6698 sayılı Kişisel Verilerin Korunması Kanununda (“Kanun”) kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir. Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine göre kişisel verinin kapsamının genişletilmesi de mümkündür. Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri vb. bilgiler de kişisel veri |
olarak tanımlanabilmektedir. ÖRNEK: Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri bireylerin tanınabilir olması halinde kişisel veri kapsamında sayılabilir. ÖRNEK: Telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olarak kabul edilebilir. ÖRNEK: Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır. Kanuna göre bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmekte olup tüzel kişilere ilişkin veriler kişisel verinin tanımı dışında tutulmaktadır. ÖRNEK: Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle ilişkilendirileceği durumlar hariç) kişisel veri sayılmamaktadır. Kişisel veri olabilmesi için bilginin, kimliği belirli |
ya da belirlenebilir gerçek bir kişiye ilişkin olması gerekmektedir. Belirli olma ifadesi, verinin bir gerçek kişinin doğrudan kimliğini gösterebileceği durumlar; belirlenebilir olma ifadesi ise herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyor olması anlamına gelmektedir. ÖRNEK: Ad ve soyad tek başına kişisel veridir ve bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad her zaman bir gerçek kişiyi belirlemek için yeterli olmayabilir, bazı durumlarda bir gerçek kişiyi tespit edebilmesi için ad ve soyadı ile birlikte başka bilgilere de gerek duyulabilir. ÖRNEK: Yaygın olarak kullanılan ad ve soyadı kombinasyonları bakımından ad ve soyad tek başına bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi belirlenebilir kılma özelliğinden dolayı her zaman kişisel veridir. Ad soyad, bazen tek olması halinde doğrudan ilgili kişiyi belirler bazen de birden çok olması halinde dolaylı olarak ilgili kişiyi belirler. Bu durum, ad ve soyadı kişisel veri olmaktan çıkarmaz. Benzer şekilde, bazı durumlarda ise ad ve soyadı belirtilmeden dahi bir kişinin belirlenmesi mümkün |
3 |
olabilmektedir. ÖRNEK: “A Kurumunun B biriminde çalışan, X marka ve kırmızı renkte araca sahip olan, orta yaşta ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek bir kişi olması durumunda bu kişiyi belirlenebilir kılması nedeniyle kişisel veri sayılır. ÖRNEK: Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilir. Ancak, yine de bilginin ait olduğu gerçek kişinin belirlenebilirliğinin tespitinde, her somut olay özelinde, verinin kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirme yapılmalıdır. |
2. GENEL (TEMEL) İLKELER Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu ilkeler; • Doğru ve gerektiğinde güncel olma şeklinde sıralanmıştır. Veri işleme faaliyeti hangi hukuki sebebe/işleme şartına dayanırsa dayansın tüm veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. a) HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA Bu ilke; kişisel verilerin işlenmesinde, kanunlarla ve diğer hukuki düzenlemelerle getirilen ilkelere uygun hareket etmeyi, ayrıca veriler işlenirken ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almayı ifade eder. |
5 |
NOT: Hukuka uygunluk, veri işlemenin, kişisel verilerin korunması kanununa veya diğer mevzuata aykırı olmamasıdır. NOT: Dürüstlük, ilgili kişinin kişisel verisinin ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, ilgili kişinin makul beklentisinin karşılanması ve kişisel veriyi toplama amacının aşılmamasıdır. b) DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA Bu ilke; verinin, hakkında bilgi verdiği konuyu doğru anlatabilmesini ifade eder. Bu açıdan doğru ve güncel olma ilkesi ilgili kişilerin verilerin düzeltilmesini talep etme hakkı ile de uyumludur. ÖRNEK: Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması AGİ’nin doğru hesaplanması ve kişinin ekonomik çıkarları açısından önemlidir. |
c) BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLENME Bu ilke, veri sorumlusunun veri işleme amacını açık ve anlaşılır olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında başka amaçlarla veriyi işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması; işlenen kişisel verinin, veri sorumlusunun yaptığı iş veya sunduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir. d) İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA Bu ilke, işlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olmasını, amacın |
7 |
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını ifade eder.
ÖRNEK: Kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur.
Amaç için gerekli olanın dışında veri işlenmesi, amaçla sınırlı veri işlenmesi ilkesine aykırılık oluşturmaktadır.
ÖRNEK: Bir vakıf üniversitesi tarafından düzenlenen sempozyuma katılım için e-posta adresini bildiren kişiye, bu üniversite tarafından e-posta ile rekl