tr

2.Bölüm-Önem Arz Eden Kavramlar

2.Bölüm-Önem Arz Eden Kavramlar

Veri nedir?

Sözlük anlamı olarak veri, “bir araştırmanın, bir tartışmanın, bir muhakemenin temeli olan ana öge, muta, done” olarak kullanılmaktadır. İngilizcede “data” kelimesinin karşılığı olan veri, Latincede “verilen şey” anlamına gelen “datum” kelimesine karşılık gelmekte ve Türkçede de Latince gerçek anlamına uygun olarak kullanılmaktadır. Veri kavramı, bilgi (knowledge) ve enformasyon (information) kelimeleriyle birçok kaynakta aynı anlamda kullanılmakta fakat bunların hepsinin ayrı anlamları ifade ettiği göz ardı edilebilmektedir. Temel olarak veri, enformasyon ve bilgi için ham madde özelliği taşımaktadır.

Kişisel veri nedir?

Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

Kişinin belirli veya belirlenebilir olması: Kişisel veri, veri sahibinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

Her türlü bilgi: Her türlü bilgi ifadesi son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler, kişisel veri olarak kabul edilmektedir.

Kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilmiş her türlü bilgi, belge, rapor ve analiz kişisel veri sayılmakta mıdır?

Kişisel veriler Kanunda sınırlı olarak sayılmamıştır. Kanunun 3. maddesinin (d) bendi uyarınca, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi “kişisel veri”dir. Bu anlamda, rapor veya analiz yolu ile ilgili kişinin kimliğine ulaşılabiliyorsa, söz konusu belgeler de kişisel veridir.

IP adresi, yaygın olarak kullanılan ve sıkça karşılaşılabilecek ad-soyad gibi veriler başka kaynaklardan bilgi almadıkça bir kişiyi tanımlayacak veya ilişkilendirebilecek düzeyde değildir. Bu bilgiler de kişisel veri sayılacak mıdır?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tekil olarak kaydedilen ve işlenebilen veriler (örneğin TCKN, IP adresi, adı soyadı v.b.) olabileceği gibi kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili raporlar (örneğin müşteri şikâyet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları), kayıtlar (ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları), belgeler (örneğin özgeçmişler, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri), yazılar (örneğin mektuplar, davet yazıları) da kişisel veridir.

Müstear adlar (takma isimler), mahlas ve lakaplar kişisel veri midir?

Tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise, bu tarz veriler de kişisel veri olarak kabul edilecektir. Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.

Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir.

Kişisel sağlık verisi nedir?

Kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık verisini ifade eder. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunun 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

Açık rıza nedir?

İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

Kanuna göre açık rızanın üç unsuru vardır:

  • Belirli bir konuya ilişkin olma: Açık rıza beyanının kapsamı genel nitelikte olmamalı, belirli bir duruma özgülenmiş olmalıdır. Örneğin; veri sorumlusu tarafından “tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz?” biçiminde rıza alınması durumunda, rıza “belirli bir konuya ilişkin” olmayacağı için geçerli bir rıza olarak kabul edilmeyecektir.
  • Bilgilendirmeye dayanma: Elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.
  • Özgür iradeyle açıklanmış olma: Bir irade beyanı olan “rıza” beyanının kişinin özgürlüğünü etkileyecek hallerden arınmış olması gerekmektedir. Bu doğrultuda, “açık rıza” beyanını veren veri sahibinin iradesini bozacak bir durum mevcut olmamalıdır. Örneğin; veri sorumlusu tarafından veri sahiplerinin rızalarının elde edilmesi, bir ürün veya hizmetin sunulmasının ön şartı olarak ileri sürülmemelidir.

Açık rıza tüm kişisel veri işleme faaliyetlerine hukukilik kazandıran yegâne unsur mudur?

Kanunun 5. maddesi uyarınca açık rıza Kanundaki kişisel veri işleme şartlarından biridir ve diğer kişisel veri işleme şartlarına göre karşılaştırmalı bir üstünlüğü bulunmamaktadır. Açık rıza veri işleme faaliyetine hukukilik kazandıran yegane unsur değildir.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Açık rızanın Kanunda belirtilen unsurlarının sağlanması için nasıl bir yaklaşım ile alınması gerekmektedir?

Kanunun 3. maddesinin (a) bendinde yer verilen tanım gereğince, açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanması gerekmektedir. Kanunun gerekçesinde de, açık rıza, “İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde ifade edilmiştir. Bu çerçevede, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar hukuken geçersizdir. Kanun açık rıza hususunda herhangi bir şekil şartıöngörmemekle birlikte, açık rızanın yazılı olduğu durumlarda açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Açık rızanın alındığı ortam veya metin dışındaki başka bir ortama veya metne atıf yapılarak ilgili kişinin açık rızası alınmamalıdır. Açık rıza, ilgili kişinin özgür iradesiyle açıklamada bulunduğunu ortaya koyacak şekilde ilgili kişinin seçimine sunulmalıdır.

Açık rıza geri alınabilir mi? Açık rızayı ilgili kişi (veri sahibi) geri aldığı takdirde veri sorumlusunun hukuki yükümlülüğü gereği (örneğin yasal saklama süreleri, aradaki sözleşme ilişkisinin devam etmesi gibi) halen ilgili kişinin kişisel verisinin işlenmesi gerekiyorsa ne yapılmalıdır?

Açık rıza geri alınabilir. Geri alma işlemi ileriye etkilidir. Açık rızanın hangi faaliyet özelinde alınması gerektiğini tespit etmek için veri işleme envanteri çıkarılmalı ve bu envanter üzerindeki faaliyetler hukuksal olarak analiz edilerek yalnızca açık rızaya dayalı olarak yürütülmesi gereken faaliyetler tespit edilmelidir. İlgili faaliyet özeline hasredilmesi gereken açık rıza yalnızca bu faaliyetin gerçekleştirilmesinin (kişisel veri işlenmesinin) hukuki şartı olmalıdır. Bu kapsamda açık rızanın bulunması gereken durumlarda açık rızanın mevcut olmaması veya geri alınması hallerinde veri işleme faaliyeti yapılamaz.

Bununla birlikte veri işleme faaliyeti diğer kişisel veri işleme şartlarına dayanıyorsa bu faaliyet için açık rızaya gidilmemelidir. Eğer faaliyetin gerçekleştirilme amacı Kanundaki açık rıza dışındaki diğer kişisel veri işleme şartlarını karşılamıyorsa bu faaliyet özelinde ve o faaliyetle sınırlı olarak açık rıza alınmalıdır.

Açık rıza, herhangi bir ürün ve/ veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırmanın) ön şartı yapılabilir mi?

Açık rızanın özgür irade ile açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalıdır. Örneğin, spor salonuna üye olabilmek için spor salonu yetkilileri tarafından üye olmak isteyen kişinin parmak izinin alınması zorunluluğu öngörülmesi bu bakımdan hukuka aykırı olacaktır.

Açık rıza tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde alınabilir mi?

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “Şemsiye rızalar” hukuken geçersizdir.

Açık rızanın açıklanması herhangi bir şekle tabi midir?

Açık rızanın açıklanması herhangi bir şekil şartına tabi değildir. Açık rızanın alındığı konusundaki ispat yükü veri sorumlusuna aittir.

Kanunun yayımından önce alınan rızalar, hangi şartlarda Kanuna uygun kabul edilecektir?

Kanunun Geçici 1. maddesinin 3. fıkrası uyarınca Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde bu Kanuna uygun kabul edilir. Dolayısıyla Kanunun yayımı tarihinden önce alınan rızanın Kanuna uygun kabul edilebilmesi için genel hukuk kurallarına uygun olması ve bir yıl içinde aksine bir irade beyanında bulunulmamış olması gerekmektedir.

Kanunun yürürlüğe girmesinden önce işlenen kişisel veriler hakkında ne gibi bir işlem yapılacaktır?

Kanunun Geçici 1. maddesi uyarınca, Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, bu tarihten itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.

“Tamamen veya kısmen otomatik olan veya otomatik olmayan” nedir?

Hangi    faaliyetlerin,      “tamamen          veya      kısmen otomatik” olduğunun sınırlı ve kesin bir ifadesi bulunmamaktadır. Kaynak düzenleme olan Direktif’de, tamamen aynı kelimeler kullanılmış fakat kesin bir tanıma yer verilmemiştir. Öte yandan, Direktif’in genel amacı doğrultusunda, “tamamen veya kısmen otomatik” olan işlemelerin neler olduğu oldukça geniş yorumlanmıştır. Bu durum örneklendirilecek olursa:

Birleşik Krallıkta , bir dosyalama sisteminin, tıpkı bir bilgisayar üzerinden erişim sağlanmasında olduğu gibi, erişim kolaylığı sağlaması yeterli sayılmıştır. Öyle ki, bir tekil kimlik numarası, telefon numarası veya başka bir veri vasıtasıyla ya da alfabetik sıralama aracılığıyla “çapraz başvuru” imkânı sağlayarak verilere erişimin kolaylaştırılması bir dosyalama sistemi tespiti için yeterli sayılmıştır.

Avrupa Adalet Divanı, 2003 tarihli Lindqvist v İsveç kararında, kilise mensuplarına ilişkin haberleri internet sayfasında yayınlayan kişinin, bir internet sitesi üzerinden çok sayıda kişiye ait, isim, soyadı, telefon, iş veya hobi gibi bilgilerin yayınlanmasını, tamamen veya kısmen otomatik yolla veri işlemesi olarak kabul etmiştir.

Fiziksel olarak tutulan ve veri kayıt sisteminin bir parçası olmayan kişisel verilere, kişisel verilerin işlenmesine ilişkin hükümler uygulanacak mıdır?

Fiziksel olarak kayıt altına alınan ancak veri kayıt sisteminin parçası olmayan kişisel verilere Kanunun kişisel verilerin işlenmesine ilişkin hükümleri uygulanmaz.

Kişisel verinin işlenmesi ne demektir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin, kişisel verilerin sadece bir Hard Disk’de, CD’de, Server’da depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Veri sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Veri sorumlusu tüzel kişilik içerisinde veri işleme operasyonlarından sorumlu olan kişi veya kişiler midir? Kanunun veri sorumlusuna ilişkin olarak öngördüğü yükümlülükler bu kişilere mi uygulanacaktır?

Kanunun 3. maddesinin (ı) bendi uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu kapsamda, veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu olarak sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişileri de veri sorumlusu yapmaz.

Veri işleyen kimdir?

Veri işleyen, veri sorumlusu adına verileri işleyen gerçek veya tüzel kişilerdir. Bu kişiler, veri sorumlusunun kişisel veri işlemek üzere yetkilendirdiği ayrı bir gerçek veya tüzel kişi de olabilir.

Örnek: Veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Veri sorumlusunun verdiği yetkiye dayanarak hareket eden;

  • Dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti sunan çağrı merkezi şirketi,
  • Pazar araştırma şirketleri,
  • Kuryeler vb.

Veri işleyen, tüzel kişilik içerisindeki bir birim midir yoksa başka bir tüzel kişilik veya organizasyon dışındaki kişi midir?

Kanunun 3. maddesinin (ğ) bendi uyarınca veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu organizasyonu dışında, veri sorumlusu ile kişisel veri işleme bakımından hukuki ilişki içerisinde olan her bir gerçek ve/veya tüzel kişi kişisel veri işleme faaliyetinin niteliğine göre veri sorumlusu (örneğin mali müşavirler, avukatlar, bankalar, sigorta şirketleri) veya veri işleyen (örneğin tedarikçiler) sayılabilecektir. Bu sebeple veri işleyen organizasyonun dışındaki kişidir.

Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir mi?

Herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri dolayısı ile aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.

Veri sorumlusu ile veri işleyenin ayrı kişiler olması halinde, Kanunun uygulanması bakımından sorumluluk rejimi nasıldır?

Kanunun 12. maddesinin 1. fıkrası uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kanunun 12. maddesinin 2. fıkrası uyarınca da veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Kanun, “veri sorumlusunu” mu, “veri işleyen”ini mi esas alarak bir sorumluluk rejimi ortaya koymuştur?

Kanun’da, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusunun yükümlü olduğu bir sorumluluk rejimi benimsenmiştir. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır. Kanunda gerek aydınlatma yükümlülüğü gerekse veri güvenliğine ilişkin yükümlülükler de veri sorumlusu üzerinden tanımlanmış olup ilgili kişinin, haklarını veri sorumlusuna karşı ileri sürüleceği düzenlenmiştir.

Sadece kendi çalışanlarına ilişkin kişisel veri işleyen bir şirket de Kanun kapsamında değerlendirilecek midir?

Kural olarak veri işleyen gerçek ve tüzel kişiler Kanun kapsamında bulunmaktadır. Dolayısıyla sadece kendi çalışanlarına ilişkin kişisel veri işleyen bir şirket de Kanun kapsamında değerlendirilecektir. Ancak, Kanunun 16. maddesinin 2. fıkrasında işlenen kişisel verinin sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından sadece veri sorumluları siciline kayıt zorunluluğuna istisna getirilebilecektir.

ETİKETLER:
Whatsapp
Data Vekili
Data Vekili
Merhaba, Data Vekili'ne hoş geldiniz.
Size nasıl yardımcı olabiliriz?