1. Kişisel Veri Nedir? 

Kişisel veri; fiziksel, zihinsel, ekonomik, kültürel veya sosyal kimliği ile bağlantılı olarak gerçek kişiye ilişkin tespit edilebilir herhangi bir bilgidir. Kişisel veri, Kişisel Verilerin Korunması Kanunu’nda kimliği belirli veya belirlenebilir olmak şartıyla, bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır.

Bir kimsenin adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.

2. Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesidir.

3. Kişisel Verilerin İşlenmesinde Temel İlkeler

a. Hukuka ve Dürüstlük Kurallarına Uygun Olma

Hukuka uygunluk; kişisel veri işleme faaliyetinin, Kişisel Verilerin Korunması Kanunu’nda veya diğer ilgili mevzuat hükümlerinde belirtilen usul ve esaslara uygun olarak yürütülmesini ifade eder. Dürüstlük kuralı ise; kişisel verilerin, ilgili kişiye karşı haksızlığa yol açmayacak şekilde kullanılması, ilgili kişinin çıkarlarını ve makul beklentilerini karşılaması ve kişisel veri toplama amacının aşılmamasını ifade eder. Dolayısıyla veri sorumlusu, veri işleme faaliyetindeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. Veri işleme faaliyeti mevzuata uygun olmalı, şeffaf olmalı ve veri sorumlusu bilgilendirme ve uyarı yükümlülüğüne uyarak, makul bir kimseden beklenen şekilde davranmalıdır.

b. Doğru ve Gerektiğinde Güncel Olma

İlgili kişi, verilerinin doğru ve güncel tutulmasını, doğru ve güncel olmayan verilerin ise düzeltilmesini talep edebilir. Veri sorumlusu, eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyorsa veri sorumlusunun aktif özen yükümlülüğü bulunmaktadır. Zira güncel olmayan veya yanlış tutulan kişisel veriler nedeniyle ilgili kişiler maddi ve manevi zarara uğrayabilir. Bu nedenle veri sorumlusu, ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. 

Kişisel verilerin doğru ve güncel tutulabilmesi için de kişisel verilerin elde edildiği kaynaklar belirli olmalıdır. Bu nedenle kişisel verilerin toplandığı kaynağın doğruluğu tespit edilmelidir. Örneğin Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması, AGİ’nin doğru hesaplanması kişinin ekonomik çıkarları açısından önemlidir.

c. Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Bu ilke uyarınca, kişisel verilerin hangi amaç çerçevesinde işlendiği açıkça belirtilmelidir. Veri işleme amacı, gerek kişisel verileri işleme envanterinde ve gerekse aydınlatma metinlerinde açık, anlaşılır ve uyumlu bir şekilde yer almalıdır. Ayrıca işlenecek olan kişisel verinin hangi hukuki işleme şartına dayalı olarak işleneceği tespit edilmeli ve bu konuda ilgili kişi aydınlatılmalıdır. İlgili kişiye yapılacak aydınlatmada hangi veri işleme şartları ve amaçları bildirilmişse, kişisel veriler bu şart ve amaçlar doğrultusunda işlenmelidir. Veri sorumlusu ve veri işleyenin, veri işleme amacını bildirerek işlediği kişisel veriler dışında, ilerde gerekli olabileceği düşüncesiyle başka kişisel verileri de işlemesi bu ilkeye aykırılık teşkil edecektir.

Kişisel verilerin işlenme amacının meşru olması veri işleme amacının, mevzuata uygun olması ve veri işleme ile elde edilmek istenen sonuç ile dengeli olmasını ifade eder.  Yani amacın meşru olabilmesi için işlenen kişisel verilerin, yapılan iş veya sunulan hizmetle bağlantılı olması ve bu iş veya hizmet için gerekli olması gerekmektedir. Örneğin bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel verilerin işlenebilmesi için öncelikle veri işleme şartlarından birinin mevcut olması gerekir. Kişisel veri işleme faaliyeti de bu veri işleme şartları ve amaçları doğrultusunda gerçekleştirilmelidir. Ayrıca kişisel verilerin, veri işleme faaliyeti için gerekli olduğu ölçüde ve bununla sınırlı olarak toplanması ve işlenmesi gerekir. Amacı aşacak şekilde kişisel verilerin işlenmesi bu ilkeye aykırılık teşkil edecektir. Dolayısıyla sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenmesi yoluna gidilmemelidir. 

Özetle bu ilke kapsamında veri işleme faaliyeti ile bu faaliyetle gerçekleştirilmek istenen amaç arasında, amacı gerçekleştirebilecek ölçüde makul bir denge sağlanmalıdır. Örneğin kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur.

e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza (Amaçla Sınırlılık)

Veri sorumlusu ve veri işleyen, kişisel verinin muhafazası için mevzuatta öngörülen bir süre varsa o süreyle sınırlı olarak kişisel verileri muhafaza edebilir. Eğer mevzuatta kişisel veri için öngörülen bir süre yoksa kişisel verileri, işlendikleri amaç için gerekli olan süre kadar saklayabilirler. Bu sürenin bitiminde ise kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi gerekmektedir.

Av. Tolgay Mingan