KVKK IŞIĞINDA TEMEL KAVRAMLAR

Kişisel verilerin önemi ve bu önem üzerine inşa edilen 6098 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) biz hukukçuları ve aslında veri sahibi gerçek kişiler de dâhil herkesi ziyadesiyle ilgilendiren bir konu olarak gündemimize girdi. Uygulamada hala birçok veri işleyen kurum ve kuruluşun mevzuattaki gelişmelerden ve yaptırımlardan bihaber olduğunu gözlemlesek de 12 Ocak 2017’de Kişisel Veri Koruma Kurulu’nun yemin ederek göreve başlamasıyla dikkatlerin daha da yoğunlaştığı kişisel verilerin korunması konusu ve KVKK, hem veri sahipleri hem de veri sorumluları için büyük önem arz ediyor.

Bu konuda kısaca Türkiye’deki gelişmelere bakacak olursak, 2004 yılında kişisel verilerin hukuka aykırı kaydedilmesi Türk Ceza Kanunu’nda suç olarak tanımlandı. 2010 yılında herkesin kişisel verilerinin korunmasını isteme hakkı bir anayasal hak olarak tanındı. Bu hakkın nasıl kullanılacağı veya kişisel verilerin işlenmesine ilişkin sınırlamaların neler olacağı bu konuda çıkarılacak bir kanuna bırakıldı. Gerçekten de hem Türk Ceza Kanunu’ndaki suç tanımının iyi anlaşılması hem de bu konudaki anayasal hakkın sağlıklı şekilde kullanılması için konunun temel prensiplerini ve detaylarını belirleyecek bir kanuna ve beraberinde yayımlanacak yönetmeliklere ihtiyaç vardı. Nihayetinde yıllardır merakla beklediğimiz kanun olan KVKK 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlandı ve tüm hükümleriyle 7 Ekim 2016 tarihinde yürürlüğe girdi.

Kişisel verilerin korunması ve KVKK, mühim ve detaylandırıldıkça derinleşen bir konu olduğundan bitimsiz bir yazıya mahal vermemek adına, KVKK ile birlikte hayatımıza giren kavramları ve konuyla ilgili temel prensipleri bu yazımda özetle sizlerle paylaşacağım.

  1. Kişisel veri nedir?

Kişisel verilerin korunma prensiplerini iyi anlamak adına kişisel verinin bir gerçek kişiyi belirli hale getiren veya belirlenebilir kılan her türlü veri olduğunun altını çizmek gerekir. Bu kapsamda tüzel kişilerin verilerinin kişisel verilere konu olmadığını – örneğin bir anonim şirketin ticari sırlarının kişisel veri olamayacağını- kişisel veriden söz etmek için gerçek kişiden yani insandan söz etmek gerektiğini görmekteyiz. Ayrıca bu veriler öyle veriler olmalıdır ki; veri sahibi gerçek kişiyi ortaya çıkarmalı ya da ortaya çıkarmaya elverişli hale getirmelidir. İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün istatistiklerine göre Türkiye’de 33.000 Mehmet Yılmaz adında gerçek kişi olduğu bilgisinden yola çıkarak yalnızca Mehmet Yılmaz adının kişisel veriye karşılık gelmeyeceğini, bu ad ile birlikte bahsettiğimiz kişiyi belirli kılacak adres, yaş, meslek gibi diğer kişisel verilere de ihtiyacımız olduğunu söyleyebiliriz. Bu kapsamda işlenen veriler değerlendirilirken, eldeki verileri bu en temel prensibi gözeterek değerlendirmek gereklidir.

KVKK’da bir de özel nitelikli kişisel veriler tanımlanmıştır ve bu kişisel veriler daha hassas bir korumaya tabi tutulmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Kısaca açıklamak gerekirse;

Irk ve etnik köken: Kişinin ırk ve kökenini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Siyasi düşünce: Kişinin desteklediği siyasi parti ve görüşler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Felsefi İnanç, Din, Mezhep Ve Diğer İnanç: Kişinin benimsediği din, mezhep ve inançlarını gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kılık ve Kıyafet: Kişinin benimsediği kılık kıyafet stili kapsamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Dernek üyeliği: Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf üyeliği: Kişinin üye olduğu vakıfları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika üyeliği: Kişinin üye olduğu sendikaları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık: Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Cinsel hayat: Kişinin cinsel yönelimleri kapsamındaki kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Ceza mahkûmiyeti ve güvenlik tedbirleri: Kişinin uğradığı ceza mahkumiyeti ve güvenlik tedbirlerini belirten sabıka kaydı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Biyometrik ve Genetik veri: Kişinin parmak izi, avuç içi, retina, yüz tarama, ses gibi verilerini ve genetik bilgilerini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

  1. Açık rıza ve aydınlatma yükümlülüğü nedir?

KVKK’daki bir diğer önemli kavram ise “açık rıza” kavramıdır. Kural olarak kişisel verilerin işlenmesinin hukuka uygun olması için açık rızanın alınması gereklidir. Veri sorumlusu öncelikle verisini işleyeceği ilgili kişiyi veri sorumlusunun kimliği, kişisel verileri hangi amaçla işleyeceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin Kanun’dan doğan hakları konularında aydınlatmakla yükümlüdür. Veri sorumlusu bu aydınlatma yükümlülüğünü yerine getirdikten sonra ilgili kişi “şüpheye mahal vermeyecek şekilde” ve “özgür iradesiyle” kişisel verilerinin işlenmesine onay vermelidir. Aydınlatma yükümlülüğünün gerçekleştirilmesi ve akabinde şüphesiz bir özgür iradeyle onay verilmesiyle açık rıza hukuka uygun şekilde alınmış olacaktır. Kanun veya yönetmeliklerde açık rızanın alınma şekli ile ilgili bir düzenleme bulunmadığından, veri sorumluları bu rızayı yazılı veya sözlü alabileceklerse de herhangi bir uyuşmazlık durumunda açık rızanın alındığının ispatı veri sorumlusu tarafından yapılması gerekeceği gözden kaçırılmamalıdır.

  1. Kişisel veri işleme kapsamı nedir?

Aydınlatma yükümlülüğünü yerine getirmeyi ve ilgili kişiden açık rıza almayı gerektiren fiiller; kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma ya da kullanılmasını engellemedir. Bu fiillerin yalnızca birini gerçekleştirmek ya da birden çoğunu gerçekleştirmek arasında açık rıza almak açısından bir fark bulunmamaktadır. Örneğin kişisel veriyi yalnızca muhafaza etmek de muhafaza edip, sınıflandırarak aktarmak da açık rıza almayı gerektirecektir.

  1. Açık rıza gerektirmeyen istisnalar Kanun’da düzenlenmiş midir?

KVKK’da kişisel verileri işlemek için açık rıza gerektirmeyen bazı istisnalar düzenlenmiştir. Kanunlarda açıkça öngörülmesi durumunda açık rıza almak gerekmeyecektir. Örneğin Sosyal Güvenlik ve İş Hukuku mevzuatı gereği işçi hakkında tutulması işverenlere zorunlu hale getirilmiş kişisel veriler için işçinin onayını almak gerekmeyecektir.

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda da açık rıza aranmayacaktır. Örneğin; hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde de açık rıza aranmayacaktır. Örneğin bir e-ticaret şirketinin müşterisine satın aldığı ürünü göndermesi için adres bilgisinin kaydedilmesi ifa için zorunludur. Bu durumda da bu verinin kaydedilmesi için açık rızanın varlığı aranmayacaktır.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verinin işlenmesinin zorunlu olması ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması da açık rızanın aranmadığı istisnalardandır.

İçinde bulunduğumuz dijital çağda paylaşılan veriler düşünüldüğünde dikkate ve tartışmaya değer istisnalardan biri de kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olmasıdır. Bir örnekle açıklamak gerekirse; bir kişinin herkese açık sosyal medya hesaplarında kendisine dair paylaştığı fotoğraflar, bilgiler, bulunduğu konumlar gibi birçok veri, kişi kendisi bu verileri alenileştirdiği için açık rızası olmaksızın işlenebilecektir.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması da açık rıza gerektirmez. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir.

  1. Özel nitelikli kişisel verileri işleme sınırlamaları nelerdir?

Kural olarak özel nitelikli kişisel veriler de açık rıza olmaksızın işlenemez. Kanun özel nitelikli kişisel verilerin işlenmesi için de bir takım istisnalar getirmiştir. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.

Sağlık ve cinsel hayata ilişkin kişisel verilerin ise daha sınırlı hallerde işlenmesine izin verilmiştir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bir başka yazımızda KVKK’nın getirdiği diğer hükümlere ve yaptırımlara değinmek umuduyla kişisel verilerin korunması konusunda tedbir almayan veri sorumlularına daha fazla geç kalmaksızın veri gizliliği ve güvenliğine ilişkin politikalarını oluşturmayı tavsiye ediyorum. bu yazıda bahsettiğim kavramları öğrenmenin, veri koruma stratejilerini oluştururken veri sorumlularının aynı zamanda hukuk uygun hareket etmelerini sağlamasını umut ediyorum.

                                                                                                                   Av. Seval Sönmez Durmuşoğlu