KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN KAPSAMI VE AMACI
Bu yazıda genel olarak Kişisel Verilerin Korunması Kanunu’nun kapsamı, amacı, kanun kapsamında yer alan kişiler, kapsam dışında kalan durumlar, kısmen kapsam dışında kalan haller incelenmiştir.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMACI
K.V.K.K.’nin amacı 1. maddede düzenlenmiştir.
Amaç
MADDE 1- Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
♦ Kanunun amacı kişisel verilerin işlenmesini bir düzen içine koymaktır. Anayasa’nın 20. maddesinde kişilerin özel hayatının gizliliğinin korunmasını isteme hakkı düzenlenmiştir. K.V.K.K. aynı zamanda Anayasa’da düzenlenmiş bu özel hayatın gizliliğinin korunması hakkı başta olmak üzere temel insan hak ve özgürlüklerini de koruma altına almayı amaçlamaktadır.
Bu maddeye göre Kanunun amacı:
- Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,
- Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak),
- Kişilerin mahremiyetini korumak (özel hayatın gizliliği),
- Kişisel veri güvenliğini sağlamak, olarak sayılabilir. ( https://www.kvkk.gov.tr/Icerik/4185/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununun-Amaci-ve-Kapsami )
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN KAPSAMINDA OLAN KİŞİLER
Kişisel Verilerin Korunması Kanunu’nun kapsamı 2. maddede düzenlenmiştir.
Kapsam
MADDE 2- Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
♦Kanunda kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu Kanun hükümleri uygulanacaktır. (https://www.kvkk.gov.tr/Icerik/4185/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununun-Amaci-ve-Kapsami)
♦ 108 sayılı Avrupa Konseyi Sözleşmesinde ise “otomatik işleme” ifadesi açıklanmıştır buna göre; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması işlemlerinin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi otomatik işlemedir.
Kanunda kişisel verilerin işlenmesine ilişkin düzenlemeler mevcuttur. Kişisel verilerin işlenmesinin usul ve esaslarını düzenleyen bu maddeler fiziksel olarak kayıt altına alınan ve veri kayıt sisteminin parçası olmayan kişisel verilere uygulanmaz.
Bu kanunun kapsamında yer alanları 4 başlıkta inceleyebiliriz.
a- Gerçek Kişiler
Kişisel verileri işlenen gerçek kişilerdir. Bu kanun verisi işlenen gerçek kişiler hakkında uygulanır. Hak ehliyetine sahip olan herkes bu kanun kapsamındadır. Hak ehliyeti kısaca haklara sahip olabilmek ve borçlanabilmek olarak tanımlanabilir. Hak ehliyeti tam ve sağ doğmak şartıyla ana rahmine düşmeyle başlar. Cenin bile hak ehliyetine sahiptir. Yani tam ve sağ doğmak şartı ile ana rahmine düşen herkes bu kanun kapsamındadır. Sadece gerçek kişilere ait kişisel veriler koruma altındadır. Tüzel kişilere ait kişisel verilerin işlenmesi bu kanun kapsamında değildir. Tüzel kişiye ait verinin elde edilmesi bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden oluyorsa bu tür veriler de kanunun koruması dahilindedir.
b- Otomatik Yollarla Veri İşleyen Gerçek ve Tüzel Kişiler
Bilgisayar sistemine girilerek otomatik yolla kişilerin verileri işlenebilir. Verinin tamamen sistemsel akış içerisinde işlenmesi ve analiz edilmesidir.
c- Veri Kayıt Sisteminin Parçası Olmak Kaydıyla Otomatik Olmayan Yollarla Veri İşleyen Gerçek ve Tüzel Kişiler
Veri işlenmesinin usulü otomatik olmayan bir yol olabilir. Ancak bu yolun sonunda elde edilen veriler veri kayıt sisteminin bir parçası haline getirilmişse otomatik olmayan yollar ile veri işleme söz konusu olur. Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade etmektedir. Örneğin bir evrak el ile doldurulmuş ise ve sonradan sisteme giriliyorsa, veri kayıt sisteminin bir parçası haline getirilmişse bu da kanunun kapsamı içerisindedir. Veri işleme metodu dijital olmak zorunda değildir. Kağıt gibi fiziki bir alan üzerinde kayıt alınıp işlenen veriler de kanun kapsamındadır. Kağıt ortamında bir arşivleme yapılmasında da sistematik olarak veri işleme depolama söz konusu olacaktır. Veri kayıt sisteminin bir parçası olması deyimi kayıt sisteminin belirli bir ölçüye göre yapılandırılmış olması demektir. Yani rastgele toplanmış evraklar veya bir kağıt üzerine yazılan ad soyad telefon bilgisi vs. bunlar kayıt sistemi niteliği taşımaz. Personel dosyası, hasta dosyası gibi belirli bir ölçüte göre tasnif edilmiş dokümanlar, belgeler otomatik olmayan yollar ile veri kayıt sisteminin bir parçası olmuş sayılırlar.
Ad, soyad ve telefon numarası gibi veriler bir indeks, fihrist vb. bir veri kayıt sistemi dâhilinde yazılmışsa, söz konusu veri işleme faaliyeti Kanuna tâbi olacaktır. Kişisel veriler; fihrist, numara, ad – soyad, alfabe, kategori, sıralama gibi belirli kriterlere göre işleniyorsa Kanun kapsamında olacaktır. (6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar Kvkk Yayınları No: 31 Nisan 2020, Ankara)
Bilgisayarda bazı kişisel veriler sadece depolama amacıyla dosya halinde tutulmakta ise bu da kişisel veri işleme kapsamında yer almaktadır. Çünkü K.V.K.K.’nin 3. maddesinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” tanımı yer almaktadır.
Kişisel veriler sadece depolama amacıyla dosya halinde tutulsa ve üzerinde başkaca bir işlem yapılmasa bile kişisel verilerin işlenmesi olarak değerlendirilecek ve bu faaliyet de Kanun kapsamında kabul edilecektir. (6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar Kvkk Yayınları No: 31 Nisan 2020, Ankara)
Otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası değilse bu Kanun kapsamına giremeyecektir. Fakat bu durum ilgili verilerin kişisel veri niteliğini ortadan kaldırmayacak ve bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı T.C.K. kapsamında cezaya tabii olacaktır.
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
d- Kısmen Otomatik Yollar ile Veri İşleyen Gerçek ve Tüzel Kişiler
Verinin işlenmesi, kaydedilmesi sırasında manuel olarak insan müdahalesi var ise söz konusudur.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN TAMAMEN KAPSAMI DIŞINDA KALAN HALLER
Kişisel Verilerin Korunması Kanunu’nun kapsamı dışında kalan durumlar ilgili kanunun 28. maddesinde düzenlenmiştir.
1- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
Örneğin doğum günü gibi özel günlerde aile içerisinde çekilen fotoğraflar bu kanun kapsamına girmez fakat bu veriler, 3. kişiler ile paylaşılırsa veya alenileştirilirse (örn: sosyal medyaya konulursa) bu kanun kapsamına girecektir.
2- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
İsim, soyad, kimlik gibi veriler anonim hale getirilmesinden sonra araştırma, planlama ve istatistik gibi amaçlarla işlenebilecektir. Kamuoyu araştırma kuruluşları tarafından anketler yapılmaktadır. Kamuoyu araştırma kuruluşları yaptıkları anketlerdeki kişisel verileri sonradan anonim hale getirmesi koşulu ile işleyebilir.
Anonim hâle getirme, kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Anonim hale getirmek suretiyle deyiminden iki türlü anlam çıkmaktadır. İlki istatistik amaçlı yapılacak ankette kişisel verilerin önce işlenip sonradan anonim hale getirilmesidir. Burada ilk önce kişisel veri toplandığından bu işlem kanun kapsamındadır fakat daha sonra bu işlenen veriler anonim hale getirildiğinden kanun kapsamına girmeyecektir. Yani ilk veri toplama işlemi kanun kapsamında değerlendirilecektir.
İkincisi ankette baştan itibaren anonim verilerin kullanılmasıdır. Başlangıçtan itibaren anonim olan verilerin araştırma, planlama ve istatistik gibi amaçlarla kullanılması halinde de istisna hali mevcuttur. Çünkü anonim veri kişisel veri değildir.
İlgili hüküm incelendiğinde sınırlı bir sayım olmadığı görülecektir. “Suretiyle araştırma, planlama ve istatistik gibi gibi” deyiminden benzer yöntemlerin de istisna kapsamında olacağı anlaşılmaktadır.
3- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel Verileri Koruma Kurumu’nun bu maddeye verdiği örnek halk tarafından bilinen bir sanatçının edebi amaçlarla biyografisinin yazılmasıdır. Halk tarafından bilinen bir sanatçının edebi amaçlarla biyografisinin yazılması, bu faaliyet alanı ile sınırlı olmak kaydıyla Kanunun kapsamına girmeyeceği ifade edilmektedir.
4- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Suç gelirlerinin aklanması, terörün finansmanın engellenmesi, mali suçların araştırılması gibi konularda yetkili birimlerin yürüttüğü önleyici, koruyucu ve istihbari faaliyetler örnek olarak verilebilir.
Yetkili birimin; milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, inceleme yapmak, değerlendirmek ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışındadır.
5- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN KISMEN KAPSAMI DIŞINDA KALAN HALLER
Kişisel Verilerin Korunması Kanunu’nun kapsamı hususunda kanun bazı özel durumlar düzenlemiştir ki bu durumlarda kanunun bazı kısımları uygulanır bazı kısımları uygulanmaz. Uygulanıp uygulanmayacak maddelerin neler olduğu da kanunda yer almaktadır. Buna göre bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla;
• Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10.,
• Zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11.,
• Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
Adli kolluğun bir suçla ilgili şüphelinin kişisel verilerini işlemesi bu kapsamda yer almaktadır. Bunun sebebi adli kolluğun şüphelinin hangi kişisel verilerini işlediğini veya hangi amaçlarla işlediğini şüpheliye anlattığında, şüphelinin ilgili verilere zarar vermesi, yok etmesi veya silmesi ihtimalidir.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel Verileri Kurumu’nun bu madde için verdiği örnek kişinin herkesin erişimine açık bir şekilde sosyal medya hesabında kişisel verisini paylaşması halinde verinin işlenmesidir. Kuruma göre bu hükmün uygulanabilmesi için kişisel verilerin ilgili kişi tarafından alenileştirme iradesinin ortaya konulması ve farklı amaçlar doğrultusunda kullanılmaması gerekir.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel Verilerin Korunması hakkında daha fazla bilgiye sahip olmak isterseniz bkz. https://avfurkanpatir.com/konu/kisisel-verilerin-korunmasi-hukuku/
Daha fazla Kişisel Verileri Koruma Kurulu kararı için bkz. https://www.kvkk.gov.tr/
Bir yanıt yazın