriler” ve “herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veriler” 6698 sayılı Kanun kapsamında koruma altına alınmıştır. Dolayısıyla Kanun otomatik olmayan yollarla işlenen verileri tamamen kapsam dışında bırakmamaktadır. Burada önemli olan otomatik olmayan yollarla işlenen verilerin veri kayıt sisteminin parçası olup olmadığıdır. Örneğin, herhangi bir kritere bağlı olmaksızın kişilerin ad ve soyadlarının rastgele bir şekildekağıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin sistematik olarak bir deftere kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilecektir.

Kanunda “kısmen veya tamamen otomatik yolla işleme” ifadesinin ne anlama geldiği açıklığa kavuşturulmamıştır. 108 sayılı Avrupa Konseyi Sözleşmesi’nde ise “otomatik işleme” ifadesinden; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması işlemlerinin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesinin anlaşılacağı ifade edilmiştir.

Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veriler de 6698 sayılı Kanun kapsamında korunmaktadır. Veri kayıt sistemi, Kanunun 3. maddesinde “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” şeklinde tanımlanmıştır. Dolayısıyla elle işlenen verilerin herhangi bir kritere göre yapılandırılan bir kayıt sistemine dahil edilmesi durumunda, bu tür verilerle ilgili olarak da 6698 sayılı Kanun uygulanacaktır.

Otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası da değilse Kanun kapsamında değerlendirilmeyecektir. Fakat bu durum ilgili verilerin kişisel veri niteliğini etkilemeyeceği için, bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmeye devam edecektir.      

6698 sayılı Kanunda yalnızca gerçek kişilere ait kişisel verilerin kanunun koruma kapsamı içerisine dâhil olacağı belirtilmiştir. Dolayısıyla; ilke olarak, tüzel kişilere ait kişisel verilerin korunması 6698 sayılı Kanunun kapsamı dâhilinde değildir. Fakat tüzel kişiye ait bir verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden oluyor ise, bu tür verilerin de Kanunun korumasından yararlanması mümkün olabilir.

2. Kanun Kapsamına Girmeyen Durumlar

Kanun sadece gerçek kişilerle ilgili verilere uygulanır. Tüzel kişilerle ilgili veriler bu Kanun kapsamında değildir.  Çünkü Kanunun 1. maddesinde “kişisel verileri işlenen gerçek kişiler” ifadesi kullanılmıştır. Kanunun kişisel verilerin işlenmesine ilişkin hükümleri fiziksel olarak kayıt altına alınan ve veri kayıt sisteminin parçası olmayan kişisel verilere de uygulanmaz. Nitekim Kanunun 1. maddesinde “ tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi” ifadesi kullanılmıştır.

Kanunun 28. maddesinde tamamen veya kısmen kapsam dışı olan hususlar hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna halinde Kanun hiçbir şekilde uygulama alanı bulmamaktadır. Kısmi istisnalarda ise, Kanunun sadece bazı maddeleri (aydınlatma yükümlülüğü, veri sahibinin hakları ve veri sorumluları siciline kayıt) uygulanmamaktadır.

a. Tamamen Kanun Kapsamı Dışında Tutulan Hususlar

Kanunun 28. maddesinin 1. fıkrasında, Kanunun kapsamına girmeyen durumlar tek tek sayılmıştır. Bunlar:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

•  Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

•  Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

•   Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.

Kişisel verilerin aynı konuttaki kişiler tarafından işlenmesi:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi durumunda Kanun hükümleri uygulanmaz.

Bu fıkra kapsamında; aynı konutta yaşayan aile fertlerinin aile içinde verileri işlemesi noktasında istisna söz konusudur. Örneğin, doğum günü gibi özel günlerde aile içerisinde çekilen fotoğraflar bu Kanun kapsamında değildir. Ancak bu verilerin üçüncü kişilerle paylaşılması veya alenileştirilmesi halinde, örneğin doğum gününde çekilen fotoğrafların aleni olacak şekilde sosyal medyada paylaşılması durumunda istisnadan söz edilemeyecektir.

Kişisel verilerin anonim hale getirilerek belirli amaçlar için kullanılması:

Kişisel verilerin resmi istatistik ile (örneğin TÜİK)  anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda Kanun hükümleri uygulanmaz.

“Anonim hâle getirilmek suretiyle” hükmü iki şekilde yorumlanabilir;

Başlangıçtan itibaren anonim olan verilerin araştırma, planlama ve istatistik gibi amaçlarla kullanılması halinde, anonim veri kişisel veri olmadığı için istisna kapsamındadır. Örneğin, yapılan bir ankette tamamen anonim verilerin kullanılması gibi.

Araştırma, planlama ve istatistik gibi amaçlarla kişisel veri toplanması sonrasında verilerin anonimleştirilmesi de istisna kapsamındadır. Örneğin,

istatistik amaçlı ve sonradan anonimleştirmek üzere yapılacak anket için kişisel veri toplanması sonrasında anonimleştirme yapılması durumunda olduğu gibi.

Bu durumda, ilk halde kişisel veri toplama faaliyeti gerçekleştirildiği için Kanun kapsamında yer almakta ve istisna hükümlerine dahil olmamaktadır. Ancak, daha sonra bu veriler anonimleştirildiği için Kanun kapsamına girmemektedir. 

“Araştırma, planlama ve istatistik gibi” düzenlemesindeki “gibi” sözcüğü,  bu sayılanların örnek olduğunu belirtmektedir. Dolayısıyla benzer yöntemlerin de istisna kapsamında yer alabileceği söylenebilir. Burada önemli olan, bu bilgilerin anonimleştirilmesidir.

Kişisel verilerin sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi:

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda bu Kanun hükümleri uygulanmaz.

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi:

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi durumunda bu Kanun hükümleri uygulanmaz. Buna göre istihbarat birimlerinin milli savunmayı, kamu güvenliğini, milli güvenliği, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler kanun kapsamı dışında tutulmaktadır. Aynı şekilde, belirtilen amaçlarla suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birim (Mali Suçları Araştırma Kurulu) tarafından yürütülen faaliyetler kapsamında işlenen veriler de bu istisna kapsamındadır. Bu konularda yetkili birimin; milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, inceleme yapmak, değerlendirmek ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışındadır.   

Kişisel verilerin yargı ve infaz mercileri tarafından işlenmesi:

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi durumunda bu Kanun hükümleri uygulanmaz.

b. Kısmen Kanun Kapsamı Dışında Tutulan Hususlar

Kanunun 28. maddesinin 2. fıkrasında sadece belli durum ve şartlarda Kanunun kapsamına girmeyen hususlar düzenlenmiştir. Buna göre; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri aşağıdaki hâllerde uygulanmaz:

•  Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. (Örneğin, bir polisin ciddi bir suçla ilgili şüphelinin kişisel verilerini işlemesi bu kapsamda değerlendirilebilecektir. Çünkü polisin hangi kişisel verilerini işlediği veya hangi amaçlarla işlediğini şüpheliye anlatması halinde, şüphelinin ilgili verileri yok etmesi veya silmesi riski doğacaktır.)

•  İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. (Örneğin, kişinin herkesin erişimine açık bir şekilde sosyal medya hesabında kişisel verisini paylaşması halinde verinin işlenmesi.)

• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve

yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

•  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kanunda belirtildiği gibi 10., 11. ve 16. maddelerin uygulanmaması için maddede belirtilen ihtimallerden birinin gerçekleşmesi gerekir. Ayrıca bu hükümlerin uygulanabilmesi için belirtilen istisnai hallerin Kanunun amacına, temel ilkelerine uygun ve orantılı olması gerekir.

3. Kanunun Zaman Bakımından Uygulanması

Kanunun Geçici 1. maddesinin 3. fırkasında, hâlihazırda işlenmiş kişisel verilerin durumu düzenlenmiştir. Buna göre, Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, Kanunun yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir. Bu süreç içerisinde Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Fakat Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, Kanuna uygun kabul edilir.

4. Kanunun Kişi Bakımından Uygulanması

Kanunun 2. maddesine göre bu Kanun hükümleri kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.  Buna göre, tüzel kişilere ait kişisel veriler Kanun kapsamı dışındadır, ancak tüzel kişiye ait verilerden gerçek kişinin belirlenmesinin mümkün olması halinde bu veriler de Kanun kapsamında sayılacaktır.

D. 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR 1. Açık Rıza

Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de “açık rıza” kavramıdır. Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Ayrıca Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, Kanunda hem özel nitelikli kişisel veriler, hem de özel nitelikli olmayan kişisel veriler bakımından temel hukuka uygunluk sebebi olarak öngörülmüştür.

Buna göre sırasıyla Kanunun;

•  5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”,

•   6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”,

•  8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz”,

•  9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz”

düzenlemeleri yer almaktadır.

Açık rıza, uluslararası metinlerde de kendine yer bulan önemli bir kavramdır. Kanunun gerekçesinde belirtildiği gibi, 95/46/EC sayılı Avrupa Birliği Direktifine göre açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.

Avrupa Birliği’nde yalnızca özel nitelikli (hassas) verilerin işlenmesi için açık rıza aranmakta iken ülkemizde kural olarak her türlü kişisel verinin işlenmesi için açık rızaya ihtiyaç duyulmaktadır. Bu bakımından Kanun, Avrupa Birliği düzenlemelerine göre daha fazla koruma öngörmektedir.

Kanun çerçevesinde rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Rıza açıklamasının bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi rıza açıklaması ile aslında veri işleyene kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Rıza açıklaması, hukuksal değer sahibinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.

Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuatlardaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Elektronik ortamda alınması da mümkündür.

Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

•   Belirli bir konuya ilişkin olması,

•   Rızanın bilgilendirmeye dayanması,

•   Özgür iradeyle açıklanması.

a. Belirli Bir Konuya İlişkin Olması

Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir.  Veri sorumlusu ve veri işleyenlerce açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Buna göre, genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez.

Eğer birden çok kategoriye ilişkin verinin işlenmesine dair rıza beyanında bulunulacaksa, rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekir.

Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise, (örneğin yurtdışına veri aktarımı gibi) buna ilişkin ayrıca rıza alması gerekecektir. Aynı durum, verilerin işlenme amaçlarının değişmesi halinde de geçerlidir.

b. Rızanın Bilgilendirmeye Dayanması

Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Bu durum Kanunun 10. maddesinde düzenlenen “aydınlatma yükümlülüğü” kavramı ile de ilişkilidir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir.

Bilgilendirme, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir. İşlenecek verinin niteliği, aynı zamanda bilgilendirme düzeyini belirleyecektir. İlgili kişinin aydınlatılması aynı zamanda kişinin kendi geleceğini belirleme hakkının bir yansımasını oluşturmaktadır.

c. Özgür İradeyle Açıklanması

Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her tür fiil, kişisel verilerin işlenmesi için verdiği rızayı da sakatlayacaktır.

Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir.  Dolayısıyla bu gibi durumlarda özgür bir irade açıklamasından bahsedilemez. Ancak buradaki her sebep kendi içerisinde değerlendirilmeli, rızayı etkileme derecesi belirlenmelidir.

Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin

dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.

2. Anonim Hale Getirme (Anonimleştirme)

Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.

Bu noktada dikkat çekilmesi gereken husus, anonim veri ve anonimleştirilmiş veri arasındaki farktır. Anonim veri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir.

Anonimleştirme konusunda sıkça kullanılan bazı teknikler bulunmaktadır. Anonimleştirme uygulanırken, mevcut veri kümesinde yer alan verinin büyüklüğü, verinin çeşitliliği, veriden sağlanmak istenen fayda ve işleme amacı gibi özellikler dikkate alınarak uygulanacak tekniklere karar verilebilir.

Anonimleştirmeyle ilgili bazı teknikler şunlardır:

Maskeleme: Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006)

Toplulaştırma/Kümülatif Data Yaratma: Verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.

Veri Türetme: Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.

Veri Karması: Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.

3. İlgili Kişi

Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmektedir. Bu nedenle Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Kanunun düzenlenme amacına göre korunması gereken temel esas, başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerden ibarettir. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.

Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait kişisel verilerin korunmasını hiçbir şekilde düzenlememektedir.

4. Kişisel Veri

Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları kapsamaktadır.

Kanunda yer alan kişisel veri tanımı doğrultusunda gerçek bir kişiyi belirli veya belirlenebilir kılan her türlü bilginin kişisel veri olarak kabul edilmesi gerekmektedir. Kanunda yapılan tanımlamada hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esasının benimsenmediği görülmektedir. Kanunda gelişen teknolojilerle türetilebilecek veri kategorilerini de düzenleyecek şekilde geniş bir kişisel veri tanımı sunulmaktadır.

Kanunun kişisel veri tanımının, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ndeki (108 sayılı Sözleşme) tanımla uyumlu olduğu görülmektedir. Kanundaki kişisel veri tanımına göre, sadece gerçek kişilere ilişkin bilgiler kişisel veri sayılmaktadır. Tüzel kişilere ilişkin verilerin işlenmesi Kanunun kapsamı dışında tutulmuştur.

Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. Kanunun gerekçesinde bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan verilerin yanı sıra, kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiştir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesiyle o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. Başka bir ifadeyle kişisel veriler, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyabileceği gibi, kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm verileri kapsamaktadır. Nitekim Kanunun gerekçesinde de telefon numarası,

motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir.

5. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel veriler belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. Aslında kişisel veriler söz konusu olduğunda verinin nasıl tutulduğu ve kullanıldığı verinin kendisinden daha önemlidir.

Kişisel veriler çeşitli şekillerde işlenebilir:

•  Toplama veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.

•  Organize etme/depolama: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir.

•  Kullanma/değiştirme: Kişisel verilerin, görüntülenmesi de dâhil olmak üzere, her türlü kullanımı işleme sayılır.

•   Aktarma: Kişisel verilerin çeşitli yöntemlerle iletilmesi.

•  Yayma/erişilebilir kılma: Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.

•    Engelleme/silme/yok etme/anonim hale getirme: Bunlar da bir işleme faaliyeti olarak kabul edilmektedir.

Kişisel veriler otomatik veya otomatik olmayan yollarla işlenebilecektir:

a. Otomatik İşleme

Direktif’te ve Kanunda otomatik işlemenin ne olduğuna ilişkin bir tanıma yer verilmemiştir. Direktif ve Kanunda otomatik işlemeye ilişkin bir tanım yer almazken, OECD tarafından verilen tanım; “İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen veri işleme faaliyeti” şeklindedir. Bununla birlikte Kanun gerekçesinde, Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır” denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinde gerçekleştirilen faaliyetler olduğu belirtilmiştir.

Buna göre, otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir.

b. Otomatik Olmayan Yollarla İşleme (Veri Kayıt Sisteminin Parçası Olmak Kaydıyla)

Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar da, “veri kayıt sistemi” aracılığıyla işlendiklerinde de Kanun hükümlerine tabi olacaklardır. Kanun gerekçesinde veri kayıt sistemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi”ni ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilebilecektir. Kanun, otomatik olmayan yollarla veri işlenmesini tamamen Kanun kapsamı dışında

tutmamaktadır. Yani, otomatik olmayan yolla veri işleme eğer veri kayıt sisteminin parçası ise, bu durumda veri işleme faaliyeti Kanun kapsamında kabul edilecektir.  

Verilerin hukuka uygun işlenmesi için aşağıdaki tüm şartların birlikte sağlanması gerekir:

•   İşlemenin rıza veya istisnaya dayalı olması,

•   Aydınlatmanın gerçekleşmiş olması,

•   İşlemenin amaç ve süre ile sınırlı olması,

•   Genel (temel) ilkelere uygun olması.

 
3WTURK CMS v8.3.3