6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veri: “Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri, 6698 sayılı
Kişisel Verileri Koruma Kanunu’nun gerekçesinde ise ‘’Bireylerin kimliklerini belirli hale
getirmeye elverişli her türlü bilgidir.” olarak tanımlanmıştır.
6698 sayılı Kanun kapsamında kişisel veri kavramının sahip olduğu üç temel unsur vardır:
gerçek kişiye ait olma, kişiyi belirli ya da belirlenebilir kılma ve her tür bilgiyi içerme.
Kişinin kimliğini açıkça ortaya koyan her bilgi, kişisel veridir. Dolayısıyla kişinin kimlik bilgilerinin
üzerinde olduğu her tür evrak da yine kişisel veri kapsamındadır.
Kişisel verinin tanımı oldukça basit gibi görünse de kişisel veri olarak kabul edilen bilgilerin çok
çeşitli olması nedeniyle kapsamı çok geniştir. Bu nedenle sınırlı sayıda olduğunu söylemek
mümkün olamayacaktır. Ses ve görüntü kayıtları, MOBESE görüntüleri, isim soy-isim telefon
numarası, T.C. kimlik numarası, motorlu taşıt roketbet , sosyal güvenlik numarası, pasaport
numarası, parmak izleri, genetik bilgiler örnek mukabilinde sayılabilir.
Kişisel veriyi tanımlayan ve koruma altına alan kanun koyucu, önemine binaen bir de özel
nitelikli kişisel veri düzenlemesi yapmıştır. “Özel nitelikli kişisel veri” ya da diğer bir adıyla
“hassas veri”, başkaları tarafından öğrenildiği taktirde ilgili kişinin mağdur olmasına veya
ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verileridir. Bu veriler, diğer kişisel
verilere göre daha hassas olduğu ve özel olarak korunması gerektiği için hangi kişisel verilerin
hassas olduğu tek tek ve tahdidi olarak belirtilmiştir. Irk, etnik köken, siyasi düşünce, felsefi
düşünce, din mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf veya sendika üyeliği,
sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbiriyle ilgili veriler, biyometrik ve genetik
veriler özel nitelikli kişisel veri olup bunların yorum yoluyla genişletilmesi mümkün değildir.
Örneğin, Ceza Muhakemesi Kanunu’nun 75.76. ve 78 inci madde hükümlerine göre alınan
örnekler üzerinde yapılan inceleme sonuçları kişinin diğer bireylerden ayıran DNA profilini ve
mahrem bilgiler içermesi ve öğrenildiği taktirde kişinin mağdur olmasına yol açabilecek nitelikte
olması nedeniyle özel nitelikli kişisel veri niteliğindedir. Ve bu özel nitelikli kişisel verilerin
işlendiği, muhafaza edildiği ve/veya erişildiği elektronik veya fiziksel ortamlar bakımından da
gerekli tedbirler alınmalıdır.
KVKK’nın yöneldiği temel amaç; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak
üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel
kişilerin yükümlülükleri ile uyulacak esasları düzenlemektir.
KVKK’nın 4. Maddesi uyarınca kişisel verilerin işlenebilmesi için yasal bir dayanağının olması
zorunludur. İlgili kanun maddesinin ikinci fıkrasında kişisel verilerin işlenmesinde uyulması
zorunlu olan ilkeler belirlenmiştir. İlgili hüküm uyarınca kişisel veriler, hukuka ve dürüstlük
kuralına uygun olarak, belirli açık meşru amaçlar için işlenme, doğru ve güncel olma gibi ilkelere
uygun olarak işlenmelidir.
Yasanın 5/1 hükmü uyarınca kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması halinde
işlenebilir. Açık rıza kavramı, KVKK’da “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve
özgür bir iradeyle açıklanan rıza” olarak tanımlanmıştır. Ayrıca kanunun gerekçesinde “ilgili
kişinin kendisiyle ilgili veri işlenmesine ,özgürce, konuyla ilgili yeterli bilgi sahibi olarak,
tereddüte yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı”
olarak tanımlandığı görülmektedir.
Bazı durumlarda rızanın özgürce verildiği konusunda tereddüt olabilir. Örneğin, sağlık hizmeti
almak isteyen kişinin hastane karşısındaki konumu gibi veya işçi ile işveren arasında yapılan iş
sözleşmesindeki hiyerarşi bulunan durumlarda veya bir sözleşmenin ifası için zorunlu olmayan
bir konuda veri işleme bir koşul olarak belirlendiyse rızanın varlığı dikkatle değerlendirilmelidir.
Kişisel Verileri Koruma Kurulu yayımladığı bir karar özetinde, sözleşmenin ifası için zorunlu olan
bir konuda ayrıca açık rıza alınmasını ve bunun sözleşmenin bir koşulu haline getirilmesini
“hakkın kötüye kullanılması” ve “hizmetin açık rızaya bağlanması şartının rızayı sakatlayacağı”
gerekçeleriyle kanuna aykırı bulmuştur. Kurul’un diğer kararlarına internet sayfasından
ulaşılabilir : (https://www.kvkk.gov.tr/Icerik/5419/Kurul-Kararlari)
Türk Ceza Kanunu’nun 135. maddesinde kişisel verilerin hukuka aykırı olarak kaydedilmesi, suç
olarak düzenlenmiştir. Türk Ceza Kanunu’nun 136. Maddesinde ise, kişisel verileri hukuka
aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis
cezası ile cezalandırılacağı hüküm altına alınmıştır.
Bu suçların, kamu görevlisi tarafından ve görevin verdiği yetki kötüye kullanılmak suretiyle
işlenmesi veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi
halleri, nitelikli hal olarak düzenlenmiş ve bunun bir sonucu olarak da verilecek cezanın yarı
oranında arttırılacağı belirtilmiştir.
Kişisel verileri yok etmemek de Türk Ceza Kanunu’nun 138. Maddesi uyarınca suç olarak
düzenlenmiştir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Türk Ceza Kanunu’nun haricinde Kişisel Verileri Koruma Kanunu’nun 18. Maddesinde
“kabahatler” başlığı altında idari para cezaları düzenlenmiştir. Yasanın ilgili hükümlerinin ihlali
halinde ihlali gerçekleştiren veri sorumlusu gerçek kişiler ve özel hukuk tüzel kişileri idari para
cezası ile cezalandırılacaktır. Kişisel Verileri Koruma Kurulu tarafından verilen idari para
cezalarına karşı yargı yolu açıktır.
Bilge Canan Yetkin
Avukat &Arabulucu
bilgecanan19@gmail.com
Linkedin:
Bilge Canan Yetkin / AVRUPAPRESS