Kişilere ilişkin kayıt tutmanın medeniyetin kendisi kadar eski olduğu söylenebilecekken burada gündeme gelecek esas problem verinin elde edilmesi değil veri nasıl işlenirse işlensin veriyi toplayanlarca ve analiz edenlerce nasıl kullanıldığıdır. Çünkü bir kişisel verinin kötüye kullanılması silahlanma kadar rahatsız edici boyut alabilecektir. Bu yönüyle kişisel verilerin korunması bireylerin özgür olması için gereken ortamı yaratmak, baskı altında kalmalarını engelleyerek gözetlenen ve gözetleyen arasındaki dengeyi kurmak adına son derece önemlidir.
Dolayısıyla bu aşamada veri elde etme sürecinden daha çok verinin kaderini tayin ve işleme sürecini düzenleme adına birtakım uluslararası ve ulusal normatif düzenlemeler yapılması zorunluluğu doğmuştur. Ulusal anlamda kişisel verilerin korunmasına ilişkin doğrudan düzenlemelerin olduğu 5237 sayılı Türk Ceza Kanunu’nun (“TCK”) 2005 yılında yürürlüğe girmesi ile etkin bir adım atılmıştır. Bu adım ile TCK 135 vd. maddelerde kişisel verilerin korunmasına ilişkin suçlar tanımlanmıştır. Ancak bu süreçte kanunda kişisel veriye ilişkin tanımlamanın yapılmaması sorunu ile karşılaşılmışsa da kanunun yürürlüğünden önce akdedilmiş uluslararası sözleşmelerde belirlenen tanımlar öğretide ve mahkeme kararlarında kabul görmüştür.
Ardından 2010 yılındaki Anayasa değişikliği ile 20. maddeye; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklindeki 3. fıkra eklenmiştir. Anayasal düzenleme sonrasında 22.05.2008’de AB Uyum Komisyonu’nda hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısının (“KVKKT”) kanunlaşmasına yönelik çalışmalar netice kazanmış ve 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) yayınlanarak, kişisel veriler ve kişisel veri işleme süreçlerinin düzenlenmesi ulusal hukuk anlamında karşılık bulmuştur.
Kişisel Veri Tanımı
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verinin ne olduğuna ilişkin ilk olarak bazı uluslararası metinlerde tanımlamalar yapılmıştır. Bunlardan ilki 1980 tarihli OECD (Organisation for Economic Co-operation and Development / İktisadi İşbirliği ve Gelişme Teşkilatı) Kişisel Verilerin Sınır Aşan Trafiği ve Verilerin Korunmasına İlişkin Rehber İlkelerindeki “belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklindeki kişisel veri tanımlamasıdır.
OECD’nin tanımının peşine 1981 tarih ve 108 sayılı Kişisel Verilerin Otomatik İşlenmesi Karşısında Bireylerin Korunması Sözleşmesi’nde de yukarıda yer verdiğimiz tanıma paralel olarak “kimliği belirli veya belirlenebilir bir gerçek kişi hakkındaki tüm bilgiler” şeklinde tanımlama yapılmıştır.
Ardından değişen zamanlarda birtakım uluslararası metinlerde de aynı doğrultuda kişisel veri tanımlaması yapılmış olup, ulusal hukukumuz açısından ilk tanım 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılmıştır. Bu yönüyle de iç hukukumuzda kişisel veri tanımına mezkûr kanunun 3. maddesinin 1-d bendinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde yer verilmiştir.
Görüldüğü üzere gerek ulusal gerekse de uluslararası metinlerde kişisel veriye ilişkin yapılan tanımlamalarda herhangi bir sınırlama yoluna gidilmemiştir. Gerçek kişiye ilişkin bir bilginin kişisel veri olmasının tek kıstası verinin kimliğinin belirli veya belirlenebilir olmasına bağlanmıştır. Bu yönüyle kişisel veri çerçevesinin son derece geniş olduğunu söylemememiz mümkündür.
Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler kanunda sınırlı sayım ilkesi kapsamında sayılmıştır. KVKK gereği, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. KVKK m.6/1 düzenlenen özel nitelikli kişisel verilerin kapsamı sınırlı sayım ilkesi gereği genişletilemeyecektir.
Özel nitelikli kişisel verilerin, diğer kişisel verilerden ayrı değerlendirilip koruma alanlarının genişletilerek ancak açık rıza şartıyla işlenmesi, bu verilerin ayrımcılık ve mağduriyete sebebiyet verecek nitelikte olmasından kaynaklanmaktadır. Özel nitelikteki kişisel verilere atfedilen bu güçlü koruma, başta uluslararası sözleşmeler ve Anayasa ile koruma altına alınmış olan ayrımcılık yasağının tezahürüdür. Özel nitelikli kişisel veriler kişi bakımından hassas, koruma seviyesi güçlü olduğundan bu verilere hassas veri de denmektedir.
Kişisel Verinin Unsurları
Bir veriye kanuni anlamda kişisel veri diyebilmek için bazı unsurların sağlanmış olması gereklidir. Kişisel verilerin unsurlarını aşağıdaki gibi sıralayabiliriz.
1.Verinin varlığı
Kişisel verinin tanımı KVKK’da gerçek kişiye ilişkin “her türlü bilgi” olarak yapılmıştır. Buradaki her türlü bilgiden ne anlaşılacağından evvel, bilgi ve veri kavramlarına yönelik açıklama yapmak gerekecektir.
Veri ve bilginin aynı anlamlara gelip gelmediği hususu tartışmalıdır. Günümüzde veri ve bilgi kavramları eş anlamlı olarak kullanılsa da bu ifade şeklinin tercüme hatası olduğunu düşünen yazarlar da mevcuttur.
Ancak genel bir ifade ile veri ile bilginin birbirini tamamlayıcı kavramlar olduğunu ifade edebiliriz. Bu yönüyle veri bir bilgi kırıntısı iken, anlamlı hale gelen veriler bilgiyi oluşturur. Eş bir söyleyişle veriyi, bilginin hammaddesi olarak addetmek mümkünken “bilgi=veri+anlam” formülü ile bir sonuca ulaşılabilecektir.
Diğer yandan veri tanımlaması yaparken enformasyonu da değerlendiren ancak enformasyon ile bilgi kavramlarını birbirinin yerine geçer şekilde kullanan, bu yönüyle de enformasyon ve bilgi kavramları arasında ufak bir ayrım olsa da ayrım yapmanın yapay ve gereksiz olduğu yönünde görüşler de mevcuttur. Bu yönüyle verinin enformasyonun, enformasyonun da bilginin hammaddesini oluşturduğu şeklinde görüş bildirilmektedir.
Kanımızca veri tanımlaması yaparken verinin, bilginin hammaddesi olduğu, anlamlı hale
gelen her verinin bilgiyi ifade ettiği yönündeki tespitler doğrudur. Kişisel veri tanımlaması yapılırken salt bilgisayar verisi veya elektronik verilerden bahsedilmemektedir. Kişisel veri, sadece bir bilgisayar verisi olarak kabul edilirse kişisel verilerin korunması kapsamı daralacaktır.
Yine KVKK’da yapılan tanımlamada da kişisel verinin bilgisayar verisi olup olmadığı noktasında herhangi bir sınırlama yapılmadığı gibi, kişisel verinin tutulduğu ortam yönünden de herhangi bir ayrım yapılmamış ve her türlü bilginin kişisel veri olduğu ifade edilmiştir. Nitekim Yargıtay Hukuk Genel Kurulu da 17.06.2015 T. 2014/56 E. 2015/1679 K. Sayılı ilamı ile; “kişisel verinin sayısal olarak sınırlandırılmasının mümkün olmadığına, bireyin kimliğini ortaya çıkartan, bir kişiyi belirli kılan ve karakterize eden kişinin kimlik, ekonomik ve dijital bilgileri, tabiiyeti, kanaatleri, ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık bilgileri, fotoğrafları, parmak izi, sağlık verileri, telefon mesajları, telefon rehberi, sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses veya görüntü kayıtlarının kişisel veriler olarak kabul edilebileceğine” hükmetmiştir.
Ayrıca KVKK’da kişisel verilerin kişinin özel hayatına ilişkin gizli bilgilerden olup olmamasına yönelik herhangi bir ayrım yapılmamıştır. Bu yönüyle de bir bilginin gizli olup olmaması onun kişisel veri niteliğini etkilemeyecektir. Hatta kişisel verilerin, ilgili kişi tarafından alenileştirilmiş olması da verinin kişisel veri olma niteliğini etkilemeyecek bir durum olup, alenileştirme hususu işleme şartlarıyla ilişkilidir. Bir bilginin doğru ya da yanlış olması da kişisel veri olma niteliğine etki etmemektedir.
Bir bilgi yanlış da olsa bir kişiyi işaret eden, belirlenebilir nitelikte, kimlikli bir bilgi ise o bilginin kişisel veri olduğundan bahsedebilmemiz mümkündür
2. Verinin gerçek kişiye ilişkin olması
Kişisel veriden söz edebilmek için, söz konusu verinin gerçek kişiye ilişkin olması gerekir. Kişisel verinin korunması hakkı kapsamının yalnızca gerçek kişiye ilişkin olması KVKK m.2’deki düzenlemeden ve KVKK m.3/1-d’de yapılan kişisel veri tanımından anlaşılmaktadır.
Kanun koyucu KVKK taslak metninde “gerçek ve tüzel kişilere ilişkin bütün bilgiler” şeklinde tanımlama yapmışsa da kanun yürürlüğe girdiğinde tasarıdan farklı olarak isabetli bir şekilde yalnızca gerçek kişileri düzenlemiştir. Nitekim KVKK m.2’de “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” demekle, kişisel veri anlamında verisi işlenen gerçek kişilerden bahsederken, sadece veri sorumlusu ve veri işleyen anlamında gerçek ve tüzel kişiler kapsama dahil edilmiştir. Bu yüzden yalnızca gerçek kişilerin kişisel verilerinden bahsederiz, tüzel kişilerin verileri kişisel veri değildir. Bir gerçek kişi öldüğünde kendisine ait kişisel veri üzerindeki tüm hakları da sona erecektir. Bu nedenle ölünün kişisel verisi olmayacaktır.
Diğer yandan bir verinin kişisel veri olduğundan bahsedebilmek için her zaman verinin o kişiye ait olması gerekmez. Başkasına ilişkin veriler bir araya geldiğinde eğer bir kişiyi işaret edecek nitelikte ise, burada işaret edilen kişinin kişisel verisinden bahsedilecektir. Nitekim burada başkasına ilişkin kişisel verilerden bir çıkarım yapılarak başka bir kişi sonucuna ulaşılıyorsa, buradaki kişisel veride hak ve menfaati olan, veri dolayısıyla kimliği belirlenmiş kişidir. Örneğin, bir öğrencinin öğretmenine aile bireylerine ilişkin vermiş olduğu bilgiler, her ne kadar aile fertlerine yönelik veriler de olsa bir araya geldiğinde öğrenciyi ifade edecek veriler olduğundan, öğrencinin kişisel verisidir. Ancak bu tipteki verilerin salt tek kişiye ait olduğunu söylemek doğru değildir. Burada başkalarına ilişkin veriler her ne kadar bir araya gelerek bambaşka bir kişiyi ifade ediyorsa da her verinin, ilgilisinin kişisel verisi olduğu gerçeğini değiştirmeyecektir. Bu tipte veriler bir kişiye ilişkin olarak gözükse de başka bir kişiyle onun verisi sayılmayı gerektirecek derecede ilgilidir.
Dolayısıyla kişisel veri dediğimizde sadece gerçek kişi anlaşılırken, tüzel kişilerin kanuni anlamda korumadan faydalanan bir kişisel verisinden bahsetmemiz mümkün değildir. Bu ayrım aynı zamanda temel bir insan hakkı olan ve kişilik haklarından sayılan kişisel verilerin korunması hakkının insana özgü bir hak olmasından kaynaklanmaktadır. Bu yüzden KVKK tasarı metninde tüzel kişiler kapsama dahil edilmesine rağmen kanun yürürlüğe girdiğinde tüzel kişilerin kapsam dışında tutulması isabetli olmuştur.
3. Veri kimliğinin belirli veya belirlenebilir olması
Bir kişisel veriden bahsedebilmek için gerekli olan diğer bir unsur da kişisel verinin belirli veya belirlenebilir ölçekte olmasıdır. Bir kişisel verinin belirli veya belirlenebilir olması, elde edilen veri ile verinin gerçek kişiyi ifade edip etmemesi noktasında toplanmaktadır. Örneğin TC kimlik numarası; benzersiz, her vatandaşa özgü, devlet tarafından her Türkiye Cumhuriyeti vatandaşına ayrı özgülenen bir hüviyet bilgisidir. Bu yönüyle elde edilen bir TC kimlik numarası yalnızca bir vatandaşı işaret eder. Bu örnekten hareketle TC kimlik numarasının bir kişisel veri olduğu çok açıktır.
Belirlenebilir olma hususunu örnekle ifade edecek olursak; “Yılmazlar Mahallesi 1999. Sokak Numara:19 Yenimahalle/ANKARA’da oturan erkek şahıs” şeklindeki bir bilgi, belirtilen adreste tek bir erkek şahsın oturması halinde bir kişisel veri haline dönüşecektir. Nitekim belirtilen adreste tek bir erkek şahıs oturuyor ise, bu yönüyle eldeki bilgi, kimliği belirlenebilir niteliğe dönüşeceğinden hiç kuşkusuz kişisel veri haline gelecektir. Bu anlamda eldeki bilginin kimliğinin belirli olması değil, belirlenebilir olması da ayrı bir ölçüttür.
Ayrıca kanunda belirli olmanın dışında belirleme metoduna ilişkin herhangi bir sınırlı sayım yapılmadığından metot açısından herhangi bir ayrım yapılamayacaktır. Anlamlı veya anlamsız tüm verilerin dijital, analog ve sair yöntemlerle bir araya getirilerek anlamlı hale getirilmesi (kimlik kazandırılması) kişisel veri niteliğine etki etmeyecektir. Her ne suretle olursa olsun bir verinin gerçek kişiye ilişkin olduğunun belirlenebilir olması yeterlidir. Bu yönüyle de kapsamın son derece geniş olduğunu söylemek mümkündür.
