Kişisel Veri Konusunda Bilinmesi Gerekenler
6698 numaralı Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Bu kanunun amacı, kişisel verilen işlenmesinde ve özel hayatın gizliliğinin sağlanmasında dikkat edilmese gereken kuralları ortaya koymaktadır. Bunun yaparken temel hak ve özgürlüklerin korunması esastır. Kanuna göre, kişisel verileri toplayan, işleyen ve düzenleyen her gerçek ve tüzel kişinin belirli yükümlülükleri bulunmaktadır.
KVKK yürürlüğe girdikten sonra, kanunun kapsamına giren kişi ya da kurumlar için belirli tanımlamalar önem kazanmaya başlamıştır. Bu bağlamda, “Kişisel veri nedir?”, “İrtibat kişisi kimdir?”, “İlgili kişi kimdir?” gibi sorular sıklıkla sorulmaktadır. Bunun yanı sıra yine kanun kapsamında belirtilen veri sorumlusu ve yükümlülükleri de merak edilen bir diğer konudur.
Kişisel Veri Nedir?
KVKK’da kişisel verinin tanımı “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak yapılmaktadır. Bu çerçevede, bir bilginin kişisel veri olarak sayılabilmesi için bazı özellikleri taşıması gerekmektedir. Bu bilgi öncelikle gerçek bir kişiye ait olmalıdır. Tüzel kişilere ait bilgiler kişisel veri kapsamında değerlendirilmemektedir. Bunun yanı sıra, bilginin ait olduğu kişinin kimliğinin belirli olması; yani onun toplumdaki diğer kişilerden ayırt edilebiliyor olması gerekmektedir. Fakat, söz konusu kişinin kimliği henüz belirli olmasa da, ilerleyen zamanlarda kimliğinin belirlenebilecek olması bu bilgiyi kişisel veri sınıfına sokmaktadır.
Kişisel verilerle ilgili bir diğer önemli konu da kanunda belirtilen “her türlü bilgi” ifadesidir. Bu noktada, kişisel verilerle ilgili sınırın olabildiğince geniş tutulduğu anlaşılmaktadır. Yani, buradaki amacın sadece özel hayatın gizliliği değil, kişisel menfaatlerin tamamı olarak değerlendirilmesi gerekmektedir. Bu bakımdan, bir kişiye ait her türlü yazılı ve görsel içerik, ses kayıtları ve buna benzer her türlü veri, kişisel veri sınıfına girmektedir.
Veri Sorumlusu Kimdir? Sorumlulukları Nelerdir?
Veri sorumlusunun KVKK’daki tanımı şu şekildedir: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Bu tanımdan anlaşılacağı üzere kişisel bir verinin hangi amaçla toplanacağına; ne zaman, nerede ve nasıl işleneceğine dair karar veren kişiler veri sorumlusu olarak kabul edilmektedir. Ayrıa bu noktada, hem gerçek hem de tüzel kişilerin veri sorumlusu olabildiğini belirtmekte fayda var. Kişisel verilerin işlenmesinden kaynaklanan her türlü hukuki sorumluluk, ilgili gerçek ya da tüzel kişinin şahsına ait olmaktadır.
Veri sorumlusu olan tüzel kişiler arasında hiçbir ayrım gözetilmemektedir. Yani, bütün kamu ve özel sektör kuruluşları, dernek ve vakıflar, sendikalar, meslek odaları, üniversiteler, şirketler vs veri sorumlusu olarak değerlendirilebilmektedir. Veri sorumlusu, başta kişisel verinin gizliliğinin sağlanmasından ve bu verilerin işlenme yöntemini ve amacını belirlemekten sorumludur.
İrtibat Kişisi Kimdir?
İrtibat kişisi, KVKK’ya göre veri sorumlusu olan tüzel kişinin atadığı ve veri sorumlusu ile ilgili kişi arasında iletişimden sorumlu olan kişidir. Yine aynı şekilde Kişisel Verileri Koruma Kurumu ile veri sorumlusu arasındaki iletişimden de sorumludur. Fakat bu noktada, irtibat kişisinin kanun nezdindeki yaptırımlar ve yükümlülüklerden sorumlu olmadığını, bu gibi durumlarda sorumluluğun temsil edilen tüzel kişide olduğunu belirtmekte fayda var.
İrtibat kişisinin belirli görev ve sorumlulukları olsa da, verim sorumlusu olan tüzel kişinin hukuki sorumlulukları değişmeden devam etmektedir. Veri sorumlusu Veri Sorumluları Sicili’ne (VERBİS) kayıt olurken, atadığı irtibat kişisinin bilgilerini de belirtmek zorundadır.
İlgili Kişi Kimdir?
KVKK’da ilgili kişi, “kişisel verisi işlenen gerçek kişi” olarak tanımlanmaktadır. Kanunda, ilgili kişiye ait kişisel verilerin işlenme şartları detaylı olarak belirtilmektedir. Kanunun 5. maddesinin 1. fıkrasında belirtildiği üzere, bir kişisel veri ilgili kişinin açık rızası olmadan işlenememektedir. Yine aynı şekilde ilgili kişinin izni olmadan başka bir yere aktarılması da mümkün değildir. Fakat bunun bazı ististanaları mevcuttur. Bunların kapsamı da yine kanunda detaylı olarak yazılmıştır. Örneğin,
• ilgili verinin açıklanmasının kanunlarda açıkça önörülmesi,
• fiili imkansızlık nedeniyle rızanın beyan edilememesi,
• bir sözleşme olması durumunda kişisel verilen işlenme zorunluluğu,
• veri sorumlusunun hukuki sorumlulukları
gibi konular kişisel verilerin işlenmesinde ilgili kişiden açık rıza alınması zorunluluğunu ortadan kaldırmaktadır.
Bir kişisel veri, ilgili kişinin talebi üzerine, verim sorumlusu tarafından silinip yok edilebilir. Veya yine talep üzerine verinin anonim hale getirilmesi de mümkündür. Bu konulardaki yasal çerçeve de yine kanunlarda yer alan esaslar ile çizilmektedir.