Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. Maddesinde şöyle tanımlanmıştır: “kişisel veri, Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.” Bu tanıma göre kişisel verinin üç unsuru olduğu söylenebilir: Gerçek kişiye ilişkin olma, gerçek kişinin kimliğinin belirli veya belirlenebilir olması, her türlü bilgi.
6698 sayılı KVKK’ya göre kişisel veri ancak gerçek kişiye ilişkin olabilir. Dolayısıyla tüzel kişilere ilişkin bilgiler bu Kanun kapsamında değildir. Doktrinde bir görüş tüzel kişilere ait bilgilerin de kişisel veri olarak kabul edilebileceğini savunmaktadır.[1] Gerçek kişi bu Kanun kapsamında kişisel verilerin korunması hakkının öznesidir. Kanun verisi işlenen gerçek kişi için ilgili kişi olarak adlandırmaktadır.[2]
Kişisel veri konusunda en çok sorulan sorulardan birisi hangi verilerin kişisel veri olduğu yönündedir. Buna göre en çok sorulan sorular; TC Kimlik numarası kişisel veri midir? Fotoğraf kişisel veri midir? Telefon numarası kişisel veri midir? Parmak izi kişisel veri midir? Ses kaydı kişisel veri midir? Iban numarası kişisel veri midir? gibi sorulardır. Bu soruları cevaplamak için öncelikle kişisel veriye dair aşağıdaki şartları incelemek gerekmektedir.
Gerçek kişinin kimliğinin belirli veya belirlenebilir olması gerekir. Her türlü bilgi ile gerçek kişiye ilişkin olma unsurlarının arasındaki bağ, gerçek kişinin kimliğinin belirli veya belirlenebilir olması unsurunu sağlar. Bu bağ varsa, yani bilgi, gerçek kişinin kimliğini ortaya çıkarıyorsa, belirlenebilir olma koşulu gerçekleşmiş olur. Kimliğin o bilgide belirli olması şart olmamakla birlikte belirlenebilir olması yeterlidir. Bu durum kanunun gerekçesinde “mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesi” olarak belirtilmiştir.
Kişilerin belirlenmesini sağlayan adı, soyadı, doğum tarihi gibi bilgilerin yanı sıra onun belirlenmesini sağlayacak ailevi, sosyal ve fiziki özelliklerine ilişkin bilgiler de kişisel veri kabul edilmektedir. Bununla birlikte resim, ses kaydı, özgeçmiş gibi bilgileri de kişinin belirlenebilir olmasını sağlayacağı için kişisel veri sayılmaktadır.[3] Bilgi ile kişi arasında hiçbir şekilde bir bağ kurulamamış, yani kişi bu bilgi doğrultusunda belirlenebilir değilse, anonim olan bu bilgiler kişisel veri değildir.[4]
Her türlü bilgi ifadesinden, bir bilginin kişisel veri olması için bilginin türünün veya niteliğinin önemi olmadığı anlaşılır. KVKK’nın gerekçesinde telefon numarası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü gibi bilgiler kişisel veri örnekleri arasında sayılmıştır. [5] Gerçek bir kişiye ait olan onu belirlenebilir yapan her türlü bilgi kişisel veri olsa da, bazı veriler daha “hassas” sayılarak daha sıkı bir korumaya tabi tutulurlar.
Veri sorumlusu, kısaca kişisel verileri işleme faaliyetinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. KVKK m.3’e göre veri sorumlusu “Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade eder. Yani veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirler, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olur. [6]
Yalnızca şirketler mi veri sorumlusu olabilir veya kimler veri sorumlusu olamaz soruları sıkça sorulmaktadır. Kamu ve özel hukuk tüzel kişilerinin veri sorumlusu olabileceği gibi gerçek kişiler de veri sorumlusu olabilmektedir.
Veri sorumlusu gerçek veya tüzel kişi olabilir. Örneğin gerçek kişi olarak bir avukat, müvekkilinin kişisel verilerinin ne zaman ve nasıl elde edileceğine veya hangi amaçla işleneceğine veya işleme ve saklama süresine karar verdiğinde bir veri sorumlusu olur. Bu avukatın yanında bağlı çalışan avukatlar veya yardımcı elemanlar bu işleme yer alıp, bazı faaliyetler yapsalar bile, avukat adına yapacakları bu işlemler için veri işleyen olacaklardır.[7]
Tüzel kişi olarak ise bir şirketin kişisel veriler ile ilgilenen insan kaynakları departmanı ya da herhangi bir departmanı işlemlerini işverenin adına ve onun çizdiği sınırlar dâhilinde yaptıkları ve ayrıca kendi tüzel kişilikleri bulunmadığı için veri sorumlusu olmayacaklardır. Fakat ilgili departmanın işlemlerinden de sorumlu olan tüzel kişi veri sorumlusu olacaktır. Veri işleme faaliyetinde işveren şirkete yardımcı olan o departman çalışanları ise, veri işleyen olabilecektir. Veri işlemede sınırı aştıkları takdirde ise, yani işverenin çizdiği kapsam ve amacın dışına çıktıklarında ise yine departman tüzel kişiliği olmadığından ötürü veri sorumlusu olamayacağı için, çizilen sınırı aşan gerçek kişiler de veri sorumlusu olabilecektir.
KVKK, hem kamu tüzel kişilerini hem de özel hukuk tüzel kişilerini ilgilendiren uygulama alanı olduğundan dolayı, bahsi geçen sorumlu olan tüzel kişi ifadesi kamu tüzel kişisini de kapsar. Kanunun ifadesinden veri sorumlusu olmanın iki unsuru olduğu anlaşılır: kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma. Bu nitelikleri taşıyan kişiler veri sorumlusu olarak kabul edilir.[8]
Veri sorumlusu tespit edilirken dikkat edilmesi gereken hususları Kişisel Verileri Korumu Kurumu yayınladığı rehberde açıklamıştır. Buna göre şu hususlar veri sorumlusunun tespitinde önemlidir: kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı ve verilerin ne kadar süreyle saklanacağı. Bu sayılan hususlarda kim karar veriyorsa, veri sorumlusu odur. Kısaca veri işleme faaliyetinin “neden” ve “nasıl” yapılacağına karar veren kişi veri sorumlusudur.
Veri sorumlusu, veri işleme faaliyeti üzerinde tam hâkimiyeti olan gerçek veya tüzel kişidir. Veri sorumlusu veri işleme faaliyetinin kapsam ve sınırlarını belirleyerek, teknik ve organizasyonel konuları daha sonra açıklayacağımız veri işleyenin takdirine bırakabilir. Fakat veri işleyen bu sınırlar ve kapsam içinde işlemlerini yürütmelidir, aksi takdirde veri sorumlusuna dönüşebilecektir.
Veri işleme faaliyetinde tasarruf yetkisine sahip olan kişi, verinin hukuka uygun kullanımı konusunda da sorumluluk altına alınmaktadır. Yani veri sorumlusunun verinin “kaderini” belirleyebilme ihtimali söz konusu olmaktadır. [9]
Veri sorumlusunun bazı yükümlülükleri Kişisel Verilerin Korunması Kanunu’nda düzenlenmiştir. Buna göre 10. Maddede veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. Veri sorumlusu veya yetkilendirdiği bir kişi kişisel verileri elde etme sırasında ilgili kişiyi şu konularda aydınlatmalıdır: veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin 11. Maddede belirtilen hakları konusunda bilgi vermekle yükümlüdür.
Veri sorumlusu kişisel verilerin güvenliklerinden de sorumludur ve bu 12. Maddede düzenlenmiştir. Buna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve yine hukuka aykırı olarak bu verilere erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik önlemleri için her türlü teknik ve idari tedbirleri almakla yükümlüdür.[10] İlgili kişi m. 13’e göre KVKK’ nın uygulanması ile ilgili taleplerini veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, en kısa sürede ve her halde 30 gün içinde sonuçlandırır.
Veri sorumluları ilgili kanunun 16. Maddesi gereği veri işlemeye başlamadan önce kural olarak Veri Sorumluları Siciline kaydolmak zorundadır.
Kısaca veri sorumlusunun yükümlülüklerini sıralamak gerekirse; kişisel veriler ile ilgili ilkelere uygun davranma, kişisel verilerin silinmesi veya bunların silinmesinin takibi, kişisel verilerin aktarılmasında rızaya uygunluk ve özen, aydınlatma yükümlülüğü, veri güvenliğinin sağlanması, sır saklama yükümlülüğü, kendisine başvuruları kabul, kurul kararlarına uyma ve sicile kaydolma olarak sıralanabilir.[11]
*Konu ile ilgili olarak mutlaka bir avukata danışmanızı ve KVKK alanında çalışan avukatlardan profesyonel bir yardım almanızı tavsiye ederiz. Daha detaylı bilgi için bize ulaşabilirsiniz.
[1] AKSOY Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Ankara, 2010, s.18
[2] KÜZECİ Elif KILIÇ Şebnem ,6698 sayılı Kişisel Verilerin Korunması Kanunu’nun İş Sözleşmesi Çerçevesinde Değerlendirilmesi: Veri Sorumlusu, Veri İşleyen ve Diğer Aktörler, İSGHD, 2019, 16/63 S.955
[3] KORKMAZ İbrahim, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, TBB Dergisi, 2016/124, s. 92-93
[4] KÜZECİ Elif KILIÇ Şebnem, age S.957
[5] KÜZECİ Elif KILIÇ Şebnem, age S.958
[6] ERALP Özgür, Kişisel Verilerin Korunması, Leges Hukuk Dergisi, 2018, S. 35
[7] PEKMEZ Cüneyt, Overview of the Definitons of Data Controller and Data Processor within the Scope of The Turkish Code of Personal Data Protection (TCDP), Istanbul University Press, 2019, S. 64-65
[8] KÜZECİ Elif KILIÇ Şebnem, age S.964
[9] ÇEKİN Mesut Serdar, Borçlar Hukuku ile Veri Koruma Hukuku Açısından Blockchain Teknolojisi ve Akıllı Sözleşmeler: Hukuk Düzenimizde Bir Paradigma Değişimine Gerek Var Mı?, İstanbul Hukuk Mecmuası, 2019, S.332
[10] KORKMAZ İbrahim, age s. 134
[11] MEMİŞ Tekin, Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni, Beykent Üniversitesi Hukuk Fakültesi Dergisi, 2017, S. 14-15
