• DOLAR
    5,7117
    %0,61
  • EURO
    6,3156
    %0,83
  • ALTIN
    275,30
    %0,94
  • BIST
    100.339
    %-1,56
Av. S. Sanem YILMAZ
Av. S. Sanem  YILMAZ
gizlidir@adaletmedya.net
Kişisel Veri Nedir ? Kişisel Verilerin Korunması Kanunu
  • 21 Haziran 2019 Cuma
  • 1 Star2 Stars3 Stars4 Stars5 Stars
  • +
  • -

Kişisel Verilerin Korunması Kanunu 6698 sayılı yasa 3. maddesinde kişisel veriyi, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tüm bilgi” olarak tanımlamıştır. Hak, Anayasanın 20. maddesinde tanınan haklardan olup, “Herkes, kendisi ile ilgili kişisel verisinin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisi ile ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” düzenlemesi ile anayasal zeminde de ifadesini bulmuştur.

Anayasa Mahkemesi kararlarında belirtildiği üzere, kişisel veri, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmekte olup, ad, soyad, doğum tarihi, doğum yeri gibi bireyin sadece kimliğini ortaya koyan verilerini değil, telefon numarası, motorlu araç plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgiler, IP adresi, e-posta adresi, alışveriş alışkanlıkları, hobiler, tercihler, etkileşimde bulunduğu kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan tüm verilerin kişisel veri kapsamında olduğu belirtilmektedir.

Avrupa Konseyi bünyesinde hazırlanan 28/01/1981 tarihli “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin” Tanımlar başlıklı 2. maddesinin 1. fıkrasının a bendine göre Kişisel Veri, “kimliği belirli veya belirlenebilir bir kişi hakkındaki tüm bilgileri” ifade eder. Tanım 6698 sayılı Kişisel Verilerin Korunması Kanununda düzenlenen hali ile aynıdır.
95/46/EC sayılı “Bireylerin Kişisel Verilerinin İşlenmesi ve Serbestçe Dolaşımı Karşısında Korunmasına İlişkin Direktif’in 2/a maddesinde ve 2016/679 sayılı Genel Veri Koruma Tüzüğü’nün 4/1 maddesindeki kişisel veri tanımına uygun olarak KVKK tanımlama yapmıştır.
Anayasa Mahkemesi kararında kişisel verinin tam olarak neleri karşıladığı tanımlanmış olsa da kişisel verilerin kapsamını belirlemek o kadar kolay değildir. Kısaca kişinin tüm yaşamına ilişkin verileri kişisel veri kabul edilmeli, tüm sağlık verileri, fiziksel özelliklerinin canlandırılmasına yarayacak tüm veriler, fotoğrafı, sosyo-ekonomik durumuna ilişkin verileri, kişisel veri kapsamında kabul edilecektir.

2.1 Bilgi

Kişisel verinin tanımından yola çıkarak ulaşmış olduğumuz unsurlardan biri, bilgidir. Kişisel Verilerin Korunması Kanunu’nda değinilen bilgi kavramına kişinin tüm bilgileri dahildir. Daha önce de ifade ettiğimiz gibi “tüm bilgiler” kavramı oldukça geniş ifade edilmiş, kişinin ekonomik, sosyal, ailevi tüm bilgileri ile fiziksel görünüme ilişkin bilgileri, kimliğine ilişkin bilgileri kişisel veri kapsamında tüm verilerine dahildir. KVKK’nın düzenlemesi incelendiğinde kişisel verilerine ait bilgilerin gizli olması da aranmamıştır.

 

2.2. Kimliği Belirli veya Belirlenebilir Kişi

Kişisel Veri’nin ikinci unsuru bilgiye bağlı olarak kişiye ait bilginin kimliği belirli veya belirlenebilir bir kişiye ait olmasıdır. Burada tartışılması gereken nokta belirli veya belirlenebilir kişi kavramına gerçek veya tüzel kişilerin girip girmediği noktasıdır. 24 Ekim 1995 tarih ve 95/46/EC sayılı, “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına Dair Avrupa Parlamentosu ve Avrupa Konseyi Direktifi, sadece gerçek kişilerden bahsetmiş, tüzel kişileri kapsar bir düzenleme yapmamıştır. “Belçika, Finlandiya, Fransa, Almanya, Yunanistan, İrlanda, Hollanda, Portekiz, İspanya, İsveç ve İngiltere yasalarında yalnızca gerçek kişilere ilişkin veriler kişisel veri olarak kabul edilirken Avrupa Birliği üye ülkelerinden Avusturya, Danimarka, İtalya ve Lüksemburg ile birlik üyesi olmayan İzlanda, Norveç ve İsviçre’de veri koruma yasaları tüzel kişileri de korumaktadır. KVKK’nun 3/d maddesi de kişisel verilerin sadece gerçek kişilere ilişkin olacağını kabul etmektedir.

Ölmüş kişiler açısından kişisel veri kapsamının nasıl değerlendirileceğine ilişkin farklı düzenlemeler bulunmaktadır. Kişilerin tıbbi verilerinin öldükten sonra da saklanacağına ve açıklanmasının kişisel verilerin açıklanması suçunu oluşturacağına dair uluslararası düzenlemeler olduğunu ve korumanın öldükten sonra da devam ettiğini bildiğimize göre, ülke uygulamalarına göre de meselenin farklılık göstermesi ölüm zamanı ya da öldükten sonra geçen süre ile ilgili olabilir. İngiltere sadece hayatta olan kişilerin kişisel verilerinin korunmasını düzenlemişken, Kanada ölen kişinin öldüğü tarihten itibaren 20 yıllık süre ile veri korumasını düzenlemiştir. Bazı durumlarda ölen kişilerin verilerinin açıklanması kendi soylarından gelenlerin hastalıklarının tespiti açısından önem taşıdığından verilerin açıklanması bu nedenle tehlikelidir. örneğin, hemofili, X kromozomuna bağlı genetik bir hastalık olduğundan, ölmüş bir kimsenin hemofili hastası olduğuna ilişkin bilgi, o kişinin oğlunun da aynı hastalığı taşıdığını ortaya koymaktadır. Bu niteliği itibariyle sözkonusu bilgi veri koruma yasalarının kapsamı içinde değerlendirilmelidir.

 

Kimliği belirli veya belirlenebilir olmak unsuru, ayırt edici birtakım unsurların olması gerektiğine dikkat çeker. Yani bu kavram “bir kişinin diğerlerinden ayırt edilmesi” anlamını taşımaktadır. KVKK’nun gerekçesinde belirli veya belirlenebilir olma ile ilgili şu cümleler ifade edilmiştir: “Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.”

Belirlilik, her somut olaya göre ayrıca değerlendirilecektir. Bazı durumlarda belirlenebilirlilik için, kişi hakkında somut bir veri yetmemekte, başka verilerle de desteklenmesi gerekmektedir. Sağlık verileri ile ilgili değerlendirdiğimizde ise; bir hastanın ismi onun diğerlerinden ayırt edilmesi için belirleyici olmayabilir ancak fiziksel özellikleri ile tarif edilen ya da vücudundaki bir işaretle tarif edilen hasta diğerlerinden ayırt edici olabilir.


2.3. Bilginin Kişiye İlişkin Olması

Kişisel veri’nin son unsuru olan bilginin kişiye ilişkin olması, kişisel veri niteliğinde olan bir bilginin belirli veya belirlenebilir olan o kişi hakkında olmasıdır. Bu husus da verinin kişisel veri olup olmadığını tespit açısından önem arzetmektedir. “Örneğin, bir bisküvi üretim makinesinin faaliyetine ilişkin olarak toplanan veri, o makinenin verimliliğini tespit amacıyla değil, makineyi kullanan işçinin verimliliğini belirlemek amacıyla kullanılıyorsa, sözkonusu bilgi o işçi bakımından kişisel veri olarak kabul edilebilecektir.

Bir bilginin, bir kişi hakkında kişisel veri kabul edilebilmesi için her zaman bilginin o kişiye ait olması gerekmez. Örneğin; hekim hastasını tedavi sırasında hastasının ailesi ile ilgili bilgiler de öğrenmişse, bu bilgiler o kişi için kişisel veri kabul edilir. Burada o kişinin hak ve menfaatlerini etkiliyor olması kriteri işletilecektir.

Sosyal Medyada Paylaşın:

Düşüncelerinizi bizimle paylaşırmısınız ?