KİŞİSEL VERİLERİ KORUMA KANUNU KISA BİLGİLENDİRME
Gerek kamu, gerekse özel kurum ve kuruluÅŸlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla baÄŸlantılı olarak, kiÅŸisel veri niteliÄŸindeki bilgileri, uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kiÅŸilerin rızasına veya bir sözleÅŸmeye dayanmakta bazen de yapılan iÅŸlemin niteliÄŸine baÄŸlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kiÅŸilerin temel hak ve hürriyetlerinin veri iÅŸleme sürecinde de korunması öncelikli konulardan biridir. Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliÅŸtirilmesi, dağıtımı ve pazarlanması için kiÅŸisel verilerin toplanması kaçınılmaz olmakla birlikte, kiÅŸisel verilerin sınırsız ve geliÅŸigüzel toplanmasının, yetkisiz kiÅŸilerin eriÅŸimine açılmasının, ifÅŸası, amaç dışı ya da kötüye kullanımı sonucu kiÅŸisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.
Kanunla, kiÅŸisel verilerin sınırsız biçimde ve geliÅŸigüzel toplanması, yetkisiz kiÅŸilerin eriÅŸimine açılması, ifÅŸası veya amaç dışı ya da kötüye kullanımı sonucu kiÅŸilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
Kanun, kiÅŸisel verileri iÅŸlenen gerçek kiÅŸiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kiÅŸisel verilerin belirli kriterlere göre yapılandırılarak iÅŸlendiÄŸi kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla iÅŸleyen gerçek ve tüzel kiÅŸiler hakkında uygulanır. Bu doÄŸrultuda, özel sektörde faaliyet gösteren kuruluÅŸlar ile kamu kurum ve kuruluÅŸları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluÅŸlar açısından uygulanması benimsenmiÅŸtir. Kanunda verisi iÅŸlenen gerçek kiÅŸilerden bahsedildiÄŸi için hak ehliyetine sahip olan herkes Kanun kapsamındadır.
KiÅŸisel verilerin korunması, kiÅŸisel verilerin iÅŸlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. KiÅŸisel verilerin korunması, temelde verilerin deÄŸil, bu verilerin iliÅŸkili olduÄŸu kiÅŸilerin korunmasını amaçlamaktadır. BaÅŸka bir ifade ile verilerin korunması; kiÅŸileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla iÅŸlenmesinden doÄŸacak zararlardan koruma amacına yönelmiÅŸ ve kiÅŸisel verilerin korunmasına iliÅŸkin ilkelerde somutlaÅŸmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kiÅŸisel verilerin korunmasının, kiÅŸilere iliÅŸkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri iÅŸleme süreçlerinin bütün aÅŸamalarını kapsar ÅŸekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kiÅŸisel verilerin korunması, kiÅŸinin verilerinin geleceÄŸini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kiÅŸilik hakkının da bir gereÄŸidir.
KiÅŸisel Veri Nedir?
KiÅŸisel veri, kimliÄŸi belirli veya belirlenebilir gerçek kiÅŸiye iliÅŸkin her türlü bilgiyi ifade etmektedir. KiÅŸisel veriden söz edebilmek için, verinin bir gerçek kiÅŸiye iliÅŸkin olması ve bu kiÅŸinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;
1. Gerçek kiÅŸiye iliÅŸkin olma: KiÅŸisel veri, gerçek kiÅŸiye iliÅŸkin olup, tüzel kiÅŸilere iliÅŸkin veriler kiÅŸisel verinin tanımının dışındadır. Dolayısıyla, bir ÅŸirketin ticaret unvanı ya da adresi gibi tüzel kiÅŸiliÄŸe iliÅŸkin bilgiler (bir gerçek kiÅŸiyle iliÅŸkilendirilebilecekleri durumlar haricinde) kiÅŸisel veri sayılmayacaktır.
2. KiÅŸiyi belirli veya belirlenebilir kılması: KiÅŸisel veri, ilgili kiÅŸinin doÄŸrudan kimliÄŸini gösterebileceÄŸi gibi, o kiÅŸinin kimliÄŸini doÄŸrudan göstermemekle birlikte, herhangi bir kayıtla iliÅŸkilendirilmesi sonucunda kiÅŸinin belirlenmesini saÄŸlayan tüm bilgileri de kapsar.
3. Her türlü bilgi: Bu ifade son derece geniÅŸ olup, bir gerçek kiÅŸinin; adı, soyadı, doÄŸum tarihi ve doÄŸum yeri gibi bireyin sadece kimliÄŸini ortaya koyan bilgiler deÄŸil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiÅŸ, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileÅŸimde bulunulan kiÅŸiler, grup üyelikleri, aile bilgileri, saÄŸlık bilgileri gibi kiÅŸiyi doÄŸrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kiÅŸisel veri olarak kabul edilmektedir.
Kanunda hangi bilgilerin kiÅŸisel veri olarak kabul edileceÄŸine iliÅŸkin sınırlı sayım yoluna gidilmediÄŸinden, kapsamının geniÅŸletilmesi mümkündür. Önemli olan verinin kiÅŸi ile iliÅŸkilendiriliyor olması ya da onu tanımlayabilmesidir. ÖrneÄŸin, takma isimler tek başına veya baÅŸka kaynaklarla birleÅŸtirildiÄŸinde kiÅŸiyi tanımlamayı saÄŸlayabilecek nitelikte ise bu tarz veriler de kiÅŸisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliÄŸi belirli veya belirlenebilir gerçek kiÅŸiyle iliÅŸkili müÅŸteri ÅŸikayet raporları, çalışan performans deÄŸerlendirme raporları, mülakat deÄŸerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı iÅŸlem kayıtları gibi kayıtlar, özgeçmiÅŸ, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kiÅŸisel veri olarak addedilebilir. Ancak yine de bunların kiÅŸisel veri olup olmadığı her somut olayın özelliÄŸine göre “kiÅŸiyi tanımlayabilme” kabiliyeti dikkate alınarak deÄŸerlendirilmelidir.
KiÅŸisel Verilerin Ä°ÅŸlenmesi Ne Demektir?
KiÅŸisel verilerin iÅŸlenmesi, kiÅŸisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, deÄŸiÅŸtirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleÅŸtirilen her türlü iÅŸlemi ifade eder. ÖrneÄŸin, kiÅŸisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle baÅŸkaca hiçbir iÅŸlem yapılmasa da bir veri iÅŸleme faaliyetidir. Dolayısıyla veri iÅŸleme kapsamına giren eylemler sınırlı sayıda olmayıp, kiÅŸisel verilerin ilk defa elde edilmesinden baÅŸlayarak veriler üzerinde gerçekleÅŸtirilen tüm iÅŸlem türlerini ifade etmektedir.
Veri Kayıt Sistemi Nedir?
Veri kayıt sistemi, kiÅŸisel verilerin belirli kriterlere göre yapılandırılarak iÅŸlendiÄŸi kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluÅŸturulabilir. Buna göre, veri kayıt sisteminde kiÅŸisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceÄŸi gibi, örneÄŸin kredi borcunu ödemeyenlere iliÅŸkin oluÅŸturulacak bir sınıflandırma da bu kapsamda deÄŸerlendirilmektedir. ÖrneÄŸin, herhangi bir kritere baÄŸlı olmaksızın geliÅŸigüzel bir ÅŸekilde sadece kiÅŸilerin ad ve soyadlarının bir kağıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kağıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında deÄŸerlendirilmektedir.
Açık Rıza Nedir?
Açık rıza, belirli bir konuya iliÅŸkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır. Açık rızanın üç unsuru bulunmaktadır:
1. Belirli bir konuya iliÅŸkin olması: Veri iÅŸlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya iliÅŸkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kiÅŸisel verilerimin iÅŸlenmesini kabul ediyorum” ÅŸeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun baÄŸlamında açık rıza olarak kabul edilemez. DiÄŸer bir ifade ile battaniye rızalar hukuken geçersizdir.
2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kiÅŸinin özgür bir ÅŸekilde rıza gösterebilmesi için neye rıza gösterdiÄŸini bilmesi gerekir. Bu kapsamda, kiÅŸiye yapılacak bilgilendirme, mutlaka verinin iÅŸlenmesinden önce yapılmalı ve veri iÅŸleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleÅŸtirilmelidir. Bilgilendirme yapılırken elde edilecek kiÅŸisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kiÅŸinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceÄŸi oranda küçük puntolar kullanılmamalıdır.
3. Özgür iradeyle açıklanması: KiÅŸinin irade beyanı olan rıza, kiÅŸinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kiÅŸinin özgür biçimde karar vermesi mümkün deÄŸildir. ÖrneÄŸin, iÅŸçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin iÅŸçi açısından muhtemel bir olumsuzluk doÄŸuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. Açık rızanın özgür irade ile açıklanması gerektiÄŸinden, ilgili kiÅŸinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön ÅŸartı olarak ileri sürülmemelidir. ÖrneÄŸin, bir hizmetten yararlanılmasının üyelik ÅŸartına baÄŸlandığı yerlerde, üye olmak isteyen ilgili kiÅŸinin parmak izinin alınması ve iÅŸlenmesinin üyelik sözleÅŸmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu ÅŸekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.
Veri Sorumlusu Kimdir?
Veri sorumlusu, kiÅŸisel verilerin iÅŸleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kiÅŸiyi ifade eder. Bu kiÅŸiler, gerçek kiÅŸiler olabileceÄŸi gibi, kamu kurumları, ÅŸirketler, dernekler veya vakıflar gibi tüzel kiÅŸiler de olabilecektir. Veri sorumlusu, iÅŸleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kiÅŸidir. Veri sorumlusunun tespiti için kiÅŸisel verilerin iÅŸlenmesi ve iÅŸlenme amacı, iÅŸlenecek kiÅŸisel veri türleri, iÅŸlenen kiÅŸisel verilerin hangi amaçlarla kullanılacağı, hangi kiÅŸilerin kiÅŸisel verilerinin iÅŸleneceÄŸi, kiÅŸisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kiÅŸilerin eriÅŸim hakkı ve diÄŸer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiÄŸi dikkate alınır. Burada belirtilmesi gereken diÄŸer bir husus ise, eÄŸer veri iÅŸleme faaliyeti bir tüzel kiÅŸilik tarafından gerçekleÅŸtiriliyorsa, burada veri sorumlusu tüzel kiÅŸinin kendisidir. Tüzel kiÅŸiliÄŸin içerisinde veri iÅŸleme faaliyetlerinden sorumlu olan gerçek kiÅŸiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kiÅŸi olması halinde, veri sorumlusu yükümlülüÄŸü ilgili tüzel kiÅŸilik üzerinde doÄŸacaktır. Bu yükümlülük tüzel kiÅŸiliÄŸi temsil ve ilzama yetkili organlar veya kiÅŸiler eliyle yerine getirilecektir. Tüzel kiÅŸiliÄŸi temsil ve ilzama yetkili olan organ veya kiÅŸiler tüzel kiÅŸilik içerisinde tüzel kiÅŸiliÄŸin sahip olduÄŸu veri sorumlusu yükümlülüklerini yerine getirmek üzere kiÅŸi veya kiÅŸileri görevlendirebilirler. Bu görevlendirme tüzel kiÅŸiliÄŸin veri sorumlusu yükümlülüÄŸünü ortadan kaldırmaz ve ilgili gerçek kiÅŸilerin de veri sorumlusu olarak tanımlanmasını saÄŸlamaz. Bu konuda kamu hukuku tüzel kiÅŸileri ve özel hukuk tüzel kiÅŸileri bakımından da Kanunda bir farklılık gözetilmemiÅŸtir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kiÅŸilerin sorumluluÄŸuna iliÅŸkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Veri Ä°ÅŸleyen Kimdir?
Veri iÅŸleyen, veri sorumlusu adına kiÅŸisel verileri kendisine verilen talimatlar çerçevesinde iÅŸleyen gerçek veya tüzel kiÅŸilerdir. Veri iÅŸleyenin faaliyetleri veri iÅŸlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri iÅŸleyenin bu kapsamdaki kiÅŸisel veri iÅŸleme faaliyetlerini veri sorumlusundan aldığı talimatlar doÄŸrultusunda gerçekleÅŸtirmesidir. ÖrneÄŸin, veri sorumlusunun verdiÄŸi yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çaÄŸrı merkezi hizmeti veren bir ÅŸirket bu faaliyet kapsamında veri iÅŸleyen olarak kabul edilecektir.
Kanunda Sayılan Veri Ä°ÅŸlenmesine Ä°liÅŸkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?
Kanunda, kiÅŸisel veri iÅŸleme faaliyetlerine iliÅŸkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kiÅŸisel verilerin iÅŸlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kiÅŸidir. Veri iÅŸleyen ise, veri sorumlusunun verdiÄŸi yetkiye dayanarak onun adına kiÅŸisel veri iÅŸleyen gerçek veya tüzel kiÅŸidir. Buna göre, veri iÅŸleyenin veri sorumlusunun talimatlarını yerine getirdiÄŸi açıktır.
Veri Sorumlusunun Aydınlatma YükümlülüÄŸünün Kapsamı Nedir? Veri sorumlusu veya yetkilendirdiÄŸi kiÅŸi, aydınlatma yükümlülüÄŸü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliÄŸi, veri iÅŸleme amacı, iÅŸlenen verilerin kimlere ve hangi amaçla aktarılabileceÄŸi, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diÄŸer hakları konusunda ilgili kiÅŸiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüÄŸünün yerine getirilmesi ilgili kiÅŸinin onayına tabi deÄŸildir. KiÅŸisel veri iÅŸleme faaliyeti kapsamında kiÅŸisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kiÅŸilerin aydınlatılması gerekmektedir. Bununla birlikte aydınlatma yükümlülüÄŸü yerine getirilirken ilgili kiÅŸiye verilecek bilgiler, eÄŸer Veri Sorumluları Siciline kayıt yükümlülüÄŸü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüÄŸü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüÄŸü yerine getirilmelidir. Veri iÅŸleme faaliyetinin ilgili kiÅŸinin açık rızasına baÄŸlı olmadığı ve faaliyetin Kanundaki baÅŸka ÅŸartlar kapsamında yürütüldüÄŸü durumlarda da veri sorumlusunun ve yetkilendirdiÄŸi kiÅŸinin ilgili kiÅŸiyi aydınlatma yükümlülüÄŸü devam etmektedir.