TÜRK HUKUKUNDA KİŞİSEL VERİLERİN KORUNMASI

Abone Ol

I. KİŞİSEL VERİ KAVRAMI

“Kişisel veri” kavramının layıkıyla tanımlanabilmesi için “kişisel” ve “veri” kelimelerinin anlamlarını ayrı ayrı incelemek gerekir. “Kişisel” kelimesi “kişi ile ilişkili, kişiye ilişkin olan, şahsi” manasını taşımaktadır.[1] “Veri” kelimesi ise, “bilgi, data” anlamına gelmektedir.[2] Türk Dil Kurumu sözlüğünde “veri” ve “bilgi” kavramları eş anlamlı olarak ifade edilse de esasen bu iki kavramın tam olarak aynı anlamı taşıdığını söylemek güçtür.[3]

Kişisel veri, gerçek kişilerin belirli ya da belirlenebilir bilgilerine verilen addır.[4] Diğer bir ifadeyle kişisel veri; ilgili kişinin ferdî, ailesel, mesleki bilgilerine dair, kişinin şahsiyetini ifade eden bilgilerin tümüdür.[5] Kişinin her türlü fiziksel ve ruhsal özellikleri ile maddi ve manevi değerleri, sahip olduğu özel eşyalar ve sayılabilecek diğer bütün bilgileri bu kapsamdadır.[6]

1980 tarihli Ekonomik Kalkınma ve İş Birliği Örgütü (OECD)[7] kapsamında kişisel veri, “Kimliği belirli ya da belirlenebilir bir gerçek kişi (ilgili kişi) hakkındaki tüm bilgileri” ifade eder. Avrupa Konseyi tarafından düzenlenen 108 Numaralı sözleşmenin[8] 2/a maddesinde de OECD ile birebir aynı tanımlamaya yer verilmiştir. Türkiye’de 2016 senesinde yürürlüğe giren Kişisel Verileri Koruma Kanunu’nun ilgili hükmünde de kişisel veri kavramı, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” ifadeleriyle tanımlanmıştır.

Avrupa Birliği bünyesinde düzenlenen ve KVKK’nın temel dayanağı niteliğini haiz olan AB 95/96/EC Sayılı Direktifi[9] ve diğer bir düzenleme olan Genel Veri Koruma Tüzüğü (GDPR) kapsamında, kişisel veri kavramının tanımlanmasında önceki misallerden farklı bir yaklaşımın söz konusu olduğunu ifade etmek gerekir. Şöyle ki:

“Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgidir. Bu gerçek kişi, özellikle bir isim, kimlik numarası, konum verileri ya da bu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak kimliği belirlenebilen kişidir.”

KVKK’da kişisel veriler “numerus clausus” ilkesi kapsamında sayılmamıştır. Ancak Anayasa Mahkemesi bir kararında kişisel veri kavramını örneklendirmeye gayret etmiştir. Buna göre:

"belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler" [10]

GDPR m. 4/1 ve 95/46 sayılı Direktif kapsamında da “isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre ilişkin veriler” kişisel veri olarak sayılmıştır. KVKK’nın ilgili hükmünün gerekçesindeyse yukarıdaki düzenlemelerle aynı minvalde ifadelere yer verilmiştir. Şöyle ki:

“Kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.”[11]

Kişisel verinin kapsamı dahilinde değerlendirilmesi gereken en mühim unsur veridir. Verinin aleniyeti veya gizliliği gibi özellikleri kişisel veri niteliği kazanması bakımından etken olarak önemsenir.[12] Bilgi kavramı, “işlemde kullanılan uzlaşımsal kurallardan yararlanarak kişinin veriye yönelttiği anlam” şeklinde ifade edilir.[13] Verinin, bilginin hammaddesi olduğu ifade edilebilir, bunun sebebi de verinin işlenmemiş bilgi niteliğinde olmasıdır.[14]

KVKK’da “her türlü bilgi” kavramı üzerinde durulmuştur. Bu kavrama başvurulmasının temel sebebi, hitap ettiği alanın mümkün olduğunca geniş yorumlanmasına olanak sağlamaktır.[15]

Nesnel verilerin yanında öznel ve yanlış bilgilerin de kişisel veri sayılması gerekir.[16] Zira verinin öznel yahut nesnel olması bu konuda önem arz etmez. Misalen, bir bireyin hastalanıp hastalanmadığı yahut kanında yabancı bir maddenin tespit edilip edilmediğine dair nesnel verilerin yanında bireyin ekonomik durumu yahut kişilik yönünden sevilen biri olup olmadığı gibi öznel veriler de kişisel veridir.[17]

Kişisel veri kavramının söz konusu olabilmesi için, ilgili kişinin belirlenebilir birisi olması gerekir. Bu konuda, kişisel veri kavramının gerçek kişiler ve tüzel kişiler için geçerli olup olmadığı saptanmalıdır.

KVKK m. 3/1-d’de yer alan “kişisel veri” tanımı dahilinde sadece gerçek kişilerin belirtildiği görülmektedir. Bunun yanında, konu hakkında içeriğe sahip olan ve yukarıda isimleri ve kısmi olarak içerikleri zikredilen milletlerarası sözleşmelerde de istisnalar hariç olmak üzere sadece gerçek kişilerin anıldığı anlaşılmaktadır. Türk hukuku bakımından değerlendirme yapılacak olursa, KVKK kapsamında yalnızca gerçek kişilere yer verildiğinden, kanun koyucunun tüzel kişileri işbu kanun kapsamına almak yönünde bir iradesinin olmadığı anlaşıldığından, tüzel kişilerin KVKK kapsamında koruma altına alınması mümkün değildir.[18]

Kişisel verilerin ölüm sonrasında da KVKK kapsamında korunup korunmayacağı meselesi irdelenmelidir. Türk Medeni Kanunu’nun 28’inci maddesine göre “Kişilik ölümle sona erer.”. Buna göre, ölmüş kişilerin kişiliği Türk Medeni Kanunu’na göre sona erdiğinden, bu kişiler artık “gerçek kişi” niteliğine sahip değildir. Bu minvalde, gerçek kişi olmadıklarından, kişisel verilerinin KVKK kapsamında korunmayacağı ifade edilebilir. GDPR’ın 27’nci paragrafında da ölülerin sözleşme kapsamına girmediği belirtilmiştir. Genel kural böyle olmakla beraber, özellikle ölmüş kişilerin verilerinin yaşayan birtakım kişilere etki edebileceği durumlarda, ilgili kişi ölü bile olsa kişisel verileri KVKK kapsamında koruma altında sayılmalıdır.[19]

II. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA YER ALAN İLGİLİ KAVRAMLAR

A. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, KVKK’nın 3’üncü maddesinde tanımlanmıştır. Buna göre, kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” şeklinde ifade edilir. Kısaca, kişisel verilerin işlenmesi, veriye erişilmesi anında başlayarak, paylaşma, aktarma, yok etme, silme gibi işlemlerin bütünüdür.[20]

B. Veri Sorumlusu

KVKK m. 3’te yer alan tanımına göre, veri sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade eder. Gerçek kişilerin haricinde tüzel kişiler de veri sorumlusu olabilir.[21] KVKK bakımından veri sorumlusu sıfatını haiz tüzel kişinin kamu tüzel kişisi yahut özel hukuk tüzel kişisi olabilmesi mümkündür.[22]

C. Veri İşleyen

KVKK m. 3’te yer alan tanıma göre, veri işleyen, “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder. Veri işleyen de veri sorumlusuna benzer şekilde gerçek veya tüzel kişi olabilir. Veri işleyen kişinin, veri sorumlusundan bağımsız halde karar alabilme yetkisi yoktur. Bunun yanında, veri işleyen ile veri sorumlusunun aynı kişi olması da pekâlâ mümkündür.[23]

D. Açık Rıza

“Açık rıza” kavramı KVKK m. 3’te tanımlanmıştır. Buna göre, açık rıza, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade eder. Açık rıza, ilgili kişi bakımından rehber niteliğinde olup, varlığıyla birlikte ilgili kişinin kişisel verisinin işlenmesi hususunda detaylı bilgi edinme imkânına yol açar.[24]

Tanımdan da açık bir şekilde anlaşıldığı üzere, açık rıza kavramı üç temel unsur üstüne inşa edilir. Bunlar; bilgilendirme esası, belirli bir konu ve özgür iradeyle açıklamadır. Kanunun gerekçesinde, “tereddüde yer vermeyecek açıklıkta olması” ifadelerine yer verilse de bu konu ilgili kişinin irade beyanıyla alakalı olup özgür iradeyle açıklama unsuru kapsamında ele alınacaktır.[25]

Her kişisel veri, müstakil bir açık rıza beyanına ihtiyaç duyar.[26] Açık rıza, veri sorumlusunun, ilgili kişinin kişisel verilerini işlemeden önce başvurması zorunlu bir usuldür. Ancak istisnai durumların mevcudiyeti halinde açı rızanın alınması gerekmez.[27]

Açık rızanın alınması herhangi bir usul kuralına tabi olmayıp, sözlü ya da yazılı şekilde alınabilir. Ancak ispat kolaylığı bakımından yazılı alınması faydalı olacaktır.

İlgili kişinin açık rıza beyanını geri alabilme hakkı her zaman mevcuttur. Ancak, açık rızanın geri alınmasına ilişkin beyan ileriye etkili olarak sonuç doğuracaktır.

Veri sorumlusunun, ilgili kişinin kişisel verilerinin işlenmesi hususunda birden fazla amacı söz konusuysa, her bir amaç için müstakil bir açık rıza beyanı alınması gerekir.[28]

Bilgilendirmeye dayanma unsuru -diğer bir ifadeyle aydınlatma-, veri işleme faaliyetinin süresi, amacı, kapsamı ve kişiye etki edebilecek tüm meselelere dair kişinin bilgilendirilmesini ifade eder.[29]

Bilgilendirmeye dayanma unsuru, KVKK’nın 10’uncu maddesinde düzenlenen “aydınlatma yükümlülüğü” ile derin bir ilişki içerisindedir. KVKK m. 10’a göre:

“Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11. maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.”

Açık rıza beyanı alınacak kişinin veri sorumlusu tarafından işbu hükümde yer alan hususlarda bilgilendirilmesi gerekmektedir.

Veri işlenmesinin genellikle karışık ve toplumsal deneyim dışında bir faaliyet olması, veri sorumlusunun bilgilendirme yükümlülüğünü yerine getirmesini de zorlaştırmaktadır. Bu açıdan, şayet veri sorumlusu tarafından sözlü şekilde bilgilendirme gerçekleştiriliyorsa açık ve net ifadeler seçilmeli, yazılı bilgilendirme gerçekleştiriliyorsa da kolaylıkla anlaşılabilen, okunaklı ifadelere yer verilmelidir.[30] Ayrıca kişisel veri üçüncü bir kişiye aktarılacaksa, ilgili kişinin, veri aktarılacak üçüncü kişi hakkında yeterli düzeyde bilgilendirilmesi gerekmektedir.[31]

Özgür irade açıklaması, ilgili kişinin kararını bizzat vermesi ve bu kararını hür bir şekilde dışa vurabilmesini ifade eder.[32] Hukuka uygun bir açık rızanın mevcudiyeti için, verilen rızanın şüpheden yoksun olması gerekir. Özgürce verilmiş rıza, ilgili kişinin şahsi duygularının tezahürü olmalıdır ve ilgili kişiye hakiki anlamda seçme hürriyeti tanınmalıdır.[33]

İlgili kişiden açık rıza beyanı alınması, bir hizmetten yararlanma veya bir malı temin etme gibi şartların gerçekleşmesi için zorunlu tutulursa, bu faaliyet hukuka aykırı olur.[34] Bu husus ile alakalı olarak verilmiş bir kurul kararında, “herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı” ifadeleri yer almakta olup, şu değerlendirmeler yapılmıştır:

“üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı”

E. Kişisel Veri İhlali

Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri KVKK’nın 12’nci maddesi kapsamında düzenlenmiştir. Buna göre:

“(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

Kişisel veri ihlali kavramının tanımı KVKK metninde yer almamaktadır. Ancak GDPR kapsamında kişisel veri ihlalinin tanımlandığı görülmektedir. Buna göre kişisel veri ihlali, “iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” ifadeleriyle tanımlanmıştır. Kişisel veri ihlalinin, hukuka uygun bir işlem vesilesiyle gerçeklemesi mümkün olduğu gibi, hukuka aykırı bir işlem neticesinde meydana gelmesi de pekâlâ olasıdır.[35]

F. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kanuni düzenleme KVKK’nın 7’nci maddesinde yer almaktadır. Şöyle ki:

“(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”

Maddenin üçüncü fıkrasında yapılan atıf gereği, 28.10.2017 tarihli “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” tesis edilmiştir.

Yönetmeliğin 7’nci maddesinde, işbu işlemlerin gerçekleştirilmesi hususunda uyulması gereken ilkeler belirtilmiştir:

“(1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

(4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.”

Yönetmeliğin 8’inci maddesinde, “kişisel verilerin silinmesi” ele alınmıştır:

“(1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”

9’uncu maddedeyse, “kişisel verilerin yok edilmesi” ne dair düzenleme yapılmıştır:

“(1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”

Kişisel verilerin anonim hale getirilmesi hususu da Yönetmeliğin 10’uncu maddesinde yer almaktadır:

“(1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

(2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

(3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”

Kişisel verilerin saklanması ve imha edilmesi hususları da Yönetmeliğin 5 ve 6’ncı maddelerinde düzenlenmiştir:

“Kişisel veri saklama ve imha politikasına ilişkin esaslar

MADDE 5 – (1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.”

“Kişisel veri saklama ve imha politikasının kapsamı

MADDE 6 – (1) Kişisel veri saklama ve imha politikası asgari olarak;

a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,

b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,

c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,

ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,

d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,

e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,

f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,

g) Saklama ve imha sürelerini gösteren tabloya,

ğ) Periyodik imha sürelerine,

h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,

ilişkin bilgileri kapsar.”

Kişisel verilerin silinmesi, kullanıcıların veriye erişme olasılığının kalmayacağı ve yeniden kullanılamayacağı şekilde işlenmesidir.[36] Bu neticelerin ortaya çıkması bakımından veri sorumlusunun her türlü tedbiri alması gerektiği ifade edilmelidir.[37]

Kişisel verilerin yok edilmesi, kişisel verilerin silinmesinin yanında telafi edilmez derecede imha olmasını ifade eder.[38] Verinin yok edilmesinde, geri döndürmeye yönelik yolların istisnasız şekilde kapatılması gerekir.

Kişisel verilerin anonim hale getirilmesi, verinin ilgili kişiyi tespit etmeye hizmet edecek yönlerinden arındırılmasıdır.

Anonim veri ile anonimleştirilmiş veri kavramlarının farkını belirtmek gerekir. Anonimleştirilmiş veri, kişiyle ilişkilendirilmesi fakat sonraları bu ilişkinin yok edilmesidir. Anonim veriyse, ilgili kişiyi tanıtacak herhangi bir ilişki kurma imkânı bulunmamasıdır.[39]

Sonuç olarak kişisel verinin silinmesi ve yok edilmesi işlemleri, veriye erişme ve veriyi yeniden kullanma hususunda kesin bir engel teşkil etmektedir. Anonimleştirme ise veri ile ilgili kişi arasında mevcut olan aleni ilişkiyi ortadan kaldırmayı amaçlar.[40]

G. Kişisel Verilerin Aktarılması

Kişisel verilerin aktarılması hususu temel anlamda yurtiçinde olabileceği gibi yurtdışına aktarma şeklinde de söz konusu olabilir.[41]

Kişisel verilerin aktarılması meselesi KVKK’nın 8’inci maddesinde düzenlenmiştir. Buna göre:

“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

Görüldüğü üzere kişisel verilerin aktarılması için kural olarak ilgili kişinin açık rızasının alınması gerekmektedir. Aksi halde, gerçekleştirilen veri aktarma işlemi hukuka aykırı olacaktır. Tabi hükmün ikinci fıkrasında belirtilen istisnai hallerden biri mevcutsa, kişisel verilerin ilgili kişiden açık rıza almadan da aktarılması mümkün olacaktır.

Kişisel verilerin yurtdışına aktarılması hususu da KVKK’nın 9’uncu maddesinde düzenlenmiştir. Şöyle ki:

“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

H. Özel Nitelikli Kişisel Veri

Özel nitelikli kişisel veri kavramı KVKK’nın 6’ncı maddesinde düzenlenmiştir. Buna göre:

“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”

Özel nitelikli kişisel veri, doktrinde, hassas veri, özel tür veri, özellikle muhafaza edilmesi gereken veri şeklinde de ifade edilebilir.[42] Özel nitelikli kişisel verileri, kişisel verilerin kapsamı dahilinde bir tasnif ürünü olarak nitelendirmek mümkündür.[43] Özel nitelikli kişisel veriler için yasal düzenlemelerde çok daha güçlü bir koruma mekanizması öngörülmüştür. Bu durumun sebebi de bu verilerin ilgili kişilerin dışında kişilerce öğrenilmesi halinde ayrımcılığa yo açabileceği olasılığıdır.[44]

KVKK m. 6 kapsamında sayılan özel nitelikli kişisel verileri şu şekilde ifade edebiliriz:

-  Siyasi görüş; kişinin, devletin yahut uluslararası düzenin yürütülmesi yönünde uyulması gerektiğini düşündüğü ilke ve fikirlerdir.

-  Felsefi ve dini görüş; kişinin itikadi olarak kıymet verdiği ve yüceliği karşısında aciz olduğunu düşündüğü, kutsallık atfettiği inançlardır.

-  Irki köken; kişinin soy ve kalıtım hususlarına kökenlerinin bağlı olduğu topluluk veya millettir.[45]

-   Ahlaki eğilim; kişinin bireysel veya toplumsal olarak uymak durumunda kaldığı birtakım genel kurallara karşı tutumudur.

-  Cinsel yaşam; kişinin cinsel temayülü, cinsel ilişkileridir.

-  Sağlık durumu; kişinin her türlü sağlık bilgisidir.

-  Sendikal bağlantı; kişinin, işçi ya da işverenlerin aralarında meydana getirdikleri kuruluşlardan bağlı bulunduğu veya yakın durduğu kuruluşu ifade eder.[46]

---------------

[1] Türk Dil Kurumu (“TDK”), Güncel Türkçe Sözlük, https://sozluk.gov.tr.

[2] TDK, https://sozluk.gov.tr.

[3] Detaylı bilgi için bkz. HENKOĞLU, Türkay, Bilgi Güvenliği ve Kişisel Verilerin Korunması, Ankara, 2015, s. 25-26.

[4] AŞIKOĞLU, Şehriban İpek, Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri, İstanbul, On İki Levha Yayınları, 2018, 1. Baskı, s. 5.

[5] AYÖZGER ÖNGÜN, Çiğdem, Kişisel Verilerin Korunması Hukuku Elektronik Haberleşme Sektörüne İlişkin Özel Düzenlemeler Dahil, İstanbul, Beta Yayınları, 2019, Genişletilmiş 2. Baskı, s. 6.

[6] AKSOY, Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Ankara, Çakmak Yayınevi, 2010, 1. Baskı, s. 1.

[7] Organisation for Economic Cooperation and Development (OECD).

[8] Council of Europe (Avrupa Konseyi).

[9] European Union (EU).

[10] Anayasa Mahkemesi E. 2015/32, K. 2015/102, 12.11.2015 tarihli kararı için bkz. Anayasa Mahkemesi Kararlar Bilgi Bankası https://www.anayasa.gov.tr/tr/kararlar-bilgi-bankasi/ 

[11] KVKK, 3’üncü Madde Gerekçesi. 

[12] ÜÇÜNCÜ, Sümeyye Hilal, Medeni Yargılama Hukukunda Kişisel Verilerin ve Sırların Korunması, İstanbul, On İki Levha Yayınları, 2019, 1. Baskı, s. 9.

[13] AYDIN, Muhammet, Kişisel Verilerin Korunması Bağlamında İdarenin Sorumluluğu ve Yargısal Denetimi, Yayımlanmamış Yüksek Lisans Tezi, Ankara, 2020, s. 2; ÖNGÜN, s. 8.

[14] AKGÜL, Aydın, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması, İstanbul, 2014, s. 10. 

[15] KÜZECİ, Elif, Kişisel Verilerin Korunması, Yenilenmiş ve Gözden Geçirilmiş 2. Baskı, Ankara, 2018, s. 323. 

[16] KORFF, Douwe, New Challenges to Data Protection Study-Working Paper No. 2: Data Protection Laws in the EU: The Difficulties in Meeting the Challenges Posed by Global Social and Technical Developments, European Commission DG Justice, Freedom and Security Report, 2010, s. 41; ÖZDEMİR, Hayrunnisa, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Ankara, 2009, s. 125. 

[17] AKSOY, s. 14. 

[18] ÖZKAN, Oğulcan, Kişisel Verilerin Korunması, Yayımlanmamış Yüksek Lisans Tezi, Ankara, 2020, s. 15.

[19] ARPACI, Abdülkadir, Kişiler Hukuku (Gerçek Kişiler), Gözden Geçirilmiş ve Genişletilmiş 2. Bası, İstanbul, 2000, s. 187.

[20] KORKMAZ, İbrahim, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, Türkiye Barolar Birliği Dergisi, Cilt 29, Sayı: 124, Mayıs 2016, s. 95.

[21] MEMİŞ, Tekin, Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni, Beykent Üniversitesi Hukuk Fakültesi Dergisi, Cilt: 3, Sayı: 6, Aralık 2017, s. 9-23.

[22] AŞIKOĞLU, s. 113.

[23] MEMİŞ, s. 9-23.

[24] Kişisel Verileri Koruma Kurumu, Açık Rıza Alırken Dikkat Edilecek Hususlar, https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar

[25] TAŞTAN, Furkan Güven, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, İstanbul, On İki Levha Yayınları, 2017, 2. Baskı, s. 157.

[26] GÖÇMEN UYARER, Sinem, Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Ankara, Seçkin Yayınları, 2019, 1. Baskı, s. 109.

[27] DÜLGER, Murat Volkan, Kişisel Verilerin Korunması Hukuku, İstanbul, Hukuk Akademisi Yayınları, 2019, 1. Baskı, s. 27.

[28] ERASLAN TÜRKMEN, Sevgi, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, İstanbul, On İki Levha Yayınları, 2019, 1. Baskı, s. 122.

[29] TAŞTAN, s. 158.

[30] AVCI BRAUN, Cihan, Kişisel Verilerin İşlenmesinde Rıza, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, Cilt: 15, Sayı: 1, Haziran 2018, s. 25.

[31] AVCI BRAUN, s. 25.

[32] DÜLGER, s. 25.

[33] TAŞTAN, s. 160.

[34] Kurum, Açık Rıza, s. 6.

[35] ÖZDEMİR, Hayrünnisa, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Ankara, Seçkin Yayınları, 2009, 1. Baskı, s. 122.

[36] UYARER, s. 158.

[37] ÖNGÜN, s. 196.

[38] UYARER, s. 159.

[39] ERDİNÇ, Göksu Hazar, Bilgi Güvenliği, Kişisel Verilerin Korunması ve Biyometrik Verilerin İşlenmesine İlişkin Öneriler, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2017, s. 26.

[40] TURAN, Metin, Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Seçkin Yayınları, Güncellenmiş 2. Baskı, Ankara, 2019, s. 81.

[41] KONG, Lingjie, Data Protection and Transborder Data Flow in the European and Global Contex, The European Journal of International Law, Cilt: 21, Sayı: 2, 2010, s. 446.

[42] BEYTAR, Erbil, İşçinin Kişiliğinin ve Kişisel Verilerinin Korunması, On İki Levha Yayıncılık, İstanbul, 2018, 2. Baskı, s. 54.

[43] ÖNGÜN, s. 23.

[44] UNCULAR, Selen, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Seçkin Yayıncılık, Ankara, 2018, Güncellenmiş ve Genişletilmiş 2. Baskı, s. 114.

[45] BÜK, Alaattin, Bilişim Alanında Kişisel Verilerin Korunması, Seçkin Yayıncılık, Ankara, 2018, 1. Baskı, s. 38-39.

[46] AKDAĞ, Hale, Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara, 2013, 1. Baskı, s. 33-34.