Kişisel Veri Nedir?

Kanun’da tanımlandığı haliyle kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. Bu tanımın neyin kişisel veri olup neyin olmadığını gözümüzde canlandırmak için yeterli olmayacağını biliyoruz, bu yüzden örneklerle açıklamaya çalışalım: Müşterilerin ad, soyad, adres ve telefonlarından oluşan bir listenin kimliği belirli gerçek kişilere ilişkin bilgi, yani kişisel veri olduğu konusunda bir şüphe yok. Ama müşterilerin ad ve soyadlarına yer vermeyen, yalnızca adres ve telefon bilgilerinden oluşan bir liste de aslında kişisel veri olarak görülebilir, çünkü bu adres ve telefon bilgileri üzerinden bir gerçek kişinin kimliğinin belirlenmesi mümkündür. Yine gerçek kişilere atanan numaralar da, örneğin bir internet sitesindeki her üyeye atanan üyelik ve işlem numaraları veya bir okuldaki öğrenci numaraları, bir gerçek kişiyle eşleştirilebilir durumda bulunduklarından kişisel veridir.

Kişisel Verileri Ne Zaman Kullanabiliriz?

Kişisel veriler üzerinde gerçekleştirilen kaydetmek, saklamak, değiştirmek, açıklamak, aktarmak gibi tüm işlemler, kişisel veri işlemek olarak tanımlanıyor. Yani bir gerçek kişinin bilgisini öğrendiğimiz andan, bilgiyi tamamen yok ettiğimiz ana kadar yaptığımız tüm işlemlerle Kanun’a göre kişisel veri işlemiş oluyoruz. Bu işleme süreçlerinin hukuka uygun olması için de aşağıdaki şartlardan birisinin gerçekleşmiş olması gerekiyor.

– Kişisel verileri işlenen kişinin açık rızasının bulunması; ki bu açık rıza kişinin bilgilendirilmesine dayanmalı ve onaylayıcı bir hareket içermelidir.

– Kişisel veri işlemenin kanunda öngörülmüş olması, kanuni yükümlülüğün yerine getirilmesi veya bir hakkın kullanılması için zorunlu olması durumunda, kanunda öngörülen veya işlenmesi zorunlu olan kişisel veriler, açık rıza olmadan da işlenebilir.

– Yine bir sözleşmenin kurulması veya sözleşmedeki yükümlülüklerin yerine getirilmesi için gereken bilgiler de sözleşmenin diğer tarafına ait olmaları şartıyla rıza olmadan işlenebilir. Buna göre örneğin; bir müşterinize kargo yoluyla göndereceğiniz ürün için, müşteriden teslimat bilgilerini alır ve yalnızca bu teslimat için kullanırsanız, teslimat bilgisini işlediğiniz bu süreç için müşterinizin açık rızasını almanıza gerek olmaz.

– Rızasını açıklayamayacak kişilere ait kişisel verilerin zorunlu durumlarda işlenmesi veya kişiye zarar vermediği sürece işlemenin veriyi işleyen kişinin menfaatleri için zorunlu olması hallerinde de kişisel veriler açık rızaya gerek olmadan işlenebilir.

Kişisel Verileri İşlerken Dikkat Etmemiz Gereken Başka Kurallar Var Mı?

Kişisel veri işleme süreçlerinin hukuka uygun olması için, veriler elde edilirken açık rızaya veya kanunlarda öngörülen diğer istisnalara dayanılması yeterli değil. Zira Kanun, kişisel verilerin işlenmesinde uyulacak başka kuralları da sıralıyor. Sektör bazında tabi olunan diğer düzenlemelerle birlikte göz önünde bulundurulması gereken bu yükümlülük ve kurallar şöyle listelenebilir:

– Kişisel verilerin 3. kişilere aktarılabilmesi için, ilgili kişinin açık rızasının bulunması veya kanunlarda gösterilen, örneğin yukarıda açıklanan, istisnalara dayanılması gerekir.

– Kişisel verilerin yurtdışına aktarılabilmesi için ise daha da ağır şartlar öngörülmekte. Yine kişinin açık rızasının alınması yurtdışına aktarımın hukuka uygun olmasını sağlayacaktır. Ancak eğer kanuni istisnalara dayanılarak veriler yurtdışına aktarılacaksa, aktarım yapılacak ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenecek güvenli ülkeler arasında yer alması (bu ülkeler bu yazının yayın tarihi itibariyle henüz belirlenmiş değil), ya da yurtdışındaki veri aktarılacak kişilerin Kişisel Verileri Koruma Kurulu tarafından uygun bulunacak şekilde yeterli korumayı taahhüt etmesi gerekiyor.

– İşlenen kişisel verilere yetkisiz kişilerin erişmesini engelleyecek tüm güvenlik tedbirlerinin alınması gerekli. Bu tedbirlerin detaylarını daha sonra yürürlüğe konacak yönetmelik ve tebliğlerin belirlemesi beklense de Avrupa Birliği’ndeki 20 yıllık tecrübe ışığında ilk akla gelen tedbirler verilerin şifrelenmesi, iletim ve saklama esnasında güvenliği sağlayacak firewall gibi teknolojiler, bilişim teknolojileri altyapısının bulunduğu ortamın fiziksel güvenliği ve etkili yetkilendirme ve doğrulama prosedürleri oluyor. Tedbirlere rağmen verilerin yetkisiz kişilerin eline geçmesi durumunda ise, durumun verisi ele geçirilen kişilere ve Kişisel Verileri Koruma Kurulu’na bildirilmesi de zorunlu tutuluyor.

– Kişisel verilerin işlenmesinde uyulması gereken temel ilkeler de Kanun’da sıralanıyor. Bu ilkelere göre kişisel veri işleme faaliyetleri hukuka ve dürüstlük kurallarına uygun olmalı; işlenen kişisel verilerin doğru ve gerektiğinde güncel olması sağlanmalı; veri işleme amaçları belirli, açık ve meşru olmalı; işlenen veriler işleme amacıyla bağlantılı, sınırlı ve ölçülü olmalı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca saklanıp, bu sürenin ardından silinmeli veya anonim hale getirilmeli.

– Kişisel verileri işlenen kişilerin; veri sorumlusunun kimliği, veri işleme amaçları, yöntemleri ve hukuki dayanakları, verilerin aktarılabileceği kişiler ve aktarma amaçları, ayrıca kişisel verileri üzerinde kullanabileceği hakları konularında aydınlatılması da Kanun’da öngörülen yükümlülükler arasında. Bu yükümlülüğün yerine getirilmesi için, güncel, kapsamlı ve kişisel verileri işlenen herkesin ulaşıp anlayabileceği kişisel veri bilgilendirilmeleri (daha yaygın adıyla, gizlilik politikaları) oluşturulması önerilmekte.

– Kanun’a göre, verisi işlenen kişilerin; kendisine ait veri işlenip işlenmediğini, işlenmişse şartlarını, amacını ve amaca uygun kullanılıp kullanılmadığını, verilerin aktarıldığı kişileri öğrenme; eksik veya yanlış kişisel verilerin düzeltilmesini, işlenme sebebi ortadan kalkan verilerin silinmesini veya yok edilmesini, bu işlemlerin aktarılan kişilere de bildirilmesini ve işleme sebebiyle zarara uğradıysa bu zararın karşılanmasını isteme, verilerin otomatik sistemlerle işlenmesi sonucu ortaya çıkan olumsuz sonuçlara da itiraz etme hakları bulunuyor.

– Ayrıca, kişisel veri işleme amaç ve yöntemlerini belirleyen gerçek veya tüzel kişiler olarak belirlenen kişisel veri sorumlularının, Kişisel Verilerin Korunması Kurumu bünyesinde oluşturulacak olan Veri Sorumluları Sicili’ne veri işleme faaliyetleri hakkında bilgi verilerek kayıt olması zorunlu tutuluyor.

Kanun’a uymamamız halinde ne olabilir?

Kişisel verilerin korunması konusu, Avrupa’da ve paralel olarak da Türkiye’de bir temel insan haklarından biri olarak görüldüğünden, bu konudaki kurallara aykırılıklarda giderek artan ağırlıkta yaptırımlarla karşılaşıyor. Kanun’un aydınlatma yükümlülüğüne aykırılık, sicile kaydolmamak, veri güvenliğini sağlamamak ve Kurul kararlarına aykırılık için öngördüğü cezalar 1.000.000 Türk Lirasına kadar çıkıyor. Ayrıca Türk Ceza Kanunu’nda, kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması, ele geçirilmesi ve yok edilmesi gerektiği halde yok edilmemesi gibi durumlar için 4 yıla varan hapis cezaları öngörülüyor.