T.C. Mİllî Eğİtİm BakanlIğI
İSTANBUL / ÜMRANİYE - Ümraniye Anadolu İmam Hatip Lisesi
Kişisel Veri Ne Demektir?
Kişisel Veri Kanunu'na göre;
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Genel Olarak Kişisel Veri
Kişisel veri kavramı, kanunda "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde tanımlanmıştır. Buna göre kişisel veri kavramının dört unsuru vardır:
Kanunun bu tanımı, Adalet Komisyonu Raporu'nda da sıklıkla atıfta bulunulan Avrupa Birliği Direktifi ile aynı doğrultudadır. Bu bağlamda Madde 29 Çalışma Grubu'nun 4/2007 sayılı görüşünden özetle aşağıdaki açıklamalar kaleme alınmıştır.
"Kimliği belirli veya belirlenebilir"
Bir kişinin "kimliği belirli" kabul edilebilmesi, onun bir topluluk içerisindeyken bu topluluğun diğer üyelerinden ayırt edilebilmesini gerektirir. Bu doğrultuda "kimliği belirlenebilir" ifadesi de kişinin kimliği henüz belirlenmiş olmasa da kimliğinin belirlenmesinin mümkün olması anlamına gelecektir. Anlaşılacağı üzere bu unsurun yerine getirilmesi açısından alt eşik, "kimliği belirlenebilir" olmak durumudur.
Belirtmek gerekir ki her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da, bir kişinin kimliğinin belirli olması için ad ve soyad bilgisi her zaman gerekmeyebilir. Örneğin internet ortamında, belirli cihazların davranışları ve dolayısıyla bu cihazları kullanan kişilerin davranışları tespit edilebilmektedir. Böylece ad, soyad veya adres gibi bilgilere ihtiyaç duyulmaksızın, kişinin sosyo-ekonomik, psikolojik, felsefi veya diğer bağlamlarda kategorize edilmesi ve internete bağlandığı cihaz aracılığıyla gerçekleştirdiği davranışların ona atfedilmesi mümkündür. Bir kişinin kimliğinin belirli hale gelme ihtimali, artık yalnızca onun ad ve soyadının tespit edilmesi anlamına gelmemektedir. Nitekim Kanun'daki kişisel veri tanımı da bu göz önüne alınarak geniş bir biçimde yapılmıştır.
Kimliği belirlenebilir olma durumu değerlendirilirken veri sorumlusu veya üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede muhtemel başvurabileceği tüm yollar göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilebilmelidir.
Örnek:
Güvenlik kameraları
Veri sorumluları güvenlik kameraları ile bir alanı gözetlediğinde, kimliği belirli hale gelme olgusunun yalnızca belirli durumlarda ve oldukça düşük yüzdelerde gerçekleştiğini ve bu nedenle bu durumlar gerçekleşmeden önce kişisel veri işlenmediğini savunabilmektedirler. Ancak güvenlik kameraları kurulurken veri sorumlusunun amacı, gerektiği durumda kayıt altına alınan herkesin kimliğinin belirlenebilmesi olduğu için kişisel verilerin işlendiğinin kabul edilmesi gerekir. Bazı kişilerin video kayıtlarında yer alması ancak pratikte kimliğinin belirli hale getirilmemesi bu sonucu değiştirmeyecektir.
Örnek:
Dinamik IP adresleri
Madde 29 Çalışma Grubu, İnternette Mahremiyet adlı çalışmasında internet protokolü (IP) adreslerinin, kimliği belirlenebilir kişilere ilişkin olduğunu belirtmektedir. Nitekim internet servis sağlayıcıları ve yerel ağ yöneticileri, atadıkları dinamik IP adreslerini ve bunların tarih, zaman, süre bilgilerini düzenli olarak kaydettikleri için, internet kullanıcılarını birbirlerinden ayırt edebilmektedir. Öte yandan Avrupa Adalet Divanı da Breyer kararında dinamik IP adreslerinin dahi birtakım şartlarda kişisel veri kabul edilmesi gerektiğini belirtmiştir.
Öncelikle belirtilmelidir ki Kanundaki "her türlü bilgi" ifadesi, kanunkoyucunun, kişisel veri kavramının sınırlarını olabildiğince geniş tutmak yönündeki iradesini ortaya koymaktadır.
Bilginin mahiyeti açısından bakıldığında, kişisel veri kavramı, bir kişi hakkındaki her türlü bilgiyi, objektif veya sübjektif niteliğine bakılmaksızın içerecektir. Kişinin sağlık durumu gibi objektif bilgiler ve kişi hakkındaki görüşler gibi sübjektif bilgilerin tamamı kişisel veri kabul edilebilecektir.
Bilginin "kişisel veri" niteliğinde olması için doğru veya ispatlanmış olması da gerekmez. Nitekim Kanun da kişisel verilerin eksik ve yanlış olabileceğini öngörmüş ve ilgili kişinin haklarını sayarken böylesi bilgilerin düzeltilmesini isteme hakkını tanımıştır.
Bilginin içeriği açısından bakıldığında, kişisel veri kavramı, herhangi bir bilgi sağlayan her türlü veriyi içerecektir. Burada "kişisel" ifadesinin, verinin kapsamına özel hayatın gizliliği bağlamında bir sınırlandırma getirmediği belirtilmelidir. Zira Kanunun amaç başlıklı ilk maddesine "başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak" ifadeleri kullanılmaktadır. Anlaşılacağı üzere özel hayatın gizliliği vurgulanmış olsa da korunan menfaat bununla sınırlı değildir. Bu yönden bakıldığında, kişinin herkes tarafından bilinen bir bilgisi de kişisel veri kabul edilmelidir.
Örnek:
Telefon bankacılığı
Müşterinin bankayı telefon ile arayarak sesli talimat vermesi ve bunların kaydedilmesi halinde, ilgili ses kayıtları kişisel veri olarak değerlendirilebilir.
Güvenlik kameraları
Güvenlik kameralarının kaydettiği görüntülerde kişilerin belirlenebilir olması halinde, video kayıtları kişisel veri niteliğinde olacaktır.
Bir çocuğun çizimleri
Bir velayet davasında nöropsikiyatrik teste tabi tutulması için çocuğa, ailesine ilişkin bir çizim yaptırılmıştır. Bu çizim çocuğun ailesindeki bireylere ilişkin hissiyatını ve de genel olarak ruh halini göstereceği için kişisel veri olarak kabul edilebilir. Öte yandan, aynı çizim anne ve babanın davranışları ile ilgili bilgileri de ortaya çıkarabileceğinden, çocuğun çizimi, somut olayın şartlarına bağlı olarak ve belirli bir ölçüde, anne ve babasının da kişisel verisi sayılabilir.
KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) NEDİR?
Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren '6698 Sayılı Kişisel Verilerin Korunması Kanunu', kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.
Kanun'da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun'da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir. Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir. İdari para cezaları ise yerine getirilmeyen madde(lere) göre değişmek üzere 5,000 TL'den 1,000,000 TL'ye kadar artabilmektedir.
Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili "hesap verebilir" olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir dönüşümü de beraberinde getirmektedir. Kurumları ilgilendiren temel soru ise: "Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?" Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır.
